Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

オンプレ側からAWS側からのアクセスはできるのに、逆からアクセスできない考えられる原因

0

今回のAWS使用するにあたり、VPCを構築しまして、オンプレのデータセンタをInternetVPNで接続しました。
オンプレのほうからVPCに構築しましたEC2とはsshやpingなどは接続可能ですが、AWSのVPCのEC2から通信ができくて困っております。
考えられる原因等をご教示頂けますでしょうか。

Tunnel StatusはTunnel1、2ともUPになっております。
サイト間VPNの静的ルートは172.16.0.0/12 (対向側)が設定されていて、
EC2があるサイトのルーティングテーブルは
192.168.64.0/18 local
172.16.0.0/12 vgw-XXXXX
0.0.0.0/0 nat-gateway

EC2に割り当てているセキュリティグループのアウトバウンドはport範囲すべて、送信先0.0.0.0/0 を設定し、適切に設定されていると考えております。
ネットワークACLはいじってません。
対向側のFW(Fortigate)は切り分けのためにVPNのInterFace#1,#2、ともにAWS側からのすべてをアクセスルールを許可をしました。
EC2のほうからオンプレ側にpingやncatを打ってもTimeoutしてしまいます。
pingを打つ先(オンプレ側)はもちろんfirewalldなどは解除してます。

オンプレ側からAWS側からのアクセスはできるのに、逆からアクセスできない考えられる原因をご教示頂けますでしょうか。

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
Amazon VPC
Sprache
日本語
nabeo
gefragt vor 4 Jahren1019 Aufrufe
8 Antworten
0

VPC フローログで拒否されているパケットがないか確認されていますでしょうか?
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html

また、インスタンスのネットワークインターフェースの状態については情報が不足しているため、以下を教えていただきたいです。

EC2 からオンプレへの通信を確認する際、EC2 への接続はどのようにして行っているのでしょうか?
インターネットからパブリック IP (EIP) への接続でしょうか?
パブリック IP (EIP) が割り当てられている場合、それをデタッチすると状況が変化しないでしょうか?

semnil
beantwortet vor 4 Jahren
0

VPC フローログで確認しました。
EC2からオンプレ側へnc を打つとAccept が出ているので、vgw の方に行っていると思います。
ただ、オンプレ側のFW(fortigate)の方まで来ているかわかりません。(FWでブロックされている形跡はない)

>EC2 からオンプレへの通信を確認する際
Ping、netcat で確認してます。

>EC2 への接続はどのようにして行っているのでしょうか?
オンプレデータセンタにあるWindowsサーバのteraterm でSSHでEC2に接続してます。
(これは接続できる)
オンプレ側からはteratermでEC2に割り当てられているIP(192.168.64.123)で接続できるので、間違いなくVPN経由で接続されていると思われます。

>インターネットからパブリック IP (EIP) への接続でしょうか?
EC2にはEIPは割り当てていません。
EC2があるサブネットはプライベートサブネットです。直接外には出さないようにしています。
ルートテーブルは先に書いた通りです。

nabeo
beantwortet vor 4 Jahren
0

EC2からオンプレ側へnc を打つとAccept が出ているので、vgw の方に行っていると思います。
ただ、オンプレ側のFW(fortigate)の方まで来ているかわかりません。(FWでブロックされている形跡はない)

VPC 内の通信に問題がなさそうでしたら Fortigate の設定に問題があるように感じてしまうのですが、どのような確認を実施されていますか?
利用経験はありませんがパケットキャプチャの機能があるようですので、こちらで何か情報を得られないでしょうか。

https://licensecounter.jp/engineer-voice/blog/articles/20190711_3fortinet3fortigate.html

semnil
beantwortet vor 4 Jahren
0

対向側のFortiでパケットキャプチャでパケットを取るとAWS==>オンプレは戻りのパケットはありましたが、AWSから通信するパケットはありませんでした。

サイト間VPNでLocal IPv4 Network Cidr とRemote IPv4 Network Cidr が入っていなかったので入れたところ、繋がりはしたけれども、Tunnel1,2 のStateが[アップ]になったり、[ダウン]になったりして不安定になりました。

仕方なく、サイト間VPNを作りなおりて、振り出しに戻ってしまいました。
もちろん、Local IPv4 Network Cidr とRemote IPv4 Network Cidrは入れている状態です。

nabeo
beantwortet vor 4 Jahren
0

その後の状況はいかがでしょうか。
参考になりそうなページをいくつかピックアップしました。
以下既に確認済みでしたら申し訳ありませんが、留意事項に該当するものがないか確認いただくことや、設定のやり直しが可能でしたらスクリーンショット付きで紹介されている手順を実施してみてはどうでしょうか。

https://dev.classmethod.jp/articles/aws-vpc-vpn-connections-attention/
https://nwengblog.com/awsvpn/
https://qiita.com/miamo/items/922161ea2509fd7bcd26
https://www.ikura-oisii.com/?p=191

semnil
beantwortet vor 4 Jahren
0

今のところ
AWS=>オンプレ側 (安定しているよう見えるが時々切れる)
オンプレ側=>AWS (45分~3時間に一回、1分~30分くらい不定期に切断される)
ような状態です。
AWS(EC2)=>オンプレ側のサーバへはpingをエンドレスに投げていて、オンプレ側からはZabbixでPingやLinuxテンプレートで監視をしてます。

ここに書いてあるサイトは一応、目を通して、試してますが原因がさっぱりわかりません。
AWSはあまりいじるところはないのでfortigate側の設定だと思いますが、progress IPsec phase2でfailureが出ているのが気になります。

nabeo
beantwortet vor 4 Jahren
0

接続先が異なりますが、気になる情報を見つけました。
ファームウェアのバージョンによっては問題が発生する事があるようなのですが、こちらは既に対応済みでしょうか。

https://www.syuheiuda.com/?p=4217

semnil
beantwortet vor 4 Jahren
0

FortiOSは 5.6.9でした。

スタティックルートのプライオリティ値をトンネル1を2で、10、20にしていたのを10、10にしたら少しは安定するようになりました。
ただ、一日3回くらいは切れることはあります。

ステータスの最終更新日が「アップ」なんだけどステータスの最終更新日が頻繁に日付時間は変わっているみたいです。
AWSのVPNってこんなもんなのでしょうか?

nabeo
beantwortet vor 4 Jahren

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt