ファイアウォールにポリシーベースの VPN を実装しており、AWS VPN エンドポイントに断続的な接続の問題が発生しています。たとえば、パケットの損失、断続的な接続、切断される接続、一般的に不安定なネットワークといった問題です。
ポリシーベースの VPN 設定を使用していると、AWS ではセキュリティアソシエーションの数は 1 ペア(1 インバウンドと 1 アウトバウンド)に制限されます。別のセキュリティアソシエーションを使用して VPN トンネル接続を開始すると、複数のセキュリティアソシエーションで設定されているポリシーベースの VPN では、既存の VPN トンネル接続がドロップします。この問題は、断続的なパケット損失または接続失敗と見なされます。セキュリティアソシエーションを使用する新しい VPN 接続が、別のセキュリティアソシエーションで確立された VPN トンネル接続に割り込むためです。
この問題を解決するには、以下のいずれかの方法を使用します。
- Virtual Private Cloud (VPC) へのアクセスを許可されている暗号化ドメイン(ネットワーク)の数を制限し、それらのドメインを統合する。カスタマーゲートウェイの背後に 3 つ以上の暗号化ドメイン(ネットワーク)がある場合は、それらのドメインを統合して 1 つのセキュリティアソシエーションを使用するようにします。
- カスタマーゲートウェイの背後から VPC CIDR への「任意の」ネットワーク(0.0.0.0/0)を許可するポリシーを設定する。基本的にこれにより、AWS VPC のターゲットへとつながるカスタマーゲートウェイの背後にある任意のネットワークがトンネルを通過できるようなり、1 つのセキュリティアソシエーションのみが作成されます。その結果、トンネルの安定性が向上し、ポリシーで定義されていない以降のネットワークは AWS VPC にアクセスできるようになります。これは一般的に、この問題を解決する最善の方法としてお勧めしています。
注
可能であれば、カスタマーゲートウェイで、VPC への不要なトラフィックをブロックするトラフィックフィルタを実装します。また、インスタンスに達することができるトラフィックを指定するようにセキュリティグループを設定し、サブネットに不要なトラフィックをブロックするようにネットワークアクセスコントロールリスト(NACL)を設定できます。
AWS, VPN, VPC, トンネルでのドロップ, 接続, パケット損失, 不安定なトンネル, トラブルシューティング
