고객 게이트웨이가 작동 상태인데 AWS Site-to-Site VPN 연결이 DOWN IPSEC UP 상태인 이유는 무엇입니까?

3분 분량
0

AWS Site-to-Site VPN에 대해 구성된 고객 게이트웨이는 UP 상태이나 Site-to-Site VPN 콘솔에는 연결이 끊긴 것으로 표시됩니다.

간략한 설명

Site-to-Site VPN 콘솔에는 연결 상태가 IPSEC UP으로 표시되더라도, 터널 상태는 DOWN일 수 있습니다. 이는 인터넷 프로토콜 보안(IPsec)은 설정되었으나 Border Gateway Protocol(BGP)은 설정되지 않았다는 뜻입니다. 동적 Site-to-Site VPN 연결이 AWS 측에서 UP으로 표시되려면 IPSEC와 BGP가 모두 성공적으로 설정되어야 합니다.

해결 방법

고객 게이트웨이의 BGP 지원 확인

  1. 고객 게이트웨이가 BGP를 지원하고 BGP로 구성되었는지 확인하세요.
  2. 온프레미스 측 연결에서 동적(BGP) 또는 정적(정책 기반 Site-to-Site VPN 또는 정적 라우팅 기반 Site-to-Site VPN) 라우팅을 사용하는지 확인하세요. 온프레미스 측에서 정적 라우팅을 사용하는 경우 AWS 측에서 Site-to-Site VPN을 다시 만들어야 합니다.

AWS를 사용하여 Site-to-Site VPN 연결을 생성하면 기본적으로 동적 라우팅 옵션이 선택됩니다. 정적 라우팅을 선택하지 않고 Site-to-Site VPN 연결을 생성하면 동적 Site-to-Site VPN이 생성됩니다. 기존 Site-to-Site VPN 연결에 대한 라우팅 옵션을 수정할 수 없으므로 정적 라우팅을 사용하려면 새 Site-to-Site VPN을 만들어야 합니다.

Site-to-Site VPN 연결을 삭제하고 새 연결을 만들면 새 퍼블릭 IP 주소 쌍이 터널에 할당됩니다. 이에 따라 고객 게이트웨이 디바이스를 다시 구성하고 퍼블릭 피어 IP를 업데이트해야 합니다. 그러나 새 연결을 만들 때 터널 내부 IP와 이전 Site-to-Site VPN 연결의 사전 공유 비밀 키를 사용할 수 있습니다. AWS가 자동 생성하는 세부 정보는 사용할 필요가 없습니다.

암호화 도메인 및 프록시 ID 확인

  1. AWS와 고객 게이트웨이 디바이스 양쪽에 구성된 암호화 도메인 또는 프록시 ID가 0.0.0.0/0 = 0.0.0.0/0인지 확인하세요.
  2. AWS 측에서 로컬 IPV4 네트워크 CIDR(온프레미스 CIDR) 및 원격 IPv4 네트워크 CIDR(AWS CIDR)을 확인하세요.
  3. 고객 게이트웨이에서 공급업체가 제공하는 지침에 따라 암호화 도메인 및 프록시 ID를 확인하세요.
  4. 연결에 대해 Site-to-Site VPN 로그를 활성화한 경우 Site-to-Site VPN 로그가 포함된 Amazon CloudWatch 로그 그룹을 검토하세요. 연결된 Site-to-Site VPN 엔드포인트의 로그 스트림을 선택하세요. 그런 다음, SPI를 통해 설정된 AWS 터널 2단계 SA를 선택하여** 로그 스트림을 필터링하세요. AWS 측이 기본값인 0.0.0.0/0 = 0.0.0.0/0이라고 가정하면 이제 고객 게이트웨이에서 협상한 트래픽 선택기를 볼 수 있습니다.

로그 스트림은 vpn-id-VPN_Peer_IP-IKE.log와 비슷한 형식입니다. 다음 예시를 참조하세요.

{
"event_timestamp": 1673252138,
"details": "AWS tunnel Phase 2 SA is established with
inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors:
(AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16",
"dpd_enabled": true,
"nat_t_detected": true,
"ike_phase1_state": "established",
"ike_phase2_state": "established"}

참고: 동적 Site-to-Site VPN 연결을 사용하는 경우 트래픽 선택기는 모든 트래픽을 처리할 만큼 넓어야 합니다. 이는 BGP 피어에 사용하는 APIA IP 주소를 포함합니다. 이전 예시에서는 고객 게이트웨이 디바이스의 암호화 도메인을 0.0.0.0/0(AWS) <==> **0.0.0.0/**0(온프레미스)으로 업데이트합니다.

연결의 AWS 측에 특정 암호화 도메인이 정의된 경우 Site-to-Site VPN 연결 옵션을 수정하세요. 로컬 IPv4 네트워크 CIDR과 원격 IPv4 네트워크 CIDR이 모두 0.0.0.0/0으로 설정되어 있는지 확인하세요.

NAT-T를 활성화를 통한 Site-to-Site VPN 가속화

가속이 활성화된 상태에서 전송 게이트웨이에서 종료되는 Site-to-Site VPN이 있을 수 있습니다. 이 설정과 함께 고객 게이트웨이 디바이스에서 NAT-T가 활성화되었는지 확인하세요.

**참고:**Site-to-Site VPN을 가속화하려면 NAT-T를 활성화해야 합니다. 고객 게이트웨이 디바이스에서 NAT-T가 활성화되지 않은 경우 IPsec은 설정되지만 Site-to-Site VPN 연결을 통해 트래픽이 흐르지는 않습니다. 이는 BGP 트래픽을 포함합니다. 자세한 내용은 가속화된 Site-to-Site VPN에 대한 규칙 및 제한을 참조하세요.

BGP 문제 해결

문제가 지속되면, VPN을 통한 BGP 연결 문제를 어떻게 해결하나요?의 단계를 검토하세요

AWS 공식
AWS 공식업데이트됨 8달 전