AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 방화벽 규칙
고객 게이트웨이 디바이스를 AWS Site-to-Site VPN 엔드포인트에 연결하는 IPsec 터널에 대한 엔드포인트로 사용할 고정 IP 주소가 있어야 합니다. AWS와 고객 게이트웨이 디바이스 사이에 방화벽이 있는 경우 IPsec 터널을 설정하기 위해 다음 표에 나와 있는 규칙이 마련되어 있어야 합니다. AWS 측의 IP 주소는 해당 구성 파일에 있습니다.
|
입력 규칙 I1 |
|
|---|---|
|
소스 IP |
Tunnel1 외부 IP |
|
대상 IP |
고객 게이트웨이 |
|
프로토콜 |
UDP |
|
원본 포트 |
500 |
|
대상 주소 |
500 |
|
입력 규칙 I2 |
|
|
소스 IP |
Tunnel2 외부 IP |
|
대상 IP |
고객 게이트웨이 |
|
프로토콜 |
UDP |
|
원본 포트 |
500 |
|
대상 포트 |
500 |
|
입력 규칙 I3 |
|
|
소스 IP |
Tunnel1 외부 IP |
|
대상 IP |
고객 게이트웨이 |
|
프로토콜 |
IP 50(ESP) |
|
입력 규칙 I4 |
|
|
소스 IP |
Tunnel2 외부 IP |
|
대상 IP |
고객 게이트웨이 |
|
프로토콜 |
IP 50(ESP) |
|
출력 규칙 O1 |
|
|---|---|
|
소스 IP |
고객 게이트웨이 |
|
대상 IP |
Tunnel1 외부 IP |
|
프로토콜 |
UDP |
|
원본 포트 |
500 |
|
대상 포트 |
500 |
|
출력 규칙 O2 |
|
|
소스 IP |
고객 게이트웨이 |
|
대상 IP |
Tunnel2 외부 IP |
|
프로토콜 |
UDP |
|
원본 포트 |
500 |
|
대상 포트 |
500 |
|
출력 규칙 O3 |
|
|
소스 IP |
고객 게이트웨이 |
|
대상 IP |
Tunnel1 외부 IP |
|
프로토콜 |
IP 50(ESP) |
|
출력 규칙 O4 |
|
|
소스 IP |
고객 게이트웨이 |
|
대상 IP |
Tunnel2 외부 IP |
|
프로토콜 |
IP 50(ESP) |
규칙 I1, I2, O1 및 O2를 사용하여 IKE 패킷을 전송할 수 있습니다. 규칙 I3, I4, O3 및 O4를 사용하여 암호화된 네트워크 트래픽을 포함한 IPsec 패킷을 전송할 수 있습니다.
참고
디바이스에서 NAT-T(NAT traversal)를 사용하는 경우 포트 4500의 UDP 트래픽도 네트워크와 AWS Site-to-Site VPN 엔드포인트 사이를 통과할 수 있어야 합니다. 디바이스가 NAT-T를 알리는지 확인하십시오.
