AWS Direct Connect と VPN フェイルオーバーの問題をトラブルシューティングしたいと考えています。
解決方法
以下の使用している VPN に応じて、AWS Direct Connect と VPN フェイルオーバーの問題をトラブルシューティングします:
- 仮想ゲートウェイベースの VPN
- AWS Transit Gateway ベースの VPN
仮想ゲートウェイベースの VPN
AWS からオンプレミスへのトラフィックでは、動的または静的な VPN 接続よりも Direct Connect が優先されます。次の理由により、トラフィックの切り替えに失敗する可能性があります:
BGP ベースの VPN
- カスタマーゲートウェイは、VPN トンネル上の BGP セッションからのオンプレミスプレフィックスをアドバタイズしません。
- カスタマーゲートウェイは、VPN BGP セッションでアドバタイズされたプレフィックスをフィルタリングします。
- ファイアウォールポリシーでは、AWS とオンプレミスの間のインバウンドまたはアウトバウンドのトラフィックは許可されません。
- 両方のトンネルが稼働している (アクティブ/アクティブ) VPN 接続の場合、カスタマーゲートウェイが非対称ルーティングをサポートしているかどうかを確認してください。同じプレフィックスをアドバタイズする場合、AWS は出力トンネルをランダムに選択します。詳細については、「トンネル B よりもトンネル A を優先するように、Site-to-Site VPN 接続を設定するにはどうすればよいですか?」を参照してください。
- AWS ネットワークの静的ルートは、BGP ルートを使用するのではなく、Direct Connect のピアゲートウェイを指します。
静的 VPN
- VPN 接続には、VPN 接続ルート配下に追加されたオンプレミスネットワーク用の静的ルートはありません。
- カスタマーゲートウェイには、トンネルインターフェイスを指す AWS CIDR の静的ルートはありません。AWS ネットワークに静的ルートがある場合は、それが正しいトンネルインターフェイスを指していることを確認してください。ポリシーベースの VPN を使用している場合は、ポリシーが AWS とオンプレミスネットワークと一致していることを確認してください。
- ファイアウォールポリシーでは、AWS とオンプレミスの間のインバウンドまたはアウトバウンドのトラフィックは許可されません。
- 両方のトンネルが稼働している (アクティブ/アクティブ) VPN 接続の場合、カスタマーゲートウェイが非対称ルーティングをサポートしているかどうかを確認してください。同じプレフィックスをアドバタイズする場合、AWS は出力トンネルをランダムに選択します。詳細については、「トンネル B よりもトンネル A を優先するように、Site-to-Site VPN 接続を設定するにはどうすればよいですか?」を参照してください。
仮想プライベートゲートウェイ
仮想プライベートゲートウェイが終端となる Direct Connect のバックアップとして VPN を使用する場合は、次の点を確認してください:
- 動的 VPN の場合は、VPN と Direct Connect で同じプレフィックスをアドバタイズします。AWS は Direct Connect を優先します。オンプレミスデバイスの場合は、AWS への出力パスとして Direct Connect が優先されていることを確認してください。
- 静的 VPN の場合は、カスタマーゲートウェイが Direct Connect 経由でアドバタイズするルートと同じ静的ルートをオンプレミスネットワークに使用します。仮想プライベートゲートウェイでは、オンプレミスへの出力パスとして Direct Connect が優先されます。Amazon Virtual Private Cloud (Amazon VPC) の CIDR のルートが、具体性が低いことを確認してください。カスタマーゲートウェイの静的ルートは BGP ルートよりもメトリクスが小さくなります。
注: 仮想プライベートゲートウェイベースの VPN の場合は、100 と 200 の MED 値が送信されます。受信したルートにインポートフィルタが適用されていない場合、カスタマーゲートウェイは MED 値が 0 であるため Direct Connect を優先します。
Transit Gateway ベースの VPN
Transit Gateway に関連付けられた Direct Connect は、Direct Connect ゲートウェイを利用し、最大 200 のプレフィックスを許可します。動的 VPN の場合、Transit Gateway は VPN 接続に関連付けられた Transit Gateway のルートテーブルに基づいてルートをアドバタイズします。また、カスタマーゲートウェイは VPN 接続を介して特定のプレフィックスを受信し、VPN トンネルから AWS プレフィックスをルーティングすることを優先します。
次の理由により、トラフィックの切り替えに失敗する可能性があります:
BGP ベースの VPN
- カスタマーゲートウェイは、VPN トンネル上の BGP セッションからのオンプレミスプレフィックスをアドバタイズしません。
- カスタマーゲートウェイは、VPN BGP セッションでアドバタイズされたプレフィックスをフィルタリングします。
- Transit Gateway のルートテーブルはトラフィックソースに関連付けられます。
- ファイアウォールポリシーでは、AWS とオンプレミスの間のインバウンドまたはアウトバウンドのトラフィックは許可されません。
- 両方のトンネルが稼働している (アクティブ/アクティブ) VPN 接続の場合、カスタマーゲートウェイが非対称ルーティングをサポートしているかどうかを確認してください。同じプレフィックスをアドバタイズする場合、AWS は出力トンネルをランダムに選択します。詳細については、「トンネル B よりもトンネル A を優先するように、Site-to-Site VPN 接続を設定するにはどうすればよいですか?」を参照してください。
- AWS ネットワークの静的ルートは、BGP ルートを利用するのではなく、Direct Connect のピアを指します。
静的 VPN
- VPN 接続には、VPN 接続アタッチメントを指す Transit Gateway ルートテーブル配下に追加されるオンプレミスネットワークの静的ルートはありません。
- カスタマーゲートウェイには、トンネルインターフェイスを指す AWS CIDR の静的ルートはありません。AWS ネットワークに静的ルートがある場合は、それが正しいトンネルインターフェイスを指していることを確認してください。ポリシーベースの VPN を使用している場合は、ポリシーが AWS とオンプレミスのネットワークと一致していることを確認してください。
- ファイアウォールポリシーでは、AWS とオンプレミスの間のインバウンドまたはアウトバウンドのトラフィックは許可されません。
- 高速 VPN の場合は、NAT-T がオンになっていることを確認してください。詳細については、「Accelerated VPN に関する問題をトラブルシューティングするにはどうすればよいですか?」を参照してください
- 両方のトンネルが稼働している (アクティブ/アクティブ) VPN 接続の場合、カスタマーゲートウェイが非対称ルーティングをサポートしているかどうかを確認してください。同じプレフィックスをアドバタイズする場合、AWS は出力トンネルをランダムに選択します。詳細については、「トンネル B よりもトンネル A を優先するように、Site-to-Site VPN 接続を設定するにはどうすればよいですか?」を参照してください。
Transit Gateway
Transit Gateway が終端となる Direct Connect のバックアップとして VPN を使用する場合は、次の点を確認してください:
- 動的 VPN の場合は、VPN と Direct Connect で同じプレフィックスをアドバタイズします。AWS は Direct Connect を優先します。オンプレミスデバイスの場合は、VPN 接続で学習した特定のルートをフィルタリングします。カスタマーゲートウェイから出力されるトラフィックが VPN 接続よりも Direct Connect を優先するようにしてください。
- AWS 側の静的 VPN の場合は、VPN アタッチメントを指す Transit Gateway 上のオンプレミスネットワークに、具体性が低い静的ルートを追加します。Direct Connect からの伝播ルートよりも静的ルートが優先されます (カスタマーゲートウェイに向かう出力トラフィックは VPN が優先されます)。オンプレミス側では、Amazon VPC の CIDR のルートが、具体性が低いことを確認してください。静的ルートのメトリクスは BGP ルートよりも小さくなります。
注: Transit Gateway ベースの VPN 接続では、両方の VPN トンネルで MED 値 100 が送信されます。受信したルートにインポートフィルタが適用されていない場合、カスタマーゲートウェイは MED 値が 0 であるため Direct Connect を優先します。
関連情報
トランジットゲートウェイで Direct Connect のバックアップとして VPN を作成する場合、非対称ルーティングの問題を解決するにはどうすればよいですか?
Transit Gateway から Direct Connect と VPN フェイルオーバーを設定するにはどうすればよいですか?
プライマリ接続の Direct Connect ゲートウェイにバックアップ VPN 接続をしています。トラフィックがバックアップ接続を優先するのはなぜですか?