VPN 터널이 지속적으로 다운되는 현상

신동수·2024년 7월 2일
0

AWS

목록 보기
16/26

상황



현재 IDC 와 AWS 간의 Site to Site VPN 을 연결하였다.
하지만 주기적으로 터널이 끊기는 증상이 발생하였고, Cloudwatch 지표에서도 해당 내용을 확인할 수 있었다.


또한, Cloudwatch 로그 그룹에서는 "AWS tunnel DPD timed out after 18 retransmits" 이라는 문구를 확인할 수 있었다.

디버그 로그

장비 및 IKE 협상 과정에서 Phase 2 Selector 설정이 AWS와 Fortigate 간 상이하여 아래와 같이 에러로그 지속적으로 발생 하였고, 여러 번의 Phase 2 오류 후 DPD Failure 오류 및 IKE 재협상 과정이 일어났다.

VPN 장비 로그

IKE 협상 과정 로그

ike 0:AWS_VPN_5:386034:77670438: peer proposal is: peer:0:10.0.0.0-10.255.255.255:0, me:0:192.168.0.0-192.168.255.255:0
ike 0:AWS_VPN_5:386034:AWS_VPN_5:77670438: trying
**ike 0:AWS_VPN_5:386034:77670438: specified selectors mismatch**
**ike 0:AWS_VPN_5:386034:77670438: peer: type=7/7, local=0:192.168.0.0-192.168.255.255:0, remote=0:10.0.0.0-10.255.255.255:0** **#AWS** **설정#**
**ike 0:AWS_VPN_5:386034:77670438: mine: type=7/7, local=0:0.0.0.0-255.255.255.255:0, remote=0:0.0.0.0-255.255.255.255:0** **#****포티게이트 설정#**
ik**e 0:AWS_VPN_5:386034:77670438: no matching phase2 found**
**ike 0:AWS_VPN_5:386034:77670438: failed to get responder proposal**
ike 0:AWS_VPN_5:386034: error processing quick-mode message from 13.124.32.137 as responder
ike 0:AWS_VPN_6:386032:77668859: peer proposal is: peer:0:10.0.0.0-10.255.255.255:0, me:0:192.168.0.0-192.168.255.255:0
ike 0:AWS_VPN_6:386032:AWS_VPN_6:77668859: trying
**ike 0:AWS_VPN_6:386032:77668859: specified selectors mismatch**
**ike 0:AWS_VPN_6:386032:77668859: peer: type=7/7, local=0:192.168.0.0-192.168.255.255:0, remote=0:10.0.0.0-10.255.255.255:0** #AWS 설정#
**ike 0:AWS_VPN_6:386032:77668859: mine: type=7/7, local=0:0.0.0.0-255.255.255.255:0, remote=0:0.0.0.0-255.255.255.255:0**#포티게이트 설정#
**ike 0:AWS_VPN_6:386032:77668859: no matching phase2 found**
**ike 0:AWS_VPN_6:386032:77668859: failed to get responder proposal**
ike 0:AWS_VPN_6:386032: error processing quick-mode message from 43.200.142.177 as responder

조치사항

AWS 측 Phase 2  Selectors 설정을 local=0:192.168.0.0-192.168.255.255:0, remote=0:10.0.0.0-10.255.255.255:0 에서 local=0:0.0.0.0-255.255.255.255:0, remote=0:0.0.0.0-255.255.255.255:0 으로 변경하였으며, 조치 이후 15:00 까지 DPD failure 로그 및 Phase 2 관련 에러로그 미 발생하고 있다.


위 캡처와 같이 Site to Site VPN 연결 옵션에서 CIDR 설정을 하였기 때문이다.


IDC 쪽 VPN 장비와 설정이 다른 것을 확인하여 VPN 연결 옵션에서 동일하게 로컬, 원격 CIDR 을 0.0.0.0/0 으로 수정 하였고, VPN 이 주기적으로 끊기는 로그는 없는 것으로 보였다.

profile
신동수
조금씩 성장하는 DevOps 엔지니어가 되겠습니다. 😄
이전 포스트

AWS Transfer Family를 이용한 S3 SFTP 사용 (with Cloudformation)

다음 포스트

S3 Mount (with. Goofys)

0개의 댓글