Amazon VPC에 대한 VPN 터널 연결 문제를 해결하려면 어떻게 해야 하나요?

4분 분량
0

Amazon Virtual Private Cloud(VPC) 내에서 AWS 인프라에 대한 AWS Site-to-Site VPN 연결을 설정하고 유지 관리하는 데 문제가 있습니다.

간략한 설명

Amazon VPC 네트워크 모델은 AWS 인프라에 대한 개방형 표준, 암호화된 IPsec 가상 프라이빗 네트워크(VPN) 연결을 지원합니다. Amazon VPC에 대한 VPN 터널 연결 설정에는 다음이 포함됩니다.

  • VPN 터널 IKE(인터넷 키 교환) 구성
  • VPN 터널 인터넷 프로토콜 보안(IPsec) 구성
  • 네트워크 액세스 제어 목록(NACL) 구성
  • Amazon VPC 보안 그룹 규칙 구성
  • Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 네트워크 라우팅 테이블 구성
  • Amazon EC2 인스턴스 방화벽 구성
  • VPN 게이트웨이 구성(가상 프라이빗 게이트웨이(VGW) 또는 Transit Gateway 포함)

Amazon VPC에서 Site-to-Site VPN 연결을 설정하거나 유지 관리하는 데 문제가 있는 경우, 다음 방법을 시도하여 문제를 해결하세요.

해결 방법

Site-to-Site VPN 터널을 설정할 수 없는 경우

Site-to-Site VPN 터널을 설정할 때 실패를 해결하려면, 실패가 발생한 단계를 확인해야 합니다.

Site-to-Site VPN 터널이 설정된 경우

두 VPN 터널이 모두 설정된 경우 다음 단계를 따르세요.

  1. Amazon EC2 콘솔을 연 다음, Amazon VPC의 네트워크 액세스 제어 목록(NACL)을 확인합니다. 사용자 지정 NACL은 연결된 VPN이 네트워크 연결을 설정하는 기능에 영향을 줄 수 있습니다. 자세한 내용을 알아보려면, 네트워크 ACL로 작업을 참조합니다.
  2. 보안 그룹 규칙 업데이트의 단계에 따라 인바운드 SSH, RDPICMP 액세스를 활성화합니다.
  3. Amazon EC2 인스턴스에 지정된 라우팅 테이블이 올바른지 확인합니다. 자세한 내용은, 라우팅 테이블을 통해 작업을 참조하세요.
  4. 두 터널이 모두 가동 중인 활성/활성 구성을 사용하는 경우: 활성/활성을 사용하는 동안 AWS는 활성 터널 중 하나를 AWS에서 온프레미스 네트워크로 트래픽을 전송하기 위한 기본 VPN 터널로 자동으로 할당합니다. 활성/활성 구성을 사용하면 고객 게이트웨이는 가상 터널 인터페이스에서 비대칭 라우팅이 활성화되어 있어야 합니다. 자세한 내용은 터널 B보다 터널 A를 선호하도록 Site-to-Site VPN 연결을 구성하려면 어떻게 하나요?를 참조하세요.
  5. VPC 내부의 Amazon EC2 인스턴스에 대한 트래픽을 차단하는 방화벽이 없는지 확인합니다.
  • Amazon EC2 Windows 인스턴스의 경우: 명령 프롬프트를 연 다음, WF.msc 명령을 실행합니다.
  • Amazon EC2 Linux 인스턴스의 경우: 터미널을 연 다음 적절한 인수를 사용하여 iptables 명령을 실행합니다. iptables 명령에 대한 자세한 내용을 보려면, 터미널에서 man iptables 명령을 실행합니다.
  • 고객 게이트웨이 장치가 정책 기반 VPN을 구현하는 경우: AWS는 보안 연결 수를 단일 쌍으로 제한합니다. 단일 쌍에는 하나의 인바운드 및 하나의 아웃바운드 보안 연결이 포함됩니다. 정책 기반 VPN을 사용하는 경우, 내부 네트워크의 소스 주소를 0.0.0.0/0으로 설정하는 것이 가장 좋습니다. 그런 다음, 대상 주소를 VPC 서브넷으로 설정합니다(예: 192.168.0.0/16). 이러한 설정은 추가 보안 연결을 생성하지 않고 트래픽을 VPC로 전달하고 VPN을 통과합니다. 자세한 내용은 AWS VPN 엔드포인트와 정책 기반 VPN 간의 연결 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.

인스턴스 연결 및 VPC 구성이 가능한 근본 원인으로 배제된 경우

Linux의 터미널 세션에서 traceroute 유틸리티를 실행합니다. 또는 Windows의 명령 프롬프트에서 tracert 유틸리티를 실행합니다. traceroutetracert는 모두 내부 네트워크에서 VPN이 연결된 VPC의 Amazon EC2 인스턴스로 실행해야 합니다.

  • traceroute 출력이 내부 네트워크와 연결된 IP 주소에서 멈추는 경우, VPN 엣지 장치에 대한 라우팅 경로가 올바른지 확인합니다.
  • tracert 출력이 내부 네트워크와 연결된 IP 주소에서 멈추는 경우, VPN 엣지 장치에 대한 라우팅 경로가 올바른지 확인합니다.
  • 내부 네트워크의 트래픽이 고객 게이트웨이 장치에 도달하지만 EC2 인스턴스에 도달하지 못하는 것을 확인합니다. VPN 고객 게이트웨이의 VPN 구성, 정책 및 NAT 설정이 올바른지 확인합니다. 그런 다음, 업스트림 장치가 트래픽 흐름을 허용하는지 확인합니다(있는 경우).

Border Gateway Protocol(BGP) 관련 문제 해결

**Border Gateway Protocol(BGP)**이 다운된 경우, **BGP Autonomous System Number(ASN)**를 정의했는지 확인합니다. ASN은 고객 게이트웨이를 만들 때 사용한 번호입니다. 고객 게이트웨이와 연결된 ASN은 다운로드 가능한 VPN 구성 속성에 포함되어 있습니다. 자세한 내용은 가상 프라이빗 게이트웨이를 참조하세요.

네트워크에 이미 할당된 기존 ASN을 사용할 수 있습니다. ASN이 할당되지 않은 경우, 64512~65534 범위의 프라이빗 ASN을 사용할 수 있습니다. 구성된 ASN은 AWS에서 VPN을 생성할 때 제공한 것과 일치해야 합니다. 고객 게이트웨이의 로컬 방화벽 구성이 BGP 트래픽이 AWS로 통과할 수 있도록 허용하는지 확인하세요. 게이트웨이 연결 문제 해결에 대한 자세한 내용은 고객 게이트웨이 장치 문제 해결을 참조하세요.


관련 정보

AWS Site-to-Site VPN이란 무엇인가요?

퍼블릭 및 프라이빗 서브넷이 있고 AWS Site-to-Site VPN 액세스가 가능한 VPC

프라이빗 서브넷만 있는 VPC 및 AWS Site-to-Site VPN 액세스

VPN을 통해 BGP 연결 문제를 해결하려면 어떻게 해야 하나요?

AWS 공식
AWS 공식업데이트됨 2년 전