Amazon VPC 内のAWSインフラストラクチャに VPN 接続の確立と維持ができません。

Amazon Virtual Private Cloud (VPC) ネットワークモデルは、AWSインフラストラクチャへの接続に、業界標準の暗号化 IPsec 仮想プライベートネットワーク (VPN) 接続をサポートしています。Amazon VPC への VPN トンネル接続にあたり、下記のように多くの設定が関係します:

  • VPN トンネル Internet Key Exchange (IKE) の設定
  • VPN トンネル Internet Protocol security (IPsec) の設定
  • ネットワーク ACL (NACL) の設定
  • Amazon VPC セキュリティルールの設定
  • Amazon EC2 インスタンスのネットワークルートテーブルルの設定
  • Amazon EC2 インスタンスのファイアウォールの設定
  • VPN ゲートウェイの設定
  • VPN トンネルの冗長性の設定

Amazon VPC への VPN トンネル接続のトラブルシューティングには次の手順に従ってください:

VPN トンネル確立の失敗に対する解決手順はどの段階でエラーが発生したかで判断されます:

両方の VPN トンネルが確立されている場合は次の手順に従ってください:

  1. Amazon EC2 コンソール、またはコマンドラインを使用して、アタッチされた VPN のネットワーク接続に影響を与える Amazon VPC 内のネットワーク ACL (NACL) が設定されていないことを確かめます。詳細については、ネットワーク ACL の操作 を参照してください。
  2. セキュリティグループを更新して、インバウンド SSH、RDP、ICMP アクセスを有効にする の手順に従ってください。
  3. Amazon EC2 コンソール、またはコマンドラインを使用して、Amazon EC2 インスタンスで指定されたルートテーブルが正しいことを確認します。詳細については、ルートテーブルを操作する および API およびコマンドの概要 を参照してください。
  4. VPC 内に Amazon EC2 インスタンスへのトラフィックを妨げるファイアウォールが存在しないことを確かめます:

Windows の Amazon EC2 インスタンスの場合、コマンドプロンプトを開始して、WF.msc のコマンドを実行します。

Linux の Amazon EC2 インスタンスの場合、ターミナルセッションを開始して、iptables コマンドを適切な引数を使用して実行します。iptables コマンドに関する詳細については、man iptables を実行してください。

カスタマーゲートウェイデバイスがポリシーベースの VPN を実装している場合、AWS が2 つまでのセキュリティの関連付け (送信用 1 つ、受信用 1 つ) のみを許可することに注意してください。ポリシーベースの VPN を使用する場合は、内部ネットワークの送信元アドレスを「0.0.0.0/0」に、行き先アドレスを VPC サブネット (例: 172.31.0.0/16) に設定することを推奨します。これにより、追加のセキュリティの関連付けを作成する必要なく、VPC へのすべてのトラフィックが VPN を通過できるようになります。Cisco ASA デバイスの場合、SLA の監視を有効にする必要があります。Cisco ASA デバイスの SLA の監視を有効にするための詳細については、Cisco ASA カスタマーゲートウェイの接続のトラブルシューティング を参照してください。

ターミナルセッション (Linux) で traceroute のユーティリティを実行するか、コマンドプロンプト (Windows) で tracert のユーティリティを実行します。これらのユーティリティは、内部ネットワークから、VPN が接続されている VPC 内の EC2 インスタンスに対して実行される必要があります。

  • traceroute または tracert の出力が内部ネットワークに関連する IP アドレスで停止した場合、VPN エッジデバイスへのルートパスが正しいことを確認してください。
  • 内部ネットワークからのトラフィックがカスタマーゲートウェイデバイスに到達していることが確認されているにもかかわらず、EC2 インスタンスに到達できない場合、VPN カスタマーゲートウェイ (CGW) の VPN 設定、ポリシー、および NAT 設定を確認してください。また、アップストリームのデバイスが存在する場合、トラフィックフローが許可されていることを確認してください。

ボーダーゲートウェイプロトコルがダウンしている場合、AWS VPC コンソール、あるいは API による、カスタマーゲートウェイの作成時に使用した BGP Autonomous System Number (ASN) が定義されていることを確認してください。カスタマーゲートウェイに関連付けられた AWS ASN はダウンロード可能な VPN 設定に含まれています。

ネットワークに割り当てられている既存の ASN を使用することができます。またASN が割り当てられていない場合は、プライベート ASN (64512~65534 の範囲) を使用できます。設定された ASN は AWS 側で VPN を作成する際に使用したものと一致する必要があります。 また、カスタマーゲートウェイのローカルファイアウォールの設定すべてが AWS への BGP トラフィックを許可していることを確認してください。ゲートウェイ接続に関するトラブルシューティングについての詳細は、Amazon Virtual Private Cloud ネットワーク管理者ガイドトラブルシューティング を参照してください。

AWS Trusted Advisor では、 VPN トンネルの冗長化チェック を提供しています。可能であれば、該当機能を監視ソリューションに組み込むことをお勧めします。Trusted Advisor に関する詳細については、AWS Trusted Advisor の紹介 を参照してください。

有料のサポートプランをご契約の場合は、技術サポートケースを作成することが可能です。AWS サポートには、VPC/VPN の問題に関するトラブルシューティングのために、次の情報およびリソースが必要です:

  • オンプレミスネットワーク機器、および VPC リソースの両方の管理者権限をお持ちの担当者様の連絡先。
  • 接続の確立に使用される物理的デバイスのメーカーおよびモデル (ファームウェアバージョンを含む)。
  • 仮想プライベートクラウド、仮想プライベートゲートウェイ、および VPN のそれぞれの Amazon 識別子 (例: vpc-XXXXXXXX、vgw-XXXXXXXX、vpn-XXXXXXXXなど) 。
  • VPN デバイスの実行中設定へのアクセス、および VPN トンネル作成時に AWS コンソールによって作成された設定へのアクセス。
  • VPN の接続履歴。
  • Amazon EC2 インスタンスに関連する IP アドレス、またはテストのための VPN トンネルに関連する VPC 内に存在するその他のリソース。
  • AWS VPC への VPN 接続開始を試みた LAN 内の送信元 IP アドレス。 

AWS、VPN、VPC、トンネル、接続、IKE、IPsec、BGP、ASN、トラブルシューティング


このページは役に立ちましたか? はい | いいえ

AWS サポートナリッジセンターに戻る

サポートが必要ですか?AWS サポートセンターをご覧ください。

公開日: 2015 年 04 月 28 日
更新: 2016 年 08 月 24 日