Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
カスタマーゲートウェイデバイスで Site-to-Site VPN トンネルの非アクティブ化、トンネルのフラッピング、トンネルのダウンが発生した場合のトラブルシューティング方法を教えてください。
カスタマーゲートウェイデバイスの AWS Site-to-Site VPN トンネル接続に関する問題をトラブルシューティングしたいです。
解決策
カスタマーゲートウェイデバイスでの次の一般的なエラーにより、トンネルの非アクティブ化、不安定化、フラッピングが発生したり、Site-to-Site VPN のトンネルがダウンしたりする可能性があります。
- インターネットキー交換 (IKE) /フェーズ 1 またはインターネットプロトコルセキュリティ (IPsec) /フェーズ 2 での障害を原因とする、トンネルのダウン。
- IPSec デッドピア検出 (DPD) の監視に関する問題。
- Site-to-Site VPN トンネルのトラフィックが少ないか、ベンダー固有のカスタマーゲートウェイ設定の問題によるアイドルタイムアウト。
- Site-to-Site VPN トンネルのフェーズ 1 またはフェーズ 2 でのキー再生成に関する問題。
- カスタマーゲートウェイデバイスでポリシーベースの Site-to-Site VPN 接続を原因とする、断続的な接続。
- 静的ルーティングを原因とする断続的な接続。
- カスタマーゲートウェイデバイスが正しく設定されていない。
トンネルアクティビティログを使用して Site-to-Site VPN のトンネルを監視し、トンネルの停止やその他のトンネルの問題に関する情報を収集します。次に、以下のアクションを実行します。
トンネルがダウンする原因となる IKE/フェーズ 1 または IPsec/フェーズ 2 の障害のトラブルシューティング
Site-to-Site VPN 接続のトンネルの状態が UP であることを確認します。接続の状態が DOWN である場合は、IKE/フェーズ 1 および IPsec/フェーズ 2 の障害をトラブルシューティングします。
DPD の監視に関する問題のトラブルシューティング
DPD でタイムアウトが発生すると、ログに次のメッセージが表示されます。 "ピアが応答しません - ピアの停止状態を宣言します。" デフォルトでは、Site-to-Site VPN は 10 秒ごとに "DPD R_U_THERE" というメッセージをカスタマーゲートウェイに送信します。応答を受けないメッセージが 3 回続くと、Site-to-SiteVPN はピアが停止していると見なします。その後、Site-to-Site VPN は接続を閉じます。
カスタマーゲートウェイデバイスで DPD が有効になっている場合は、次の点を確認してください。
- カスタマーゲートウェイデバイスは、DPD メッセージを受信して応答するように設定されている。
- カスタマーゲートウェイデバイスは、AWS ピアからの DPD メッセージに応答できる。
- ファイアウォールで侵入防止システム機能が有効になっている場合は、カスタマーゲートウェイデバイスがレート制限を行わず、DPD メッセージを許可していることを確認します。
- カスタマーゲートウェイデバイスには、安定した信頼性の高いインターネット接続がある。
DPD タイムアウトが発生してもサイト間 VPN がアクションを実行しない場合は、DPD タイムアウトアクションを none に変更します。
アイドルタイムアウトのトラブルシューティング
ローカルネットワークと仮想プライベートクラウド (VPC) の間に双方向のトラフィックが恒常的にあることを確認します。トラフィックを確認するために、5 秒ごとに VPC のインスタンスにインターネットコントロールメッセージプロトコル (ICMP) リクエストを送信するホストを作成します。
デバイスのベンダーが提供した情報を使用して、VPN デバイスのアイドルタイムアウト設定をレビューします。トラフィックがベンダー固有の VPN アイドル期間に Site-to-Site VPN トンネルを通過しない場合、IPsec セッションは終了します。
フェーズ 1 またはフェーズ 2 のキー再生成に関する問題のトラブルシューティング
カスタマーゲートウェイのフェーズ 1 またはフェーズ 2 の [有効期限] フィールドを確認します。これらのフィールドは AWS のパラメータと一致する必要があります。必要な Site-to-Site VPN トンネルオプションのみを選択するのがベストプラクティスです。
カスタマーゲートウェイデバイスで Perfect Forward Secrecy (PFS) を有効にする必要があります。PFS は、AWS 側ではデフォルトで有効になっています。
注: IKEv2 の有効期限値フィールドは、ピアから独立したものです。有効期限値を低く設定した場合、ピアはキー再生成を開始します。1 つのピアでキー再生成を開始するように設定するのがベストプラクティスです。
ポリシーベースの VPN での接続に関する問題のトラブルシューティング
カスタマーゲートウェイデバイスが、Site-to-Site VPN 接続の IPv4 および IPv6 での CIDR 範囲をカバーしていることを確認してください。デフォルトの範囲は 0.0.0.0/0 です。
カスタマーゲートウェイ側の Site-to-Site VPN がポリシーベースの場合は、目的のトラフィックに対応する暗号化ドメインを指定します。
注: Site-to-Site VPN は、1 つの暗号化ドメインのみをサポートします。VPN に複数のネットワークが含まれている場合は、カスタマーゲートウェイデバイス上の暗号化ドメインを集約することで、セキュリティアソシエーションを 1 組だけ維持します。
静的ルーティングでの接続に関する問題のトラブルシューティング
重要: 静的ルーティングではなく、動的ルーティングを使用することがベストプラクティスです。詳細については、「AWS Site-to-Site VPN での静的ルーティングと動的ルーティング」を参照してください。
静的ルーティングを使用しており、アクティブ/アクティブ設定で構成されている AWS Site-to-Site VPN トンネルでは、接続の問題が発生する可能性があります。カスタマーゲートウェイデバイスが動的ルーティングをサポートしていることを確認してください。カスタマーゲートウェイデバイスが動的ルーティングをサポートしていない場合は、非対称ルーティングを避けるように静的 VPN を構成します。
カスタマーゲートウェイの構成による接続の問題
次の手順を実行します。
- カスタマーゲートウェイが NAT デバイスの後ろにあることを確認します。または、Site-to-Site VPN 接続でアクセラレーションが有効になっていることを確認します。次に、カスタマーゲートウェイデバイスで NAT トラバーサル (NAT-T) がアクティブであることを確認します。ネットワークと VPN エンドポイント間において、UDP パケットがポート 4500 で通過できることを確認します。
- カスタマーゲートウェイが NAT デバイスの後ろに配置されていない場合は、UDP パケットがネットワークと VPN エンドポイント間をポート 50 で通過できることを確認します。
- カスタマーゲートウェイデバイスのファイアウォールルールで、オンプレミスネットワークと AWS 間のトラフィックが許可されていることを確認します。
- 特定のカスタマーゲートウェイデバイスに関連する接続の問題をトラブルシューティングします。
関連情報
カスタマーゲートウェイと仮想プライベートゲートウェイの間の VPN トンネルは動作していますが、トラフィックを通過することができません。対応策を教えてください
トンネル B よりもトンネル A を優先するように、Site-to-Site VPN 接続を設定する方法を教えてください
関連するコンテンツ
- 質問済み 1ヶ月前
- AWS公式更新しました 5ヶ月前
- AWS公式更新しました 3年前
- AWS公式更新しました 2年前
