VPN 터널 안정화를 위한 DPD 설정 점검 가이드
DPD는 상대방이 아직 살아있는가?를 확인하는 생존 신고 패킷입니다. 이 요청에 응답이 없으면 AWS는 상대방(Customer Gateway)이 죽었다고 판단하고 터널을 초기화하거나 삭제합니다.
1. AWS 콘솔에서 DPD 설정 확인하기
AWS 쪽에서 설정된 DPD Timeout Action이 무엇인지 먼저 확인해야 합니다.
VPC 콘솔 → [Site-to-Site VPN Connections] 메뉴로 이동합니다.
문제가 되는 VPN 연결을 선택하고 하단의 [Tunnel Options] 탭을 클릭합니다.
DPD Timeout Action 항목을 확인합니다. 3가지 옵션이 있습니다:
Clear: 응답이 없으면 즉시 터널을 닫고 세션을 종료합니다. (기본값)
None: DPD를 수행하지 않습니다. (비권장, 고스트 세션 발생 가능)
Restart: 응답이 없으면 터널을 즉시 다시 협상(Rekey)하여 복구하려고 시도합니다. (불안정한 회선에서 권장)
2. 고객 게이트웨이(CGW) 장비 설정 확인
AWS만 잘 설정한다고 해결되지 않습니다. 온프레미스 장비(Cisco, Fortinet, Juniper 등)의 설정이 AWS와 맞물려야 합니다.
DPD Interval: 생존 확인을 얼마나 자주 보낼 것인가? (보통 10~30초)
DPD Retries: 응답이 없을 때 몇 번 더 찌를 것인가? (보통 3~5회)
타이머 불일치: AWS는 기본적으로 30초 동안 응답이 없으면 DPD 타임아웃으로 간주합니다. CGW 장비의 타임아웃 설정이 이보다 길면 AWS가 먼저 터널을 끊어버립니다.
3. 방화벽 및 경로(Routing) 점검
DPD 패킷 자체가 방화벽에 막히는 어처구니없는 경우도 많습니다.
UDP 500 / 4500: IKE 통신뿐만 아니라 DPD 패킷도 이 포트를 사용합니다. 중간 방화벽에서 이 포트의 세션 유지 시간(Inactivity Timeout)이 DPD 주기보다 짧으면 세션이 끊길 수 있습니다.
비대칭 라우팅: 나가는 길과 들어오는 길이 다르면 DPD 응답을 받지 못해 "죽은 상대(Dead Peer)"로 오해할 수 있습니다.
댓글
댓글 0개
이 문서에는 댓글을 달 수 없습니다.