AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?

所要時間1分
0

ポリシーベースの仮想プライベートネットワーク (VPN) が Amazon Virtual Private Cloud (Amazon VPC) の AWS VPN エンドポイントに接続しません。パケットが失われた、接続が断続的またはまったくない、またはネットワークが全般的に不安定になるなどの問題をトラブルシューティングしたいと考えています。

簡単な説明

AWS VPN は、一度に 1 つのインバウンドセキュリティアソシエーションおよび 1 つのアウトバウンドセキュリティアソシエーションをサポートします。エンドポイントに接続するカスタマーゲートウェイデバイスの、ポリシーベースの VPN にセキュリティアソシエーションのペアが複数ある場合、アソシエーションが異なる新しい接続によって以前の接続が切断されます。

解決策

VPN エンドポイントとポリシーベースの VPN 間の接続問題をトラブルシューティングするには、次のアクションを実行します。

暗号化ドメインを制限する

  1. VPC にアクセスしている現在の暗号化ドメインを確認します。詳細については、「Modify AWS Site-to-Site VPN connection options」を参照してください。
  2. カスタマーゲートウェイデバイスの各暗号化ドメインに、インバウンドセキュリティアソシエーションとアウトバウンドセキュリティアソシエーションのペアが 1 つのみあることを確認します。詳細については、「AWS Site-to-Site VPN customer gateway devices」を参照してください。

AWS マネジメントコンソールを使用して VPN 接続を変更する

  1. カスタマーゲートウェイを設定して、ローカル IPv4 ネットワークの Classless Inter-Domain Routing (CIDR) を次の値に設定します。

    0.0.0.0/0

  2. リモート IPv4 ネットワークの CIDR を次の値に設定します。

    0.0.0.0/0

カスタマーゲートウェイデバイスの設定と一致させる

  1. ローカルサブネットを次の値に設定します。

    0.0.0.0/0

  2. リモートサブネットを次の値に設定します。

    0.0.0.0/0

  3. 0.0.0.0/0 がサポートされていない場合は、接続の両側のユースケースに対応する特別な範囲を使用してください。値の例については、以下を参照してください。

    VPC:

    10.34.0.0/16

    オンプレミス

    172.16.0.0/16

複数のサブネットに対するルート集約

カスタマーゲートウェイのすべての小さなサブネットを網羅する広範なサブネットを使用してください。

トラフィックフィルターを有効にする

  1. カスタマーゲートウェイの不要なトラフィックをブロックするようにセキュリティグループを設定します。
  2. サブネットのトラフィックを制御するように、ネットワークアクセスコントロールリスト (ネットワーク ACL) を定義します。
  3. カスタマーゲートウェイでトラフィックフィルターがサポートされている場合は、VPC に出入りするトラフィックのうち必要なもののみを許可するフィルターをデバイスに設定します。

関連情報

IKE (VPN トンネルのフェーズ 1) が Amazon VPC で失敗するのはなぜですか?

AWS Site-to-Site VPN の IPsec/フェーズ 2 が接続を確立できないのはなぜですか?

トピック
ネットワークとコンテンツ配信
タグ
AWS Virtual Private Network (VPN)
言語
日本語
AWS公式
AWS公式更新しました 8ヶ月前
コメントはありません

関連するコンテンツ