고객 게이트웨이 디바이스의 AWS 가상 프라이빗 네트워크(VPN) 터널에서 비활성, 불안정 또는 간헐적인 연결 문제가 발생했습니다.
해결 방법
고객 게이트웨이 디바이스에서 AWS VPN 터널이 비활성화되거나 불안정해지는 일반적인 이유는 다음과 같습니다.
DPD 설정 확인
VPN 피어가 3개의 연속된 DPD에 응답하지 않으면 피어가 고장난 것으로 간주되어 터널이 닫힙니다.
고객 게이트웨이 디바이스에 DPD가 켜져 있는 경우, 다음 사항에 해당하는지 확인하세요.
- DPD 메시지를 수신하고 이에 응답하도록 구성됨
- AWS 피어의 DPD 메시지에 응답할 수 없을 정도로 바쁘지는 않음
- 방화벽에서 IPS 기능이 켜져 있기 때문에 DPD 메시지 속도가 제한되는 것은 아님
- 인터넷 전송 문제 없음
유휴 제한 시간 문제 해결
VPN 터널에서 트래픽 부족으로 유휴 제한 시간이 발생하는 경우 다음을 확인하세요.
- 로컬 네트워크와 Virtual Private Cloud(VPC) 간에 양방향 트래픽이 일정하게 유지되는지 확인합니다. 필요한 경우 5초마다 Virtual Private Cloud(VPC)의 인스턴스로 ICMP 요청을 보내는 호스트를 생성하세요.
- 디바이스 공급 업체의 정보를 사용하여 VPN 디바이스의 유휴 제한 시간 설정을 검토하세요. 공급 업체별 VPN 유휴 시간 동안 VPN 터널을 통과하는 트래픽이 없으면 IPsec 세션이 종료됩니다. 특정 디바이스에 대한 공급 업체 설명서를 확인하세요.
1단계 또는 2단계의 키 재조정 문제 해결
VPN 터널의 1단계 또는 2단계 불일치로 인해 키 재조정 문제가 발생하는 경우 다음을 확인하세요.
- 고객 게이트웨이의 1단계 또는 2단계 수명 필드를 검토하세요. 이러한 필드가 AWS 파라미터와 일치하는지 확인하세요. VPN 연결을 위한 고객 게이트웨이에 필요하지 않은 VPN 터널 옵션의 파라미터는 선택 취소하는 것이 가장 좋습니다.
- 고객 게이트웨이 디바이스에서 완벽한 순방향 보안(PFS)이 활성화되었는지 확인하세요. PFS는 기본적으로 AWS 측 피어에서 활성화됩니다.
- 고객 게이트웨이의 UDP 포트 500 [IKE], 4500 [NAT-T], and IP 50 [ESP]로 향하는 인바운드 트래픽이 AWS 엔드포인트에 대한 키 재조정을 허용하는지 확인하세요.
참고: IKEv2 평생 가치 필드는 피어와 독립적입니다. 따라서 평생 가치를 낮게 설정하면, 피어가 항상 키 재조정을 시작합니다.
자세한 내용을 보려면 Site-to-Site VPN 연결을 위한 터널 옵션 및 고객 게이트웨이 디바이스를 참조하세요.
간헐적인 연결 문제 해결
고객 게이트웨이 디바이스에 대한 정책 기반 구성으로 인해 간헐적인 연결 문제가 발생할 수 있습니다. 여러 암호화 도메인 또는 프록시 ID를 사용하여 간헐적인 연결 문제가 발생할 수도 있습니다.
- VPC에 액세스할 수 있는 암호화 도메인(네트워크) 수를 제한하세요. VPN의 고객 게이트웨이 뒤에 둘 이상의 암호화 도메인이 있는 경우 단일 보안 연결을 사용하도록 구성하세요. 고객 게이트웨이에 여러 보안 연결이 있는지 확인하려면 고객 게이트웨이 디바이스 문제 해결을 참조하세요.
- VPC Classless Inter-Domain Routing(CIDR)을 목적지로 하는 고객 게이트웨이(0.0.0.0/0) 뒤의 모든 네트워크가 VPN 터널을 통과할 수 있도록 고객 게이트웨이 디바이스를 구성하세요. 이 구성은 단일 보안 연결을 사용하므로 터널 안정성이 향상됩니다. 또한 이 구성을 통해 정책에 정의되지 않은 네트워크가 VPC에 액세스할 수 있습니다.
자세한 내용을 보려면 AWS VPN 엔드포인트와 정책 기반 VPN 간의 연결 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.
관련 정보
고객 게이트웨이와 가상 프라이빗 게이트웨이 사이의 VPN 터널이 가동 중이지만 이 터널을 통해 트래픽을 통과할 수 없습니다. 어떻게 하면 될까요?