Preet が VPN トンネルの
タイムアウト値を解説する

vpn-tunnel-instability-inactivity-preet

デバイスでの VPN トンネルの非アクティブ状態または不安定の問題をトラブルシューティングする方法を教えてください。

デッドピア検出 (DPD) およびキープアライブは、VPN ピア間で交換される UDP 500 または 4500 パケットであり、他のピアが利用可能で、トラフィックを受け付ける状態かどうかをチェックします。

AWS VPN は、NAT を使用していないピアに対してはオンデマンド DPD メカニズムを使用し、NAT を使用しているピアに対しては定期的な DPD を使用します。AWS は、VPN ピアからのトラフィックがない状態が 10 秒続くと、DPD "R-U-THERE" メッセージを送信し、VPN ピアから "R-U-THERE-ACK" レスポンスが返されるのを待ちます。3 回連続した DPD に対して VPN ピアからの応答がない場合、VPN ピアはデッドとみなされ、AWS はトンネルを閉じます。

VPN トンネルが失敗するもう 1 つのよくある原因は、トンネル上の対象トラフィックの欠如です。ポリシーベースの VPN 接続には、ベンダー固有の VPN アイドルタイムがあります。その時間の間、VPN トンネルを通過するトラフィックがない場合、IPsec セッションは分裂します。

DPD で検出した VPN トンネルの障害の場合、カスタマーゲートウェイデバイスが、AWS VPN エンドポイントからの DPD メッセージ (すなわち、UDP 500 および UDP 4500 パケット) に応答するかどうかを確認してください。カスタマーゲートウェイデバイスがビジー過ぎるため AWS ピアからの DPD R-U-THERE メッセージに応答できないのか、あるいは、ファイアウォールで IPS 機能が有効になっているため、これらのパケットが速度制限されるのかをチェックします。

アイドルタイムアウトが原因でダウンしてしまうトンネルの場合、ローカルネットワークと VPC との間に定常的な双方向トラフィックがあるかどうかをチェックしてください。

VPC 内の ICMP に応答するインスタンスに対して、5 秒ごとに 1 つの ICMP リクエストを送信するホストをセットアップすることを検討してください。これにより、トンネルは ICMP リクエストに応答し続ける限り、立ち上がった状態を維持することができ、同時に、パケットがトンネル内で暗号化され、復号化されることを確認することができます。

ベンダー固有のネットワークデバイスについての詳細は、「AWS VPC ネットワーク管理者ガイド」を参照してください。


このページは役に立ちましたか? はい | いいえ

AWS サポートナレッジセンターに戻る

サポートが必要ですか?AWS サポートセンターをご覧ください。

公開日: 2016 年 12 月 12 日

更新: 2017 年 12 月 20 日