カスタマーゲートウェイデバイスの AWS VPN トンネルがアイドル状態になったり、ダウンした際のトラブルシューティング方法を知りたいです。

所要時間1分
0

カスタマーゲートウェイデバイスの AWS Virtual Private Network (VPN) トンネルで、アイドル状態、不安定、接続が途切れ途切れになるなどの問題が発生しています。

解決方法

カスタマーゲートウェイデバイスで AWS VPN トンネルがアイドル状態または不安定になる一般的な理由は次のとおりです。

  • インターネットプロトコルセキュリティ (IPSec) によるデッドピア検出 (DPD) 用監視で問題が発生している
  • VPN トンネルの低トラフィックまたはベンダー固有のカスタマーゲートウェイ設定の問題によるアイドルタイムアウト
  • フェーズ 1 もしくはフェーズ 2 のキー再生成に関する問題が発生している
  • カスタマーゲートウェイデバイス上でのポリシーベースの VPN 接続が原因で、接続が途切れ途切れになるという問題が発生している

DPD 設定をチェック

3 回の連続的な DPD に応答しなかった VPN ピアは停止しているものと見なされるので、トンネルが閉じられます。

カスタマーゲートウェイデバイスで DPD を有効にする場合は、デバイスが次の条件を満たしている必要があります。

  • DPD のメッセージを受信して応答するように設定しておく。
  • AWS ピアからの DPD メッセージに応答できないほどビジー状態ではない。
  • IPS 機能がファイアウォールで有効になっているため、DPD メッセージをレート制限していない。
  • インターネットトランジットの問題がない。

アイドルタイムアウトのトラブルシューティング

VPN トンネルのトラフィックが少ないためにアイドルタイムアウトが発生している場合は、以下をチェックしてください。

  • ローカルネットワークと仮想プライベートクラウド (VPC) の間に双方向のトラフィックが恒常的にあるかの確認。ない場合は、5 秒ごとに仮想プライベートクラウド (VPC) のインスタンスに ICMP リクエストを送信するホストを作成します。
  • VPN デバイスのベンダーの情報を使用して、デバイスのアイドルタイムアウト設定の確認。ベンダー固有の VPN アイドル時間中に VPN トンネルを通過するトラフィックがない場合、IPsec セッションは終了します。特定のデバイスについては、ベンダーのマニュアルを確認してください

フェーズ 1 またはフェーズ 2 のキー再生成に関する問題のトラブルシューティング

VPN トンネルのフェーズ 1 もしくはフェーズ 2 の不一致が原因でキー再生成の問題が発生している場合は、以下をチェックしてください。

  • カスタマーゲートウェイのフェーズ 1 またはフェーズ 2 の [ライフタイムバリュー] フィールドをチェックする。これらのフィールドが AWS パラメータと一致することを確認してください。VPN 接続のカスタマーゲートウェイでは必要がない VPN トンネルオプションのパラメータは、オフにするのがベストプラクティスです。
  • カスタマーゲートウェイデバイスで前方秘匿性 (PFS) が有効になっていることをチェックする。PFS は、AWS 側のピアではデフォルトで有効になっています。
  • カスタマーゲートウェイの UDP ポート 500 [IKE]、4500 [NAT-T]、および IP 50 [ESP] へのインバウンドトラフィックが AWS エンドポイント側のキー再生成を許可しているかどうかをチェックする。

: IKEv2 の [ライフタイムバリュー] フィールドは、ピアとは無関係です。そのため、ライフタイムバリューを低く設定すると、ピアは常にキー再生成を開始します。

詳細については、「Site-to-Site VPN接続のためのトンネルオプション」と「顧客のゲートウェイデバイス」を参照してください。

接続が途切れ途切れになる問題のトラブルシューティング

接続が途切れる問題は、カスタマーゲートウェイデバイスでのポリシーベースの設定が原因である可能性があります。また、別の原因として、複数の暗号化ドメインまたはプロキシ ID を使用している場合も挙げられます。

  • VPC にアクセスできる暗号化ドメイン (ネットワーク) の数を制限する。VPN のカスタマーゲートウェイの背後に複数の暗号化ドメインがある場合は、1 つのセキュリティアソシエーションを使用するように設定します。カスタマーゲートウェイに複数のセキュリティアソシエーションが存在するかどうかをチェックするには、「顧客のゲートウェイデバイスのトラブルシューティング」を参照してください。
  • VPC Classless Inter-Domain Routing (CIDR) の送信先を持つカスタマーゲートウェイ (0.0.0.0/0) の背後にあるすべてのネットワークがVPN トンネルを通過できるように、カスタマーゲートウェイデバイスを設定する。この設定では、単一のセキュリティアソシエーションを使用するため、トンネルの安定性が向上します。また、ポリシーで定義されていないネットワークによる VPC へのアクセスも許可されます。

詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。

関連情報

カスタマーゲートウェイと仮想プライベートゲートウェイの間の VPN トンネルは動作していますが、トラフィックを通過させることができません。どうすればよいですか?

AWS公式
AWS公式更新しました 9ヶ月前
コメントはありません

関連するコンテンツ