MikroTik 라우터를 사용하여 동적 라우팅 기반 AWS Site-to-Site VPN을 구성하려면 어떻게 해야 합니까?

5분 분량
0

BGP를 사용하여 AWS와 MikroTik 라우터 간에 AWS 관리형 Site-to-Site VPN 연결을 구성하고 싶습니다.

해결 방법

참고: AWS VPN 성능을 최적화하는 방법에 대한 자세한 내용은 AWS Site-to-Site VPN 및 성능 최적화에 적합한 옵션 선택을 참조하세요.

사전 요구 사항

시작하기 전에 다음 사항을 확인하세요.

  • 가상 프라이빗 게이트웨이와 연결되거나 전송 게이트웨이에 연결된 Virtual Private Cloud(VPC) CIDR을 구성했습니다.
  • VPC CIDR은 온프레미스 네트워크 CIDR과 겹치지 않습니다.

BGP 라우팅을 사용하여 MikroTik 라우터로 AWS Site-to-Site VPN 생성

  1. AWS Site-to-Site VPN 시작의 1 ~ 5단계에 따라 VPN 연결의 AWS 측을 구성하세요. 참고:
    • 고객 게이트웨이 디바이스의 Autonomous System Number(ASN)를 확인하세요. 기본값을 선택하면 AWS에서 고객 게이트웨이에 대한 ASN을 65000으로 제공합니다.
    • 5단계에서 라우팅 옵션을 동적으로 선택합니다.
  2. Amazon VPC 콘솔을 엽니다. Site-to-VPN 연결로 이동합니다.
  3. VPN 연결을 선택하고 라우터의 샘플 구성 파일을 다운로드합니다. 
    참고: 이 샘플 파일을 사용하여 라우터에서 AWS Site-to-Site VPN을 구성합니다.
  4. Winbox를 사용하여 MikroTik 라우터의 사용자 인터페이스에 로그인합니다.
  5. MikroTik 라우터에서 IPSEC 제안을 다음과 같이 구성합니다.
    IPSEC 제안은 암호화, 인증, Diffie-Hellman 그룹 및 수명에 대한 IPSEC 파라미터를 정의합니다.
    IP 탭 > IPsec > 제안으로 이동합니다.
    + 버튼을 선택합니다. 그런 후, 다음을 입력합니다.
    이름: ipsec-vpn-xxxxxxxxx-0
    인증. 알고리즘: sha1
    Encr. 알고리즘: aes-128-cbc
    수명: 01:00:00
    PFS 그룹: modp1024
    적용확인을 선택합니다.
    **참고: ** <vpn-xxxxxxxxx-0> Ipsec VPN 주소 또는 VPN 이름으로 바꾸세요.
  6. 다음과 같은 방식으로 MikroTik 라우터에서 IPSEC 정책을 생성합니다. IPSEC 정책은 로컬 서브넷에서 VPC 서브넷으로의 트래픽을 허용합니다. 또한 IPSEC 정책은 고객 게이트웨이(MikroTik 라우터)의 내부 터널 IP와 AWS VPN 터널 엔드포인트의 내부 터널 IP에서 들어오는 트래픽을 허용합니다. MikroTik 라우터의 IPSEC 정책에 있는 트래픽 선택기는 임의(0.0.0.0/0)에서 임의(0.0.0.0/0)로 구성할 수 있습니다.
    IP 탭 > IPsec > 정책으로 이동합니다.
    + 버튼을 선택합니다. 그런 후, 다음을 입력합니다.
    주소: 0.0.0.0/0
    대상 주소: 0.0.0.0/0
    작업 탭 을 선택합니다. 터널을 선택합니다. 그런 후, 다음과 같이 입력합니다.
    SA 소스 주소: WAN/외부 인터페이스
    SA 대상 주소: VGW 아웃사이드 IP
    제안: ipsec-vpn-xxxxxxxxx-0
    적용확인을 선택합니다.
    참고: <vpn-xxxxxxxxx-0> Ipsec VPN 주소 또는 VPN 이름으로 바꾸세요.
  7. MikroTik 라우터에서 IKE(인터넷 키 교환) 프로파일을 생성합니다. IKE 프로파일은 암호화, 인증, Diffie-Hellman 그룹, 인증 키 및 수명에 대한 IKE SA 또는 1단계 SA 파라미터를 정의합니다.
    IP 탭 > IPsec >프로파일로 이동합니다.
    + 버튼을 선택합니다. 다음과 같이 세부 정보를 입력합니다.
    프로파일 이름: profile-vpn-xxxxxxxxx-0
    해시 알고리즘: sha1
    암호화 알고리즘: aes-128
    DH 그룹: modp1024
    수명: 08:00:0
    DPD 간격: 10
    DPD 최대 장애: 3
    적용확인을 선택합니다.
    참고: 프로파일의 <profile-vpn-xxxxxxxxx-0> VPN 주소 또는 프로파일 이름으로 바꾸세요.
  8. IKE 프로파일을 AWS VPN 엔드포인트(피어)와 연결합니다.
    IP 탭 > IPsec > 피어로 이동합니다. 그런 후, 다음과 같이 세부 정보를 입력합니다.
    **주소: ** <AWS tunnel IP>
    현지 주소:<MikroTik IP on the external interface>
    프로파일: profile-vpn-xxxxxxxxx-0
    교환 모드: 메인
    적용확인을 선택합니다.
    참고: 프로파일의 <AWS tunnel IP> AWS 터널 IP 주소 및 <외부 인터페이스의 경우 MikroTik IP) 연결된 MikroTik IP 주소로 바꾸세요. 프로파일의 <profile-vpn-xxxxxxxxx-0> VPN 주소 또는 프로파일 이름으로 바꾸세요.
  9. 사전 공유 키를 추가하여 피어를 인증합니다. 사전 공유 키는 AWS console에서 다운로드한 샘플 구성 파일에서 가져옵니다.
    IP 탭 >IPsec > ID로 이동합니다. 그런 후, 다음과 같이 세부 정보를 입력합니다.
    인증 방법: 사전 공유 키
    비밀: AAAAAAAAAAAAAAAAAA
    적용확인을 선택합니다.
  10. 다음과 같은 방식으로 MikroTik 라우터에서 논리적 터널 인터페이스를 구성합니다. 온프레미스 프라이빗 네트워크의 모든 트래픽은 논리적 터널 인터페이스로 라우팅됩니다. 그러면 트래픽이 암호화되어 VPC로 전송되며 그 반대의 경우도 마찬가지입니다.
    IP 탭 > 주소로 이동합니다.
    + 버튼을 선택합니다. 그런 후, 다음과 같이 세부 정보를 입력합니다.
    주소: 169.254.X.X.30
    인터페이스: WAN/외부 인터페이스
    적용확인을 선택합니다.
  11. 다음과 같이 MikroTik 라우터의 BGP 피어가 AWS VPN 터널 엔드포인트(가상 프라이빗 게이트웨이 또는 전송 게이트웨이)와 라우팅 접두사를 교환하도록 구성합니다.
    라우팅> BGP> 피어로 이동합니다.
    + 버튼을 선택하고 일반 탭을 선택합니다. 그런 후, 다음과 같이 세부 정보를 입력합니다.
    이름: BGP-vpn-xxxxxxxxx-0
    **원격 주소:**169.254.X.X
    원격 AS: 64512
    대기 시간: 30
    **Keepalive 시간:**10
    적용확인을 선택합니다.
    참고: 프로파일의 <BGP-vpn-xxxxxxxxx-0> BGP VPN 주소로 바꾸세요.
  12. 로컬 온프레미스 접두사를 알립니다. 고객 게이트웨이(MikroTik 라우터)는 로컬 접두사를 AWS에 알립니다. 서브넷/마스크가 10.0.0.0/16인 로컬 접두사의 예는 다음과 같습니다.
    라우팅 탭 > BGP>네트워크로 이동합니다.
    + 버튼을 선택합니다. 그런 후, 다음과 같이 입력합니다.
    네트워크: 10.0.0.0/16
    적용확인을 선택합니다.
  13. NAT 예외를 설정하세요.
    로컬 서브넷에서 VPC로의 트래픽을 허용하는 규칙을 생성합니다.
    참고: 고객 게이트웨이에서 Network Address Translation(NAT)을 수행하는 경우 로컬 서브넷에서 VPC 서브넷으로 또는 그 반대로 트래픽을 허용하려면 NAT 예외 규칙이 필요할 수 있습니다. 이 예제 규칙은 로컬 서브넷에서 VPC 서브넷으로의 트래픽을 허용합니다.
    IP 탭 > 방화벽 > NAT로 이동합니다.
    + 버튼을 선택하고 일반 탭을 선택합니다. 그런 후, 다음과 같이 입력합니다.
    체인: srcnat
    소스 주소: local subnet/mask
    대상 주소: Amazon Virtual Private Cloud(Amazon VPC) 서브넷/마스크
    작업 탭을 선택합니다. 그런 후, 다음과 같이 입력합니다.
    작업 = 수락
    적용확인을 선택합니다.
  14. 고객 게이트웨이(MikroTik tunnel IP)와 연결된 내부 IP에서 AWS 터널과 연결된 내부 I (즉, 가상 프라이빗 게이트웨이 또는 전송 게이트웨이)로의 트래픽을 허용하는 방화벽 규칙을 생성합니다.
    + 버튼을 선택하고 일반 탭을 선택합니다. 그런 후, 다음과 같이 입력합니다.
    체인: srcnat
    소스 주소: 169.254.X.X
    대상 주소: 169.254.X.X
    작업 탭을 선택합니다.
    작업 = 수락
    적용확인을 선택합니다.
    참고: 고객 게이트웨이에는 NAT 예외 규칙과 충돌할 수 있는 여러 방화벽 규칙이 있을 수 있습니다. 정책 충돌을 방지하려면 NAT 예외 규칙을 설정한 순서대로 평가되도록 배치하세요.
AWS 공식
AWS 공식업데이트됨 9달 전