NanoKVM Pice 설치, 설정 및 사용 후기

서버를 새로 설치하다 보니 바이오스 세팅을 건드려야 하는 일이 많았다.

하지만 집에는 모니터가 주 컴퓨터에 연결되어 있는 상태라 바이오스 세팅을 위해 서버를 가져와서

기존 모니터의 선을 뽑아 서버 컴퓨터에 연결하는 매우 매우 귀찮은 방법을 이용하고 있었다. 이렇게 바이오스를 5번 넘게 들어가니 진짜 하고 싶은 세팅을 포기하고 싶을 정도로 하기가 싫어졌다.

그래서 여러 방법을 강구했다.

 

1. 캡처보드 구매

2. KVM 스위치 구매

3. KVM over IP 구매

 

1번은 서버에 키보드 마우스를 연결해야하는연결해야 하는 과정이 남아있으며, 주 컴퓨터에 캡처보드 설치 후 선을 연결해야 하는

과정이 남아있어 모니터 연결과 다를 게 없었다.

 

2번은 서버와 모니터까지와 선을 연결하고 있어야 하며 1번과 동일하게 키보드 마우스를 연결해야 한다.

 

3번은 웹페이지로 화면을 보며 모니터 마우스 역할까지 하므로 현재 상태에 가장 맞는 방법이라고 생각했다.

 

KVM over IP는 간단한 SBC를 이용하여 물리적으로는 서버 주변 또는 서버 안에 장착되며 HDMI, USB로 서버와 연결되어

화면과, 키보드 마우스의 역할을 하고 관리자는 KVM에 연결된 랜선을 통해 웹으로 접속하여 관리를 하는 기기이다.

 

기업에서 많은 서버들을 관리하기 위해 쓰고 있으며 서버용 기기답게 가격도 홈랩 기준으로 사악하다.

 

하지만 늘 그렇듯 사람들은 정답을 찾아냈는데 SBC를 이용하는 KVM이다 보니 SBC의 대표적인

라즈베리파이를 이용하여 구현하는 것이다.

 

관련해서 내용을 알아보니 라즈베리에 카메라를 달기 위한 슬롯에 HDMI 입력을 받을 수 있는 보드를 붙이고 키보드 마우스 역할을

라즈베리파이 C타입으로 구현을 한 것이다. PiKVM으로 잘 알려진 방법이다.

 

처음엔 라즈베리파이도 가지고 있으므로 PiKVM을 사용하려고 했지만 다양한 단점이 있었다.

 

1. 현재 가지고 있는 라즈베리파이 케이스와의 호환성

2. 생각보다 높은 각 부품의 가격

3. 내장되지 않아 작지만 추가 공간 필요

 

그래서 PiKVM은 제외하고 알아보았고 생각보다 많은 제품이 있다는 것을 알게 되었지만 눈에 들어온 건 NanoKVM이다.

NanoKVM은 많은 장점을 가지고 있었다.

 

1. 다양한 버전 (Lite, Full, Pcie, Pro 등)

2. 낮은 가격

3. tailscale 내장

4. 오픈소스

5. 다양한 후기

 

물론 장점만 있던 건 아니다. 단점도 있었다.

 

1. 국내 미정발로 인한 AS문제

2. 제조국으로 인한 불안

3. 보안 이슈

 

특히 제일 중요한 건 보안 이슈였는 데 사용된 소스를 깃헙에 오픈했고 알아보았을 때 중국 DNS를 쓰는 걸로 알았지만 사용한 현재

로그를 확인하니 8.8.4.4 구글 DNS를 사용하는 것으로 밝혀졌다.

또한 최근 내장 마이크 사건이 붉어진 적이 있는데 꽤 크게 번졌다.

https://news.hada.io/topic?id=24886

중국산 NanoKVM에서 숨겨진 마이크를 발견한 과정 | GeekNews

 

하지만 관련 사건을 실시간으로 퍼지는 것을 보고 있던 나는 꽤 이상하게 와전되는 걸 알 수 있었다.

간단하게 말하면 마이크는 있는 게 맞았고 비활성화되어있지만 활성화시킬 수 있었다.

하지만 가격을 줄이기 위해 쓴 기본 SBC보드에 이미 마이크가 달려있었고 NanoKVM에서 보드에 설치한 게 아니다.

(NanoKVM 상품 페이지에 안 쓰여있는 건 NanoKVM 쪽 잘못)

활성화시키면 녹음도 가능하지만 NanoKVM 터미널을 사용해야 하므로 직접 NanoKVM을 외부로 노출시키지 않는 한 문제가 될 수 없다. (직접 노출은 서버의 SSH를 외부노출 시키는 것과 같음)

그래서 서버 커뮤니티에서도 녹음이 되는 것을 확인했지만 터미널 접근 할 방법이 사실상 없어 상관없다고 결론짓는 분위기였다.

 

그래서 NanoKVM Pcie 버전을 구매했고 가장 간단하게 PoE 없고, 무선도 없는 버전을 구매했다. (구매 당시 6만 원)

 

설치 후 Proxmox Shell도 웹으로 잘 보이고 입력도 잘 되는 것을 볼 수 있었다.

 

충분히 만족스러웠지만 추가 설정이 필요했다.

1. mdns 해제

2. 고정 ip

3. 방화벽설정 및 ntp 서버 수정

 

1. mdns는 내부 네트워크에 멀티캐스팅을 하여 자신을 알리기 때문에 트래픽이 증가한다.

설정-장치-mdns 해제했다.

2. 매번 접속 시 ip가 바뀌면 찾기 힘들기 때문에 고정 ip를 부여했고 일반 우분투나 페도라 같은 방법과 다른 방법으로 설정했다.

https://wiki.sipeed.com/hardware/en/kvm/NanoKVM/network/static_ip.html

Static IP - Sipeed Wiki

공식 문서를 참고하여 구성했다

nano /boot/eth.nodhcp
# eth.nodhcp 생성 및 수정

192.168.10.xxx/24 192.168.10.1
# ip 주소/서브넷마스크 게이트웨이

/etc/init.d/S30eth restart
# 고정 IP 인식을 위한 재시작

 

3. 아무리 오픈소스이지만 보안은 중요하므로 방화벽을 사용해 아웃바운드는 모두 다 차단했다.

업데이트 확인이 불가능하지만 업데이트 파일을 업로드하는 기능도 있으므로 큰 상관이 없다고 생각했다.

OPNsense에서 Firewall-Rules-LAN으로 이동한다.

+를 이용해 규칙을 추가한다.

 

Action: Block

Interface: LAN

Direction: in (outbound이지만 방화벽 입장에서는 in이기 때문에 in으로 설정
Direction of the traffic. Traffic IN is coming into the firewall interface, while traffic OUT is going out of the firewall interface. In visual terms: [Source] -> IN -> [Firewall] -> OUT -> [Destination]. The default policy is to filter inbound traffic, which means the policy applies to the interface on which the traffic is originally received by the firewall from the source. This is more efficient from a traffic processing perspective. In most cases, the default policy will be the most appropriate.)

Protocol: any
Source: Single host or Network 선택 후 NanoKVM IP 입력

Destination: any

 

이렇게 되면 모든 아웃바운드가 차단된다.

 

하지만 시간동기화도 차단되므로 NTP서버를 외부가 아닌 OPNsense로 바꿔야 한다.

기본적으로 OPNsense는 자체적으로 NTP 서버 서비스가 실행 중이므로 NanoKVM에서 오는 요청은 허용해야 한다.

 

OPNsense에서 Firewall-Rules-LAN으로 이동하여 규칙을 하나 더 추가한다.

 

Action: Pass

Interface: LAN

Direction: in

Protocol: UDP

Source: Single host or Network 선택 후 NanoKVM IP 입력

Destination: This Firewall

Destination port range: NTP

으로 설정하고 추가 규칙이 없다는 가정 하 Pass 규칙이 1번 Block 규칙이 2번으로 설정되야 한다.

 

그럼 NanoKVM에 NTP서버가 바뀌었다고 알려줘야 한다.

nano /etc/ntp.conf

내용에 4개 server들이 있는데 #으로 주석처리 한 다음

server OPNsense주소 iburst 를 입력한다.

그다음 reboot으로 재시작한다.

 

그럼 OPNsense log를 보면 게이트웨이를 통과하지 못하여 인터넷 통신이 불가한 걸 볼 수 있다.