オンプレ側からAWS側からのアクセスはできるのに、逆からアクセスできない考えられる原因

0

今回のAWS使用するにあたり、VPCを構築しまして、オンプレのデータセンタをInternetVPNで接続しました。
オンプレのほうからVPCに構築しましたEC2とはsshやpingなどは接続可能ですが、AWSのVPCのEC2から通信ができくて困っております。
考えられる原因等をご教示頂けますでしょうか。

Tunnel StatusはTunnel1、2ともUPになっております。
サイト間VPNの静的ルートは172.16.0.0/12 (対向側)が設定されていて、
EC2があるサイトのルーティングテーブルは
192.168.64.0/18 local
172.16.0.0/12 vgw-XXXXX
0.0.0.0/0 nat-gateway

EC2に割り当てているセキュリティグループのアウトバウンドはport範囲すべて、送信先0.0.0.0/0 を設定し、適切に設定されていると考えております。
ネットワークACLはいじってません。
対向側のFW(Fortigate)は切り分けのためにVPNのInterFace#1,#2、ともにAWS側からのすべてをアクセスルールを許可をしました。
EC2のほうからオンプレ側にpingやncatを打ってもTimeoutしてしまいます。
pingを打つ先(オンプレ側)はもちろんfirewalldなどは解除してます。

オンプレ側からAWS側からのアクセスはできるのに、逆からアクセスできない考えられる原因をご教示頂けますでしょうか。

nabeo
質問済み 4年前1115ビュー
8回答
0

VPC フローログで拒否されているパケットがないか確認されていますでしょうか?
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html

また、インスタンスのネットワークインターフェースの状態については情報が不足しているため、以下を教えていただきたいです。

EC2 からオンプレへの通信を確認する際、EC2 への接続はどのようにして行っているのでしょうか?
インターネットからパブリック IP (EIP) への接続でしょうか?
パブリック IP (EIP) が割り当てられている場合、それをデタッチすると状況が変化しないでしょうか?

semnil
回答済み 4年前
0

VPC フローログで確認しました。
EC2からオンプレ側へnc を打つとAccept が出ているので、vgw の方に行っていると思います。
ただ、オンプレ側のFW(fortigate)の方まで来ているかわかりません。(FWでブロックされている形跡はない)

>EC2 からオンプレへの通信を確認する際
Ping、netcat で確認してます。

>EC2 への接続はどのようにして行っているのでしょうか?
オンプレデータセンタにあるWindowsサーバのteraterm でSSHでEC2に接続してます。
(これは接続できる)
オンプレ側からはteratermでEC2に割り当てられているIP(192.168.64.123)で接続できるので、間違いなくVPN経由で接続されていると思われます。

>インターネットからパブリック IP (EIP) への接続でしょうか?
EC2にはEIPは割り当てていません。
EC2があるサブネットはプライベートサブネットです。直接外には出さないようにしています。
ルートテーブルは先に書いた通りです。

nabeo
回答済み 4年前
0

EC2からオンプレ側へnc を打つとAccept が出ているので、vgw の方に行っていると思います。
ただ、オンプレ側のFW(fortigate)の方まで来ているかわかりません。(FWでブロックされている形跡はない)

VPC 内の通信に問題がなさそうでしたら Fortigate の設定に問題があるように感じてしまうのですが、どのような確認を実施されていますか?
利用経験はありませんがパケットキャプチャの機能があるようですので、こちらで何か情報を得られないでしょうか。

https://licensecounter.jp/engineer-voice/blog/articles/20190711_3fortinet3fortigate.html

semnil
回答済み 4年前
0

対向側のFortiでパケットキャプチャでパケットを取るとAWS==>オンプレは戻りのパケットはありましたが、AWSから通信するパケットはありませんでした。

サイト間VPNでLocal IPv4 Network Cidr とRemote IPv4 Network Cidr が入っていなかったので入れたところ、繋がりはしたけれども、Tunnel1,2 のStateが[アップ]になったり、[ダウン]になったりして不安定になりました。

仕方なく、サイト間VPNを作りなおりて、振り出しに戻ってしまいました。
もちろん、Local IPv4 Network Cidr とRemote IPv4 Network Cidrは入れている状態です。

nabeo
回答済み 4年前
0

その後の状況はいかがでしょうか。
参考になりそうなページをいくつかピックアップしました。
以下既に確認済みでしたら申し訳ありませんが、留意事項に該当するものがないか確認いただくことや、設定のやり直しが可能でしたらスクリーンショット付きで紹介されている手順を実施してみてはどうでしょうか。

https://dev.classmethod.jp/articles/aws-vpc-vpn-connections-attention/
https://nwengblog.com/awsvpn/
https://qiita.com/miamo/items/922161ea2509fd7bcd26
https://www.ikura-oisii.com/?p=191

semnil
回答済み 4年前
0

今のところ
AWS=>オンプレ側 (安定しているよう見えるが時々切れる)
オンプレ側=>AWS (45分~3時間に一回、1分~30分くらい不定期に切断される)
ような状態です。
AWS(EC2)=>オンプレ側のサーバへはpingをエンドレスに投げていて、オンプレ側からはZabbixでPingやLinuxテンプレートで監視をしてます。

ここに書いてあるサイトは一応、目を通して、試してますが原因がさっぱりわかりません。
AWSはあまりいじるところはないのでfortigate側の設定だと思いますが、progress IPsec phase2でfailureが出ているのが気になります。

nabeo
回答済み 4年前
0

接続先が異なりますが、気になる情報を見つけました。
ファームウェアのバージョンによっては問題が発生する事があるようなのですが、こちらは既に対応済みでしょうか。

https://www.syuheiuda.com/?p=4217

semnil
回答済み 4年前
0

FortiOSは 5.6.9でした。

スタティックルートのプライオリティ値をトンネル1を2で、10、20にしていたのを10、10にしたら少しは安定するようになりました。
ただ、一日3回くらいは切れることはあります。

ステータスの最終更新日が「アップ」なんだけどステータスの最終更新日が頻繁に日付時間は変わっているみたいです。
AWSのVPNってこんなもんなのでしょうか?

nabeo
回答済み 4年前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン

関連するコンテンツ