VPN이 "피어가 응답하지 않음" 메시지와 함께 종료된다면 네트워크 중단이나 누락된 또는 잘못 구성된 방화벽 규칙이 그 근본 원인일 수 있습니다.

문제

새 VPN 생성 후 해당 VPN이 작동하지 않거나 끝점 중 하나가 업데이트 또는 재구성되면 또는 경로 테이블이 변경되면 작동 중인 VPN이 실패합니다.

원인

ping과 같은 명령을 사용하여 연결을 확인할 수 있는 다른 끝점과 달리 VPN 자체 외부에서는 VPN 연결을 실제로 확인할 수 없습니다. IPsec은 UDP를 사용하므로 피어로부터 응답을 받거나 받지 않습니다. Ping 연결은 피어가 이를 사용하도록 설정했는지 여부에 따라 달라지지만 보통 사용하지 않도록 설정합니다.

해결책

  1. VPN에 구성된 원격 IP 주소가 피어가 수신하는 IP와 일치하는지 확인합니다.
  2. 원격(온-프레미스) 사이트의 방화벽이 UDP 포트 500으로의 트래픽을 허용하도록 구성되어 있는지 확인합니다. 원격 끝점에 NAT가 적용된 경우 원격 사이트의 방화벽이 UDP 포트 4500으로의 트래픽을 허용해야 합니다.
  3. IPsec VPN 트래픽은 방화벽을 통해 허용되어야 하는 여러 프로토콜을 사용합니다.
    여기에는 다음이 포함됩니다.
    • ESP(보안 페이로드 캡슐화) IP 프로토콜 50
    • IC(인증 헤더) - IP 프로토콜 51
    • IKE(Internet Key Exchange) 및 IKE v2를 차례로 사용하는 ISAKMP(Internet Security Association and Key Management Protocol)
  4. 두 끝점에 대해 동일한 IKE 버전이 구성되어 있는지 확인합니다.
  5. 양쪽이 서로 연결할 수 있도록 경로가 설정되어 있는지 확인합니다.
    이것은 traceroute를 사용하여 검증할 수 있지만 많은 끝점이 표준 ICMP 에코(ping) 또는 traceroute 요청에 응답하지 않기 때문에 종단 간 경로 검증이 항상 가능한 것은 아닙니다. SDDC VPN 로컬 IP 주소를 [공용]으로 구성하면 VPN 트래픽이 항상 SDDC 인터넷 게이트웨이를 통해 흐릅니다. 그러지 않고 VPN 로컬 IP 주소를 [개인]으로 구성하면 VPN 트래픽이 SDDC 인트라넷 업링크를 통해 흐릅니다. VPN의 원격 측이 동일한 경로를 통해 응답 트래픽을 전송하는지 확인합니다.