AWS Site-to-Site VPN이 연결을 설정하지 못하는 이유가 무엇인가요?

해결 방법

IKE/단계 1 실패

구성의 IKE 단계가 실패하는 경우, Site-to-Site VPN 구성이 다음 요구 사항을 충족하는지 확인하세요.

• 고객 게이트웨이 요구 사항.
• 사용 사례에 적합한 IKE 버전을 사용하세요. 참고: AWS는 IKEv1과 IKEv2를 모두 지원합니다.
• 사용 중인 IKE 버전에 적합한 초로 된 IKE 수명(단계 1)을 사용합니다. 필요한 터널 옵션을 구성하려면 Site-to-Site VPN 연결을 위한 터널 옵션을 참조하세요.
• 적합한 사전 공유 키(PSK) 또는 유효한 인증서로 구성된 고객 게이트웨이 디바이스가 있습니다.
• 고객 게이트웨이에서 Site-to-Site VPN 엔드포인트를 성공적으로 핑할 수 있습니다.

Site-to-Site VPN 연결에 대해 가속화가 켜져 있는 경우, 고객 게이트웨이 디바이스에 대한 NAT Traversal이 켜져 있는지 확인하세요.

고객 게이트웨이 디바이스가 Network Address Translation(NAT) 디바이스 뒤에 있는 경우 다음을 확인하세요.

• 포트 500 (및 NAT-traversal이 사용되는 경우에는 포트 4500)에 대한 UDP 패킷이 네트워크와 Site-to-Site VPN 엔드포인트 간에 전달될 수 있습니다.
• 중간 인터넷 서비스 제공업체(ISP)가 UDP 포트 500(또는 NAT-Traversal이 사용되는 경우 포트 4500)을 차단하지 않습니다.

참고: 고객 게이트웨이가 포트 주소 변환(PAT) 디바이스 뒤에 있지 않다면 NAT-traversal을 끄는 것이 가장 좋습니다.

IKE/단계 1이 UP 상태일 때 IPsec/단계 2 실패

Site-to-Site VPN 연결의 IKE/단계 1이 설정되고 나면, 고객 게이트웨이가 IPsec/단계 2 설정을 시도합니다. Site-to-Site VPN 상태는 단계 1과 단계 2 상태가 모두 UP일 때만 UP이라는 점에 유의하십시오. 동적 Site-to-Site VPN의 경우 BGP도 반드시 UP 상태여야 합니다. IKE/단계 1 연결이 설정되었지만 IPsec/단계 2 연결이 DOWN 상태이면 Site-to-Site VPN 상태도 DOWN 상태가 됩니다.

Site-to-Site VPN IPsec/단계 2에서 연결을 설정하지 못할 경우 다음 단계를 수행하여 문제를 해결해 보세요.

• 설정을 Site-to-Site VPN 구성 파일과 비교하여 고객 게이트웨이 디바이스에 Site-to-Site VPN 단계 2 파라미터가 올바르게 구성되었는지 확인하세요. Site-to-Site VPN 콘솔에서 이 파일을 다운로드할 수 있습니다.
• IKEv1 및 IKEv2에 대한 지원되는 단계 2 파라미터가 올바르게 구성되었는지 확인하세요. 다음 예시 IKEv1 및 IKEv2 파라미터를 참조하세요.
  IKEv1 암호화: AES-128, AES-256, AES128-GCM-16, AES256-GCM-16 IKEv1 데이터 무결성: SHA-1, SHA2-256, SHA2-384, SHA2-512 IKEv1 HD 그룹: 2, 5, 및 14-24 수명: 3600초 Diffie-Hellman Perfect Forward Secrecy: 켜져 있음 참고: 예시 IKEv1 및 IKEv2 단계 2 그리고 IKEv2 Child_SA 파라미터는 Site-to-Site VPN 연결에 대한 최소 요구 사항을 다음과 같이 지정합니다.
  AWS 단계 2 파라미터: AES128, SHA1, Diffie-Hellman 그룹 2 AWS GovCloud(미국) 단계 2 파라미터: AES128, SHA2, Diffie-Hellman 그룹 14
• **Diffie-Hellman PFS(Perfect Forward Secrecy)**가 활성화되어 있고 키 생성에 Diffie-Hellman그룹을 사용하고 있는지 확인하세요. 고객 게이트웨이 디바이스의 요구 사항을 참조하고 제공된 표에서 Diffie-Hellman Perfect Forward Secrecy 사용에 대한 정보를 검토하세요.
• AWS와 고객 게이트웨이 디바이스 간에 보안 연결이나 트래픽 선택기 불일치가 없는지 확인하세요.
• 원격 및 로컬 IP 주소를 포함하여 구성된 Site-to-Site VPN 연결 옵션이 고객 게이트웨이 디바이스에 지정된 보안 연결과 일치하는지 확인합니다. 자세한 내용은 AWS VPN 엔드포인트와 정책 기반 VPN 간의 연결 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.
• 트래픽이 AWS를 향해 인바운드로 시작되는지 확인합니다. Site-to-Site VPN은 기본적으로 응답자 모드에서 작동하며, IKE 협상, 피어 제한 시간 설정 및 기타 구성 설정에 대한 구성 변경을 허용합니다. 자세한 내용은 Site-to-Site VPN 터널 시작 옵션을 참조하세요.

문제가 계속되면 다음을 시도해 보세요.

• Site-to-Site VPN 로그를 켭니다.
• IPsec 디버그 로그를 검사하여 실패의 원인과 문제 해결 단계를 알아보세요.

관련 정보

AWS Site-to-Site VPN이란 무엇인가요?

고객 게이트웨이 디바이스 문제 해결

Site-to-Site VPN 터널 옵션 수정

정적 라우팅을 위한 고객 게이트웨이 디바이스 구성의 예

동적 라우팅(BGP)을 위한 고객 게이트웨이 디바이스 구성의 예