Wireguard VPN을 켜면 LAN에 접근할 수 없는 문제가 늘 있었다. 여러 방법을 시도했는데, 그중 하나는 Cloudflared로 VPS에서 트래픽을 포워딩하는 방법이다. 문제는 VPS에 설치해야 하고, 나는 그 서버 바로 옆에 앉아 있다는 것. 옆에서 앉아 있는 장비의 트래픽을 인터넷 반 바퀴 돌려서 다시 돌아오게 하는 꼴이다. 그래도 필요하니 어쩔 수 없었다.
오늘 점심엔 wg-easy 설치로 피를 토할 뻔했다. 새로운 걸 배워야 했고, 공용 IP 5개(사실 4개)를 위해 Docker를 5개 돌려야 했다. 제공업체에 티켓을 올리고 나서야 IP가 다시 할당되는 것도 확인했다. 게다가 wg-easy를 Docker로 쓰려면 포트 포워딩 설정이 필수라 더 고통스럽다. 솔직히 이해하고 싶지 않았다.
그런데 Wireguard를 켠 상태에서 RDCMan에서 Master-1을 클릭했더니 연결이 된다? 원래는 포워딩된 IP로만 가능해야 하는데? 그래서 직접 확인했다.
ping Master-1
이상한 IPv6 주소가 뜬다.
찾아보니 Link-local IPv6였다.
Link-local IPv6란?
Link-local IPv6는 fe80::/10 범위의 주소로, 모든 네트워크 인터페이스에 자동으로 할당된다. Layer 2에서 동작하며 같은 네트워크 내 장비끼리 기본 통신에 사용된다. 별도 설정이나 DHCP가 필요 없다.
왜 Link-local IPv6가 Wireguard를 통과할까?
Link-local은 Layer 2에서 동작하고, Wireguard는 Layer 3에서 동작하기 때문이다. 즉, 인터넷을 거치지 않는다.
탐색 과정에서 겪은 문제
Windows끼리 연결할 때는 방화벽 설정이 필요했다. Master-1만 있을 때는 ICMPv6 ping과 RDP가 되는데, Master-2와 다른 머신들은 Wireguard를 켜면 모두 막혔다.
그러다 이런 생각이 들었다. Link-local이 통과한다면, 왜 IPv4 Local은 막히는가?
해답은 간단했다. Wireguard 설정에서 이 옵션 하나만 끄면 된다.
Block untunnel traffic (kill-switch)
이걸 끄면 AllowedIPs가 0.0.0.0/0 대신 0.0.0.0/1과 128.0.0.0/1로 바뀐다. 사실 나는 두 설정이 같다고 생각해 이전엔 대충 넘어갔다. 예전에 한 번 끄기도 했지만 LAN 접근이 안 돼서 다시 켜버렸다. 지금 생각하면 Docker로 복잡한 포워딩을 만들고, FORWARD 규칙 설정하고, 심지어 K8S까지 고려했던 내가 우스워진다. 그냥 체크만 해제하면 됐는데. 인생 참 웃기다.
비슷한 문제를 겪은 사람이 Reddit에도 있었고, 해결책은 0.0.0.0/1와 여러 IP 대역을 넣는 것이었다. 결국 0.0.0.0/0을 켜면 LAN 접근이 막힌다는 걸 인정한 셈. Tailscale Mesh 문제도 결국 같은 논리였다. 그냥 웃음만 나온다.
그래도 결과적으로 이런 경험 덕분에 Docker, Proxmox까지 배우게 된 셈이다. 긍정적으로 보자.
Comments
Join the conversation
Leave a comment
No comments yet
Be the first to share your thoughts!