Amazon Virtual Private Cloud (Amazon VPC) への仮想プライベートネットワーク (VPN) 接続を確立または維持できません。

VPN 接続確立時の問題は、以下の設定が原因で発生することがあります。

  • Internet Key Exchange (IKE)
  • インターネットプロトコルセキュリティ (IPsec)

VPN 接続の維持に関する問題は、以下の設定が原因で発生することがあります。

  • ネットワークアクセスコントロールリスト (ネットワーク ACL)
  • VPC セキュリティグループルール
  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのネットワークルーティングテーブル
  • Amazon EC2 インスタンスファイアウォール
  • 仮想プライベートゲートウェイ
  • VPN トンネルの冗長性

VPN 接続確立時の問題

VPN 接続の維持に関する問題

いずれの VPN トンネルも正常に確立されたが、接続問題が解決しない場合は、以下の手順を行います。

  1. アタッチされた VPN の接続の確立を妨げる、VPC のネットワーク ACL を確認します。
  2. VPC の EC2 インスタンスに割り当てられているセキュリティグループルールで適切なアクセスが許可されていることを確認します。インバウンド SSH、RDP、および ICMP アクセスは必ず許可します。詳細については、「Linux インスタンス用の Amazon EC2 セキュリティグループ」または「Windows インスタンス用の Amazon EC2 セキュリティグループ」を参照してください。
  3. VPC にアタッチされているルートテーブルが適切に設定されていることを確認します。
  4. VPC 内の EC2 インスタンスへのトラフィックをブロックするオペレーティングシステムレベル (OS レベル) のファイアウォールを確認します。
    EC2 Windows インスタンスの場合は、コマンドプロンプトで WF.msc を実行します。
    EC2 Linux インスタンスの場合は、ターミナルセッションで適切な引数を使用して iptables を実行します。詳細情報については、man iptables を実行します。

注意: AWS では、VPN 接続に対して 1 ペアのセキュリティアソシエーション (1 インバウンドと 1 アウトバウンド) のみ受け入れます。カスタマーゲートウェイデバイスでポリシーベースの VPN が使用されている場合は、送信元アドレス (0.0.0.0/0) として内部ネットワークを、送信先アドレスとして VPC サブネットを設定します。この設定により、追加のセキュリティアソシエーションを作成することなく、VPC へのトラフィックで VPN を経由することができます。

VPN トンネルは、VPN 接続のカスタマーゲートウェイ側からトラフィックが生成されると開始されます。仮想プライベートゲートウェイ側はイニシエータではありません。VPN 接続でアイドル時間 (通常は 10 秒だがカスタマーゲートウェイの設定によって異なる) が生じた場合、トンネルがダウンすることがあります。この問題が発生しないように、ネットワーク監視ツールを使用してキープアライブ ping を生成します。たとえば、Cisco ASA デバイスで、SLA モニタリングを有効にします。

VPC 設定と EC2 インスタンス接続を考えられる根本原因として除外する場合は、次のようにします。

  1. ターミナルセッション (Linux) またはコマンドプロンプト (Windows) を開きます。
  2. VPN がアタッチされている VPC の EC2 インスタンスに対して、内部ネットワークから traceroute (Linux) または tracert (Windows) ユーティリティを実行します。
  3. 出力が内部ネットワークに関連付けられた IP アドレスで停止した場合は、VPN エッジデバイスへのルーティングパスが正しいことを確認します。
  4. 出力がカスタマーゲートウェイデバイスには到達するが、EC2 インスタンスには到達しない場合は、VPN カスタマーゲートウェイデバイスの設定を確認してください。VPN 設定、ポリシー、およびネットワークアドレス変換 (NAT) 設定が正しいことを確認します。また、すべてのアップストリームデバイスでトラフィックフローが許可されていることをあわせて確認します。

VPN トンネル内で使用されているボーダーゲートウェイプロトコル (BGP) がダウンしている場合は、次のようにします。

  1. カスタマーゲートウェイ作成時に、BGP の自律システム番号 (ASN) を定義していることを確認します。カスタマーゲートウェイ ASN は、ダウンロード可能な VPN 設定に含まれます。
  2. 必要に応じて、正しい ASN でカスタマーゲートウェイを更新します。ASN が、VPN 設定時に定義した ASN と一致している必要があります。この場合、ASN は、ネットワークに割り当てられている既存の ASN か、64512〜65534 の範囲内のプライベート ASN です。
  3. カスタマーゲートウェイのローカルファイアウォール設定で、BGP トラフィックが AWS にパスされることを確認します。詳細については、「デバイス固有のトラブルシューティングガイド」を参照してください。

可能な場合は、モニタリングアクティビティで、AWS Trusted Advisor の VPN トンネルの冗長性チェックを使用します。

  1. Trusted Advisor コンソールにサインインします。
  2. ナビゲーションペインの [ダッシュボード] で、[耐障害性] を選択します。
  3. コンテンツペインの [耐障害性チェック] のリストから、[VPN トンネルの冗長性] を選択します。
  4. このチェックの結果をダウンロードするには、ダウンロードアイコンを選択します。

さらにトラブルシューティングする

さらにトラブルシューティングのステップを実行する前に、次の情報を収集してください。

  • オンプレミスネットワーク機器 および VPC リソースへの管理者権限をお持ちの担当者様の連絡先。
  • VPN 接続の確立に使用している物理デバイスの構成とモデル (例: ファームウェアのバージョン)。
  • 識別子: VPC (vpc-XXXXXXXX)、仮想プライベートゲートウェイ (vgw-XXXXXXXX)、VPN (vpn-XXXXXXXX)。
  • VPN トンネル作成時点の VPN デバイスの現在の設定と、AWS コンソールで作成された設定へのアクセス権。
  • VPN の接続履歴に関する詳細
  • VPC 内の EC2 インスタンスまたは他のリソースの IP アドレス (テスト用)。
  • VPN 接続を開始しようとしているローカルエリアネットワーク (LAN) の送信元 IP アドレス。

このページは役に立ちましたか? はい | いいえ

AWS サポート ナレッジ センターに戻る

サポートが必要ですか? AWS サポートセンターをご覧ください。

公開日: 2015 年 04 月 28 日

更新日: 2018 年 10 月 30 日