AWS Site-to-Site VPN がダウンしているのはなぜですか?

解決策

仮想プライベートネットワーク (VPN) トンネルがカスタマーゲートウェイデバイスまたは AWS で接続を確立できない場合は、次の設定を確認してください。

• カスタマーゲートウェイデバイスのリモートピア IP アドレスが正しく設定されている。VPN エンドポイントの外部パブリック IP アドレスに対応している必要があります。詳細については、「Site-to-Site VPN トンネルオプションを変更する」を参照してください。
• AWS の外部パブリック IP アドレスが正しく設定されている。カスタマーゲートウェイデバイスの WAN インターフェイスのパブリック IP アドレスに対応している必要があります。ネットワークアドレス変換 (NAT) デバイスを使用する場合、AWS の外部パブリック IP アドレスはデバイスのパブリック IP アドレスに対応している必要があります。
• AWS VPN エンドポイントとカスタマーゲートウェイデバイスとが接続されている。カスタマーゲートウェイデバイスからパブリック IP アドレスの外部の AWS VPN エンドポイントに ping を送信します。
• ファイアウォールポリシーで、UDP ポート 500 での AWS VPN エンドポイントとの間のトラフィックの送受信が許可されている。カスタマーゲートウェイが NAT デバイスの背後にある場合、このポリシーは UDP 4500 のアウトバウンドトラフィックとインバウンドトラフィックにも適用されます。
• NAT トラバーサル (NAT-T) を使用する場合は、中間インターネットサービスプロバイダー (ISP) が UDP ポート 500 またはポート 4500 をブロックしていないことを確認してください。
• 設定されている Internet Key Exchange (IKE) バージョンが、AWS 側とカスタマーゲートウェイデバイスの両方で同じである。
• フェーズ 1 とフェーズ 2 のパラメータが、AWS と比べてカスタマーゲートウェイで一致している。詳細については、「Site-to-Site VPN 接続の AWS トンネルオプション」を参照してください。AWS マネジメントコンソールから設定ファイルをダウンロードします。[VPC] を選択し、[VPN] を選択します。[Site-to-Site VPN 接続] を選択し、[設定のダウンロード] を選択します。
• AWS Site-to-Site VPN ログを参照してください。
• VPN 接続が事前共有キーで認証される場合、共有プライベートキーは AWS とカスタマーゲートウェイデバイスで同じです。
• VPN 接続が証明書ベースの VPN の場合は、カスタマーゲートウェイに有効で正しい証明書があることを確認します。証明書には、プライベート証明書、ルートCA証明書、および下位CA証明書が含まれている必要があります。
• スタートアップアクションは [開始] に設定されており、証明書ベースの VPN を使用しています。カスタマーゲートウェイに、AWS 側のカスタマーゲートウェイ構造で定義されているパブリック IP アドレスがあることを確認してください。
  注: この設定では、AWS は IKE ネゴシエーションやキー更新を開始しません。代わりに、カスタマーゲートウェイが IKE ネゴシエーションとキーの再設定を開始します。詳細については、「ルールと制限」を参照してください。
• 証明書ベースの認証を使用するアクセラレーション VPN の場合は、カスタマーゲートウェイが IKE フラグメンテーションをサポートしていることを確認してください。これは、AWS Global Accelerator ではパケットフラグメンテーションのサポートが限られているため、IKE ネゴシエーションが失敗するためです。
• ダイナミック VPN の場合は、IPsec とボーダーゲートウェイプロトコル (BGP) の両方が UP 状態であることを確認します。
• 対象トラフィックを生成して VPN トンネルを起動します。