인증서 인증을 사용하여 지점 및 사이트 간 연결 구성(클래식)
이 문서에서는 클래식(레거시) 배포 모델을 사용하여 지점 및 사이트 간 연결로 VNet을 만드는 방법을 보여 줍니다. 이 구성은 자체 서명된 CA 또는 발급된 CA 중 하나인 인증서를 사용하여 연결 중인 클라이언트를 인증합니다. 이러한 지침은 클래식 배포 모델에 사용됩니다. 클래식 배포 모델을 사용하여 게이트웨이를 더 이상 만들 수 없습니다. 대신 이 문서의 Resource Manager 버전을 참조하세요.
Important
클래식 배포 모델(서비스 관리) 가상 네트워크에 대한 새 가상 네트워크 게이트웨이를 더 이상 만들 수 없습니다. Resource Manager 가상 네트워크에 대해서만 새 가상 네트워크 게이트웨이를 만들 수 있습니다.
P2S(지점 및 사이트 간) VPN 게이트웨이를 사용하여 개별 클라이언트 컴퓨터에서 가상 네트워크로의 보안 연결을 만듭니다. 지점 및 사이트 간 VPN 연결은 원격 위치에서 VNet에 연결하려는 경우에 유용합니다. VNet에 연결해야 하는 클라이언트가 몇 개뿐이면 사이트 간 VPN 대신 P2S VPN을 사용하는 것이 좋습니다. 클라이언트 컴퓨터에서 시작하여 P2S VPN 연결을 설정합니다.
Important
클래식 배포 모델은 Windows VPN 클라이언트만을 지원하고 SSTP(Secure Socket Tunneling Protocol), SSL 기반 VPN 프로토콜을 사용합니다. 비 Windows VPN 클라이언트를 지원하려면 Resource Manager 배포 모델을 통해 VNet을 만들어야 합니다. 리소스 관리자 배포 모델은 SSTP 외에도 IKEv2 VPN을 지원합니다. 자세한 내용은 P2S 연결 정보를 참조하세요.
참고 항목
이 문서는 클래식(레거시) 배포 모델 사용에 대해 설명합니다. 대신 최신 Azure 배포 모델을 사용하는 것이 좋습니다. Resource Manager 배포 모델은 최신 배포 모델로 클래식 배포 모델보다 더 많은 옵션과 기능 호환성을 제공합니다. 이러한 두 배포 모델 간의 차이점을 이해하려면 배포 모델 및 리소스 상태 이해를 참조하세요.
이 문서의 다른 버전을 사용하려면 왼쪽 창의 목차를 사용합니다.
설정 및 요구 사항
요구 사항
지점 및 사이트 간 인증서 인증 연결을 사용하려면 다음 항목이 필요합니다. 이 문서에는 이러한 연결을 만드는 데 도움이 되는 단계가 있습니다.
- 동적 VPN 게이트웨이
- Azure에 업로드된 루트 인증서에 대한 공개 키(.cer 파일)입니다. 이 키는 신뢰할 수 있는 인증서로 간주되며 인증에 사용됩니다.
- 루트 인증서에서 생성되고 연결할 각 클라이언트 컴퓨터에 설치된 클라이언트 인증서 - 이 인증서는 클라이언트 인증을 위해 사용 됩니다.
- 연결하는 모든 클라이언트 컴퓨터에 VPN 클라이언트 구성 패키지를 생성하여 설치해야 합니다. 클라이언트 구성 패키지는 VNet에 연결하는 데 필요한 정보를 사용하여 운영 체제에 이미 있는 네이티브 VPN 클라이언트를 구성합니다.
지점 및 사이트 간 연결에는 VPN 디바이스 또는 온-프레미스 공용 IP 주소가 필요하지 않습니다. VPN 연결은 SSTP(Secure Socket Tunneling Protocol)를 통해 만듭니다. 서버 쪽에서 SSTP 버전 1.0, 1.1 및 1.2를 지원하며, 클라이언트에서 사용할 버전을 결정합니다. Windows 8.1 이상에서는 기본적으로 SSTP 버전 1.2를 사용합니다.
자세한 내용은 지점 및 사이트 간 연결 정보 및 FAQ를 참조하세요.
예제 설정
다음 값을 사용하여 테스트 환경을 만들거나, 이 값을 참조하여 이 문서의 예제를 보다 정확하게 파악합니다.
- 리소스 그룹: TestRG
- VNet 이름: VNet1
- 주소 공간: 192.168.0.0/16
이 예제에서는 하나의 주소 공간만 사용합니다. VNet에는 둘 이상의 주소 공간을 포함할 수 있습니다. - 서브넷 이름: FrontEnd
- 서브넷 주소 범위: 192.168.1.0/24
- GatewaySubnet: 192.168.200.0/24
- 지역: (미국) 미국 동부
- 클라이언트 주소 공간: 172.16.201.0/24
이 지점 및 사이트 간 연결을 사용하여 VNet에 연결하는 VPN 클라이언트는 지정된 풀에서 IP 주소를 받습니다. - 연결 형식: 지점 및 사이트 간을 선택합니다.
시작하기 전에 Azure 구독이 있는지 확인합니다. Azure 구독이 아직 없는 경우 MSDN 구독자 혜택을 활성화하거나 무료 계정에 등록할 수 있습니다.
가상 네트워크 만들기
VNet이 이미 있는 경우 설정이 VPN 게이트웨이 설계와 호환되는지 확인합니다. 다른 네트워크와 겹칠 수 있는 서브넷에 특히 주의합니다.
- 브라우저에서 Azure Portal로 이동하고 필요한 경우 Azure 계정으로 로그인합니다.
- +리소스 만들기를 선택합니다. 마켓플레이스 검색 필드에 ‘Virtual Network’를 입력합니다. 반환된 목록에서 Virtual Network를 찾아서 선택하여 Virtual Network 페이지를 엽니다.
- Virtual Network 페이지의 만들기 단추 아래에 "Resource Manager를 사용하여 배포(클래식으로 변경)"가 표시됩니다. Resource Manager는 VNet을 만들기 위한 기본값입니다. Resource Manager VNet을 만들지 않으려고 합니다. 클래식 VNet을 만들려면 (클래식으로 변경)을 선택합니다. 그런 다음, 개요 탭을 선택하고 만들기를 선택합니다.
- 가상 네트워크 만들기(클래식) 페이지의 기본 사항 탭에서 예제 값으로 VNet 설정을 구성합니다.
- 검토 + 만들기를 선택하여 VNet의 유효성을 검사합니다.
- 유효성 검사가 실행됩니다. VNet의 유효성을 검사한 후 만들기를 선택합니다.
DNS 설정은 이 구성의 필요한 일부가 아니지만 VM 간 이름 확인을 원하는 경우 DNS가 필요합니다. 값을 지정하더라도 새 DNS 서버를 만들지 않습니다. 지정한 DNS 서버는 연결 중인 리소스에 대한 이름을 확인할 수 있는 DNS 서버 IP 주소여야 합니다.
가상 네트워크를 만든 후에 DNS 서버의 IP 주소를 추가하여 이름 확인을 처리할 수 있습니다. 가상 네트워크의 설정을 열고, DNS 서버를 선택하고, 이름 확인에 사용할 DNS 서버의 IP 주소를 추가합니다.
- 포털에서 가상 네트워크를 찾습니다.
- 가상 네트워크의 페이지의 설정 섹션에서 DNS 서버를 선택합니다.
- DNS 서버를 추가합니다.
- 설정을 저장하려면 페이지 맨 위에서 저장을 선택합니다.
VPN 게이트웨이 만들기
만든 VNet으로 이동합니다.
VNet 페이지의 설정에서 게이트웨이를 선택합니다. 게이트웨이 페이지에서 가상 네트워크에 대한 게이트웨이를 볼 수 있습니다. 이 가상 네트워크에는 아직 게이트웨이가 없습니다. 연결 및 게이트웨이를 추가하려면 여기를 클릭하세요라는 메모를 클릭합니다.
VPN 연결 및 게이트웨이 구성 페이지에서 다음 설정을 선택합니다.
- 연결 형식: 지점 및 사이트 간
- 클라이언트 주소 공간: VPN 클라이언트가 연결할 때 IP 주소를 받는 IP 주소 범위를 추가합니다. 연결 원본이 되는 온-프레미스 위치 또는 연결 대상이 되는 VNet과 겹치지 않는 개인 IP 주소 범위를 사용합니다.
지금은 게이트웨이 구성 안 함 확인란을 선택하지 않은 상태로 둡니다. 게이트웨이를 만듭니다.
페이지 맨 아래에서 다음: 게이트웨이 >를 선택합니다.
게이트웨이 탭에서 다음 값을 선택합니다.
- 크기: 크기는 가상 네트워크 게이트웨이에 대한 게이트웨이 SKU입니다. Azure Portal에서 기본 SKU는 기본값입니다. 게이트웨이 SKU에 대한 자세한 내용은 VPN 게이트웨이 설정 정보를 참조하세요.
- 라우팅 유형: 지점 및 사이트 간 구성의 경우 동적을 선택해야 합니다. 정적 라우팅이 작동하지 않습니다.
- 게이트웨이 서브넷: 이 필드는 이미 자동으로 채워져 있습니다. 이름을 변경할 수 있습니다. PowerShell 또는 다른 방법을 사용하여 이름을 변경하려고 하면 게이트웨이가 제대로 작동하지 않습니다.
- 범위(CIDR 블록) 추가: 게이트웨이 서브넷을 /29만큼 작게 만들 수 있지만 적어도 /28 또는 /27을 선택하여 더 많은 주소를 포함하는 큰 서브넷을 만드는 것이 좋습니다. 이렇게 하면 나중에 필요할 수도 있는 추가 구성을 위해 충분한 주소를 사용할 수 있습니다. 게이트웨이 서브넷을 사용하는 경우 NSG(네트워크 보안 그룹)를 게이트웨이 서브넷에 연결하지 마세요. 이 서브넷에 네트워크 보안 그룹을 연결하면 VPN Gateway가 예상대로 작동하지 않을 수 있습니다.
검토 + 만들기를 선택하여 설정의 유효성을 검사합니다.
유효성 검사를 통과하면 만들기를 선택합니다. 선택한 게이트웨이 SKU에 따라 VPN 게이트웨이를 완료하는 데 최대 45분이 걸릴 수 있습니다.
인증서 만들기
Azure는 인증서를 사용하여 지점 및 사이트 간 VPN에 대한 VPN 클라이언트를 인증합니다. Azure에 루트 인증서의 공개 키 정보를 업로드합니다. 그러면 공개 키가 ‘신뢰할 수 있는 키’로 간주됩니다. 클라이언트 인증서는 신뢰할 수 있는 루트 인증서에서 생성한 다음, 각 클라이언트 컴퓨터의 인증서 - 현재 사용자\개인\인증서 인증서 저장소에 설치해야 합니다. 인증서는 VNet에 연결할 때 클라이언트를 인증하는 데 사용됩니다.
자체 서명된 인증서를 사용하는 경우 특정 매개 변수를 사용하여 인증서를 만들어야 합니다. PowerShell 및 Windows 10 이상 또는 MakeCert에 대한 지침을 사용하여 자체 서명된 인증서를 만들 수 있습니다. 자체 서명된 루트 인증서를 사용하고 자체 서명된 루트 인증서에서 클라이언트 인증서를 생성하는 경우 이러한 지침의 단계를 따르는 것이 중요합니다. 그러지 않으면 만든 인증서가 P2S 연결과 호환되지 않으며 연결 오류가 발생합니다.
루트 인증서에 대한 공개 키(.cer) 획득
루트 인증서용 .cer 파일을 가져옵니다. 엔터프라이즈 솔루션을 사용하여 생성된 루트 인증서를 사용하거나(추천) 자체 서명된 인증서를 생성할 수 있습니다. 루트 인증서가 만들어지면 공용 인증서 데이터(프라이빗 키 아님)를 Base64로 인코딩된 X.509 .cer 파일로 내보냅니다. 이 파일은 나중에 Azure에 업로드합니다.
엔터프라이즈 인증서: 엔터프라이즈 솔루션을 사용하는 경우 기존 인증서 체인을 사용할 수 있습니다. 사용하려는 루트 인증서용 .cer 파일을 획득합니다.
자체 서명된 루트 인증서: 엔터프라이즈 인증서 솔루션을 사용하지 않는 경우 자체 서명된 루트 인증서를 만듭니다. 그렇지 않으면 만든 인증서가 P2S 연결과 호환되지 않으며, 연결하려고 할 때 연결 오류 메시지가 클라이언트에 표시됩니다. Microsoft Azure PowerShell, MakeCert, 또는 OpenSSL을 사용할 수 있습니다. 다음 문서의 단계에서는 호환되는 자체 서명된 루트 인증서를 생성하는 방법을 설명합니다.
- Windows 10 이상에 대한 PowerShell 지침: 이러한 지침에서는 Windows 10 이상을 실행하는 컴퓨터에 PowerShell이 필요합니다. 루트 인증서에서 생성된 클라이언트 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.
- MakeCert 지침: Windows 10 이상을 실행하는 컴퓨터에 액세스할 수 없는 경우 MakeCert를 사용하여 인증서를 생성합니다. MakeCert는 더 이상 사용되지 않지만, 인증서를 생성하는 데에는 여전히 사용할 수 있습니다. 루트 인증서에서 생성한 클라이언트 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.
- Linux - OpenSSL 지침
- Linux - StrongSwan 지침
클라이언트 인증서 생성
지점 및 사이트 간 연결을 사용하여 VNet에 연결하는 각 클라이언트 컴퓨터에는 클라이언트 인증서가 설치되어 있어야 합니다. 이 인증서는 루트 인증서에서 생성하여 각 클라이언트 컴퓨터에 설치합니다. 유효한 클라이언트 인증서를 설치하지 않으면 클라이언트에서 VNet에 연결하려고 할 때 인증이 실패합니다.
연결할 각 클라이언트에 대해 고유한 인증서를 생성하거나 여러 클라이언트에서 동일한 인증서를 사용할 수 있습니다. 고유한 클라이언트 인증서를 생성하면 단일 인증서를 해지할 수 있는 장점이 있습니다. 그렇지 않으면 여러 클라이언트에서 인증하는 데 동일한 클라이언트 인증서를 사용하지만 이 인증서를 철회하는 경우 해당 인증서를 사용하는 모든 클라이언트에 대해 새 인증서를 생성하여 설치해야 합니다.
클라이언트 인증서는 다음 메서드를 사용하여 생성할 수 있습니다.
엔터프라이즈 인증서:
엔터프라이즈 인증서 솔루션을 사용하는 경우 클라이언트 인증서를 일반적인 이름 값 형식(name@yourdomain.com)으로 생성합니다. 도메인 이름\사용자 이름 형식 대신 이 형식을 사용합니다.
클라이언트 인증서가 사용자 목록의 첫 번째 항목으로 나열된 클라이언트 인증이 있는 사용자 인증서 템플릿을 기반으로 하는지 확인합니다. 인증서를 두 번 클릭하고 세부 정보 탭에서 확장된 키 사용을 확인하여 해당 인증서를 확인합니다.
자체 서명된 루트 인증서: 다음 P2S 인증서 문서 중 하나의 단계에 따라 생성하는 클라이언트 인증서가 P2S 연결과 호환될 수 있도록 합니다.
자체 서명된 루트 인증서에서 클라이언트 인증서를 생성하는 경우 이를 생성하는 데 사용한 컴퓨터에 자동으로 설치됩니다. 다른 클라이언트 컴퓨터에 클라이언트 인증서를 설치하려면 전체 인증서 체인과 함께 .pfx 파일로 내보냅니다. 이렇게 하면 클라이언트에서 인증하는 데 필요한 루트 인증서 정보가 포함된 .pfx 파일이 만들어집니다.
이 문서의 단계를 통해 호환되는 클라이언트 인증서를 생성하고 이를 내보내어 배포할 수 있습니다.
Windows 10 이상 PowerShell 지침: 이 지침을 사용하려면 Windows 10 이상이 필요하고 PowerShell에서 인증서를 생성해야 합니다. 생성된 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.
MakeCert 지침: 인증서 생성을 위해 Windows 10 이상 컴퓨터에 액세스할 수 없는 경우 MakeCert를 사용합니다. MakeCert는 더 이상 사용되지 않지만, 인증서를 생성하는 데에는 여전히 사용할 수 있습니다. 생성된 인증서는 지원되는 모든 P2S 클라이언트에 설치할 수 있습니다.
Linux: strongSwan 또는 OpenSSL 지침을 참조하세요.
루트 인증서 .cer 파일 업로드
게이트웨이가 생성된 후 신뢰할 수 있는 루트 인증서의 .cer 파일(공개 키 정보 포함)을 Azure 서버에 업로드합니다. 루트 인증서에 대한 프라이빗 키를 업로드하지 마세요. 인증서를 업로드하면 Azure는 이 인증서를 사용하여 신뢰할 수 있는 루트 인증서에서 생성된 클라이언트 인증서를 설치한 클라이언트를 인증합니다. 필요한 경우 나중에 신뢰할 수 있는 루트 인증서 파일을 추가로 업로드할 수 있습니다(최대 20개).
- 만든 가상 네트워크로 이동합니다.
- 설정에서 지점 및 사이트 간 연결을 선택합니다.
- 인증서 관리를 선택합니다.
- 업로드를 선택합니다.
- 인증서 업로드 창에서 폴더 아이콘을 선택하고 업로드하려는 인증서로 이동합니다.
- 업로드를 선택합니다.
- 인증서가 성공적으로 업로드되면 인증서 관리 페이지에서 해당 인증서를 볼 수 있습니다. 방금 업로드한 인증서를 보려면 새로 고침을 선택해야 할 수도 있습니다.
클라이언트 구성
지점 및 사이트 간 VPN을 사용하여 VNet에 연결하려면 각 클라이언트에서 패키지를 설치하여 네이티브 Windows VPN 클라이언트를 구성해야 합니다. 구성 패키지는 가상 네트워크에 연결하는 데 필요한 설정을 사용하여 네이티브 Windows VPN 클라이언트를 구성합니다.
버전이 클라이언트의 아키텍처와 일치하는 한 각 클라이언트 컴퓨터에서 동일한 VPN 클라이언트 구성 패키지를 사용할 수 있습니다. 지원되는 클라이언트 운영 체제 목록에 대해서는 지점 및 사이트 간 연결 정보 및 FAQ를 참조하세요.
VPN 클라이언트 구성 패키지 생성 및 설치
VNet에 대한 지점 및 사이트 간 연결 설정으로 이동합니다.
페이지 상단에서 설치할 클라이언트 운영 체제에 해당하는 다운로드 패키지를 선택합니다.
- 64비트 클라이언트인 경우 VPN 클라이언트(64비트)를 선택합니다.
- 32비트 클라이언트인 경우 VPN 클라이언트(32비트)를 선택합니다.
Azure는 클라이언트에 필요한 특정 설정을 사용하여 패키지를 생성합니다. VNet 또는 게이트웨이를 변경할 때마다 새 클라이언트 구성 패키지를 다운로드하여 클라이언트 컴퓨터에 설치해야 합니다.
패키지가 생성되면 다운로드를 선택합니다.
클라이언트 컴퓨터에 클라이언트 구성 패키지를 설치합니다. 설치할 때 Windows의 PC 보호라는 SmartScreen 팝업이 표시되면 추가 정보를 선택한 다음 실행을 선택합니다. 다른 클라이언트 컴퓨터에 설치하기 위해 패키지를 저장할 수도 있습니다.
클라이언트 인증서 설치
이 연습에서는 클라이언트 인증서를 생성할 때 인증서가 컴퓨터에 자동으로 설치되었습니다. 클라이언트 인증서를 생성하는 데 사용된 것과 다른 클라이언트 컴퓨터에서 P2S 연결을 만들려면 해당 컴퓨터에 생성된 클라이언트 인증서를 설치해야 합니다.
클라이언트 인증서를 설치하는 경우 클라이언트 인증서를 내보낼 때 만든 암호가 필요합니다. 일반적으로 두 번 클릭만 하면 인증서를 설치할 수 있습니다. 자세한 내용은 내보낸 클라이언트 인증서 설치를 참조하세요.
VNet에 연결
참고 항목
연결하는 클라이언트 컴퓨터에서 관리자 권한이 있어야 합니다.
- 클라이언트 컴퓨터에서 VPN 설정으로 이동합니다.
- 만든 VPN을 선택합니다. 예제 설정을 사용하는 경우 연결에 Group TestRG VNet1이라는 레이블이 지정됩니다.
- 연결을 선택합니다.
- Microsoft Azure Virtual Network 상자에서 연결을 선택합니다. 인증서에 대한 팝업 메시지가 표시되면 계속을 선택하여 상승된 권한을 사용하고 예를 선택하여 구성 변경 내용을 적용합니다.
- 연결에 성공하면 연결됨 알림이 표시됩니다.
연결 문제가 있으면 다음 항목을 확인합니다.
인증서 내보내기 마법사를 사용하여 클라이언트 인증서를 내보낸 경우, 이를 .pfx 파일로 내보내고 가능한 경우 인증 경로에 있는 인증서 모두 포함을 선택했는지 확인합니다. 이 값을 사용하여 인증서를 내보낼 때는 루트 인증서 정보도 내보냅니다. 인증서가 클라이언트 컴퓨터에 설치되면 .pfx 파일의 루트 인증서도 설치됩니다. 루트 인증서가 설치되어 있는지 확인하려면 사용자 인증서 관리를 열고 신뢰할 수 있는 루트 인증 기관\인증서를 선택합니다. 인증이 작동하는 데 필요한 루트 인증서가 나열되어 있는지 확인합니다.
엔터프라이즈 CA 솔루션에서 발급한 인증서를 사용했지만 인증할 수 없는 경우 클라이언트 인증서의 인증 순서를 확인합니다. 클라이언트 인증서를 두 번 클릭하고, 세부 정보 탭을 선택한 다음, 확장된 키 사용을 선택하여 인증 목록 순서를 확인합니다. 클라이언트 인증이 목록의 첫 번째 항목인지 확인합니다. 그렇지 않으면 목록의 첫 번째 항목으로 클라이언트 인증이 있는 사용자 템플릿을 기반으로 하는 클라이언트 인증서를 발급합니다.
추가 P2S 문제 해결 정보는 P2S 연결 문제 해결을 참조하세요.
VPN 연결 확인
VPN 연결이 활성 상태인지 확인합니다. 클라이언트 컴퓨터에서 관리자 권한 명령 프롬프트를 열고 ipconfig/all을 실행합니다.
결과를 확인합니다. 받은 IP 주소가 VNet을 만들 때 지정한 지점 및 사이트 간 연결 주소 범위 내의 주소 중 하나인지 확인합니다. 결과는 다음 예제와 비슷합니다.
PPP adapter VNet1: Connection-specific DNS Suffix .: Description.....................: VNet1 Physical Address................: DHCP Enabled....................: No Autoconfiguration Enabled.......: Yes IPv4 Address....................: 172.16.201.11 (Preferred) Subnet Mask.....................: 255.255.255.255 Default Gateway.................: NetBIOS over Tcpip..............: Enabled
가상 컴퓨터에 연결하려면
원격 데스크톱 연결을 만들어 VNet에 배포된 VM에 연결합니다. VM에 연결할 수 있는지 확인하는 가장 좋은 방법은 컴퓨터 이름이 아닌 개인 IP 주소를 사용하여 연결하는 것입니다. 이렇게 하면 연결할 수 있는지, 아니면 이름 확인이 제대로 구성되었는지를 테스트할 수 있습니다.
- VM의 개인 IP 주소를 찾습니다. VM의 개인 IP 주소를 찾으려면 Azure Portal에서 VM의 속성을 보거나 PowerShell을 사용합니다.
- 지점 및 사이트 간 VPN 연결을 사용하여 VNet에 연결되어 있는지 확인합니다.
- 원격 데스크톱 연결을 열려면 작업 표시줄의 검색 상자에서 RDP 또는 원격 데스크톱 연결을 입력한 다음, 원격 데스크톱 연결을 선택합니다. 또한 PowerShell에서 mstsc 명령을 사용하여 원격 데스크톱 연결을 열 수도 있습니다.
- 원격 데스크톱 연결에서 VM의 개인 IP 주소를 입력합니다. 필요한 경우 옵션 표시를 선택하여 추가 설정을 조정한 다음, 연결합니다.
VM에 대한 RDP 연결 문제를 해결하려면
VPN 연결을 통해 가상 머신에 연결하는 데 문제가 있는 경우 이를 확인할 수 있는 몇 가지 방법이 있습니다.
- VPN 연결이 성공했는지 확인합니다.
- VM의 개인 IP 주소에 연결하고 있는지 확인합니다.
- ipconfig를 입력하여 연결하는 컴퓨터의 이더넷 어댑터에 할당된 IPv4 주소를 확인합니다. IP 주소가 연결하는 VNet의 주소 범위 또는 VPNClientAddressPool의 주소 범위 내에 있으면 겹치는 주소 공간이 발생합니다. 주소 공간이 이러한 방식으로 겹치면 네트워크 트래픽이 Azure에 도달하지 않고 로컬 네트워크에 남아 있습니다.
- 컴퓨터 이름이 아닌 개인 IP 주소를 사용하여 VM에 연결할 수 있으면 DNS를 올바르게 구성했는지 확인합니다. 이름 확인이 VM에서 작동하는 방법에 대한 자세한 내용은 VM에서 이름 확인을 참조하세요.
- VNet에 대한 DNS 서버 IP 주소가 지정되면 VPN 클라이언트 구성 패키지가 생성되는지 확인합니다. DNS 서버 IP 주소를 업데이트하는 경우 새 VPN 클라이언트 구성 패키지를 생성하고 설치합니다.
자세한 문제 해결 정보는 VM에 대한 원격 데스크톱 연결 문제 해결을 참조하세요.
신뢰할 수 있는 루트 인증서를 추가 또는 제거하려면 다음을 수행합니다.
Azure에서 신뢰할 수 있는 루트 인증서를 추가 및 제거할 수 있습니다. 루트 인증서를 제거하면 해당 루트에서 생성된 인증서가 있는 클라이언트가 더 이상 인증하고 연결할 수 없습니다. 이러한 클라이언트가 다시 인증하고 연결하려면 Azure가 신뢰하는 루트 인증서에서 생성된 새 클라이언트 인증서를 설치해야 합니다.
신뢰할 수 있는 루트 인증서 추가
신뢰할 수 있는 첫 번째 루트 인증서를 추가하는 데 사용한 것과 동일한 프로세스를 사용하여 신뢰할 수 있는 루트 인증서 .cer 파일을 최대 20개까지 Azure에 추가할 수 있습니다.
신뢰할 수 있는 루트 인증서 제거
- VNet에 대한 페이지의 지점 및 사이트 간 연결 섹션에서 인증서 관리를 선택합니다.
- 제거할 인증서 옆에 있는 줄임표를 선택한 다음 삭제를 선택합니다.
클라이언트 인증서를 해지하려면
필요한 경우 클라이언트 인증서를 해지할 수 있습니다. 인증서 해지 목록에서 개별 클라이언트 인증서를 기반으로 하는 지점 및 사이트 간 연결을 선택적으로 거부할 수 있습니다. 이 방법은 신뢰할 수 있는 루트 인증서를 제거하는 것과 다릅니다. Azure에서 신뢰할 수 있는 루트 인증서 .cer를 제거하면, 해지된 루트 인증서로 생성/서명된 모든 클라이언트 인증서에 대한 액세스 권한도 해지됩니다. 루트 인증서가 아닌 클라이언트 인증서를 해지해야 루트 인증서로부터 생성된 다른 인증서를 지점 및 사이트 간 연결을 위한 인증에 계속 사용할 수 있습니다.
해지된 클라이언트 인증서를 사용하는 동안 개별 사용자의 세분화된 액세스 제어를 위해 일반적으로 루트 인증서를 사용하여 팀 또는 조직 수준에서 액세스를 관리합니다.
해지 목록에 지문을 추가하여 클라이언트 인증서를 해지할 수 있습니다.
- 클라이언트 인증서 지문을 검색합니다. 자세한 내용은 방법: 인증서의 지문 검색을 참조하세요.
- 텍스트 편집기에 정보를 복사하고 연속 문자열이 되도록 공백을 제거합니다.
- 지점 및 사이트 간 VPN 연결로 이동한 다음 인증서 관리를 선택합니다.
- 해지 목록을 선택하여 해지 목록 페이지를 엽니다.
- 지문에서 인증서 지문을 공백 없이한 줄의 텍스트로 붙여넣습니다.
- + 목록에 추가를 선택하여 CRL(인증서 해지 목록)에 지문을 추가합니다.
업데이트가 완료된 후에는 인증서를 더 이상 연결에 사용할 수 없습니다. 이 인증서를 사용하여 연결하려는 클라이언트는 인증서가 더 이상 유효하지 않다는 메시지를 받습니다.
FAQ
이 FAQ는 클래식 배포 모델을 사용하는 P2S 연결에 적용됩니다.
지점 및 사이트 간 연결에 사용할 수 있는 클라이언트 운영 체제는 무엇인가요?
다음과 같은 클라이언트 운영 체제가 지원됩니다.
- Windows 7(32비트 및 64비트)
- Windows Server 2008 R2(64비트 전용)
- Windows 8(32비트 및 64비트)
- Windows 8.1(32비트 및 64비트)
- Windows Server 2012(64비트 전용)
- Windows Server 2012 R2(64비트 전용)
- Windows 10
- Windows 11
지점 및 사이트 간 SSTP를 지원하는 소프트웨어 VPN 클라이언트를 사용할 수 있습니까?
아니요. 나열된 Windows 운영 체제 버전만 지원됩니다.
지점 및 사이트 간 구성에 존재할 수 있는 VPN 클라이언트 엔드포인트의 수는 어떻게 됩니까?
VPN 클라이언트 엔드포인트의 수는 게이트웨이 SKU 및 프로토콜에 따라 달라집니다.
VPN 게이트웨이 생성 |
SKU | S2S/VNet-to-VNet 터널 |
P2S SSTP 연결 |
P2S IKEv2/OpenVPN Connections |
집계 처리량 벤치마크 |
BGP | Zone-redundant | Virtual Network에서 지원되는 VM 수 |
---|---|---|---|---|---|---|---|---|
생성 1 | 기본 | 최대 10 | 최대 128 | 지원되지 않음 | 100Mbps | 지원되지 않음 | 아니요 | 200 |
생성 1 | VpnGw1 | 최대 30 | 최대 128 | 최대 250 | 650Mbps | 지원됨 | 아니요 | 450 |
생성 1 | VpnGw2 | 최대 30 | 최대 128 | 최대 500 | 1Gbps | 지원됨 | 아니요 | 1300 |
생성 1 | VpnGw3 | 최대 30 | 최대 128 | 최대 1000 | 1.25Gbps | 지원됨 | 아니요 | 4000 |
생성 1 | VpnGw1AZ | 최대 30 | 최대 128 | 최대 250 | 650Mbps | 지원됨 | 예 | 1000 |
생성 1 | VpnGw2AZ | 최대 30 | 최대 128 | 최대 500 | 1Gbps | 지원됨 | 예 | 2000 |
생성 1 | VpnGw3AZ | 최대 30 | 최대 128 | 최대 1000 | 1.25Gbps | 지원됨 | 예 | 5000 |
생성 2 | VpnGw2 | 최대 30 | 최대 128 | 최대 500 | 1.25Gbps | 지원됨 | 아니요 | 685 |
생성 2 | VpnGw3 | 최대 30 | 최대 128 | 최대 1000 | 2.5Gbps | 지원됨 | 아니요 | 2240 |
생성 2 | VpnGw4 | 최대 100* | 최대 128 | 최대 5,000 | 5Gbps | 지원됨 | 아니요 | 5300 |
생성 2 | VpnGw5 | 최대 100* | 최대 128 | 최대 10000 | 10Gbps | 지원됨 | 아니요 | 6700 |
생성 2 | VpnGw2AZ | 최대 30 | 최대 128 | 최대 500 | 1.25Gbps | 지원됨 | 예 | 2000 |
생성 2 | VpnGw3AZ | 최대 30 | 최대 128 | 최대 1000 | 2.5Gbps | 지원됨 | 예 | 3300 |
생성 2 | VpnGw4AZ | 최대 100* | 최대 128 | 최대 5,000 | 5Gbps | 지원됨 | 예 | 4400 |
생성 2 | VpnGw5AZ | 최대 100* | 최대 128 | 최대 10000 | 10Gbps | 지원됨 | 예 | 9000 |
지점 및 사이트 간 연결에 자체 내부 PKI 루트 CA를 사용할 수 있나요?
예. 이전에는 자체 서명한 루트 인증서만 사용할 수 있었습니다. 여전히 최대 20개의 루트 인증서를 업로드할 수 있습니다.
지점 및 사이트 간 구성을 사용하여 프록시와 방화벽을 트래버스할 수 있습니까?
예. SSTP(Secure Socket Tunneling Protocol)를 사용하여 방화벽을 통해 터널링합니다. 이 터널은 HTTPS 연결로 표시됩니다.
지점 및 사이트 간 연결에 구성한 클라이언트 컴퓨터를 다시 시작하면 VPN이 자동으로 다시 연결되나요?
클라이언트 컴퓨터는 기본적으로 VPN 연결을 자동으로 다시 설정하지 않습니다.
지점 및 사이트 간 구성은 VPN 클라이언트에서 자동 다시 연결 및 DDNS를 지원하나요?
아니요. 자동 다시 연결 및 DDNS는 현재 지점 및 사이트 간 VPN에서 지원되지 않습니다.
동일한 가상 네트워크에 대해 사이트 간 구성과 지점 및 사이트 간 구성을 사용할 수 있습니까?
예. 게이트웨이에 대한 RouteBased(경로 기반) VPN 유형이 있는 경우 두 솔루션이 모두 작동합니다. 클래식 배포 모델의 경우 동적 게이트웨이가 필요합니다. 고정 라우팅 VPN 게이트웨이 또는 -VpnType PolicyBased cmdlet을 사용하는 게이트웨이에 대한 지점 및 사이트 간 구성은 지원되지 않습니다.
지점 및 사이트 간 클라이언트를 동시에 여러 가상 네트워크에 연결되도록 구성할 수 있나요?
예. 그러나 IP 접두사는 가상 네트워크에서 겹칠 수 없으며, 지점 및 사이트 간 주소 공간은 가상 네트워크 간에 겹치지 않아야 합니다.
사이트 간 연결 또는 지점 및 사이트 간 연결을 통해 어느 정도의 처리량을 제공할 수 있나요?
VPN 터널의 정확한 처리량을 유지하는 것은 어렵습니다. IPsec과 SSTP는 암호화 중심 VPN 프로토콜입니다. 또한 처리량은 프레미스와 인터넷 간의 대기 시간과 대역폭으로 제한됩니다.
다음 단계
연결이 완료되면 가상 네트워크에 가상 머신을 추가할 수 있습니다. 자세한 내용은 Virtual Machines를 참조하세요.
네트워킹 및 Linux 가상 머신에 대한 자세한 내용은 Azure 및 Linux VM 네트워크 개요를 참조하세요.
P2S 문제 해결 정보는 Azure 지점 및 사이트 간 연결 문제 해결을 참조하세요.