IBM Cloud Docs
클라이언트-사이트 VPN 서버 관련 FAQ

클라이언트-사이트 VPN 서버 관련 FAQ

IBM Cloud® VPN for VPC를 사용하는 경우 다음과 같은 자주 묻는 질문이 있을 수 있습니다.

VPN 성능 상태는 무엇을 의미합니까?

상태 설명은 다음과 같습니다.

  • Healthy- VPN 서버가 올바르게 작동하고 있음을 나타냅니다.
  • Degraded - VPN 서버의 성능, 용량 또는 연결 상태가 좋지 않음을 표시합니다.
  • Faulted - VPN 서버에 연결할 수 없으며 작동 불가능 상태임을 표시합니다.
  • Inapplicable - 현재 라이프사이클 상태로 인해 성능 상태가 적용되지 않음을 표시합니다. 라이프사이클 상태가 failed 또는 deleting인 리소스의 성능 상태는 적용할 수 없음이 됩니다. Pending 리소스의 상태도 이와 같을 수 있습니다.

VPN 클라이언트에 비밀번호/패스코드를 저장할 수 없는 이유는 무엇입니까?

IBM IAM에서 생성된 비밀번호는 재사용할 수 없는 시간 기반 일회용 비밀번호(TOTP)입니다. 매번 다시 생성해야 합니다.

연결된 VPN 클라이언트를 사용하여 VPN 서버를 업데이트하면 VPN 클라이언트는 어떻게 됩니까?

VPN 클라이언트는 VPN 서버와의 연결이 끊어집니다. 모든 VPN 클라이언트는 VPN 서버와 다시 연결해야 합니다. 사용자 ID및 패스코드 인증을 사용하는 경우 패스코드를 검색하고 VPN 클라이언트에서 연결을 시작해야 합니다.

VPN 클라이언트의 연결이 끊어진 이유는 무엇입니까?

VPN 서버 관리자는 VPN 클라이언트의 유휴 시간을 지정할 수 있습니다. 유휴 시간 창 동안 VPN 클라이언트에서 트래픽이 없으면 VPN 서버는 자동으로 클라이언트의 연결을 끊습니다. VPN 클라이언트의 연결이 끊어진 경우 VPN 세션을 다시 시작해야 합니다.

VPN 클라이언트가 연결된 VPN 서버를 삭제하면 VPN 클라이언트는 어떻게 됩니까?

VPN 클라이언트는 VPN 서버와의 연결이 끊어집니다.

VPN 서버가 있는 서브넷을 삭제할 경우 VPN 서버는 어떻게 됩니까?

VPN 서버가 있는 경우 서브넷을 삭제할 수 없습니다.

내 VPN 서버가 연결된 보안 그룹을 업데이트하려면 어떻게 해야 합니까?

  1. 탐색 분할창에서 VPN > 클라이언트 대 사이트 서버를 클릭하고 업데이트할 VPN 서버를 선택하십시오.
  2. 첨부된 보안 그룹 > 첨부를 클릭하고 첨부하려는 보안 그룹을 선택하십시오.

라우트를 작성하고 VPN 서버의 사설 IP를 다음 홉으로 사용할 수 있습니까?

아니오, 라우트를 작성하고 사설 IP를 사용할 수 없습니다. 비공개 IP는 고정되어 있지 않으며 언제든지 변경될 수 있습니다. VPN for VPC 서비스는 VPC 라우팅 테이블에서 자동으로 라우트를 업데이트합니다. VPC 라우팅 테이블을 작성하고 VPN for VPC 서비스가 새 라우팅 테이블에 라우트를 삽입하도록 하려면 VPN 서버를 accept routes from 플래그에 추가해야 합니다. 또한 VPN 서버가 라우팅 테이블에 라우트를 삽입하지 않도록 하려면 accept routes from 플래그에서 VPN 서버를 제거해야 합니다. 자세한 정보는 VPN 서버에 대한 라우트 전파 구성 을 참조하십시오.

VPN 서버가 연결된 보안 그룹을 삭제할 경우 VPN 서버는 어떻게 됩니까?

VPN 서버가 있는 경우에는 보안 그룹을 삭제할 수 없습니다.

클라이언트-사이트 VPN을 전체 터널 모드에서 분할 터널 모드로 전환하려면 어떻게 해야 하나요?

다음 단계를 따르십시오.

  1. IBM Cloud 콘솔에서 탐색 메뉴 아이콘 메뉴 아이콘 > 인프라 VPC 아이콘 **> 네트워크 **> VPN을 클릭합니다.
  2. 클라이언트-사이트 서버를 클릭하고 업데이트할 VPN 서버의 이름을 클릭합니다.
  3. VPN 서버 세부 정보에서 편집을 클릭하고 터널 모드 메뉴에서 터널 분할을 선택합니다.
  4. VPN을 통해 액세스하려는 네트워크의 특정 IP 주소 또는 주소 범위를 입력하세요.
  5. 저장 을 클릭하십시오.

VPN 서버 프로비저닝 중에 서브넷을 선택해야 하는 이유는 무엇입니까?

서버는 사용자가 선택하는 VPN 서브넷에 상주합니다. VPN 서버는 높은 가용성 및 자동 유지보수를 제공하도록 각 서브넷에 사용 가능한 두 개의 사설 IP 주소를 필요로 합니다. 서브넷 접두부의 길이가 29 이하인 8 크기의 VPN 서버에 전용 서브넷을 사용하는 것이 가장 좋습니다. 전용 서브넷을 사용하면 VPN 서버 유연성을 향상시키기 위해 보안 그룹 및 ACL을 사용자 정의할 수 있습니다.

VPN 서버가 고가용성 구성을 지원합니까?

예, 활성/활성 구성에서 고가용성을 지원합니다. 두 개의 결함 도메인이 있는 고가용성 VPN 서버를 배치할 경우 두 개의 서브넷을 선택해야 합니다. 독립형 VPN 서버를 고가용성 모드로 업그레이드하고 고가용성 VPN 서버를 독립형 모드로 다운그레이드할 수도 있습니다.

VPN 서버의 처리량에는 제한이 있습니까?

독립형 VPN 서버에서는 최대 600Mbps의 집계 처리량이 지원됩니다. 고가용성 VPN 서버에서는 최대 1200Mbps의 집계 처리량이 지원됩니다. 단일 클라이언트 연결에 대해 최대 150Mbps의 처리량 (독립형 및 고가용성 VPN 서버 모두에 적용 가능).

IBM Cloud 클래식 인프라에서 VPN 서버를 사용할 수 있습니까?

예, IBM Cloud 클래식 인프라에 VPN 서버를 사용할 수 있습니다. 그러나 VPC에서 클래식 액세스를 사용으로 설정하거나 VPN 서버가 상주하는 VPC에 연결하도록 IBM Cloud Transit Gateway를 구성해야 합니다.

지원되는 VPN 클라이언트는 무엇입니까?

자세한 내용은 지원되는 클라이언트 소프트웨어를 참조하십시오.

VPN 서버에 사용할 수 있는 프로토콜 및 포트는 무엇입니까?

UDP 또는 TCP와 모든 포트 번호를 사용하여 VPN 서버를 실행할 수 있습니다. UDP는 더욱 나은 성능을 제공하기 때문에 권장되며, 포트 443은 다른 포트가 인터넷 서비스 제공자에 의해 차단될 수 있기 때문에 권장됩니다. VPN 클라이언트에서 VPN 서버에 연결할 수 없는 경우 TCP/443이 거의 모든 인터넷 서비스 제공자에서 열리기 때문에 TCP/443을 사용해 볼 수 있습니다.

어떠한 라우트 조치를 사용해야 합니까?

VPN 라우트의 조치는 라우트 대상에 따라 다릅니다.

  • 라우트 대상이 VPC에 있거나 VPN 게이트웨이를 사용하여 연결된 온프레미스 사설 서브넷에 있는 경우 라우트 조치는 deliver일 수 있습니다. 그렇지 않으면 translate입니다.
  • 클라이언트에서 트래픽을 차단하려면 drop 라우트 조치를 사용하여 원하지 않거나 바람직하지 않은 네트워크 트래픽을 널 또는 "블랙홀" 라우트에 전달하십시오.
  • 라우트 조치가 translate이면 소스 IP는 VPN 서버에서 전송되기 전에 VPN 서버 사설 IP로 변환됩니다. 이는 대상 디바이스에서 VPN 클라이언트 IP가 표시되지 않음을 의미합니다.

어떠한 DNS 서버 IP 주소를 사용해야 합니까?

VPN 서버를 프로비저닝하는 경우 DNS 서버 IP 주소는 선택사항입니다. 클라이언트에서 서비스 엔드포인트 및 IaaS 엔드포인트에 액세스하려면 161.26.0.10161.26.0.11 IP 주소를 사용해야 합니다. 자세한 내용은 서비스 엔드포인트IaaS 엔드포인트를 참조하십시오.

클라이언트에서 개인 DNS 이름을 분석해야 하는 경우 161.26.0.7161.26.0.8을 사용하십시오. 자세한 내용은 DNS 서비스 정보를 참조하십시오.

VPN 서버의 인증서를 업데이트하려면 어떻게 해야 합니까?

VPN 서버가 Secrets Manager 에서 인증서에 대한 업데이트를 인식하지 못합니다. 다른 CRN으로 인증서를 다시 가져온 후 새 인증서 CRN으로 VPN 서버를 업데이트해야 합니다.

VPN 서버에 대해 사용자 정의된 호스트 이름을 사용할 수 있습니까?

예, 볼 수 있습니다. CNAME DNS 레코드를 작성하고 이를 DNS 제공자의 VPN 서버 호스트 이름으로 지정해야 합니다. 그런 다음 직접 remote 445df6c234345.us-south.vpn-server.appdomain.cloudremote your-customized-hostname.com 로 대체하여 클라이언트 프로파일을 편집하십시오.

445df6c234345.us-south.vpn-server.appdomain.cloud 은 VPN 서버 호스트 이름의 예입니다.

DNS 공급업체로 ' IBM Cloud Internet Services '을 사용하는 경우 CNAME DNS 레코드를 추가하는 방법에 대한 자세한 내용은 ' CNAME 유형 레코드 '를 참조하세요.

도움이 필요하면 어떠한 정보를 제공해야 합니까?

IBM 지원 케이스에 다음 내용을 제공하십시오.

  1. VPN 서버 ID.

  2. VPN 클라이언트 및 운영 체제 버전.

  3. VPN 클라이언트의 로그.

  4. 문제가 발생한 시간 범위.

  5. 사용자 ID 기반 인증이 사용되는 경우 사용자 이름을 제공하십시오.

  6. 인증서 기반 인증이 사용되는 경우 클라이언트 인증서의 공통 이름을 제공하십시오.

    클라이언트 인증서의 공통 이름을 보려면 openssl x509 -noout -text -in your_client_certificate_file 섹션에서 OpenSSL 명령 subject을 사용하십시오.

API에서 IAM 액세스 관리 태그를 사용하여 VPN client 역할을 지정하는 방법

클라이언트 대 사이트 VPN에서 액세스 관리 태그를 사용하여 사용자 액세스를 관리하고 Client Authentication 에 대해 UserId and Passcode 모드를 사용으로 설정하는 경우 VPN Client 역할을 액세스 태그와 함께 첨부해야 합니다. 그렇지 않으면 VPN 클라이언트가 VPN 서버에 연결할 수 없습니다. 자세한 정보는 API를 사용하여 태그 IAM 사용 리소스에 대한 사용자 액세스 권한 부여 를 참조하고 role_idcrn:v1:bluemix:public:is::::serviceRole:VPNClient 로 설정하여 액세스 권한을 부여하십시오.