Windows Server 2008 R2를 고객 게이트웨이 디바이스로 구성 - AWS Site-to-Site VPN

Windows Server 2008 R2를 고객 게이트웨이 디바이스로 구성

Windows Server 2008 R2를 VPC의 고객 게이트웨이 디바이스로 구성할 수 있습니다. 다음 프로세스를 사용하여 VPC의 EC2 인스턴스 또는 별도의 서버에서 Windows Server 2008 R2를 실행합니다.

Windows Server 구성

Windows Server를 고객 게이트웨이 디바이스로 구성하려면 자체 네트워크 또는 VPC의 EC2 인스턴스에서 실행되고 있는 Windows Server 2008 R2가 필요합니다. Windows AMI에서 실행한 EC2 인스턴스를 사용할 경우 다음을 수행합니다.

  • 인스턴스의 원본/대상 확인을 비활성화합니다:

    1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

    2. Windows Server 인스턴스를 선택하고 [Actions]를 선택하고 [Networking]을 선택한 다음, [Change Source/Dest. Check]를 선택합니다. [Yes, Disable]을 선택합니다.

  • 다른 인스턴스의 트래픽을 라우팅할 수 있도록 어댑터 설정을 업데이트합니다.

    1. Windows 인스턴스에 연결합니다. 자세한 정보는 Windows 인스턴스 연결 단원을 참조하십시오.

    2. 제어판을 열고 장치 관리자를 시작합니다.

    3. [Network adapters] 노드를 확장합니다.

    4. Citrix 또는 AWS PV 네트워크 어댑터에 대한 바로 가기(마우스 오른쪽 버튼 클릭) 메뉴를 열고 속성을 선택합니다.

    5. [Advanced] 탭에서 [IPv4 Checksum Offload], [TCP Checksum Offload (IPv4)] 및 [UDP Checksum Offload (IPv4)] 속성을 비활성화한 다음 [OK]를 선택합니다.

  • 계정에 탄력적 IP 주소를 할당하고 인스턴스와 연결합니다. 자세한 내용은 탄력적 IP 주소 작업 단원을 참조하십시오. 이 주소는 VPC에서 고객 게이트웨이를 만들 때 필요하므로 기록해 두십시오.

  • 인스턴스의 보안 그룹 규칙에서 아웃바운드 IPsec 트래픽을 허용하는지 확인합니다. 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용합니다. 하지만, 보안 그룹의 아웃바운드 규칙이 원래 상태에서 수정된 경우 IP 프로토콜 50, IP 프로토콜 51 및 UDP 500에 대한 IPsec 트래픽의 아웃바운드 사용자 지정 프로토콜 규칙을 만들어야 합니다.

Windows Server가 포함된 네트워크의 CIDR 범위(예: 172.31.0.0/16)를 기록해 둡니다.

1단계: VPN 연결 생성 및 VPC 구성

VPC에서 VPN 연결을 만들려면 먼저 가상 프라이빗 게이트웨이를 만든 후 VPC에 연결해야 합니다. 자세한 내용은 가상 프라이빗 게이트웨이 생성 단원을 참조하십시오.

그런 다음 VPN 연결과 새 고객 게이트웨이를 만듭니다. 고객 게이트웨이의 경우 Windows 서버의 퍼블릭 IP 주소를 지정합니다. VPN 연결의 경우 고정 라우팅을 선택한 다음 Windows 서버가 있는 네트워크의 CIDR 범위(예: 172.31.0.0/16)를 입력합니다. 자세한 정보는 Site-to-Site VPN 연결 생성 단원을 참조하십시오.

VPC 구성

  • Windows 서버와 통신할 인스턴스를 시작하기 위해 VPC에서 프라이빗 서브넷을 만듭니다(아직 없는 경우). 자세한 정보는 VPC에 서브넷 추가를 참조하십시오.

    참고

    프라이빗 서브넷은 인터넷 게이트웨이로 라우팅되지 않는 서브넷입니다. 이 서브넷의 라우팅에 대해서는 다음 항목에 설명되어 있습니다.

  • VPN 연결에 대한 라우팅 테이블 업데이트:

  • VPC와 네트워크 간 통신을 허용하는 인스턴스의 보안 그룹 구성을 만듭니다.

    • 네트워크의 인바운드 RDP 또는 SSH 액세스를 허용하는 규칙을 추가합니다. 이를 통해 네트워크에서 VPC의 인스턴스에 연결할 수 있습니다. 예를 들어 네트워크의 컴퓨터가 VPC의 Linux 인스턴스에 액세스하도록 허용하려면 SSH 유형에 대해 원본을 네트워크의 CIDR 범위(예: 172.31.0.0/16)로 설정한 인바운드 규칙을 생성합니다. 자세한 내용은 Amazon VPC 사용 설명서VPC의 보안 그룹을 참조하십시오.

    • 네트워크의 인바운드 ICMP 액세스를 허용하는 규칙을 추가합니다. 이 규칙을 통해 Windows 서버에서 VPC 인스턴스를 ping하여 VPN 연결을 테스트할 수 있습니다.

2단계: VPN 연결의 구성 파일 다운로드

Amazon VPC 콘솔을 사용하여 VPN 연결의 Windows 서버 구성 파일을 다운로드할 수 있습니다.

구성 파일을 다운로드하려면 다음을 수행합니다.

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Site-to-Site VPN 연결을 선택합니다.

  3. VPN 연결을 선택한 후 구성 다운로드를 선택합니다.

  4. 공급업체는 [Microsoft], 플랫폼은 [Windows Server], 소프트웨어는 [2008 R2]를 선택한 후 [Download]를 선택합니다. 파일을 열거나 저장할 수 있습니다.

구성 파일에는 다음의 예와 유사한 정보 단원이 포함되어 있습니다. 터널별로 이 정보가 각각 한 번씩 두 번 표시됩니다. 이 정보를 사용하여 Windows Server 2008 R2 서버를 구성합니다.

vgw-1a2b3c4d Tunnel1 -------------------------------------------------------------------- Local Tunnel Endpoint:       203.0.113.1 Remote Tunnel Endpoint:      203.83.222.237 Endpoint 1:                  [Your_Static_Route_IP_Prefix] Endpoint 2:                  [Your_VPC_CIDR_Block] Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint

네트워크 측에서 VPN 연결을 종료하는 고객 게이트웨이 디바이스(이 경우 Windows Server)의 IP 주소. 고객 게이트웨이 디바이스가 Windows Server 인스턴스인 경우 인스턴스의 프라이빗 IP 주소가 됩니다.

Remote Tunnel Endpoint

AWS 측에서 VPN 연결을 종료하는 가상 프라이빗 게이트웨이의 두 IP 주소 중 하나

Endpoint 1

VPN 연결을 만들 때 고정 라우팅으로 지정한 IP 접두사. VPC에 액세스하기 위해 VPN 연결을 사용하도록 허용된 네트워크의 IP 주소입니다.

Endpoint 2

가상 프라이빗 게이트웨이에 연결된 VPC의 IP 주소 범위(CIDR 블록, 예: 10.0.0.0/16).

Preshared key

Local Tunnel EndpointRemote Tunnel Endpoint 간 IPsec VPN 연결을 수립하는 데 사용된 사전 공유 키.

VPN 연결의 일환으로 두 터널을 모두 구성하는 것이 좋습니다. 각 터널은 VPN 연결의 Amazon 측에서 서로 다른 VPN 집선기에 연결됩니다. 한 번에 하나의 터널만 사용되지만 첫 번째 터널에 장애가 발생할 경우 자동으로 두 번째 터널이 사용됩니다. 이러한 터널 이중화로 디바이스 장애 시에도 지속적인 가용성을 보장할 수 있습니다. 한 번에 하나의 터널만 사용되므로 Amazon VPC 콘솔에는 터널 하나가 작동 중지된 것으로 표시되며, 이는 정상적인 현상이므로 달리 조치를 취할 필요가 없습니다.

2개의 터널을 구성하면 AWS 내 디바이스 장애 시 몇 분 내로 AWS 가상 프라이빗 게이트웨이의 두 번째 터널로 VPN 연결이 자동 장애 조치됩니다. 특히 고객 게이트웨이 디바이스를 구성할 때 두 개의 터널을 구성하는 것이 중요합니다.

참고

AWS는 수시로 가상 프라이빗 게이트웨이의 정기 유지 관리를 수행합니다. 이 유지 관리 작업으로 인해 짧은 시간 동안 VPN 연결의 두 터널 중 하나가 비활성화될 수 있습니다. 이 유지보수를 수행할 동안 VPN 연결은 두 번째 터널로 자동 장애 조치됩니다.

다운로드한 구성 파일에서 IKE(Internet Key Exchange) 및 IPsec SA(Security Associations) 관련 추가 정보를 확인할 수 있습니다.  VPC VPN 권장 설정은 Windows Server 2008 R2 기본 IPsec 구성 설정과 동일하므로 사용자가 수행해야 할 작업은 많지 않습니다.

MainModeSecMethods:         DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime:        480min,0sec QuickModeSecMethods:        ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS:               DHGroup2
MainModeSecMethods

IKE SA의 암호화 및 인증 알고리즘입니다. 이는 VPN 연결의 추천 설정이며, Windows Server 2008 R2 IPsec VPN 연결의 기본 설정입니다.

MainModeKeyLifetime

IKE SA 키 수명 주기입니다.  이는 VPN 연결의 추천 설정이며, Windows Server 2008 R2 IPsec VPN 연결의 기본 설정입니다.

QuickModeSecMethods

IPsec SA의 암호화 및 인증 알고리즘입니다. 이는 VPN 연결의 추천 설정이며, Windows Server 2008 R2 IPsec VPN 연결의 기본 설정입니다.

QuickModePFS

IPsec 세션에 대해 마스터 키 PFS(Perfect Forward Secrecy)를 사용하는 것이 좋습니다.

3단계: Windows Server 구성

VPN 터널을 설정하기 전 Windows 서버에 라우팅 및 원격 액세스 서비스를 설치하고 구성합니다. 이를 통해 원격 사용자는 네트워크의 리소스에 액세스할 수 있습니다.

Windows Server 2008 R2에 라우팅 및 원격 액세스 서비스를 설치하려면 다음을 수행합니다.

  1. Windows Server 2008 R2 서버에 로그인합니다.

  2. 시작, 모든 프로그램, 관리 도구, 서버 관리자를 선택합니다.

  3. 라우팅 및 원격 액세스 서비스 설치:

    1. Server Manager 탐색 창에서 역할을 선택합니다.

    2. 역할 창에서 역할 추가를 클릭합니다.

    3. 시작하기 전에 페이지에서 서버가 사전 요구 사항을 충족하는지 확인한 후 다음을 선택합니다.

    4. 서버 역할 선택 페이지에서 네트워크 정책 및 액세스 서비스를 클릭한 후 다음을 클릭합니다.

    5. [Network Policy and Access Services] 페이지에서 [Next]를 선택합니다.

    6. 역할 서비스 선택 페이지에서 라우팅 및 원격 액세스 서비스를 클릭한 후 원격 액세스 서비스라우팅을 선택된 상태로 두고 다음을 클릭합니다.

      
								역할 추가 마법사: 역할 서비스 선택
    7. Confirm installation selections(설치 설정 확인) 페이지에서 설치를 선택합니다.

    8. 마법사를 완료한 후 닫기를 클릭합니다.

라우팅 및 원격 액세스 서버를 구성하려면

  1. 서버 관리자 탐색 창에서 역할네트워크 정책 및 액세스를 선택합니다.

  2. 라우팅 및 원격 액세스 서버의 바로 가기(마우스 오른쪽 버튼 클릭) 메뉴를 열고 라우팅 및 원격 액세스 구성 및 사용을 클릭합니다.

  3. 라우팅 및 원격 액세스 설정 마법사시작 페이지에서 다음을 선택합니다.

  4. 구성 페이지에서 사용자 지정 구성, 다음을 선택합니다.

  5. LAN 라우팅, 다음을 선택합니다.

  6. 마침을 클릭합니다.

  7. [Routing and Remote Access] 대화 상자가 나타나면 [Start service]를 선택합니다.

4단계: VPN 터널 설정

다운로드한 구성 파일에 포함된 netsh 스크립트를 실행하거나 Windows 서버의 New Connection Security Rule 마법사를 사용하여 VPN 터널을 구성할 수 있습니다.

중요

IPsec 세션에 대해 마스터 키 PFS(Perfect Forward Secrecy)를 사용하는 것이 좋습니다. 그러나 PFS는 Windows Server 2008 R2 사용자 인터페이스를 사용하여 활성화할 수 없으며, qmpfs=dhgroup2로 지정하여 netsh 스크립트를 실행해야 이 설정을 활성화할 수 있습니다. 따라서 요구 사항을 고려하여 적절한 구성 옵션을 선택해야 합니다.

옵션 1: netsh 스크립트 실행

다운로드한 구성 파일에서 netsh 스크립트를 복사한 후 변수를 교체합니다. 다음은 예제 스크립트입니다.

netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^ Profile=any Type=Static Mode=Tunnel ^ LocalTunnelEndpoint=Windows_Server_Private_IP_address ^ RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix ^ Endpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^ Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^ QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: 추천 이름(VGW-1a2b3c4d Tunnel 1))을 원하는 이름으로 바꿀 수 있습니다.

LocalTunnelEndpoint: 네트워크에 설정된 Windows 서버의 프라이빗 IP 주소를 입력합니다.

Endpoint1: Windows 서버가 구성된 네트워크의 CIDR 블록입니다(예: 172.31.0.0/16).

Endpoint2: VPC 또는 VPC 서브넷의 CIDR 블록입니다(예: 10.0.0.0/16).

명령 프롬프트 창에서 업데이트된 스크립트를 실행합니다. (이때 ^를 사용하면 명령줄에서 텍스트를 선택하여 잘라내고 붙여 넣을 수 있습니다.) 이 VPN 연결의 두 번째 VPN 터널을 설정하려면 구성 파일에서 두 번째 netsh 스크립트를 사용하여 위 프로세스를 반복합니다.

작업을 마치면 2.4: Windows 방화벽 구성 단원으로 이동합니다.

netsh 파라미터에 대한 자세한 정보는 Microsoft TechNet LibraryNetsh AdvFirewall Consec 명령을 참조하십시오.

옵션 2: Windows Server 사용자 인터페이스 사용

또한 Windows Server 사용자 인터페이스를 사용하여 VPN 터널을 설정할 수 있으며, 이 단원에서 자세한 방법을 소개합니다.

중요

마스터 키 PFS(Perfect Forward Secrecy)는 Windows Server 2008 R2 사용자 인터페이스를 사용하여 활성화할 수 없습니다. 따라서 PFS를 사용할 경우 이 옵션에서 설명하는 사용자 인터페이스 대신, 옵션 1에서 설명한 netsh 스크립트를 사용해야 합니다.

2.1: VPN 터널의 보안 규칙 구성

이 단원에서는 Windows 서버의 보안 규칙을 구성하여 VPN 터널을 만듭니다.

VPN 터널의 보안 규칙을 구성하려면 다음을 수행합니다.

  1. Server Manager 탐색 창에서 [Configuration] 및 [Windows Firewall with Advanced Security]를 차례로 확장합니다.

  2. 연결 보안 규칙에서 마우스 오른쪽 버튼을 클릭하여 바로 가기 메뉴를 열고 새 규칙을 선택합니다.

  3. 새 연결 보안 규칙 마법사의 규칙 유형 페이지에서 터널, 다음을 선택합니다.

  4. 터널 유형 페이지의 What type of tunnel would you like to create(생성할 터널 유형)에서 사용자 지정 구성을 선택합니다. Would you like to exempt IPsec-protected connections from this tunnel(이 터널에서 IPsec 보호 연결을 제외하시겠습니까)에서 기본값을 선택된 대로 No. Send all network traffic that matches this connection security rule through the tunnel(아니요. 이 연결 보안 규칙과 일치하는 모든 네트워크 트랙픽을 터널을 통해 전송합니다)로 그대로 두고, 다음을 선택합니다.

  5. [Requirements] 페이지에서 [Require authentication for inbound connections. Do not establish tunnels for outbound connections] 및 [Next]를 차례로 선택합니다.

    
									요구 사항 페이지
  6. [Tunnel Endpoints] 페이지의 [Which computers are in Endpoint 1]에서 [Add]를 선택합니다. Windows Server 고객 게이트웨이 디바이스 뒤에 있는 네트워크의 CIDR 범위를 입력하고 확인을 선택합니다. 범위에 고객 게이트웨이 디바이스의 IP 주소가 포함될 수 있습니다.

  7. [What is the local tunnel endpoint (closest to computer in Endpoint 1)]에서 [Edit]를 선택합니다. Windows 서버의 프라이빗 IP 주소를 입력하고 확인을 클릭합니다.

  8. [What is the remote tunnel endpoint (closest to computers in Endpoint 2)]에서 [Edit]를 선택합니다. 구성 파일에서 터널 1에 대한 가상 프라이빗 게이트웨이의 IP 주소(Remote Tunnel Endpoint 참조)를 입력하고 확인을 클릭합니다.

    중요

    터널 2에 대해 이 프로세스를 반복할 경우 터널 2의 엔드포인트를 선택해야 합니다.

  9. [Which computers are in Endpoint 2]에서 [Add]를 선택합니다. VPC의 CIDR 블록을 입력한 후 확인을 클릭합니다.

    중요

    대화 상자에서 [Which computers are in Endpoint 2]가 나올 때까지 스크롤해야 합니다. 이 단계를 완료한 후 [Next]를 선택해야 서버에 연결할 수 있습니다.

    
									새 연결 보안 규칙 마법사: 터널 엔드포인트
  10. 설정이 모두 올바르게 지정되었는지 확인한 후 다음을 선택합니다.

  11. 인증 방법 페이지에서 고급, 사용자 지정을 선택합니다.

  12. [First authentication methods]에서 [Add]를 선택합니다.

  13. 미리 공유한 키를 선택하고 구성 파일의 사전 공유 키 값을 입력한 후 확인을 선택합니다.

    중요

    터널 2에 대해 이 프로세스를 반복할 경우 터널 2의 사전 공유 키를 선택해야 합니다.

    
									첫 번째 인증 메서드 추가
  14. First authentication is optional 옵션을 선택 취소한 후 확인을 선택합니다.

  15. 인증 방법 페이지에서 다음을 선택합니다.

  16. 프로필 페이지에서 세 개의 확인란인 도메인, 비공개, 공개를 모두 선택합니다. [Next]를 선택합니다.

  17. 이름 페이지에서 연결 규칙 이름을 입력한 후 마침을 선택합니다.

    
									새 연결 보안 규칙 마법사

위 단계를 반복하고 구성 파일에서 터널 2의 데이터를 지정합니다.

이 과정을 완료하면 VPN 연결에 대해 2개의 터널이 구성됩니다.

2.3: 터널 구성 확인

터널 구성을 확인하려면 다음을 수행합니다.

  1. 서버 관리자 탐색 창에서 구성 노드를 확장하고 고급 보안이 포함된 Windows 방화벽을 확장한 후 연결 보안 규칙을 클릭합니다.

  2. 두 터널에 대해 다음 사항을 확인합니다.

    • 사용Yes로 설정됨.

    • 인증 모드Require inbound and clear outbound로 설정됨.

    • 인증 방법Custom로 설정됨.

    • 엔드포인트 1 포트Any로 설정됨.

    • 엔드포인트 2 포트Any로 설정됨.

    • 프로토콜Any로 설정됨.

  3. 첫 번째 터널의 보안 규칙을 두 번 클릭합니다.

  4. [Computers] 탭에서 다음 사항을 확인합니다.

    • [Endpoint 1]에 표시된 CIDR 블록 범위가 네트워크의 CIDR 블록 범위와 일치합니다.

    • [Endpoint 2]에 표시된 CIDR 블록 범위가 VPC의 CIDR 블록 범위와 일치합니다.

  5. 인증 탭의 방법에서 사용자 지정을 선택하여 First authentication methods(첫 번째 인증 방법)에 포함된 터널 구성 파일의 미리 공유된 키가 올바른지 확인합니다. 확인을 선택합니다.

  6. [Advanced] 탭에서 [Domain], [Private] 및 [Public]이 모두 선택되어 있는지 확인합니다.

  7. [IPsec tunneling]에서 [Customize]를 선택합니다. IPsec 터널이 다음과 같이 설정되어 있는지 확인합니다.

    • [Use IPsec tunneling]이 선택되어 있습니다.

    • [Local tunnel endpoint (closest to Endpoint 1)]에 서버의 IP 주소가 포함되어 있습니다. 고객 게이트웨이 디바이스가 Windows Server 인스턴스인 경우 인스턴스의 프라이빗 IP 주소가 됩니다.

    • [Remote tunnel endpoint (closest to Endpoint 2)]에 해당 터널의 가상 프라이빗 게이트웨이 IP 주소가 포함되어 있습니다.

  8. 두 번째 터널의 보안 규칙을 두 번 클릭합니다. 이 터널에 대해 위 4~7단계를 반복합니다.

2.4: Windows 방화벽 구성

서버의 보안 규칙을 설정한 후 가상 프라이빗 게이트웨이를 사용할 수 있도록 기본 IPsec 설정을 구성합니다.

Windows 방화벽을 구성하려면

  1. 서버 관리자 탐색 창에서 고급 보안이 포함된 Windows 방화벽을 마우스 오른쪽 버튼으로 클릭하여 바로 가기 메뉴를 열고 속성을 클릭합니다.

  2. IPsec 설정을 선택합니다.

  3. [IPsec exemptions]에서 [Exempt ICMP from IPsec]이 [No (default)]인지 확인하고, [IPsec tunnel authorization]이 [None]인지 확인합니다.

  4. [IPsec defaults]에서 [Customize]를 선택합니다.

  5. Customize IPsec Settings(IPsec 설정 사용자 지정) 대화 상자의 키 교환(주 모드)에서 고급을 선택하고 사용자 지정을 선택합니다.

  6. Customize Advanced Key Exchange SettingsSecurity methods에서 첫 번째 항목에 대해 다음과 같은 기본값이 사용되었는지 확인합니다.

    • Integrity: SHA-1

    • Encryption: AES-CBC 128

    • Key exchange algorithm: Diffie-Hellman Group 2

    • [Key lifetimes]에서 [Minutes]가 480이고 [Sessions]가 0인지 확인합니다.

    이 설정은 구성 파일의 다음 항목에 해당됩니다.

    MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec
    
									고급 키 교환 설정 사용자 지정
  7. [Key exchange options]에서 [Use Diffie-Hellman for enhanced security]와 [OK]를 차례로 선택합니다.

  8. 데이터 보호(빠른 모드)에서 고급, 사용자 지정을 선택합니다.

  9. 이 설정을 사용하는 모든 연결 보안 규칙에 대해 암호화 필요를 선택합니다.

  10. [Data integrity and encryption algorithms]에서 다음 기본값을 유지합니다.

    • Protocol: ESP

    • Integrity: SHA-1

    • Encryption: AES-CBC 128

    • Lifetime: 60분

    이들 값은 구성 파일의 다음 항목에 해당됩니다.

    QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb
  11. IPsec 설정 사용자 지정 대화 상자로 돌아가려면 확인을 선택합니다. 확인을 선택합니다.

5단계: 작동 중단 게이트웨이 감지 활성화

이제 게이트웨이에 사용할 수 없는 경우 이를 감지하도록 TCP를 구성합니다. 이를 위해 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 레지스트리 키를 수정합니다. 앞 단원을 모두 완료한 후에 이 단계를 수행해야 하며, 레지스트리 키를 변경한 후에는 서버를 다시 부팅해야 합니다.

작동 중단 게이트웨이 감지를 활성화하려면 다음을 수행합니다.

  1. 서버에서 시작을 클릭하고 regedit를 입력하여 레지스트리 편집기를 실행합니다.

  2. HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, 서비스, Tcpip, 매개 변수를 확장합니다.

  3. 다른 창에서 새로 만들기를 마우스 오른쪽 버튼을 클릭하여 바로 가기 메뉴를 열고 DWORD(32비트) 값을 선택합니다.

  4. 이름으로 [EnableDeadGWDetect]를 입력합니다.

  5. EnableDeadGWDetect를 마우스 오른쪽 버튼을 클릭하여 바로 가기 메뉴를 열고 수정을 선택합니다.

  6. 값 데이터1을 입력한 후 확인을 선택합니다.

  7. Registry Editor를 닫고 서버를 다시 부팅합니다.

자세한 정보는 Microsoft TechNet LibraryEnableDeadGWDetect를 참조하십시오.

6단계: VPN 연결 테스트

VPN 연결이 올바르게 작동하고 있는지 테스트하려면 VPC로 인스턴스를 실행한 후 인터넷 연결이 없는지 확인합니다. 인스턴스를 시작한 후 Windows 서버에서 인스턴스의 프라이빗 IP 주소를 ping합니다. 고객 게이트웨이 디바이스에서 트래픽이 생성되면 VPN 터널이 가동됩니다. 따라서 ping 명령은 VPN 연결도 시작합니다.

VPN 연결을 테스트하는 단계는 Site-to-Site VPN 연결 테스트 단원을 참조하십시오.

ping 명령에 실패하면 다음 정보를 확인합니다.

  • VPC의 인스턴스에 대한 ICMP를 허용하는 보안 그룹 규칙이 구성되어 있는지 확인합니다. Windows 서버가 EC2 인스턴스인 경우 보안 그룹의 아웃바운드 규칙이 IPsec 트래픽을 허용하는지 확인합니다. 자세한 정보는 Windows Server 구성 단원을 참조하십시오.

  • ping을 수행하는 인스턴스의 운영 체제가 ICMP에 응답하도록 구성되어 있는지 확인합니다. Amazon Linux AMI 중 하나를 사용하는 것이 좋습니다.

  • ping을 수행하는 인스턴스가 Windows 인스턴스인 경우 인스턴스에 로그인하여 Windows 방화벽에 인바운드 ICMPv4를 활성화합니다.

  • VPC의 라우팅 테이블 또는 서브넷이 올바르게 구성되어 있는지 확인합니다. 자세한 내용은 1단계: VPN 연결 생성 및 VPC 구성 단원을 참조하십시오.

  • 고객 게이트웨이 디바이스가 Windows Server 인스턴스인 경우 인스턴스의 원본/대상 확인이 비활성화되어 있는지 확인합니다. 자세한 내용은 Windows Server 구성 단원을 참조하십시오.

Amazon VPC 콘솔의 [VPN Connections] 페이지에서 VPN 연결을 선택합니다. 첫 번째 터널이 사용되고 있으며, 두 번째 터널은 구성되어 있지만 첫 번째 터널이 중단되기 전까지는 사용되지 않습니다. 암호화된 터널을 수립하려면 다소 시간이 걸릴 수 있습니다.