ボーダーゲートウェイプロトコルを使用する場合の接続のトラブルシューティング - AWS Site-to-Site VPN

ボーダーゲートウェイプロトコルを使用する場合の接続のトラブルシューティング

次の図と表は、ボーダーゲートウェイプロトコル (BGP) を使用するカスタマーゲートウェイデバイスをトラブルシューティングする、一般的な手順を示しています。また、デバイスのデバッグ機能を有効にすることをお勧めします。詳細については、ゲートウェイデバイスのベンダーに問い合わせてください。


                一般的なカスタマーゲートウェイデバイスをトラブルシューティングするためのフローチャート
IKE

IKE Security Association が存在するかどうかを確認します。

IKE Security Association は、IPsec Security Association を確立するために使用されるキーの交換に必要です。

IKE Security Association がない場合は、IKE 設定を確認します。設定ファイルに示されている、暗号化、認証、Perfect Forward Secrecy、およびモードのパラメータを設定する必要があります。

IKE Security Association が存在する場合は、「IPsec」に進みます。

IPsec

IPsec Security Association (SA) が存在するかどうかを確認します。

IPsec SA はトンネル自体です。カスタマーゲートウェイデバイスにクエリを実行し、IPsec SA がアクティブかどうかを確認します。設定ファイルに示されている、暗号化、認証、Perfect Forward Secrecy、およびモードのパラメータが設定されていることを確認します。

IPsec SA が存在しない場合は、IPsec 設定を確認します。

IPsec SA が存在する場合は、「トンネル」に進みます。

トンネル

必須のファイアウォールルールがセットアップされていることを確認します (ルールのリストについては、「インターネットとカスタマーゲートウェイデバイス間のファイアウォールの設定」を参照)。セットアップされている場合は、次に進みます。

トンネル経由の IP 接続があるかどうかを確認します。

トンネルのそれぞれの側に、設定ファイルで指定された IP アドレスが含まれます。仮想プライベートゲートウェイアドレスは、BGP ネイバーアドレスとして使用されます。カスタマーゲートウェイデバイスから、このアドレスに対する ping を実行し、IP トラフィックが正しく暗号化および復号化されているかどうかを確認します。

ping が失敗した場合は、トンネルインターフェイス設定を確認し、正しい IP アドレスが設定されていることを確認します。

ping が成功した場合は、「BGP」に進みます。

BGP

BGP ピアリングセッションがアクティブかどうかを確認します。

各トンネルについて、以下を実行します。

  • カスタマーゲートウェイデバイスで、BGP ステータスが Active または Established であるかどうかを確認します。BGP ピアがアクティブになるまで約 30 秒かかる場合があります。

  • カスタマーゲートウェイデバイスが仮想プライベートゲートウェイへのデフォルトルート (0.0.0.0/0) をアドバタイズしていることを確認します。

トンネルがこの状態にない場合は、BGP 設定を確認します。

BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズして、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。