4.3. VPN 接続のトラブルシューティング

トンネルが接続しない

トンネル接続が依然として Down の場合は、以下の点を確認できます。

  • AWS トンネルは VPN 接続を開始しません。接続の試行は Customer Gateway から開始する必要があります。
  • ソーストラフィックが、設定されたカスタマーゲートウェイと同じ IP から送信されることを確認します。AWS は、ソース IP アドレスが一致しないゲートウェイへのすべてのトラフィックを通知なしでドロップします。
  • 設定が AWS でサポートされる値と一致することを確認します。これには、IKE バージョン、DH グループ、IKE ライフタイムなどが含まれます。
  • VPC のルートテーブルを再確認します。伝播が有効にされており、ターゲットとして先に作成した仮想プライベートゲートウェイを持つエントリーがルートテーブルにあることを確認します。
  • 中断を生じさせる可能性のあるファイアウォールルールがないことを確認します。
  • ポリシーベースの VPN を使用しているかどうかを確認します。これを使用している場合、その設定によっては複雑な状態が生じる可能性があります。
  • トラブルシューティングの手順についての詳細は、AWS ナレッジセンターを参照してください。

トンネルが接続状態にならない

トンネル接続を一貫して Up の状態にすることができない場合は、すべての AWS トンネル接続がゲートウェイから開始される必要があることに注意してください。AWS トンネルはトンネリングを開始しません

Red Hat は、ご使用の側から SLA モニター (Cisco ASA) または一部のデバイスをセットアップすることを推奨しています。これにより、VPC CIDR 範囲内で設定されるすべての IP アドレスで、 pingnctelnet などの対象 (interesting) トラフィックが絶えず送信されます。接続が成功したかどうかにかかわらず、トラフィックがトンネルにダイレクトされます。

Down 状態のセカンダリートンネル

VPN トンネルが作成されると、AWS は追加のフェイルオーバートンネルを作成します。ゲートウェイデバイスによっては、セカンダリートンネルが Down 状態として表示される場合があります。

AWS 通知は以下のようになります。

You have new non-redundant VPN connections

One or more of your vpn connections are not using both tunnels. This mode of
operation is not highly available and we strongly recommend you configure your
second tunnel. View your non-redundant VPN connections.