시작하기 AWS Client VPN - AWS Client VPN
사전 조건1단계: 서버와 클라이언트 인증서 및 키 생성2단계: 클라이언트 VPN 엔드포인트 생성3단계: 대상 네트워크 연결4단계:에 대한 권한 부여 규칙 추가 VPC5단계: 인터넷 액세스 제공6단계: 보안 그룹 요구 사항 확인7단계: 클라이언트 VPN 엔드포인트 구성 파일 다운로드8단계: 클라이언트 VPN 엔드포인트에 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

시작하기 AWS Client VPN

이 자습서에서는 다음을 수행하는 AWS Client VPN 엔드포인트를 생성합니다.

  • 모든 클라이언트에게 단일에 대한 액세스 권한을 제공합니다VPC.

  • 모든 클라이언트에게 인터넷에 대한 액세스를 제공합니다.

  • 상호 인증을 사용합니다.

다음 다이어그램은이 자습서를 완료한 후 VPC 및 클라이언트 VPN 엔드포인트의 구성을 나타냅니다.

인터넷에 VPN 액세스하는 클라이언트

사전 조건

이 자습서를 시작하기 전에 다음 사항을 확인해야 합니다.

  • 클라이언트 VPN 엔드포인트를 사용하는 데 필요한 권한입니다.

  • 인증서를 AWS Certificate Manager로 가져오는 데 필요한 권한.

  • 서브넷과 인터넷 게이트웨이가 하나 이상 VPC 있는 . 서브넷과 연결된 라우팅 테이블에는 인터넷 게이트웨이에 대한 경로가 있어야 합니다.

1단계: 서버와 클라이언트 인증서 및 키 생성

이 자습서에서는 상호 인증을 사용합니다. 상호 인증을 통해 클라이언트VPN는 인증서를 사용하여 클라이언트와 클라이언트 VPN 엔드포인트 간에 인증을 수행합니다. 하나의 서버 인증서 및 키와 하나 이상의 클라이언트 인증서 및 키가 있어야 합니다. 최소한 서버 인증서를 AWS Certificate Manager (ACM)로 가져와서 클라이언트 VPN 엔드포인트를 생성할 때 지정해야 합니다. 클라이언트 인증서를 로 가져오는 것은 선택 사항ACM입니다.

이 용도로 사용할 인증서가 아직 없는 경우 easy-rsa 유틸리티 열기VPN를 사용하여 인증서를 생성할 수 있습니다. easy-rsa 유틸리티 열기VPN를 사용하여 서버 및 클라이언트 인증서와 키를 생성하고 로 가져오는 자세한 단계는 섹션을 ACM 참조하세요의 상호 인증 AWS Client VPN.

참고

서버 인증서는 클라이언트 VPN 엔드포인트를 생성할 리전과 동일한 AWS 리전의 AWS Certificate Manager (ACM)로 프로비저닝하거나 가져와야 합니다.

2단계: 클라이언트 VPN 엔드포인트 생성

클라이언트 VPN 엔드포인트는 클라이언트 VPN 세션을 활성화하고 관리하기 위해 생성하고 구성하는 리소스입니다. 이는 모든 클라이언트 VPN 세션의 종료 시점입니다.

클라이언트 VPN 엔드포인트를 생성하려면

  1. 에서 Amazon VPC 콘솔을 엽니다https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 클라이언트 VPN 엔드포인트를 선택한 다음 클라이언트 VPN 엔드포인트 생성을 선택합니다.

  3. (선택 사항) 클라이언트 VPN 엔드포인트의 이름 태그와 설명을 제공합니다.

  4. 클라이언트 IPv4 CIDR에서 클라이언트 IP 주소를 할당할 IP 주소 범위를 CIDR 표기법으로 지정합니다.

    참고

    주소 범위는 대상 네트워크 주소 범위, VPC 주소 범위 또는 클라이언트 VPN 엔드포인트와 연결될 경로와 겹칠 수 없습니다. 클라이언트 주소 범위는 최소 /22이고 CIDR /12 블록 크기 이하여야 합니다. 클라이언트 VPN 엔드포인트를 생성한 후에는 클라이언트 주소 범위를 변경할 수 없습니다.

  5. 서버 인증서 ARN에서 1단계에서 생성한 서버 인증서ARN의를 선택합니다.

  6. 인증 옵션에서 상호 인증 사용을 선택한 다음 클라이언트 인증서 ARN에서 클라이언트 인증서로 사용할 인증서ARN의를 선택합니다.

    서버 인증서와 클라이언트 인증서가 동일한 인증 기관(CA)에 의해 서명된 경우 클라이언트 인증서와 서버 인증서 모두에 ARN 대해 서버 인증서를 지정할 수 있습니다. 이 시나리오에서는 서버 인증서에 해당하는 모든 클라이언트 인증서를 사용하여 인증할 수 있습니다.

  7. (선택 사항) DNS 해결에 사용할 DNS 서버를 지정합니다. 사용자 지정 DNS 서버를 사용하려면 DNS 서버 1 IP 주소DNS 서버 2 IP 주소에 사용할 DNS 서버의 IP 주소를 지정합니다. VPC DNS 서버를 사용하려면 DNS 서버 1 IP 주소 또는 DNS 서버 2 IP 주소에 대해 IP 주소를 지정하고 VPC DNS 서버 IP 주소를 추가합니다.

    참고

    클라이언트가 DNS 서버에 연결할 수 있는지 확인합니다.

  8. 나머지 기본 설정을 유지하고 클라이언트 VPN 엔드포인트 생성을 선택합니다.

클라이언트 VPN 엔드포인트를 생성한 후 상태는 입니다pending-associate. 클라이언트는 하나 이상의 대상 네트워크를 연결한 후에만 VPN 연결을 설정할 수 있습니다.

클라이언트 VPN 엔드포인트에 지정할 수 있는 옵션에 대한 자세한 내용은 섹션을 참조하세요AWS Client VPN 엔드포인트 생성.

3단계: 대상 네트워크 연결

클라이언트가 VPN 세션을 설정할 수 있도록 하려면 대상 네트워크를 클라이언트 VPN 엔드포인트와 연결합니다. 대상 네트워크는의 서브넷입니다VPC.

대상 네트워크를 클라이언트 VPN 엔드포인트에 연결하려면

  1. 에서 Amazon VPC 콘솔을 엽니다https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 클라이언트 VPN 엔드포인트를 선택합니다.

  3. 이전 절차에서 생성한 클라이언트 VPN 엔드포인트를 선택한 다음 대상 네트워크 연결, 대상 네트워크 연결을 선택합니다.

  4. VPC에서 서브넷이 있는를 VPC선택합니다.

  5. 연결할 서브넷 선택에서 클라이언트 VPN 엔드포인트와 연결할 서브넷을 선택합니다.

  6. 대상 네트워크 연결(Associate target network)을 선택합니다.

  7. 권한 부여 규칙에서 허용하는 경우 클라이언트가 VPC의 전체 네트워크에 액세스하기에 하나의 서브넷 연결로 충분합니다. 추가 서브넷을 연결하여 가용 영역에 장애가 발생할 경우에도 고가용성을 제공할 수 있습니다.

첫 번째 서브넷을 클라이언트 VPN 엔드포인트에 연결하면 다음과 같은 일이 발생합니다.

  • 클라이언트 VPN 엔드포인트의 상태가 로 변경됩니다available. 이제 클라이언트는 VPN 연결을 설정할 수 있지만 권한 부여 규칙을 추가할 VPC 때까지의 리소스에 액세스할 수 없습니다.

  • 의 로컬 경로VPC는 클라이언트 VPN 엔드포인트 라우팅 테이블에 자동으로 추가됩니다.

  • VPC의 기본 보안 그룹은 클라이언트 VPN 엔드포인트에 자동으로 적용됩니다.

4단계:에 대한 권한 부여 규칙 추가 VPC

클라이언트VPC가에 액세스하려면 클라이언트 VPN 엔드포인트의 라우팅 테이블과 권한 부여 규칙에 VPC에 대한 경로가 있어야 합니다. 이전 단계에서 경로는 이미 자동으로 추가되었습니다. 이 자습서에서는 모든 사용자에게에 대한 액세스 권한을 부여하고자 합니다VPC.

에 대한 권한 부여 규칙을 추가하려면 VPC

  1. 에서 Amazon VPC 콘솔을 엽니다https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 클라이언트 VPN 엔드포인트를 선택합니다.

  3. 권한 부여 규칙을 추가할 클라이언트 VPN 엔드포인트를 선택합니다. 권한 부여 규칙(Authorization rules)을 선택한 다음 권한 부여 규칙 추가(Add authorization rule)를 선택합니다.

  4. 대상 네트워크에서 액세스를 활성화하려면 액세스를 허용할 CIDR 네트워크의를 입력합니다. 예를 들어 전체에 대한 액세스를 허용하려면의 IPv4 CIDR 블록을 VPC지정합니다VPC.

  5. 다음에 대한 액세스 권한 부여(Grant access to)에서 모든 사용자에게 액세스 허용(Allow access to all users)을 선택합니다.

  6. (선택 사항) 설명(Description)에 권한 부여 규칙에 대한 간략한 설명을 입력합니다.

  7. Add authorization rule(권한 부여 규칙 추가)을 선택합니다.

5단계: 인터넷 액세스 제공

AWS 서비스VPC, 피어링된 , VPCs온프레미스 네트워크 및 인터넷과 같이에 연결된 추가 네트워크에 대한 액세스를 제공할 수 있습니다. 각 추가 네트워크에 대해 클라이언트 VPN 엔드포인트의 라우팅 테이블에 네트워크에 라우팅을 추가하고 클라이언트에 액세스 권한을 부여하도록 권한 부여 규칙을 구성합니다.

이 자습서에서는 모든 사용자에게 인터넷 및에 대한 액세스 권한을 부여하고자 합니다VPC. 이미에 대한 액세스를 구성VPC했으므로이 단계는 인터넷에 대한 액세스를 위한 것입니다.

인터넷 액세스를 제공하려면

  1. 에서 Amazon VPC 콘솔을 엽니다https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 클라이언트 VPN 엔드포인트를 선택합니다.

  3. 이 자습서를 위해 생성한 클라이언트 VPN 엔드포인트를 선택합니다. 라우팅 테이블(Route Table)을 선택한 다음 경로 생성(Create Route)을 선택합니다.

  4. Route destination(라우팅 대상 주소)0.0.0.0/0을 입력합니다. 대상 네트워크 연결용 서브넷 ID(Subnet ID for target network association)에서 트래픽을 라우팅할 서브넷의 ID를 입력합니다.

  5. Create Route(라우팅 생성)를 선택합니다.

  6. 권한 부여 규칙(Authorization rules)을 선택한 다음 권한 부여 규칙 추가(Add authorization rule)를 선택합니다.

  7. 액세스를 활성화할 대상 네트워크(Destination network to enable access)0.0.0.0/0을 입력하고 모든 사용자에게 액세스 허용(Allow access to all users)을 선택합니다.

  8. Add authorization rule(권한 부여 규칙 추가)을 선택합니다.

6단계: 보안 그룹 요구 사항 확인

이 자습서에서는 2단계에서 클라이언트 VPN 엔드포인트를 생성하는 동안 보안 그룹이 지정되지 않았습니다. 즉, 대상 네트워크가 연결되면 VPC의 기본 보안 그룹이 클라이언트 VPN 엔드포인트에 자동으로 적용됩니다. 따라서 이제의 기본 보안 그룹이 클라이언트 VPN 엔드포인트와 연결되어야 VPC 합니다.

다음 보안 그룹 요구 사항 확인

  • 트래픽을 라우팅하는 서브넷과 연결된 보안 그룹(이 경우 기본 VPC 보안 그룹)이 인터넷으로의 아웃바운드 트래픽을 허용합니다. 이렇게 하려면 대상 0.0.0.0/0에 대한 모든 트래픽을 허용하는 아웃바운드 규칙을 추가합니다.

  • 의 리소스에 대한 보안 그룹에는 클라이언트 VPN 엔드포인트에 적용되는 보안 그룹(이 경우 기본 VPC 보안 그룹)에서 액세스를 허용하는 규칙이 VPC 있습니다. 이렇게 하면 클라이언트가의 리소스에 액세스할 수 있습니다VPC.

자세한 내용은 보안 그룹 단원을 참조하십시오.

7단계: 클라이언트 VPN 엔드포인트 구성 파일 다운로드

다음 단계는 클라이언트 VPN 엔드포인트 구성 파일을 다운로드하고 준비하는 것입니다. 구성 파일에는 VPN 연결을 설정하는 데 필요한 클라이언트 VPN 엔드포인트 세부 정보와 인증서 정보가 포함됩니다. 클라이언트 VPN 엔드포인트에 연결해야 하는 최종 사용자에게이 파일을 제공합니다. 최종 사용자는 파일을 사용하여 VPN 클라이언트 애플리케이션을 구성합니다.

클라이언트 VPN 엔드포인트 구성 파일을 다운로드하고 준비하려면

  1. 에서 Amazon VPC 콘솔을 엽니다https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 클라이언트 VPN 엔드포인트를 선택합니다.

  3. 이 자습서에서 생성한 클라이언트 VPN 엔드포인트를 선택하고 클라이언트 구성 다운로드를 선택합니다.

  4. 1단계에서 생성된 클라이언트 인증서 및 키를 찾습니다. 클라이언트 인증서 및 키는 복제된 OpenVPN easy-rsa 리포지토리의 다음 위치에서 찾을 수 있습니다.

    • 클라이언트 인증서 - easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • 클라이언트 키 - easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  5. 원하는 텍스트 편집기를 사용하여 클라이언트 VPN 엔드포인트 구성 파일을 엽니다. <cert></cert><key></key> 태그를 파일에 추가합니다. 클라이언트 인증서의 내용과 프라이빗 키의 내용을 다음과 같이 해당 태그 사이에 배치합니다.

    <cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

  6. 클라이언트 VPN 엔드포인트 구성 파일을 저장하고 닫습니다.

  7. 클라이언트 VPN 엔드포인트 구성 파일을 최종 사용자에게 배포합니다.

클라이언트 VPN 엔드포인트 구성 파일에 대한 자세한 내용은 섹션을 참조하세요AWS Client VPN 엔드포인트 구성 파일 내보내기.

8단계: 클라이언트 VPN 엔드포인트에 연결

AWS 제공된 클라이언트 또는 다른 오픈 VPN기반 클라이언트 애플리케이션과 방금 생성한 구성 파일을 사용하여 클라이언트 VPN 엔드포인트에 연결할 수 있습니다. 자세한 내용은 AWS Client VPN 사용 설명서를 참조하십시오.