AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 정적 라우팅 구성 - AWS Site-to-Site VPN

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 정적 라우팅 구성

다음은 사용자 인터페이스(사용 가능한 경우)를 사용하여 고객 게이트웨이 디바이스를 구성하는 몇 가지 예제 절차입니다.

Check Point

다음은 장치가 R77.10 이상을 실행하는 Check Point Security Gateway 디바이스인 경우 Gaia 운영 체제 및 Check Point를 사용하여 고객 게이트웨이 디바이스를 구성하는 단계입니다 SmartDashboard. Check Point Support Center에서 Check Point Security Gateway to Amazon Web Services 문서를 참조IPsecVPNVPC할 수도 있습니다.

터널 인터페이스를 구성하려면

첫 번째 단계는 VPN 터널을 생성하고 고객 게이트웨이의 프라이빗(내부) IP 주소와 각 터널에 대한 가상 프라이빗 게이트웨이를 제공하는 것입니다. 첫 번째 터널을 생성하려면 구성 파일의 IPSec Tunnel #1 단원에 제공된 정보를 사용합니다. 두 번째 터널을 생성하려면 구성 파일의 IPSec Tunnel #2 단원에 제공된 값을 사용합니다.

  1. Check Point Security Gateway 디바이스의 Gaia 포털을 엽니다.

  2. 네트워크 인터페이스, 추가, 터널을 선택합니다. VPN

  3. 대화 상자에서 다음과 같이 설정을 구성하고 구성을 완료하면 [OK]를 선택합니다.

    • VPN 터널 ID에 1과 같은 고유한 값을 입력합니다.

    • [Peer]에 터널의 고유 이름을 입력합니다(예: AWS_VPC_Tunnel_1 또는 AWS_VPC_Tunnel_2).

    • Numbered가 선택되어 있는지 확인하고 Local Address에 구성 파일의 CGW Tunnel IP에 지정된 IP 주소를 입력합니다(예: 169.254.44.234).

    • [Remote Address]에 구성 파일의 VGW Tunnel IP에 지정된 IP 주소를 입력합니다(예: 169.254.44.233).

    체크포인트 VPN 터널 추가 대화 상자

  4. 를 통해 보안 게이트웨이에 연결합니다SSH. 기본이 아닌 셸을 사용하는 경우 clish 명령을 실행하여 clish로 변경합니다.

  5. 터널 1에 대해 다음 명령을 실행합니다.

    set interface vpnt1 mtu 1436

    터널 2에 대해 다음 명령을 실행합니다.

    set interface vpnt2 mtu 1436

  6. 구성 파일의 IPSec Tunnel #2 단원에 제공된 정보로 이 단계를 반복하여 두 번째 터널을 생성합니다.

정적 경로를 구성하려면

이 단계에서는 터널 인터페이스를 통해 트래픽을 전송할 수 있도록 각 터널에 VPC 대해의 서브넷으로의 정적 경로를 지정합니다. 두 번째 터널은 첫 번째 터널에 문제가 있을 경우 장애 조치를 활성화합니다. 문제가 감지되면 정책 기반 정적 경로가 라우팅 테이블에서 제거되고 두 번째 경로가 활성화됩니다. 터널의 다른 쪽 끝을 ping하여 터널이 작동 중인지 확인하기 위해 Check Point 게이트웨이도 활성화해야 합니다.

  1. Gaia 포털에서 IPv4 정적 경로, 추가를 선택합니다.

  2. 서브넷CIDR의를 지정합니다. 예: 10.28.13.0/24.

  3. [Add Gateway], [IP Address]를 선택합니다.

  4. 구성 파일의 VGW Tunnel IP에 지정된 IP 주소를 입력하고(예: 169.254.44.233) 우선 순위 1을 지정합니다.

  5. [Ping]을 선택합니다.

  6. 구성 파일의 VGW Tunnel IP 섹션에 있는 IPSec Tunnel #2 값을 사용하여 두 번째 터널에 대해 3단계 및 4단계를 반복합니다. 우선 순위 2를 지정합니다.

    Check Point Edit Destination Route 대화 상자

  7. 저장(Save)을 선택합니다.

클러스터를 사용하는 경우 클러스터의 다른 구성원에 대해 위의 단계를 반복합니다.

새 네트워크 객체를 정의하려면

이 단계에서는 가상 프라이빗 게이트웨이의 퍼블릭(외부) IP 주소를 지정하여 각 VPN 터널에 대한 네트워크 객체를 생성합니다. 나중에 이러한 네트워크 객체를 VPN 커뮤니티의 위성 게이트웨이로 추가합니다. 또한 VPN 도메인의 자리 표시자로 사용할 빈 그룹을 생성해야 합니다.

  1. 체크포인트를 엽니다 SmartDashboard.

  2. [Groups]에서 컨텍스트 메뉴를 열고 [Groups], [Simple Group]을 선택합니다. 각 네트워크 객체에 동일한 그룹을 사용할 수 있습니다.

  3. [Network Objects]에서 컨텍스트 메뉴를 열고(마우스 오른쪽 버튼 클릭) [New], [Interoperable Device]를 선택합니다.

  4. 이름에 터널에 지정한 이름을 입력합니다(예: AWS_VPC_Tunnel_1 또는 AWS_VPC_Tunnel_2).

  5. IPv4 주소에 구성 파일에 제공된 가상 프라이빗 게이트웨이의 외부 IP 주소를 입력합니다. 예: 54.84.169.196. 설정을 저장하고 대화 상자를 닫습니다.

    [Check Point Interoperable Device] 대화 상자

  6. 에서 게이트웨이 속성을 SmartDashboard열고 범주 창에서 토폴로지를 선택합니다.

  7. 인터페이스 구성을 가져오려면 [Get Topology]를 선택합니다.

  8. VPN 도메인 섹션에서 수동으로 정의됨을 선택한 다음 2단계에서 생성한 빈 단순 그룹을 찾아 선택합니다. 확인을 선택합니다.

    참고

    구성한 기존 VPN 도메인을 유지할 수 있습니다. 그러나 새 VPN 연결에서 사용되거나 제공되는 호스트와 네트워크가 해당 VPN 도메인에서 선언되지 않도록 해야 합니다. 특히 VPN 도메인이 자동으로 파생되는 경우 더욱 그렇습니다.

  9. 구성 파일의 IPSec Tunnel #2 단원에 제공된 정보로 이 단계를 반복하여 두 번째 네트워크 객체를 생성합니다.

참고

클러스터를 사용하는 경우 토폴로지를 편집하고 인터페이스를 클러스터 인터페이스로 정의합니다. 구성 파일에 지정된 IP 주소를 사용합니다.

VPN 커뮤니티, IKE및 IPsec 설정을 생성하고 구성하려면

이 단계에서는 Check Point 게이트웨이에 VPN 커뮤니티를 생성하여 각 터널에 대한 네트워크 객체(상호 운용 디바이스)를 추가합니다. 인터넷 키 교환(IKE) 및 IPsec 설정도 구성합니다.

  1. 게이트웨이 속성에서 범주 창에서 IPSecVPN를 선택합니다.

  2. [Communities], [New], [Star Community]를 선택합니다.

  3. 커뮤니티에 이름을 지정한 다음(예: AWS_VPN_Star) 카테고리 창에서 [Center Gateways]를 선택합니다.

  4. [Add]를 선택하고 참여 게이트웨이 또는 클러스터를 게이트웨이 목록에 추가합니다.

  5. 카테고리 창에서 Satellite Gateways(위성 게이트웨이), 추가를 선택하고 이전에 생성한 상호 운용 가능한 디바이스(AWS_VPC_Tunnel_1AWS_VPC_Tunnel_2)를 참여 게이트웨이 목록에 추가합니다.

  6. 카테고리 창에서 [Encryption]을 선택합니다. 암호화 방법 섹션에서 IKEv1 만 선택합니다. [Encryption Suite] 단원에서 [Custom], [Custom Encryption]을 선택합니다.

  7. 대화 상자에서 다음과 같이 암호화 속성을 구성하고 구성을 완료하면 [OK]를 선택합니다.

    • IKE Security Association(1단계) 속성:

      • 사용하여 키 교환 암호화 수행: AES-128

      • 사용하여 데이터 무결성 수행: SHA-1

    • IPsec Security Association(2단계) 속성:

      • 사용하여 IPsec 데이터 암호화 수행: AES-128

      • 사용하여 데이터 무결성 수행: SHA-1

  8. 카테고리 창에서 [Tunnel Management]를 선택합니다. [Set Permanent Tunnels], [On all tunnels in the community]를 선택합니다. VPN 터널 공유 섹션에서 게이트웨이 페어당 VPN 터널 하나를 선택합니다.

  9. 카테고리 창에서 [Advanced Settings]를 확장하고 [Shared Secret]을 선택합니다.

  10. 첫 번째 터널의 피어 이름을 선택하고 편집을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 IPSec Tunnel #1 단원에 입력합니다.

  11. 두 번째 터널의 피어 이름을 선택하고 편집을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 IPSec Tunnel #2 단원에 입력합니다.

    [Check Point Interoperable Shared Secret] 대화 상자

  12. 고급 설정 범주에서 고급 VPN 속성을 선택하고 다음과 같이 속성을 구성한 다음 완료되면 확인을 선택합니다.

    • IKE (1단계):

      • Use Diffie-Hellman group: Group 2

      • 480 마다 IKE 보안 연결 재협상

    • IPsec (2단계):

      • [Use Perfect Forward Secrecy] 선택

      • Use Diffie-Hellman group: Group 2

      • 3600 마다 IPsec 보안 연결 재협상

방화벽 규칙을 생성하려면

이 단계에서는 방화벽 규칙과 VPC와 로컬 네트워크 간의 통신을 허용하는 방향 일치 규칙을 사용하여 정책을 구성합니다. 그런 다음 게이트웨이에 정책을 설치합니다.

  1. 에서 게이트웨이의 글로벌 속성을 SmartDashboard선택합니다. 범주 창에서를 확장VPN하고 고급을 선택합니다.

  2. VPN 열에서 VPN 방향 일치 활성화를 선택하고 변경 사항을 저장합니다.

  3. 에서 방화벽을 SmartDashboard선택하고 다음 규칙을 사용하여 정책을 생성합니다.

    • VPC 서브넷이 필수 프로토콜을 통해 로컬 네트워크와 통신하도록 허용합니다.

    • 로컬 네트워크가 필수 프로토콜을 통해 VPC 서브넷과 통신하도록 허용합니다.

  4. VPN 열에서 셀의 컨텍스트 메뉴를 열고 셀 편집을 선택합니다.

  5. VPN 일치 조건 대화 상자에서 이 방향으로만 트래픽 일치를 선택합니다. 각각에 대해 [Add]를 선택하여 다음과 같은 방향 일치 규칙을 생성하고 생성을 완료하면 [OK]를 선택합니다.

    • internal_clear > VPN 커뮤니티(예: VPN AWS_VPN_Star)

    • VPN 커뮤니티 > VPN 커뮤니티

    • VPN 커뮤니티 > internal_clear

  6. 에서 정책, 설치를 SmartDashboard선택합니다.

  7. 대화 상자에서 게이트웨이를 선택하고 [OK]를 선택하여 정책을 설치합니다.

tunnel_keepalive_method 속성을 변경하려면

Check Point 게이트웨이는 Dead Peer Detection(DPD)을 사용하여 IKE 연결이 중단된 시점을 식별할 수 있습니다. 영구 터널에 DPD 대해를 구성하려면 커뮤니티에서 영구 터널을 AWS VPN 구성해야 합니다(8단계 참조).

기본적으로 VPN 게이트웨이의 tunnel_keepalive_method 속성은 로 설정됩니다tunnel_test. 값을 dpd로 변경해야 합니다. DPD 모니터링이 필요한 VPN 커뮤니티의 각 VPN 게이트웨이는 타사 VPN 게이트웨이를 포함하여 tunnel_keepalive_method 속성으로 구성해야 합니다. 동일한 게이트웨이에 대해 다른 모니터링 메커니즘을 구성할 수 없습니다.

G uiDBedit 도구를 사용하여 tunnel_keepalive_method 속성을 업데이트할 수 있습니다.

  1. 체크포인트를 열고 Security Management Server, Domain Management Server를 SmartDashboard선택합니다.

  2. [File], [Database Revision Control...]을 선택하고 변경된 버전 스냅샷을 생성합니다.

  3. , SmartDashboard SmartView 트래커 및 SmartView 모니터와 같은 모든 SmartConsole 창을 닫습니다.

  4. G uiBDedit 도구를 시작합니다. 자세한 정보는 Check Point Support Center의 Check Point Database Tool 문서를 참조하십시오.

  5. [Security Management Server], [Domain Management Server]를 선택합니다.

  6. 왼쪽 상단 창에서 [Table], [Network Objects], [network_objects]를 선택합니다.

  7. 오른쪽 상단 창에서 관련된 [Security Gateway], [Cluster] 객체를 선택합니다.

  8. CTRL+F를 누르거나 검색 메뉴를 사용하여 다음을 검색합니다tunnel_keepalive_method.

  9. 아래쪽 창에서 tunnel_keepalive_method에 대한 컨텍스트 메뉴를 열고 편집...을 선택합니다. dpd를 선택한 다음 확인을 선택합니다.

  10. VPN 커뮤니티의 일부인 각 게이트웨이에 AWS 대해 7~9단계를 반복합니다.

  11. [File], [Save All]을 선택합니다.

  12. G uiDBedit 도구를 닫습니다.

  13. 체크포인트를 열고 Security Management Server, Domain Management Server를 SmartDashboard선택합니다.

  14. 관련된 [Security Gateway], [Cluster] 객체에 정책을 설치합니다.

자세한 내용은 Check Point Support Center의 R77.10의 새로운 VPN 기능 문서를 참조하세요.

TCP MSS 클램핑을 활성화하려면

TCP MSS 클램핑은 TCP 패킷 조각화를 방지하기 위해 패킷의 최대 세그먼트 크기를 줄입니다.

  1. 다음 디렉터리로 이동합니다. C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\

  2. GuiDBEdit.exe 파일을 실행하여 Check Point Database Tool을 엽니다.

  3. [Table], [Global Properties], [properties]를 선택합니다.

  4. fw_clamp_tcp_mss에 대해 [Edit]을 선택합니다. 값을 true로 변경하고 [OK]를 선택합니다.

터널 상태를 확인하려면

전문가 모드의 명령줄 도구에서 다음 명령을 실행하여 터널 상태를 확인할 수 있습니다.

vpn tunnelutil

표시되는 옵션에서 1을 선택하여 IKE 연결을 확인하고 2를 선택하여 IPsec 연결을 확인합니다.

Check Point Smart Tracker Log를 사용하여 연결을 통해 패킷이 암호화되는지도 확인할 수 있습니다. 예를 들어 다음 로그는에 대한 패킷이 터널 1을 통해 전송VPC되어 암호화되었음을 나타냅니다.

Check Point 로그 파일
SonicWALL

다음 절차에서는WALL SonicOS 관리 인터페이스를 사용하여 Sonic 디바이스에서 VPN 터널을 구성하는 방법을 보여줍니다.

터널을 구성하려면

  1. SonicWALL SonicOS 관리 인터페이스를 엽니다.

  2. 왼쪽 창에서 , VPN 설정을 선택합니다. VPN 정책에서 추가...를 선택합니다.

  3. 일반 탭의 VPN 정책 창에서 다음 정보를 입력합니다.

    • 정책 유형: 터널 인터페이스를 선택하십시오.

    • 인증 방법: IKE 사전 공유 보안 암호 사용을 선택합니다.

    • 이름: VPN 정책의 이름을 입력합니다. 구성 파일에 제공된 VPN ID 이름을 사용하는 것이 좋습니다.

    • IPsec 기본 게이트웨이 이름 또는 주소: 구성 파일에 제공된 대로 가상 프라이빗 게이트웨이의 IP 주소를 입력합니다(예: 72.21.209.193).

    • IPsec 보조 게이트웨이 이름 또는 주소: 기본값을 그대로 둡니다.

    • Shared Secret: 구성 파일에 제공된 사전 공유 키를 입력한 후 Confirm Shared Secret에 다시 입력합니다.

    • 로컬 IKE ID: 고객 게이트웨이(SonicWALL 디바이스)의 IPv4 주소를 입력합니다.

    • 피어 IKE ID: 가상 프라이빗 게이트웨이의 IPv4 주소를 입력합니다.

  4. Network 탭에서 다음 정보를 입력합니다.

    • Local Networks에서 Any address를 선택합니다. 로컬 네트워크에 연결 문제가 발생하는 것을 방지하기 위해 이 옵션을 권장합니다.

    • Remote Networks에서 Choose a destination network from list를 선택합니다. CIDR의를 사용하여 주소 객체를 생성합니다VPC AWS.

  5. 제안 탭에서 다음 정보를 입력합니다.

    • IKE (1단계) 제안에서 다음을 수행합니다.

      • Exchange: Main Mode를 선택합니다.

      • DH Group: Diffie-Hellman 그룹에 대한 값을 입력합니다(예: 2).

      • 암호화: AES-128 또는 AES-256을 선택합니다.

      • 인증: SHA1 또는를 선택합니다SHA256.

      • Life Time: 28800을 입력합니다.

    • IKE (2단계) 제안에서 다음을 수행합니다.

      • 프로토콜:를 선택합니다ESP.

      • 암호화: AES-128 또는 AES-256을 선택합니다.

      • 인증: SHA1 또는를 선택합니다SHA256.

      • Enable Perfect Forward Secrecy 확인란을 선택한 후, Diffie-Hellman 그룹을 선택합니다.

      • Life Time: 3600을 입력합니다.

    중요

    2015년 10월 이전에 가상 프라이빗 게이트웨이를 생성한 경우 두 단계 모두에 대해 Diffie-Hellman 그룹 2, AES-128 및 SHA1를 지정해야 합니다.

  6. Advanced 탭에서 다음 정보를 입력합니다.

    • Enable Keep Alive를 선택합니다.

    • Enable Phase2 Dead Peer Detection을 선택한 후 다음을 입력합니다.

      • 데드 피어 감지 간격60 (SonicWALL 디바이스가 허용하는 최소 값)를 입력합니다.

      • Failure Trigger Level에 대해 3를 입력합니다.

    • VPN 정책을 바인딩하려면 인터페이스 X1을 선택합니다. 이것은 퍼블릭 IP 주소에 일반적으로 지정되는 인터페이스입니다.

  7. 확인을 선택합니다. Settings 페이지에서 터널에 대한 Enable 확인란은 기본으로 선택해야 합니다. 녹색 점은 터널이 가동 상태임을 뜻합니다.