AWS Site-to-Site VPN でオンプレミスネットワークに接続できない理由は何ですか?

所要時間2分

オンプレミスネットワークと AWS 間で AWS Site-to-Site VPN 接続を行っているのですが、オンプレミスリソースに接続することができません。

解決方法

Site-to-Site VPN 接続のステータスを確認する

Site-to-Site VPN 接続が利用可能な状態かどうかと、トンネルが稼働しているかどうかを確認します。

AWS マネジメントコンソールにログインします。
[仮想プライベートネットワーク (VPN)] で [Site-to-Site VPN 接続] を選択します。
接続がダウンしている場合は、フェーズ 1 の障害とフェーズ 2 の障害のトラブルシューティング手順に従ってダウンタイムエラーを解決してください。

注: ボーダーゲートウェイプロトコル (BGP) がアップ (稼働中) の場合にのみ、BGP ベースの Site-to-Site VPN もアップとなる (稼働する) ことに留意してください。BGP がダウンしている場合、Site-to-Site VPN のステータスは [ダウン] です。

ポリシーベースの Site-to-Site VPNに複数のセキュリティアソシエーションペアがないかどうかをチェックする

カスタマーゲートウェイがポリシーベースの Site-to-Site VPN 接続を使って、Site-to-Site VPN エンドポイントに接続しているかどうかを確認します。AWS では、1 つのセキュリティアソシエーションペアのみを許可しています。このペアとは、インバウンドセキュリティアソシエーションとアウトバウンドセキュリティアソシエーションのことです。ポリシーベースの Site-to-Site VPN がこの「1 つのペア」という制限を超えると、異なるセキュリティアソシエーションとの新しい接続が開始された場合、既存の接続が切断されます。新しい Site-to-Site VPN 接続を行おうとすると、既存の接続が実質的に中断されるという構造です。

ポリシーベースの Site-to-Site VPN を使用する場合は、内部ネットワークの送信元アドレスを 0.0.0.0/0 に設定するのがベストプラクティスです。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか？」を参照してください。

暗号化ドメインまたはトラフィックセレクタのカバレッジを確認

使用している暗号化ドメインまたはトラフィックセレクタが送信元ネットワークと送信先ネットワークの両方をカバーしているかを確認します。送信元ネットワークと送信先ネットワークの両方がカバーされていない場合、トラフィックはドロップされます。

仮想プライベートゲートウェイまたはトランジットゲートウェイを指すように Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのルートテーブルを設定する

EC2 インスタンスに関連付けられているルートテーブルには、仮想プライベートゲートウェイもしくはトランジットゲートウェイを指すルートを設定する必要があります。仮想プライベートゲートウェイを使用している場合は、伝播を有効にすることができます。

トランジットゲートウェイに接続された静的 Site-to-Site VPN を使用しているケースもあるでしょう。その場合は、トランジットゲートウェイテーブルで、トランジットゲートウェイ Site-to-Site VPN アタッチメントに静的ルートを必ず追加してください。動的 Site-to-Site VPN の場合は、伝播を有効にしておいてください。アタッチメントがトランジットゲートウェイのルートテーブルに伝播されると、これらのルートがルートテーブルにインストールされます。

セキュリティグループ設定とネットワーク ACL 設定を確認する

インスタンスのセキュリティグループとネットワーク ACL が、アクセスしようとしているポートでの受信トラフィックを許可しているかを確認します。これを確認するには、Amazon Virtual Private Cloud (Amazon VPC) コンソールにログインします。ナビゲーションペインで [セキュリティグループ] または [ネットワーク ACL] を選択し、設定を確認します。

アクティブ/アクティブ構成を使用しているかどうかをチェック

アクティブ/アクティブ構成を使っているケースもあるでしょう。つまり、両方のトンネルが稼働していると同時に、ECMP がオフの仮想プライベートゲートウェイまたはトランジットゲートウェイで Site-to-Site VPN が終端しているケースです。このようなユースケースでは、AWS は AWS からオンプレミスネットワークにトラフィックを送信するための優先的な Site-to-Site VPN トンネルとして 1 つのアクティブなトンネルを割り当てます。Active/Active 構成を使用する場合、カスタマーゲートウェイの仮想トンネルインターフェースで非対称ルーティングが有効になっている必要があります。詳細については、「トンネル B よりもトンネル A を優先するように、Site-to-Site VPN 接続を設定するにはどうすればよいですか?」を参照してください。

その他のトラブルシューティング

使用している Site-to-Site VPN のタイプに応じたトラブルシューティングチェックを行ってください。以下のようなものがあります。

BGP ベースの Site-to-Site VPN の場合は、正しいオンプレミスプレフィックスを必ず通知してください。
静的 Site-to-Site VPN の場合は、Site-to-Site VPN に適した静的ルートを必ず設定しておいてください。Site-to-Site VPN コンソールにログインし、**[静的ルート]**で Site-to-Site VPN のターゲットネットワークを確認します。
静的 Site-to-Site VPN の場合は、カスタマーゲートウェイデバイスをチェックし、送信先の Amazon VPC CIDR を指す静的ルートを必ず設定しておいてください。
高速 Site-to-Site VPN の場合は、NAT-T がオンになっていて、トラフィックが UDP 4500 を使用していることを確認します。これはトラフィックが流れるためにも必要な操作です。NAT-T がオンになっていないと、トンネルは起動するもののトラフィックがトンネルを通過できなくなります。

注: 高速 Site-to-Site VPN 接続を使用する際のルールに注意してください。