SSTP에서 OpenVPN 프로토콜 또는 IKEv2로 전환
P2S(지점 및 사이트 간 연결) VPN 게이트웨이 연결을 통해 개별 클라이언트 컴퓨터에서 가상 네트워크로 보안 연결을 만들 수 있습니다. P2S 연결은 클라이언트 컴퓨터에서 시작하여 설정됩니다. 이 문서는 Resource Manager 배포 모델에 적용되며, OpenVPN 프로토콜 또는 IKEv2로 전환하여 SSTP의 128 동시 연결 제한을 해결하는 방법에 대해 설명합니다.
P2S는 어떤 프로토콜을 사용하나요?
지점 및 사이트 간 VPN에서는 다음 프로토콜 중 하나를 사용할 수 있습니다.
OpenVPN® 프로토콜로, SSL/TLS 기반 VPN 프로토콜입니다. 대부분의 방화벽은 SSL에서 사용하는 TCP 포트 443 아웃바운드를 열기 때문에 SSL VPN 솔루션은 방화벽을 통과할 수 있습니다. OpenVPN은 Android, iOS(버전 11.0 이상), Windows, Linux 및 Mac 디바이스(macOS 버전 12.x 이상)에서 연결하는 데 사용할 수 있습니다.
SSTP(Secure Socket Tunneling Protocol) - 독점적인 SSL 기반 VPN 프로토콜입니다. 대부분의 방화벽에서 SSL이 사용되는 443 아웃바운드 TCP 포트를 열기 때문에 SSL VPN 솔루션이 방화벽을 통과할 수 있습니다. SSTP는 Windows 디바이스에서만 지원됩니다. Azure는 SSTP가 설치된 모든 Windows 버전(Windows 7 이상)을 지원합니다. SSTP는 게이트웨이 SKU에 관계없이 최대 128개의 동시 연결을 지원합니다.
IKEv2 VPN - 표준 기반 IPsec VPN 솔루션입니다. IKEv2 VPN은 Mac 디바이스(macOS 버전 10.11 이상)에서 연결하는 데 사용할 수 있습니다.
참고 항목
P2S용 IKEv2 및 OpenVPN은 Resource Manager 배포 모델에서만 사용할 수 있습니다. 클래식 배포 모델에서는 사용할 수 없습니다. 기본 게이트웨이 SKU는 IKEv2 또는 OpenVPN 프로토콜을 지원하지 않습니다. 기본 SKU를 사용하고 있는 경우, 프로덕션 SKU Virtual Network Gateway를 삭제하고 다시 만들어야 합니다.
SSTP에서 IKEv2 또는 OpenVPN으로 마이그레이션
VPN 게이트웨이에 대해 128개가 넘는 동시 P2S 연결을 지원 하고 싶지만, SSTP를 사용하고 있는 경우가 있을 수 있습니다. 이 경우 IKEv2 또는 OpenVPN 프로토콜로 이동해야 합니다.
옵션 1 - Gateway에서 SSTP 외에 IKEv2 추가
이것이 가장 간단한 옵션입니다. SSTP 및 IKEv2는 동일한 게이트웨이에 공존할 수 있으며, 더 많은 동시 연결을 제공할 수 있습니다. 단순히 기존 게이트웨이에서 IKEv2를 사용하도록 설정하고 클라이언트를 다시 다운로드할수 있습니다.
기존 SSTP VPN 게이트웨이에 IKEv2를 추가 해도 기존 클라이언트에는 영향을 주지 않으며, 작은 배치(Batch)에서 IKEv2를 사용하도록 구성하거나, 새 클라이언트가 IKEv2를 사용하도록 구성할 수 있습니다. Windows 클라이언트에서 SSTP 및 IKEv2를 모두 구성하는 경우 먼저 IKEV2를 사용하여 연결을 시도하고, 실패하면 SSTP로 대체합니다.
IKEv2는 비표준 UDP 포트를 사용하므로, 이러한 포트가 사용자의 방화벽에서 차단되지 않도록 해야 합니다. 사용 중인 포트는 UDP 500 및 4500입니다.
기존 게이트웨이에 IKEv2를 추가하려면, 포털에서 Virtual Network Gateway 아래의 "지점 및 사이트 간 구성" 탭으로 이동하고, 드롭다운 상자에서 IKEv2 및 SSTP(SSL)를 선택합니다.
참고 항목
게이트웨이에서 SSTP와 IKEv2를 모두 사용하도록 설정하면 지점 및 사이트 간 주소 풀이 둘 간에 정적으로 분할되므로 서로 다른 프로토콜을 사용하는 클라이언트에는 두 하위 범위 중 하나의 IP 주소가 할당됩니다. 주소 범위가 /24보다 크더라도 SSTP 클라이언트의 최대 크기는 항상 128이며, 그 결과 IKEv2 클라이언트에서 사용할 수 있는 주소 양이 더 커집니다. 더 작은 범위의 경우 풀이 똑같이 반으로 줄어듭니다. 게이트웨이에서 사용하는 트래픽 선택기에는 지점 및 사이트 간 주소 범위 CIDR이 포함되지 않지만 두 개의 하위 범위 CIDR이 포함될 수 있습니다.
옵션 2 - 게이트웨이에서 SSTP 제거 및 OpenVPN 사용
SSTP 및 OpenVPN은 모두 TLS 기반 프로토콜이므로, 동일한 게이트웨이에 공존할 수 없습니다. SSTP에서 OpenVPN에서 이동하기로 결정한 경우, SSTP를 사용하지 않도록 설정하고, 게이트웨이에서 OpenVPN을 사용하도록 설정해야 합니다. 이 작업을 수행하면 클라이언트에서 새 프로필이 구성될 때까지 기존 클라이언트의 VPN 게이트웨이에 대한 연결이 끊어집니다.
원하는 경우 IKEv2와 함께 OpenVPN을 사용하도록 설정할 수 있습니다. OpenVPN은 TLS 기반이며, 표준 TCP 443 포트를 사용합니다. OpenVPN으로 전환하려면, 포털에서 Virtual Network Gateway 아래의 "지점 및 사이트 간 구성" 탭으로 이동하고, 드롭다운 상자에서 OpenVPN (SSL) 또는 IKEv2 및 OPENVPN (SSL)을 선택합니다.
게이트웨이가 구성된 후에는 OpenVPN 클라이언트를 배포하고 구성할 때까지 기존 클라이언트를 연결할 수 없습니다.
Windows 10 이상을 사용하는 경우, Azure VPN Client를 사용할 수도 있습니다.
자주 묻는 질문
클라이언트 구성 요구 사항은 무엇인가요?
참고 항목
Windows 클라이언트의 경우 클라이언트 디바이스에서 Azure로 VPN 연결을 시작하려면 클라이언트 디바이스에 대한 관리자 권한이 있어야 합니다.
사용자는 P2S용 Windows 및 Mac 디바이스에서 VPN 기본 클라이언트를 사용합니다. Azure는 이러한 기본 클라이언트에서 Azure에 연결하는 데 필요한 설정을 포함하고 있는 VPN 클라이언트 구성 zip 파일을 제공합니다.
- Windows 디바이스의 경우 VPN 클라이언트 구성은 사용자가 자신의 디바이스에 설치하는 설치 관리자 패키지로 구성됩니다.
- Mac 디바이스의 경우 사용자가 디바이스에 설치하는 mobileconfig 파일로 구성됩니다.
또한 zip 파일에서 중요한 Azure 쪽 설정 일부에 대한 값을 제공하므로 이러한 디바이스에 대한 사용자 고유의 프로필을 만들 수 있습니다. 일부 값에는 VPN 게이트웨이 주소, 구성된 터널 종류, 경로 및 게이트웨이 유효성 검사용 루트 인증서가 포함됩니다.
참고 항목
2018년 7월 1일부터 Azure VPN 게이트웨이에서 1.1 및 TLS 1.0에 대한 지원이 제거될 예정입니다. VPN Gateway는 TLS 1.2만 지원합니다. 지점 및 사이트 간 연결만 영향을 받으며 사이트 간 연결은 영향을 받지 않습니다. Windows 10 이상 클라이언트에서 지점 및 사이트 간 VPN에 TLS를 사용하는 경우 작업을 취할 필요가 없습니다. Windows 7 및 Windows 8 클라이언트에서 지점-사이트 간 연결에 TLS를 사용하는 경우 VPN Gateway FAQ에서 업데이트 지침을 참조하세요.
어떤 게이트웨이 SKU에서 P2S VPN을 지원하나요?
다음 표에서는 터널, 연결, 처리량별 게이트웨이 SKU를 설명합니다. 이 표에 대한 추가 테이블 및 자세한 내용은 VPN Gateway 설정 기사의 게이트웨이 SKU 섹션을 참조하세요.
| VPN 게이트웨이 생성 |
SKU | S2S/VNet-to-VNet 터널 |
P2S SSTP 연결 |
P2S IKEv2/OpenVPN Connections |
집계 처리량 벤치마크 |
BGP | Zone-redundant | Virtual Network에서 지원되는 VM 수 |
|---|---|---|---|---|---|---|---|---|
| 생성 1 | 기본 | 최대 10 | 최대 128 | 지원되지 않음 | 100Mbps | 지원되지 않음 | 아니요 | 200 |
| 생성 1 | VpnGw1 | 최대 30 | 최대 128 | 최대 250 | 650Mbps | 지원됨 | 아니요 | 450 |
| 생성 1 | VpnGw2 | 최대 30 | 최대 128 | 최대 500 | 1Gbps | 지원됨 | 아니요 | 1300 |
| 생성 1 | VpnGw3 | 최대 30 | 최대 128 | 최대 1000 | 1.25Gbps | 지원됨 | 아니요 | 4000 |
| 생성 1 | VpnGw1AZ | 최대 30 | 최대 128 | 최대 250 | 650Mbps | 지원됨 | 예 | 1000 |
| 생성 1 | VpnGw2AZ | 최대 30 | 최대 128 | 최대 500 | 1Gbps | 지원됨 | 예 | 2000 |
| 생성 1 | VpnGw3AZ | 최대 30 | 최대 128 | 최대 1000 | 1.25Gbps | 지원됨 | 예 | 5000 |
| 생성 2 | VpnGw2 | 최대 30 | 최대 128 | 최대 500 | 1.25Gbps | 지원됨 | 아니요 | 685 |
| 생성 2 | VpnGw3 | 최대 30 | 최대 128 | 최대 1000 | 2.5Gbps | 지원됨 | 아니요 | 2240 |
| 생성 2 | VpnGw4 | 최대 100* | 최대 128 | 최대 5,000 | 5Gbps | 지원됨 | 아니요 | 5300 |
| 생성 2 | VpnGw5 | 최대 100* | 최대 128 | 최대 10000 | 10Gbps | 지원됨 | 아니요 | 6700 |
| 생성 2 | VpnGw2AZ | 최대 30 | 최대 128 | 최대 500 | 1.25Gbps | 지원됨 | 예 | 2000 |
| 생성 2 | VpnGw3AZ | 최대 30 | 최대 128 | 최대 1000 | 2.5Gbps | 지원됨 | 예 | 3300 |
| 생성 2 | VpnGw4AZ | 최대 100* | 최대 128 | 최대 5,000 | 5Gbps | 지원됨 | 예 | 4400 |
| 생성 2 | VpnGw5AZ | 최대 100* | 최대 128 | 최대 10000 | 10Gbps | 지원됨 | 예 | 9000 |
참고 항목
기본 SKU는 제한 사항이 적용되며 IKEv2 또는 RADIUS 인증을 지원하지 않습니다.
P2S용 VPN 게이트웨이에 구성된 IKE/IPsec 정책은 무엇인가요?
IKEv2
| 암호화 | 무결성 | PRF | DH 그룹 |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| 암호화 | 무결성 | PFS 그룹 |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
P2S용 VPN 게이트웨이에 구성된 TLS 정책은 무엇인가요?
TLS
| 정책 |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**OpenVPN을 사용하여 TLS1.3에서만 지원됨
P2S 연결은 어떻게 구성하나요?
P2S 구성에는 몇 가지 특정한 단계가 필요합니다. 다음 문서에는 P2S 구성을 수행하는 단계와 VPN 클라이언트 디바이스를 구성하기 위한 링크가 포함되어 있습니다.
다음 단계
"OpenVPN"은 OpenVPN Inc.의 상표입니다.