P2S VPN Gateway 서버 설정 구성 - RADIUS 인증
이 문서에서는 RADIUS 인증을 사용하는 P2S(지점 및 사이트 간 연결) 연결을 만드는 데 도움이 됩니다. PowerShell 또는 Azure Portal을 사용하여 이 구성을 만들 수 있습니다. 다른 방법을 사용하여 인증하려면 다음 문서를 참조하세요.
지점 및 사이트 간 VPN 연결에 대한 자세한 내용은 P2S VPN 정보를 참조하세요.
이 유형의 연결에는 다음이 필요합니다.
- RouteBased VPN 게이트웨이입니다.
- 사용자 인증을 처리하는 RADIUS 서버 - RADIUS 서버는 온-프레미스 또는 Azure VNet(가상 네트워크)에 배포할 수 있습니다. 또한 고가용성을 위해 두 RADIUS 서버를 구성할 수 있습니다.
- VPN 클라이언트 프로필 구성 패키지. VPN 클라이언트 프로필 구성 패키지는 사용자가 생성하는 패키지. 여기에는 VPN 클라이언트가 P2S를 통해 연결하는 데 필요한 설정이 포함되어 있습니다.
제한 사항:
- RADIUS와 함께 IKEv2를 사용하는 경우 EAP 기반 인증만 지원됩니다.
- 온-프레미스 RADIUS 서버에 연결하는 데 ExpressRoute 연결을 사용할 수 없습니다.
P2S VPN에 대한 AD(Active Directory) 도메인 인증 정보
AD 도메인 인증을 사용하면 사용자가 자신의 조직 도메인 자격 증명을 사용하여 Azure에 로그인할 수 있습니다. AD 서버와 통합되는 RADIUS 서버가 필요합니다. 또한 조직에서 기존 RADIUS 배포를 사용할 수도 있습니다.
RADIUS 서버는 온-프레미스 또는 Azure VNet에 있을 수 있습니다. 인증하는 동안 VPN 게이트웨이에서 통과 역할을 수행하여 RADIUS 서버와 연결된 디바이스 간에 인증 메시지를 전달합니다. VPN 게이트웨이에서 RADIUS 서버에 연결할 수 있어야 합니다. RADIUS 서버가 온-프레미스에 있는 경우 Azure에서 온-프레미스 사이트로의 VPN 사이트 간 연결이 필요합니다.
또한 RADIUS 서버는 Active Directory와는 별도로 다른 외부 ID 시스템과 통합할 수도 있습니다. 이는 MFA 옵션을 포함하여 P2S VPN에 대한 많은 인증 옵션을 엽니다. RADIUS 서버 공급업체 설명서를 확인하여 통합되는 ID 시스템의 목록을 얻습니다.
시작하기 전에
Azure 구독이 있는지 확인합니다. Azure 구독이 아직 없는 경우 MSDN 구독자 혜택을 활성화하거나 무료 계정에 등록할 수 있습니다.
Azure PowerShell 작업
이 문서에서는 PowerShell cmdlet을 사용합니다. cmdlet을 실행하려면 Azure Cloud Shell을 사용할 수 있습니다. Cloud Shell은 이 문서의 단계를 실행하는 데 무료로 사용할 수 있는 대화형 셸입니다. 공용 Azure 도구가 사전 설치되어 계정에서 사용하도록 구성되어 있습니다.
Cloud Shell을 열려면 코드 블록의 오른쪽 위 모서리에 있는 Cloudshell 열기를 선택하기만 하면 됩니다. 또한 https://shell.azure.com/powershell로 이동하여 별도의 브라우저 탭에서 Cloud Shell을 열 수도 있습니다. 복사를 선택하여 코드 블록을 복사하고 Cloud Shell에 붙여넣고 Enter 키를 선택하여 실행합니다.
또한 Azure PowerShell cmdlet을 컴퓨터에 로컬로 설치하고 실행할 수도 있습니다. PowerShell cmdlet은 자주 업데이트됩니다. 최신 버전을 설치하지 않은 경우 지침에 지정된 값이 실패할 수 있습니다. 컴퓨터에 설치된 Azure PowerShell 버전을 찾으려면 Get-Module -ListAvailable Az
cmdlet을 사용하세요. 설치하거나 업데이트하려면 Azure PowerShell 모듈 설치를 참조하세요.
예제 값
예제 값을 사용하여 테스트 환경을 만들거나 이 값을 참조하여 이 문서의 예제를 보다 정확하게 이해할 수 있습니다. 단계를 계속 따라가며 값을 변경 없이 사용해도 되고, 사용자 환경을 반영하도록 값을 변경해도 됩니다.
- 이름: VNet1
- 주소 공간: 10.1.0.0/16 및 10.254.0.0/16
이 예제에서는 둘 이상의 주소 공간을 사용하여 이 구성이 여러 주소 공간에서 작동하는 것을 보여 줍니다. 그러나 이 구성에는 여러 주소 공간이 필요하지 않습니다. - 서브넷 이름: FrontEnd
- 서브넷 주소 범위: 10.1.0.0/24
- 서브넷 이름: BackEnd
- 서브넷 주소 범위: 10.254.1.0/24
- 서브넷 이름: GatewaySubnet
서브넷 이름 GatewaySubnet은 VPN Gateway가 작동하기 위한 필수 항목입니다.- GatewaySubnet 주소 범위 = 10.1.255.0/27
- VPN 클라이언트 주소 풀: 172.16.201.0/24
이 P2S 연결을 사용하여 VNet에 연결하는 VPN 클라이언트는 VPN 클라이언트 주소 풀에서 IP 주소를 받습니다. - 구독: 구독이 2개 이상 있는 경우 올바른 구독을 사용 중인지 확인합니다.
- 리소스 그룹: TestRG1
- 위치: 미국 동부
- DNS 서버: VNet에 대한 이름 확인에 사용하려는 DNS 서버의 IP 주소 (선택 사항)
- GW 이름: Vnet1GW
- 공용 IP 이름: VNet1GWPIP
- VpnType: RouteBased
리소스 그룹, VNet 및 공용 IP 주소 만들기
다음 단계에서는 세 개의 서브넷이 있는 리소스 그룹과 리소스 그룹의 가상 네트워크를 만듭니다. 값을 대체하는 경우 게이트웨이 서브넷의 이름을 항상 GatewaySubnet으로 지정하는 것이 중요합니다. 다른 이름을 지정하는 경우 게이트웨이 만들기가 실패합니다.
New-AzResourceGroup을 사용하여 리소스 그룹을 만듭니다.
New-AzResourceGroup -Name "TestRG1" -Location "EastUS"
New-AzVirtualNetwork를 사용하여 가상 네트워크를 만듭니다.
$vnet = New-AzVirtualNetwork ` -ResourceGroupName "TestRG1" ` -Location "EastUS" ` -Name "VNet1" ` -AddressPrefix 10.1.0.0/16
New-AzVirtualNetworkSubnetConfig를 사용하여 FrontEnd 및 GatewaySubnet라는 이름으로 서브넷을 만듭니다(게이트웨이 서브넷 이름은 GatewaySubnet이어야 함).
$subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig ` -Name Frontend ` -AddressPrefix 10.1.0.0/24 ` -VirtualNetwork $vnet $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig ` -Name GatewaySubnet ` -AddressPrefix 10.1.255.0/27 ` -VirtualNetwork $vnet
Set-AzVirtualNetwork를 사용하여 가상 네트워크에 서브넷 구성을 작성합니다. 그러면 가상 네트워크에 서브넷이 만들어집니다.
$vnet | Set-AzVirtualNetwork
공용 IP 주소 요청
VPN Gateway에는 공용 IP 주소가 있어야 합니다. 먼저 IP 주소 리소스를 요청하고, 가상 네트워크 게이트웨이를 만들 때 참조합니다. IP 주소는 VPN 게이트웨이가 생성될 때 리소스에 정적으로 할당됩니다. 게이트웨이가 삭제되고 다시 만들어지는 경우에만 공용 IP 주소가 변경됩니다. VPN Gateway의 크기 조정, 다시 설정 또는 기타 내부 유지 관리/업그레이드 시에는 변경되지 않습니다.
New-AzPublicIpAddress를 사용하여 VPN 게이트웨이의 공용 IP 주소를 요청합니다.
$gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard
New-AzVirtualNetworkGatewayIpConfig를 사용하여 게이트웨이 IP 주소 구성을 만듭니다. 이 구성은 VPN 게이트웨이를 만들 때 참조됩니다.
$vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.Id
RADIUS 서버 설정
가상 네트워크 게이트웨이를 만들고 구성하기 전에 인증을 위해 RADIUS 서버를 올바르게 구성해야 합니다.
- 배포된 RADIUS 서버가 없는 경우 RADIUS 서버를 배포합니다. 배포 단계는 RADIUS 공급업체에서 제공하는 설치 가이드를 참조하세요.
- RADIUS 서버에서 VPN 게이트웨이를 RADIUS 클라이언트로 구성합니다. 이 RADIUS 클라이언트를 추가하는 경우, 생성한 GatewaySubnet 가상 네트워크를 지정합니다.
- RADIUS 서버가 설치되면 이 RADIUS 서버의 IP 주소 및 RADIUS 클라이언트에서 이 서버와 통신할 때 사용해야 하는 공유 비밀을 가져옵니다. RADIUS 서버가 Azure VNet에 있으면 RADIUS 서버 VM의 CA IP를 사용합니다.
NPS(네트워크 정책 서버) 문서에서는 AD 도메인 인증을 위해 Windows RADIUS 서버(NPS)를 구성하는 방법에 대한 지침을 제공하고 있습니다.
VPN 게이트웨이 만들기
이 단계에서 VNet용 가상 네트워크 게이트웨이를 구성하고 만듭니다. 인증 및 터널 유형에 대한 자세한 내용은 이 문서의 Azure Portal 버전에서 터널 및 인증 유형 지정을 참조하세요.
- -GatewayType은 ‘Vpn’이어야 하고 -VpnType은 ‘RouteBased’여야 합니다.
- VPN 게이트웨이는 선택한 게이트웨이 SKU에 따라 빌드하는 데 45분 이상 걸릴 수 있습니다.
다음 예제에서는 VpnGw2, 2세대 SKU를 사용합니다. GatewaySKU 값과 관련된 ValidateSet 오류가 표시되고 이러한 명령을 로컬로 실행하는 경우 PowerShell cmdlet 최신 버전을 설치했는지 확인합니다. 최신 버전은 최신 게이트웨이 SKU에 대한 유효성이 검사된 새 값을 포함합니다.
New-AzVirtualNetworkGateway를 사용하여 게이트웨이 유형이 "Vpn"인 가상 네트워크 게이트웨이를 만듭니다.
New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" `
-Location "EastUS" -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"
RADIUS 서버 추가
- -RadiusServer는 이름 또는 IP 주소로 지정할 수 있습니다. 이름을 지정하고 서버가 온-프레미스에 있는 경우 VPN 게이트웨이에서 이름을 확인할 수 없을 수 있습니다. 이러한 경우에는 서버의 IP 주소를 지정하는 것이 좋습니다.
- -RadiusSecret은 RADIUS 서버에 구성된 것과 일치해야 합니다.
- -VpnCientAddressPool은 연결하는 VPN 클라이언트에서 IP 주소를 받는 범위입니다. 연결 원본이 되는 온-프레미스 위치 또는 연결 대상이 되는 VNet과 겹치지 않는 개인 IP 주소 범위를 사용합니다. 충분한 크기의 주소 풀을 구성했는지 확인합니다.
RADIUS 비밀의 보안 문자열을 만듭니다.
$Secure_Secret=Read-Host -AsSecureString -Prompt "RadiusSecret"
RADIUS 비밀을 입력하라는 메시지가 표시됩니다. 입력한 문자는 표시되지 않고 "*" 문자로 대체됩니다.
RadiusSecret:***
클라이언트 주소 풀 및 RADIUS 서버 값 추가
이 섹션에서는 VPN 클라이언트 주소 풀 및 RADIUS 서버 정보를 추가합니다. 여러 가지 가능한 구성이 있습니다. 구성하려는 예제를 선택합니다.
SSTP 구성
$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "SSTP" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
OpenVPN® 구성
$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientRootCertificates @()
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "OpenVPN" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
IKEv2 구성
$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "IKEv2" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
SSTP + IKEv2
$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol @( "SSTP", "IkeV2" ) `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
두 RADIUS 서버 지정
두 RADIUS 서버를 지정하려면 다음 구문을 사용합니다. 필요에 따라 -VpnClientProtocol 값을 수정합니다.
$radiusServer1 = New-AzRadiusServer -RadiusServerAddress 10.1.0.15 -RadiusServerSecret $radiuspd -RadiusServerScore 30
$radiusServer2 = New-AzRadiusServer -RadiusServerAddress 10.1.0.16 -RadiusServerSecret $radiuspd -RadiusServerScore 1
$radiusServers = @( $radiusServer1, $radiusServer2 )
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $actual -VpnClientAddressPool 201.169.0.0/16 -VpnClientProtocol "IkeV2" -RadiusServerList $radiusServers
VPN 클라이언트 구성 및 연결
VPN 클라이언트 프로필 구성 패키지에는 Azure VNet에 대한 연결을 위해 VPN 클라이언트 프로필을 구성할 수 있도록 하는 설정이 포함되어 있습니다.
VPN 클라이언트 구성 패키지를 생성하고 VPN 클라이언트를 구성하려면 다음 문서 중 하나를 참조하세요.
VPN 클라이언트를 구성한 후 Azure에 연결합니다.
연결을 확인하려면
VPN 연결이 활성인지를 확인하려면, 관리자 권한 명령 프롬프트를 열고 ipconfig/all을 실행합니다.
결과를 확인합니다. 수신한 IP 주소는 구성에서 지정한 P2S VPN 클라이언트 주소 풀 내의 주소 중 하나입니다. 결과는 다음 예제와 비슷합니다.
PPP adapter VNet1: Connection-specific DNS Suffix .: Description.....................: VNet1 Physical Address................: DHCP Enabled....................: No Autoconfiguration Enabled.......: Yes IPv4 Address....................: 172.16.201.3(Preferred) Subnet Mask.....................: 255.255.255.255 Default Gateway.................: NetBIOS over Tcpip..............: Enabled
P2S 연결 문제를 해결하려면 Azure 지점 및 사이트 간 연결 문제 해결을 참조하세요.
가상 컴퓨터에 연결하려면
VM에 대한 원격 데스크톱 연결을 만들어 가사 네트워크에 배포된 VM에 연결할 수 있습니다. 처음에 VM에 연결할 수 있는지 확인하는 가장 좋은 방법은 컴퓨터 이름이 아닌 개인 IP 주소를 사용하여 연결하는 것입니다. 이렇게 하면 연결할 수 있는지, 아니면 이름 확인이 제대로 구성되었는지를 테스트할 수 있습니다.
개인 IP 주소를 찾습니다. Azure Portal에서 VM의 속성을 살펴보거나 PowerShell을 사용하여 VM의 개인 IP 주소를 찾을 수 있습니다.
Azure Portal: Azure Portal에서 VM을 찾습니다. VM 속성을 봅니다. 개인 IP 주소가 나열됩니다.
PowerShell: 예제를 사용하여 리소스 그룹의 VM 및 개인 IP 주소 목록을 봅니다. 이 예제는 수정하지 않고 그냥 사용하면 됩니다.
$VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics) { $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod Write-Output "$($VM.Name): $Prv,$Alloc" }
가상 네트워크에 연결되어 있는지 확인합니다.
작업 표시줄의 검색 상자에 RDP 또는 원격 데스크톱 연결을 입력하여 원격 데스크톱 연결을 엽니다. 그런 다음, 원격 데스크톱 연결을 선택합니다. PowerShell에서
mstsc
명령을 사용하여 원격 데스크톱 연결을 열 수도 있습니다.원격 데스크톱 연결에서 VM의 개인 IP 주소를 입력합니다. 옵션 표시를 선택하여 다른 설정을 조정한 다음, 연결할 수 있습니다.
VPN 연결을 통해 VM에 연결하는 데 문제가 있는 경우 다음 사항을 확인합니다.
- VPN 연결이 성공했는지 확인합니다.
- VM의 개인 IP 주소에 연결하고 있는지 확인합니다.
- 컴퓨터 이름이 아닌 개인 IP 주소를 사용하여 VM에 연결할 수 있으면 DNS를 올바르게 구성했는지 확인합니다. VM에 대한 이름 확인이 작동하는 방법에 대한 자세한 내용은 VM에 대한 이름 확인을 참조하세요.
RDP 연결에 대한 자세한 내용은 VM에 대한 원격 데스크톱 연결 문제 해결을 참조하세요.
DNS 서버 IP 주소가 VNet에 지정된 후에 VPN 클라이언트 구성 패키지가 생성되었는지 확인합니다. DNS 서버 IP 주소를 업데이트한 경우 새 VPN 클라이언트 구성 패키지를 생성하고 설치합니다.
'ipconfig'를 사용하여 연결하는 컴퓨터의 이더넷 어댑터에 할당된 IPv4 주소를 확인합니다. IP 주소가 연결하는 VNet의 주소 범위 또는 VPNClientAddressPool의 주소 범위 내에 있는 경우 이 주소를 겹치는 주소 공간이라고 합니다. 주소 공간이 이러한 방식으로 겹치면 네트워크 트래픽이 Azure에 도달하지 않고 로컬 네트워크에 남아 있습니다.
FAQ
FAQ 정보는 FAQ의 지점 및 사이트 간 - RADIUS 인증 섹션을 참조하세요.
다음 단계
연결이 완료되면 가상 네트워크에 가상 머신을 추가할 수 있습니다. 자세한 내용은 Virtual Machines를 참조하세요. 네트워킹 및 가상 머신에 대한 자세한 내용은 Azure 및 Linux VM 네트워크 개요를 참조하세요.