トランジットゲートウェイで終端する AWS Site-to-Site VPN を使用しているのに、なぜ VPC に接続できないのですか?

解決策

• AWS Site-to-Site VPN 接続のトンネルが AWS 側とカスタマーゲートウェイデバイスの両方で稼働していることを確認します。接続がダウンしている場合は、 IKE/フェーズ 1 と IKE/フェーズ 2 の障害のトラブルシューティング手順に従ってトンネルを確立してください。

• カスタマーゲートウェイデバイスに設定されている暗号化ドメインが、ローカル (オンプレミス) とリモート (AWS) のネットワーク CIDR をカバーするのに十分な幅があるかを確認してください。Site-to-Site VPN はルートベースのソリューションです。つまり、デフォルトでは、ローカルネットワークとリモートネットワークの CIDR は AWS 側で任意/任意 (0.0.0.0/0 <==> 0.0.0.0/0) に設定されています。ただし、カスタマーゲートウェイ側でポリシーベースの Site-to-Site VPN を使用している場合は、目的のトラフィックをカバーする特定の暗号化ドメインを使用してください。

  注:AWS では、インバウンド SA とアウトバウンド SA の両方で、セキュリティアソシエーション (SA) の数を 1 組に制限しています。ポリシーベースの Site-to-Site VPN を使用していて、サイト間 VPN トンネルを介してアクセスするネットワークが複数ある場合は、暗号化ドメインを要約する必要があります。暗号化ドメインが要約されていない場合、カスタマーゲートウェイは複数の SA を提案するため、接続に失敗する可能性があります。

• カスタマーゲートウェイが NAT デバイスの背後にあるかどうかを確認してください。そうでない場合は、Site-to-Site VPN エンドポイントからカスタマーゲートウェイへ ESP-IP プロトコル 50 が許可されているかを確認してください。カスタマーゲートウェイが NAT デバイスの背後にある場合は、NAT-T がオンになっているかどうかを確認します。NAT-T がオンになっている場合は、NAT デバイスとカスタマーゲートウェイデバイスで UDP ポート 4500 が許可されているかを確認します。これは ESP トラフィックがフローするための要件です。

• 高速 Site-to-Site VPN を使用している場合は、カスタマーゲートウェイ側で NAT-T がオンになっていることを確認してください。

• カスタマーゲートウェイデバイスのファイアウォールポリシーが、オンプレミスネットワークから AWS へのアウトバウンドトラフィックを許可しているかどうかを確認してください。次に、ポリシーが AWS からオンプレミスネットワークへのインバウンドトラフィックを許可していることを確認します。

• 静的 Site-to-Site VPN の場合、ソース VPC アタッチメントに関連付けられているトランジットゲートウェイルートテーブルで、オンプレミスネットワーク CIDR の静的ルートを定義します。

• 動的 Site-to-Site VPN の場合、カスタマーゲートウェイデバイスがサイト間 VPN エンドポイントへのオンプレミスルートをアドバタイズしていることを確認してください。次に、カスタマーゲートウェイデバイスが Site-to-Site VPN エンドポイントから VPC CIDR のルートを受信しているかを確認します。デバイスのルートテーブルに、AWS ピアの仮想トンネルインターフェイスを指す VPC CIDR のルートがあるかを確認します。



• ソース VPC アタッチメントに関連付けられている TGW ルートテーブルでは、Site-to-Site VPN アタッチメントからの伝播を有効にすることができます。その後、オンプレミスルートは、ソース VPC アタッチメントに関連付けられた TGW ルートテーブルに自動で追加されます。

• 静的 Site-to-Site VPN の場合は、ルートベースの VPN 実装を使用している可能性があります。この設定では、カスタマーゲートウェイデバイスに、仮想トンネルインターフェイスを指す AWS ネットワークへの静的ルートがあるかを確認します。または、ポリシーベースの VPN 実装を使用している場合は、オンプレミスネットワークと AWS ネットワークに一致するポリシーが設定されているかを確認してください。

• 静的 Site-to-Site VPN の場合、AWS の 2 つのトンネルがアクティブ / アクティブに設定されていること、つまり両方のトンネルが稼働していることを確認します。カスタマーゲートウェイデバイスで非対称ルーティングがサポートされているかを確認してください。非対称ルーティングがサポートされていない場合、AWS は出力トンネルをランダムに選択します。

• 動的 Site-to-Site VPN の場合、VPN ECMP サポートがトランジットゲートウェイで有効になっているかどうかを確認してください。次に、カスタマーゲートウェイが同じプレフィックスと BGP 属性をアドバタイズするアクティブ / アクティブ設定になっているかどうかを確認します。アクティブ/アクティブセットアップで VPN ECMP サポートが有効になっている場合、AWS は両方のトンネルでトラフィックの負荷分散を行います。このため、カスタマーゲートウェイデバイスでは非対称ルーティングがサポートされ、アクティブ化されている必要があります。VPN ECMP サポートがオフの場合、AWS は出力トンネルをランダムに選択するため、ルーティングは非対称になります。

• VPC ルートテーブルでルーティングを確認してください。仮想プライベートゲートウェイを使用すると、ルート伝達を有効にして、Site-to-Site VPN ルートを VPC ルートテーブルに自動的に伝播できます。ただし、トランジットゲートウェイを使用する場合は、トランジットゲートウェイを指すオンプレミス CIDR の静的ルートを定義する必要があります。

• トランジットゲートウェイの VPC アタッチメントにサブネットが関連付けられていることを確認します。このサブネットは、宛先リソースが VPC 内にあるアベイラビリティーゾーン (AZ) をカバーしている必要があります。

• ターゲットインスタンスまたはリソースに関連付けられているセキュリティグループでトラフィックが許可されていることを確認します。

• ネットワークアクセスコントロールリスト (ネットワーク ACL) がインバウンドトラフィックとアウトバウンドトラフィックを許可していることを確認します。

  **注:**ネットワーク ACL ルールはさまざまな方法で適用されます。これは、インスタンスとトランジットゲートウェイの VPC アタッチメント Elastic Network Interface が同じサブネット にあるか別のサブネットにあるかによって異なります。

• ターゲットホストの OS レベルのファイアウォールがインバウンドトラフィックとアウトバウンドトラフィックの両方を許可しているかどうかを確認してください。

• ターゲットサーバーで実行されているアプリケーションが、指定されたポートとプロトコルでリッスンしているかどうかを確認します。以下のコマンドを実行します。

  Windows PowerShell またはコマンドプロンプト:

  netstat -a

  Linux ターミナル:

  netstat -plantu

関連情報

トンネル B よりもトンネル A を優先するように Site-to-Site VPN 接続を設定します

Amazon CloudWatch を使用した VPN トンネルのモニタリング