Site-to-Site VPN 체크포인트
Site-to-Site VPN은 단순한 터널이 아니다. IKE/IPsec 협상, Initiator/Responder 역할, 터널 이중화까지 고려할 게 많다. 특히 AWS는 항상 Responder로 동작한다는 점을 모르면 연결 자체가 안 된다.
AWS Site-to-Site VPN을 개발망에 구성하면서 알게 된 핵심 개념과 구성 시 체크해야 할 항목들을 정리했다.
AWS Site-to-Site VPN은 1개의 VPN Connection = 2개의 터널을 기본 제공한다.
- 두 터널은 서로 다른 Outside IP, Inside IP, PSK 값을 가짐
- AWS는 항상 Responder(수동), 온프레미스 라우터가 Initiator(능동) 역할
- DPD(Dead Peer Detection)에 의해 트래픽이 없으면 터널이 내려갈 수 있으며, IKE SA Lifetime(8시간)마다 rekeying도 필요하다. AWS는 Responder이므로 두 경우 모두 온프레미스에서 재협상을 시작해야 한다
flowchart LR
subgraph AWS
VGW[Virtual Private Gateway]
T1[터널1]
T2[터널2]
end
subgraph OnPremise[온프레미스]
CGW[Customer Gateway]
end
CGW -->|IPsec| T1
CGW -->|IPsec| T2
T1 --> VGW
T2 --> VGW
- 터널1을 주 경로로 사용
- 터널1 장애 시 터널2로 자동 전환
- 동일 Metric 설정 시 두 터널로 트래픽 분산
- 비대칭 라우팅 문제 가능성 있음
| 항목 |
값 |
| Version |
IKEv1 또는 IKEv2 |
| Encryption |
AES128 |
| Hash |
SHA1 |
| DH Group |
2 |
| SA Lifetime |
28800초 (8시간) |
| Mode |
Main |
| DPD |
10초 / 3회 재시도 |
| 항목 |
값 |
| Protocol |
ESP |
| Encryption |
AES128 |
| Hash |
SHA1 |
| SA Lifetime |
3600초 (1시간) |
| PFS |
DH Group2 |
| Mode |
Tunnel |
- AWS는 Responder 전용 - 온프레미스에서 Initiator Mode 설정 필수
- 트래픽 셀렉터 - Local/Remote Subnet이 AWS 설정과 일치해야 함
- 라우팅 모드 - Static 또는 BGP 선택 가능
- 이중화 - 운영망에서는 두 터널 모두 설정 권장
1
2
3
4
|
aws ec2 describe-vpn-connections \
--vpn-connection-ids vpn-xxxxxxxx \
--query 'VpnConnections[].VgwTelemetry[].[OutsideIpAddress,Status,StatusMessage]' \
--output table
|
| 항목 |
확인 |
| 두 터널 모두 설정 완료 |
☐ |
| 터널 상태 모니터링 구성 (CloudWatch) |
☐ |
| DPD/Keepalive 설정 확인 |
☐ |
| Phase1/Phase2 Lifetime 양쪽 일치 |
☐ |
| 장애 시 온프레미스 재연결 절차 문서화 |
☐ |
