CGNAT 환경 극복, Tailscale과 frp를 활용한 하이브리드 원격 접속 설계

Context

대부분의 ISP가 CGNAT(Carrier-Grade NAT) 방식을 사용함. 공인 IP 부재로 인해 외부망에서 홈 서버로의 직접 접근이 불가능한 구조. 내부 네트워크를 벗어난 환경에서 Nextcloud, Samba NAS 등의 서비스 접근 단절 발생.

Technical Solution

• WireGuard 기반의 Mesh VPN인 Tailscale을 도입하여 디바이스 간 암호화된 전용 터널 구축
• NAT Traversal 기술을 통해 복잡한 포트 포워딩이나 방화벽 설정 없이 사설망 연결 구현
• 불특정 다수의 접근을 위해 Oracle VPS를 공인 게이트웨이로 활용하는 Public Path 설계
• frp(fast reverse proxy)를 이용해 홈 서버와 VPS 간 터널링을 생성하고 외부 트래픽을 내부로 포워딩하는 구조
• Nginx 리버스 프록시와 Certbot SSL 인증서를 조합하여 도메인 기반의 보안 접속 환경 구축
• Nextcloud의 trusted_domains 설정을 통해 Tailscale IP와 공인 도메인을 모두 허용하는 액세스 제어 적용

Key Takeaway

사용자 그룹의 성격에 따라 전용 앱 기반의 Zero Trust 네트워크(Tailscale)와 표준 HTTP 기반의 프록시 터널링(frp)을 분리 운영하는 하이브리드 접근 전략의 효율성 확인.