IKEv2 を使用して AWS Virtual Private Network (AWS VPN) 接続を作成しました。VPN トンネルは機能していましたが、キー更新中にダウンし、復旧しません。これを解決するにはどうすればよいですか?
解決方法
キー更新中の IKEv2 トンネルの安定性の問題をトラブルシューティングするには、次の手順を実行します。
- フェーズ 2 設定のカスタマーゲートウェイで [Perfect Forward Secrecy (PFS)] がアクティブ化されていることを確認します。
- カスタマーゲートウェイがポリシーベース VPN として設定されている場合は、特定のトラフィックセレクターを使用するように VPN 接続を再設定する必要があるかどうかを判断します。デフォルトでは、AWS VPN エンドポイントはルートベースの VPN として設定されます。AWS は、トラフィックセレクターについて 0.0.0.0/0, 0.0.0.0/0 を使用して、子セキュリティアソシエーション (SA) キー更新を開始します。一部のカスタマーゲートウェイデバイスは、AWS によって開始されたフェーズ 2 キー更新を受け付けません。これは、AWS VPN エンドポイントのトラフィックセレクターが、カスタマーゲートウェイデバイスに設定されているトラフィックセレクターと一致しないためです。この場合、カスタマーゲートウェイと一致する特定のトラフィックセレクターを使用するように AWS VPN 接続を設定できます。
特定のトラフィックセレクターを使用するように新しい VPN 接続を設定するには、次の手順を実行します。
1. [Local IPv4 Network CIDR] (ローカル IPv4 ネットワーク CIDR) で、オンプレミス (お客様側) の CIDR 範囲を指定します。
2. [Remote IPv4 Network CIDR] (リモート IPv4 ネットワーク CIDR) で、AWS 側の CIDR 範囲を指定します。
特定のトラフィックセレクターを使用するように既存の VPN 接続を設定するには、次の手順を実行します。
1. AWS 側でトラフィックセレクターを変更する必要がある AWS VPN 接続を選択します。
2. [Actions] (アクション) を選択し、ドロップダウンリストから [Modify VPN Connection Option] (VPN 接続オプションを変更) を選択します。
3. [Local IPv4 Network CIDR] (ローカル IPv4 ネットワーク CIDR) で、オンプレミス (お客様側) の CIDR 範囲を指定します。
4. [Remote IPv4 Network CIDR] (リモート IPv4 ネットワーク CIDR) で、AWS 側の CIDR 範囲を指定します。
5. [Save] (保存) を選択します。
注: VPN 接続が更新されている間、VPN 接続は一時的に使用できなくなります。
重要: VPN 接続オプションを変更しても、次の項目は変更されません。
- AWS 側の VPN エンドポイント IP アドレス
- トンネルオプション