본문 바로가기

Networking/VPC

AWS Managed VPN Service 구성

AWS Managed VPN Service를 이용하여 On-premise와 IPsec VPN을 구성하는 방법을 설명한다.

 

아래 항목을 순차적으로 구성하도록 하겠다.

1) AWS Managed VPN Service 개요

2) Customer Gateway 생성

3) Virtual Private Gateway 생성 및 VPC 연결

4) Site-to-Site Connection 생성

5) VPN Routing 설정

6) Tunnel 상태 확인

7) considerations

8) Appendix

 

 

AWS VPN 구성

- IPsec Tunneling 지원 (GRE 등 다른 Tunneling 은 지원하지 않음, 2019년 08월 현재 기준)

- Static Routing과 Dynamic Routing(BGP)을 제공

- 고가용성을 위해 기본적으로 두 개의 Tunnel Endpoint를 제공 (각 Tunnel Endpoint는 서로 다른 AZ에 위치)

- 다른 AWS Managed Service와 동일하게 IPsec 연결에 필요한 설정 외 제어할 수 없음

 

[구성]

Customer Gateway 생성

CGW(Customer Gateway) 생성 
1) CGW(Customer Gateway) 이름 지정 
2) Routing 방식 설정 : Dynamic(BGP)/Static 중 구성하고자 하는 방식 선택 (CGW에서 BGP가 지원되어야 함) 
3) VGW와 VPN 구성을 위한 CGW IP 주소 입력 : 인터넷을 통해 접근 가능한 Public IP 
4) IPsec VPN 구성 시, PSK(Pre-shared Key) 방식이 아닌 인증서 방식 사용 시 설정

 

 

Virtual Private Gateway 생성

VGW(Virtual Private Gateway) 생성

1) VGW(Virtual Private Gateway) 이름 지정

2) BGP ASN 설정 : CGW와 Dynamic Routing(BGP) 구성 시 사용

3) Customer BGP ASN 설정 : AWS Default ASN이 아닌 다른 AS Number 사용시 설정

 

Gateway 연결

VGW(Virtual Private Gateway) 연결

1) VPN을 통해 접근하고자 하는 VPC와 생성한 VGW를 연결

2) 계정 내에 구성되어 있는 VPC 중 VPN을 통해 연결하고자 하는 VPC 선택 후 Attach

 

VPN Connection 구성

 

Site-to-Site Connection 생성 - 1

1) Site-to-Site Connection 이름 지정

2) IPsec VPN 연결을 하고자 하는 VGW를 지정

3) CGW 선택 : 기존에 생성한 CGW를 지정하거나 ’New’를 선택하여 생성 가능

4) VPN 구성 시 Routing 방식 설정 : Dynamic(BGP)/Static Static 설정 시, VPN Tunnel을 통해 Routing 되어야 할 IP Range를 입력

 

Tunnel Options 구성

Site-to-Site Connection 생성 - 2

1) 각 Tunnel Endpoint와 CGW 간 내부 IP CIDR 설정 : 공백으로 두는 경우 Amazon에서 자동 생성

2) 각 Tunnel Endpoint와 IPsec VPN 구성을 위한 PSK 설정 : 공백으로 두는 경우 Amazon에서 자동 생성

 

Route Table 구성

VPN Routing 설정 - 1

1) ‘Site-to-Site Connection’ 생성 시, VPN Routing을 설정하거나 이후에도 추가로 설정이 가능

2) 생성한 VPN Connection을 선택 후, ‘Static Route’ 탭에서 수정 가능

 

vgw Route 연결

VPN Routing 설정 - 2

1) VPC Resource와 Remote Network 간 통신을 위해서는 VGW를 Target으로 하는 Routing 설정이 필요

2) Route Table에서 Remote Network로 향하는 Route Entry를 수동으로 추가 할 수 있지만, VGW에서 자동으로 전파할 수 있도록 ‘Propagation’ 설정을 권장

 

VPN Configure Donwload

VPN Tunnel 설정을 위한 ’Configuration Download’

1) IPsec VPN 구성을 위해, Customer Device에서 구성해야 할 설정을 Download 가능 (대부분의 Major Vendor를 지원, 지원하지 않는 경우는 부록을 참조)

2) Download 된 설정을 확인하여, 일부 정보 수정하여 구성 가능 (참조를 위한 Configuration이므로 설정 시 주의 필요)

 

VPN Tunnel 상태 확인

VPN Tunnel 상태 확인

1) 생성한 VPN Connection을 선택 후, ‘Tunnel Details’ 탭에서 상태 확인 가능 : Status ‘UP’ 이어야 정상 (예시 그림은 참조를 위해 생성하여 Down 상태)

2) Tunnel 연결을 위해서는 Customer Side에서 먼저 Traffic을 발생 시켜야 함 (AWS Managed VPN은 Passive Mode로 동작하여 요청에 대해서만 수락)

 

Consideration

1) AWS Managed VPN을 통해 VPN 구성 시, 최초 연결은 Customer Side에서 Traffic이 생성 되어야 함 (AWS Managed VPN은 Passive로 동작하여 요청에 대해서만 수락)

2) 생성 된 Tunnel 내에 10초 이상 Traffic이 발생하지 않는 경우, Tunnel Down이 발생 - Tunnel 유지를 위해, Traffic이 흐르지 않으면 DPD(Dead Peer Detect)가 동작 (CGW에서 지원하지 않는 경우, ICMP와 같은 트래픽을 생성 필요)

참조 링크

 

What is AWS Site-to-Site VPN? - AWS Site-to-Site VPN

The AWS Documentation website is getting a new look! Try it now and let us know what you think. Switch to the new look >> You can return to the original look by selecting English in the language selector above. What is AWS Site-to-Site VPN? By default, ins

docs.aws.amazon.com

Appendix - 01

1) ‘Configuration Download’에서 지원하지 않는 장비와 연결하는 경우, 다음 값을 설정

1. Phase 1 : IKE Configuration (IKE Version : IKEv1/IKEv2)

- Authentication Method : PSK or Certificate (설정한 방식에 맞게 설정)

- PSK : 사용자 지정인 경우 해당 값을 입력 (자동 생성인 경우, Configuration을 다운 후 각 Tunnel에 대해 자동 생성된 PSK 확인)

- Authentication Algorithm : SHA1

- Encryption Algorithm : AES128-CBC

- Lifetime : 28800 (Sec)

- PFC(Perfect Forward Secrecy) : DH Group 2 
2) Phase2:IPsec Configuration

- Protocol : ESP

- Authentication Algorithm : SHA1 (hmac-sha1-96)

- Encryption Algorithm : AES128-CBC • Lifetime : 3600 (Sec) • PFC(Perfect Forward Secrecy) : DH Group 2 
3) Optional (Recommend)

- DPD Interval : 10 • DPD Retry : 3

 

Appendix - 02

AWS Managed VPN과 원활한 연결을 위해, AWS와 Remote Network 간 다음 트래픽을 허용 (AWS-Remote Network 간 방화벽이 있는 경우) :

1. ESP Allow(Protocol/Port Number): IP 50, UDP 4500(NAT 되는 경우)

2. AH(Authentication Header, Protocol/Port Number): IP 51, UDP 4500(NAT 되는 경우)

3. ISAKMP IKE Negotiate (Protocol/Port Number): UDP 500, UDP 4500(NAT 되는 경우) 
- VPN연결이 되지 않는 경우 링크 참조

 

VPN 터널 문제 해결

Amazon Virtual Private Cloud(Amazon VPC)에 대해 가상 프라이빗 네트워크(VPN) 연결을 설정하거나 유지할 수 없습니다. VPN 연결 설정 문제는 다음 구성으로 인해 발생할 수 있습니다. IKE(Internet Key Exchange) 인터넷 프로토콜 보안(IPsec) VPN 연결 유지 문제는 다음 구성으로 인해 발생할 수 있습니다. 네트워크 액세스 제어 목록(네트워크 ACL) VPC 보안 그룹 규칙 Amazon Elasti

aws.amazon.com

 

- VPN 네트워크 관리자 가이드

 

VPN 터널 문제 해결

Amazon Virtual Private Cloud(Amazon VPC)에 대해 가상 프라이빗 네트워크(VPN) 연결을 설정하거나 유지할 수 없습니다. VPN 연결 설정 문제는 다음 구성으로 인해 발생할 수 있습니다. IKE(Internet Key Exchange) 인터넷 프로토콜 보안(IPsec) VPN 연결 유지 문제는 다음 구성으로 인해 발생할 수 있습니다. 네트워크 액세스 제어 목록(네트워크 ACL) VPC 보안 그룹 규칙 Amazon Elasti

aws.amazon.com

 

'Networking > VPC' 카테고리의 다른 글

AWS Managed VPN Service 구성  (0) 2019.12.24
AWS VPC FLOW LOGS  (0) 2017.11.24
AWS VPC Security Group ID 포워딩  (0) 2016.11.03
AWS VPC/VPN(Openswan) 연동  (1) 2016.01.14

태그