P2S 사용자 VPN에 대한 사용자 그룹 및 IP 주소 풀 구성

P2S 사용자 VPN은 사용자 그룹을 만들어 ID 또는 인증 자격 증명을 기반으로 특정 주소 풀의 사용자 IP 주소를 할당하는 기능을 제공합니다. 이 문서는 사용자 그룹, 그룹 구성원을 구성하고 그룹의 우선 순위를 지정하는 데 도움이 됩니다. 사용자 그룹 작업에 대한 자세한 내용은 사용자 그룹 정보를 참조하세요.

필수 조건

시작하기 전에 하나 이상의 인증 방법을 사용하는 Virtual WAN을 구성했는지 확인합니다. 단계는 자습서: Virtual WAN 사용자 VPN P2S 연결 만들기를 참조하세요.

워크플로

이 문서에서는 P2S VPN 연결에 대한 사용자 그룹 및 IP 주소 풀을 설정하는 데 도움이 되도록 다음과 같은 워크플로를 사용합니다.

1. 구성 요구 사항 고려

2. 인증 메커니즘 선택

3. 사용자 그룹 만들기

4. 게이트웨이 설정 구성

1단계: 구성 요구 사항 고려

이 섹션에서는 사용자 그룹 및 IP 주소 풀에 대한 구성 요구 사항 및 제한 사항을 나열합니다.

• 단일 P2S VPN Gateway에서 참조할 수 있는 최대 그룹 수는 90개입니다. 게이트웨이에 할당된 그룹의 최대 정책/그룹 구성원 수(연결 사용자가 속한 그룹을 식별하는 데 사용되는 기준)는 390개입니다. 그러나 그룹이 동일한 게이트웨이의 여러 연결 구성에 할당된 경우 이 그룹과 해당 구성원은 제한에 대해 여러 번 계산됩니다. 예를 들어 게이트웨이에서 3개의 VPN 연결 구성에 할당된 구성원이 10명인 정책 그룹이 있는 경우입니다. 이 구성은 멤버가 10명인 그룹 하나가 아니라 총 멤버가 30명인 그룹 3개로 계산됩니다. 게이트웨이에 연결하는 총 동시 사용자 수는 게이트웨이 배율 단위와 각 사용자 그룹에 할당된 IP 주소 수로 제한되며 게이트웨이와 연결된 정책/그룹 멤버 수가 아닙니다.

• VPN 서버 구성의 일부로 그룹이 만들어진 이후에는 그룹의 이름과 기본 설정을 수정할 수 없습니다.

• 그룹 이름은 구분되어야 합니다.

• 숫자 우선 순위가 낮은 그룹은 숫자 우선 순위가 높은 그룹보다 먼저 처리됩니다. 연결 사용자가 여러 그룹의 구성원인 경우 게이트웨이는 IP 주소 할당을 위해 숫자 우선 순위가 낮은 그룹의 구성원으로 간주합니다.

• 기존 지점 및 사이트 간 VPN Gateway에서 사용 중인 그룹은 삭제할 수 없습니다.

• 해당 그룹에 해당하는 위-아래 화살표 단추를 클릭하여 그룹의 우선 순위를 재정렬할 수 있습니다.

• 주소 풀은 동일한 Virtual WAN의 다른 연결 구성(동일하거나 다른 게이트웨이)에서 사용되는 주소 풀과 겹칠 수 없습니다.

• 또한 주소 풀은 가상 네트워크 주소 공간, 가상 허브 주소 공간 또는 온-프레미스 주소와 겹칠 수 없습니다.

• 주소 풀은 /24보다 작을 수 없습니다. 예를 들어 /25 또는 /26의 범위를 할당할 수 없습니다.

2단계: 인증 메커니즘 선택

다음 섹션에서는 사용자 그룹을 만드는 동안 사용할 수 있는 사용 가능한 인증 메커니즘을 나열합니다.

Microsoft Entra 그룹

Active Directory 그룹을 만들고 관리하려면 Microsoft Entra 그룹 및 그룹 멤버 자격 관리를 참조하세요.

• Microsoft Entra 그룹 개체 ID(그룹 이름 아님)는 Virtual WAN 지점 및 사이트 간 사용자 VPN 구성의 일부로 지정해야 합니다.
• Microsoft Entra 사용자는 여러 Active Directory 그룹의 일부로 할당될 수 있지만 Virtual WAN은 사용자를 숫자 우선 순위가 가장 낮은 Virtual WAN 사용자/정책 그룹의 일부로 간주합니다.

RADIUS - NPS 공급업체별 특성

NPS(네트워크 정책 서버) 공급업체별 특성 구성 정보는 RADIUS - 공급업체별 특성에 대한 NPS 구성을 참조하세요.

인증서

자체 서명된 인증서를 생성하려면 사용자 VPN P2S 연결에 대한 인증서 생성 및 내보내기: PowerShell을 참조하세요. 특정 일반 이름을 사용하여 인증서를 생성하려면 New-SelfSignedCertificate PowerShell 명령을 실행할 때 Subject 매개 변수를 적절한 값(예: xx@domain.com)으로 변경합니다. 예를 들어 다음 주체를 사용하여 인증서를 생성할 수 있습니다.

디지털 인증서 필드	값	description
주제	CN= cert@marketing.contoso.com	마케팅 부서의 디지털 인증서
주제	CN= cert@sale.contoso.com	영업 부서의 디지털 인증서
주제	CN= cert@engineering.contoso.com	엔지니어링 부서의 디지털 인증서
주제	CN= cert@finance.contoso.com	재무 부서의 디지털 인증서

참고 항목

디지털 인증서 인증을 사용하는 여러 주소 풀 기능은 주체 필드를 기반으로 하는 특정 사용자 그룹에 적용됩니다. 선택 조건은 SAN(주체 대체 이름) 인증서에서 작동하지 않습니다.

3단계: 사용자 그룹 만들기

사용자 그룹을 만들려면 다음 단계를 사용합니다.

1. Azure Portal에서 Virtual WAN -> 사용자 VPN 구성 페이지로 이동합니다.

2. 사용자 VPN 구성 페이지에서 편집할 사용자 VPN 구성을 선택한 다음, 구성 편집을 선택합니다.

3. 사용자 VPN 구성 편집 페이지에서 사용자 그룹 탭을 엽니다.

   

4. 예를 선택하여 사용자 그룹을 사용하도록 설정합니다. 이 서버 구성이 P2S VPN 게이트웨이에 할당되면 동일한 사용자 그룹에 속하는 사용자에게 동일한 주소 풀의 IP 주소가 할당됩니다. 다른 그룹에 속하는 사용자에게는 다른 그룹의 IP 주소가 할당됩니다. 이 기능을 사용하는 경우 만드는 그룹 중 하나에 대해 기본 그룹을 선택해야 합니다.

5. 새 사용자 그룹 만들기를 시작하려면 이름 매개 변수를 첫 번째 그룹의 이름으로 입력합니다.

6. 그룹 이름 옆에 있는 그룹 구성을 선택하여 그룹 설정 구성 페이지를 엽니다.

   

7. 그룹 설정 구성 페이지에서 이 그룹에 포함할 각 구성원의 값을 입력합니다. 그룹에는 여러 그룹 구성원이 포함될 수 있습니다.

   • 이름 필드를 입력하여 새 구성원을 만듭니다.

   • 드롭다운에서 인증: 설정 형식을 선택합니다. 드롭다운은 사용자 VPN 구성에 대해 선택한 인증 방법에 따라 자동으로 채워집니다.

   • 값을 입력합니다. 유효한 값은 사용자 그룹 정보를 참조하세요.

   

8. 그룹에 대한 설정 만들기를 마치면 추가 및 확인을 선택합니다.

9. 추가 그룹을 만듭니다.

10. 하나 이상의 그룹을 기본값으로 선택합니다. 게이트웨이에 지정된 그룹에 속하지 않은 사용자는 게이트웨이의 기본 그룹에 할당됩니다. 또한 그룹을 만든 후에는 그룹의 "기본" 상태를 수정할 수 없습니다.

    

11. 화살표를 선택하여 그룹 우선 순위 순서를 조정합니다.

    

12. 검토 + 만들기를 선택하여 만들고 구성합니다. 사용자 VPN 구성을 만든 후 사용자 그룹 기능을 사용하도록 게이트웨이 서버 구성 설정을 구성합니다.

4단계: 게이트웨이 설정 구성

1. 포털에서 가상 허브로 이동하여 사용자 VPN(지점 및 사이트 간)을 선택합니다.

2. 지점 및 사이트 간 페이지에서 게이트웨이 배율 단위 링크를 선택하여 사용자 VPN 게이트웨이 편집을 엽니다. 드롭다운에서 게이트웨이 배율 단위 값을 조정하여 게이트웨이 처리량을 확인합니다.

3. 지점 및 사이트 간 서버 구성에서 사용자 그룹에 대해 구성한 사용자 VPN 구성을 선택합니다. 이러한 설정을 아직 구성하지 않은 경우 사용자 그룹 만들기를 참조하세요.

4. 새 구성 이름을 입력하여 새 지점 및 사이트 간 구성을 만듭니다.

5. 이 구성과 연결할 그룹을 하나 이상 선택합니다. 이 구성과 연결된 그룹에 속하는 모든 사용자에게는 동일한 IP 주소 풀의 IP 주소가 할당됩니다.

   이 게이트웨이에 대한 모든 구성에서 정확히 하나의 기본 사용자 그룹이 선택되어 있어야 합니다.

   

6. 주소 풀의 경우 구성을 선택하여 주소 풀 지정 페이지를 엽니다. 이 페이지에서 새 주소 풀을 이 구성과 연결합니다. 이 구성에 연결된 그룹의 구성원인 사용자에게는 지정된 풀의 IP 주소가 할당됩니다. 게이트웨이에 연결된 게이트웨이 배율 단위의 수에 따라 둘 이상의 주소 풀을 지정해야 할 수 있습니다. 주소 풀은 /24보다 작을 수 없습니다. 예를 들어 사용자 그룹에 대해 더 작은 주소 풀 범위를 포함하려는 경우 /25 또는 /26 범위를 할당할 수 없습니다. 최소 접두사는 /24입니다. 추가 및 확인을 선택하여 주소 풀을 저장합니다.

   

7. 여러 주소 풀의 IP 주소를 할당해야 하는 각 그룹 집합에 하나의 구성이 필요합니다. 더 많은 구성을 만들려면 단계를 반복합니다. 주소 풀 및 그룹에 대한 요구 사항 및 제한 사항은 1단계를 참조하세요.

8. 필요한 구성을 만든 후에는 편집을 선택한 다음, 확인을 선택하여 설정을 저장합니다.

   

문제 해결

1. 패킷에 올바른 특성이 있는지 확인했나요?: Wireshark 또는 다른 패킷 캡처는 NPS 모드에서 실행하고 공유 키를 사용하여 패킷의 암호를 해독할 수 있습니다. 올바른 RADIUS VSA가 구성되어 있는 RADIUS 서버에서 지점 및 사이트 간 VPN 게이트웨이로 패킷이 전송되고 있는지 유효성을 검사할 수 있습니다.
2. 사용자에게 잘못된 IP가 할당되었나요?: NPS 이벤트 로깅을 설정 및 확인하여 사용자가 정책과 일치하는지 여부를 인증합니다.
3. 주소 풀에 문제가 있나요? 모든 주소 풀은 게이트웨이에 지정됩니다. 주소 풀은 두 개의 주소 풀로 분할되고 지점 및 사이트 간 VPN 게이트웨이 쌍의 각 활성-활성 인스턴스에 할당됩니다. 이러한 분할 주소는 유효 경로 테이블에 표시되어야 합니다. 예를 들어 “10.0.0.0/24”를 지정하는 경우 유효 경로 테이블에 두 개의 “/25” 경로가 표시됩니다. 표시되지 않으면 게이트웨이에 정의된 주소 풀을 변경해 보세요.
4. P2S 클라이언트가 경로를 받을 수 없나요? 모든 지점 및 사이트 간 VPN 연결 구성이 defaultRouteTable에 연결되어 있고 동일한 경로 테이블 세트로 전파되는지 확인합니다. 포털을 사용하는 경우 자동으로 구성되어야 하지만 REST, PowerShell 또는 CLI를 사용하는 경우 모든 전파 및 연결이 적절하게 설정되었는지 확인합니다.
5. Azure VPN 클라이언트를 사용하여 멀티풀을 사용하도록 설정할 수 없나요? Azure VPN 클라이언트를 사용하는 경우 사용자 디바이스에 설치된 Azure VPN 클라이언트가 최신 버전인지 확인합니다. 이 기능을 사용하려면 클라이언트를 다시 다운로드해야 합니다.
6. 모든 사용자가 기본 그룹에 할당되어 있나요? Microsoft Entra 인증을 사용하는 경우 서버 구성 (https://login.microsoftonline.com/<tenant ID>)의 테넌트 URL 입력이 \로 끝나지 않도록 확인하세요. URL이 \로 끝나도록 입력된 경우 게이트웨이에서 Microsoft Entra 사용자 그룹을 제대로 처리할 수 없으며 모든 사용자가 기본 그룹에 할당됩니다. 수정하려면 후행 \를 제거하도록 서버 구성을 수정하고 변경 내용을 게이트웨이에 적용하도록 게이트웨이에 구성된 주소 풀을 수정합니다. 이것은 알려진 문제입니다.
7. 멀티풀 기능을 사용하도록 외부 사용자를 초대하려고 하나요? Microsoft Entra 인증을 사용하고 외부 사용자(VPN 게이트웨이에 구성된 Microsoft Entra 도메인에 속하지 않은 사용자)를 초대하여 Virtual WAN 지점 및 사이트간 VPN 게이트웨이에 연결하려는 경우 외부 사용자의 사용자 유형이 “게스트”가 아닌 “구성원”인지 확인합니다. 또한 사용자의 "이름"이 사용자의 이메일 주소로 설정되어 있는지 확인합니다. 연결 사용자의 사용자 유형과 이름이 위에서 설명한 대로 올바르게 설정되지 않았거나 외부 구성원을 Microsoft Entra 도메인의 “구성원”으로 설정할 수 없는 경우 연결 사용자는 기본 그룹에 할당되고 기본 IP 주소 풀의 IP가 할당됩니다.

다음 단계

• 사용자 그룹에 대한 자세한 내용은 P2S 사용자 VPN에 대한 사용자 그룹 및 IP 주소 풀 정보를 참조하세요.