AWS Site-to-Site VPN を使用しているときに Windows または Linux インスタンスに ping または RDP を送信できないのはなぜですか?

所要時間1分
0

AWS Site-to-Site VPN 接続を使用しているときに、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアクセスできません。

解決方法

サイト間 VPN 接続はあるが、SSH を使用して Windows または Linux EC2 インスタンスに ping を送信できない場合は、次のトラブルシューティング手順に従ってください。

  • インスタンスのステータスを確認して、インスタンスが実行中であることを確認します。

  • AWS VPNコンソールを使用して、Site-to-Site VPN 接続ステータスを確認します。トンネルのステータスが [稼働] であることを確認します。接続が [停止] の場合、接続のダウンタイムを解決するためにトラブルシューティングのフェーズ 1フェーズ 2 の失敗のトラブルシューティング手順を見直してください。

  • Windows インスタンスの場合は、RDP ポート 3389 が AWS セキュリティグループ、ネットワーク ACL、OS ファイアウォール、およびウイルス対策ソフトウェアによって許可されていることを確認します。Linux インスタンスの場合は、SSH ポート 22 についても同じことを確認します。インバウンド SSH、RDP、または ICMP アクセスを有効にするには、「Control traffic to your AWS resources using security groups」と「Control traffic to subnets using network ACLs」を参照してください。

  • インスタンスで指定されているルートテーブルが正しいことを確認します。送信先の CIDR またはオンプレミスネットワークのリターンルートがあることを確認してください。このリターンルートがトランジットゲートウェイ (TGW) または仮想プライベートゲートウェイ (VGW) のいずれかを指していることを確認します。この TGW または VGW が Site-to-Site VPN に接続されていることを確認します。

  • カスタマーゲートウェイデバイスがポリシーベースの VPN を実装している場合は、デバイスが単一のセキュリティアソシエーション (SA) をネゴシエートしていることを確認してください。AWS では、セキュリティアソシエーションの数は 1 組に制限されています。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。

  • アクティブ/アクティブ設定を使っているケースもあるでしょう。つまり、両方のトンネルが稼働していると同時に、ECMP が無効な VGW または TGW で Site-to-Site VPN が終端しているケースです。このようなユースケースでは、AWS は、AWS からオンプレミスネットワークにトラフィックを送信するための優先的な VPN トンネルとして、1 つのアクティブなトンネルを割り当てます。アクティブ/アクティブ設定を使用する場合は、カスタマーゲートウェイの仮想トンネルインターフェイスで非対称ルーティングが有効になっている必要があります。詳細については、「トンネル B よりもトンネル A を優先するように、Site-to-Site VPN 接続を設定するにはどうすればよいですか?」を参照してください。

  • インバウンドまたはアウトバウンドのトラフィックをブロックしているファイアウォールが OS レベルにないことを確認します。Windows インスタンスの場合は、コマンドプロンプトを開いて、WF.msc コマンドを実行します。Linux インスタンスの場合は、ターミナルで、iptables コマンドを適切な引数を指定して実行します。

  • 動的 VPN を使用している場合は、正しいオンプレミスプレフィックスを必ず AWS に通知します。

  • 静的 VPN を使用している場合は、Site-to-Site VPN に正しい静的ルートを設定していることを確認します。AWS VPN コンソールにログインし、[静的ルート] で Site-to-Site VPN のターゲットネットワークを確認します。

  • 静的 VPN を使用している場合は、カスタマーゲートウェイデバイスを確認します。送信先 AWS 仮想プライベートクラウド (AWS VPC) CIDR を指す静的ルートがデバイスで設定されていることを確認します。

  • 高速 VPN を使用している場合は、NAT がオンになっていて、トラフィックが UDP 4500 を使用していることを確認します。これはトラフィックが流れるためにも必要な手順です。NAT がオンになっていないと、トンネルは起動するもののトラフィックがトンネルを通過できなくなります。

    : 高速 VPN 接続を使用する際のルールに注意してください。

関連情報

Amazon EC2 Windows インスタンスへのリモートデスクトップ接続で発生する問題のトラブルシューティング方法を教えてください。

AWS公式
AWS公式更新しました 10ヶ月前
コメントはありません

関連するコンテンツ