Amazon Virtual Private Cloud (Amazon VPC) 内の私の AWS Site-to-Site VPN は、接続確立の IKE/フェーズ 1 もしくは IPsec/ フェーズ 2 のどちらでも失敗してしまいます。
解決策
IKE/フェーズ 1 の障害
設定の IKE フェーズが失敗した場合は、Site-to-Site VPN 設定をチェックし、次の要件を満たしているかどうかを確認してください。
Site-to-Site VPN 接続でアクセラレーションがオンになっている場合は、カスタマーゲートウェイデバイスの NAT トラバーサルがオンになっているかを確認してください。
カスタマーゲートウェイデバイスがネットワークアドレス変換 (NAT) デバイスの背後にある場合は、次の点を確認してください。
- ポート 500 ** (および NAT トラバーサルを使用する場合はポート 4500**) の UDP パケットは、ネットワークと Site-to-Site VPN エンドポイントの間を通過できます。
- 中間インターネットサービスプロバイダー (ISP) は UDP ポート 500 (または NAT トラバーサルを使用している場合はポート 4500) をブロックしません。
**注:**カスタマーゲートウェイがポートアドレス変換 (PAT) デバイスの背後にない場合は、NAT トラバーサルをオフにするのがベストプラクティスです。
IKE/フェーズ 1 が稼働している場合の IPSec/フェーズ 2 の障害
Site-to-Site VPN 接続の IKE/フェーズ 1 が確立されると、カスタマーゲートウェイは IPsec/フェーズ 2 の確立を試みます。Site-to-Site VPN ステータスが UP になるのは、フェーズ 1 とフェーズ 2 のステータスの両方が UP のときだけである点に注意してください。動的な Site-to-Site VPN の場合、BGP も UP ステータスになっている必要があります。IKE/フェーズ 1 接続は確立されているが、IPsec/フェーズ 2 接続がダウン状態になっている場合、Site-to-Site VPN ステータスもダウン状態となります。
Site-to-Site VPN IPsec/フェーズ 2 が接続を確立できない場合は、次の手順を試して問題を解決してください。
- 設定を、Site-to-Site VPN 設定ファイルと比較して、Site-to-Site VPN フェーズ 2 パラメータがカスタマーゲートウェイデバイスで正しく設定されているかどうかを確認します。このファイルは、Site-to-Site VPN コンソールからダウンロード可能です。
- IKEv1 と IKEv2 がサポートしているフェーズ 2 パラメータが正しく設定されているかを確認します。次の IKEv1 および IKEv2 パラメータの例を参照してください。
IKEv1 暗号化: AES-128、AES-256、AES128-GCM-16、AES256-GCM-16
IKEv1 データ完全性: SHA-1、SHA2-256、SHA2-384、SHA2-512
IKEv1 DH グループ: 2、5、14-24
有効期間: 3600 秒
Diffie-Hellman Perfect Forward Secrecy: オンになっています
**注:**IKEv1 と IKEv2 のフェーズ 2 と IKEv2 の Child_SA パラメータの例では、Site-to-Site VPN 接続の最小要件は次のように指定されています。
AWS フェーズ 2 のパラメータ: AES128、SHA1、Diffie-Hellman グループ 2
AWS GovCloud (米国) フェーズ 2 のパラメーター: AES128、SHA2、Diffie-Hellman グループ 14
- Diffie-Hellman Perfect Forward Secrecy (PFS) がアクティブで、キー生成にDiffie-Hellman グループが使用されているかを確認します。「カスタマーゲートウェイデバイスの要件」を参照し、記載されている表の「Diffie-Hellman Perfect Forward Secrecy の使用」の情報を確認してください。
- AWS とカスタマーゲートウェイデバイスとの間にセキュリティアソシエーションやトラフィックセレクターの不一致がないかどうかを確認します。
- 設定されている Site-to-Site VPN 接続オプション (リモート IP アドレスとローカル IP アドレスを含む) が、カスタマーゲートウェイデバイスで指定されているセキュリティアソシエーションと一致しているかどうかを確認します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN 間の接続問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。
- トラフィックが AWS へのインバウンドで開始されているかどうかを確認してください。Site-to-Site VPN はデフォルトでレスポンダモードで動作し、IKE ネゴシエーション、ピアタイムアウト設定、およびその他の構成設定の設定を変更できます。詳細については、「Site-to-Site VPN トンネル開始オプション」を参照してください。
それでも問題が解決しない場合は、以下を試してください。
関連情報
AWS Site-to-Site VPN とは何ですか?
カスタマーゲートウェイデバイスのトラブルシューティング
Site-to-Site VPN トンネルオプションの変更
スタティックルーティングのカスタマーゲートウェイデバイス設定の例
ダイナミックルーティング (BGP) のカスタマーゲートウェイデバイス設定の例