スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

VPN トンネルが Amazon VPC に接続できない場合のトラブルシューティング方法を教えてください。

所要時間2分
0

AWS Site-to-Site VPN (Site-to-Site VPN) が Amazon Virtual Private Cloud (Amazon VPC) との接続を確立、維持できません。

簡単な説明

Amazon VPC ネットワークモデルは、AWS インフラストラクチャに対する、オープンスタンダードである暗号化インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートします。Amazon VPC への VPN トンネル接続を確立するには、次のリソース構成を確認します。

  • VPN トンネルの Internet Key Exchange (IKE)
  • VPN トンネルの IPsec
  • ネットワークアクセスコントロールリスト (ネットワーク ACL)
  • Amazon VPC セキュリティグループのルール
  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのネットワークルーティングテーブル
  • Amazon EC2 インスタンスのファイアウォール
  • 仮想プライベートゲートウェイと Transit ゲートウェイの VPN ゲートウェイ

解決策

AWS VPN が Site-to-Site VPN トンネルを確立できることを確認する

IKE が接続を確立できることを確認します。さらに、IPSec が接続を確立できることも確認します

ルーティングに関する一般的な問題のトラブルシューティング

次の手順を実行します。

  1. Amazon VPC コンソールを開きます。
  2. ネットワーク ACL を参照し、必要なトラフィックを許可していることを確認します。
    注: カスタムネットワーク ACL が原因で、アタッチされた VPN のネットワーク接続が影響を受ける可能性があります
  3. インバウンドルールにおいて、送信元および送信先の CIDR を含め、特定の送信先とエフェメラルソースのポート (1024 ~ 65535) を許可する設定を行います。
  4. Amazon EC2 インスタンスでルートテーブルを正しく指定したことを確認します。
  5. アクティブ/アクティブ構成を使用する場合は、仮想トンネルインターフェイスで非対称ルーティングを有効にする必要があります。詳細については、「Site-to-Site VPN 接続において、トンネル A をトンネル B よりも優先する設定を行う方法を教えてください」を参照してください。
  6. VPC 内の Amazon EC2 インスタンスへのトラフィックを、ファイアウォールがブロックしていないことを確認してください。使用するオペレーティングシステム (OS) に応じて次のコマンドを実行します。
    Windows:
    コマンドプロンプトを開き、WF.msc コマンドを実行します。詳細については、Microsoft のサイトで「Windows Firewall with Advanced Security を開く」を参照してください。
    Linux:
    ターミナルを開き、iptables コマンドを実行します。詳細については、Red Hat のウェブサイトで「Sysadmin ツール: iptables の使用方法」を参照してください。
  7. ポリシーベース VPN を使用する場合は、内部ネットワークのソースアドレスを 0.0.0.0/0 に設定します。次に、送信先アドレスを VPC サブネットとして設定します。設定手順の詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続に関する問題をトラブルシューティングする方法を教えてください」を参照してください。

ネットワークからのトラフィックが EC2 インスタンスに到達できることを確認する

次の手順を実行します。

  1. ターミナルを開きます。
  2. 次のコマンドを実行し、インターネット制御メッセージプロトコル (ICMP) が接続可能であることを確認します。 
    ping example_IP
    注: example_IP をサーバーの IP アドレスに置き換えてください。
    セキュリティグループとネットワーク ACL に ICMP ルールを追加します。
  3. 使用する OS に応じて、内部ネットワークから VPN に接続する VPC 内のインスタンスに対し、次のいずれかのユーティリティを実行します。
    Linux: 
    traceroute example-destination-IP-address
    Windows: 
    tracert example-destination-IP-address
    traceroute または tracert の出力が、内部ネットワークに関連付けられた IP アドレスから先に進まない場合は、ルーティングパスが正しく指定されていることを確認してください。詳細については、「tracerout を参照してトラブルシューティングし、AWS Direct Connect の問題を解決する方法を教えてください」を参照してください。

カスタマーゲートウェイデバイスに関する問題のトラブルシューティング

内部ネットワークからのトラフィックがカスタマーゲートウェイデバイスに到達しているものの、インスタンスには到達しない場合は、次の手順を実行します。

  • VPN のカスタマーゲートウェイデバイスにおいて、VPN 構成、ポリシー、およびネットワークアドレス変換設定が正しく設定されていることを確認します。
  • アップストリームのデバイスがトラフィックを許可していることを確認します。

注: カスタマーゲートウェイデバイスの構成やその他の設定を確認する方法については、使用するカスタマーゲートウェイデバイスのベンダーのドキュメントを参照してください。

BGP に関する問題のトラブルシューティング

ボーダーゲートウェイプロトコル (BGP) 接続の問題をトラブルシューティングする方法については、「VPN 経由の接続に関する問題をトラブルシューティングする方法を教えてください」を参照してください。

関連情報

AWS Site-to-Site VPN での、単一および複数の VPN 接続例

AWS Site-to-Site VPN の仕組み

トピック
Networking & Content Delivery
タグ
AWS Virtual Private Network (VPN)
言語
日本語
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ