AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
AWS Site-to-Site VPN が接続を確立できないのはなぜですか?
Amazon Virtual Private Cloud (Amazon VPC) 内の AWS Site-to-Site VPN が、インターネットキー交換 (IKE) / フェーズ 1 またはインターネットプロトコルセキュリティ (IPsec) / フェーズ 2 の接続を確立できません。これらの接続エラーをトラブルシューティングしたいです。
解決策
VPN が接続を確立できない場合、IKE / フェーズ 1 または IPsec / フェーズ 2 がダウンしています。
Site-to-Site VPN ログを有効にします。ログを使用して、各フェーズのステータスを確認します。また、カスタマーゲートウェイデバイスでもステータスを確認できます。
接続が確立されないフェーズに基づいて、接続失敗のトラブルシューティングを行います。
**注:**VPN のステータスが UP となるのは、フェーズ 1 とフェーズ 2 の両方が UP の場合のみです。動的 VPN の場合、境界ゲートウェイプロトコル (BGP) のステータスも UP である必要があります。IKE / フェーズ 1 の接続が確立されているが、IPsec / フェーズ 2 のステータスが DOWN の場合、VPN のステータスも DOWN となります。
IKE/フェーズ 1 の障害
カスタマーゲートウェイデバイスを確認する
カスタマーゲートウェイデバイスで、以下の設定を確認してください。
- VPN の設定がカスタマーゲートウェイデバイスの要件を満たしていること。詳細については、「Troubleshooting AWS Site-to-Site VPN customer gateway device」を参照してください。
- AWS とカスタマーゲートウェイが同じバージョンの IKE を使用していること。
**注:**AWS は IKEv1 と IKEv2 の両方をサポートしています。 - カスタマーゲートウェイデバイスのフェーズ 1 パラメータが、AWS のフェーズ 1 パラメータと一致していることを確認してください。詳細については、「Site-to-Site VPN 接続の AWS トンネルオプション」を参照してください。
- VPN 接続のフェーズ 1 のライフタイムオプションが、使用している IKE のバージョンに対して十分長いことを確認してください。オプションが短すぎる場合は、トンネルオプションを再設定して、フェーズ 1 のライフタイムを十分長くしてください。
- カスタマーゲートウェイデバイスが正しい事前共有キーまたは有効な証明書を使用していることを確認します。
- VPN エンドポイントに ping を送信できることを確認します。
**注:**example\ _IP は AWS VPN エンドポイントのパブリック IP アドレスに置き換えてください。ping example_IP - インバウンドトラフィックは AWS に向けて開始されます。
**注:**AWS VPN サービスはデフォルトでレスポンダーモードで動作し、IKE ネゴシエーションやピアのタイムアウト設定、その他の設定の変更が可能です。詳細については、「AWS Site-to-Site VPN トンネル開始オプション」を参照してください。
スタートアップアクションを確認する
トンネルのスタートアップアクションが Start の場合、以下のアクションを実行してください。
- VPN エンドポイントが VPN トンネルの IKE イニシエータである場合、カスタマーゲートウェイデバイスと AWS のトンネルオプションが一致していることを確認します。
- 事前共有キー認証の場合、カスタマーゲートウェイデバイスのローカル ID と AWS 上のパブリック IP アドレスが一致していることを確認します。証明書認証の場合、カスタマーゲートウェイデバイスのローカル ID が証明書のサブジェクトであることを確認します。
トラフィックが必須ポートを通過することを確認する
カスタマーゲートウェイが NAT デバイスの背後にある場合、mytraceroute (MTR) を使用して、必要なポートを通じてトラフィックが通過することを確認します。
- ポート 500で、ネットワークと VPN エンドポイント間で統合データプロバイダー (UDP) パケットが通過できることを確認します。NAT トラバーサルが有効な場合、ポート 4500 も確認します。
- 中間のインターネットサービスプロバイダー (ISP) が、ポート 500 でのトラフィックを許可していることを確認します。NAT トラバーサルを使用する場合、ISP がポート 4500 でのトラフィックを許可していることも確認します。
詳細については、AWS VPN 接続でのパケット損失のトラブルシューティング方法を参照してください。
注:カスタマーゲートウェイがポートアドレス変換 (PAT) デバイスの背後にない場合は、NAT トラバーサル をオフにするのがベストプラクティスです。Site-to-Site VPN 接続でアクセラレーションが有効になっている場合、カスタマーゲートウェイデバイスでNATトラバーサルが有効になっていることを確認してください。
IKE / フェーズ 1 が UP のときに IPsec /フェーズ 2 の失敗をトラブルシュートする
次に、以下の設定を確認します。
- カスタマーゲートウェイデバイスの設定を Site-to-Site VPN の設定ファイルと比較し、フェーズ 2 のパラメータが正しく設定されていることを確認します。デフォルト以外のオプションを使用しているカスタマーゲートウェイデバイスの場合、AWS Management Console でフェーズ 2 のパラメータを確認します。
- カスタマーゲートウェイデバイスで、IKEv1 および IKEv2 のサポートされているフェーズ 2 のパラメータが正しく設定されていることを確認します。
- Diffie-Hellman 完全前方秘匿性 (PFS) が有効であり、キー生成に Diffie-Hellman グループを使用していることを確認します。
- AWS とカスタマーゲートウェイデバイスのセキュリティアソシエーションとトラフィックセレクターが一致していることを確認します。
- リモートおよびローカル IP アドレスに関する VPN 接続オプションが、カスタマーゲートウェイデバイスのセキュリティアソシエーションと一致していることを確認してください。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。
その他の一般的な VPN 接続障害のトラブルシューティング
問題が解決しない場合は、次のアクションを実行してください。
- 接続エラーに対応するエラーについては、Site-to-Site VPN ログを確認してください。
- IPsec デバッグログを確認して、失敗の原因とそのトラブルシューティング方法を特定します。
関連情報
VPN トンネルの現在の状態を確認する方法を教えてください。
AWS Site-to-Site VPN トンネルオプションの変更
- 言語
- 日本語
関連するコンテンツ
- 質問済み 6ヶ月前
