AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?

最終更新日: 2021 年 3 月 22 日

Amazon Virtual Private Cloud (Amazon VPC) の AWS VPN エンドポイントに接続するために、ポリシーベースの仮想プライベートネットワーク (VPN) を使用しています。パケット損失、断続的な接続または切断される接続、および一般的に不安定なネットワークなどの問題が発生しています。これらの問題の解決方法を教えてください。

簡単な説明

ポリシーベースの VPN 接続を使用して AWS VPN エンドポイントに接続すると、AWS はセキュリティアソシエーションの数を単一のペアに制限します。単一のペアには、1 つの着信セキュリティアソシエーションと 1 つの発信セキュリティアソシエーションが含まれます。

複数のセキュリティアソシエーションを持つポリシーベースの VPN は、異なるセキュリティアソシエーションを備えた新しい接続が開始したときに既存の接続を削除します。この動作は、新しい VPN 接続が既存の VPN 接続を中断したことを示します。

解決方法

VPC にアクセスできる暗号化ドメイン (ネットワーク) の数を制限します。VPN のカスタマーゲートウェイの背後に 2 つ以上の暗号化ドメインがある場合は、1 つのセキュリティアソシエーションを使用するように設定します。カスタマーゲートウェイに複数のセキュリティアソシエーションが存在するかどうかを確認するには、「カスタマーゲートウェイデバイスのトラブルシューティング」をご参照ください。

送信先が VPC CIDR のカスタマーゲートウェイ (0.0.0.0/0) の背後にあるネットワークが VPN トンネルを通過するように、カスタマーゲートウェイを設定します。この設定では、トンネルの安定性が向上する単一のセキュリティアソシエーションが使用されます。また、ポリシーで定義されていないネットワークでも VPC にアクセスできます。

可能であれば、カスタマーゲートウェイで、VPC への不要なトラフィックをブロックするトラフィックフィルターを実装します。セキュリティグループを設定して、インスタンスに到達できるトラフィックを指定します。また、ネットワークアクセスコントロールリスト (ネットワーク ACL) を設定して、不要なサブネットへのトラフィックをブロックします。