AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?

所要時間1分
0

Amazon Virtual Private Cloud (Amazon VPC) の AWS Virtual Private Network (AWS VPN) エンドポイントに接続するために、ポリシーベースの仮想プライベートネットワーク (VPN) を使用しています。パケット損失、断続的な接続または接続の切断、一般的に不安定なネットワークなどの問題が発生しており、これらの問題をトラブルシューティングしたいと考えています。

簡単な説明

ポリシーベースの VPN 接続を使用して AWS VPN エンドポイントに接続すると、AWS はセキュリティアソシエーションの数を単一のペアに制限します。シングルペアには、1 つのインバウンドセキュリティアソシエーションと 1 つのアウトバウンドセキュリティアソシエーションが含まれます。

複数のセキュリティアソシエーションのペアを持つポリシーベースの VPN は、異なるセキュリティアソシエーションを備えた新しい接続が開始したときに既存の接続を削除します。この動作は、新しい VPN 接続が既存の VPN 接続を中断したことを示します。

解決方法

VPC にアクセスできる暗号化ドメイン (ネットワーク) の数を制限します。VPN のカスタマーゲートウェイの背後に複数の暗号化ドメインがある場合は、1 つのセキュリティアソシエーションを使用するように設定します。カスタマーゲートウェイに複数のセキュリティの関連付けが存在するかどうかを確認するには、「カスタマーゲートウェイデバイスのトラブルシューティング」を参照してください。

送信先が VPC Classless Inter-Domain Routing (CIDR) のカスタマーゲートウェイ (0.0.0.0/0) の背後にあるネットワークが VPN トンネルを通過するように、カスタマーゲートウェイを設定します。この設定では単一のセキュリティの関連付けが使用されます。これにより、トンネルの安定性が向上します。この設定では、ポリシーで定義されていないネットワークも VPC にアクセスできるようになります。

可能であれば、カスタマーゲートウェイで、VPC への不要なトラフィックをブロックするトラフィックフィルターを実装します。セキュリティグループを設定して、インスタンスに到達できるトラフィックを指定します。また、ネットワークアクセスコントロールリスト (ネットワーク ACL) を設定して、不要なサブネットへのトラフィックをブロックします。


関連情報

IKE (VPN トンネルのフェーズ 1) が Amazon VPC で失敗するのはなぜですか?

Why is IPsec/Phase 2 for AWS Site-to-Site VPN failing to establish a connection? (AWS Site-to-Site VPN の IPsec/Phase 2 が接続を確立できないのはなぜですか?)

AWS公式
AWS公式更新しました 2年前
コメントはありません

関連するコンテンツ