Amazon Virtual Private Cloud(Amazon VPC)에 대해 가상 프라이빗 네트워크(VPN) 연결을 설정하거나 유지할 수 없습니다.

VPN 연결 설정 문제는 다음 구성으로 인해 발생할 수 있습니다.

  • IKE(Internet Key Exchange)
  • 인터넷 프로토콜 보안(IPsec)

VPN 연결 유지 문제는 다음 구성으로 인해 발생할 수 있습니다.

  • 네트워크 액세스 제어 목록(네트워크 ACL)
  • VPC 보안 그룹 규칙
  • Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 네트워크 라우팅 테이블
  • Amazon EC2 인스턴스 방화벽
  • 가상 프라이빗 게이트웨이
  • VPN 터널 중복성

VPN 연결 설정 문제

VPN 연결 유지 문제

VPN 터널을 모두 설정했지만 여전히 연결 문제가 발생하는 경우:

  1. 연결된 VPN이 연결을 설정하지 못하게 하는 VPC의 네트워크 ACL을 확인합니다.
  2. VPC의 EC2 인스턴스에 할당된 보안 그룹 규칙이 적절한 액세스를 허용하는지 확인합니다. 인바운드 SSH, RDP, ICMP 액세스를 허용해야 합니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 보안 그룹 또는 Windows 인스턴스용 Amazon EC2 보안 그룹을 참조하십시오.
  3. VPC에 연결된 라우팅 테이블이 올바르게 구성되어 있는지 확인합니다.
  4. VPC 내부의 EC2 인스턴스로 가는 트래픽을 차단하는 운영 체제 수준(OS 수준) 방화벽이 있는지 확인합니다.
    EC2 Windows 인스턴스의 경우 명령 프롬프트에서 WF.msc를 실행합니다.
    EC2 Linux 인스턴스의 경우 적절한 인수와 함께 터미널 세션에서 iptables를 실행합니다. 자세한 내용을 보려면 man iptables를 실행합니다.

참고: AWS는 VPN 연결에 대해 보안 연결 한 쌍만 허용합니다(인바운드 연결 하나와 아웃바운드 연결 하나). 고객 게이트웨이 디바이스가 정책 기반 VPN을 사용하는 경우, 내부 네트워크를 소스 주소(0.0.0.0/0)로, VPC 서브넷을 대상 주소로 구성합니다. 이 구성을 통해 추가 보안 연결을 생성하지 않고도 VPC로 가는 트래픽이 VPN을 통과할 수 있습니다.

트래픽이 VPN 연결의 고객 게이트웨이 쪽에서 생성되면 VPN 터널이 가동됩니다. 가상 프라이빗 게이트웨이 쪽은 시작한 사용자가 아닙니다. VPN 연결에 유휴 시간이 발생할 경우(대개 10초, 고객 게이트웨이 구성에 따라 다름) 터널이 다운될 수 있습니다. 이 문제를 방지하려면 네트워크 모니터링 도구를 사용하여 keepalive ping을 생성합니다. 예를 들어 Cisco ASA 디바이스의 경우 SLA 모니터링을 활성화합니다.

가능한 근본 원인으로 VPC 구성 및 EC2 인스턴스 연결을 배제한 경우:

  1. 터미널 세션(Linux) 또는 명령 프롬프트(Windows)를 엽니다.
  2. 내부 네트워크에서 VPN이 연결된 VPC의 EC2 인스턴스로 traceroute(Linux) 또는 tracert(Windows) 유틸리티를 실행합니다.
  3. 출력이 내부 네트워크와 연결된 IP 주소에서 중지되는 경우, VPN 엣지 디바이스의 라우팅 경로가 올바른지 확인합니다.
  4. 출력이 고객 게이트웨이 디바이스에는 도달하지만 EC2 인스턴스에는 도달하지 않는 경우, VPN 고객 게이트웨이 디바이스 설정을 확인합니다. VPN 구성, 정책 및 네트워크 주소 변환(NAT) 설정이 올바른지 확인합니다. 또한 업스트림 디바이스가 트래픽 흐름을 허용하는지 확인합니다.

VPN 터널 내에서 사용되는 BGP(Border Gateway Protocol)가 다운된 경우:

  1. 고객 게이트웨이를 생성한 경우 BGP 자율 시스템 번호(ASN)를 정의했는지 확인합니다. 고객 게이트웨이 ASN이 다운로드 가능한 VPN 구성에 포함됩니다.
  2. 필요한 경우 고객 게이트웨이를 올바른 ASN으로 업데이트합니다. ASN은 VPN 구성 중에 제공한 ASN과 일치해야 합니다. ASN은 네트워크에 할당된 기존 ASN이거나 64512–65534 범위의 프라이빗 ASN입니다.
  3. 고객 게이트웨이의 로컬 방화벽 구성에서 BGP 트래픽이 AWS를 통과하도록 허용하는지 확인합니다. 자세한 내용은 device-specific troubleshooting guides를 참조하십시오.

가능한 경우 모니터링 활동에서 AWS Trusted Advisor의 VPN 터널 중복성 검사를 사용합니다.

  1. Trusted Advisor 콘솔에 로그인합니다.
  2. 탐색 창의 대시보드 아래에서 내결함성을 선택합니다.
  3. 콘텐츠 창의 내결함성 검사에서 VPN 터널 중복성을 선택합니다.
  4. 다운로드 아이콘을 선택하여 이 검사 결과를 다운로드합니다.

추가 문제 해결

추가 문제 해결 단계를 수행하기 전에 다음 정보를 수집해야 합니다.

  • 온프레미스 네트워킹 장비 및 VPC 리소스에 대한 관리 액세스 권한이 있는 담당자
  • 펌웨어 버전을 포함하여 VPN 연결을 설정하는 데 사용하는 물리적 디바이스의 메이커와 모델
  • VPC(vpc-XXXXXXXX), 가상 프라이빗 게이트웨이(vgw-XXXXXXXX) 및 VPN(vpn-XXXXXXXX)의 식별자
  • VPN 디바이스의 현재 구성과 VPN 터널이 생성될 때 AWS 콘솔에서 생성한 구성에 대한 액세스
  • VPN의 연결 기록에 대한 세부 정보
  • 테스트를 위해 EC2 인스턴스 또는 VPC 내부의 다른 리소스의 IP 주소
  • VPN 연결을 시작하려고 하는 LAN(Local Area Network)의 소스 IP 주소

페이지 내용이 도움이 되었습니까? | 아니요

AWS 지원 지식 센터로 돌아가기

도움이 필요하십니까? AWS 지원 센터를 방문하십시오.

게시 날짜: 2015-04-28

업데이트됨: 2018-10-30