Amazon Virtual Private Cloud (Amazon VPC) 内の AWS インフラストラクチャにおいて、AWS Site-to-Site VPN 接続を確立および維持する際に問題が発生しました。
簡単な説明
Amazon VPC ネットワークモデルは、AWS インフラストラクチャへのオープンスタンダードの暗号化された IPsec 仮想プライベートネットワーク (VPN) 接続をサポートします。Amazon VPC への VPN トンネル接続の確立には以下が含まれます。
- VPN トンネルのインターネットキー交換 (IKE) 設定
- VPN トンネルのインターネットプロトコルセキュリティ (IPsec) 設定
- ネットワークアクセスコントロールリスト (NACL) 設定
- Amazon VPC セキュリティグループのルール設定
- Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのネットワークルーティングテーブル設定
- Amazon EC2 インスタンスのファイアウォール設定
- 仮想プライベートゲートウェイまたはトランジットゲートウェイを含む VPN ゲートウェイ設定
Amazon VPC から Site-to-Site VPN 接続を確立または維持する際に問題が発生した場合は、以下を試して問題を解決してください。
解決策
Site-to-Site VPN トンネルを確立できない場合
Site-to-Site VPN トンネルを確立する際の障害を解決するには、障害が発生したフェーズを特定する必要があります。
Site-to-Site VPN トンネルが確立されている場合
両方の VPN トンネルが確立されている場合は、次の手順に従ってください。
- Amazon EC2 コンソールを開き、Amazon VPC のネットワークアクセスコントロールリスト (NACL) を表示します。カスタム NACL は、接続されている VPN がネットワーク接続を確立する能力に影響する可能性があります。詳細については、「ネットワーク ACL の処理」を参照してください。
- 「セキュリティグループルールの更新」の手順に従って、SSH、RDP、および ICMP によるインバウンドアクセスを有効にします。
- Amazon EC2 インスタンスで指定されているルートテーブルが正しいことを確認します。詳細については、「ルートテーブルの使用」を参照してください。
- 両方のトンネルが稼働しているアクティブ/アクティブ構成を使用する場合: アクティブ/アクティブを使用している間、AWS は、AWS からオンプレミスネットワークにトラフィックを送信するための優先的な VPN トンネルとして 1 つのアクティブなトンネルを自動的に割り当てます。アクティブ/アクティブ構成では、カスタマーゲートウェイの仮想トンネルインターフェイスで非対称ルーティングが有効になっている必要があります。詳細については、「トンネル B よりもトンネル A を優先するように、Site-to-Site VPN 接続を設定するにはどうすればよいですか?」を参照してください。
- VPC 内の Amazon EC2 インスタンスへのトラフィックをブロックするファイアウォールがないことを確認します。
- Amazon EC2 Windows インスタンスの場合: コマンドプロンプトを開き、WF.msc コマンドを実行します。
- Amazon EC2 Linux インスタンスの場合: ターミナルを開き、適切な引数を指定して iptables コマンドを実行します。iptables コマンドの詳細については、ターミナルから man iptables コマンドを実行してください。
- カスタマーゲートウェイデバイスがポリシーベースの VPN を実装している場合: AWS ではセキュリティアソシエーションの数が 1 組に制限されていることに注意してください。この 1 組とは、1 つのインバウンドセキュリティアソシエーションと 1 つのアウトバウンドセキュリティアソシエーションのことです。ポリシーベースの VPN を使用する場合、内部ネットワークの送信元アドレスを 0.0.0.0/0 に設定するのがベストプラクティスです。次に、宛先アドレスを VPC サブネットとして設定します (例: 192.168.0.0/16)。これらの設定により、追加のセキュリティアソシエーションを作成することなく、トラフィックが VPC に送信され、VPN を通過します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。
インスタンス接続と VPC 設定が、考えられる根本原因から除外されている場合
Linux のターミナルセッションから traceroute ユーティリティを実行します。または、Windows のコマンドプロンプトから tracert ユーティリティを実行します。traceroute と tracert はどちらも、内部ネットワークから VPN が接続されている VPC 内の Amazon EC2 インスタンスに対して実行する必要があります。
- traceroute の出力が内部ネットワークに関連付けられた IP アドレスで停止する場合は、VPN Edge デバイスへのルーティングパスが正しいことを確認してください。
- tracert の出力が内部ネットワークに関連付けられた IP アドレスで停止する場合は、VPN Edge デバイスへのルーティングパスが正しいことを確認してください。
- 内部ネットワークからのトラフィックがカスタマーゲートウェイデバイスに到達していることを確認したものの、EC2 インスタンスに到達していない場合: VPN カスタマーゲートウェイの VPN 設定、ポリシー、NAT 設定が正しいことを確認します。次に、アップストリームデバイス(存在している場合)がトラフィックフローを許可していることを確認します。
ボーダーゲートウェイプロトコル (BGP) に関する問題のトラブルシューティング
ボーダーゲートウェイプロトコル (BGP) がダウンしている場合は、BGP AS 番号 (ASN) を定義していることを確認してください。ASN は、カスタマーゲートウェイを作成したときに使用した番号です。カスタマーゲートウェイに関連付けられた ASN は、ダウンロード可能な VPN 設定プロパティに含まれています。詳細については、「仮想プライベートゲートウェイ」を参照してください。
ネットワークにすでに割り当てられている既存の ASN を使用できます。ASN が割り当てられていない場合は、64512~65534 の範囲内のプライベート ASN を使用できます。設定された ASN は、AWS で VPN を作成したときに指定した ASN と一致している必要があります。カスタマーゲートウェイのローカルファイアウォール設定で、BGP トラフィックを AWS に渡すことを許可していることを確認してください。ゲートウェイでの接続性のトラブルシューティングについては、「カスタマーゲートウェイデバイスのトラブルシューティング」を参照してください。
関連情報
AWS Site-to-Site VPN とは?
パブリックサブネットとプライベートサブネット、および AWS Site-to-Site VPN アクセスを持つ VPC
プライベートサブネットのみおよび AWS Site-to-Site VPN アクセスを持つ VPC
VPN での BGP 接続の問題をトラブルシューティングするにはどうすればよいですか?