문제 해결: Azure 사이트 간 VPN 연결에서 연결할 수 없고 작동이 중지됨

온-프레미스 네트워크와 Azure 가상 네트워크 사이에 사이트 간 VPN 연결을 구성한 후 VPN 연결이 갑자기 작동을 중지하며 이를 다시 연결할 수 없는 경우가 있습니다. 이 문서에서는 이 문제를 해결하는 데 도움이 되는 문제 해결 단계를 제공합니다.

Azure 문제와 관련된 정보가 이 문서에 없을 경우 Microsoft Q & A 및 Stack Overflow에서 Azure 포럼을 방문합니다. 이러한 포럼이나 Twitter의 @AzureSupport에 문제를 게시할 수 있습니다. 또한 Azure 지원 요청을 제출할 수 있습니다. 지원 요청을 제출하려면 Azure 지원 페이지에서 지원 받기를 선택합니다.

문제 해결 단계

이 문제를 해결하려면 먼저 Azure VPN 게이트웨이를 다시 설정하고 온-프레미스 VPN 디바이스에서 터널을 다시 설정해 봅니다. 문제가 계속되면 다음 단계에 따라 문제의 원인을 식별합니다.

필수 조건 단계

Azure VPN 게이트웨이 유형을 확인합니다.

1. Azure Portal로 이동합니다.

2. VNet에 대한 가상 네트워크 게이트웨이로 이동합니다. 개요 페이지에 게이트웨이 유형, VPN 유형 및 게이트웨이 SKU가 표시됩니다.

1단계: 온-프레미스 VPN 디바이스가 확인되었는지 확인

1. 확인된 VPN 디바이스 및 운영 체제 버전을 사용 중인지 확인합니다. 확인된 VPN 디바이스가 아닌 경우 디바이스 제조업체에 호환성 문제가 있는지 문의해야 할 수 있습니다.

2. VPN 디바이스가 올바르게 구성되었는지 확인합니다. 자세한 내용은 디바이스 구성 예제 편집을 참조하세요.

2단계: 공유 키 확인

온-프레미스 VPN 디바이스의 공유 키를 Azure Virtual Network VPN과 비교하여 키가 일치하는지 확인합니다.

Azure VPN 연결에 대한 공유 키를 보려면 다음 방법 중 하나를 사용합니다.

Azure Portal

1. VPN Gateway로 이동합니다. 연결 페이지에서 연결을 찾아 엽니다.

2. 인증 유형을 선택합니다. 필요한 경우 공유 키를 업데이트하고 저장합니다.

Azure PowerShell

참고 항목

Azure Az PowerShell 모듈을 사용하여 Azure와 상호 작용하는 것이 좋습니다. 시작하려면 Azure PowerShell 설치를 참조하세요. Az PowerShell 모듈로 마이그레이션하는 방법에 대한 자세한 내용은 Azure PowerShell을 AzureRM에서 Azure로 마이그레이션을 참조하세요.

Azure Resource Manager 배포 모델의 경우:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

클래식 배포 모델:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

3단계: VPN 피어 IP 확인

• Azure의 로컬 네트워크 게이트웨이 개체에 있는 IP 정의가 온-프레미스 디바이스 IP와 일치해야 합니다.
• 온-프레미스 디바이스에 설정된 Azure 게이트웨이 IP 정의는 Azure 게이트웨이 IP와 일치해야 합니다.

4단계: 게이트웨이 서브넷에서 UDR 및 NSG 확인

게이트웨이 서브넷에서 UDR(사용자 정의 라우팅) 또는 NSG(네트워크 보안 그룹)를 확인하고 제거한 다음 결과를 테스트합니다. 문제가 해결되면 적용된 UDR 또는 NSG의 설정을 확인합니다.

5단계: 온-프레미스 VPN 디바이스 외부 인터페이스 주소 확인

VPN 디바이스의 인터넷 연결 IP 주소가 Azure의 로컬 네트워크 정의에 포함된 경우 이따금 연결 끊김이 발생할 수 있습니다.

6단계: 서브넷이 정확하게 일치하는지 확인(Azure 정책 기반 게이트웨이)

• 가상 네트워크 주소 공간이 Azure 가상 네트워크와 온-프레미스 정의 간에 정확히 일치하는지 확인합니다.
• 로컬 네트워크 게이트웨이와 온-프레미스 네트워크에 대한 온-프레미스 정의 간에 서브넷이 정확하게 일치하는지 확인합니다.

7단계: Azure 게이트웨이 상태 프로브 확인

1. 다음 URL로 이동하여 상태 프로브를 엽니다.

   https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

   활성/활성 게이트웨이의 경우 다음을 사용하여 두 번째 공용 IP를 확인합니다.
   

   https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

2. 인증서 경고를 클릭합니다.

3. 응답이 수신되면 VPN 게이트웨이가 정상으로 간주됩니다. 응답을 수신하지 못하면 게이트웨이가 정상이 아니거나 게이트웨이 서브넷의 NSG로 인해 문제가 발생할 수 있습니다. 다음 텍스트는 샘플 응답입니다.

   <?xml version="1.0"?>
   <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
   

참고 항목

기본 SKU VPN 게이트웨이는 상태 프로브에 회신하지 않습니다. 프로덕션 워크로드에는 권장되지 않습니다.

8단계: 온-프레미스 VPN 디바이스에 PFS(Perfect Forward Secrecy) 기능이 사용하도록 설정되어 있는지 확인

PFS(Perfect Forward Secrecy) 기능은 연결 끊김 문제를 일으킬 수 있습니다. VPN 디바이스에 PFS(Perfect Forward Secrecy) 기능이 사용하도록 설정되어 있으면 이 기능을 사용하지 않도록 설정합니다. 그런 다음 VPN 게이트웨이 IPsec 정책을 업데이트합니다.

참고 항목

VPN 게이트웨이는 로컬 주소에서 ICMP에 회신하지 않습니다.

다음 단계

• 가상 네트워크에 대한 사이트 간 연결 구성
• 사이트 간 VPN 연결에 대한 IPsec/IKE 정책 구성