AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
Site-to-Site VPN のログを使用して、トンネルがダウンした理由を確認するにはどうすればよいですか?
AWS Site-to-Site VPNトンネルがダウンし、オンプレミスネットワークからリソースにアクセスできません。Site-to-Site VPN のログを使用して、トンネルがダウンした理由を確認したいと考えています。
解決策
トンネルアクティビティログを使用して、Site-to-Site VPN トンネルを監視します。トンネルアクティビティログを有効にすると、Amazon CloudWatch Logs を使用してトンネルの停止やその他のトンネルの問題に関する情報を収集できます。
Site-to-SiteVPN の AWS Identity and Access Management (IAM) ロールに、必要なすべてのアクセス許可がアタッチされていることを確認してください。
**注:**VPN トンネルログは、VPN ロギングをアクティブにした後にのみ使用できます。ロギングを有効にする前にVPNトンネルがフラップした場合、フラップした時点のログは表示されません。
障害に対応するタイムスタンプを収集する
次の手順を実行します。
- CloudWatch コンソールを開きます。
- [メトリクス] で [すべてのメトリクス] を選択します。
- [VPN メトリクス] を選択します。
- 次に、[VPN トンネルのメトリクス] を選択します。
- 停止が発生したトンネルの IP アドレスを選択します。
- [TunnelState] を選択します。
- [グラフ化下メトリクス]で次のオプションを選択します。
[統計] で [最小] を選択します。
[期間] で [分] を選択します。 - 停止のタイムスタンプを書き留めておきます。
トンネルアクティビティログの確認
次の手順を実行します。
- CloudWatch コンソールを開きます。
- ナビゲーションペインで、[ロググループ] を選択します。
- Site-to-Site VPN に関連付けられたロググループを選択します。
- Site-to-Site VPN トンネルがダウンした期間のログストリームを選択します。
- ログにエラーや警告がないか確認し、問題を特定してください。詳細については、「Site-to-Site VPN log contents」を参照してください。
次の例は、トンネルアクティビティログに表示される一般的なエラーです。
DPD タイムアウト
ログに「Peer is not responsive - Declaring peer dead」イベントが表示される場合は、デッドピア検出 (DPD) タイムアウトが発生しています。デフォルトでは、Site-to-Site VPN は DPD R\ _U\ _THERE メッセージをカスタマーゲートウェイに送信します。応答のないメッセージが 3 回続くと、Site-to-SiteVPN はピアが停止していると見なし、トンネルを閉じます。問題を解決するには、カスタマーゲートウェイからデバッグログも収集する必要があります。DPD タイムアウトの原因については、「カスタマーゲートウェイデバイスで AWS VPN トンネルが非アクティブまたはトンネルダウンした場合のトラブルシューティング方法を教えてください」を参照してください。
カスタマーゲートウェイの削除
ログに「AWS tunnel received DELETE」イベントが示されている場合、カスタマーゲートウェイがトンネルを削除するようにSite-to-SiteVPNにメッセージを送信しています。カスタマーゲートウェイログを使用して、カスタマーゲートウェイが削除メッセージを送信した理由を特定します。
トンネル設置の問題
セットアップ時にトンネルが確立されない場合は、トンネルのアクティビティログを確認して問題を特定してください。
ログの例:
{ "event_timestamp": 1723999332, "details": "AWS tunnel is evaluating proposals received from CGW", "dpd_enabled": true, "nat_t_detected": false, "ike_phase1_state": "down", "ike_phase2_state": "down" } { "event_timestamp":1723999332, "details":"AWS tunnel is processing proposals to find a matching configuration", "dpd_enabled":true, "nat_t_detected":false, "ike_phase1_state":"down", "ike_phase2_state":"down" } { "event_timestamp": 1723999332, "details": "No Proposal Match Found by AWS", "dpd_enabled": true, "nat_t_detected": false, "ike_phase1_state": "down", "ike_phase2_state": "down" }
前の例では、[詳細] フィールドに AWS トンネルとカスタマーゲートウェイ (CGW) のアルゴリズムが一致しないことが示されています。この問題を解決するには、カスタマーゲートウェイがトンネルがサポートするアルゴリズムスイートを提示していることを確認してください。サポートされているアルゴリズムのリストについては、「Tunnel options for your AWS Site-to-Site VPN connection」を参照してください。
Site-to-SiteVPN 設定、ネットワーク設定、ファイアウォールルールの確認
それでも問題を特定できない場合は、Site-to-SiteVPN構成、ネットワーク設定、またはファイアウォールルールがトンネルの停止の原因になっていないことを確認してください。問題のトラブルシューティングをするために、必要に応じて IT チーム、ネットワーク管理者、またはインターネットサービスプロバイダーと協力します。
関連情報
Monitor AWS Site-to-Site VPN tunnels using Amazon CloudWatch
AWS Support-TroubleshootVPN ランブックを使用して AWS Site-to-Site VPN の問題を解決する方法を教えてください。
Setting up of AWS Site-to-Site VPN automated monitoring solution
- 言語
- 日本語
関連するコンテンツ
- AWS公式更新しました 4ヶ月前
