온프레미스와 Azure의 VPN

온프레미스와 Azure VPN 연결 문제 관련해서 글을 남긴적이 있습니다.
Azure에서 VPN 로그 보는 법
이번 글에서는 연결 문제 관련해서 좀 더 자세히 설명 드려 보겠습니다.
연결을 성공 시키기 위해 변경했던 부분은 온프레미스 VPN 장비 버전과 Ikev버전이었습니다.
장비 소프트웨어 버전은 최신이어야 하고 Ikev버전은 2로 해야 합니다. 추가적으로 traffic selector는 정책 기반이어야 합니다.

위 조건은 microsoft에서 Azure와 cisco간 통신 가이드에서 찾을 수 있었습니다.

VPN Gateway에 Cisco ASA 디바이스를 연결하는 샘플 구성 - Azure VPN Gateway

해당 버전에서는 cisco asa버전에서 ikev2를 사용하려면 8.4이상이면 된다고 하는데 정작 온프레미스는 8.6인데도 ikev2로 연결을 시도하면 통신이 갑작스레 안되는 경우가 잦았습니다.
어쩔 수 없이 ikev1로 변경했지만 역시나 통신이 어려웠습니다.
MS엔지니어분께서 해당 문제는 우선 온프레미스 소프트웨어 버전을 최신버전으로 업데이트 하는 것을 권했습니다.
Ikev2가 8.6버전에서 안되는 이유는 정확하게는 찾지 못했고 일종의 버그로 추정된다고 했습니다.
그래서 최신 버전인 9.12로 업그레이드 했지만 문제는 Ikev1에서는 간헐적으로 통신 문제가 발생했습니다.
Azure의 로그를 살펴보니 Qm packet을 계속해서 보내고 있었고 온프레미스에서도 통신 시도하는 것을 확인 할 수 있었다고 합니다.

여기서 QM이란 Ikev1의 phase2에 해당하는 것으로 Phase1 에서 ISKMP으로 안전한 방식으로 보안 통신 채널을 설정했다면 그 안전한 보안 통신에서 알고리즘과 VPN을 통과하여 트래픽을 보내는 것을 빠르게 허용하는 것입니다.

아래의 링크를 보면 Ikev1은 phase1에서 2가지 모드를 설정 할 수 있는데 Azure는 Ikev1에 대한 모드를 선택할 수 가 없습니다.
실제로도 Azure에서 Ikev1 보다는 Ikev2를 권장하기에 자연스레 포탈에서 설정할 수 있는 부분을 지원하지 않는 것 같습니다.

CCIE Security: IPSec VPN Overview (IKEv1) - Networking fun

제가 생각하기에는 Ikev1가 Azure VPN에서의 phase1 부분에서 뭔가 안 맞는 부분이 있는 것으로 보입니다. 정확하게는 끝내 파악할 수 없었지만 다행히도 Ikev2로 변경한 결과 문제는 해결 할 수 있었습니다.

다음에는 왜 Ikev에는 정책기반으로 해야하며 Ikev1과 Ikev2의 차이점 그리고 VTI 모드에 대해 한번 블로그에 올려보겠습니다.