このトピックでは、IPsec-VPN接続の失敗とネゴシエーションの失敗に関するよくある質問に対する回答を提供します。
よくある質問
IPsec-VPNネゴシエーションの問題
IPsec-VPN接続の問題
フェーズ2のネゴシエーションが成功したが、VPC内のECSインスタンスがデータセンター内のサーバーにアクセスできないことをシステムが求めた場合はどうすればよいですか。
フェーズ2のネゴシエーションが成功したが、データセンターのサーバーがVPCのECSインスタンスにアクセスできないことをシステムが求めた場合はどうすればよいですか。
フェーズ2のネゴシエーションが成功したことをシステムが促し、サービスにpingを送信できるが、サービスまたは一部のポートにアクセスできない場合はどうすればよいですか?
フェーズ2ネゴシエーションが成功したことをシステムが促したが、プライベート接続でパケット損失が発生し、時には失敗する場合はどうすればよいですか?
フェーズ2のネゴシエーションが成功し、プライベート接続を確立できることをシステムが促したが、ネットワークの待ち時間が長い場合はどうすればよいですか?
オンプレミスネットワークとクラウドネットワークの保護されたデータフローが異なっていても、IPsec-VPN接続が成功するのはなぜですか?
フェーズ1の交渉が失敗したことをシステムが促した場合はどうすればよいですか?
VPN Gatewayコンソールに表示されるIPsec-VPN接続のエラーコードとログデータに基づいて、問題をトラブルシューティングできます。 詳細については、「IPsec-VPN接続の問題のトラブルシューティング」をご参照ください。
次の表に、IPsec-VPN接続のピアゲートウェイデバイスでのフェーズ1ネゴシエーション失敗の一般的な原因を示します。
原因 | 解決策 |
ピアゲートウェイが期待どおりに機能していません。 | ピアゲートウェイデバイスを確認します。 詳細については、ピアゲートウェイ装置のサプライヤを参照してください。 |
IPsec-VPN設定は、ピアゲートウェイデバイスに追加されません。 | IPsec-VPN設定をピアゲートウェイデバイスに追加し、ピアゲートウェイデバイスとIPsec-VPN接続が同じ設定を使用していることを確認します。 詳細については、「ローカルゲートウェイの設定」をご参照ください。 |
ピアゲートウェイデバイスのアクセス制御ポリシーでは、UDPポートの500と4500は許可されません。 | ピアゲートウェイデバイスのアクセス制御ポリシーを確認し、次の条件が満たされていることを確認します。
|
ピアゲートウェイ装置の供給者によって課される制限のために、IPsecネゴシエーションは、インバウンドトラフィックが検出されたときにのみトリガされ得る。 | 制限がピアゲートウェイデバイスに適用されるかどうかを確認します。 制限がピアゲートウェイデバイスに適用される場合、IPsecネゴシエーションをトリガーする方法についてサプライヤに相談してください。 |
フェーズ2の交渉が失敗したことをシステムが促した場合はどうすればよいですか?
VPN Gatewayコンソールに表示されるIPsec-VPN接続のエラーコードとログデータに基づいて、問題をトラブルシューティングできます。 詳細については、「IPsec-VPN接続の問題のトラブルシューティング」をご参照ください。
システムがフェーズ2交渉の成功を促したが、フェーズ2交渉の失敗を促し続けた場合はどうすればよいですか?
考えられる原因と解決策を次の表に示します。
カテゴリ | 原因 | 解決策 |
ゲートウェイデバイスの例外 | Alibaba Cloud VPNゲートウェイに料金滞納があります。 | アカウントを補充するか、新しい支払い方法を追加します。 詳細については、「支払い管理の指示」をご参照ください。 |
ピアゲートウェイ装置は例外を有する。 | ピアゲートウェイデバイスを確認します。 詳細については、ピアゲートウェイ装置のサプライヤを参照してください。 | |
ピアゲートウェイ装置上のアクセス制御ポリシーが変更される。 | ピアゲートウェイデバイスのアクセス制御ポリシーを確認します。 ポリシーが仮想プライベートクラウド (VPC) とデータセンター間のデータ転送を許可していることを確認してください。 | |
IPsec-VPN設定の変更 | ピアゲートウェイデバイスのIPsec-VPN設定が削除されます。 | IPsec-VPN設定をピアゲートウェイデバイスに追加し、ピアゲートウェイデバイスとIPsec-VPN接続が同じ設定を使用していることを確認します。 詳細については、「ローカルゲートウェイの設定」をご参照ください。 |
ピアゲートウェイ装置の構成は変更され、IPsec − VPN接続の構成とは異なる。 | ピアゲートウェイデバイスとIPsec-VPN接続が同じ設定を使用していることを確認します。 | |
ピアゲートウェイデバイス上のIPsec-VPN設定のパラメーターは、複数の値に設定されます。 たとえば、IKE ConfigurationsのEncryption Algorithmパラメーターは、aesおよびaes192に設定されます。 | Alibaba CloudでIPsec-VPN接続を設定するときは、各パラメーターに1つの値のみを指定します。 各パラメーターが1つの値にのみ設定されていることを確認します。 さらに、ピアゲートウェイデバイスとIPsec-VPN接続が各パラメーターに同じ値を使用することを確認します。 | |
IPsec − VPN接続の構成は変更され、ピアゲートウェイ装置の構成とは異なる。 | ピアゲートウェイデバイスとIPsec-VPN接続が同じ設定を使用していることを確認します。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の変更」をご参照ください。 | |
IPsec-VPN接続に関連付けられているVPCに対して、IPv4ゲートウェイとネットワークACLが新たに設定されます。 | VPCに設定されているIPv4ゲートウェイとネットワークACLを確認します。 IPv4ゲートウェイとネットワークACLで、VPCとデータセンター間のデータ転送が許可されていることを確認します。 詳細については、「IPv4ゲートウェイの概要」および「ネットワークACLの概要」をご参照ください。 | |
ピアゲートウェイデバイスのIPアドレス変更 | IPsec-VPN接続を作成するためにピアゲートウェイ装置によって使用されるIPアドレスが変更される。 その結果、Alibaba Cloud上のカスタマーゲートウェイのIPアドレスは、ピアゲートウェイデバイスが使用するIPアドレスとは異なります。 | Alibaba Cloud上のカスタマーゲートウェイのIPアドレスが、ピアゲートウェイデバイスがIPsec-VPN接続を作成するために使用するIPアドレスと同じであることを確認します。 |
ピアゲートウェイ装置は、複数のIPアドレスを使用する。 その結果、Alibaba Cloud上のカスタマーゲートウェイのIPアドレスは、ピアゲートウェイデバイスがIPsec-VPN接続を作成するために使用するIPアドレスとは異なります。 | Alibaba Cloud上のカスタマーゲートウェイのIPアドレスが、ピアゲートウェイデバイスがIPsec-VPN接続を作成するために使用するIPアドレスと同じであることを確認します。 | |
ピアゲートウェイ装置は、動的IPアドレスを使用する。 その結果、Alibaba Cloud上のカスタマーゲートウェイのIPアドレスは、ピアゲートウェイデバイスがIPsec-VPN接続を作成するために使用するIPアドレスとは異なります。 | ピアゲートウェイデバイスの静的IPアドレスを設定します。 Alibaba Cloud上のカスタマーゲートウェイのIPアドレスが、ピアゲートウェイデバイスがIPsec-VPN接続を作成するために使用するIPアドレスと同じであることを確認します。 |
フェーズ2の交渉は成功したが断続的に失敗したことをシステムが促した場合はどうすればよいですか?
考えられる原因と解決策を次の表に示します。
カテゴリ | 原因 | 解決策 |
IPsec-VPN設定の変更 | IPsec-VPN接続とピアゲートウェイデバイスは、DHグループパラメーター、またはIPsec-VPN設定の一部のゲートウェイデバイスではPFSに異なる値を使用します。 | IPsec-VPN接続とピアゲートウェイデバイスのIPsec-VPN設定のDHグループパラメーターまたはPFSを確認します。 DHグループパラメーターまたはPFSに同じ値が使用されていることを確認してください。 IPsec-VPN接続の設定を変更する方法の詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の変更」をご参照ください。 |
ピアゲートウェイデバイス上のIPsec-VPN設定のパラメーターは、複数の値に設定されます。 たとえば、IKE ConfigurationsのEncryption Algorithmパラメーターは、aesおよびaes192に設定されます。 | Alibaba CloudでIPsec-VPN接続を設定するときは、各パラメーターに1つの値のみを指定します。 各パラメーターが1つの値にのみ設定されていることを確認します。 さらに、ピアゲートウェイデバイスとIPsec-VPN接続が各パラメーターに同じ値を使用することを確認します。 | |
トラフィックベースのセキュリティアソシエーション (SA) ライフタイムは、ピアゲートウェイデバイスのために構成される。 | Alibaba CloudのIPsec-VPN接続は、時間ベースのSA有効期間のみをサポートし、トラフィックベースのSA有効期間はサポートしません。 ピアゲートウェイデバイスでトラフィックベースのSAの有効期間を空のままにするか、有効期間を0バイトに設定することを推奨します。 | |
ネットワーク品質が悪い | デッドピア検出 (DPD) パケット、ヘルスチェックパケット、またはIPsecパケットはタイムアウトし、IPsec-VPN接続とピアゲートウェイデバイス間のネットワーク品質が悪いためにドロップされます。 これはIPsec − VPN接続を中断する。 | IPsec-VPN接続が中断した場合は、ネットワーク接続を確認してください。 |
IPsec-VPN接続の制限 | ピアゲートウェイ装置の供給者によって課される制限のために、IPsecネゴシエーションは、インバウンドトラフィックが検出されたときにのみトリガされ得る。 | 制限がピアゲートウェイデバイスに適用されるかどうかを確認します。 制限がピアゲートウェイデバイスに適用される場合、IPsecネゴシエーションをトリガーする方法についてサプライヤに相談してください。 |
デュアルトンネルIPsec-VPN接続を確立する場合、同じ保護されたデータフローが2つのトンネルに使用されます。 ただし、ピアゲートウェイにCisco ASAファイアウォールゲートウェイなどの関連する制限がある場合、ネゴシエーションを正常に完了できるのは1つのトンネルだけです。 | メーカーに連絡して、そのような制限があるかどうかを確認してください。 このような制限がある場合は、ピアゲートウェイのIPsec-VPN設定を変更します。 詳細については「設定例」をご参照ください。 |
フェーズ2交渉が成功したが、BGP交渉が異常状態にあることをシステムが促した場合、どうすればよいですか?
考えられる原因と解決策を次の表に示します。
カテゴリ | 原因 | 解決策 |
誤ったBGP設定 | ピアゲートウェイデバイスに設定されたBGP IPアドレスが無効です。 | IPsec-VPN接続とピアゲートウェイデバイスのBGP設定を確認します。 IPsec-VPN接続のBGP IPアドレスとピアゲートウェイデバイスのBGP IPアドレスが同じCIDRブロック内にあり、互いに競合しないことを確認してください。 BGP IPアドレスが属するCIDRブロックは、サブネットマスクの長さが30のCIDRブロック169.254.0.0/16に含まれている必要があります。 |
IPsec-VPN接続の問題 | IPsec − VPN接続の接続性例外のため、ローカルゲートウェイは、ピアゲートウェイデバイスからBGPパケットを受信することができない。 | IPsec-VPN接続の接続性を確認し、ローカルゲートウェイがピアゲートウェイデバイスからBGPパケットを受信するかどうかを確認します。 IPsec-VPN接続のトラフィック監視データを表示できます。 トラフィックが検出されない場合、ローカルゲートウェイがピアゲートウェイデバイスからBGPパケットを受信しないことを示します。 |
IPsecネゴシエーションは中断されます。 | IPsec-VPN接続のログを表示して、フェーズ2ネゴシエーションが成功したかどうかを確認します。 IPsecネゴシエーションの状態が不安定な場合は、ログを確認してトラブルシューティングを行います。 詳細については、「IPsec-VPN接続の問題のトラブルシューティング」をご参照ください。 |
フェーズ2の交渉は成功したが、ヘルスチェックは失敗したとシステムが促した場合はどうすればよいですか?
考えられる原因と解決策を次の表に示します。
カテゴリ | 原因 | 解決策 |
ヘルスチェックの宛先IPアドレスに関連する問題 | ヘルスチェックの宛先IPアドレスにアクセスできません。 | 宛先IPアドレスに関連付けられているホストで 宛先IPアドレスが送信元IPアドレスにアクセスできない場合は、宛先IPアドレスの設定を確認します。 |
宛先IPアドレスに関連付けられているホストに例外があり、IPsec-VPN接続からのICMPパケットに応答できません。 | 宛先IPアドレスに関連付けられているホストが期待どおりに動作しているかどうかを確認します。 詳細については、ゲートウェイデバイスのサプライヤを参照してください。 | |
宛先IPアドレスのルート設定とセキュリティポリシーが変更されました。 たとえば、セキュリティポリシーは、送信元IPアドレス、宛先IPアドレス、またはICMPパケットを許可しません。 | 宛先IPアドレスのルート設定とセキュリティポリシーが次の要件を満たしていることを確認してください。
| |
宛先IPアドレスは、宛先IPアドレスがプローブを受信するのと同じパスを介してヘルスチェックプローブに応答しません。 |
| |
IPsec-VPN接続の問題 | IPsecネゴシエーションは中断されます。 | IPsec-VPN接続のログを表示して、フェーズ2ネゴシエーションが成功したかどうかを確認します。 IPsecネゴシエーションの状態が不安定な場合は、ログを確認してトラブルシューティングを行います。 詳細については、「IPsec-VPN接続の問題のトラブルシューティング」をご参照ください。 説明 IPsec-VPN接続がヘルスチェックに失敗した場合、システムはIPsecトンネルをリセットします。 アクティブ /スタンバイ接続が使用されないシナリオでは、ヘルスチェック機能の代わりにDPD機能を使用して接続を確認することを推奨します。 アクティブ /スタンバイIPsec-VPN接続の使用シナリオの詳細については、「2つのパブリックIPアドレスを使用してアクティブ /スタンバイIPsec-VPN接続を作成する」および「2つのカスタマーゲートウェイを使用して高可用性を実現する」をご参照ください。 |
IPsec-VPN接続の状態が「フェーズ2ネゴシエーションは成功」であるが、仮想プライベートクラウド (VPC) のElastic Compute Service (ECS) インスタンスがオンプレミスデータセンターのサーバーにアクセスできない場合はどうすればよいですか?
原因
VPCルート設定、セキュリティグループルール、データセンターのルート設定、またはアクセス制御ポリシーでは、VPC内のECSインスタンスがデータセンター内のサーバーにアクセスすることはできません。
解決策
次の指示に基づいて問題をトラブルシューティングします。
VPC
VPCルートテーブルでルート設定を確認します。 ECSインスタンスがオンプレミスデータセンターのサーバーにアクセスできるように、VPCルートテーブルでルートが設定されていることを確認します。
VPCが属するセキュリティグループのルールを確認します。 ルールにより、オンプレミスデータセンターのサーバーがECSインスタンスにアクセスできるようにします。
データセンター
オンプレミスのデータセンターのルート設定を確認します。 オンプレミスデータセンターのサーバーがECSインスタンスからのリクエストに応答できるようにルートが設定されていることを確認します。
オンプレミスデータセンターのアクセス制御ポリシーを確認します。 アクセス制御ポリシーにより、ECSインスタンスがオンプレミスデータセンターのサーバーにアクセスできるようにします。
オンプレミスネットワークがパブリックIPアドレスを内部宛先にルーティングする場合、データセンターのパブリックCIDRブロックをVPCのユーザーCIDRブロックとして指定する必要があります。 これにより、VPCはパブリックCIDRブロックにアクセスできます。 詳細については、FAQトピックの「ユーザーCIDRブロックとは」およびFAQトピックの「ユーザーCIDRブロックの構成方法」を参照してください。
IPsec-VPN接続の状態が「フェーズ2ネゴシエーションは成功」であるが、オンプレミスデータセンターのサーバーがVPCのECSインスタンスにアクセスできない場合はどうすればよいですか。
原因
VPCルート設定、セキュリティグループルール、データセンターのルート設定、またはアクセス制御ポリシーでは、データセンター内のサーバーがVPC内のECSインスタンスにアクセスすることはできません。
解決策
次の指示に基づいて問題をトラブルシューティングします。
VPC
VPCルートテーブルでルート設定を確認します。 VPCルートテーブルでルートが設定されていることを確認し、ECSインスタンスがオンプレミスデータセンターのサーバーからのリクエストに応答できるようにします。
VPCが属するセキュリティグループのルールをトラブルシューティングします。 ルールにより、オンプレミスデータセンターのサーバーがECSインスタンスにアクセスできるようにします。
データセンター
オンプレミスのデータセンターのルート設定を確認します。 IPsec-VPN接続を介してECSインスタンスにデータを送信できるように、オンプレミスデータセンターのルートが設定されていることを確認します。
オンプレミスデータセンターのアクセス制御ポリシーを確認します。 アクセス制御ポリシーで、オンプレミスデータセンターのサーバーがECSインスタンスにアクセスできるようにします。
IPsec-VPN接続の状態が「フェーズ2ネゴシエーションは成功」であるが、一部のCIDRブロックでのみ通信が成功した場合はどうすればよいですか?
原因
IPsec-VPNを使用してデータセンターをVPCに接続するシナリオでは、ピアゲートウェイデバイスがCisco、H3C、またはHuaweiによって提供されている場合、IPsec-VPN接続のルーティングモードはProtected data Flowに設定され、複数のCIDRブロックが設定され、通信に使用できるCIDRブロックは1つだけです。
これは、Alibaba Cloud VPNゲートウェイが、Cisco、H3C、またはHuaweiが提供するピアゲートウェイデバイスで使用されるIPsecプロトコルと互換性がないためです。 IPsec-VPN接続を確立して複数のCIDRブロックを接続する場合、VPNゲートウェイはセキュリティアソシエーション (SA) を使用してカスタマーゲートウェイデバイスとネゴシエートします。 ただし、カスタマーゲートウェイデバイスが複数のCIDRブロックで構成されている場合、カスタマーゲートウェイデバイスは複数のSAを使用してVPNゲートウェイとネゴシエートします。
解決策
詳細については、「複数のCIDRブロックの設定の提案」をご参照ください。
フェーズ2のネゴシエーションが成功したことをシステムが促し、サービスにpingを送信できるが、サービスまたは一部のポートにアクセスできない場合はどうすればよいですか?
原因
データセンターのVPCセキュリティグループルールまたはアクセス制御ポリシーでは、IPアドレス、プロトコルタイプ、およびポート番号が許可されていません。
解決策
次の指示に基づいて問題をトラブルシューティングします。
VPCセキュリティグループルールを確認します。 セキュリティグループルールが、VPCとデータセンター間のデータ転送に使用されるプロトコル、ポート番号、およびIPアドレスを許可していることを確認してください。
データセンターのアクセス制御ポリシーを確認します。 アクセス制御ポリシーが、VPCとデータセンター間のデータ転送に使用されるプロトコル、ポート番号、およびIPアドレスを許可していることを確認してください。
サービスポリシーとドメイン名解決もデータセンターに設定されている場合は、それらも確認することをお勧めします。 VPCとデータセンター間のデータ転送に使用されるプロトコル、ポート番号、およびIPアドレスが許可されていることを確認してください。
フェーズ2ネゴシエーションが成功したことをシステムが促したが、プライベート接続にパケット損失があり、時には失敗する場合はどうすればよいですか?
考えられる原因と解決策を次の表に示します。
カテゴリ | 原因 | 解決策 |
VPNゲートウェイ仕様の問題 | データ転送中に突然のトラフィックサージが発生し、VPNゲートウェイの最大帯域幅を超えます。 VPN gatewayコンソールでVPN Gatewayのトラフィック監視情報を表示して、突然のトラフィック急増が発生していないかどうかを確認できます。 | VPNゲートウェイをアップグレードできます . 詳細については、「VPN gatewayのアップグレードまたはダウングレード」をご参照ください。 |
IPsec-VPN接続の問題 | IPsecネゴシエーションは中断されます。 | IPsec-VPN接続のログを表示して、フェーズ2ネゴシエーションが成功したかどうかを確認します。 IPsec-VPNネゴシエーションが不安定な状態にあり、IPsecトンネルが頻繁にリセットされてネットワークが中断する場合は、IPsec-VPN接続のログを確認してトラブルシューティングを行います。 詳細については、「IPsec-VPN接続の問題のトラブルシューティング」をご参照ください。 |
最大伝送ユニット (MTU) に関連する問題 | データセンターで設定されたMTUが1,300バイトを超えています。 | VPNゲートウェイが2021年4月1日より前に作成され、データセンターで設定されたユーザーMTUが1,300バイトを超える場合、IPsec-VPN接続が失敗する可能性があります。 この場合、VPN gatewayを最新バージョンに更新することを推奨します。 VPN gatewayをアップグレードする方法の詳細については、「VPN gatewayのアップグレード」をご参照ください。 |
データ送信中、パケットサイズはMTUを超え、これはパケット断片化を引き起こす。 | VPN Gatewayは、断片化されたパケットを送信できますが、パケットの断片を再構築できません。 MTUを1,399バイトに設定することを推奨します。 詳細については、「MTU値の設定」をご参照ください。 |
フェーズ2のネゴシエーションが成功し、プライベート接続を確立できることをシステムが促したが、ネットワークの待ち時間が長い場合はどうすればよいですか?
考えられる原因と解決策を次の表に示します。
カテゴリ | 原因 | 解決策 |
VPNゲートウェイ仕様の問題 | データ転送中に突然のトラフィックサージが発生し、VPNゲートウェイの最大帯域幅を超えます。 VPN gatewayコンソールでVPN Gatewayのトラフィック監視情報を表示して、突然のトラフィック急増が発生していないかどうかを確認できます。 | VPNゲートウェイをアップグレードできます . 詳細については、「VPN gatewayのアップグレードまたはダウングレード」をご参照ください。 |
ネットワーク品質が悪い | IPsec-VPN接続とピアゲートウェイ装置との間のネットワーク品質は悪く、これは、高いネットワーク待ち時間およびパケット損失を引き起こす。 |
ネットワークの遅延が大きい場合は、セグメントでプローブを実行して原因を特定できます。 パブリック接続のネットワーク品質が悪い場合は、Cloud Enterprise network (CEN) などのサービスを使用することを推奨します。 |
オンプレミスネットワークとクラウドネットワークの保護されたデータフローが異なっていても、IPsec-VPN接続が成功するのはなぜですか?
原因
次の図に示すように、オンプレミスゲートウェイデバイスとIPsec-VPN接続の保護されたデータフローに包含関係があり、オンプレミスゲートウェイデバイスとIPsec-VPN接続の両方がIKEv2を使用している場合、Alibaba Cloud VPN gatewayは、Ipsec-VPNネゴシエーション中にそれらの保護されたデータフローが一致すると想定します。 オンプレミスゲートウェイデバイスも包含関係をサポートする場合、IPsec − VPNネゴシエーションは、異なる保護されたデータフローにもかかわらず成功する。
例えば、ゲートウェイ装置1は包含関係をサポートする。 ゲートウェイ装置1とIPsec − VPN接続1との間、およびゲートウェイ装置1とIPsec − VPN接続2との間でネゴシエーションが実行される場合、ゲートウェイ装置1のローカルCIDRブロック10.55.0.0/16は、IPsec − VPN接続1のピアCIDRブロック10.55.193.0/24およびIPsec − VPN接続2のピアCIDRブロック10.55.0.0/16を含む。 さらに、ゲートウェイ装置1のピアCIDRブロック10.66.88.0/22は、IPsec − VPN接続1のローカルCIDRブロック10.66.90.0/24と、IPsec − VPN接続2のローカルCIDRブロック10.66.89.0/24とを含む。 この場合、Gateway Device 1とAlibaba Cloud VPN Gatewayは、保護されたデータフローが一致していると想定し、ネゴシエーションは成功します。
オンプレミスゲートウェイデバイスが包含関係をサポートしていない場合、つまり、ゲートウェイデバイスとAlibaba Cloud VPN gatewayが保護されたデータフローが一致すると想定していない場合、IPsec-VPNネゴシエーションは失敗します。 ローカルゲートウェイデバイスが包含関係をサポートしているかどうかを、ローカルゲートウェイデバイスの製造元に確認する必要があります。
オンプレミスゲートウェイデバイスとIPsec-VPN接続の両方がIKEv1を使用する場合、両側の保護されたデータフローは同じである必要があり、包含関係を持つことはできません。 それ以外の場合、IPsec-VPN接続は失敗します。
考えられる問題
前の図に示すように、VPNゲートウェイに複数のIPsec-VPN接続が存在し、IPsec-VPN接続の保護されたデータフローのCIDRブロックに包含関係がある場合、トラフィックは予想されるパスで転送されない可能性があります。
保護されたデータフローで構成されているIPsec-VPN接続の場合、IPsec-VPN接続が作成された後、システムは関連するルートをVPNゲートウェイのポリシーベースのルートテーブルに自動的に追加します。 各ルートは、同じポリシー優先度を有する。 上記のシナリオでは、VPNゲートウェイのポリシーベースのルートテーブルに次のルートが追加されます。
名前 | ソースCIDRブロック | 宛先CIDRブロック | 次のホップ | 重量 | 優先度 |
ルート1 | 10.66.90.0/24 | 10.55.193.0/24 | IPsec-VPN 接続 1 | 100 | 10 |
ルート2 | 10.66.89.0/24 | 10.55.0.0/16 | IPsec-VPN接続2 | 100 | 10 |
ルート3 | 10.66.90.0/24 | 10.55.178.0/24 | IPsec-VPN接続3 | 100 | 10 |
ルート4 | 10.66.88.0/24 | 10.55.0.0/16 | IPsec-VPN接続4 | 100 | 10 |
ポリシーベースのルートの照合ルールに基づいて、複数のポリシーベースのルートに同じ優先度が割り当てられている場合、トラフィックは、そのシーケンス番号に基づいてポリシーベースのルートと照合されます。 VPNゲートウェイは、最初に一致したポリシーベースのルートを使用してトラフィックを転送します。 一致ルールの詳細については、「ポリシーベースのルートの管理」トピックの「ポリシーベースのルートの一致ルール (ルート優先度を除く) 」をご参照ください。 各経路には、経路がシステムに適用されるときにシーケンス番号が割り当てられる。 ほとんどの場合、以前に設定されたルートは最初にシステムに適用されるため、後で設定されたルートよりもシーケンス番号が小さくなります。 ただし、ルートが最初に適用される厳密な順序付けがないため、後で設定されたルートが最初にシステムに適用され、以前に設定されたルートよりもシーケンス番号が小さい場合があります。
前述のシナリオでは、オンプレミスデータセンタは、IPsec − VPN接続1を介してVPCに要求パケットを送信することができ、VPCは、IPsec − VPN接続4を介してオンプレミスデータセンタに応答パケットを送信することができる。 この場合、ルート4をシステムに送信することができる。 その結果、ルート4の優先度は、ルート1の優先度よりも高くなる。
解決策
オンプレミスのデータセンターおよびIPsec-VPN接続との包含関係がないCIDRブロックを追加します。 IPsec-VPN接続の安定性を高めるために、2つのサイドに同じCIDRブロックを設定することをお勧めします。
IPsec-VPN接続を作成するときに、正確な保護されたデータフローを追加します。 VPN gatewayの下の複数のIPsec-VPN接続が重複しないようにしてください。
保護されたデータフローが1つのポリシーベースのルートにのみ一致するように、ポリシーベースのルートに異なるポリシー優先度と重み値を設定します。
VPN gatewayがポリシー優先設定をサポートしていない場合は、VPN gatewayをアップグレードできます。 アップグレードされたVPNゲートウェイは、ポリシーベースのルートのポリシー優先設定をサポートします。 詳細については、「VPN gatewayのアップグレード」をご参照ください。