Ben が、
セキュリティアソシエーションの不一致
に関するエラーを解決します
Amazon Virtual Private Cloud (Amazon VPC) の AWS VPN エンドポイントに接続するために、ポリシーベースの仮想プライベートネットワーク (VPN) を使用しています。私は、パケット損失、断続的な接続または切断される接続、および一般的に不安定なネットワークなどの問題を経験しています。これらの問題の解決方法を教えてください。
ポリシーベースの VPN 接続を使用して AWS VPN エンドポイントに接続すると、AWS はセキュリティアソシエーションの数を単一のペアに制限します。単一のペアには、1 つの着信セキュリティアソシエーションと 1 つの発信セキュリティアソシエーションが含まれます。
複数のセキュリティアソシエーションを持つポリシーベースの VPN は、異なるセキュリティアソシエーションで新しい接続が開始されたときに既存の接続を削除します。断続的なパケット損失やその他の接続障害を示すように見えることがあります。ただし、この動作は、新しい VPN 接続が既存の VPN 接続を中断したことを示します。
VPC にアクセスできる暗号化ドメイン (ネットワーク) の数を制限します。VPN の カスタマーゲートウェイの背後に 3 つ以上の暗号化ドメインがある場合は、1 つのセキュリティアソシエーションを使用するように設定します。カスタマーゲートウェイに複数のセキュリティアソシエーションが存在するかどうかを確認するには、デバイス固有の手順について「カスタマーゲートウェイのトラブルシューティングガイド」を参照してください。
送信先が VPC CIDR のカスタマーゲートウェイ (0.0.0.0/0) の背後にあるネットワークが VPN トンネルを通過するように、カスタマーゲートウェイを設定します。この設定では、トンネルの安定性が向上する単一のセキュリティアソシエーションが使用されます。また、ポリシーで定義されていないネットワークでも VPC にアクセスできます。
可能であれば、カスタマーゲートウェイで、VPC への不要なトラフィックをブロックするトラフィックフィルターを実装します。セキュリティグループを設定して、インスタンスに到達できるトラフィックを指定します。また、ネットワークアクセスコントロールリスト (ネットワーク ACL) を設定して、不要なサブネットへのトラフィックをブロックします。