カスタマーゲートウェイと仮想プライベートゲートウェイの間の VPN トンネルは動作していますが、トラフィックを通過させることができません。どうすればよいですか?

解決方法

この問題をトラブルシューティングするには、Amazon VPC、仮想プライベートゲートウェイ、カスタマーゲートウェイが正しく設定されていることを確認します。

Amazon VPC と仮想プライベートゲートウェイの設定を確認

1. VPN 接続に関連付けられた仮想プライベートゲートウェイが Amazon VPC にアタッチされていることを確認します。
2. サブネットが重複すると、VPN トンネルを介したルーティングの問題が発生する可能性があるので、オンプレミスと VPC プライベートネットワークが重複していないことを確認します。
3. 静的ルートベースの VPN 接続の場合は、VPN 接続の [静的ルート] タブをチェックして、オンプレミスのプライベートネットワークのルートが設定されていることを確認します。
4. BGP ベースの VPN 接続の場合は、BGP セッションが確立されていることを確認します。また、VPN Connection の [トンネルの詳細] タブをチェックして、仮想プライベートゲートウェイがカスタマーゲートウェイから BGP ルートを受信していることを確認します。
5. オンプレミスのプライベートネットワークへのルートを含めるように VPC ルートテーブルを設定します。Amazon VPC のインスタンスがオンプレミスネットワークに到達できるように、それらを仮想プライベートゲートウェイに誘導します。これらのルートは、VPC ルートテーブルに手動で追加することも、ルート伝播を使用して自動的に伝播することもできます。
6. VPC セキュリティグループとアクセスコントロールリスト (ACL) が、インバウンドトラフィックとアウトバウンドトラフィックの両方でオンプレミスのサブネットとの間で必要なトラフィック (ICMP、RDP、SSH) を許可するように設定されていることを確認します。
7. 異なるアベイラビリティーゾーンにある複数の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスでパケットキャプチャを実行し、オンプレミスのホストからのトラフィックが Amazon VPC に到達していることを確認します。

カスタマーゲートウェイを確認

1. VPN デバイスの IPSec 設定がカスタマーゲートウェイの要件を満たしていることを確認します。
2. カスタマーゲートウェイからのパケットが暗号化され、VPN トンネル経由で送信されていることを確認します。
3. ポリシーベースの設定の場合は、VPN 接続の [詳細] をチェックして、トラフィックセレクタが正しく設定されていることを確認します。(ローカル IPv4 ネットワーク Cidr = カスタマーゲートウェイ CIDR 範囲、リモート IPv4 ネットワーク Cidr = AWS 側の CIDR 範囲)
4. ポリシーベースの設定の場合は、暗号化ポリシーの数を 1 つのポリシーに制限してください。 注意: AWS では、VPN トンネルごとに、フェーズ 2 セキュリティアソシエーション (SA) のペアを 1 つだけサポートしています。
5. VPN トンネルがルートベースである場合は、VPC CIDR へのルートが正しく設定されていることを確認します。
6. トンネル経由で送信されるトラフィックが、VPN 接続のカスタマーゲートウェイ IP アドレスに変換されないことを確認します。VPN トラフィックの NAT に特定の要件がある場合は、カスタマーゲートウェイの IP アドレスとは異なる IP アドレスを使用して設定します。
7. カスタマーゲートウェイが NAT デバイスの背後にない場合は、NAT トラバーサルをオフにすることがベストプラクティスです。
8. インバウンドまたはアウトバウンドの IPSec トラフィックを妨害するファイアウォールポリシーまたは ACL がないことを確認します。
9. カスタマーゲートウェイデバイスの WAN インターフェイスで ESP トラフィックのパケットキャプチャを実行して、暗号化されたパケットを送受信していることを確認します。

関連情報

カスタマーゲートウェイデバイス