지점 및 사이트 간 VPN 게이트웨이 문제 해결

  • 10분

지점 및 사이트 간 VPN 게이트웨이는 무엇인가요?

원격으로 작업하는 개인의 경우, 지점 및 사이트간 연결은 Windows, Linux 또는 macOS를 사용하여 Azure 리소스에 연결할 수 있는 안전한 방법입니다.

A diagram showing a sample point-to-site connection.

지점 및 사이트 간 VPN 게이트웨이를 배포하는 주요 단계는 다음과 같습니다.

  • 온-프레미스 네트워크에 연결할 가상 네트워크를 만듭니다.

  • 가상 네트워크에 게이트웨이 서브넷을 만듭니다.

  • VPN 게이트웨이를 만듭니다.

  • 루트 인증서를 생성합니다.

  • 클라이언트 인증서를 생성합니다.

  • VPN을 클라이언트 주소 풀에 추가합니다.

  • 터널 유형 및 인증 유형을 지정합니다.

  • 루트 인증서 공개 키 정보를 업로드합니다.

  • 내보낸 클라이언트 인증서를 설치합니다.

  • VPN 클라이언트에 대한 설정을 구성합니다.

  • Azure에 연결

이 단원은 위에 설명된 해당 단계의 문제를 해결하는 데 도움이 됩니다. 지점 및 사이트 간 VPN을 연결하는 다양한 방법을 통해 주요 문제를 간략하게 설명합니다.

  • 인증서 기반 VPN

  • RADIUS 인증

  • Microsoft Entra 인증

  • OpenVPN 연결

지점 및 사이트 간 VPNS에 대해 지원되는 프로토콜을 설명

지점 및 사이트 간 VPN은 다음 세 가지 프로토콜을 지원합니다.

  • OpenVPN®은 SSL/TLS 기반 VPN 프로토콜이며 Android, iOS(버전 11.0 이상), Windows, Linux 및 Mac 디바이스(macOS 버전 10.13 이상)에서 연결하는 데 사용할 수 있습니다.

  • SSTP(Secure Socket Tunneling Protocol)는 Windows 디바이스에서만 지원되는 독점 TLS 기반 VPN 프로토콜입니다.

  • IKEv2 VPN은 Mac 디바이스(macOS 10.11 이상)에서 연결하는 데 사용되는 표준 기반 IPsec VPN 솔루션입니다.

지점 및 사이트 간의 VPN 게이트웨이 문제를 해결하는 데 사용할 수 있는 도구는 무엇인가요?

지점 및 사이트 간의 VPN 문제 해결은 어려울 수 있지만 문제가 발생하기 전에 영역을 강조 표시하는 데 도움이 되는 도구를 사용할 수 있습니다.

Microsoft Sentinel은 사이버 공격을 방지하는 데 도움이 됩니다. 또한 위협을 감지하고 인공 지능(AI)을 사용하여 해당 위협을 조사하고 이에 대응합니다. 조사하고 해결할 수 있는 인시던트를 생성하여 해당 정보를 늘 확인할 수 있습니다.

Azure 활동 로그 이벤트

활동 로그는 Azure Portal 내 대부분의 메뉴에서 액세스할 수 있으며, 선택한 네트워크의 특정 부분에 따라 상이한 정보를 표시합니다. 가상 네트워크 게이트웨이를 선택하면 해당 게이트웨이에 관한 활동 로그가 표시됩니다. 추가 분석을 위해 활동 로그를 csv 파일로 다운로드할 수 있습니다.

Azure Monitor

또한 Azure Monitor는 문제가 발생하기 전에 이슈를 식별합니다. 그리고 가상 머신에 로그인하지 않고도 네트워킹 이슈를 모니터링하고 진단합니다. Azure Monitor를 사용하면 다음을 수행할 수 있습니다.

  • 패키지 캡처를 트리거합니다.

  • 라우팅 이슈를 진단합니다.

  • 네트워크 보안 그룹(NSG) 흐름 로그를 분석합니다.

  • Azure 네트워크를 한눈에 파악하고 제어할 수 있습니다.

A diagram showing an overview of Azure Monitor features.

Network Watcher

Network Watcher는 다양한 모니터링 및 진단 도구를 사용할 수 있는 영역에 속합니다.

Screenshot of Network watcher troubleshooting area.

인증서 기반 연결 시 문제 해결

이 섹션에서는 인증서 기반 VPN 연결을 만들 때 문제 해결이 필요한 주요 영역을 살펴봅니다.

VNet 만들기

기본값에서 주소 범위를 수정한 경우, 서브넷을 수동으로 추가했나요? 서브넷 범위는 기본 주소 공간에서 자동으로 채워집니다. 그런 다음, 기본 주소 공간을 수정하는 경우 서브넷을 수동으로 변경해야 합니다.

게이트웨이 이슈

일반적인 게이트웨이 관련 오류 메시지 또는 문제는 다음과 같습니다.

  • 파일 다운로드 오류: 대상 URI를 지정하지 않았습니다.

  • 연결이 설정되지만 Azure 리소스에 연결할 수 없습니다.

일반적인 문제 해결 솔루션은 다음과 같습니다.

  • 가상 네트워크에서 만든 범위에 IP 주소가 충분하지 않을 수 있으므로 VNet 주소 범위를 확인합니다.

  • 올바른 VPN 유형을 지정했나요? 대부분의 구성에서는 정책 기반이 아닌 경로 기반의 VPN과 게이트웨이 유형에 속한 VPN을 사용합니다.

  • 선택한 SKU는 사용해야 하는 기능을 지원하나요? 예를 들어 Mac 클라이언트가 네트워크에 연결된 경우, 기본 SKU를 사용할 수 없습니다. SKU가 대역폭 및 CPU에 필요한 만큼 충분히 큰가요?

  • 올바른 가상 네트워크를 선택했나요? 네트워크를 볼 수 없는 경우, 올바른 구독 및 지역을 입력했는지 확인합니다.

  • 게이트웨이를 다시 설정했나요?

인증서

인증서 기반 오류일 가능성이 있는 일반적인 오류는 다음과 같습니다.

  • 이 확장할 수 있는 인증 프로토콜에 사용할 수 있는 인증서를 찾을 수 없습니다. (오류 798.)

  • 인증서 체인이 처리되었지만 트러스트 공급자가 신뢰하지 않는 루트 인증서에서 종료되었습니다.

  • 가상 네트워크 게이트웨이 <게이트웨이 이름>을(를) 저장하지 못했습니다. <인증서 ID> 인증서에 대한 데이터가 잘못되었습니다.

  • 예기치 않거나 형식이 잘못된 메시지를 수신했습니다. (오류 0x80090326)

  • VPN 클라이언트를 설치할 수 없습니다.

  • 지점 및 사이트간 클라이언트가 갑자기 연결되지 않습니다.

인증서와 관련된 오류의 경우, 다음을 확인하는 것이 좋습니다.

  • 루트 인증서에 대한 trusted.cer 파일을 얻었나요?

  • (공개 키가 아닌) 공용 인증서 데이터를 Base4로 인코딩된 X.509.cer 파일로 내보냈나요?

  • Azure Portal에서 루트 인증서의 상태를 검사하여 인증서가 해지되었는지 확인합니다. 정상이라면 인증서를 삭제하고 다시 설치합니다.

  • 파일이 하나의 연속 줄이어야 하기 때문에 텍스트 파일에서 캐리지 리턴을 제거했나요?

  • 시작 인증서와 최종 인증서 간에만 정보를 복사했나요?

  • 각 클라이언트 컴퓨터에 인증서를 설치했나요?

  • 인증서가 롤오버되었나요? 그렇다면 모든 클라이언트에서 지점 및 사이트 간 패키지를 다시 다운로드하고 배포합니다.

VPN 클라이언트 구성

일반적인 클라이언트 쪽 메시지 또는 문제는 다음과 같습니다.

  • (라우팅 테이블을 업데이트하는) 사용자 지정 스크립트에 실패했습니다. (오류 8007026f)

  • 파일을 다운로드하지 못했습니다. 오류 세부 정보: 오류 503 서버가 사용 중입니다.

  • VPN 클라이언트가 네트워크 파일 공유에 액세스할 수 없습니다.

  • VPN 클라이언트 오류: 시도한 VPN 터널이 실패하여 원격 연결이 설정되지 않았습니다. (오류 800)

조사할 몇 가지 주요 영역은 다음과 같습니다.

  • 연결은 일시적인 네트워크 문제일 수 있으므로 잠시 후 VPN 패키지를 다시 다운로드해 보세요.

  • 클라이언트 인증서를 .pfx 파일로 내보냈나요?

  • 바로 가기를 삭제하고 VPN 패키지를 직접 엽니다.

  • 사용자 인증서 관리를 열고 신뢰할 수 있는 루트 인증 기관\인증서를 선택하여 인증서가 설치되어 있는지 확인합니다. 올바른 인증서가 나열되어 있는지 확인합니다.

  • 네트워크 인터페이스 드라이버를 업데이트합니다.

  • 다음 키에서 도메인 자격 증명의 캐싱을 사용하지 않도록 설정합니다.

    Screenshot of code to disable caching of domain credentials.

  • 관리자 권한 명령 프롬프트를 열고 다음을 실행하여 VPN이 활성 상태인지 확인합니다.

명령 프롬프트

ipconfig/all.

그 결과, 구성에 지정된 대로 클라이언트 주소 풀 내에 IP 주소가 포함되어 있어야 합니다.

Screenshot showing typical results from running ipconfig/all.

연결 문제

일반적인 오류 메시지는 다음과 같습니다.

  • 원격 서버가 응답하지 않아 컴퓨터와 VPN 서버 간 네트워크 연결을 설정할 수 없습니다.

  • 예기치 않거나 형식이 잘못된 메시지를 수신했습니다. (오류 0x80090326)

  • (라우팅 테이블을 업데이트하는) 사용자 지정 스크립트에 실패했습니다. (오류 8007026f)

일반적인 해결 방법은 다음과 같습니다.

  • 올바른 프로토콜을 사용하고 있나요? Windows는 업데이트가 설치되고 레지스트리 키가 로컬로 설정된 경우에만 IKEv2를 지원합니다.

  • UDR(User-Defined Route)이 제대로 설정되었는지 확인합니다.

RADIUS 인증 관련 문제 해결

RADIUS 서버는 사용자가 조직 도메인 자격 증명을 사용하여 로그인할 수 있도록 AD(Active Directory) 서버와 통합되어 있습니다. RADIUS 인증을 사용하는 지점 및 사이트 간 연결의 경우에는 다음이 필요합니다.

  • 경로 기반 VPN Gateway.

  • Azure VNet 또는 온-프레미스에 배포된 RADIUS 서버 또는 고가용성을 위한 두 개의 서버.

  • VNet에 연결할 Windows 디바이스용 VPN 클라이언트 구성 패키지 -

A diagram showing the integration of a RADIUS server.

상당수의 원칙이 사이트 간 연결과 비슷하지만 다음과 같이 몇 가지 중요한 차이점이 있습니다.

가상 네트워크

  • 세 개의 서브넷 구성을 설정했나요? 일부 설정에서는 FrontEnd, BackEnd 및 GatewaySubnet과 같은 이름을 사용합니다. FrontEnd 및 BackEnd의 이름을 변경할 수 있지만 GatewaySubnet을 변경해서는 안 됩니다.

  • VPN 게이트웨이에 대해 동적으로 할당된 공용 IP 주소를 요청했나요?

RADIUS 서버

  • 가상 네트워크 게이트웨이를 만들고 구성하기 전에 RADIUS 서버에서 설정을 확인했나요? RADIUS 서버의 잘못된 설정은 일반적인 문제에 속합니다.

  • VPN 게이트웨이를 RADIUS에서 RADIUS 클라이언트로 구성하고 가상 네트워크 GatewaySubnet을 지정했나요?

  • RADIUS 클라이언트가 서버와 통신하는 데 사용해야 하는 공유 비밀과 RADIUS 서버의 IP 주소를 얻었나요?

  • VPN

VPN 게이트웨이

RADIUS 서버 및 클라이언트 주소 풀 정보

  • Radius 비밀을 올바르게 입력했나요?

  • 필요한 연결에 대한 올바른 구성을 실행했는지 확인합니다.

  • SSTP

  • OpenVPN

  • IKEv2

  • SSTP 및 IKEv2

Microsoft Entra 인증 문제 해결

인증에 Microsoft Entra ID를 사용하는 경우 OpenVPN 프로토콜을 사용해야 합니다. 기본 SKU를 사용할 수 없습니다.

Azure 인증을 설정하려면 게이트웨이를 설정하기 위한 전역 관리자 계정과 일상적인 서비스를 위한 사용자 계정이라는 두 개의 사용자 계정이 필요합니다.

다음 검사 목록은 지점 및 사이트 간의 인증과 Microsoft Entra 인증을 사용하여 VPN 연결 문제를 해결하는 데 도움이 될 수 있습니다.

  1. Azure VPN 클라이언트 화면을 열고 오류 메시지에 대한 상태 로그를 확인했나요?

    Screenshot of A Z status log screen.

  • 로그인한 정보를 지우고 연결을 시도했나요?

    Screenshot of sign-in screen.

  • 연결에 대한 진단을 실행했나요?

    Screenshot of Microsoft Entra diagnostic page.

  • 클라이언트 로그 파일을 확인했나요?

    Screenshot of Log Directory area within Microsoft Entra ID.

OpenVPN 연결 문제 해결

Open VPN 터널이 OpenVPN 액세스 서버에 연결하지 못하는 경우, 다음과 같은 지침을 따르면 도움이 됩니다.

  • OpenVPN 액세스 서버 로그 파일을 확인했나요? 서버를 시작하는 데 문제가 있다면 서버를 중지하고 로그를 제거한 후 로그를 즉시 시작 및 중지하여 불필요한 정보를 제거합니다. 로그 파일을 가져오려면 다음 명령을 사용해야 합니다.

Open V P N commands to obtain log files.

클라이언트 로그 파일을 확인합니다.

  • Windows의 경우, C:\Program Files (x86)\OpenVPN Technologies\OpenVPN Client\etc\log\openvpn_(unique_name).log를 사용합니다.

  • Mac의 경우, /Library/Application Support/OpenVPN/log/openvpn_(unique_name).log를 사용합니다.

  • 필요한 세 개의 포트인 TCP 443, TCP 943 및 UDP 1194를 열었나요?

OpenVPN 터널이 설정되었지만 특정 엔드포인트에 연결할 수 없는 경우, 이러한 도구를 사용하면 트래픽을 시각화하고 다음 경로를 테스트하는 데 도움이 될 수 있습니다.

  • TCPdump - 네트워크 패킷을 시각화할 수 있는 Linux 명령줄 도구입니다.

  • WireShark - 네트워크 패킷을 시각화하는 Windows GUI 도구입니다.

  • Ping - 원본과 대상 간에 메시지를 주고받을 수 있는지를 확인하는 테스트 도구입니다.

  • Traceroute - 원본 주소와 대상 주소 사이의 모든 홉을 표시합니다.

경고를 사용하여 문제 해결

Azure Portal 또는 PowerShell에서 VPN 게이트웨이 메트릭 및 터널 리소스 로그를 모니터링하여 이슈를 신속하게 검색하기 위해 경고를 설정할 수 있습니다.

메트릭을 보고 경고를 만들려면

Azure Portal 내의 가상 게이트웨이 리소스로 이동합니다. 개요를 선택하여 터널 수신 및 송신 메트릭 총계를 확인합니다. 메트릭 섹션을 클릭하고 드롭다운 목록에서 필요한 메트릭을 선택하여 VPN 게이트웨이 모니터링을 위한 다른 메트릭을 볼 수 있습니다. 모니터링 탭에서 경고를 선택하여 모든 메트릭에 대한 경고를 만들 수 있습니다. 리소스 경고의 경우, Log Analytics 페이지에서 만들기를 선택합니다.

macOS 지점 및 사이트 간 문제 해결

올바른 버전을 사용하고 있나요? 지점 및 사이트 간의 경우에만 OS 버전 10.11 또는 이후 버전을 사용합니다.

  1. 네트워크 설정으로 이동한 다음, Command + Shift를 누르고 VPN을 입력한 후 다음 사항을 확인합니다.

    • 서버 주소 – 전체 FQDN(정규화된 도메인 이름)으로 서버 주소를 입력했나요?

    • 원격 ID - 원격 ID가 서버 주소(게이트웨이 FQDN)와 동일한가요?

    • 로컬 ID – 로컬 ID가 클라이언트 인증서의 주체와 동일한가요?

    [Screenshot of macOS X setting screen.

  2. 인증 설정 선택 – 드롭다운 목록에서 인증서를 선택한 후 올바른 인증서가 있는지 확인합니다.

    Screenshot of macOS X authentication certificate screen.

  3. 인증 설정에서 사용자 이름을 표시하도록 드롭다운을 변경하고 자격 증명이 올바른지 확인합니다.

    Screenshot of macOS X authentication username screen.

  4. 여전히 문제가 발생하는 경우, Wireshark를 다운로드하고 패킷 캡처를 실행합니다.

    1. isakmp를 필터링하고 페이로드: 보안 연결에서 SA 제안을 확인한 다음, 원본 및 해당 대상 IP 주소가 일치하는지 확인합니다.

클라이언트 구성 문제 해결

게이트웨이 이슈

인증서와 관련된 가능한 게이트웨이 문제의 예는 다음과 같습니다.

  • 강력한 프라이빗 키 보호를 사용하지 않고 Azureclient.pfx 인증서를 업로드했나요?

  • AzureRoot.cer 인증서를 업로드했나요?

  • 인증서가 해지되었는지 확인했나요? 인증서가 손상되면 이 문제가 발생합니다.

  • 연결할 수 있는 사람도 있지만 그럴 수 없는 사람도 있나요? 영향을 받는 게이트웨이를 신뢰하려면 다른 인증서를 설치해야 할 수 있습니다.

  • 인증서를 저장할 수 없나요? 이름에 공백이 있는지 또는 숫자로 시작하는지 확인합니다.

라우팅

  • 비 BGP 전송 라우팅을 사용하고 있나요? BGP가 권장 모델이므로 이 라우팅은 지원되지 않습니다.

  • 여러 VNet을 실행하고 S2S VPN을 사용하여 연결하지만 일부 클라이언트는 특정 VNet에 액세스할 수 없나요? 클라이언트에 BGP를 사용하여 추가 VNet에 액세스해야 합니다.

  • 네트워크의 토폴로지를 변경하는 경우, 변경 내용을 적용하려면 Windows용 VPN 클라이언트 패키지를 다시 다운로드해야 합니다.

분할 터널링

분할 터널링은 높은 부하를 줄이는 데 도움이 되며, 원격 사용자 또는 클라우드 기반 서비스가 많은 경우에 권장됩니다. 원격 사용자의 볼륨 및/또는 클라우드 기반 서비스의 수에 따라 상이한 모델을 채택할 수 있습니다.

네트워크의 효율성을 개선하기 위한 옵션은 5가지가 있습니다.

  • VPN 강제 터널 - 트래픽은 온-프레미스, 인터넷 및 모든 O365/M365를 포함한 VPN 터널로 100% 이동합니다. 많은 직원이 원격으로 작업하는 경우, 인프라에 높은 부하가 가해짐에 따라 이 옵션은 회사 트래픽의 성능을 오히려 저하시킬 수 있습니다.

  • 예외가 있는 VPN 강제 터널 ‒ VPN 터널은 기본적으로 사용되며 몇 가지 시나리오에서는 Microsoft 365 서비스로 직접 이동할 수 있습니다. 이렇게 하면 터널이 필요한 트래픽이 리소스에 대한 경합을 줄일 수 있습니다.

  • 광범위한 예외가 있는 VPN 강제 터널 - VPN 터널은 기본적으로 모든 Microsoft 365, All Salesforce 및 All Zoom과 같이 직접 이동하도록 허용되는 광범위한 예외가 있는 조건으로 사용됩니다. 이렇게 하면 회사 VPN 인프라의 부하가 더욱 줄어듭니다.

  • VPN 선택적 터널 - 회사 IP 주소를 사용하는 트래픽은 VPN 터널을 통해 전송되며 인터넷 경로는 그 외 모든 서비스에 사용됩니다. 서비스가 대부분 클라우드에 저장되어 있는 경우, 이 옵션이 주로 사용할 모델이며 다만 회사에서 제로 트러스트 모델을 채택할 필요는 있습니다.

  • VPN 사용 안 함 - VPN 대신 Zscaler ZPA 및 Microsoft Entra ID Proxy/MCAS와 같은 최신 보안 방식을 사용합니다.