AWS Site-to-Site VPN의 IPsec/단계 2에서 연결을 설정하지 못하는 이유는 무엇인가요?

해결 방법

Site-to-Site VPN 인터넷 프로토콜 보안(IPsec/단계 2)이 연결을 설정하지 못하는 경우 다음 단계를 시도하여 문제를 해결하세요.

• 고객 게이트웨이 장치에서 Site-to-Site VPN 단계 2 파라미터가 올바르게 구성되었는지 확인합니다. 이렇게 하려면 Site-to-Site VPN 콘솔에서 다운로드한 VPN 구성 파일과 설정을 비교합니다.
• 지원되는 단계 2 파라미터가 IKEv1 및 IKEv2에 대해 올바르게 구성되었는지 확인합니다.
  IKEv1 및 IKEv2 파라미터의 예:
  IKEv1 암호화: AES-128, AES-256, AES128-GCM-16, AES256-GCM-16
  IKEv1 데이터 무결성: SHA-1, SHA2-256, SHA2-384, SHA2-512
  IKEv1 DH 그룹: 2, 5 및 14-24
  수명: 3600초
  Diffie-Hellman PFS(Perfect Forward Secrecy): 활성화됨
  참고: 예제 IKEv1 및 IKEv2 단계 2 및 IKEv2 Child_SA 파라미터는 사이트 간 VPN 연결에 대한 최소 요구 사항을 다음과 같이 지정합니다.
  AWS 단계 2 파라미터: AES128, SHA1, Diffie-Hellman 그룹 2
  AWS GovCloud(미국) 단계 2 파라미터: AES128, SHA2, Diffie-Hellman 그룹 14
• **Diffie-Hellman PFS(Perfect Forward Secrecy)**가 활성화되어 있고 키 생성에 Diffie-Hellman 그룹을 사용하고 있는지 확인합니다. 자세한 내용은 Diffie-Hellman PFS(Perfect Forward Secrecy) 사용 섹션을 참조하세요.
• AWS와 고객 게이트웨이 장치 간에 보안 연결 또는 트래픽 선택기 불일치가 없는지 확인합니다.
• 원격 및 로컬 IP 주소를 포함하여 구성된 사이트 간 VPN 연결 옵션이 고객 게이트웨이 장치에 지정된 보안 연결과 일치하는지 확인합니다. 자세한 내용은 AWS VPN 엔드포인트와 정책 기반 VPN 간의 연결 문제를 해결하려면 어떻게 하나요?를 참조하세요.
• 트래픽이 AWS를 향해 인바운드로 시작되는지 확인합니다. Site-to-Site VPN은 기본적으로 응답자 모드에서 작동하므로 IKE 협상, 피어 시간 초과 설정 및 기타 구성 설정에 대한 구성 변경이 가능합니다. 자세한 내용은 Site-to-Site VPN 터널 시작 옵션을 참조하세요.

문제가 계속되면 다음을 시도해 보세요.

• Site-to-Site VPN 로그를 켭니다.
• IPsec 디버그 로그를 검토하여 실패 원인 및 문제 해결 단계를 알아봅니다.

---

관련 정보

동적 라우팅(BGP)을 위한 고객 게이트웨이 장치 구성 예제

정적 라우팅을 위한 고객 게이트웨이 장치 구성 예제

Site-to-Site VPN 터널 옵션 수정

AWS Site-to-Site VPN이란 무엇인가요?