AWS Site-to-Site VPN이 온프레미스 게이트웨이와 성공적으로 연결되지 못한 이유를 해결하고 싶습니다.
해결 방법
가상 프라이빗 네트워크(VPN) 터널이 고객 게이트웨이 디바이스 또는 AWS에서 연결을 설정하지 못할 경우, 다음 구성을 확인하세요.
고객 게이트웨이 디바이스에 원격 피어 IP 주소를 올바르게 구성했습니다. VPN 엔드포인트의 외부 퍼블릭 IP 주소와 일치해야 합니다. 자세한 내용은 Site-to-Site VPN 터널 옵션 수정을 참조하세요.
AWS에서 외부 퍼블릭 IP 주소를 올바르게 구성했습니다. 고객 게이트웨이 디바이스 WAN 인터페이스의 퍼블릭 IP 주소와 일치해야 합니다. Network address translation(NAT) 디바이스를 사용하는 경우, AWS의 외부 퍼블릭 IP 주소가 디바이스의 퍼블릭 IP 주소와 일치해야 합니다.
AWS VPN 엔드포인트와 고객 게이트웨이 디바이스 간에는 연결이 있습니다. 고객 게이트웨이 디바이스에서 퍼블릭 IP 주소 외부의 AWS VPN 엔드포인트를 핑(ping)합니다.
방화벽 정책은 UDP 포트 500에서 AWS VPN 엔드포인트로 들어오고 나가는 아웃바운드 및 인바운드 트래픽을 허용합니다. 고객 게이트웨이가 NAT 디바이스 뒤에 있는 경우, 이 정책은 UDP 4500의 아웃바운드 및 인바운드 트래픽에도 적용됩니다.
NAT traversal(NAT-T)을 사용하는 경우, 중간 인터넷 서비스 공급자(ISP) 가 UDP 포트 500 또는 포트 4500을 차단하고 있지 않은지 확인하세요.
구성된 Internet Key Exchange(IKE) 버전은 AWS 측 및 고객 게이트웨이 디바이스 모두에서 동일합니다.
1단계 및 2단계 파라미터는 AWS와 비교하여 고객 게이트웨이에서 일치합니다. 자세한 내용은 Site-to-Site VPN 연결을 위한 터널 옵션을 참조하세요. AWS Management Console에서 샘플 구성을 다운로드하세요. VPC를 선택한 다음, VPN을 선택합니다. Site-to-Site VPN 연결을 선택한 다음 다운로드 구성을 선택합니다.
VPN 연결이 사전 공유 키로 인증되는 경우, 공유 비밀 키는 AWS와 고객 게이트웨이 디바이스에서 동일합니다.
VPN 연결이 인증서 기반 VPN인 경우, 고객 게이트웨이에 유효하고 올바른 인증서가 있는지 확인하세요. 인증서에는 사설 인증서, 루트 CA 인증서 및 하위 CA 인증서가 포함되어야 합니다.
스타트업 작업은 시작으로 설정되며 인증서 기반 VPN이 있습니다. 고객 게이트웨이에 AWS 측의 고객 게이트웨이 구조에 정의된 퍼블릭 IP 주소가 있는지 확인하세요. 참고: 이 설정에서 AWS는 IKE 협상이나 키 재설정을 시작하지 않습니다. 대신 고객 게이트웨이가 IKE 협상 및 키 재설정을 시작합니다. 자세한 내용은 규칙 및 제한을 참조하세요.
인증서 기반 인증을 사용하는 가속화된 VPN의 경우, 고객 게이트웨이가 IKE 단편화를 지원하는지 확인하세요. 이는 AWS Global Accelerator가 패킷 단편화에 대한 지원이 제한적이어서 IKE 협상이 실패하기 때문입니다.
동적 VPN의 경우, IPsec과 Border Gateway Protocol(BGP)이 모두 UP 상태인지 확인하세요.