[시놀로지 나스] Split DNS 구성하기 - 로컬에서 Tailscale 없이 도메인 접속

시놀로지 NAS의 외부 접속 포트를 모두 닫고, Tailscale을 통해서만 접속하도록 설정하면 인터넷에 노출되는 범위를 줄일 수 있어 보안상 이점이 많다. 이런 식으로 구축했을 땐 보통 아래 두 가지 방법으로 NAS에 접속한다.

 

1. 집 (로컬 네트워크): Tailscale 끈 상태에서 192.168.1.2 같은 LAN IP로 접속
2. 외부 네트워크: Tailscale 켠 상태에서 nas.domain.net 같은 도메인으로 접속 (역방향 프록시 설정)

 

기기에 Tailscale을 항상 켜 두는 게 아니라면 내부에선 LAN IP, 외부에선 도메인 주소로 이원화해서 사용해야 한다. 운용하는 서비스가 많아질수록 일일이 LAN IP:포트와 도메인 주소를 각각 구분해서 기억해야 하므로 불필요한 인지 부하를 유발한다.

 

이럴 땐 Split DNS를 활용할 수 있다. Split DNS는 접속하는 네트워크에 따라 동일한 도메인이라도 서로 다른 IP 주소로 응답하도록 구성하는 방식이다. 예를 들어 집 안에서는 nas.domain.net이 내부 IP인 192.168.1.2를 가리키도록 하고, 외부에서는 기존처럼 Tailscale IP를 반환하도록 설정할 수 있다.

 

이렇게 구성하면 집에서 Tailscale을 켜지 않아도 도메인 주소로 접속할 수 있다. Split DNS는 설정 난이도에 비해 얻을 수 있는 편의성이 훨씬 큰 편이다. 여러 서비스를 운영하고 있다면 적용해 두는 것을 추천한다.

 

아래에서 설정 방법을 자세히 알아보자.

 

 

사전 준비

---

① NAS의 내부 IP가 고정되어 있어야 한다(DHCP 예약 고정 할당).

② NAS에 Tailscale이 설정되어 있어야 한다.

③ DNS 관리 사이트에서 설정하려는 도메인의 A 레코드가 NAS의 Tailscale IP를 가리켜야 한다.

DNS 레코드 등록 예시 (Cloudflare)

④ NAS에서 설정하려는 도메인에 대한 역방향 프록시가 구성되어 있어야 한다.

DSM 역방향 프록시 예시

 

 

Split DNS 동작 구조

---

공유기는 DHCP(Dynamic Host Configuration Protocol)를 통해 내부 네트워크에 연결된 기기에 사설 IP 주소를 자동으로 할당한다. 이때 IP 주소뿐만 아니라 기기가 사용할 DNS 서버 주소도 함께 전달할 수 있다.

즉, 기기가 홈 Wi-Fi 또는 LAN에 연결되면 공유기가 "도메인 이름은 이 로컬 DNS 서버(예: 192.168.1.2)에 질의하라"고 알려주는 것이다. 이처럼 내부 네트워크에 연결된 기기에 특정 DNS 서버 주소를 일괄적으로 전달하는 과정을 DNS 서버 주소 배포라고 표현한다.

이를 통해 집 안의 모든 기기가 별도 설정 없이 로컬 DNS 서버에 도메인 이름을 질의하고, 응답받은 NAS 내부 IP 주소로 직접 접속하게 된다.

 

 

로컬 DNS 서버 설정

---

도커(Docker)에 익숙하다면 DNS Server 대신 가벼운 dnsmasq를 컨테이너로 띄워서 사용할 수도 있다.

 

DNS Server는 도메인 이름을 IP 주소로 변환하는 DNS 질의 처리 서버다. 시놀로지 패키지 센터에서 바로 설치해서 사용할 수 있고, GUI를 통해 DNS Zone과 레코드를 편리하게 관리할 수 있다. 단순히 NAS의 사설 IP를 도메인에 연결하는 용도로는 기능이 다소 많은 편이지만, 설정/유지보수가 간편한 장점이 있다.

 

① DNS Server 설치. DSM 패키지 센터에서 DNS Server를 설치한다.

 

② DNS 해상도(Resolution) 서비스 활성화. DNS Server를 실행한 후 해상도 서비스 메뉴에서 다음과 같이 설정한다(해상도보단 해석으로 번역하는게 더 맞다).

• 해상도 서비스 활성화: 체크
  NAS의 DNS Server 패키지가 실제로 DNS 질의에 응답하도록 설정
• 전달자 활성화: 체크
  NAS DNS Server에 등록되지 않은 도메인 질의를 다른 DNS 서버에 전달하도록 설정
• 전달자 1: 공유기 내부 IP(예: 192.168.1.1) 혹은 1.1.1.1 같은 공용 DNS
  NAS DNS Server가 처리할 수 없는 도메인을 조회할 상위 DNS 서버 주소
• 전달 정책: 전달 적용
  NAS DNS Server에 등록된 레코드가 없는 경우 전달자에 질의하도록 설정

 

③ DNS 영역 생성. DNS Server > 영역 > 생성 > 기본 영역 클릭 후 다음과 같이 설정한다.

• 도메인 유형: 정방향 영역 (기본값)
  도메인 이름 → IP 주소로 변환. 역방향은 그 반대.
• 도메인 이름: 설정할 하위 도메인 (예: nas.domain.net)
  NAS DNS Server가 직접 응답할 도메인 범위 지정.
• 기본 DNS 서버: NAS 내부 IP (예: 192.168.1.2)
  이 영역을 관리하는 기본 DNS 서버 지정.
• 일련 형식: 정수값 (기본값)
  DNS 영역 데이터의 버전 번호를 어떤 형식으로 관리할지 지정.
• 영역 전송 제한: 체크 (기본값)
  다른 DNS 서버가 이 영역의 레코드 목록을 복사하지 못하도록 제한.
• 소스 IP 서비스 제한: 체크해제 (기본값)
  이 영역에 DNS 질의를 보낼 수 있는 클라이언트의 IP 범위 제한.
• 보조 영역 알림 활성화: 체크해제 (기본값)
  DNS 레코드가 변경됐을 때 보조 DNS 서버에 변경 사실을 알려주는 기능.
• 영역 업데이트 제한: 체크 (기본값)
  외부 클라이언트가 DNS 레코드를 동적으로 수정하지 못하도록 제한.

 

④ A 레코드 추가. 생성한 영역을 더블클릭하고 생성 > A 유형을 클릭한다.

• 이름: 비워두기 (현재 영역 자체에 적용)
• TTL: 86400 (기본값)
  DNS 응답 캐시 유지 시간. 테스트 중엔 변경사항을 빠르게 확인할 수 있도록 300초 정도로 설정한다.
• IP 주소: NAS 내부 IP (예: 192.168.1.2)
  이 도메인이 가리킬 IPv4 주소.

 

🔍 루트 도메인(예: domain.net)으로 영역 하나만 생성하고 A 레코드를 여러 개 등록하는 방식도 있다. 이 경우 NAS DNS 서버가 해당 도메인을 권한 영역으로 취급하기 때문에 외부 DNS 서비스에 등록된 다른 하위 도메인 레코드를 자동으로 조회하지 않는다. 결과적으로 NAS DNS 서버에도 하위 도메인 레코드를 각각 추가해야 하는 번거로움이 따른다.

 

🔍 DNS 레코드를 수정한 후에는 기존 응답이 캐시에 남아 있을 수 있다. 예상과 다른 IP가 출력되면 TTL이 만료될 때까지 기다리거나 DNS 캐시를 초기화하고 다시 확인해 본다.

 

🔍 DSM 방화벽을 사용하고 있다면 내부 네트워크에서 NAS의 TCP·UDP 53번 포트에 접근할 수 있도록 허용해야 한다. DNS Server는 53번 포트를 통해 DNS 질의를 처리한다.

 

 

공유기 LAN DNS 서버 변경

---

아래 설정 방법과 메뉴명은 ASUS 공유기 기준으로 작성됐다. 공유기 제조사와 펌웨어에 따라 메뉴 위치, 이름, 옵션이 다를 수 있지만 대부분 DHCP 서버 관련 메뉴에서 찾을 수 있다.

 

공유기 관리자 페이지 > 왼쪽 LAN 메뉴 > DHCP 서버 탭에서 DNS 서버를 변경한다. 참고로 WAN DNS 설정은 외부 도메인을 조회할 때 사용하는 상위 DNS 서버 설정으로 DHCP DNS와 용도가 다르다.

ASUS 공유기 DHCP 서버 설정 화면

 

• DNS 서버 1: 나스 내부 IP (예: 192.168.1.2)
  공유기에 연결된 LAN 내부 기기들이 사용할 DNS 서버 주소 지정. DHCP를 통해 각 기기에 DNS Server 주소가 전달된다.
• 사용자 지정 DNS에 추가하여 라우터의 IP 광고: 아니오 (기본값)
  ASUS 공유기는 사용자 DHCP DNS 서버를 직접 입력해도 공유기 자체 LAN IP를 DNS 서버로 함께 배포할 수 있다. 이 옵션을 켜면 NAS DNS Server가 아닌 공유기 DNS로 직접 질의할 수 있기 때문에 끄는 것이 좋다.

 

 

동작 테스트

---

터미널에서 아래 명령어를 실행하여 정상적으로 적용됐는지 확인한다. 테스트 명령어는 macOS 기준으로 작성됐다.

 

(집 와이파이) NAS DNS Server 응답 확인

dig @192.168.1.2 nas.domain.net +short
# 192.168.1.2 (나스 내부 IP 출력하면 정상)

 

(집 와이파이) DHCP DNS 서버 배포 확인

scutil --dns | grep nameserver
# nameserver[0] : 192.168.1.2 (나스 내부 IP 포함하면 정상)

 

(집 와이파이) 내부 네트워크 해석 결과 확인

dig nas.domain.net +short
# 192.168.1.2 (NAS 내부 IP 출력하면 정상)

 

(모바일 핫스팟 등) Tailscale 연결 상태에서 외부 네트워크 해석 결과 확인

dig nas.domain.net +short
# 100.101.102.103 (NAS의 Tailscale IP 출력하면 정상)

 

 

NextDNS / AdGuard 사용 시 문제 해결

---

NextDNS나 AdGuard의 DNS 보호 기능을 사용하면 기기의 DNS 요청을 가로채서 자체 DNS 서버로 전달한다. 그럼 공유기가 DHCP를 통해 로컬 DNS 서버 주소(예: 192.168.1.2)를 배포하더라도 실제 질의는 NextDNS나 AdGuard에 설정한 DNS 서버로 향한다. 이로 인해 집 Wi-Fi에 연결된 상태에서도 내부 레코드가 적용되지 않고 아래처럼 공개 DNS 레코드를 반환하는 문제가 생긴다.

dig nas.domain.net +short
# NAS Tailscale IP 출력

 

이 문제는 특정 도메인의 DNS 질의만 로컬 DNS 서버로 전달하도록 예외 처리하는 방식으로 해결할 수 있다.

 

AdGuard DNS 보호 사용 시

AdGuard 고급 설정을 활용하면 특정 도메인의 DNS 질의만 Fallback DNS 서버로 전달하도록 설정할 수 있다. AdGuard 설정 아이콘 > 설정 > 고급 > 고급 설정을 클릭한다.

AdGuard for macOS 고급 설정 버튼

 

dns.proxy.fallback.domains 속성 값을 클릭하고 제외할 도메인(예: *.domain.net)을 추가한다.

 

dns.proxy.fallback.ips 속성 값을 클릭하고 로컬 DNS 서버 주소(예: 192.168.1.2)를 추가한다.

 

위처럼 구성하면 입력한 도메인(하위 도메인 포함)에 대한 질의는 로컬 DNS 서버로 전달되고, 나머지 도메인은 AdGuard에서 설정한 외부 DNS 서버에서 처리한다.

 

NextDNS (iOS)

NextDNS는 구성 프로파일 생성 단계에서 특정 도메인을 제외(Exclude)할 수 있다. 제외한 도메인의 DNS 요청은 NextDNS 대신 현재 네트워크에서 제공하는 DNS 서버로 전달된다. 아쉽게도 NextDNS iOS 앱은 도메인 제외 기능을 지원하지 않는다. Split DNS를 적용하려면 앱은 정지하거나 삭제하고 구성 프로파일(Configuration Profile)로 설치해야 한다.

NextDNS 관리자 페이지 > Setup > iOS > Configuration Profile 섹션의 apple.nextdns.io 링크를 클릭한다. https://apple.nextdns.io/?profile=<프로파일ID> 주소로 직접 접속할 수도 있다.

 

프로파일 구성 페이지에서 More options를 클릭하고 Excluded Domains 항목에 제외할 도메인을 입력한다.

 

아이폰에 프로파일을 다운로드하고, 설정 앱에서 프로파일을 설치하면 적용이 완료된다.