14제어 연결·연결 문제 해결제어 연결·연결 문제 해결

VPN이 동작하려면 멤버들 사이에 여러 제어 연결(control connection) 이 필요합니다 — 키 교환, 터널 테스트, 정책 설치, 신원·상태 공유 등입니다. Check Point 게이트웨이에는 이 제어 연결을 허용하는 implied rule 이 있어 보통은 따로 열 필요가 없습니다.

다만 경로에 서드파티 방화벽이 있거나 implied rule을 끈 경우 에는, 이 제어 연결이 막혀 VPN이 동작하지 않을 수 있습니다. 그래서 어떤 제어 연결이 필요한지 를 알아 두고, 막히면 명시적으로 허용해야 합니다(Identity Sharing에서도 비슷한 implied rule 의존을 봤습니다).

VPN 연결이 안 될 때 흔한 원인과 해법입니다.

가장 흔한 것이 NAT 입니다. VPN 트래픽이 중간의 NAT 장비를 지나면 IPsec이 깨질 수 있는데, NAT Traversal(NAT-T) 로 IPsec 패킷을 UDP로 캡슐화해 NAT를 통과 시킵니다(게이트웨이 객체에서 설정 — 시작하기의 고급 설정).

그 밖에 MTU·단편화 문제, 인증서/사전 공유 비밀 불일치, 암호화 방법 불일치, 제어 연결 차단 등이 원인이 됩니다. 진단은 SmartView Monitor의 터널 모니터링으로 터널 상태를 보고, 로그에서 encrypt/decrypt 실패를 확인하며, 깊은 분석은 명령줄·참조의 vpn 명령과 커널 디버그를 활용합니다.

정리하면, 제어 연결이 열려 있는지 확인하고(특히 서드파티 방화벽 경로), NAT-T로 NAT를 넘기며, 불일치 설정을 점검 하는 것이 VPN 문제 해결의 출발점입니다.