カスタマーゲートウェイデバイスの AWS Virtual Private Network (VPN) トンネルで、アイドル状態、不安定、接続が途切れ途切れになるなどの問題が発生しています。
解決方法
カスタマーゲートウェイデバイスで AWS VPN トンネルがアイドル状態または不安定になる一般的な理由は次のとおりです。
DPD 設定をチェック
3 回の連続的な DPD に応答しなかった VPN ピアは停止しているものと見なされるので、トンネルが閉じられます。
カスタマーゲートウェイデバイスで DPD を有効にする場合は、デバイスが次の条件を満たしている必要があります。
- DPD のメッセージを受信して応答するように設定しておく。
- AWS ピアからの DPD メッセージに応答できないほどビジー状態ではない。
- IPS 機能がファイアウォールで有効になっているため、DPD メッセージをレート制限していない。
- インターネットトランジットの問題がない。
アイドルタイムアウトのトラブルシューティング
VPN トンネルのトラフィックが少ないためにアイドルタイムアウトが発生している場合は、以下をチェックしてください。
- ローカルネットワークと仮想プライベートクラウド (VPC) の間に双方向のトラフィックが恒常的にあるかの確認。ない場合は、5 秒ごとに仮想プライベートクラウド (VPC) のインスタンスに ICMP リクエストを送信するホストを作成します。
- VPN デバイスのベンダーの情報を使用して、デバイスのアイドルタイムアウト設定の確認。ベンダー固有の VPN アイドル時間中に VPN トンネルを通過するトラフィックがない場合、IPsec セッションは終了します。特定のデバイスについては、ベンダーのマニュアルを確認してください。
フェーズ 1 またはフェーズ 2 のキー再生成に関する問題のトラブルシューティング
VPN トンネルのフェーズ 1 もしくはフェーズ 2 の不一致が原因でキー再生成の問題が発生している場合は、以下をチェックしてください。
- カスタマーゲートウェイのフェーズ 1 またはフェーズ 2 の [ライフタイムバリュー] フィールドをチェックする。これらのフィールドが AWS パラメータと一致することを確認してください。VPN 接続のカスタマーゲートウェイでは必要がない VPN トンネルオプションのパラメータは、オフにするのがベストプラクティスです。
- カスタマーゲートウェイデバイスで前方秘匿性 (PFS) が有効になっていることをチェックする。PFS は、AWS 側のピアではデフォルトで有効になっています。
- カスタマーゲートウェイの UDP ポート 500 [IKE]、4500 [NAT-T]、および IP 50 [ESP] へのインバウンドトラフィックが AWS エンドポイント側のキー再生成を許可しているかどうかをチェックする。
注: IKEv2 の [ライフタイムバリュー] フィールドは、ピアとは無関係です。そのため、ライフタイムバリューを低く設定すると、ピアは常にキー再生成を開始します。
詳細については、「Site-to-Site VPN接続のためのトンネルオプション」と「顧客のゲートウェイデバイス」を参照してください。
接続が途切れ途切れになる問題のトラブルシューティング
接続が途切れる問題は、カスタマーゲートウェイデバイスでのポリシーベースの設定が原因である可能性があります。また、別の原因として、複数の暗号化ドメインまたはプロキシ ID を使用している場合も挙げられます。
- VPC にアクセスできる暗号化ドメイン (ネットワーク) の数を制限する。VPN のカスタマーゲートウェイの背後に複数の暗号化ドメインがある場合は、1 つのセキュリティアソシエーションを使用するように設定します。カスタマーゲートウェイに複数のセキュリティアソシエーションが存在するかどうかをチェックするには、「顧客のゲートウェイデバイスのトラブルシューティング」を参照してください。
- VPC Classless Inter-Domain Routing (CIDR) の送信先を持つカスタマーゲートウェイ (0.0.0.0/0) の背後にあるすべてのネットワークがVPN トンネルを通過できるように、カスタマーゲートウェイデバイスを設定する。この設定では、単一のセキュリティアソシエーションを使用するため、トンネルの安定性が向上します。また、ポリシーで定義されていないネットワークによる VPC へのアクセスも許可されます。
詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続の問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。
関連情報
カスタマーゲートウェイと仮想プライベートゲートウェイの間の VPN トンネルは動作していますが、トラフィックを通過させることができません。どうすればよいですか?