AWS Site-to-Site VPN が接続を確立できないのはなぜですか?

解決策

IKE/フェーズ 1 の障害

設定の IKE フェーズが失敗した場合は、Site-to-Site VPN 設定をチェックし、次の要件を満たしているかどうかを確認してください。

• カスタマーゲートウェイの要件。
• ユースケースに適した IKE バージョンを使用します。**注:**AWS は IKEv1 と IKEv2 の両方をサポートしています。
• 使用している IKE バージョンの IKE( フェーズ 1) の適切な秒単位の有効期間を使用します。必要なトンネルオプションを設定するには、「Site-to-Site VPN 接続のトンネルオプション」を参照してください。
• 正しい事前共有キー (PSK) または有効な証明書で構成されたカスタマーゲートウェイデバイスがある。
• カスタマーゲートウェイから Site-to-Site VPN エンドポイントに ping を正常に送信できる。

Site-to-Site VPN 接続でアクセラレーションがオンになっている場合は、カスタマーゲートウェイデバイスの NAT トラバーサルがオンになっているかを確認してください。

カスタマーゲートウェイデバイスがネットワークアドレス変換 (NAT) デバイスの背後にある場合は、次の点を確認してください。

• ポート 500 ** (および NAT トラバーサルを使用する場合はポート 4500**) の UDP パケットは、ネットワークと Site-to-Site VPN エンドポイントの間を通過できます。
• 中間インターネットサービスプロバイダー (ISP) は UDP ポート 500 (または NAT トラバーサルを使用している場合はポート 4500) をブロックしません。

**注:**カスタマーゲートウェイがポートアドレス変換 (PAT) デバイスの背後にない場合は、NAT トラバーサルをオフにするのがベストプラクティスです。

IKE/フェーズ 1 が稼働している場合の IPSec/フェーズ 2 の障害

Site-to-Site VPN 接続の IKE/フェーズ 1 が確立されると、カスタマーゲートウェイは IPsec/フェーズ 2 の確立を試みます。Site-to-Site VPN ステータスが UP になるのは、フェーズ 1 とフェーズ 2 のステータスの両方が UP のときだけである点に注意してください。動的な Site-to-Site VPN の場合、BGP も UP ステータスになっている必要があります。IKE/フェーズ 1 接続は確立されているが、IPsec/フェーズ 2 接続がダウン状態になっている場合、Site-to-Site VPN ステータスもダウン状態となります。

Site-to-Site VPN IPsec/フェーズ 2 が接続を確立できない場合は、次の手順を試して問題を解決してください。

• 設定を、Site-to-Site VPN 設定ファイルと比較して、Site-to-Site VPN フェーズ 2 パラメータがカスタマーゲートウェイデバイスで正しく設定されているかどうかを確認します。このファイルは、Site-to-Site VPN コンソールからダウンロード可能です。
• IKEv1 と IKEv2 がサポートしているフェーズ 2 パラメータが正しく設定されているかを確認します。次の IKEv1 および IKEv2 パラメータの例を参照してください。
  IKEv1 暗号化: AES-128、AES-256、AES128-GCM-16、AES256-GCM-16 IKEv1 データ完全性: SHA-1、SHA2-256、SHA2-384、SHA2-512 IKEv1 DH グループ: 2、5、14-24 有効期間: 3600 秒 Diffie-Hellman Perfect Forward Secrecy: オンになっています **注:**IKEv1 と IKEv2 のフェーズ 2 と IKEv2 の Child_SA パラメータの例では、Site-to-Site VPN 接続の最小要件は次のように指定されています。
  AWS フェーズ 2 のパラメータ: AES128、SHA1、Diffie-Hellman グループ 2 AWS GovCloud (米国) フェーズ 2 のパラメーター: AES128、SHA2、Diffie-Hellman グループ 14
• Diffie-Hellman Perfect Forward Secrecy (PFS) がアクティブで、キー生成にDiffie-Hellman グループが使用されているかを確認します。「カスタマーゲートウェイデバイスの要件」を参照し、記載されている表の「Diffie-Hellman Perfect Forward Secrecy の使用」の情報を確認してください。
• AWS とカスタマーゲートウェイデバイスとの間にセキュリティアソシエーションやトラフィックセレクターの不一致がないかどうかを確認します。
• 設定されている Site-to-Site VPN 接続オプション (リモート IP アドレスとローカル IP アドレスを含む) が、カスタマーゲートウェイデバイスで指定されているセキュリティアソシエーションと一致しているかどうかを確認します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN 間の接続問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。
• トラフィックが AWS へのインバウンドで開始されているかどうかを確認してください。Site-to-Site VPN はデフォルトでレスポンダモードで動作し、IKE ネゴシエーション、ピアタイムアウト設定、およびその他の構成設定の設定を変更できます。詳細については、「Site-to-Site VPN トンネル開始オプション」を参照してください。

それでも問題が解決しない場合は、以下を試してください。

• Site-to-Site VPN ログをオンにします。
• IPSec デバッグログを調べ、障害の原因とトラブルシューティングの手順を確認してください。

関連情報

AWS Site-to-Site VPN とは何ですか?

カスタマーゲートウェイデバイスのトラブルシューティング

Site-to-Site VPN トンネルオプションの変更

スタティックルーティングのカスタマーゲートウェイデバイス設定の例

ダイナミックルーティング (BGP) のカスタマーゲートウェイデバイス設定の例