인프런 커뮤니티 질문&답변

public님의 프로필 이미지
public

작성한 질문수

(신규 강의로 재오픈 예정) 스스로 구축하는 AWS 클라우드 네트워크 - 기본편

[실습] Openswan 설치 및 Site-to-Site VPN 환경 설정

ping 관련해서 질문드립니다.

작성

·

260

0

안녕하세요. 우선 좋은 강의 감사합니다.

public-ec2-d가 도쿄가 아닌 버지니아 북부로 했다는 점을 제외한 모든 설정을 강의와 동일하게 구성했다고 생각하는데, ping이 안되어 혹시 시도해볼만한 방법이 있을지 문의남깁니다.

현재 서울의 public-ec2-a에서 igw 통해 public-ec2-d의 외부아이피에 ping은 성공한것으로 보아 보안그룹이나 ACL의 문제는 아닌 것으로 자체판단하고 있습니다. (private-ec2-a도 public과 라우팅테이블 제외한 구성이 동일합니다.)

추가로, s2s VPN 구축을 목적으로 하고있어서 private ec2 구성 이후 섹션 (vpc endpoint, ELB, VPC peering, Transit gateway) 은 아직 수강하지 않았는데, 해당 섹션들에서 s2s VPN 구축에 필요한 구성이 있었을 가능성이 있을까요? 

 

답변 3

1

안녕하세요 public님,

 

1. 도쿄 리전의 public-subnet-d-rt에는 별도로 설정하신 사항이 없다면 아래 두 라우팅 정보만 있어도 괜찮습니다.

Destination / Target
10.4.0.0/16 / Local
0.0.0.0/0 / Internet Gateway (igw)

 

2. 아키텍처 다이어그램 상으로는 customer gateway(cgw)와 public-ec2-d가 별도의 통신을 하는 것처럼 표시하였지만, 실질적인 VPN Connection 구성 상으로는 도쿄 리전의 public-ec2-d가 곧 customer gateway(cgw)이고, 이 customer gateway(cgw)는 VPN Connection을 통해 Virtual Private Gateway(vgw)로 연결되기 때문에 별도의 라우팅 정보를 만들지 않아도 vpc-a로의 통신이 가능합니다.

public님의 프로필 이미지
public
질문자

개념적으로 이해하는데에 정말 많은 도움이 되었습니다. 감사합니다 ! 

0

public님의 프로필 이미지
public
질문자

다소 추상적인 질문에도 불구하고 상세히 답변해주셔서 감사드립니다~! 계속적으로 시도해보겠습니다. 

+)강의 내 도쿄리전에 있는 라우팅테이블 public-subnet-d-rt의 경우 Destination 0.0.0.0/16에 대한 Target이 igw만 있는 게 맞을까요?
느낌적으로 public-subnet-a-rt 가 10.4.0.0/16의 Target에  vgw가 있었던 것처럼 10.1.0.0/16 의 Target에 cgw(?)와 같은 설정이 필요한게 아닌가 해서 추가문의 남깁니다...! 

0

안녕하세요 public님,

 

VPN 설정이 정상이라는 가정 하에, 우선은 Security group과 Route table 설정 내역을 체크, IPSec 재시작 등을 고려해볼 수 있겠습니다.

 

1. Security group

  - 서로 통신을 하고자 하는 EC2 인스턴스의 각 Security group Inbound rule의 Type, Protocol, Source가 잘 설정되어있는지 체크

  - Type: All ICMP - IPv4, Protocol: ICMP, Source: 통신하고자 하는 상대편 인스턴스가 속한 VPC의 CIDR Block

  - 예) private-ec2-a-sg는 public-ec2-d가 속한 vpc-d의 CIDR Block(10.4.0.0/16)이 Source로 설정

 

2. Route table

  - Route table에 Destination에 대한 Target이 Virtual Private Gateway로 설정되어 있는지 체크

  - 예) private-subnet-a-rt는 Destination 10.4.0.0/16에 대한 Target이 vpc-a-vgw(VPN Connection에 연결된 Virtual Private Gateway)로 설정

 

3. IPSec 재시작

  - 간혹 ipsec 구성 또는 수정 후 변경 사항이 반영되지 않아서 통신이 되지 않는 경우도 있으며 public-ec2-d에서 network 및 ipsec 재시작 (service network restart, service ipsec restart)

 

통신이 되지 않는 이유는 워낙 다양하기 때문에 정확한 방법을 알려드리기 어려운 점 양해 부탁드리며, 통신에 직접적으로 관련된 요소들을 하나씩 살펴보고 체크해보시는 것을 추천드립니다.

 

(※ Endpoint, Peering 등 VPN 이전 챕터에서는 VPN 구성과 직접 관련된 항목을 설정하지는 않습니다.)

public님의 프로필 이미지
public

작성한 질문수

질문하기