Site-to-Site VPN을 사용할 때 전송 게이트웨이에서 종료되고 Amazon VPC에 연결할 수 없는 이유는 무엇인가요?

해결 방법

전송 게이트웨이에서 종료되는 Site-to-Site VPN이 Amazon VPC 리소스에 연결되지 못하는 오류를 해결하려면 다음 작업을 수행하십시오.

Site-to-Site VPN 연결 문제 해결

Site-to-Site VPN 연결의 터널이 켜져 있는지 확인합니다. 연결이 중단된 경우 IKE(인터넷 키 교환)/1단계 및 IKE/2단계 실패 문제를 해결하십시오. 자세한 내용은 고객 게이트웨이 디바이스의 AWS VPN 터널 비활성 또는 터널 중단 문제를 해결하려면 어떻게 해야 하나요?를 참조하십시오.

전송 게이트웨이 연결 문제 해결

Amazon VPC 콘솔을 사용하여 전파를 활성화한 다음 고정 경로를 정의합니다. 연결된 서브넷이 대상 리소스가 포함된 가용 영역(AZ)을 포함하는지 확인하십시오.

전파 활성화

전송 게이트웨이 라우팅 테이블에서 Site-to-Site VPN 연결 및 소스 Amazon VPC 연결에서 전파를 활성화합니다. 경로를 전파하려면 다음 단계를 완료하십시오.

1. 탐색 창에서 **Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)**를 선택합니다.
2. 소스 Amazon VPC 연결과 관련된 라우팅 테이블을 선택합니다.
3. Actions(작업), **Create propagation(전파 생성)**을 선택합니다.
4. Create propagation(전파 생성) 페이지에서 Site-to-Site VPN 연결을 선택합니다.
5. **Create propagation(전파 생성)**을 선택합니다.
   참고: 전파가 생성되면 전송 게이트웨이는 소스 연결과 관련된 라우팅 테이블에 온프레미스 경로를 자동으로 추가합니다.
6. 탐색 창에서 **Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)**를 선택합니다.
7. Site-to-Site VPN 연결과 관련된 라우팅 테이블을 선택한 다음 소스 Amazon VPC 연결에 대해 3~5단계를 반복합니다.
8. 서브넷이 전송 게이트웨이 VPC 연결에 연결되어 있는지 확인

고정 경로 정의

Amazon VPC 라우팅 테이블에서 전송 게이트웨이를 가리키는 온프레미스 CIDR의 고정 경로를 정의합니다. VPC 라우팅 테이블의 경로를 업데이트하려면 다음 단계를 완료하십시오.

1. 탐색 창에서 **Route tables(라우팅 테이블)**를 선택하고 라우팅 테이블을 선택합니다.
2. Actions(작업), **Edit routes(경로 편집)**를 선택합니다.
3. 경로를 추가하려면 **Add route(경로 추가)**를 선택합니다. **Destination(대상)**에 대상 온프레미스 CIDR 블록, 단일 IP 주소 또는 접두사 목록의 ID를 입력합니다.
   경로를 수정하려면 **Destination(대상)**에서 대상 온프레미스 CIDR 블록 또는 단일 IP 주소를 바꾸십시오. **Target(대상)**에서 대상 게이트웨이를 선택합니다.
   경로를 삭제하려면 **Remove(제거)**를 선택합니다.
4. **Save changes(변경 사항 저장)**를 선택합니다.

연결된 서브넷 확인

Amazon VPC 콘솔을 사용하여 연결된 서브넷이 대상 리소스가 포함된 VPC의 AZ를 포함하는지 확인합니다. 서브넷이 필수 AZ를 포함하지 않는 경우 다음 단계를 완료하십시오.

1. 탐색 창에서 **Transit Gateway Attachments(전송 게이트웨이 연결)**를 선택합니다.
2. VPC 연결을 선택한 다음 **Actions(작업)**를 선택합니다.
3. **Modify transit gateway attachment(전송 게이트웨이 연결 수정)**를 선택합니다.
4. 연결에서 서브넷을 추가 또는 제거하려면 추가 또는 제거해야 하는 서브넷 옆에 있는 서브넷 ID를 선택하거나 선택 취소합니다.

VPC의 보안 그룹과 서브넷 네트워크 액세스 제어 목록(ACL)이 필요한 트래픽을 허용하는지 확인합니다. 전송 게이트웨이 연결의 서브넷 네트워크 ACL이 필요한 트래픽을 허용하는지 확인합니다.

참고: VPC가 동일한 서브넷을 사용하는지 아니면 서로 다른 서브넷을 사용하는지에 해당하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 역할을 적용합니다.

라우팅 연결 오류 문제 해결

중요: 고정 라우팅 대신 BGP(Border Gateway Protocol)라고도 하는 동적 라우팅을 사용하는 것이 좋습니다. 고객 게이트웨이 디바이스가 동적 라우팅을 지원하는 경우 BGP가 Site-to-Site VPN 연결에 구성되어 있는지 확인하십시오.

연결에서 사용하는 라우팅 유형에 따라 다음을 완료하십시오.

동적 라우팅

Amazon VPC 전송 게이트웨이 흐름 로그를 사용하여 트래픽이 올바르게 라우팅되는지 확인하십시오. 올바르게 라우팅되지 않는 경우 다음 구성을 확인하십시오.

• 고객 게이트웨이 디바이스는 액티브/액티브 설정으로 구성됩니다.
• 고객 게이트웨이 디바이스에 전파되고 Site-to-Site VPN에 구성된 접두사와 BGP 속성이 일치합니다.
• 고객 게이트웨이 디바이스에 비대칭 라우팅이 활성화됩니다.
• 고객 게이트웨이 디바이스는 Site-to-Site VPN 엔드포인트에 대한 온프레미스 경로를 전파합니다.
• 고객 게이트웨이 디바이스는 Amazon VPC CIDR과 연결된 Site-to-Site VPN 엔드포인트로부터 경로를 수신합니다.
• 고객 게이트웨이 디바이스의 라우팅 테이블에는 AWS 피어의 가상 터널 인터페이스를 가리키는 Amazon VPC CIDR과 연결된 경로가 포함되어 있습니다.
• 전송 게이트웨이에서 등가 다중 경로(ECMP) 라우팅 지원이 활성화됩니다.

고정 라우팅

고객 게이트웨이 디바이스에 가상 터널 인터페이스를 가리키는 AWS 네트워크의 고정 경로가 있는지 확인하십시오. 정책 기반 Site-to-Site VPN을 사용하는 경우 AWS와 온프레미스 네트워크의 정책이 일치하는지 확인하십시오.

호스트의 연결 오류 문제 해결

Amazon VPC를 호스팅하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 다음 단계를 완료하십시오.

1. 대상 Amazon EC2 인스턴스의 OS 수준 방화벽이 인바운드 및 아웃바운드 트래픽을 모두 허용하는지 확인합니다.
2. 대상 서버에서 실행 중인 애플리케이션이 지정 포트 및 프로토콜에서 수신 중인지 확인합니다.
   Windows PowerShell 또는 명령 프롬프트

   netstat -a

   Linux 터미널

   netstat -plantu

관련 정보

터널 B보다 터널 A를 선호하도록 Site-to-Site VPN 연결을 구성하려면 어떻게 해야 하나요?

Amazon CloudWatch를 사용하여 AWS Site-to-Site VPN 터널을 모니터링

VPN을 통한 BGP 연결 문제를 해결하려면 어떻게 해야 하나요?

AWS Site-to-Site VPN 고객 게이트웨이 디바이스