すべてのプロダクト
Search

このプロダクト

    VPN Gateway:VPNゲートウェイの診断

    ドキュメントセンター

    VPN Gateway:VPNゲートウェイの診断

    最終更新日:Oct 22, 2024

    VPN Gatewayは、ネットワークインテリジェンスサービス (NIS) と統合されています。 NISを使用して、VPNゲートウェイを診断し、NISが提供するソリューションに基づいて問題をトラブルシューティングできます。 これにより、SSL-VPN接続を使用するときに発生する問題をトラブルシューティングできます。 問題には、SSLネゴシエーションの問題と、VPNゲートウェイのステータスに関連する問題が含まれます。 診断プロセスはビジネスに影響しません。

    診断アイテム

    次の表に、VPN gatewayの診断項目を示します。

    カテゴリ

    診断アイテム

    説明

    構成診断

    インスタンス設定

    VPN gatewayが設定されているかどうかを確認します。

    VPN gatewayが設定されている場合は、VPN gatewayで操作を実行する前に、VPN gatewayが [アクティブ] 状態になるまで待ちます。

    バージョンチェック

    VPN gatewayが最新バージョンを使用しているかどうかを確認します。

    VPN gatewayを最新バージョンにアップグレードすることを推奨します。 詳細については、「VPN gatewayのアップグレード」をご参照ください。

    VPNトンネル設定

    SSL-VPN接続の作成に使用されるSSLサーバーがVPN gatewayで構成されているかどうかを確認します。

    必要なパラメーターが設定されていない場合は、ネットワーク通信要件に基づいてパラメーターを設定します。 詳細については、「SSLサーバーの作成と管理」をご参照ください。

    信頼できないSSL接続

    VPNゲートウェイに信頼できないSSL-VPN接続が存在するかどうかを確認します。

    UDPプロトコルを使用する信頼できないSSL-VPN接続がSSLサーバーに存在する場合、この問題を解決するためにSSLサーバーのプロトコルパラメーターをTCPに設定することを推奨します。 TCPプロトコルは、UDPプロトコルよりも信頼性が高い。 詳細については、「SSLサーバーの変更」をご参照ください。

    仮想プライベートクラウド (VPC) 内のCIDRブロック競合

    SSLサーバー用に設定されたローカルネットワークおよびクライアントサブネットが、VPC内のvSwitchのCIDRブロックと競合するかどうかを確認します。

    このような競合が存在する場合は、SSLサーバーのCIDRブロックを変更することを推奨します。 詳細については、「SSLサーバーの変更」をご参照ください。

    不十分なIPアドレス

    SSLサーバー用に設定されたクライアントサブネットに、SSL-VPN接続の要件を満たすのに十分なIPアドレスが含まれているかどうかを確認します。

    IPアドレスが不十分な場合は、クライアントCIDRブロックを変更します。 詳細については、「SSLサーバーの変更」をご参照ください。

    クライアントCIDRブロックのIPアドレスの数が、VPNゲートウェイのSSL-VPN接続の数の4倍以上であることを確認します。

    たとえば、クライアントCIDRブロックとして192.168.0.0/24を指定した場合、システムは最初に、192.168.0.4/30などの192.168.0.0/24から30のサブネットマスクを持つサブネットCIDRブロックを分割します。 このサブネットは最大4つのIPアドレスを提供します。 次に、システムは192.168.0.4/30からのIPアドレスをクライアントに割り当て、他の3つのIPアドレスを使用してネットワーク通信を保証します。 この場合、1つのクライアントが4つのIPアドレスを消費します。 したがって、クライアントにIPアドレスを確実に割り当てるには、クライアントCIDRブロック内のIPアドレスの数が、関連付けられているVPNゲートウェイでサポートされているSSL-VPN接続の最大数の4倍以上であることを確認する必要があります。

    パブリックCIDRブロックの競合

    SSLサーバーのクライアントサブネットとして設定されているパブリックCIDRブロックがVPCのユーザーCIDRブロックとして指定されているかどうかを確認します。

    SSLサーバーのクライアントCIDRブロックがパブリックCIDRブロックの場合、パブリックCIDRブロックをVPCのユーザーCIDRブロックとして指定する必要があります。 詳細については、「」をご参照ください。ユーザーCIDRブロックとは何ですか?ユーザーCIDRブロックを設定するにはどうすればよいですか? 「VPC FAQ」トピックのセクション。

    クォータ制限診断

    VPNゲートウェイ帯域幅使用量

    VPN gatewayの帯域幅使用量が上限の80% に達しているかどうかを確認します。

    VPN gatewayの帯域幅使用量が上限の80% に達した場合、ネットワーク要件に基づいてVPN gatewayの帯域幅をアップグレードできます。 詳細については、「VPN gatewayのアップグレードまたはダウングレード」をご参照ください。

    VPN接続

    VPN gatewayのSSL-VPN接続数が上限の80% に達しているかどうかを確認します。

    VPNゲートウェイのSSL-VPN接続数が上限の80% に達した場合、ネットワーク要件に基づいてクォータの増加を要求できます。 詳細については、「同時SSL接続の最大数の変更」をご参照ください。

    証明書診断

    SSLクライアント証明書の有効期限

    SSLクライアント証明書の有効期限が切れているかどうかを確認します。

    デフォルトでは、SSLクライアント証明書の有効期間は3年です。 SSLクライアント証明書の有効期限が切れている場合は、SSLクライアント証明書を削除し、新しいSSLクライアント証明書を作成してから、新しい証明書をクライアントにインストールします。 詳細については、「SSLクライアント証明書の作成と管理」および「VPCへのクライアントの接続」トピックの「手順4: クライアントの設定」セクションをご参照ください。

    SSLクライアント証明書の有効期限

    SSLクライアント証明書の有効期限が60日以内かどうかを確認します。

    SSLクライアント証明書が60日以内に期限切れになる場合は、SSLクライアント証明書を削除し、新しいSSLクライアント証明書を作成してから、クライアントに新しい証明書をインストールすることを推奨します。 詳細については、「SSLクライアント証明書の作成と管理」および「VPCへのクライアントの接続」トピックの「手順4: クライアントの設定」セクションをご参照ください。

    コスト診断

    料金の滞納

    VPN gatewayに料金滞納があるかどうかを確認します。

    VPN gatewayに料金滞納がある場合は、アカウントに資金を追加します。

    VPNゲートウェイの有効期限

    VPN gatewayが7日以内に期限切れになるかどうかを確認します。

    診断の開始

    1. VPN Gatewayコンソール.

    2. 上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。

    3. VPN Gatewayページで、診断して選択するVPNゲートウェイを見つけます診断 > インスタンス診断で、診断列を作成します。

    4. インスタンスの診断パネルは、診断の細部を見ます。

      説明

      • NISが有効化されていない場合は、[Standard Edition NIS] を選択し、[NISを無料で有効化してインスタンスを診断する] をクリックします。

      • RAMユーザーとしてNISを有効化し、権限を持っていないことを示すメッセージが表示された場合、Alibaba Cloudアカウントを使用してAliyunNISFullAccess権限をRAMユーザーに付与します。 詳細については、「RAM ユーザーへの権限の付与」をご参照ください。

      • 診断を初めて実行する場合、システムは自動的にサービスにリンクされたロールAliyunServiceRoleForNisを作成します。 詳細については、「サービスにリンクされたロール」をご参照ください。

      发起诊断

      セクション

      説明

      インスタンス診断パネルに異常が表示されます。 診断の説明、関連するリソース、および提案を表示できます。

      診断項目 セクションで すべてを表示 を選択すると、VPNゲートウェイのすべての診断項目を表示できます。

      NISコンソールの [概要] ページに移動するには、インスタンスの診断 パネルの上部にある NIS コンソールに移動して診断レコードを表示します。 をクリックし、VPNゲートウェイに関する診断レポートの履歴を表示します。 詳細については、「概要ページの機能の使用」をご参照ください。

    診断の例

    实例诊断-SSL-VPN

    SSL-VPN接続を使用してVPCリソースにアクセスするシナリオでは、クライアント接続障害などの問題が発生した場合、VPNゲートウェイのトラブルシューティングを診断できます。

    1. 診断を開始します。 詳細については、このトピックの「診断の開始」セクションをご参照ください。

    2. インスタンスの診断パネルは、診断の細部を見ます。

      发起诊断-示例2

      上の図は、クライアント接続の失敗により診断に失敗するVPNゲートウェイの例を示しています。 SSLサーバーがUDPを使用してクライアント接続を確立するため、SSL-VPN接続に失敗します。 この問題を防ぐために、SSLサーバーのプロトコルをTCPに変更することを推奨します。

    3. 問題を解決したら、VPNゲートウェイを再度診断します。 VPNゲートウェイが診断に合格していることを確認します。

      发起诊断-示例2-诊断通过

    4. VPNゲートウェイが診断に合格したが、データセンターとVPC間の通信障害など、SSL-VPN接続の使用時に問題が発生した場合は、SSL-VPN接続のログを表示し、VPN gatewayのFAQトピックを参照してトラブルシューティングを行います。 詳細については、「SSL-VPN接続の問題のトラブルシューティング」および「SSL-VPN接続に関するFAQ」をご参照ください。