AWS Virtual Private Network 고객 게이트웨이 디바이스에 대한 동적 라우팅 구성

다음은 사용자 인터페이스(사용 가능한 경우)를 사용하여 고객 게이트웨이 디바이스를 구성하는 몇 가지 예제 절차입니다.

Check Point

다음은 Gaia 웹 포털 및 Check Point를 사용하여 R77.10 이상을 실행하는 Check Point Security Gateway 디바이스를 구성하는 단계입니다 SmartDashboard. Check Point Support Center에서 Amazon Web Services(AWS) VPN BGP 문서를 참조할 수도 있습니다.

터널 인터페이스를 구성하려면

첫 번째 단계는 VPN 터널을 생성하고 고객 게이트웨이의 프라이빗(내부) IP 주소와 각 터널에 대한 가상 프라이빗 게이트웨이를 제공하는 것입니다. 첫 번째 터널을 생성하려면 구성 파일의 IPSec Tunnel #1 단원에 제공된 정보를 사용합니다. 두 번째 터널을 생성하려면 구성 파일의 IPSec Tunnel #2 단원에 제공된 값을 사용합니다.

를 통해 보안 게이트웨이에 연결합니다SSH. 기본이 아닌 셸을 사용하는 경우 clish 명령을 실행하여 clish로 변경합니다.
다음 명령을 실행하여 고객 게이트웨이ASN(고객 게이트웨이ASN가 생성될 때 제공된 AWS)를 설정합니다.
```
set as 65000
```
구성 파일의 IPSec Tunnel #1 단원에 제공된 정보를 사용하여 첫 번째 터널에 대한 터널 인터페이스를 생성합니다. 터널에 고유 이름을 지정합니다(예: AWS_VPC_Tunnel_1).
```
add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
set interface vpnt1 state on 
set interface vpnt1 mtu 1436 
```
구성 파일의 IPSec Tunnel #2 단원에 제공된 정보로 이 명령을 반복하여 두 번째 터널을 생성합니다. 터널에 고유 이름을 지정합니다(예: AWS_VPC_Tunnel_2).
```
add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
set interface vpnt2 state on 
set interface vpnt2 mtu 1436 
```
가상 프라이빗 게이트웨이를 설정합니다ASN.
```
set bgp external remote-as 7224 on 
```

구성 파일의 제공된 정보 IPSec Tunnel #1 섹션을 사용하여 첫 번째 터널에 BGP 대한를 구성합니다.


set bgp external remote-as 7224 peer 169.254.44.233 on 
set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

구성 파일의 제공된 정보 IPSec Tunnel #2 섹션을 사용하여 두 번째 터널에 BGP 대한를 구성합니다.


set bgp external remote-as 7224 peer 169.254.44.37 on 
set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

구성을 저장합니다.
```
save config
```

BGP 정책을 생성하려면

그런 다음에서 광고하는 경로를 가져올 수 있도록 허용하는 BGP 정책을 생성합니다 AWS. 그런 다음 고객 게이트웨이를 구성하여 AWS로 로컬 경로를 광고합니다.

Gaia WebUI에서 [Advanced Routing], [Inbound Route Filters]를 선택합니다. 추가를 선택하고 BGP 정책 추가(AS 기반)를 선택합니다.
BGP 정책 추가에서 첫 번째 필드에 512~1024 사이의 값을 선택하고 두 번째 필드에 가상 프라이빗 게이트웨이ASN를 입력합니다(예: 7224).
저장(Save)을 선택합니다.

로컬 경로를 알리려면

다음은 로컬 인터페이스 경로를 배포하기 위한 단계입니다. 정적 경로 또는 동적 라우팅 프로토콜을 통해 얻은 경로와 같은 다양한 소스의 경로도 재배포할 수 있습니다. 자세한 정보는 Gaia Advanced Routing R77 Versions Administration Guide 단원을 참조하십시오.

Gaia WebUI에서 [Advanced Routing], [Routing Redistribution]을 선택합니다. Add Redistribution From을 선택하고 Interface를 선택합니다
To Protocol에서 가상 프라이빗 게이트웨이ASN(예: )를 선택합니다7224.
[Interface]에서 내부 인터페이스를 선택합니다. 저장(Save)을 선택합니다.

새 네트워크 객체를 정의하려면

그런 다음 가상 프라이빗 게이트웨이의 퍼블릭(외부) IP 주소를 지정하여 각 VPN 터널에 대한 네트워크 객체를 생성합니다. 나중에 이러한 네트워크 객체를 VPN 커뮤니티의 위성 게이트웨이로 추가합니다. 또한 VPN 도메인의 자리 표시자로 사용할 빈 그룹을 생성해야 합니다.

체크포인트를 엽니다 SmartDashboard.
[Groups]에서 컨텍스트 메뉴를 열고 [Groups], [Simple Group]을 선택합니다. 각 네트워크 객체에 동일한 그룹을 사용할 수 있습니다.
[Network Objects]에서 컨텍스트 메뉴를 열고(마우스 오른쪽 버튼 클릭) [New], [Interoperable Device]를 선택합니다.
이름에 1단계에서 터널에 지정한 이름을 입력합니다(예: AWS_VPC_Tunnel_1 또는 AWS_VPC_Tunnel_2).
IPv4 주소에 구성 파일에 제공된 가상 프라이빗 게이트웨이의 외부 IP 주소를 입력합니다. 예: 54.84.169.196. 설정을 저장하고 대화 상자를 닫습니다.
왼쪽 카테고리 창에서 [choose Topology]를 선택합니다.
VPN 도메인 섹션에서 수동으로 정의됨을 선택한 다음 2단계에서 생성한 빈 단순 그룹을 찾아 선택합니다. 확인을 선택합니다.
구성 파일의 IPSec Tunnel #2 단원에 제공된 정보로 이 단계를 반복하여 두 번째 네트워크 객체를 생성합니다.
게이트웨이 네트워크 객체로 이동하여 게이트웨이 또는 클러스터 객체를 열고 [Topology]를 선택합니다.
VPN 도메인 섹션에서 수동으로 정의됨을 선택한 다음 2단계에서 생성한 빈 단순 그룹을 찾아 선택합니다. 확인을 선택합니다.

참고
구성한 기존 VPN 도메인을 유지할 수 있습니다. 그러나 새 VPN 연결에서 사용되거나 제공되는 호스트와 네트워크가 해당 VPN 도메인에서 선언되지 않도록 해야 합니다. 특히 VPN 도메인이 자동으로 파생되는 경우 더욱 그렇습니다.

참고

클러스터를 사용하는 경우 토폴로지를 편집하고 인터페이스를 클러스터 인터페이스로 정의합니다. 구성 파일에 지정된 IP 주소를 사용합니다.

VPN 커뮤니티, IKE및 IPsec 설정을 생성하고 구성하려면

그런 다음 체크포인트 게이트웨이에 VPN 커뮤니티를 생성하여 각 터널에 대한 네트워크 객체(상호 운용 디바이스)를 추가합니다. 인터넷 키 교환(IKE) 및 IPsec 설정도 구성합니다.

게이트웨이 속성에서 범주 창에서 IPSecVPN를 선택합니다.
[Communities], [New], [Star Community]를 선택합니다.
커뮤니티에 이름을 지정한 다음(예: AWS_VPN_Star) 카테고리 창에서 [Center Gateways]를 선택합니다.
[Add]를 선택하고 참여 게이트웨이 또는 클러스터를 게이트웨이 목록에 추가합니다.
카테고리 창에서 Satellite Gateways, Add를 선택하고 이전에 생성한 상호 운용 가능한 디바이스(AWS_VPC_Tunnel_1 및 AWS_VPC_Tunnel_2)를 참여 게이트웨이 목록에 추가합니다.
카테고리 창에서 [Encryption]을 선택합니다. 암호화 방법 섹션에서 IKEv1에 대해 IPv4를 선택하고에 IKEv2 대해 IPv6를 선택합니다. [Encryption Suite] 단원에서 [Custom], [Custom Encryption]을 선택합니다.

참고
IKEv1 기능에 IKEv1 대한 옵션에 IKEv2 대해 IPv4 및 IPv6를 선택해야 합니다.
대화 상자에서 다음과 같이 암호화 속성을 구성하고 구성을 완료하면 확인을 선택합니다.
- IKE Security Association(1단계) 속성:
  - 를 사용하여 키 교환 암호화 수행: AES-128
  - 를 사용하여 데이터 무결성 수행: SHA-1
- IPsec Security Association(2단계) 속성:
  - 를 사용하여 IPsec 데이터 암호화 수행: AES-128
  - 를 사용하여 데이터 무결성 수행: SHA-1
카테고리 창에서 [Tunnel Management]를 선택합니다. [Set Permanent Tunnels], [On all tunnels in the community]를 선택합니다. VPN 터널 공유 섹션에서 게이트웨이 페어당 VPN 터널 하나를 선택합니다.
카테고리 창에서 [Advanced Settings]를 확장하고 [Shared Secret]을 선택합니다.
첫 번째 터널의 피어 이름을 선택하고 편집을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 IPSec Tunnel #1 단원에 입력합니다.
두 번째 터널의 피어 이름을 선택하고 편집을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 IPSec Tunnel #2 단원에 입력합니다.
고급 설정 범주에서 고급 VPN 속성을 선택하고 다음과 같이 속성을 구성한 다음 완료되면 확인을 선택합니다.
- IKE (1단계):
  - Use Diffie-Hellman group: Group 2 (1024 bit)
  - 480 분마다 IKE 보안 연결 재협상
- IPsec (2단계):
  - [Use Perfect Forward Secrecy] 선택
  - Use Diffie-Hellman group: Group 2 (1024 bit)
  - 3600 초마다 IPsec 보안 연결 재협상

방화벽 규칙을 생성하려면

그런 다음 방화벽 규칙과 VPC와 로컬 네트워크 간의 통신을 허용하는 방향 일치 규칙을 사용하여 정책을 구성합니다. 그런 다음 게이트웨이에 정책을 설치합니다.

에서 게이트웨이의 글로벌 속성을 SmartDashboard선택합니다. 범주 창에서를 확장VPN하고 고급을 선택합니다.
VPN 열에서 VPN 방향 일치 활성화를 선택하고 확인을 선택합니다.
에서 방화벽을 SmartDashboard선택하고 다음 규칙을 사용하여 정책을 생성합니다.
- VPC 서브넷이 필수 프로토콜을 통해 로컬 네트워크와 통신하도록 허용합니다.
- 로컬 네트워크가 필수 프로토콜을 통해 VPC 서브넷과 통신하도록 허용합니다.
VPN 열에서 셀의 컨텍스트 메뉴를 열고 셀 편집을 선택합니다.
VPN 일치 조건 대화 상자에서 이 방향으로만 트래픽 일치를 선택합니다. 각각에 대해 추가를 선택하여 다음과 같은 방향 일치 규칙을 생성하고 생성을 완료하면 확인을 선택합니다.
- internal_clear > VPN 커뮤니티(예: VPN AWS_VPN_Star)
- VPN 커뮤니티 > VPN 커뮤니티
- VPN 커뮤니티 > internal_clear
에서 정책, 설치를 SmartDashboard선택합니다.
대화 상자에서 게이트웨이를 선택하고 [OK]를 선택하여 정책을 설치합니다.

tunnel_keepalive_method 속성을 변경하려면

Check Point 게이트웨이는 Dead Peer Detection(DPD)을 사용하여 IKE 연결이 중단된 시점을 식별할 수 있습니다. 영구 터널에 DPD 대해를 구성하려면 커뮤니티에서 영구 터널을 AWS VPN 구성해야 합니다.

기본적으로 VPN 게이트웨이의 tunnel_keepalive_method 속성은 로 설정됩니다tunnel_test. 값을 dpd로 변경해야 합니다. DPD 모니터링이 필요한 VPN 커뮤니티의 각 VPN 게이트웨이는 타사 VPN 게이트웨이를 포함하여 tunnel_keepalive_method 속성으로 구성해야 합니다. 동일한 게이트웨이에 대해 다른 모니터링 메커니즘을 구성할 수 없습니다.

G uiDBedit 도구를 사용하여 tunnel_keepalive_method 속성을 업데이트할 수 있습니다.

체크포인트를 열고 Security Management Server, Domain Management Server를 SmartDashboard선택합니다.
[File], [Database Revision Control...]을 선택하고 변경된 버전 스냅샷을 생성합니다.
, SmartDashboard SmartView 트래커 및 SmartView 모니터와 같은 모든 SmartConsole 창을 닫습니다.
G uiBDedit 도구를 시작합니다. 자세한 정보는 Check Point Support Center의 Check Point Database Tool 문서를 참조하십시오.
[Security Management Server], [Domain Management Server]를 선택합니다.
왼쪽 상단 창에서 [Table], [Network Objects], [network_objects]를 선택합니다.
오른쪽 상단 창에서 관련된 [Security Gateway], [Cluster] 객체를 선택합니다.
CTRL+F를 누르거나 검색 메뉴를 사용하여 다음을 검색합니다tunnel_keepalive_method.
아래쪽 창에서 tunnel_keepalive_method에 대한 컨텍스트 메뉴를 열고 [Edit...]를 선택합니다. dpd, 확인을 선택합니다.
VPN 커뮤니티의 일부인 각 게이트웨이에 AWS 대해 7~9단계를 반복합니다.
[File], [Save All]을 선택합니다.
G uiDBedit 도구를 닫습니다.
체크포인트를 열고 Security Management Server, Domain Management Server를 SmartDashboard선택합니다.
관련된 [Security Gateway], [Cluster] 객체에 정책을 설치합니다.

자세한 내용은 Check Point Support Center의 R77.10의 새로운 VPN 기능 문서를 참조하세요.

TCP MSS 클램핑을 활성화하려면

TCP MSS 클램핑은 TCP 패킷 조각화를 방지하기 위해 패킷의 최대 세그먼트 크기를 줄입니다.

다음 디렉터리로 이동합니다. C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\
GuiDBEdit.exe 파일을 실행하여 Check Point Database Tool을 엽니다.
[Table], [Global Properties], [properties]를 선택합니다.
fw_clamp_tcp_mss에 대해 [Edit]을 선택합니다. 값을 true로 변경하고 확인을 선택합니다.

터널 상태를 확인하려면

전문가 모드의 명령줄 도구에서 다음 명령을 실행하여 터널 상태를 확인할 수 있습니다.


vpn tunnelutil

표시되는 옵션에서 1을 선택하여 IKE 연결을 확인하고 2를 선택하여 IPsec 연결을 확인합니다.

Check Point Smart Tracker Log를 사용하여 연결을 통해 패킷이 암호화되는지도 확인할 수 있습니다. 예를 들어 다음 로그는에 대한 패킷이 터널 1을 통해 전송VPC되어 암호화되었음을 나타냅니다.

SonicWALL

WALL SonicOS 관리 인터페이스를 사용하여 Sonic 디바이스를 구성할 수 있습니다. 터널 구성에 대한 자세한 내용은 AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 정적 라우팅 구성 단원을 참조하십시오.

관리 인터페이스를 사용하여 디바이스에 BGP 대해를 구성할 수 없습니다. 대신 이라는 섹션의 예제 구성 파일에 제공된 명령줄 지침을 사용합니다BGP.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

다운로드 가능한 동적 구성 파일

고객 게이트웨이 디바이스로 Windows Server 구성