OPNsense로 사무실 네트워크 구축하기 — 공유기 대신 방화벽 라우터
사무실 네트워크를 가정용 공유기로 운영하다 보면, 어느 순간 한계에 부딪힙니다. 접속 기기가 늘어나면 속도가 떨어지고, VLAN 분리도 안 되고, VPN 서버는 꿈도 못 꾸죠.N100 미니PC에 OPNsense를 올려서, 소규모 사무실에 기업급 네트워크를 구축한 과정을 공유합니다.
6W
N100 TDP
3개
VLAN 서브넷
940Mbps
라우팅 처리량
24/7
무중단 운영
1왜 공유기로는 부족한가
가정용 공유기는 “인터넷 연결”이라는 단일 목적에 최적화되어 있습니다. 서버를 운영하거나, 무선 기기와 유선 기기를 분리해야 하거나, 외부에서 VPN으로 접속해야 하는 사무실 환경에서는 금방 한계가 드러납니다.
VLAN 미지원
서버, 무선, IoT 기기가 전부 같은 서브넷에 위치. 한 대가 뚫리면 전체 네트워크가 위험.
방화벽 룰 제한
포트포워딩 정도가 전부. 세밀한 트래픽 제어나 로깅이 불가능.
VPN 서버 부재
외부에서 내부 서버 접속이 필요할 때 별도 장비가 필요.
모니터링 불가
어떤 기기가 대역폭을 얼마나 쓰는지 파악할 방법이 없음.
사무실 네트워크의 핵심 요구사항
서버와 일반 업무 기기의 네트워크 분리, 세밀한 방화벽 제어, VPN 접속, 트래픽 모니터링. 이 네 가지를 가정용 공유기 하나로 해결하기는 사실상 불가능합니다.
2하드웨어 선정 — N100 미니PC
OPNsense를 설치할 하드웨어로 Intel N100 미니PC를 선택했습니다. 라우터 전용 장비도 있지만, 미니PC가 가성비와 확장성 면에서 훨씬 유리합니다.
| 항목 | 스펙 | 비고 |
|---|---|---|
| CPU | Intel N100 (4코어, TDP 6W) | 라우팅에 충분한 성능 |
| RAM | 8GB DDR4 | OPNsense 권장 4GB 이상 |
| 저장장치 | 128GB eMMC | 로그 저장 여유분 확보 |
| NIC | 2.5GbE x 2포트 | WAN/LAN 분리 필수 |
| 소비전력 | 평균 8~12W | 월 전기세 약 1,500원 |
| 가격 | 약 15~20만원 | 듀얼 NIC 모델 기준 |
NIC 포트 수가 핵심
미니PC를 라우터로 쓸 때 가장 중요한 건 NIC가 최소 2포트여야 한다는 점입니다. 1포트는 WAN(인터넷), 나머지를 LAN으로 사용합니다. VLAN을 쓸 경우 1개 LAN 포트 + 매니지드 스위치 조합으로도 충분합니다.
3OPNsense 설치와 초기 설정
OPNsense는 FreeBSD 기반의 오픈소스 방화벽 OS입니다. pfSense의 포크로 시작했지만, 현재는 더 활발하게 개발되고 있으며 UI도 깔끔합니다.
설치 절차
# 1. OPNsense ISO 다운로드 (공식 사이트) # https://opnsense.org/download/ # 2. USB 부팅 디스크 생성 (Linux/macOS) dd if=OPNsense-24.7-dvd-amd64.iso of=/dev/sdX bs=4M status=progress # 3. USB로 부팅 후 설치 # installer 계정으로 로그인 (기본 비밀번호: opnsense) # 디스크 선택 → ZFS 또는 UFS 파일시스템 선택 → 설치 완료 # 4. 초기 인터페이스 할당 # WAN: igc0 (인터넷 회선 연결) # LAN: igc1 (내부 네트워크 연결) # 5. 웹 인터페이스 접속 # LAN 포트에 PC 연결 후 https://192.168.1.1 접속 # 기본 계정: root / opnsense # ⚠️ 반드시 초기 설정 시 비밀번호를 변경하세요 (기본 비밀번호로 운영 금지)
초기 설정 체크리스트
- - 관리자 비밀번호 변경 (System > Access > Users)
- - 시간대 설정: Asia/Seoul (System > Settings > General)
- - DNS 서버 설정: 1.1.1.1, 8.8.8.8 (System > Settings > General)
- - 펌웨어 업데이트 확인 (System > Firmware > Status)
- - 웹 인터페이스 HTTPS 포트 변경 (기본 443에서 8443 등으로)
4VLAN 세그먼트 구성
VLAN은 하나의 물리 네트워크를 논리적으로 분리하는 기술입니다. 서버, 무선 기기, VPN 접속을 각각 다른 서브넷으로 격리하면, 한쪽에서 문제가 생겨도 다른 쪽에 영향을 주지 않습니다.
| VLAN | ID | 서브넷 | 용도 | DHCP 범위 |
|---|---|---|---|---|
| 서버 | VLAN 10 | 10.x.10.0/24 | AI 서버, NAS, 백업 서버 | 고정 IP 할당 |
| 무선 | VLAN 20 | 10.x.20.0/24 | 노트북, 스마트폰, 태블릿 | .100 ~ .200 |
| VPN | VLAN 30 | 10.x.30.0/24 | WireGuard VPN 접속 기기 | .10 ~ .50 |
OPNsense VLAN 생성
# OPNsense 웹 인터페이스에서 VLAN 생성 # Interfaces > Other Types > VLAN # VLAN 10 (서버) Parent Interface: igc1 (LAN) VLAN Tag: 10 Description: SERVER_VLAN # VLAN 20 (무선) Parent Interface: igc1 (LAN) VLAN Tag: 20 Description: WIRELESS_VLAN # VLAN 30 (VPN) Parent Interface: igc1 (LAN) VLAN Tag: 30 Description: VPN_VLAN # 각 VLAN을 인터페이스로 할당 # Interfaces > Assignments > + 버튼으로 추가 # 각 인터페이스에 고정 IP 설정 (게이트웨이 주소)
VLAN 분리의 실질적 효과
서버 서브넷(VLAN 10)의 기기는 무선 서브넷(VLAN 20)에 직접 접근할 수 없고, 그 반대도 마찬가지입니다. 방화벽 룰로 필요한 통신만 허용하면, 무선 기기가 악성코드에 감염되어도 서버까지 번지지 않습니다.
5방화벽 룰과 대역폭 제어
VLAN을 나누었으면, 각 VLAN 간 통신을 방화벽 룰로 제어해야 합니다. 기본 원칙은 “전부 차단 후 필요한 것만 허용”입니다.
주요 방화벽 룰
| 출발지 | 목적지 | 포트 | 동작 | 설명 |
|---|---|---|---|---|
| VLAN 20 (무선) | 인터넷 | ANY | 허용 | 일반 인터넷 접속 |
| VLAN 20 (무선) | VLAN 10 (서버) | ANY | 차단 | 서버 직접 접근 차단 |
| VLAN 30 (VPN) | VLAN 10 (서버) | 22, 443 | 허용 | VPN으로 서버 SSH/HTTPS |
| VLAN 10 (서버) | 인터넷 | 80, 443 | 허용 | 서버 업데이트, API 호출 |
대역폭 제어 (Traffic Shaper)
OPNsense의 Traffic Shaper로 VLAN별 대역폭 상한을 설정할 수 있습니다. 예를 들어 무선 서브넷의 다운로드를 500Mbps로 제한하면, 누군가 대용량 파일을 받아도 서버 트래픽에 영향을 주지 않습니다.
# OPNsense Traffic Shaper 설정 경로 # Firewall > Shaper > Pipes # Pipe 1: 무선 서브넷 다운로드 제한 Bandwidth: 500 Mbps Description: WIRELESS_DOWN_LIMIT # Pipe 2: 무선 서브넷 업로드 제한 Bandwidth: 100 Mbps Description: WIRELESS_UP_LIMIT # Queue 연결 # Firewall > Shaper > Rules에서 VLAN 20 트래픽에 Pipe 적용
6매니지드 스위치 연동
VLAN을 실제로 물리적 포트에 적용하려면 매니지드 스위치가 필요합니다. 비관리형 스위치는 VLAN 태그를 이해하지 못하기 때문에, 반드시 관리형 스위치를 사용해야 합니다.
| 포트 | 모드 | VLAN | 연결 장비 |
|---|---|---|---|
| 포트 1 | Trunk | 10, 20, 30 (Tagged) | OPNsense LAN 포트 |
| 포트 2~4 | Access | 10 (Untagged) | 서버 A, 서버 B, NAS |
| 포트 5~6 | Access | 20 (Untagged) | 무선 AP |
| 포트 7~8 | Access | 20 (Untagged) | 업무용 PC |
Trunk vs Access 포트
Trunk 포트는 여러 VLAN 태그를 동시에 전달합니다. OPNsense와 스위치를 연결하는 포트는 반드시 Trunk여야 합니다. Access 포트는 하나의 VLAN만 전달하며, 연결된 장비는 VLAN 태그를 인식할 필요가 없습니다.
7모니터링과 로그 관리
OPNsense의 내장 모니터링 도구만으로도 네트워크 상태를 충분히 파악할 수 있습니다. 별도의 모니터링 서버 없이도 대시보드에서 실시간 트래픽을 확인할 수 있습니다.
실시간 트래픽 그래프
Reporting > Traffic에서 인터페이스별 트래픽을 실시간 확인. VLAN별 대역폭 사용량을 한눈에 파악.
방화벽 로그
Firewall > Log Files > Live View에서 차단/허용된 트래픽을 실시간 확인. 의심스러운 접속 시도 모니터링.
침입 탐지 (IDS/IPS)
Suricata 플러그인으로 침입 탐지/방지 시스템 구축 가능. ET Open 룰셋 무료 사용.
시스템 상태
Dashboard에서 CPU, 메모리, 디스크 사용량 확인. N100으로 라우팅 시 CPU 사용률 5~15% 수준.
8가정용 공유기 vs OPNsense 비교
| 항목 | 가정용 공유기 | OPNsense + N100 |
|---|---|---|
| 가격 | 5~15만원 | 15~20만원 (미니PC) |
| VLAN | 미지원 | 무제한 |
| 방화벽 룰 | 기본 포트포워딩 | 세밀한 룰 설정 |
| VPN 서버 | 제한적 (일부 고급 모델) | WireGuard, OpenVPN |
| 모니터링 | 접속 기기 목록 정도 | 실시간 트래픽, IDS/IPS |
| 대역폭 제어 | QoS 제한적 | Traffic Shaper |
| 소비전력 | 5~10W | 8~12W |
| Wi-Fi | 내장 | 별도 AP 필요 |
Wi-Fi는 별도 AP로
OPNsense에는 Wi-Fi 기능이 없으므로, 무선 접속을 위해 별도의 AP(Access Point)가 필요합니다. 기존 공유기를 AP 모드로 전환하면 추가 비용 없이 사용할 수 있습니다. 오히려 라우터와 AP를 분리하면 각자의 역할에 집중하므로 안정성이 더 높아집니다.
정리
OPNsense 사무실 네트워크 구축 체크리스트
- 듀얼 NIC(2포트 이상) 미니PC 준비 — N100 TDP 6W로 24시간 운영 가능
- OPNsense 설치 후 관리자 비밀번호, 시간대, DNS 등 초기 설정 완료
- VLAN 3개 구성 — 서버(10), 무선(20), VPN(30) 서브넷 분리
- 방화벽 룰 설정 — 기본 차단 + 필요한 통신만 허용
- 매니지드 스위치와 Trunk/Access 포트 연동
- Traffic Shaper로 VLAN별 대역폭 상한 설정
- 모니터링 대시보드와 방화벽 로그 확인 습관화
- 기존 공유기는 AP 모드로 전환하여 Wi-Fi 전용으로 활용
가정용 공유기에서 OPNsense로 전환하는 데 드는 비용은 미니PC 15~20만원 수준입니다. 매니지드 스위치까지 포함해도 30만원 이내로 기업급 네트워크 인프라를 갖출 수 있습니다. 한 번 구축해 두면 향후 서버 추가, VPN 접속, 트래픽 모니터링 등 어떤 요구사항이 생겨도 유연하게 대응할 수 있습니다. 네트워크 구축 후 iperf3 속도 검증으로 실제 대역폭을 확인하고, 여러 서버를 관리할 때는 SSH 키 인증으로 안전한 접속 체계를 갖추세요.
본 글은 실제 소규모 사무실 환경에서 구축한 경험을 기반으로 작성되었습니다. 네트워크 구성은 환경에 따라 다르게 적용될 수 있으며, IP 주소와 포트 번호 등은 예시입니다. OPNsense 버전에 따라 메뉴 위치나 설정 항목이 달라질 수 있습니다. 본 콘텐츠의 비상업적 공유는 자유이나, 상업적 이용 시 문의 페이지를 통해 연락 바랍니다.
사무실 네트워크 구축이 필요하신가요?
Treeru는 OPNsense 기반의 기업급 네트워크 설계와 구축 서비스를 제공합니다. VLAN 설계부터 방화벽 설정, VPN 구성까지 한 번에 해결하세요.
네트워크 구축 상담댓글
(5개)로그인하면 댓글을 작성할 수 있습니다.
가정용으로 쓰기에도 괜찮을까요? 집에서 NAS, 서버 운영 중인데 공유기 한계를 느끼고 있습니다. N100 미니PC 하나 장만해볼까 생각 중이에요.
pfSense에서 OPNsense로 넘어올까 고민하던 중이었는데, 이 글 보고 결정했습니다. UI가 훨씬 깔끔하고 플러그인 관리도 편하더라고요.
VLAN 구성 부분이 특히 도움됐습니다. 서버 서브넷과 무선 서브넷을 분리하는 것만으로 보안이 몇 단계는 올라가죠. 매니지드 스위치 설정 부분도 상세해서 좋습니다.
관련 글
© 2026 TreeRU. All rights reserved.
본 콘텐츠의 저작권은 TreeRU에 있으며, 출처를 밝히지 않은 무단 전재 및 재배포를 금합니다. 인용 시 출처(treeru.com)를 반드시 명시해 주세요.