Site-to-Site VPN トンネル開始オプション

デフォルトでは、カスタマーゲートウェイデバイスは、トラフィックを生成して Internet Key Exchange (IKE) ネゴシエーションプロセスを開始することで、Site-to-Site VPN 接続のトンネルを開始する必要があります。VPN トンネルの設定で、代わりに AWS が IKE ネゴシエーションプロセスを開始または再開するように指定することもできます。

VPN トンネル IKE 開始オプション

以下の IKE 開始オプションを使用できます。Site-to-Site VPN 接続のトンネルの一方または両方に対して、1 つまたは両方のオプションを設定できます。これらの設定やその他のトンネルオプション設定の詳細については、「VPN トンネルオプション」を参照してください。

• 開始アクション: 新規または変更された VPN 接続の VPN トンネルを確立するときに実行するアクション。デフォルトでは、カスタマーゲートウェイデバイスが IKE ネゴシエーションプロセスを開始してトンネルを開始します。代わりに AWS が IKE ネゴシエーションプロセスを開始するように指定することもできます。

• DPD タイムアウトアクション: デッドピア検出 (DPD) タイムアウトが発生した後に実行するアクション。デフォルトでは、IKE セッションが停止し、トンネルが停止して、ルートが削除されます。DPD タイムアウトが発生したときに AWS が IKE セッションを再起動するように指定できます。または、DPD タイムアウトが発生しても AWS が何もアクションを実行しないように指定することもできます。

ルールと制限

以下のルールと制限が適用されます。

• IKE ネゴシエーションを開始するには、AWS でカスタマーゲートウェイデバイスのパブリック IP アドレスが必要です。VPN 接続に証明書ベースの認証を設定していて、AWS でカスタマーゲートウェイリソースを作成したときに IP アドレスを指定しなかった場合は、新しいカスタマーゲートウェイを作成して IP アドレスを指定する必要があります。その後、VPN 接続を変更し、新しいカスタマーゲートウェイを指定します。詳細については、「Site-to-Site VPN 接続のカスタマーゲートウェイを変更する」を参照してください。

• VPN 接続の AWS 側からの IKE 開始 (起動アクション) は IKEv2 でのみサポートされています。

• VPN 接続の AWS 側から IKE 開始を使用する場合、タイムアウト設定は含まれません。接続が確立されるまで、継続して接続が試みられます。さらに、VPN 接続の AWS 側は、カスタマーゲートウェイから SA の削除メッセージを受信すると、IKE ネゴシエーションを再開します。

• カスタマーゲートウェイデバイスがネットワークアドレス変換 (NAT) を使用するファイアウォールまたはその他のデバイスの背後にある場合は、ID (IDr) を設定する必要があります。IDr の詳細については、RFC 7296 を参照してください。

VPN トンネルの AWS 側からの IKE 開始を設定しておらず、VPN 接続でアイドル時間が発生する場合 (設定によっては通常 10 秒)、トンネルが終了することがあります。この問題が発生しないように、ネットワークモニタリングツールを使用してキープアライブ ping を生成できます。

VPN トンネル開始オプションの使用

VPN トンネル開始オプションの使用の詳細については、以下のトピックを参照してください。

• 新しい VPN 接続を作成し、VPN トンネル開始オプションを指定するには: ステップ 5: VPN 接続を作成する

• 既存の VPN 接続の VPN トンネル開始オプションを変更するには: Site-to-Site VPN トンネルオプションを変更する