본문 바로가기
Networking

[Tip] Amazon Site-to-Site VPN 통신에서 특정 Instance가 VPN 통신이 안되는 경우 대응 순서 알아보기

SH-Tech 2022. 7. 21. 17:14
반응형

안녕하세요 서후아빠입니다. ^_^

이번 세션은 VPN 연결 후, 특정 인스턴스가 VPN 통신이 안되는 경우 대응하는 순서에 대해서 알아보도록 하겠습니다.

기본 확인 항목

VPN 터널 상태 확인 : VPC > Site-to-site VPN Connections > VPN 연결 선택 > Tunnel details (tab) > Status “Up” 확인
해당 Instance에 대한 확인 

  - 패킷 캡쳐 확인 : tcpdump or wireshark 이용하여 수발신 패킷 확인

  - On-premise 대역에 대한 통신 허용 : Security group과 Network ACLs

  - Route table 설정 확인 : Instance가 포함된 VPC의 Route table, TGW의 Route table(TGW로 연결한 경우)

VPN 구성을 정적으로 한 경우, 단일 SA로 구성해야 합니다. 아래 링크 참조하시면 됩니다.

2022.07.06 - [Networking] - AWS VPN 기본 개념

 

AWS VPN 기본 개념

안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS VPN에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. 이외 내용은 업무적으로 필요할때마다 찾아보시는 것이

sh-t.tistory.com

해당 Instance의 eni에서 발생하는 flow log 수집하여 분석

Log group 생성 : Cloudwatch > Log groups > Create log group > Name(instanceFlowLog-lg)
Cloudwatch 접근에 대한 Policy 적용
  - IAM > Polices > Create policy > JSON (tab) > 아래 내용 입력 > Name(cloudwatchPolicy

# cloudwatchPolicy json 내용
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

  - IAM > Roles > Create role > Trusted entity type(AWS service), Use Case(EC2) >  cloudwatchPolicy 선택 >  Name(cloudwatchRole)
  - IAM > Roles > cloudwatchRole 선택 > Trust relationships (tab) > Edit trust policy > JSON (tab) > 아래 내용 입력 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "Service": "vpc-flow-logs.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

EC2 > Network interfaces > 해당 Instance의 eni 선택 > Flow logs (tab) > Create flow log 

Name  Filte  Maximum aggregation interval Destination log group  IAM role Log record format
instanceFlowLog  All (or Accept or Reject) 1minute (or 10min) instanceFlowLog-lg cloudwatchRole AWS default format (or Custom format)
Logging 기본값은 10분이며, 1분으로 설정할 경우 비용 추가됩니다. 
활성화 후, 약 5분 지나면  "Cloudwatch > Log groups > instanceFlowLog-lg"에 Flow log가 확인되며, 이를 기반으로 분석하시면 됩니다.

 

반응형
저작자표시 비영리 변경금지

'Networking' 카테고리의 다른 글

[실습] AWS Client VPN 구성하기 (OpenVPN, 구글OTP 2차 인증)-2편  (0) 2022.09.20
[Tip] Amazon ELB의 다양한 Error 상황 알아보기  (0) 2022.07.22
[Tip] AWS virtual private gateway (VGW) 생성 수 제한 해결하기  (0) 2022.07.21
[실습] Amazon CloudFront (CDN) 이용하여 HTTP/HTTPS 서비스 구성하기 (S3 정적 웹 호스팅, Route 53, ACM, S3 Logging)  (0) 2022.07.21
[실습] Amazon Route 53에서 Public & Private domain (도메인) 등록하기  (0) 2022.07.20

'Networking' Related Articles

티스토리툴바