VPN トンネルから Amazon VPC への接続に関するトラブルシューティング方法を教えてください。

所要時間2分

Amazon Virtual Private Cloud (Amazon VPC) 内の AWS インフラストラクチャにおいて、AWS Site-to-Site VPN 接続を確立および維持する際に問題が発生しました。

簡単な説明

Amazon VPC ネットワークモデルは、AWS インフラストラクチャへのオープンスタンダードの暗号化された IPsec 仮想プライベートネットワーク (VPN) 接続をサポートします。Amazon VPC への VPN トンネル接続の確立には以下が含まれます。

VPN トンネルのインターネットキー交換 (IKE) 設定
VPN トンネルのインターネットプロトコルセキュリティ (IPsec) 設定
ネットワークアクセスコントロールリスト (NACL) 設定
Amazon VPC セキュリティグループのルール設定
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのネットワークルーティングテーブル設定
Amazon EC2 インスタンスのファイアウォール設定
仮想プライベートゲートウェイまたはトランジットゲートウェイを含む VPN ゲートウェイ設定

Amazon VPC から Site-to-Site VPN 接続を確立または維持する際に問題が発生した場合は、以下を試して問題を解決してください。

解決策

Site-to-Site VPN トンネルを確立できない場合

Site-to-Site VPN トンネルを確立する際の障害を解決するには、障害が発生したフェーズを特定する必要があります。

インターネットキー交換 (IKE) フェーズで失敗している場合は、「IKE (VPN トンネルのフェーズ 1) が Amazon VPC で失敗するのはなぜですか?」の手順に従います。
インターネットプロトコルセキュリティ (IPsec/フェーズ 2) フェーズが失敗した場合は、「AWS Site-to-Site VPN の IPsec/フェーズ 2 が接続を確立できないのはなぜですか?」の手順に従います。

Site-to-Site VPN トンネルが確立されている場合

両方の VPN トンネルが確立されている場合は、次の手順に従ってください。

Amazon EC2 コンソールを開き、Amazon VPC のネットワークアクセスコントロールリスト (NACL) を表示します。カスタム NACL は、接続されている VPN がネットワーク接続を確立する能力に影響する可能性があります。詳細については、「ネットワーク ACL の処理」を参照してください。
「セキュリティグループルールの更新」の手順に従って、SSH、RDP、および ICMP によるインバウンドアクセスを有効にします。
Amazon EC2 インスタンスで指定されているルートテーブルが正しいことを確認します。詳細については、「ルートテーブルの使用」を参照してください。
両方のトンネルが稼働しているアクティブ/アクティブ構成を使用する場合: アクティブ/アクティブを使用している間、AWS は、AWS からオンプレミスネットワークにトラフィックを送信するための優先的な VPN トンネルとして 1 つのアクティブなトンネルを自動的に割り当てます。アクティブ/アクティブ構成では、カスタマーゲートウェイの仮想トンネルインターフェイスで非対称ルーティングが有効になっている必要があります。詳細については、「トンネル B よりもトンネル A を優先するように、Site-to-Site VPN 接続を設定するにはどうすればよいですか?」を参照してください。
VPC 内の Amazon EC2 インスタンスへのトラフィックをブロックするファイアウォールがないことを確認します。

Amazon EC2 Windows インスタンスの場合: コマンドプロンプトを開き、WF.msc コマンドを実行します。
Amazon EC2 Linux インスタンスの場合: ターミナルを開き、適切な引数を指定して iptables コマンドを実行します。iptables コマンドの詳細については、ターミナルから man iptables コマンドを実行してください。
カスタマーゲートウェイデバイスがポリシーベースの VPN を実装している場合: AWS ではセキュリティアソシエーションの数が 1 組に制限されていることに注意してください。この 1 組とは、1 つのインバウンドセキュリティアソシエーションと 1 つのアウトバウンドセキュリティアソシエーションのことです。ポリシーベースの VPN を使用する場合、内部ネットワークの送信元アドレスを 0.0.0.0/0 に設定するのがベストプラクティスです。次に、宛先アドレスを VPC サブネットとして設定します (例: 192.168.0.0/16)。これらの設定により、追加のセキュリティアソシエーションを作成することなく、トラフィックが VPC に送信され、VPN を通過します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。

インスタンス接続と VPC 設定が、考えられる根本原因から除外されている場合

Linux のターミナルセッションから traceroute ユーティリティを実行します。または、Windows のコマンドプロンプトから tracert ユーティリティを実行します。traceroute と tracert はどちらも、内部ネットワークから VPN が接続されている VPC 内の Amazon EC2 インスタンスに対して実行する必要があります。

traceroute の出力が内部ネットワークに関連付けられた IP アドレスで停止する場合は、VPN Edge デバイスへのルーティングパスが正しいことを確認してください。
tracert の出力が内部ネットワークに関連付けられた IP アドレスで停止する場合は、VPN Edge デバイスへのルーティングパスが正しいことを確認してください。
内部ネットワークからのトラフィックがカスタマーゲートウェイデバイスに到達していることを確認したものの、EC2 インスタンスに到達していない場合: VPN カスタマーゲートウェイの VPN 設定、ポリシー、NAT 設定が正しいことを確認します。次に、アップストリームデバイス（存在している場合）がトラフィックフローを許可していることを確認します。

ボーダーゲートウェイプロトコル (BGP) に関する問題のトラブルシューティング

ボーダーゲートウェイプロトコル (BGP) がダウンしている場合は、BGP AS 番号 (ASN) を定義していることを確認してください。ASN は、カスタマーゲートウェイを作成したときに使用した番号です。カスタマーゲートウェイに関連付けられた ASN は、ダウンロード可能な VPN 設定プロパティに含まれています。詳細については、「仮想プライベートゲートウェイ」を参照してください。

ネットワークにすでに割り当てられている既存の ASN を使用できます。ASN が割り当てられていない場合は、64512～65534 の範囲内のプライベート ASN を使用できます。設定された ASN は、AWS で VPN を作成したときに指定した ASN と一致している必要があります。カスタマーゲートウェイのローカルファイアウォール設定で、BGP トラフィックを AWS に渡すことを許可していることを確認してください。ゲートウェイでの接続性のトラブルシューティングについては、「カスタマーゲートウェイデバイスのトラブルシューティング」を参照してください。