Amazon VPC への VPN トンネル接続をトラブルシューティングする方法を教えてください。

所要時間2分
0

Amazon Virtual Private Cloud (Amazon VPC) 内の AWS インフラストラクチャへの AWS Site-to-Site VPN 接続の確立と維持に問題があります。

簡単な説明

Amazon VPC ネットワークモデルは、AWS インフラストラクチャへのオープンスタンダードの暗号化された IPsec 仮想プライベートネットワーク (VPN) 接続をサポートします。Amazon VPC への VPN トンネル接続の確立には以下が含まれます。

  • VPN トンネルの Internet Key Exchange (IKE) 設定
  • VPN トンネルの Internet Protocol security (IPsec) 設定
  • ネットワークアクセス制御リスト (NACL) の設定
  • Amazon VPC セキュリティグループのルール設定
  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのネットワークルーティングテーブル設定
  • Amazon EC2 インスタンスのファイアウォール設定
  • 仮想プライベートゲートウェイまたはトランジットゲートウェイを含む VPN ゲートウェイ設定

Amazon VPC からサイト間 VPN 接続を確立または維持する際に問題が発生した場合は、以下を試して問題を解決してください。

解決策

Site-to-Site VPN トンネルを確立できない場合

Site-to-Site VPN トンネルを確立する際の障害を解決するには、障害が発生したフェーズを特定する必要があります。

Site-to-Site VPN トンネルが確立されている場合

両方の VPN トンネルが確立されている場合は、次の手順に従ってください。

  1. Amazon EC2 コンソールを開き、Amazon VPC のネットワークアクセス制御リスト (NACL) を表示します。カスタム NACL は、接続されている VPN がネットワーク接続を確立する能力に影響する可能性があります。詳細については、「ネットワーク ACL の処理」を参照してください。
  2. 「セキュリティグループルールを更新する」の手順に従って、インバウンド SSHRDP、および ICMP アクセスを有効にします。
  3. Amazon EC2 インスタンスで指定されているルートテーブルが正しいことを確認します。詳細については、「ルートテーブルの操作」を参照してください。
  4. 両方のトンネルが稼働しているアクティブ/アクティブ構成を使用する場合: アクティブ/アクティブを使用している間、AWS は AWS からオンプレミスネットワークにトラフィックを送信するための優先的な VPN トンネルとして 1 つのアクティブなトンネルを自動的に割り当てます。アクティブ/アクティブ構成では、カスタマーゲートウェイの仮想トンネルインターフェイスで非対称ルーティングが有効になっている必要があります。詳細については、「トンネル B よりもトンネル A を優先するように、Site-to-Site VPN 接続を設定するにはどうすればよいですか?」を参照してください。
  5. VPC 内の Amazon EC2 インスタンスへのトラフィックをブロックするファイアウォールがないことを確認します。
  • Amazon EC2 Windows インスタンスの場合: コマンドプロンプトを開き、WF.msc コマンドを実行します。
  • Amazon EC2 Linux インスタンスの場合: ターミナルを開き、適切な引数を指定して iptables コマンドを実行します。iptables コマンドの詳細については、ターミナルから man iptables コマンドを実行してください。
  • カスタマーゲートウェイデバイスがポリシーベースの VPN を実装している場合: AWS ではセキュリティアソシエーションの数が 1 組に制限されていることに注意してください。このペアとは、インバウンドセキュリティアソシエーションとアウトバウンドセキュリティアソシエーションのことです。ポリシーベースの VPN を使用する場合、内部ネットワークの送信元アドレスを 0.0.0.0/0 に設定するのがベストプラクティスです。次に、宛先アドレスを VPC サブネットとして設定します (例: 192.168.0.0/16)。これらの設定により、追加のセキュリティアソシエーションを作成することなく、トラフィックが VPC に送信され、VPN を通過します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。

インスタンス接続と VPC 構成が根本原因として考えられる可能性を除外する場合

Linux のターミナルセッションから traceroute ユーティリティを実行します。または、Windows のコマンドプロンプトから tracert ユーティリティを実行します。traceroutetracert はどちらも、内部ネットワークから VPN が接続されている VPC 内の Amazon EC2 インスタンスに対して実行する必要があります。

  • traceroute の出力が内部ネットワークに関連付けられた IP アドレスで停止する場合は、VPN Edge デバイスへのルーティングパスが正しいことを確認してください。
  • tracert の出力が内部ネットワークに関連付けられた IP アドレスで停止する場合は、VPN Edge デバイスへのルーティングパスが正しいことを確認してください。
  • 内部ネットワークからのトラフィックがカスタマーゲートウェイデバイスに到達していることを確認したものの、EC2 インスタンスに到達していない場合: VPN カスタマーゲートウェイの VPN 構成、ポリシー、NAT 設定が正しいことを確認します。次に、アップストリームデバイス(存在している場合)がトラフィックフローを許可していることを確認します。

ボーダーゲートウェイプロトコル (BGP) に関する問題のトラブルシューティング

ボーダーゲートウェイプロトコル (BGP) がダウンしている場合は、BGP AS 番号 (ASN) を定義していることを確認してください。ASN は、カスタマーゲートウェイを作成したときに使用した番号です。カスタマーゲートウェイに関連付けられた ASN は、ダウンロード可能な VPN 構成プロパティに含まれています。詳細については、「仮想プライベートゲートウェイ」を参照してください。

ネットワークにすでに割り当てられている既存の ASN を使用できます。ASN が割り当てられていない場合は、64512 ~ 65534 の範囲内のプライベート ASN を使用できます。構成された ASN は、AWS で VPN を作成したときに指定した ASN と一致している必要があります。カスタマーゲートウェイのローカルファイアウォール構成で、BGP トラフィックを AWS に渡すことを許可していることを確認してください。ゲートウェイ接続のトラブルシューティングの詳細については、「カスタマーゲートウェイデバイスのトラブルシューティング」を参照してください。


関連情報

AWS Site-to-Site VPN とは

パブリックサブネットとプライベートサブネットと AWS Site-to-Site VPN アクセスを備えた VPC

プライベートサブネットのみの VPC と AWS Site-to-Site VPN アクセス

VPN 経由の BGP 接続の問題のトラブルシューティング方法

AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ