AWS Site-to-Site VPN을 사용하여 온프레미스 네트워크에 연결할 수 없는 이유가 무엇인가요?

3분 분량

온프레미스 네트워크와 AWS 간에 AWS Site-to-Site VPN 연결이 있지만, 온프레미스 리소스에 연결할 수 없습니다.

해결 방법

Site-to-Site VPN 연결 상태 확인

Site-to-Site VPN 연결이 사용 가능한 상태이고 터널이 작동 중인지 확인하세요.

1. AWS Management Console에 로그인합니다.

2. **가상 프라이빗 네트워크(VPN)**에서 Site-to-Site VPN 연결을 선택합니다.

3. 연결이 DOWN인 경우, 1단계 실패 및 2단계 실패에 대한 문제 해결 단계에 따라 가동 중지 오류를 해결하세요.

참고: Border Gateway Protocol(BGP) 기반 Site-to-Site VPN은 BGP도 작동하는 경우에만 작동한다는 점에 유의하세요. BGP가 가동 중지되면 Site-to-Site VPN 상태가 가동 중지로 됩니다.

정책 기반 Site-to-Site VPN에 두 개 이상의 보안 연결이 있는지 확인

고객 게이트웨이가 정책 기반 Site-to-Site VPN 연결을 사용하여 사이트 간 VPN 엔드포인트에 연결하는지 확인하세요. AWS는 한 쌍의 보안 연결만 허용합니다. 한 쌍에는 하나의 인바운드 및 하나의 아웃바운드 보안 연결이 포함됩니다. 정책 기반 Site-to-Site VPN이 이 제한을 초과하는 경우, 다른 보안 연결과의 새로운 연결이 시작될 때 기존 연결이 끊어집니다. 사실상 새로운 Site-to-Site VPN 연결은 기존 연결을 중단시킵니다.

정책 기반 Site-to-Site VPN을 사용하는 경우, 내부 네트워크의 소스 주소를 0.0.0.0/0으로 설정하는 것이 가장 좋습니다. 자세한 내용은 AWS VPN 엔드포인트와 정책 기반 VPN 간의 연결 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.

암호화 도메인 또는 트래픽 선택기의 적용 범위 확인

사용 중인 암호화 도메인 또는 트래픽 선택기가 소스 네트워크와 대상 네트워크를 모두 포함하는지 확인하세요. 소스 네트워크와 대상 네트워크를 모두 포함하지 않는 경우 트래픽이 삭제됩니다.

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 라우팅 테이블을 가상 프라이빗 게이트웨이 또는 전송 게이트웨이에 지정

EC2 인스턴스와 연결된 라우팅 테이블에는 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 가리키는 경로가 있어야 합니다. 가상 프라이빗 게이트웨이를 사용하는 경우 전파 켜기를 할 수 있습니다.

전송 게이트웨이에 연결된 정적 Site-to-Site VPN을 사용하고 있을 수 있습니다. 전송 게이트웨이 테이블의 Transit Gateway Site-to-Site VPN Attachment에 정적 경로를 추가했는지 확인하세요. 동적 Site-to-Site VPN의 경우 전파 켜기를 했는지 확인하세요. 첨부 파일이 전송 게이트웨이 라우팅 테이블에 전파되면 이러한 경로가 라우팅 테이블에 설치됩니다.

보안 그룹 및 네트워크 ACL 설정 확인

인스턴스의 보안 그룹과 네트워크 ACL이 액세스하려는 포트에서 들어오는 트래픽을 허용하는지 확인하세요. 이를 확인하려면 Amazon Virtual Private Cloud(VPC) 콘솔에 로그인하세요. 탐색 창에서 Security Groups(보안 그룹) 또는 Network ACLs(네트워크 ACL)을 선택한 다음 설정을 검토합니다.

Active/Active(활성/활성) 구성을 사용하고 있는지 확인

Active/Active(활성/활성) 구성을 사용하고 있을 수 있습니다. 즉, 두 터널이 모두 가동 중이고, Site-to-Site VPN이 가상 프라이빗 게이트웨이 또는 전송 게이트웨이에서 ECMP가 꺼진 상태에서 종료됩니다. 이 사용 사례에서 AWS가 AWS에서 온프레미스 네트워크로 트래픽을 전송하기 위해 하나의 활성 터널을 선호하는 Site-to-Site VPN 터널로 할당합니다. Active/Active(활성/활성) 구성을 사용하는 경우, 고객 게이트웨이의 가상 터널 인터페이스에서 비대칭 라우팅을 활성화해야 합니다. 자세한 내용은 터널 B보다 터널 A를 선호하도록 Site-to-Site VPN 연결을 구성하려면 어떻게 해야 하나요?를 참조하세요.

추가 문제 해결

사용 중인 Site-to-Site VPN 유형에 따라 다음 문제 해결 검사를 완료하세요.

BGP 기반 Site-to-Site VPN의 경우 올바른 온프레미스 접두사를 알려야 합니다.
정적 Site-to-Site VPN의 경우, Site-to-Site VPN에 대한 올바른 정적 경로를 구성했는지 확인하세요. Site-to-Site VPN 콘솔에 로그인한 다음 static routes(정적 경로)에서 Site-to-Site VPN의 대상 네트워크를 확인합니다.
정적 Site-to-Site VPN의 경우, 고객 게이트웨이 디바이스에서 대상 Amazon VPC CIDR을 가리키는 정적 경로를 구성했는지 확인하세요.
가속화된 Site-to-Site VPN의 경우, NAT-T가 켜져 있고 트래픽이 UDP 4500을 사용하는지 확인하세요. 이는 트래픽이 흐르도록 하기 위한 필수 사항입니다. NAT-T가 켜져 있지 않으면 터널은 가동 상태가 되지만 트래픽은 통과하지 못합니다.

참고: 가속화된 Site-to-Site VPN 연결 사용 규칙을 숙지하세요.