カスタマーゲートウェイが稼働しているのに、AWS Site-to-Site VPN 接続が DOWN IPSEC UP ステータスになっているのはなぜですか?

所要時間2分
0

AWS Site-to-Site VPN に設定されているカスタマーゲートウェイは稼働していますが、Site-to-Site VPN コンソールには接続が停止していると表示されてしまいます。

簡単な説明

サイト間 VPN コンソールでは、接続の状態は ** IPSEC UP** であるものの、トンネルの状態は DOWN と表示される場合があります。つまり、インターネットプロトコルセキュリティ (IPsec) は確立されているが、ボーダーゲートウェイプロトコル (BGP) は確立されていないということです。動的なサイト間 VPN 接続を AWS 側で UP と表示するには、IPSEC と BGP の両方が正常に確立されている必要があります。

解決方法

カスタマーゲートウェイが BGP をサポートしているかどうかを確認する

  1. カスタマーゲートウェイが BGP をサポートし、BGP で設定されているかを確認します。
  2. 接続のオンプレミス側が動的 (BGP) と静的 (ポリシーベースの Site-to-Site VPN または静的ルートベースの Site-to-Site VPN) のどちらを使用しているかを確認します。オンプレミス側が静的ルーティングを使用している場合は、AWS側で Site-to-Site VPN を再作成する必要があります。

AWS を使用して Site-to-Site VPN 接続を作成すると、デフォルトで動的ルーティングオプションが選択されます。静的ルーティングを選択せずに Site-to-Site VPN 接続を作成すると、動的な Site-to-Site VPN が作成されます。既存の Site-to-Site VPN 接続のルーティングオプションを変更することはできないため、静的ルーティングを使用するには新しい Site-to-Site VPN を作成する必要があります。

Site-to-Site VPN 接続を削除して新しい接続を作成すると、新しいパブリック IP アドレスのペアがトンネルに割り当てられます。カスタマーゲートウェイデバイスを再設定し、それに応じてパブリックピア IP を更新する必要があります。ただし、新しい接続を作成するときは、以前の Site-to-Site VPN 接続で取得した IP 内トンネルと事前共有秘密鍵を使用することができます。AWS が自動生成する詳細を使用する必要はありません。

暗号化ドメインとプロキシ ID を確認する

  1. AWS とカスタマーゲートウェイデバイスの両方で設定されている暗号化ドメインまたはプロキシ ID が 0.0.0.0/0 = 0.0.0.0/0 になっているかを確認します。
  2. AWS 側では、ローカル IPv4 ネットワーク CIDR (オンプレミス CIDR) とリモート IPv4 ネットワーク CIDR (AWS CIDR) を確認します。
  3. カスタマーゲートウェイで、ベンダーが提供するガイドラインに従って、暗号化ドメインとプロキシ ID を確認します。
  4. 接続の Site-to-Site VPN ログを有効にしている場合は、Site-to-Site VPN ログを含む Amazon CloudWatch ロググループを確認してください。関連するサイト間 VPN エンドポイントのログストリームを選択します。次に、AWS トンネルフェーズ 2 SA が SPIで確立される\ *\ * を選択すると、ログストリームがフィルタリングされます。AWS 側がデフォルトの 0.0.0.0/0 = 0.0.0.0/0 であると仮定すると、カスタマーゲートウェイによってネゴシエートされたトラフィックセレクターを表示できるようになります。

ログストリームは VPN-ID-VPN\ _Peer\ _IP-IKE.log に似た形式になっています。次の出力例を参照してください。

{
"event_timestamp": 1673252138,
"details": "AWS tunnel Phase 2 SA is established with
inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors:
(AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16",
"dpd_enabled": true,
"nat_t_detected": true,
"ike_phase1_state": "established",
"ike_phase2_state": "established"}

**注:**動的なサイト間 VPN 接続を使用している場合、トラフィックセレクターにはすべてのトラフィックを網羅できる十分な広さが必要です。これには、BGP ピアに使用される APIPA IP アドレスが含まれます。前の例では、カスタマーゲートウェイデバイスの暗号化ドメインを 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0 (オンプレミス) に更新します。

接続の AWS 側に特定の暗号化ドメインが定義されている場合は、Site-to-Site VPN 接続オプションを変更してください。ローカル IPv4 ネットワーク CIDR とリモート IPv4 ネットワーク CIDR の両方が 0.0.0.0/0 に設定されているかどうかを確認してください。

NAT-T を有効にして Site-to-Site VPN を高速化

アクセラレーションを有効にした状態では、トランジットゲートウェイで終端する Site-to-Site VPN が使用されている場合があります。この設定では、カスタマーゲートウェイデバイスで NAT-T がアクティブになっているかどうかを確認します。

**注:**Site-to-Site VPN を高速化するには、NAT-T をオンにする必要があります。カスタマーゲートウェイデバイスで NAT-T がアクティブ化されていない場合、IPsec は確立されますが、Site-to-Site VPN 接続を介してトラフィックは流れません。これには BGP トラフィックが含まれます。詳細については、高速 Site-to-Site VPN のルールと制限を参照してください。

BGP のトラブルシューティング

問題が解決しない場合は、「VPN 経由の BGP 接続の問題のトラブルシューティング方法」の手順を確認してください。

AWS公式
AWS公式更新しました 10ヶ月前
コメントはありません

関連するコンテンツ