Amazon Virtual Private Cloud(VPC) 내에서 AWS 인프라에 대한 AWS Site-to-Site VPN 연결을 설정하고 유지 관리하는 데 문제가 있습니다.
간략한 설명
Amazon VPC 네트워크 모델은 AWS 인프라에 대한 개방형 표준, 암호화된 IPsec 가상 프라이빗 네트워크(VPN) 연결을 지원합니다. Amazon VPC에 대한 VPN 터널 연결 설정에는 다음이 포함됩니다.
- VPN 터널 IKE(인터넷 키 교환) 구성
- VPN 터널 인터넷 프로토콜 보안(IPsec) 구성
- 네트워크 액세스 제어 목록(NACL) 구성
- Amazon VPC 보안 그룹 규칙 구성
- Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 네트워크 라우팅 테이블 구성
- Amazon EC2 인스턴스 방화벽 구성
- VPN 게이트웨이 구성(가상 프라이빗 게이트웨이(VGW) 또는 Transit Gateway 포함)
Amazon VPC에서 Site-to-Site VPN 연결을 설정하거나 유지 관리하는 데 문제가 있는 경우, 다음 방법을 시도하여 문제를 해결하세요.
해결 방법
Site-to-Site VPN 터널을 설정할 수 없는 경우
Site-to-Site VPN 터널을 설정할 때 실패를 해결하려면, 실패가 발생한 단계를 확인해야 합니다.
Site-to-Site VPN 터널이 설정된 경우
두 VPN 터널이 모두 설정된 경우 다음 단계를 따르세요.
- Amazon EC2 콘솔을 연 다음, Amazon VPC의 네트워크 액세스 제어 목록(NACL)을 확인합니다. 사용자 지정 NACL은 연결된 VPN이 네트워크 연결을 설정하는 기능에 영향을 줄 수 있습니다. 자세한 내용을 알아보려면, 네트워크 ACL로 작업을 참조합니다.
- 보안 그룹 규칙 업데이트의 단계에 따라 인바운드 SSH, RDP 및 ICMP 액세스를 활성화합니다.
- Amazon EC2 인스턴스에 지정된 라우팅 테이블이 올바른지 확인합니다. 자세한 내용은, 라우팅 테이블을 통해 작업을 참조하세요.
- 두 터널이 모두 가동 중인 활성/활성 구성을 사용하는 경우: 활성/활성을 사용하는 동안 AWS는 활성 터널 중 하나를 AWS에서 온프레미스 네트워크로 트래픽을 전송하기 위한 기본 VPN 터널로 자동으로 할당합니다. 활성/활성 구성을 사용하면 고객 게이트웨이는 가상 터널 인터페이스에서 비대칭 라우팅이 활성화되어 있어야 합니다. 자세한 내용은 터널 B보다 터널 A를 선호하도록 Site-to-Site VPN 연결을 구성하려면 어떻게 하나요?를 참조하세요.
- VPC 내부의 Amazon EC2 인스턴스에 대한 트래픽을 차단하는 방화벽이 없는지 확인합니다.
- Amazon EC2 Windows 인스턴스의 경우: 명령 프롬프트를 연 다음, WF.msc 명령을 실행합니다.
- Amazon EC2 Linux 인스턴스의 경우: 터미널을 연 다음 적절한 인수를 사용하여 iptables 명령을 실행합니다. iptables 명령에 대한 자세한 내용을 보려면, 터미널에서 man iptables 명령을 실행합니다.
- 고객 게이트웨이 장치가 정책 기반 VPN을 구현하는 경우: AWS는 보안 연결 수를 단일 쌍으로 제한합니다. 단일 쌍에는 하나의 인바운드 및 하나의 아웃바운드 보안 연결이 포함됩니다. 정책 기반 VPN을 사용하는 경우, 내부 네트워크의 소스 주소를 0.0.0.0/0으로 설정하는 것이 가장 좋습니다. 그런 다음, 대상 주소를 VPC 서브넷으로 설정합니다(예: 192.168.0.0/16). 이러한 설정은 추가 보안 연결을 생성하지 않고 트래픽을 VPC로 전달하고 VPN을 통과합니다. 자세한 내용은 AWS VPN 엔드포인트와 정책 기반 VPN 간의 연결 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.
인스턴스 연결 및 VPC 구성이 가능한 근본 원인으로 배제된 경우
Linux의 터미널 세션에서 traceroute 유틸리티를 실행합니다. 또는 Windows의 명령 프롬프트에서 tracert 유틸리티를 실행합니다. traceroute 및 tracert는 모두 내부 네트워크에서 VPN이 연결된 VPC의 Amazon EC2 인스턴스로 실행해야 합니다.
- traceroute 출력이 내부 네트워크와 연결된 IP 주소에서 멈추는 경우, VPN 엣지 장치에 대한 라우팅 경로가 올바른지 확인합니다.
- tracert 출력이 내부 네트워크와 연결된 IP 주소에서 멈추는 경우, VPN 엣지 장치에 대한 라우팅 경로가 올바른지 확인합니다.
- 내부 네트워크의 트래픽이 고객 게이트웨이 장치에 도달하지만 EC2 인스턴스에 도달하지 못하는 것을 확인합니다. VPN 고객 게이트웨이의 VPN 구성, 정책 및 NAT 설정이 올바른지 확인합니다. 그런 다음, 업스트림 장치가 트래픽 흐름을 허용하는지 확인합니다(있는 경우).
Border Gateway Protocol(BGP) 관련 문제 해결
**Border Gateway Protocol(BGP)**이 다운된 경우, **BGP Autonomous System Number(ASN)**를 정의했는지 확인합니다. ASN은 고객 게이트웨이를 만들 때 사용한 번호입니다. 고객 게이트웨이와 연결된 ASN은 다운로드 가능한 VPN 구성 속성에 포함되어 있습니다. 자세한 내용은 가상 프라이빗 게이트웨이를 참조하세요.
네트워크에 이미 할당된 기존 ASN을 사용할 수 있습니다. ASN이 할당되지 않은 경우, 64512~65534 범위의 프라이빗 ASN을 사용할 수 있습니다. 구성된 ASN은 AWS에서 VPN을 생성할 때 제공한 것과 일치해야 합니다. 고객 게이트웨이의 로컬 방화벽 구성이 BGP 트래픽이 AWS로 통과할 수 있도록 허용하는지 확인하세요. 게이트웨이 연결 문제 해결에 대한 자세한 내용은 고객 게이트웨이 장치 문제 해결을 참조하세요.
관련 정보
AWS Site-to-Site VPN이란 무엇인가요?
퍼블릭 및 프라이빗 서브넷이 있고 AWS Site-to-Site VPN 액세스가 가능한 VPC
프라이빗 서브넷만 있는 VPC 및 AWS Site-to-Site VPN 액세스
VPN을 통해 BGP 연결 문제를 해결하려면 어떻게 해야 하나요?