カスタマーゲートウェイデバイスの AWS VPN トンネルがアイドル状態になったり、ダウンしたりする際のトラブルシューティング方法を教えてください。

所要時間1分

0

カスタマーゲートウェイデバイスの AWS 仮想プライベートネットワーク (VPN) トンネルで、アイドル状態、不安定、接続の途切れという問題が発生しています。

解決策

カスタマーゲートウェイデバイスで AWS VPN トンネルがアイドル状態または不安定になる一般的な理由は次のとおりです。

インターネットプロトコルセキュリティ (IPSec) によるデッドピア検出 (DPD) モニタリングの問題
VPN トンネルの低トラフィックまたはベンダー固有のカスタマーゲートウェイ設定の問題によるアイドルタイムアウト
フェーズ 1 もしくはフェーズ 2 のキー再生成に関する問題
カスタマーゲートウェイデバイス上でのポリシーベースの VPN 接続が原因の接続が途切れ途切れになるという問題

DPD 設定をチェックする

3 回の連続的な DPD に応答しなかった VPN ピアは停止しているものと見なされるので、トンネルが閉じられます。

カスタマーゲートウェイデバイスで DPD を有効にする場合は、デバイスが次の条件を満たしている必要があります。

DPD のメッセージを受信して応答するように設定しておく。
AWS ピアからの DPD メッセージに応答できないほどビジー状態ではない。
IPS 機能がファイアウォールで有効になっているため、DPD メッセージをレート制限していない。
インターネットトランジットの問題がない。

アイドルタイムアウトのトラブルシューティング

VPN トンネルのトラフィックが少ないためにアイドルタイムアウトが発生している場合は、以下を実行してください。

ローカルネットワークと仮想プライベートクラウド (VPC) の間に双方向のトラフィックが恒常的にあるかを確認します。必要な場合は、5 秒ごとに仮想プライベートクラウド (VPC) のインスタンスに ICMP リクエストを送信するホストを作成します。
デバイスのベンダーからの情報を使用して、VPN デバイスのアイドルタイムアウト設定を見直します。ベンダー固有の VPN アイドル時間中に VPN トンネルを通過するトラフィックがない場合、IPsec セッションは終了します。特定のデバイスについては、ベンダーのマニュアルを確認してください。

フェーズ 1 またはフェーズ 2 のキー再生成に関する問題のトラブルシューティング

VPN トンネルのフェーズ 1 もしくはフェーズ 2 の不一致が原因でキー再生成の問題が発生している場合は、以下を実行してください。

カスタマーゲートウェイのフェーズ 1 またはフェーズ 2 の [ライフタイム] フィールドを確認しますこれらのフィールドは AWS パラメータと一致する必要があります。VPN 接続のカスタマーゲートウェイでは必要がない VPN トンネルオプションのパラメータは、オフにすることをお勧めします。
カスタマーゲートウェイデバイスで Perfect Forward Secrecy (PFS) が有効になっていることを確認します。PFS は、AWS 側のピアではデフォルトで有効になっています。
カスタマーゲートウェイの UDP ポート 500 [IKE]、4500 [NAT-T]、および IP 50 [ESP] へのインバウンドトラフィックが AWS エンドポイント側のキー再生成を許可しているかどうかを確認します。

注: IKEv2 の [ライフタイムバリュー] フィールドは、ピアとは無関係です。そのため、ライフタイムバリューを低く設定すると、ピアは常にキー再生成を開始します。

詳細については、「Tunnel options for your Site-to-Site VPN connection」と「Your customer gateway device」を参照してください。

接続が途切れ途切れになる問題のトラブルシューティング

接続が途切れる問題は、カスタマーゲートウェイデバイスでのポリシーベースの設定が原因である可能性があります。また、別の原因として、複数の暗号化ドメインまたはプロキシ ID を使用している場合も挙げられます。

VPC にアクセスできる暗号化ドメイン (ネットワーク) の数を制限する。VPN のカスタマーゲートウェイの背後に複数の暗号化ドメインがある場合は、1 つのセキュリティアソシエーションを使用するように設定します。カスタマーゲートウェイに複数のセキュリティアソシエーションが存在するかどうかをチェックするには、「Troubleshooting your customer gateway device」を参照してください。
VPC Classless Inter-Domain Routing (CIDR) の送信先を持つカスタマーゲートウェイ (0.0.0.0/0) の背後にあるすべてのネットワークがVPN トンネルを通過できるように、カスタマーゲートウェイデバイスを設定する。この設定では、単一のセキュリティアソシエーションを使用するため、トンネルの安定性が向上します。また、ポリシーで定義されていないネットワークによる VPC へのアクセスも許可されます。

詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。

関連情報

カスタマーゲートウェイと仮想プライベートゲートウェイの間の VPN トンネルは動作していますが、トラフィックを通過することができません。どうすればよいですか?

トピック

ネットワークとコンテンツ配信

タグ

AWS Virtual Private Network (VPN)

言語

日本語

AWS公式更新しました 1年前

コメントはありません

関連するコンテンツ

AWS Site-to-Site VPNのIKE ネゴシエーションのライフタイムについて
承認された回答
tnkk
質問済み 10ヶ月前
Client VPN 経由で EC2インスタンスのパブリックIPにアクセスしたい
承認された回答
naomaro
質問済み 9ヶ月前
AWS VPN Client で TLSハンドシェイクエラー
承認された回答
naomaro
質問済み 9ヶ月前
VPNの設定をしたところ、AWS VPN　Clientで接続しようとして　TLSハンドシェイクエラーが出ています。
rePost-User-0591976
質問済み 10ヶ月前
AWS Batchの並列度と処理時間の関係性について
yamamura
質問済み 15日前
AWS Site-to-Site VPN が接続を確立できないのはなぜですか?
AWS公式更新しました 1年前
Client VPN エンドポイントまたは AWS Client VPN 上の接続を削除または終了するにはどうすればよいですか?
AWS公式更新しました 2年前
AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?
AWS公式更新しました 1年前
AWS Site-to-Site VPN を使用して証明書ベースの VPN を作成する方法を教えてください。
AWS公式更新しました 9ヶ月前
アベイラビリティーゾーン (AZ) の移行&インスタンスのアップグレードガイド
エキスパート
Sumikawa_M
公開済み 2ヶ月前