가상 프라이빗 게이트웨이에서 종료되는 AWS Site-to-Site VPN 연결을 사용할 때 VPC에 연결할 수 없는 이유는 무엇인가요?

2분 분량
0

가상 프라이빗 게이트웨이(VGW)에서 종료되는 AWS Site-to-Site VPN 연결을 사용하고 있습니다. 하지만 Virtual Private Cloud(VPC)의 리소스에 액세스할 수 없습니다.

해결 방법

  • AWS Management Console을 사용하여 Site-to-Site VPN 연결의 터널 상태가 UP인지 확인합니다. 연결이 DOWN인 경우 1단계 장애2단계 장애에 대해 연결 다운타임 해결을 위한 문제 해결 단계를 따르세요.

  • 고객 게이트웨이 디바이스에 구성된 암호화 도메인이 로컬(온프레미스) 및 원격(AWS) 네트워크 CIDR을 포함할 만큼 충분히 넓은지 확인합니다. Site-to-Site VPN은 경로 기반 가상 프라이빗 네트워크(VPN) 솔루션이므로 기본적으로 로컬 및 원격 네트워크 CIDR은 모두/모두(0.0.0.0/0)로 설정됩니다. AWS는 인바운드 및 아웃바운드 보안 연결 모두에 대해 보안 연결 (SA) 수를 단일 쌍으로 제한합니다. 따라서 여러 네트워크가 터널을 통해 통신하도록 정의된 경우 여러 보안 연결이 합의됩니다. 이 설정으로 인해 네트워크 연결 장애가 발생할 수 있습니다.

  • 활성/활성 설정(두 터널이 모두 UP)인 경우 고객 게이트웨이 디바이스에서 비대칭 라우팅이 지원되고 활성화되었는지 확인하십시오. 비대칭 라우팅을 켜지 않은 경우 AWS는 송신 터널(AWS에서 고객 게이트웨이 방향 트래픽)을 무작위로 선택합니다. 동적 VPN의 경우, AS PATH 추가 또는 MED BGP 속성을 사용하여 VPC에서 고객 게이트웨이 디바이스로 트래픽을 반환하는 단일 터널을 사용하십시오.

  • 고정 VPN의 경우 원격 온프레미스 네트워크 경로가 VPN 연결에 정의되어 있는지 확인하세요. 또한 고객 게이트웨이 디바이스에서 VPC CIDR에 해당하는 역방향 경로를 생성했는지 확인하세요. 이 역방향 경로는 가상 터널 인터페이스(VTI)를 통해 트래픽을 라우팅하는 데 사용됩니다.

  • 동적 VPN의 경우, 고객 게이트웨이 디바이스가 로컬 경로를 AWS 피어에 광고하는지 확인하세요. 또한 고객 게이트웨이 디바이스가 VPC 네트워크 CIDR을 수신하고 있는지 확인하세요.

  • VPC 라우팅 테이블에서 라우팅을 확인합니다. VPN 경로를 VPC 라우팅 테이블에 자동으로 전파하려면 VGW 경로 전파를 켜는 것이 가장 좋습니다. 또는 경로 전파가 꺼져 있는 경우 온프레미스 네트워크에 대한 정적 경로를 추가하여 VGW를 통해 라우팅할 수 있습니다.

  • 서브넷 네트워크 ACL과 대상 리소스 보안 그룹 모두에서 트래픽이 허용되는지 확인합니다. 자세한 내용을 보려면 보안 그룹을 사용하여 리소스 트래픽 제어 및 ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)네트워크 ACL을 사용하여 서브넷에 대한 트래픽 제어[를 참조하세요.

  • 대상 호스트 또는 인스턴스 방화벽에서 트래픽 허용(인바운드 및 아웃바운드)되는지 확인합니다. Windows OS에서는 Windows 방화벽이 트래픽을 허용하는지 확인합니다. Linux 시스템의 경우 IP 테이블, 방화벽 및 기타 유사한 호스트 방화벽이 해당 트래픽을 허용했는지 확인합니다.

  • 대상 서버에서 실행 중인 애플리케이션이 예상 포트 및 프로토콜(TCP/UDP)에서 수신 대기 중인지 확인합니다. 다음 명령을 실행합니다.

    Windows CMD:

    > netstat -a

    Linux 터미널:

    $ sudo netstat -plantu

관련 정보

Windows 설명서의 Windows Server 2003의 특정 전송 제어 프로토콜 포트를 사용하거나 차단하는 프로그램을 확인하는 방법

AWS 공식
AWS 공식업데이트됨 10달 전