仮想プライベートゲートウェイで終端する AWS Site-to-Site VPN 接続を使用しているのに、VPC に接続できないのはなぜですか?

解決方法

• AWS マネジメントコンソールを使用して、Site-to-Site VPN 接続のトンネルステータスが [稼働] であることを確認します。接続が [停止] である場合は、トラブルシューティングの手順に従って、フェーズ 1の障害とフェーズ 2 の障害による接続のダウンタイムを解決してください。

• ローカル (オンプレミス) とリモート (AWS) のネットワーク CIDR をカバーするのに十分な帯域幅が、カスタマーゲートウェイデバイスに設定されている暗号化ドメインにあることを確認します。Site-to-Site VPN はルートベースの仮想プライベートネットワーク (VPN) ソリューションであるため、デフォルトでは、ローカルネットワークとリモートネットワークの CIDR は any/any (0.0.0.0/0) に設定されます。AWS では、インバウンドとアウトバウンドの両方のセキュリティアソシエーション (SA) について、SA の数を 1 組に制限しています。そのため、複数のネットワークがトンネルを介して通信するように定義されている場合、複数のセキュリティアソシエーションがネゴシエートされます。この設定により、ネットワーク接続障害が発生する可能性があります。

• アクティブ/アクティブ設定 (両方のトンネルが稼働している) では、カスタマーゲートウェイデバイスで非対称ルーティングがサポートされ、有効になっていることを確認してください。非対称ルーティングを有効にしていない場合は、AWS が送信トンネル (AWS からカスタマーゲートウェイへのトラフィック) をランダムに選択します。動的 VPN の場合は、AS PATH プリペンディングまたは MED BGP 属性を使用して、VPC からカスタマーゲートウェイデバイスへのリターントラフィックに 1つのトンネルを使用します。

• 静的 VPN の場合は、リモートのオンプレミスネットワークルートが VPN 接続で定義されていることを確認します。また、カスタマーゲートウェイデバイスで VPC CIDR に対応するリバースルートが作成されていることを確認してください。このリバースルートは、仮想トンネルインターフェイス（VTI）を介してトラフィックをルーティングするために使用されます。

• 動的 VPN の場合、カスタマーゲートウェイデバイスが AWS ピアにローカルルートをアドバタイズしていることを確認します。また、カスタマーゲートウェイデバイスが VPC ネットワーク CIDR を受信していることも確認してください。

• VPC ルートテーブルでルーティングを確認します。VGW の ルート伝播 を有効にして VPN ルートを VPC ルートテーブルに自動的に伝播するのがベストプラクティスです。または、ルート伝播が無効になっている場合は、VGW 経由でルーティングする静的ルートをオンプレミスネットワークに追加できます。

• サブネットネットワーク ACL とターゲットリソースセキュリティグループの両方でトラフィックが許可されていることを確認します。詳細については、「Control traffic to your AWS resources using security groups」および「Controlling traffic to subnets using network ACLs」を参照してください。

• ターゲットのホストまたはインスタンスのファイアウォールでトラフィック (インバウンドとアウトバウンド) が許可されていることを確認します。Windows OS では、Windows ファイアウォールがトラフィックを許可していることを確認します。Linux システムの場合は、IP テーブル、ファイアウォール、およびその他の同様のホストファイアウォールが対応するトラフィックを許可していることを確認します。

• ターゲットサーバーで実行されているアプリケーションが、必要なポートとプロトコル (TCP/UDP) でリッスンしているかどうかを確認します。以下のコマンドを実行します。

  Windows CMD:

  > netstat -a

  Linux ターミナル:

  $ sudo netstat -plantu

関連情報

How to determine which program uses or blocks specific Transmission Control Protocol ports in Windows Server 2003 (Windows マニュアル)