Site-to-Site VPN トンネル開始オプション - AWS Site-to-Site VPN

Site-to-Site VPN トンネル開始オプション

デフォルトでは、カスタマーゲートウェイデバイスは、トラフィックを生成して Internet Key Exchange (IKE) ネゴシエーションプロセスを開始することで、Site-to-Site VPN 接続のトンネルを開始する必要があります。VPN トンネルの設定で、代わりに AWS が IKE ネゴシエーションプロセスを開始または再開するように指定することもできます。

VPN トンネル IKE 開始オプション

以下の IKE 開始オプションを使用できます。VPN トンネルの一方または両方のオプションを実装できます。

  • 開始アクション: 新規または変更された VPN 接続の VPN トンネルを確立するときに実行するアクション。デフォルトでは、カスタマーゲートウェイデバイスが IKE ネゴシエーションプロセスを開始してトンネルを開始します。代わりに AWS が IKE ネゴシエーションプロセスを開始するように指定することもできます。

  • DPD タイムアウトアクション: デッドピア検出 (DPD) タイムアウトが発生した後に実行するアクション。デフォルトでは、IKE セッションが停止し、トンネルが停止して、ルートが削除されます。DPD タイムアウトが発生したときに AWS が IKE セッションを再起動するように指定できます。または、DPD タイムアウトが発生しても AWS が何もアクションを実行しないように指定することもできます。

Site-to-Site VPN 接続の VPN トンネルの一方または両方に IKE 開始オプションを設定できます。

ルールと制限

以下のルールと制限が適用されます。

  • IKE ネゴシエーションを開始するには、AWS でカスタマーゲートウェイデバイスのパブリック IP アドレスが必要です。VPN 接続に証明書ベースの認証を設定していて、AWS でカスタマーゲートウェイリソースを作成したときに IP アドレスを指定しなかった場合は、新しいカスタマーゲートウェイを作成して IP アドレスを指定する必要があります。その後、VPN 接続を変更し、新しいカスタマーゲートウェイを指定します。詳細については、Site-to-Site VPN 接続のカスタマーゲートウェイの変更 を参照してください。

  • AWS Classic VPN 接続には IKE 開始オプションを設定できません。

  • VPN 接続の AWS 側からの IKE 開始 (起動アクション) は IKEv2 でのみサポートされています。

  • カスタマーゲートウェイデバイスがネットワークアドレス変換 (NAT) を使用するファイアウォールまたはその他のデバイスの背後にある場合は、ID (IDr) を設定する必要があります。IDr の詳細については、RFC 7296 を参照してください。

VPN トンネルの AWS 側からの IKE 開始を設定しておらず、VPN 接続でアイドル時間が発生する場合 (設定によっては通常 10 秒)、トンネルが終了することがあります。この問題が発生しないように、ネットワークモニタリングツールを使用してキープアライブ ping を生成できます。

VPN トンネル開始オプションの使用

VPN トンネル開始オプションの使用の詳細については、以下のトピックを参照してください。