AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

AWS Site-to-Site VPN을 사용할 때 전송 게이트웨이에서 종료되고 VPC에 연결할 수 없는 이유는 무엇인가요?

4분 분량
0

AWS Site-to-Site VPN을 사용해 연결할 때 전송 게이트웨이에서 종료되고 Virtual Private Cloud(VPC) 리소스에 액세스할 수 없습니다.

해결 방법

  • AWS 측과 고객 게이트웨이 디바이스 모두에 AWS Site-to-Site VPN 연결 터널이 있는지 확인합니다. 연결이 끊긴 경우, IKE/1단계IKE/2단계 장애 문제 해결 단계에 따라 터널을 설정하세요.

  • 고객 게이트웨이 디바이스에 구성된 암호화 도메인이 로컬(온프레미스) 및 원격(AWS) 네트워크 CIDR을 포함할 만큼 충분히 넓은지 확인합니다. Site-to-Site VPN은 경로 기반 솔루션입니다. 이는 AWS 측의 로컬 및 원격 네트워크 CIDR 기본 값이 any/any(0.0.0.0/0 <==> 0.0.0.0/0)로 설정되어 있다는 의미입니다. 그러나 고객 게이트웨이 측에서 정책 기반 Site-to-Site VPN을 사용하는 경우, 특정 암호화 도메인을 사용해 예상 트래픽을 처리해야 합니다.

    참고: AWS에서는 인바운드 및 아웃바운드 보안 연결 모두에 보안 연결(SA) 수를 단일 쌍으로 제한합니다. 정책 기반 Site-to-Site VPN을 사용하고 있고 Site-to-Site VPN 터널을 통해 액세스하는 네트워크가 여러 개 있는 경우, 암호화 도메인을 요약해야 합니다. 암호화 도메인을 요약하지 않을 경우, 고객 게이트웨이가 SA를 여러 개 제안하고, 이로 인해 연결 장애가 발생할 수 있습니다.

  • 고객 게이트웨이가 NAT 디바이스 뒤에 있는지 확인하세요. 고객 게이트웨이가 NAT 디바이스 뒤에 있지 않은 경우, Site-to-Site VPN 엔드포인트에서 고객 게이트웨이로 ESP-IP 프로토콜 50이 들어오고 나갈 수 있는지 확인하세요. 고객 게이트웨이가 NAT 디바이스 뒤에 있는 경우 NAT-T가 켜져 있는지 확인하세요. NAT-T가 켜져 있으면, NAT 장치와 고객 게이트웨이 장치에서 UDP 포트 4500이 허용되는지 확인하세요. 이는 ESP 트래픽 흐름에 필수 사항입니다.

  • 가속화된 Site-to-Site VPN을 사용하는 경우, 고객 게이트웨이 측에 NAT-T가 켜져 있는지 확인하세요.

  • 고객 게이트웨이 디바이스의 방화벽 정책이 온프레미스 네트워크에서 AWS로 아웃바운드 트래픽을 허용하는지 확인하세요. 그 후, AWS에서 온프레미스 네트워크로 인바운드 트래픽을 허용하는지 확인하세요.

  • 정적 Site-to-Site VPN의 경우 소스 VPC 연결에 사용된 전송 게이트웨이 라우팅 테이블에 온프레미스 네트워크 CIDR의 고정 경로를 정의합니다.

  • 동적 Site-to-Site VPN의 경우, 고객 게이트웨이 디바이스가 Site-to-Site VPN 엔드포인트의 온프레미스 경로를 표시하는지 확인하세요. 그런 다음, Site-to-Site VPN 엔드포인트에서 VPC CIDR로 가는 경로를 고객 게이트웨이 디바이스가 수신하는지 확인합니다. 디바이스의 라우팅 테이블에 AWS 피어의 가상 터널 인터페이스를 가리키는 VPC CIDR의 경로가 있는지 확인합니다.



  • 소스 VPC 연결에 사용된 TGW 라우팅 테이블에서 Site-to-Site VPN Attachment를 켤 수 있습니다. 그러면 온프레미스 경로가 소스 VPC 연결에 사용된 TGW 라우팅 테이블에 자동으로 추가됩니다.

  • 정적 Site-to-Site VPN의 경우 경로 기반 VPN 구현을 사용할 수 있습니다. 이 설정에서는 고객 게이트웨이 디바이스에 가상 터널 인터페이스를 가리키는 AWS 네트워크의 고정 경로가 있는지 확인하세요. 정책 기반 VPN 구현을 사용하는 경우에는 온프레미스 네트워크와 AWS 네트워크에 맞는 정책을 마련해야 합니다.

  • 정적 Site-to-Site VPN의 경우 AWS에 있는 터널 2개가 모두 작동 중인지 확인하기 위해 active/active 설정으로 되어 있는지 확인합니다. 고객 게이트웨이 디바이스에서 비대칭 라우팅이 지원되는지 확인하세요. 비대칭 라우팅이 지원되지 않는 경우 AWS에서는 송신 터널을 임의로 선택합니다.

  • 동적 Site-to-Site VPN의 경우, 전송 게이트웨이에 VPN ECMP 지원이 활성화되었는지 확인하세요. 그런 다음 active/active 설정이 있는지 확인하여 고객 게이트웨이가 동일한 접두사와 BGP 속성을 표시하도록 합니다. active/active 설정이 되어 있고 VPN ECMP 지원도 활성화되어 있으면 AWS에서는 두 터널의 트래픽을 로드 밸런싱합니다. 그렇기 때문에, 고객 게이트웨이 디바이스에서 비대칭 라우팅을 지원 및 활성화해야 합니다. VPN ECMP 지원이 비활성화되어 있으면 AWS에서는 송신 터널을 임의로 선택하여 비대칭 라우팅이 발생합니다.

  • VPC 라우팅 테이블에서 라우팅을 확인합니다. 가상 프라이빗 게이트웨이에서 자동 전파 기능을 활성화하여 Site-to-Site VPN 경로를 VPC 라우팅 테이블에 자동으로 전파합니다. 하지만 전송 게이트웨이를 사용할 때는 전송 게이트웨이를 가리키는 온프레미스 CIDR의 고정 경로를 정의해야 합니다.

  • 전송 게이트웨이 VPC 연결에 사용된 서브넷이 있는지 확인합니다. 이 서브넷은 VPC 내 대상 리소스가 있는 가용 영역을 커버해야 합니다.

  • 대상 인스턴스나 리소스와 연결된 보안 그룹에서 트래픽이 허용되는지 확인합니다.

  • 네트워크 액세스 제어 목록(네트워크 ACL)이 인바운드 및 아웃바운드 트래픽을 허용하는지 확인합니다.

    참고: 네트워크 ACL 규칙이 적용되는 데는 여러 가지 방법이 있습니다. 이는 인스턴스와 전송 게이트웨이 VPC Attachment 탄력적 네트워크 인터페이스가 동일한 서브넷에 있는지 아니면 다른 서브넷에 있는지에 따라 달라집니다.

  • 대상 호스트의 OS 수준 방화벽이 인바운드 트래픽과 아웃바운드 트래픽을 모두 허용하는지 확인합니다.

  • 대상 서버에서 실행 중인 애플리케이션이 지정 포트 및 프로토콜에서 수신 중인지 확인합니다. 다음 명령을 실행합니다.

    Windows PowerShell 또는 명령 프롬프트:

    netstat -a

    Linux 터미널:

    netstat -plantu

관련 정보

터널 B보다 터널 A를 선호하도록 Site-to-Site VPN 연결 구성

Amazon CloudWatch를 사용한 VPN 터널 모니터링

주제
네트워킹 및 콘텐츠 전송
태그
AWS Virtual Private Network (VPN)
언어
한국어
AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음

관련 콘텐츠