고객 게이트웨이 디바이스의 Site-to-Site VPN 터널 비활성, 터널 플래핑 또는 터널 중단 문제를 해결하려면 어떻게 해야 합니까?

해결 방법

다음과 같은 이유로 Site-to-Site VPN에서 터널 비활성, 불안정, 플래핑 또는 터널 중단이 발생할 수 있습니다.

• IKE(인터넷 키 교환)/1단계 또는 IPsec(인터넷 프로토콜 보안)/2단계 장애가 있습니다.
• IPsec DPD(데드 피어 탐지) 모니터링에 문제가 발생합니다.
• Site-to-Site VPN 터널의 트래픽 부족 또는 공급업체별 고객 게이트웨이 구성 문제로 인해 유휴 시간 초과가 발생합니다.
• Site-to-Site VPN 터널의 1단계 또는 2단계의 키 교체 문제가 있습니다.
• 고객 게이트웨이 디바이스의 정책 기반 Site-to-Site VPN 연결로 인해 간헐적인 연결 문제가 발생합니다.
• 정적 라우팅으로 인해 간헐적인 연결 문제가 발생합니다.
• 고객 게이트웨이 디바이스를 잘못 구성했습니다.

터널 활동 로그를 사용하여 Site-to-Site VPN 터널을 모니터링하고 터널 중단 및 기타 터널 문제에 대한 정보를 수집하십시오.

터널 중단을 유발하는 IKE/1단계 또는 IPsec/2단계 장애 문제 해결

Site-to-Site VPN 연결의 터널이 가동 상태인지 확인합니다. 연결이 중단 상태인 경우 IKE/1단계 및 IPsec/2단계 장애 문제를 해결하십시오.

DPD 모니터링 관련 문제 해결

DPD 시간 초과가 발생하면 로그에 다음과 같은 메시지가 표시됩니다. "Peer is not responsive - Declaring peer dead." 기본적으로 Site-to-Site VPN은 10초마다 고객 게이트웨이에 ‘DPD R_U_THERE’ 메시지를 보냅니다. 응답 없이 메시지가 세 번 연속되면 Site-to-Site VPN은 피어 데드로 간주합니다. 그러면 Site-to-Site VPN이 연결을 종료합니다.

고객 게이트웨이 디바이스에서 DPD가 활성 상태인 경우 다음 구성을 확인하십시오.

• 고객 게이트웨이 디바이스가 DPD 메시지를 수신하고 응답하도록 구성했는지 확인합니다.
• 고객 게이트웨이 디바이스에서 AWS 피어의 DPD 메시지에 응답할 수 있는지 확인합니다.
• 방화벽에서 침입 방지 시스템 기능이 활성 상태인 경우 고객 게이트웨이 디바이스가 속도 제한 없이 DPD 메시지를 허용하는지 확인합니다.
• 고객 게이트웨이 디바이스의 인터넷 연결이 안정적이고 신뢰할 수 있는지 확인합니다.

DPD 시간 초과가 발생할 때 Site-to-Site VPN이 아무런 조치도 취해서는 안 되는 경우 DPD 시간 초과 작업을 없음으로 변경합니다.

유휴 시간 초과 문제 해결

로컬 네트워크와 가상 프라이빗 클라우드(VPC) 간에 양방향 트래픽이 일정한지 확인합니다. 트래픽을 확인하려면 5초마다 VPC의 인스턴스에 인터넷 제어 메시지 프로토콜 요청을 보내는 호스트를 만드십시오.

디바이스 공급업체의 정보를 사용하여 VPN 디바이스의 유휴 제한 시간 설정을 검토합니다. 공급업체별 VPN 유휴 시간 동안 트래픽이 Site-to-Site VPN 터널을 통과하지 못하면 IPsec 세션이 종료됩니다.

1단계 또는 2단계의 키 교체 문제 해결

고객 게이트웨이의 1단계 또는 2단계 수명 필드를 검토하십시오. 이러한 필드가 AWS 파라미터와 일치하는지 확인하십시오. 필요한 Site-to-Site VPN 터널 옵션만 선택하는 것이 모범 사례입니다.

고객 게이트웨이 디바이스에서 PFS(완전 순방향 비밀성)를 활성화해야 합니다. AWS는 기본적으로 AWS 쪽에서 PFS를 활성화합니다.

참고: IKEv2 수명 값 필드는 피어와 독립적입니다. 수명 값을 낮게 설정하면 피어가 키 교체를 시작합니다. 키 교체를 시작하도록 하나의 피어를 구성하는 것이 모범 사례입니다.

정책 기반 VPN의 연결 문제 해결

고객 게이트웨이 디바이스가 Site-to-Site VPN 연결의 IPv4 및 IPv6 CIDR 범위를 지원하는지 확인하십시오. 기본 범위는 0.0.0.0/0입니다.

고객 게이트웨이 쪽의 Site-to-Site VPN이 정책 기반인 경우 의도한 트래픽을 처리하는 암호화 도메인을 지정합니다.

참고: Site-to-Site VPN은 하나의 암호화 도메인만 지원합니다. VPN에 여러 네트워크가 포함된 경우 고객 게이트웨이 디바이스의 암호화 도메인을 요약하여 한 쌍의 보안 연결만 유지하십시오.

정적 라우팅의 연결 문제 해결

참고: 정적 라우팅 대신 동적 라우팅을 사용하는 것이 모범 사례입니다. 자세한 내용은 Site-to-Site VPN의 정적 및 동적 라우팅을 참조하십시오.

정적 라우팅을 사용하고 액티브/액티브 설정으로 구성하는 Site-to-Site VPN 터널에서는 연결 문제가 발생할 수 있습니다. 고객 게이트웨이 디바이스가 동적 라우팅을 지원하는지 확인하십시오. 고객 게이트웨이 디바이스가 동적 라우팅을 지원하지 않는 경우 비대칭 라우팅을 방지하도록 정적 VPN을 구성하십시오.

고객 게이트웨이 구성으로 인한 연결 문제

다음 단계를 완료하십시오.

1. 고객 게이트웨이가 NAT 디바이스 뒤에 있는지 확인합니다. 또는 Site-to-Site VPN 연결에 대해 가속화가 활성화되어 있는지 확인합니다.
2. 고객 게이트웨이 디바이스에서 NAT-T가 활성화되었는지 확인합니다. 또한 UDP 패킷이 포트 4500의 네트워크와 VPN 엔드포인트 간에 통과할 수 있는지 확인합니다.
3. 고객 게이트웨이가 NAT 디바이스 뒤에 있지 않은 경우 포트 50에서 UDP 패킷이 네트워크와 VPN 엔드포인트 간에 통과하도록 허용하는지 확인합니다.
4. 고객 게이트웨이 디바이스의 방화벽 규칙이 온프레미스 네트워크와 AWS 간의 트래픽을 허용하는지 확인합니다.
5. 특정 고객 게이트웨이 디바이스와 관련된 연결 문제를 해결합니다.

관련 정보

고객 게이트웨이와 가상 프라이빗 게이트웨이 사이의 VPN 터널이 가동 상태이지만 이 터널을 통해 트래픽을 통과할 수 없습니다. 어떻게 해야 합니까?

터널 B보다 터널 A를 선호하도록 Site-to-Site VPN 연결을 구성하려면 어떻게 해야 합니까?