Site-to-Site VPN 接続のテスト - AWS Site-to-Site VPN

Site-to-Site VPN 接続のテスト

AWS Site-to-Site VPN 接続を作成してカスタマーゲートウェイを設定した後、インスタンスを起動し、インスタンスへの ping を実行して接続をテストできます。

開始する前に、以下を確認してください。

  • ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお勧めします。

  • インバウンドおよびアウトバウンドの ICMP トラフィックを許可するために、インスタンスへのトラフィックをフィルタリングするセキュリティグループまたはネットワーク ACL を VPC 内に設定します。これにより、インスタンスは ping リクエストを受信できるようになります。

  • ご使用のインスタンスで Windows Server を実行している場合、インスタンスへの ping を実行するには、インスタンスに接続し、Windows ファイアウォールでインバウンド ICMPv4 を有効にする必要があります。

  • (静的ルーティング) カスタマーゲートウェイデバイスに VPC への静的ルートがあり、VPN 接続に静的ルートがあり、トラフィックがカスタマーゲートウェイデバイスに戻れることを確認します。

  • (動的ルーティング) カスタマーゲートウェイデバイスの BGP ステータスが確立されていることを確認します。BGP ピアセッションが確立されるまでに約 30 秒かかります。トラフィックがカスタマーゲートウェイに戻ることができるように、ルートが BGP を使用して正しくアドバタイズされ、サブネットルートテーブルに表示されることを確認します。両方のトンネルが BGP ルーティングを使用して設定されていることを確認します。

  • VPN 接続のサブネットルートテーブルでルーティングが設定されていることを確認します。

接続をテストするには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ダッシュボードで、[Launch Instance] を選択します。

  3. [Choose an Amazon Machine Image (AMI)] ページで、AMI を選択し、[Select] を選択します。

  4. インスタンスタイプを選択し、[Next: Configure Instance Details] を選択します。

  5. [Configure Instance Details] ページの [Network] で VPC を選択します。[Subnet] で、サブネットを選択します。[Configure Security Group] ページが表示されるまで、[Next] を選択します。

  6. [Select an existing security group (既存のセキュリティグループを選択する)] オプションを選択し、前に設定したグループを選択します。[Review and Launch] を選択します。

  7. 選択した設定を確認します。必要な変更を行い、[Launch] を選択し、キーペアを選択してインスタンスを起動します。

  8. インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得します。Amazon EC2 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。

  9. ネットワークでカスタマーゲートウェイデバイスの背後にあるコンピュータから、インスタンスのプライベート IP アドレスを指定して ping コマンドを実行します。正常な応答は次のようになります。

    ping 10.0.0.4
    Pinging 10.0.0.4 with 32 bytes of data: Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Ping statistics for 10.0.0.4: Packets: Sent = 3, Received = 3, Lost = 0 (0% loss), Approximate round trip times in milliseconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms

    トンネル フェイルオーバーをテストするため、カスタマーゲートウェイデバイスのトンネルの 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトンネルを無効化することはできません。

AWS からオンプレミスネットワークへの接続をテストするには、SSH または RDP を使用してネットワークからインスタンスに接続できます。次に、ネットワーク内の別のコンピュータのプライベート IP アドレスを使用して ping コマンドを実行し、接続の両側でリクエストを開始および受信できることを検証します。

Linux インスタンスに接続する方法については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Linux インスタンスへの接続」を参照してください。Windows インスタンスに接続する方法の詳細については、Windows インスタンス用 Amazon EC2 ユーザーガイドの「Windows インスタンスへの接続」を参照してください。