[AWS Client VPN Enpoint] Open VPN 이용하여 외부 네트워크에서 AWS 클라우드 내부 네트워크에 접근하기

AWS

[AWS Client VPN Enpoint] Open VPN 이용하여 외부 네트워크에서 AWS 클라우드 내부 네트워크에 접근하기

안냐세욤 2022. 6. 5. 23:42

🙋‍♀️ AWS Client VPN Endpoint란?

사내 네트워크의 AWS 리소스 및 리소스에 안전하게 액세스 할 수 있도록 지원하는 클라이언트 기반 managed VPN 서비스.
Client VPN을 사용하면 OpenVPN 기반 VPN 클라이언트를 사용하여 모든 위치에서 리소스에 액세스 할 수 있다.
AWS 외부에서 AWS 클라우드 내부 네트워크에 접근하고자 하는데 Client 쪽 VPN 장비가 없는 경우, Client VPN Endpoint를 이용할 수 있다.

🔨 To-Be Architecture

AWS Client VPN Endpoint를 이용하여 외부에서 내부 네트워크 접근하기

1️⃣ 생성 전 필수 사전 작업 - 서버 인증서 생성 및 ACM 업로드

AWS Cloud로 들어오는 첫번째 진입점에서 Client 인증이 실행된다. 인증에 성공해야 client는 Client VPN 엔드포인트로 연결할 수 있고 VPN 세션이 맺어진다. Client VPN Endpoint를 생성하기 위해서는 반드시 AWS Certificate Manager에 server 인증서가 있어야 한다.

Mutual Authentication
- client와 server 간의 인증을 하기 위해서는 certificate authority (CA)로부터 발행받은 디지털 증명서인 인증서를 사용한다.
- mutual authentication을 위해서는,
  1. server 인증서와 키 & 하나 이상의 client 인증서와 키를 생성한다.
    (easy RSA를 이용한 인증서 생성을 위해 참고 : AWS Document, 기술 블로그)
  2. AWS Certificate Manager (ACM)에 server 인증서와 프라이빗 키, 그리고 CA에 대해 업로드해야 한다.

2️⃣ Client VPN Endpoint 생성하기

1. Client가 할당할 CIDR 범위 선정

연결할 VPC의 CIDR 및 VPC에 연결되어 있는 다른 네트워크 범위와 중복되어서는 안 된다.
/22 ~ /12 사이의 범위로 CIDR 선정 가능. (ex: 10.0.0.0/22)
Client VPN 엔드포인트를 생성한 후에는 클라이언트 주소 범위를 변경할 수 없다.

2. 인증 방식 선택

서버 & 클라이언트 인증서 ARN : 모두 사전에 ACM에 import 했던 인증서를 입력한다.
인증 옵션 : mutual authentication 선택

3. (선택) Connection Logging 활성화

Client VPN Endpoint의 연결 로그를 기록한다.
로깅을 위해서는 해당 계정에 CloudWatch Logs에 연결로그를 기록할 로그 그룹이 생성되어 있어야 한다.

4. (선택) Other Parameters

전송 프로토콜 : UDP(default)
split-tunnel 활성화 : 활성화(참고: Split-tunnel on AWS Client VPN endpoints)
VPN ID : Client VPN Endpoint 생성 시, VPC를 명시하면 해당 VPC 내의 Subnet들과만 네트워크 연결이 가능하다. 명시하지 않으면 모든 VPC와 연결 가능하다.

5. 생성 완료하였으나 Pending-associate 상태(구성 미완료)