다음으로 시작하세요 AWS Client VPN - AWS Client VPN
사전 조건1단계: 서버와 클라이언트 인증서 및 키 생성2단계: 클라이언트 엔드포인트 생성 VPN3단계: 대상 네트워크 연결4단계: 에 대한 권한 부여 규칙 추가 VPC5단계: 인터넷 액세스 제공6단계: 보안 그룹 요구 사항 확인7단계: 클라이언트 VPN 엔드포인트 구성 파일 다운로드8단계: 클라이언트 VPN 엔드포인트에 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다음으로 시작하세요 AWS Client VPN

이 자습서에서는 다음을 수행하는 AWS Client VPN 엔드포인트를 생성합니다.

  • 모든 클라이언트에게 단일 액세스 권한을 제공합니다VPC.

  • 모든 클라이언트에게 인터넷에 대한 액세스를 제공합니다.

  • 상호 인증을 사용합니다.

다음 다이어그램은 이 자습서를 완료한 후의 사용자 VPC 및 클라이언트 VPN 엔드포인트 구성을 나타냅니다.

인터넷에 VPN 액세스하는 클라이언트

사전 조건

이 자습서를 시작하기 전에 다음 사항을 확인해야 합니다.

  • 클라이언트 VPN 엔드포인트와 작업하는 데 필요한 권한.

  • 인증서를 AWS Certificate Manager로 가져오는 데 필요한 권한.

  • 하나 이상의 서브넷과 인터넷 게이트웨이가 있는 AVPC. 서브넷과 연결된 라우팅 테이블에는 인터넷 게이트웨이에 대한 경로가 있어야 합니다.

1단계: 서버와 클라이언트 인증서 및 키 생성

이 자습서에서는 상호 인증을 사용합니다. 상호 인증을 통해 클라이언트는 인증서를 VPN 사용하여 클라이언트와 클라이언트 VPN 엔드포인트 간에 인증을 수행합니다. 하나의 서버 인증서 및 키와 하나 이상의 클라이언트 인증서 및 키가 있어야 합니다. 최소한 클라이언트 VPN 엔드포인트를 생성할 때 서버 인증서를 AWS Certificate Manager (ACM) 로 가져와서 지정해야 합니다. 로 클라이언트 인증서를 가져오는 ACM 것은 선택 사항입니다.

이러한 용도로 사용할 인증서가 아직 없는 경우 Open VPN easy-rsa 유틸리티를 사용하여 인증서를 만들 수 있습니다. Open VPN easy-rsa 유틸리티를 사용하여 서버 및 클라이언트 인증서와 키를 생성하고 이를 가져오는 자세한 단계는 참조하십시오. ACM 의 상호 인증 AWS Client VPN

참고

서버 인증서는 클라이언트 엔드포인트를 생성할 AWS 지역과 동일한 지역의 AWS Certificate Manager (ACM) 로 프로비저닝하거나 가져와야 합니다. VPN

2단계: 클라이언트 엔드포인트 생성 VPN

클라이언트 VPN 엔드포인트는 클라이언트 VPN 세션을 활성화하고 관리하기 위해 생성하고 구성하는 리소스입니다. 모든 클라이언트 VPN 세션의 종료 지점입니다.

클라이언트 VPN 엔드포인트를 만들려면

  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 [클라이언트 엔드포인트] 를 선택한 다음 [클라이언트 VPN VPN 엔드포인트 생성] 을 선택합니다.

  3. (선택 사항) 클라이언트 VPN 엔드포인트의 이름 태그와 설명을 제공합니다.

  4. 클라이언트의 IPv4 CIDR 경우 클라이언트 IP 주소를 할당할 IP 주소 범위를 CIDR 표기법으로 지정합니다.

    참고

    주소 범위는 대상 네트워크 주소 범위, 주소 범위 또는 클라이언트 VPN 엔드포인트와 연결될 경로와 겹칠 수 없습니다. VPC 클라이언트 주소 범위는 최소 /22이고 /12 CIDR 블록 크기보다 크지 않아야 합니다. 클라이언트 엔드포인트를 생성한 후에는 클라이언트 주소 범위를 변경할 수 없습니다. VPN

  5. 서버 인증서의 ARN 경우 1단계에서 생성한 서버 인증서를 선택합니다. ARN

  6. 인증 옵션에서 상호 인증 사용을 선택한 다음 클라이언트 인증서에 ARN 대해 클라이언트 인증서로 사용할 인증서를 선택합니다. ARN

    동일한 인증 기관 (CA) 에서 서버 및 클라이언트 인증서를 서명한 경우 클라이언트와 서버 인증서 ARN 모두에 대해 서버 인증서를 지정할 수 있습니다. 이 시나리오에서는 서버 인증서에 해당하는 모든 클라이언트 인증서를 사용하여 인증할 수 있습니다.

  7. (선택 사항) DNS 확인에 사용할 서버를 DNS 지정합니다. 사용자 지정 DNS 서버를 사용하려면 DNS서버 1 IP 주소DNS서버 2 IP 주소에 사용할 DNS 서버의 IP 주소를 지정합니다. VPCDNS서버를 사용하려면 DNS서버 1 IP 주소 또는 DNS서버 2 IP 주소에 IP 주소를 지정하고 VPC DNS 서버 IP 주소를 추가합니다.

    참고

    클라이언트가 DNS 서버에 연결할 수 있는지 확인하십시오.

  8. 나머지 기본 설정을 유지하고 클라이언트 VPN 엔드포인트 생성을 선택합니다.

클라이언트 VPN 엔드포인트를 생성한 후의 상태는 입니다pending-associate. 클라이언트는 대상 네트워크를 하나 이상 연결한 후에만 VPN 연결을 설정할 수 있습니다.

클라이언트 VPN 엔드포인트에 지정할 수 있는 옵션에 대한 자세한 내용은 을 참조하십시오AWS Client VPN 엔드포인트 생성.

3단계: 대상 네트워크 연결

클라이언트가 VPN 세션을 설정할 수 있도록 하려면 대상 네트워크를 클라이언트 VPN 엔드포인트와 연결합니다. 대상 네트워크는 a의 서브넷입니다. VPC

대상 네트워크를 클라이언트 VPN 엔드포인트와 연결하려면

  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 클라이언트 VPN 엔드포인트를 선택합니다.

  3. 이전 절차에서 만든 클라이언트 VPN 엔드포인트를 선택한 다음 대상 네트워크 연결, 대상 네트워크 연결을 선택합니다.

  4. VPC에서 서브넷이 위치한 위치를 선택합니다. VPC

  5. 연결할 서브넷 선택에서 클라이언트 엔드포인트와 연결할 서브넷을 선택합니다. VPN

  6. 대상 네트워크 연결(Associate target network)을 선택합니다.

  7. 권한 부여 규칙이 허용하는 경우 하나의 서브넷 연결만으로도 클라이언트가 전체 네트워크에 액세스할 수 있습니다VPC. 추가 서브넷을 연결하여 가용 영역에 장애가 발생할 경우에도 고가용성을 제공할 수 있습니다.

첫 번째 서브넷을 클라이언트 VPN 엔드포인트와 연결하면 다음과 같은 상황이 발생합니다.

  • 클라이언트 VPN 엔드포인트의 상태가 로 변경됩니다. available 이제 클라이언트는 VPN 연결을 설정할 수 있지만 권한 부여 규칙을 추가할 VPC 때까지 클라이언트는 의 리소스에 액세스할 수 없습니다.

  • 의 VPC 로컬 경로가 클라이언트 VPN 엔드포인트 라우팅 테이블에 자동으로 추가됩니다.

  • VPC의 기본 보안 그룹이 클라이언트 VPN 엔드포인트에 자동으로 적용됩니다.

4단계: 에 대한 권한 부여 규칙 추가 VPC

클라이언트가 에 액세스하려면 클라이언트 VPN 엔드포인트의 라우팅 테이블에 VPC 있는 경로와 권한 부여 규칙이 있어야 합니다. VPC 이전 단계에서 경로는 이미 자동으로 추가되었습니다. 이 자습서에서는 모든 사용자에게 에 대한 액세스 권한을 부여하려고 VPC 합니다.

에 대한 권한 부여 규칙을 추가하려면 VPC

  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 클라이언트 VPN 엔드포인트를 선택합니다.

  3. 권한 부여 규칙을 추가할 클라이언트 VPN 엔드포인트를 선택합니다. 권한 부여 규칙(Authorization rules)을 선택한 다음 권한 부여 규칙 추가(Add authorization rule)를 선택합니다.

  4. 액세스를 활성화할 대상 네트워크에 액세스를 허용하려는 CIDR 네트워크의 이름을 입력합니다. 예를 들어 전체에 VPC 대한 액세스를 허용하려면 의 IPv4 CIDR 블록을 지정하십시오VPC.

  5. 다음에 대한 액세스 권한 부여(Grant access to)에서 모든 사용자에게 액세스 허용(Allow access to all users)을 선택합니다.

  6. (선택 사항) 설명(Description)에 권한 부여 규칙에 대한 간략한 설명을 입력합니다.

  7. Add authorization rule(권한 부여 규칙 추가)을 선택합니다.

5단계: 인터넷 액세스 제공

에 연결된 추가 네트워크 (예: AWS 서비스, 피어링 VPCVPCs, 온-프레미스 네트워크 및 인터넷) 에 대한 액세스를 제공할 수 있습니다. 각 추가 네트워크에 대해 클라이언트 VPN 엔드포인트의 라우팅 테이블에 있는 네트워크 경로를 추가하고 클라이언트에게 액세스 권한을 부여하는 권한 부여 규칙을 구성합니다.

이 자습서에서는 모든 사용자에게 인터넷 액세스 권한과 인터넷 액세스 권한을 부여하려고 VPC 합니다. 에 대한 액세스를 이미 VPC 구성했으므로 이 단계는 인터넷 액세스를 위한 것입니다.

인터넷 액세스를 제공하려면

  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 클라이언트 VPN 엔드포인트를 선택합니다.

  3. 이 자습서에서 생성한 클라이언트 VPN 엔드포인트를 선택합니다. 라우팅 테이블(Route Table)을 선택한 다음 경로 생성(Create Route)을 선택합니다.

  4. Route destination(라우팅 대상 주소)0.0.0.0/0을 입력합니다. 대상 네트워크 연결용 서브넷 ID(Subnet ID for target network association)에서 트래픽을 라우팅할 서브넷의 ID를 입력합니다.

  5. Create Route(라우팅 생성)를 선택합니다.

  6. 권한 부여 규칙(Authorization rules)을 선택한 다음 권한 부여 규칙 추가(Add authorization rule)를 선택합니다.

  7. 액세스를 활성화할 대상 네트워크(Destination network to enable access)0.0.0.0/0을 입력하고 모든 사용자에게 액세스 허용(Allow access to all users)을 선택합니다.

  8. Add authorization rule(권한 부여 규칙 추가)을 선택합니다.

6단계: 보안 그룹 요구 사항 확인

이 자습서에서는 2단계에서 클라이언트 VPN 엔드포인트를 생성할 때 보안 그룹을 지정하지 않았습니다. 즉, 대상 네트워크가 VPC 연결되면 의 기본 보안 그룹이 클라이언트 VPN 엔드포인트에 자동으로 적용됩니다. 따라서 이제 의 기본 보안 그룹이 클라이언트 VPN 엔드포인트와 VPC 연결되어야 합니다.

다음 보안 그룹 요구 사항 확인

  • 트래픽을 라우팅하는 서브넷과 연결된 보안 그룹 (이 경우 기본 VPC 보안 그룹) 이 인터넷으로의 아웃바운드 트래픽을 허용한다는 것입니다. 이렇게 하려면 대상 0.0.0.0/0에 대한 모든 트래픽을 허용하는 아웃바운드 규칙을 추가합니다.

  • 해당 리소스의 보안 VPC 그룹에는 클라이언트 VPN 엔드포인트에 적용되는 보안 그룹 (이 경우 기본 VPC 보안 그룹) 의 액세스를 허용하는 규칙이 있다는 것입니다. 이렇게 하면 클라이언트가 내 리소스에 액세스할 수 있습니다VPC.

자세한 내용은 보안 그룹 단원을 참조하십시오.

7단계: 클라이언트 VPN 엔드포인트 구성 파일 다운로드

다음 단계는 클라이언트 VPN 엔드포인트 구성 파일을 다운로드하고 준비하는 것입니다. 구성 파일에는 VPN 연결을 설정하는 데 필요한 클라이언트 VPN 엔드포인트 세부 정보 및 인증서 정보가 포함됩니다. 클라이언트 VPN 엔드포인트에 연결해야 하는 최종 사용자에게 이 파일을 제공합니다. 최종 사용자는 이 파일을 사용하여 VPN 클라이언트 애플리케이션을 구성합니다.

클라이언트 VPN 엔드포인트 구성 파일을 다운로드하고 준비하려면

  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 클라이언트 VPN 엔드포인트를 선택합니다.

  3. 이 자습서에서 생성한 클라이언트 VPN 엔드포인트를 선택하고 클라이언트 구성 다운로드를 선택합니다.

  4. 1단계에서 생성된 클라이언트 인증서 및 키를 찾습니다. 클라이언트 인증서 및 키는 복제된 Open VPN easy-rsa 리포지토리의 다음 위치에서 찾을 수 있습니다.

    • 클라이언트 인증서 - easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • 클라이언트 키 - easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  5. 선호하는 텍스트 편집기를 사용하여 클라이언트 VPN 엔드포인트 구성 파일을 엽니다. <cert></cert><key></key> 태그를 파일에 추가합니다. 클라이언트 인증서의 내용과 프라이빗 키의 내용을 다음과 같이 해당 태그 사이에 배치합니다.

    <cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

  6. 클라이언트 VPN 엔드포인트 구성 파일을 저장하고 닫습니다.

  7. 클라이언트 VPN 엔드포인트 구성 파일을 최종 사용자에게 배포하십시오.

클라이언트 VPN 엔드포인트 구성 파일에 대한 자세한 내용은 을 참조하십시오AWS Client VPN 엔드포인트 구성 파일 내보내기.

8단계: 클라이언트 VPN 엔드포인트에 연결

AWS 제공된 클라이언트 또는 다른 오픈 VPN 기반 클라이언트 애플리케이션과 방금 생성한 구성 파일을 사용하여 클라이언트 VPN 엔드포인트에 연결할 수 있습니다. 자세한 내용은 AWS Client VPN 사용 설명서를 참조하십시오.