고객 게이트웨이와 가상 프라이빗 게이트웨이 사이의 VPN 터널은 작동 상태인데 해당 터널로 트래픽을 전달할 수 없습니다. 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 4월 29일

고객 게이트웨이와 가상 프라이빗 게이트웨이 사이에서 VPN 연결을 설정했지만 트래픽이 해당 터널을 통과하지 않습니다. 이 문제를 해결하려면 어떻게 해야 합니까?

해결 방법

이 문제를 해결하려면 Amazon VPC, 가상 프라이빗 게이트웨이 및 고객 게이트웨이가 올바르게 구성되었는지 확인합니다.

Amazon VPC 및 가상 프라이빗 게이트웨이의 구성 검토

  1. VPN 연결과 연결된 가상 프라이빗 게이트웨이가 Amazon VPC에 연결되어 있는지 확인합니다.
  2. 서브넷이 중첩되면 VPN 터널을 통해 연결 문제가 발생할 수 있으므로 온프레미스 및 VPC 프라이빗 네트워크가 중첩되지 않는지 확인합니다.
  3. 고정 경로 기반 VPN 연결의 경우 VPN 연결의 고정 경로 탭을 확인하여 온프레미스 프라이빗 네트워크에 대한 경로를 구성했는지 확인합니다.
  4. BGP 기반 VPN 연결의 경우 BGP 세션이 설정되었는지 확인합니다. 또한, VPN 연결의 [터널 세부 정보(Tunnel Details)] 탭을 확인하여 가상 프라이빗 게이트웨이가 고객 게이트웨이로부터 BGP 경로를 수신하는지 확인합니다.
  5. 온프레미스 프라이빗 네트워크에 대한 경로를 포함하도록 VPC 라우팅 테이블을 구성합니다. Amazon VPC의 인스턴스가 온프레미스 네트워크에 도달할 수 있도록 가상 프라이빗 게이트웨이로 경로를 지정합니다. 이러한 경로를 VPC 라우팅 테이블에 수동으로 추가하거나 경로 전파를 사용하여 이러한 경로를 자동으로 전파할 수 있습니다.
  6. VPC 보안 그룹 및 액세스 제어 목록(ACL)이 인바운드 및 아웃바운드 트래픽 모두에 대해 온프레미스 서브넷 사이에서 필요한 트래픽(ICMP, RDP, SSH 등)을 허용하도록 구성되었는지 확인합니다.
  7. 서로 다른 가용 영역에 있는 여러 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 패킷 캡처를 수행하여 온프레미스 호스트의 트래픽이 Amazon VPC에 도달하는지 확인합니다.

고객 게이트웨이 검토

  1. VPN 장치의 IPsec 구성이 고객 게이트웨이에 대한 요구 사항을 충족하는지 확인합니다.
  2. 고객 게이트웨이의 패킷이 암호화되어 VPN 터널을 통해 전송되는지 확인합니다.
  3. 정책 기반 구성의 경우 VPN 연결 세부 정보를 확인하여 트래픽 선택기가 올바르게 구성되었는지 확인합니다. (로컬 IPv4 네트워크 CIDR = 고객 게이트웨이 CIDR 범위 및 원격 IPv4 네트워크 CIDR = AWS 측 CIDR 범위)
  4. 정책 기반 구성의 경우 암호화 정책 수를 단일 정책으로 제한해야 합니다.
    참고:
    AWS는 VPN 터널당 1개 페어의 2단계 보안 연결(SA)만 지원합니다.
  5. VPN 터널이 경로 기반인 경우 VPC CIDR에 대한 경로를 올바르게 구성했는지 확인합니다.
  6. 터널을 통해 전송된 트래픽이 VPN 연결의 고객 게이트웨이 IP 주소로 변환되지 않았는지 확인합니다. VPN 트래픽의 NAT에 대한 특정 요구 사항이 있는 경우 고객 게이트웨이 IP 주소와 다른 IP 주소를 사용하여 구성합니다.
  7. 고객 게이트웨이가 NAT 디바이스 뒤에 있지 않은 경우 모범 사례는 NAT 통과를 비활성화하는 것입니다.
  8. 인바운드 또는 아웃바운드 IPsec 트래픽을 방해하는 방화벽 정책 또는 ACL이 없는지 확인합니다.
  9. 고객 게이트웨이 디바이스의 WAN 인터페이스에서 ESP 트래픽에 대한 패킷 캡처를 수행하여 암호화된 패킷을 송수신하고 있는지 확인합니다.