P2S VPN Gateway 연결에 대한 서버 설정 구성 - 인증서 인증 - Azure Portal

이 문서는 Windows, Linux 또는 macOS를 실행하는 개별 클라이언트를 Azure VNet에 안전하게 연결하는 데 필요한 VPN Gateway P2S(지점 및 사이트 간) 서버 설정을 구성하는 데 도움이 됩니다. P2S VPN 연결은 집이나 회의에서 재택 근무할 때와 같이 원격 위치에서 VNet에 연결하려는 경우에 유용합니다. VNet(가상 네트워크)에 연결해야 하는 몇 개의 클라이언트만 있는 경우 S2S(사이트 간) VPN 대신 P2S를 사용할 수도 있습니다. P2S 연결에는 VPN 디바이스나 공용 IP 주소가 필요하지 않습니다.

P2S에 사용할 수 있는 다양한 구성 옵션이 있습니다. 지점 및 사이트 간 VPN에 대한 자세한 내용은 지점 및 사이트 간 VPN 정보를 참조하세요. 이 문서는 인증서 인증과 Azure Portal을 사용하는 P2S 구성을 만드는 데 도움이 됩니다. Azure PowerShell을 사용하여 이 구성을 만들려면 P2S 구성 - 인증서 - PowerShell 문서를 참조하세요. RADIUS 인증의 경우 P2S RADIUS 문서를 참조하세요. Microsoft Entra 인증에 대해서는 P2S Microsoft Entra ID 문서를 참조하세요.

P2S Azure 인증서 인증 연결은 이 연습에서 구성하는 다음 항목을 사용합니다.

• RouteBased VPN 게이트웨이입니다.
• Azure에 업로드된 루트 인증서에 대한 공개 키(.cer 파일)입니다. 인증서가 업로드되면 신뢰할 수 있는 인증서로 간주되며 인증에 사용됩니다.
• 루트 인증서에서 생성된 클라이언트 인증서. 클라이언트 인증서는 VNet에 연결할 각 클라이언트 컴퓨터에 설치됩니다. 이 인증서는 클라이언트 인증을 위해 사용 됩니다.
• VPN 클라이언트 구성 파일. VPN 클라이언트는 VPN 클라이언트 구성 파일을 사용하여 구성됩니다. 이러한 파일에는 클라이언트를 VNet에 연결하는 데 필요한 정보가 포함됩니다. 연결되는 각 클라이언트는 구성 파일에서 설정을 사용하여 구성해야 합니다.

필수 조건

Azure 구독이 있는지 확인합니다. Azure 구독이 아직 없는 경우 MSDN 구독자 혜택을 활성화하거나 무료 계정에 등록할 수 있습니다.

예제 값

다음 값을 사용하여 테스트 환경을 만들거나 이 값을 참조하여 이 문서의 예제를 보다 정확하게 이해할 수 있습니다.

VNet

• VNet 이름: VNet1
• 주소 공간: 10.1.0.0/16
  이 예제에서는 하나의 주소 공간만 사용합니다. VNet에는 둘 이상의 주소 공간을 포함할 수 있습니다.
• 서브넷 이름: FrontEnd
• 서브넷 주소 범위: 10.1.0.0/24
• 구독: 구독이 2개 이상 있는 경우 올바른 구독을 사용 중인지 확인합니다.
• 리소스 그룹: TestRG1
• 위치: 미국 동부

가상 네트워크 게이트웨이

• 가상 네트워크 게이트웨이 이름: VNet1GW
• 게이트웨이 유형: VPN
• VPN 유형: 경로 기반
• SKU: VpnGw2
• 세대: Generation2
• 게이트웨이 서브넷 주소 범위: 10.1.255.0/27
• 공용 IP 주소 이름: VNet1GWpip

연결 형식 및 클라이언트 주소 풀

• 연결 형식: 지점 및 사이트 간
• 클라이언트 주소 풀: 172.16.201.0/24
  이 지점 및 사이트 간 연결을 사용하여 VNet에 연결되는 VPN 클라이언트는 클라이언트 주소 풀에서 IP 주소를 받습니다.

VNet 만들기

이 섹션에서는 VNet을 만듭니다. 이 구성에 사용하도록 제안되는 값은 예제 값 섹션을 참조하세요.

참고 항목

가상 네트워크를 프레미스 간 아키텍처의 일부로 사용할 경우 온-프레미스 네트워크 관리자와 협의하여 이 가상 네트워크 전용으로 사용할 수 있는 IP 주소 범위를 만들어야 합니다. VPN 연결의 양쪽 모두에 중복 주소 범위가 있는 경우 트래픽이 예기치 않은 방식으로 라우팅됩니다. 또한 이 가상 네트워크를 다른 가상 네트워크에 연결하려는 경우 주소 공간이 다른 가상 네트워크와 겹칠 수 없습니다. 이에 따라 네트워크 구성을 적절히 계획합니다.

1. Azure Portal에 로그인합니다.

2. 포털 페이지 위쪽의 리소스, 서비스 및 문서 검색(G+/)에 가상 네트워크를 입력합니다. Marketplace 검색 결과에서 가상 네트워크를 선택하여 가상 네트워크 페이지를 엽니다.

3. 가상 네트워크 페이지에서 만들기를 선택하여 가상 네트워크 만들기 페이지를 엽니다.

4. 기본 탭에서 프로젝트 세부 정보 및 인스턴스 세부 정보에 대한 가상 네트워크 설정을 구성합니다. 입력한 값의 유효성이 검사되면 녹색 확인 표시가 나타납니다. 예제에 표시된 값은 필요한 설정에 따라 조정할 수 있습니다.

   

   • 구독: 나열된 구독이 올바른지 확인합니다. 드롭다운 상자를 사용하여 구독을 변경할 수 있습니다.
   • 리소스 그룹: 기존 리소스 그룹을 선택하거나 새로 만들기를 선택하여 새 리소스 그룹을 만듭니다. 리소스 그룹에 대한 자세한 내용은 Azure Resource Manager 개요를 참조하세요.
   • 이름: 가상 네트워크의 이름을 입력합니다.
   • 지역: 가상 네트워크의 위치를 선택합니다. 이 위치는 이 가상 네트워크에 배포하는 리소스가 상주하는 위치를 결정합니다.

5. 다음 또는 보안을 선택하여 보안 탭으로 이동합니다. 이 연습에서는 이 페이지의 모든 서비스를 기본값으로 유지합니다.

6. IP 주소를 선택하여 IP 주소 탭으로 이동합니다. IP 주소 탭에서 설정을 구성합니다.

   • IPv4 주소 공간: 기본적으로 주소 공간은 자동으로 만들어집니다. 주소 공간을 선택하여 자신의 값을 반영하도록 조정할 수 있습니다. 다른 주소 공간을 추가하고 자동으로 만들어진 기본값을 제거할 수도 있습니다. 예를 들어 시작 주소를 10.1.0.0으로 지정하고 주소 공간 크기를 /16으로 지정할 수 있습니다. 그런 다음, 추가를 선택하여 해당 주소 공간을 추가합니다.

   • + 서브넷 추가: 기본 주소 공간을 사용하는 경우 기본 서브넷이 자동으로 만들어집니다. 주소 공간을 변경하는 경우 해당 주소 공간 내에 새 서브넷을 추가합니다. + 서브넷 추가를 선택하면 서브넷 추가 창이 열립니다. 다음 설정을 구성하고, 페이지 하단의 추가를 선택하여 값을 추가합니다.

     • 서브넷 이름: 예를 들어 FrontEnd를 입력합니다.
     • 서브넷 주소 범위: 이 서브넷의 주소 범위입니다. 예를 들어 10.1.0.0 및 /24를 지정합니다.

7. IP 주소 페이지를 검토하고 필요하지 않은 주소 공간 또는 서브넷을 제거합니다.

8. 검토 + 만들기를 선택하여 가상 네트워크 설정의 유효성을 검사합니다.

9. 설정의 유효성을 검사한 후 만들기를 선택하여 가상 네트워크를 만듭니다.

VPN 게이트웨이 만들기

이 단계에서는 VNet용 가상 네트워크 게이트웨이를 만듭니다. 종종 선택한 게이트웨이 SKU에 따라 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다.

참고 항목

기본 게이트웨이 SKU는 IKEv2 또는 RADIUS 인증을 지원하지 않습니다. Mac 클라이언트를 VNet에 연결하려는 경우 기본 SKU를 사용하지 마세요.

가상 네트워크 게이트웨이에는 GatewaySubnet이라는 특정 서브넷이 필요합니다. 게이트웨이 서브넷은 가상 네트워크에 대한 IP 주소 범위의 일부이며 가상 네트워크 게이트웨이 리소스 및 서비스에서 사용하는 IP 주소를 포함합니다.

게이트웨이 서브넷을 만드는 경우 서브넷이 포함하는 IP 주소의 수를 지정합니다. 필요한 IP 주소의 수는 만들려는 VPN 게이트웨이 구성에 따라 다릅니다. 일부 구성에는 다른 구성보다 더 많은 IP 주소가 필요합니다. 게이트웨이 서브넷으로 /27 이상(/26, /25 등)을 지정하는 것이 가장 좋습니다.

주소 공간이 서브넷과 겹치거나 서브넷이 가상 네트워크에 대한 주소 공간에 포함되지 않는다는 오류가 표시되면 가상 네트워크 주소 범위를 확인합니다. 가상 네트워크에 대해 만든 주소 범위에 사용할 수 있는 IP 주소가 충분하지 않을 수 있습니다. 예를 들어 기본 서브넷이 전체 주소 범위를 포함하는 경우 추가 서브넷을 만들기 위한 IP 주소가 남아 있지 않습니다. 기존 주소 공간 내에서 서브넷을 조정하여 IP 주소를 확보하거나 다른 주소 범위를 지정하고 해당 범위에 속한 게이트웨이 서브넷을 만들 수 있습니다.

1. 검색 리소스, 서비스 및 문서(G +/)에 가상 네트워크 게이트웨이를 입력합니다. Marketplace 검색 결과에서 가상 네트워크 게이트웨이를 찾아 선택하여 가상 네트워크 게이트웨이 만들기 페이지를 엽니다.

   

2. 기본 탭에서 프로젝트 세부 정보 및 인스턴스 세부 정보에 대한 값을 입력합니다.

   

   • 구독: 드롭다운 목록에서 사용하려는 구독을 선택합니다.

   • 리소스 그룹: 이 페이지에서 가상 네트워크를 선택하면 이 설정이 자동으로 채워집니다.

   • 이름: 게이트웨이 이름을 지정합니다. 게이트웨이 이름 지정은 게이트웨이 서브넷 이름 지정과 동일하지 않습니다. 만들고 있는 게이트웨이 개체의 이름입니다.

   • 지역: 이 리소스를 만들려는 지역을 선택합니다. 게이트웨이에 대한 지역은 가상 네트워크와 동일해야 합니다.

   • 게이트웨이 유형: VPN을 선택합니다. VPN 게이트웨이는 가상 네트워크 게이트웨이 유형 VPN을 사용합니다.

   • SKU: 드롭다운 목록에서 사용하려는 기능을 지원하는 게이트웨이 SKU를 선택합니다. 게이트웨이 SKU를 참조하세요. 포털에서 드롭다운 목록에 사용할 수 있는 SKU는 선택한 VPN type에 따라 달라집니다. 기본 SKU는 Azure CLI 또는 PowerShell을 사용해야만 구성할 수 있습니다. Azure Portal에서는 기본 SKU를 구성할 수 없습니다.

   • 세대: 사용하려는 세대를 선택합니다. Generation2 SKU를 사용하는 것이 좋습니다. 자세한 내용은 게이트웨이 SKU를 참조하세요.

   • 가상 네트워크: 드롭다운 목록에서 이 게이트웨이를 추가하려는 가상 네트워크를 선택합니다. 게이트웨이를 만들 가상 네트워크가 표시되지 않는 경우 이전 설정에서 올바른 구독 및 지역을 선택했는지 확인합니다.

   • 게이트웨이 서브넷 주소 범위 또는 서브넷: VPN Gateway를 만들려면 게이트웨이 서브넷이 필요합니다.

     현재 이 필드에는 가상 네트워크에 대한 GatewaySubnet이라는 서브넷을 이미 만들었는지 여부 및 가상 네트워크 주소 공간에 따라 몇 가지 다른 동작이 있습니다.

     게이트웨이 서브넷이 없고 이 페이지에 게이트웨이 서브넷을 만드는 옵션이 표시되지 않는 경우 가상 네트워크로 돌아가 게이트웨이 서브넷을 만듭니다. 그런 다음, 이 페이지로 돌아가서 VPN Gateway를 구성합니다.

3. 공용 IP 주소에 대한 값을 지정합니다. 이러한 설정은 VPN 게이트웨이에 연결되는 공용 IP 주소 개체를 지정합니다. VPN Gateway가 생성될 때 공용 IP 주소가 이 개체에 할당됩니다. 기본 공용 IP 주소는 게이트웨이를 삭제하고 다시 만드는 경우에만 변경됩니다. VPN Gateway의 크기 조정, 다시 설정 또는 기타 내부 유지 관리/업그레이드 시에는 변경되지 않습니다.

   

   • 공용 IP 주소 유형: 이 연습에서는 주소 유형을 선택할 수 있는 옵션이 있는 경우 표준을 선택합니다.
   • 공용 IP 주소: 새로 만들기를 선택한 상태로 둡니다.
   • 공용 IP 주소 이름: 텍스트 상자에 공용 IP 주소 인스턴스의 이름을 입력합니다.
   • 공용 IP 주소 SKU: 설정이 자동으로 선택됩니다.
   • 할당: 할당은 일반적으로 자동으로 선택되며 동적 또는 정적입니다.
   • 활성-활성 모드 사용: 사용 안 함을 선택합니다. 활성-활성 게이트웨이 구성을 만드는 경우에만 이 설정을 사용하도록 설정합니다.
   • BGP 구성: 이 설정이 구성에 특별히 필요한 경우를 제외하고는 사용 안 함을 선택합니다. 이 설정이 필요한 경우 기본 ASN은 65515이며, 이 값은 변경 가능합니다.

4. 검토 + 만들기를 선택하여 유효성 검사를 실행합니다.

5. 유효성 검사를 통과하면 만들기를 선택하여 VPN Gateway를 배포합니다.

배포 상태는 게이트웨이에 대한 개요 페이지에서 확인할 수 있습니다. 게이트웨이가 만들어진 후 포털에서 VNet을 살펴보면 게이트웨이에 할당된 IP 주소를 확인할 수 있습니다. 게이트웨이가 연결된 디바이스로 표시됩니다.

Important

게이트웨이 서브넷으로 작업할 때 NSG(네트워크 보안 그룹)를 게이트웨이 서브넷에 연결하지 마세요. 네트워크 보안 그룹을 이 서브넷에 연결하면 가상 네트워크 게이트웨이(VPN 및 ExpressRoute 게이트웨이)가 예상대로 작동하지 않을 수 있습니다. 네트워크 보안 그룹에 대한 자세한 내용은 네트워크 보안 그룹이란?을 참조하세요.

인증서 생성

지점 및 사이트 간 VPN 연결을 통해 VNet에 연결되는 클라이언트를 인증하기 위해 Azure에 의해 인증서가 사용됩니다. 루트 인증서를 얻었으면 Azure에 공개 키 정보를 업로드합니다. 그러면 루트 인증서가 Azure에서 P2S를 통한 VNet 연결에 대해 '신뢰할 수 있는' 것으로 간주됩니다.

또한 신뢰할 수 있는 루트 인증서에서 클라이언트 인증서를 생성한 후 각 클라이언트 컴퓨터에 인증서를 설치합니다. 클라이언트 인증서는 VNet에 대한 연결을 시작할 때 해당 클라이언트를 인증하는 데 사용됩니다.

다음 섹션에서 지점 및 사이트 간 구성을 만들기 전에 루트 인증서를 만들고 추출해야 합니다.

루트 인증서 생성

루트 인증서용 .cer 파일을 가져옵니다. 엔터프라이즈 솔루션을 사용하여 생성된 루트 인증서를 사용하거나(추천) 자체 서명된 인증서를 생성할 수 있습니다. 루트 인증서가 만들어지면 공용 인증서 데이터(프라이빗 키 아님)를 Base64로 인코딩된 X.509 .cer 파일로 내보냅니다. 이 파일은 나중에 Azure에 업로드합니다.

• 엔터프라이즈 인증서: 엔터프라이즈 솔루션을 사용하는 경우 기존 인증서 체인을 사용할 수 있습니다. 사용하려는 루트 인증서용 .cer 파일을 획득합니다.

• 자체 서명된 루트 인증서: 엔터프라이즈 인증서 솔루션을 사용하지 않는 경우 자체 서명된 루트 인증서를 만듭니다. 그렇지 않으면 만든 인증서가 P2S 연결과 호환되지 않으며, 연결하려고 할 때 연결 오류 메시지가 클라이언트에 표시됩니다. Microsoft Azure PowerShell, MakeCert, 또는 OpenSSL을 사용할 수 있습니다. 다음 문서의 단계에서는 호환되는 자체 서명된 루트 인증서를 생성하는 방법을 설명합니다.

  • Windows 10 이상에 대한 PowerShell 지침: 이러한 지침에서는 Windows 10 이상을 실행하는 컴퓨터에 PowerShell이 필요합니다. 루트 인증서에서 생성된 클라이언트 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.
  • MakeCert 지침: Windows 10 이상을 실행하는 컴퓨터에 액세스할 수 없는 경우 MakeCert를 사용하여 인증서를 생성합니다. MakeCert는 더 이상 사용되지 않지만, 인증서를 생성하는 데에는 여전히 사용할 수 있습니다. 루트 인증서에서 생성한 클라이언트 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.
  • Linux - OpenSSL 지침
  • Linux - strongSwan 지침

클라이언트 인증서 생성

지점 및 사이트 간 연결을 사용하여 VNet에 연결하는 각 클라이언트 컴퓨터에는 클라이언트 인증서가 설치되어 있어야 합니다. 이 인증서는 루트 인증서에서 생성하여 각 클라이언트 컴퓨터에 설치합니다. 유효한 클라이언트 인증서를 설치하지 않으면 클라이언트에서 VNet에 연결하려고 할 때 인증이 실패합니다.

연결할 각 클라이언트에 대해 고유한 인증서를 생성하거나 여러 클라이언트에서 동일한 인증서를 사용할 수 있습니다. 고유한 클라이언트 인증서를 생성하면 단일 인증서를 해지할 수 있는 장점이 있습니다. 그렇지 않으면 여러 클라이언트에서 인증하는 데 동일한 클라이언트 인증서를 사용하지만 이 인증서를 철회하는 경우 해당 인증서를 사용하는 모든 클라이언트에 대해 새 인증서를 생성하여 설치해야 합니다.

클라이언트 인증서는 다음 메서드를 사용하여 생성할 수 있습니다.

• 엔터프라이즈 인증서:

  • 엔터프라이즈 인증서 솔루션을 사용하는 경우 클라이언트 인증서를 일반적인 이름 값 형식(name@yourdomain.com)으로 생성합니다. 도메인 이름\사용자 이름 형식 대신 이 형식을 사용합니다.

  • 클라이언트 인증서가 사용자 목록의 첫 번째 항목으로 나열된 클라이언트 인증이 있는 사용자 인증서 템플릿을 기반으로 하는지 확인합니다. 인증서를 두 번 클릭하고 세부 정보 탭에서 확장된 키 사용을 확인하여 해당 인증서를 확인합니다.

• 자체 서명된 루트 인증서: 다음 P2S 인증서 문서 중 하나의 단계에 따라 생성하는 클라이언트 인증서가 P2S 연결과 호환될 수 있도록 합니다.

  자체 서명된 루트 인증서에서 클라이언트 인증서를 생성하는 경우 이를 생성하는 데 사용한 컴퓨터에 자동으로 설치됩니다. 다른 클라이언트 컴퓨터에 클라이언트 인증서를 설치하려면 전체 인증서 체인과 함께 .pfx 파일로 내보냅니다. 이렇게 하면 클라이언트에서 인증하는 데 필요한 루트 인증서 정보가 포함된 .pfx 파일이 만들어집니다.

  이 문서의 단계를 통해 호환되는 클라이언트 인증서를 생성하고 이를 내보내어 배포할 수 있습니다.

  • Windows 10 이상 PowerShell 지침: 이 지침을 사용하려면 Windows 10 이상이 필요하고 PowerShell에서 인증서를 생성해야 합니다. 생성된 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.

  • MakeCert 지침: 인증서 생성을 위해 Windows 10 이상 컴퓨터에 액세스할 수 없는 경우 MakeCert를 사용합니다. MakeCert는 더 이상 사용되지 않지만, 인증서를 생성하는 데에는 여전히 사용할 수 있습니다. 생성된 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.

  • Linux 지침.

주소 풀 추가

지점 및 사이트 간 구성 페이지에는 P2S VPN에 필요한 구성 정보가 포함되어 있습니다. 모든 P2S 설정이 구성되고 게이트웨이가 업데이트되면 지점 및 사이트 간 구성 페이지를 사용하여 P2S VPN 설정을 보거나 변경합니다.

1. 이전 섹션에서 만든 게이트웨이로 이동합니다.
2. 왼쪽 창에서 지점 및 사이트 간 구성을 선택합니다.
3. 지금 구성을 클릭하여 구성 페이지를 엽니다.

클라이언트 주소 풀은 사용자가 지정한 개인 IP 주소 범위입니다. 지점 및 사이트 간 VPN을 통해 연결하는 클라이언트는 동적으로 이 범위의 IP 주소를 수신합니다. 연결 원본이 되는 온-프레미스 위치 또는 연결 대상이 되는 VNet과 겹치지 않는 개인 IP 주소 범위를 사용합니다. 여러 프로토콜을 구성하고 SSTP가 프로토콜 중 하나인 경우 구성된 주소 풀이 구성된 프로토콜 간에 동일하게 분할됩니다.

1. 지점-사이트 간 구성 페이지의 주소 풀 상자에서 사용하려는 개인 IP 주소 범위를 추가합니다. VPN 클라이언트는 동적으로 지정된 범위에서 IP 주소를 수신합니다. 최소 서브넷 마스크는 활성/수동 구성의 경우 29비트이고 활성/활성 구성의 경우 28비트입니다.

2. 다음으로 터널 및 인증 유형을 구성합니다.

터널 및 인증 유형 지정

참고 항목

지점 및 사이트 간 구성 페이지에서 터널 유형 또는 인증 유형이 표시되지 않으면 게이트웨이에서 기본 SKU를 사용하고 있는 것입니다. 기본 SKU는 IKEv2 또는 RADIUS 인증을 지원하지 않습니다. 해당 설정을 사용하려면 다른 게이트웨이 SKU를 사용하여 게이트웨이를 삭제하고 다시 만들어야 합니다.

이 섹션에서는 터널 유형 및 인증 유형을 지정합니다. 이러한 설정은 필요한 터널 유형과 사용자의 운영 체제에서 연결하는 데 사용되는 VPN 클라이언트 소프트웨어에 따라 복잡해질 수 있습니다. 이 문서의 단계에서는 기본 구성 설정 및 선택 사항을 안내합니다.

드롭다운에서 여러 터널 유형이 포함된 옵션(예: IKEv2 및 OpenVPN(SSL) 또는 IKEv2 및 SSTP(SSL))을 선택할 수 있습니다. 그러나 터널 유형과 인증 유형의 특정 조합만 지원됩니다. 예를 들어 Azure Active Directory 인증은 터널 유형 드롭다운에서 OpenVPN(SSL)을 선택한 경우에만 사용할 수 있으며, IKEv2 및 OpenVPN(SSL)을 선택한 경우에는 사용할 수 없습니다.

또한 선택한 터널 유형과 인증 유형은 Azure에 연결하는 데 사용할 수 있는 VPN 클라이언트 소프트웨어에 영향을 줍니다. 일부 VPN 클라이언트 소프트웨어는 IKEv2를 통해서만 연결할 수 있고, 다른 소프트웨어는 OpenVPN을 통해서만 연결할 수 있습니다. 그리고 일부 클라이언트 소프트웨어는 특정 터널 유형을 지원하지만 사용자가 선택한 인증 유형을 지원하지 않을 수 있습니다.

알 수 있듯이, 다양한 운영 체제에서 연결하는 다양한 VPN 클라이언트가 있는 경우 터널 유형과 인증 유형을 계획해야 합니다. Azure 인증서 인증과 함께 터널 유형을 선택하는 경우 다음 조건을 고려합니다. 다른 인증 유형에는 다른 고려 사항이 있습니다.

• Windows:

  • 운영 체제에 이미 설치된 네이티브 VPN 클라이언트를 통해 연결하는 Windows 컴퓨터는 먼저 IKEv2를 시도하고, 연결되지 않으면 SSTP로 대체합니다(터널 유형 드롭다운에서 IKEv2와 SSTP를 모두 선택한 경우).
  • OpenVPN 터널 유형을 선택하는 경우 OpenVPN 클라이언트 또는 Azure VPN Client를 사용하여 연결할 수 있습니다.
  • Azure VPN Client는 사용자 지정 경로 및 강제 터널링과 같은 추가 선택적 구성 설정을 지원할 수 있습니다.

• macOS 및 iOS:

  • iOS 및 macOS용 네이티브 VPN 클라이언트는 IKEv2 터널 유형만 사용하여 Azure에 연결할 수 있습니다.
  • OpenVPN 터널 유형을 선택하더라도 현재 인증서 인증에는 Azure VPN Client가 지원되지 않습니다.
  • 인증서 인증과 함께 OpenVPN 터널 유형을 사용하려는 경우 OpenVPN 클라이언트를 사용할 수 있습니다.
  • macOS의 경우 OpenVPN 터널 유형 및 Microsoft Entra 인증(인증서 인증 아님)과 함께 Azure VPN Client를 사용할 수 있습니다.

• Android 및 Linux:

  • Android 및 Linux의 StrongSwan 클라이언트는 IKEv2 터널 유형만 사용하여 연결할 수 있습니다. OpenVPN 터널 유형을 사용하려는 경우 다른 VPN 클라이언트를 사용합니다.

터널 종류

지점 및 사이트 간 구성 페이지에서 터널 유형을 선택합니다. 이 연습에서는 드롭다운에서 IKEv2 및 OpenVPN(SSL)을 선택합니다.

인증 유형

이 연습에서는 인증 유형에 대해 Azure 인증서를 선택합니다. 다른 인증 유형에 관심이 있는 경우 Microsoft Entra ID 및 RADIUS에 대한 문서를 참조하세요.

루트 인증서 공개 키 정보 업로드

이 섹션에서는 공용 루트 인증서 데이터를 Azure에 업로드합니다. 공용 인증서 데이터가 업로드되면 Azure는 이 데이터를 사용하여 신뢰할 수 있는 루트 인증서에서 생성된 클라이언트 인증서를 설치한 클라이언트를 인증합니다.

1. 이전 단계에서 루트 인증서를 Base-64 인코딩된 X.509(.CER) 파일로 내보내야 합니다. 이 형식으로 내보내야 텍스트 편집기에서 인증서를 열 수 있습니다. 프라이빗 키를 내보낼 필요가 없습니다.

2. 메모장과 같은 텍스트 편집기에서 인증서를 엽니다. 인증서 데이터를 복사하는 경우 캐리지 리턴 또는 줄 바꿈 없이 하나의 연속 줄로 텍스트를 복사합니다. 캐리지 리턴 및 줄 바꿈을 보려면 '기호 표시/모든 문자 표시'에 대한 텍스트 편집기의 보기를 수정해야 할 수도 있습니다. 하나의 연속 줄로만 다음 섹션을 복사합니다.

   

3. 루트 인증서 섹션에서 가상 네트워크 게이트웨이 -> 지점 및 사이트 간 구성 페이지로 이동합니다. 이 섹션은 인증 유형에 대해 Azure 인증서를 선택한 경우에만 표시됩니다.

4. 루트 인증서 섹션에서 최대 20개의 신뢰할 수 있는 루트 인증서를 추가할 수 있습니다.

   • 인증서 데이터를 공용 인증서 데이터 필드에 붙여넣습니다.
   • 인증서의 이름을 지정합니다.

   

5. 이 연습에는 추가 경로가 필요하지 않습니다. 사용자 지정 라우팅 기능에 대한 자세한 내용은 사용자 지정 경로 보급을 참조하세요.

6. 페이지 위쪽에서 저장을 선택하여 모든 구성 설정을 저장합니다.

   

내보낸 클라이언트 인증서 설치

연결하려는 각 VPN 클라이언트에는 클라이언트 인증서가 있어야 합니다. 클라이언트 인증서를 생성하면 일반적으로 사용한 컴퓨터에서 클라이언트 인증서를 자동으로 설치합니다. 다른 컴퓨터에서 P2S 연결을 만들려면 클라이언트 인증서를 연결하려는 컴퓨터에 설치해야 합니다. 클라이언트 인증서를 설치하는 경우 클라이언트 인증서를 내보낼 때 만든 암호가 필요합니다.

전체 인증서 체인(즉, 기본값)과 함께.pfx로 클라이언트 인증서를 내보냈는지 확인합니다. 그렇지 않은 경우, 루트 인증서 정보가 클라이언트 컴퓨터에 존재하지 않으며 클라이언트를 제대로 인증할 수 없습니다.

설치 단계는 클라이언트 인증서 설치를 참조하세요.

VPN 클라이언트 구성 및 Azure에 연결

각 VPN 클라이언트는 생성하고 다운로드하는 VPN 클라이언트 프로필 구성 패키지의 파일을 사용하여 구성됩니다. 구성 패키지에는 자신이 만든 VPN 게이트웨이와 관련된 설정이 포함되어 있습니다. 터널 유형, 인증서 또는 인증 유형 변경과 같이 게이트웨이를 변경하는 경우 다른 VPN 클라이언트 프로필 구성 패키지를 생성하여 각 클라이언트에 설치해야 합니다. 그렇지 않으면 VPN 클라이언트가 연결되지 않을 수 있습니다.

VPN 클라이언트 프로필 구성 패키지를 생성하고, VPN 클라이언트를 구성하고, Azure에 연결하는 단계는 다음 문서를 참조하세요.

• Windows
• macOS-iOS
• Linux

연결을 확인하려면

이러한 지침은 Windows 클라이언트에 적용됩니다.

1. VPN 연결이 활성인지를 확인하려면, 관리자 권한 명령 프롬프트를 열고 ipconfig/all을 실행합니다.

2. 결과를 확인합니다. 받은 IP 주소는 구성에 지정한 지점 및 사이트 간 VPN 클라이언트 주소 풀 내의 주소 중 하나입니다. 결과는 다음 예제와 비슷합니다.

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.3(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

가상 컴퓨터에 연결하려면

이러한 지침은 Windows 클라이언트에 적용됩니다.

VM에 대한 원격 데스크톱 연결을 만들어 가사 네트워크에 배포된 VM에 연결할 수 있습니다. 처음에 VM에 연결할 수 있는지 확인하는 가장 좋은 방법은 컴퓨터 이름이 아닌 개인 IP 주소를 사용하여 연결하는 것입니다. 이렇게 하면 연결할 수 있는지, 아니면 이름 확인이 제대로 구성되었는지를 테스트할 수 있습니다.

1. 개인 IP 주소를 찾습니다. Azure Portal에서 VM의 속성을 살펴보거나 PowerShell을 사용하여 VM의 개인 IP 주소를 찾을 수 있습니다.

   • Azure Portal: Azure Portal에서 VM을 찾습니다. VM 속성을 봅니다. 개인 IP 주소가 나열됩니다.

   • PowerShell: 예제를 사용하여 리소스 그룹의 VM 및 개인 IP 주소 목록을 봅니다. 이 예제는 수정하지 않고 그냥 사용하면 됩니다.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. 가상 네트워크에 연결되어 있는지 확인합니다.

3. 작업 표시줄의 검색 상자에 RDP 또는 원격 데스크톱 연결을 입력하여 원격 데스크톱 연결을 엽니다. 그런 다음, 원격 데스크톱 연결을 선택합니다. PowerShell에서 mstsc 명령을 사용하여 원격 데스크톱 연결을 열 수도 있습니다.

4. 원격 데스크톱 연결에서 VM의 개인 IP 주소를 입력합니다. 옵션 표시를 선택하여 다른 설정을 조정한 다음, 연결할 수 있습니다.

VPN 연결을 통해 VM에 연결하는 데 문제가 있는 경우 다음 사항을 확인합니다.

• VPN 연결이 성공했는지 확인합니다.
• VM의 개인 IP 주소에 연결하고 있는지 확인합니다.
• 컴퓨터 이름이 아닌 개인 IP 주소를 사용하여 VM에 연결할 수 있으면 DNS를 올바르게 구성했는지 확인합니다. VM에 대한 이름 확인이 작동하는 방법에 대한 자세한 내용은 VM에 대한 이름 확인을 참조하세요.

RDP 연결에 대한 자세한 내용은 VM에 대한 원격 데스크톱 연결 문제 해결을 참조하세요.

• DNS 서버 IP 주소가 VNet에 지정된 후에 VPN 클라이언트 구성 패키지가 생성되었는지 확인합니다. DNS 서버 IP 주소를 업데이트한 경우 새 VPN 클라이언트 구성 패키지를 생성하고 설치합니다.

• 'ipconfig'를 사용하여 연결하는 컴퓨터의 이더넷 어댑터에 할당된 IPv4 주소를 확인합니다. IP 주소가 연결하는 VNet의 주소 범위 또는 VPNClientAddressPool의 주소 범위 내에 있는 경우 이 주소를 겹치는 주소 공간이라고 합니다. 주소 공간이 이러한 방식으로 겹치면 네트워크 트래픽이 Azure에 도달하지 않고 로컬 네트워크에 남아 있습니다.

신뢰할 수 있는 루트 인증서를 추가 또는 제거하려면 다음을 수행합니다.

Azure에서 신뢰할 수 있는 루트 인증서를 추가 및 제거할 수 있습니다. 루트 인증서를 제거하면 해당 루트에서 생성된 인증서가 있는 클라이언트를 인증하지 못하게 됩니다. 따라서 연결할 수도 없습니다. 클라이언트를 인증하고 연결하려는 경우 Azure에 (업로드된)신뢰할 수 있는 루트 인증서에서 생성된 새 클라이언트 인증서를 설치해야 합니다.

Azure에 최대 20개의 신뢰할 수 있는 루트 인증서 .cer 파일을 추가할 수 있습니다. 지침은 신뢰할 수 있는 루트 인증서 업로드 섹션을 참조하세요.

신뢰할 수 있는 루트 인증서를 제거하려면 다음을 수행합니다.

1. 가상 네트워크 게이트웨이에 대한 지점 및 사이트 간 구성 페이지로 이동합니다.
2. 페이지의 루트 인증서 섹션에서 제거할 인증서를 찾습니다.
3. 인증서 옆의 줄임표를 선택한 다음, 제거를 선택합니다.

클라이언트 인증서를 해지하려면

클라이언트 인증서를 해지할 수 있습니다. 인증서 해지 목록을 사용하면 필요에 따라 개별 클라이언트 인증서를 기반으로 하는 P2S 연결을 거부할 수 있습니다. 이것은 신뢰할 수 있는 루트 인증서를 제거하는 것과 다릅니다. Azure에서 신뢰할 수 있는 루트 인증서 .cer를 제거하면, 해지된 루트 인증서로 생성/서명된 모든 클라이언트 인증서에 대한 액세스 권한도 해지됩니다. 루트 인증서가 아닌 클라이언트 인증서를 해지하면 루트 인증서에서 생성된 다른 인증서를 인증에 계속 사용할 수 있습니다.

해지된 클라이언트 인증서를 사용하는 동안 개별 사용자의 세분화된 액세스 제어를 위해 일반적으로 루트 인증서를 사용하여 팀 또는 조직 수준에서 액세스를 관리합니다.

해지 목록에 지문을 추가하여 클라이언트 인증서를 해지할 수 있습니다.

1. 클라이언트 인증서 지문을 검색합니다. 자세한 내용은 인증서의 지문을 검색하는 방법을 참조하세요.
2. 텍스트 편집기에 정보를 복사하고 연속 문자열이 되도록 공백을 모두 제거합니다.
3. 가상 네트워크 게이트웨이 지점 및 사이트 간 구성 페이지로 이동합니다. 신뢰할 수 있는 루트 인증서를 업로드하는 데 사용한 것과 동일한 페이지입니다.
4. 해지된 인증서 섹션에서 인증서에 대한 이름(인증서 CN이 아니어도 됨)을 입력합니다.
5. 지문 문자열을 지문 필드에 복사하여 붙여 넣습니다.
6. 지문의 유효성이 검사되고 해당 지문이 해지 목록에 자동으로 추가됩니다. 목록이 업데이트되고 있음을 알리는 메시지가 화면에 표시됩니다.
7. 업데이트가 완료된 후에는 인증서를 더 이상 연결에 사용할 수 없습니다. 이 인증서를 사용하여 연결하려는 클라이언트는 인증서가 더 이상 유효하지 않다고 하는 메시지를 받습니다.

지점 및 사이트 간 연결 FAQ

자주 묻는 질문은 FAQ를 참조하세요.

다음 단계

연결이 완료되면 가상 머신을 VNet에 추가할 수 있습니다. 자세한 내용은 Virtual Machines를 참조하세요. 네트워킹 및 가상 머신에 대한 자세한 내용은 Azure 및 Linux VM 네트워크 개요를 참조하세요.

P2S 문제 해결 정보는 Azure 지점 및 사이트 간 연결 문제 해결을 참조하세요.