문제해결

이 문제해결 가이드는 Cloud VPN와 관련된 일반적인 문제를 모니터링하고 해결하는 데 도움이 됩니다.

상태 메시지 및 IKE 암호화 참조를 해석하려면 참조 섹션을 참조하세요.

VPN 터널 모니터링

Stackdriver Monitoring을 사용하여 측정항목을 보고 VPN 터널과 관련된 알림을 만들 수 있습니다.

Stackdriver Monitoring을 사용하는 것 외에도 Google Cloud Platform Console UI에서 터널에 모니터링 탭을 클릭하여 측정항목을 볼 수 있습니다.

오류 메시지 확인

  1. Google Cloud Platform Console에서 VPN 페이지로 이동합니다.
    VPN 페이지로 이동
  2. 아이콘이 표시되면, 그 위로 마우스를 가져가서 오류 메시지를 확인합니다.

많은 경우에 오류 메시지를 통해 해당 문제를 정확하게 파악할 수 있습니다. 그렇지 않으면, 로그에서 자세한 정보를 확인합니다. 또한 Google Cloud Platform Console의 터널 세부정보 페이지에서 자세한 상태 정보를 확인할 수 있습니다.

VPN 로그 확인

Cloud VPN 로그는 Stackdriver Logging에 저장됩니다. 로깅은 자동으로 수행되므로 사용하도록 설정할 필요가 없습니다.

온프레미스 게이트웨이의 제품 문서에서 연결 측면의 로그 확인 정보를 검토합니다.

게이트웨이는 올바르게 구성되었으나, 호스트와 게이트웨이 사이의 온프레미스 네트워크 또는 온프레미스 게이트웨이와 Cloud VPN 게이트웨이 사이의 네트워크에 문제가 있는 경우가 많습니다.

로그에서 다음 정보를 확인합니다.

  1. Cloud VPN 게이트웨이에 구성된 온프레미스 IP가 올바른지 확인합니다.
  2. 온프레미스 호스트의 트래픽이 온프레미스 게이트웨이에 도달하는지 확인합니다.
  3. 트래픽이 2개의 VPN 게이트웨이 간에 양방향으로 연결되는지 확인합니다. VPN 로그에서 다른 VPN 게이트웨이에서 들어오는 것으로 보고된 메시지가 있는지 확인합니다.
  4. 구성된 IKE 버전이 터널 양측에서 동일한지 확인합니다.
  5. 공유 비밀번호가 터널 양측에서 동일한지 확인합니다.
  6. 온프레미스 VPN 게이트웨이가 일대일 NAT 뒤에 있는 경우, UDP 트래픽을 포트 500 및 4500에서 온프레미스 VPN 게이트웨이로 전달하도록 NAT 장치가 올바르게 구성되었는지 확인합니다. NAT 장치의 공개 IP 주소를 사용하여 자신을 식별하도록 온프레미스 게이트웨이를 구성해야 합니다. 자세한 내용은 NAT 뒤의 온프레미스 게이트웨이를 참조하세요.
  7. VPN 로그에 no-proposal-chosen 오류가 표시된 경우 Cloud VPN 및 온프레미스 VPN 게이트웨이가 암호 집합에 동의할 수 없음을 나타냅니다. IKEv1의 경우 암호 집합이 정확하게 일치해야 합니다. IKEv2의 경우에는 각 게이트웨이에서 제안된 하나 이상의 공통 암호가 있어야 합니다. 지원되는 암호를 사용하여 온프레미스 VPN 게이트웨이가 구성되었는지 확인하세요.

트래픽이 여전히 대상에 도착하지 않으면, 트래픽이 터널을 통과하도록 온프레미스 및 Google Cloud Platform 경로와 방화벽 규칙이 구성되었는지 확인합니다. 네트워크 관리자에게 도움을 요청해야 할 수 있습니다.

연결 확인

핑을 사용하여 온프레미스 시스템과 GCP VM 사이의 연결을 확인할 때는 다음 제안 사항을 고려하세요.

  • GCP 네트워크의 방화벽 규칙이 들어오는 ICMP 트래픽을 허용하는지 확인합니다. 묵시적인 송신 허용 규칙은 개발자가 트래픽을 재정의하지 않은 한 네트워크에서 나가는 ICMP 트래픽을 허용합니다. 이와 비슷하게, 들어오고 나가는 ICMP 트래픽을 허용하도록 온프레미스 방화벽이 구성되었는지 확인합니다.

  • 내부 IP 주소를 사용하여 GCP VM 및 온프레미스 시스템에 핑을 수행합니다. VPN 게이트웨이의 외부 IP 주소에 핑을 수행하면 터널을 통한 연결을 테스트할 수 없습니다.

  • 온프레미스에서 GCP로의 연결을 테스트할 때는 VPN 게이트웨이가 아니라 개발자 네트워크에 있는 시스템에서 핑을 시작하는 것이 가장 좋습니다. 적합한 소스 인터페이스를 설정한 경우에는 게이트웨이에서 핑을 수행할 수 있지만 네트워크의 인스턴스에서 핑을 수행하면 방화벽 구성을 테스트하는 추가 이점이 있습니다.

  • 핑 테스트는 실제 열려 있는 TCP 또는 UDP 포트를 확인하지 않습니다. 핑을 사용하여 시스템의 기본 연결을 확인한 후 추가 테스트를 수행해야 합니다.

일반적인 문제 및 해결책

정기적으로 몇 초 동안 작동 중지되는 터널

기본적으로 Cloud VPN은 기존 SA가 종료되기 전 대체 SA를 협상합니다(키 갱신이라고도 부름). 온프레미스 VPN 게이트웨이는 키 갱신을 수행하지 않을 수 있습니다. 대신 기존 SA를 삭제한 후에만 새 SA를 협상하여, 중단이 발생할 수 있습니다.

온프레미스 게이트웨이가 키 갱신을 수행하는지 여부는 Cloud VPN 로그를 확인하세요. Received SA_DELETE 로그 메시지 바로 다음에 연결이 삭제되었다가 다시 설정되면 온프레미스 게이트웨이가 키 갱신을 수행하지 않은 것입니다.

지원되는 IKE 암호화 문서를 사용하여 터널 설정을 확인하세요. 특히 2단계 수명 시간이 올바르고, DH(Diffie-Hellman) 그룹이 권장 값 중 하나로 설정되었는지 확인해야 합니다.

Stackdriver 고급 로그 필터를 사용하면 Cloud VPN 터널의 이벤트를 검색할 수 있습니다. 예를 들어 다음 고급 필터는 DH 그룹 불일치를 검색합니다.

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

NAT 뒤의 온프레미스 게이트웨이

Cloud VPN은 NAT 뒤의 온프레미스 또는 피어 VPN 게이트웨이로 작동할 수 있습니다. 이를 위해서는 UDP 캡슐화 및 NAT-T가 필요하며, 일대일 NAT만 지원됩니다.

인증 과정 중에 Cloud VPN은 피어 게이트웨이의 ID를 확인합니다. Cloud VPN에서 모든 피어 게이트웨이는 Cloud VPN 터널에 대해 구성된 공개 IP(피어 게이트웨이) 주소로 RFC 7815에 지정된 대로 ID_IPV4_ADDR ID 유형을 사용하여 자신을 식별해야 합니다.

다음 로그 메시지는 피어 VPN 게이트웨이가 비공개 IP 주소로 자신을 올바르지 않게 식별하고 있음을 나타냅니다. 이 예에서 [PEER GATEWAY PRIVATE IP]는 비공개 IP 주소이고, [PEER GATEWAY PUBLIC IP]는 피어 VPN 게이트웨이와 인터넷 사이의 NAT 장치의 공개 IP 주소입니다.

authentication of '[PEER GATEWAY PRIVATE IP]' with pre-shared key successful
constraint check failed: identity '[PEER GATEWAY PUBLIC IP]' required
selected peer config 'vpn_[PEER GATEWAY PUBLIC IP]' inacceptable: constraint checking failed

일대일 NAT를 사용할 때, 온프레미스 VPN 게이트웨이는 NAT 장치의 동일한 공개 IP 주소를 사용하여 자신을 식별해야 합니다.

  • ID 유형은 ID_IPV4_ADDR(RFC 7815)여야 합니다.

  • 모든 Cisco 장치에서 장치가 사용 중인 항목(내부 주소)과 다른 IP 주소로 장치 ID를 설정하도록 지원되지는 않습니다. 예를 들어 Cisco ASA 장치는 해당 ID로 다른(외부) IP 주소 할당을 지원하지 않습니다. 따라서 Cisco ASA 장치는 Cloud VPN에 일대일 NAT를 사용하도록 구성할 수 없습니다.

  • Juniper 장치의 경우에는 set security ike gateway [NAME] local-identity inet [PUBLIC_IP]를 사용하여 장치의 ID를 설정할 수 있습니다. 여기서 [NAME]은 VPN 게이트웨이 이름이고 [PUBLIC_IP]는 공개 IP 주소입니다. 자세한 내용은 이 Juniper TechLibrary 문서를 참조하세요.

일부 VM에서만 작동하고 다른 VM에서는 작동하지 않는 연결

ping, traceroute 또는 다른 트래픽 전송 방법이 일부 VM에서 온프레미스 시스템으로만 작동하거나, 일부 온프레미스 시스템에서 일부 GCP VM으로만 작동하는 경우, 그리고 GCP와 온프레미스 방화벽 규칙이 개발자가 전송 중인 트래픽을 차단하지 않는 것으로 확인된 경우 특정 소스 또는 대상을 제외하는 트래픽 선택기가 있을 수 있습니다.

트래픽 선택기는 VPN 터널을 위한 IP 주소 범위를 정의합니다. 경로 외에도 대부분의 VPN 구현은 해당 소스가 로컬 트래픽 선택기에 지정된 IP 범위 내에 있는 경우 그리고 대상이 원격 트래픽 선택기에 지정된 IP 범위 내에 있는 경우에만 터널을 통해 패킷을 전달합니다. 정책 기반 라우팅 또는 경로 기반 VPN을 사용하여 Cloud VPN 터널을 만들 때 트래픽 선택기를 지정합니다. 또한 해당하는 온프레미스 터널을 만들 때 트래픽 선택기를 지정합니다.

일부 공급업체는 로컬 프록시, 로컬 암호화 도메인 또는 좌측 네트워크라는 용어를 로컬 트래픽 선택기의 동의어로 사용합니다. 이와 비슷하게, 원격 프록시, 원격 암호화 도메인 또는 우측 네트워크원격 트래픽 선택기의 동의어입니다.

Cloud VPN 터널의 트래픽 선택기를 변경하려면 터널을 삭제하고 다시 만들어야 합니다. 그 이유는 트래픽 선택기가 터널 만들기의 핵심 부분이고, 터널을 나중에 편집할 수 없기 때문입니다.

트래픽 선택기를 정의할 때는 다음 안내를 따르세요.

  • Cloud VPN 터널의 로컬 트래픽 선택기는 온프레미스 네트워크와 공유해야 하는 VPC 네트워크에 있는 모든 서브넷을 포함합니다.
  • 온프레미스 네트워크의 로컬 트래픽 선택기는 VPC 네트워크와 공유해야 하는 모든 온프레미스 서브넷을 포함합니다.
  • 특정 VPN 터널에 대해 트래픽 선택기는 다음 관계를 갖습니다.
    • Cloud VPN 로컬 트래픽 선택기가 온프레미스 VPN 게이트웨이에 있는 터널의 원격 트래픽 선택기와 일치해야 합니다.
    • Cloud VPN 원격 트래픽 선택기가 온프레미스 VPN 게이트웨이에 있는 터널의 로컬 트래픽 선택기와 일치해야 합니다.

문제해결 참조

이 섹션에는 상태 아이콘 목록, 상태 메시지, 지원되는 IKE 암호화 목록이 포함되어 있습니다.

상태 아이콘

Cloud VPN은 Google Cloud Platform Console에서 다음 상태 아이콘을 사용합니다.

아이콘 그래픽 색상 설명 적용 메시지
녹색 성공 아이콘
녹색 성공 ESTABLISHED
노란색 경고 아이콘
노란색 경고 ALLOCATING RESOURCES, FIRST HANDSHAKE, WAITING FOR FULL CONFIG, PROVISIONING
빨간색 오류 아이콘
빨간색 오류 남은 모든 메시지

상태 메시지

Cloud VPN은 다음 상태 메시지를 사용하여 VPN 게이트웨이 및 터널 상태를 나타냅니다. VPN 터널은 표시된 상태에 따라 청구됩니다.

메시지 설명 이 상태에서의 터널 청구 여부
ALLOCATING RESOURCES 터널 설정을 위해 리소스 할당 중
PROVISIONING 터널 설정을 위해 모든 구성의 수신 대기 중 아니요
WAITING FOR FULL CONFIG 전체 구성이 수신되었지만, 터널이 아직 설정되지 않음
FIRST HANDSHAKE 터널 설정 중
ESTABLISHED 보안 통신 세션이 성공적으로 설정됨
NETWORK ERROR
(NO INCOMING PACKETS로 대체됨)
잘못된 IPsec 승인
승인 오류 핸드셰이크 실패
협상 실패 터널 구성이 거부됨, 차단 목록 때문일 수 있음
DEPROVISIONING 터널을 종료 중임 아니요
NO INCOMING PACKETS 게이트웨이가 온프레미스 VPN에서 패킷을 수신 중이 아님
REJECTED 터널 구성이 거부되었습니다. 지원 센터에 연락하세요.
STOPPED 터널이 중지되었고 활성 상태가 아닙니다. VPN 터널에 필요한 하나 이상의 전달 규칙이 삭제되었기 때문일 수 있습니다.

IKE 암호화

각 역할에서 Cloud VPN에서 현재 지원되는 가장 강력한 보안 옵션은 굵게 표시되어 있습니다.
참고: Cloud VPN은 IPSec ESP 터널 모드에서 작동합니다.

IKEv2 지원되는 암호화
단계 암호화 역할 암호화
1단계 암호화 • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
일부 플랫폼에서 GCM 알고리즘은 비트(각각 64, 96, 128)로 지정된 해당 ICV 매개변수 옥텟(8, 12, 16)을 포함할 수 있습니다.
무결성 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
이러한 이름은 플랫폼에 따라 달라집니다. 예를 들어 HMAC-SHA2-512-256은 자르기 길이 번호 및 기타 여분의 정보를 모두 삭제하고 단순히 SHA-512로 표시할 수 있습니다.
PRF(의사 난수 함수) • PRF-MD5-96
• PRF-SHA1-96
• PRF-AES-XCBC-96, PRF-AES-CMAC-96
• PRF-SHA2-256, PRF-SHA2-384, PRF-SHA2-512
많은 장치에서 명시적인 PRF 설정이 필요하지 않습니다.
DH(Diffie-Hellman) • 그룹 2(modp_1024), 그룹 5(modp_1536), 그룹 14(modp_2048), 그룹 15(modp_3072), 그룹 16(modp_4096)
• modp_1024s160, modp_2048s224, modp_2048s256
1단계 수명 36,000초(10시간)
2단계 암호화 • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
일부 플랫폼에서 GCM 알고리즘은 비트(각각 64, 96, 128)로 지정된 해당 ICV 매개변수 옥텟(8, 12, 16)을 포함할 수 있습니다.
무결성 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
이러한 이름은 플랫폼에 따라 달라집니다. 예를 들어 HMAC-SHA2-512-256은 자르기 길이 번호 및 기타 여분의 정보를 모두 삭제하고 단순히 SHA-512로 표시할 수 있습니다.
PFS 알고리즘(필수) • 그룹 2(modp_1024), 그룹 5(modp_1536), 그룹 14(modp_2048), 그룹 15(modp_3072), 그룹 16(modp_4096), 그룹 18(modp_8192)
• modp_1024s160, modp_2048s224, modp_2048s256
DH(Diffie-Hellman) 일부 장치에는 2단계에 대해 DH 값이 필요합니다. 이 경우 1단계에 사용한 값을 사용하세요.
2단계 수명 10,800초(3시간)
IKEv1 지원되는 암호화
단계 암호화 역할 암호화
1단계 암호화 AES-CBC-128
무결성 HMAC-SHA1-96
PFS 알고리즘(필수) 그룹 2(modp_1024)
PRF(의사 난수 함수) PRF-SHA1-96
DH(Diffie-Hellman) 그룹 2(modp_1024)
1단계 수명 36,600초(10시간, 10분)
2단계 암호화 AES-CBC-128
무결성 HMAC-SHA1-96
DH(Diffie-Hellman) 일부 장치에는 2단계에 대해 DH 값이 필요합니다. 이 경우 1단계에 사용한 값을 사용하세요.
2단계 수명 10,800초(3시간)

다음 단계

문제해결 관련

  • 로그 내보내기 방법과 모니터링 및 알림을 위한 로그 기반 측정항목 사용 방법을 포함한 자세한 내용은 로깅 문서를 참조하세요.

VPN 관련

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...