はじめに
こんにちは。孔子の80代目子孫兼技術4課の孔です。最近ほとんど外出をしていないので体の退化が本格的に進んできました。健康には気をつけたいですが、なかなか外に出ようと思えず、悶々としている今のこの頃です。安全な経路を確保して散歩でも定期的にしないとですね…あれ、安全な経路?
ということで、今日の話は「安全な経路」とのことで、VPNです。いろいろなシーンで活躍できるVPNですが、なかなかつながらず、てこずることも多いのではないでしょうか。普段お客様からもVPNがつながらないが、どうすればいいのか問い合わせをたくさんもらってたりもしますので、本日はVPN接続がうまくつながらない時の対処法をまとめてみました。ただし、VPNがつながらない理由は星の数より多いです。ですので、主に気をつけたいポイントだけピックアップしてお伝えしようと思います。
このブログだけで全てのトラブルを解消できるわけではありませんが、少しでもお役に立てたら嬉しいです。それでは、早速開始です。
AWS Site-to-Site VPNの接続方法をまずは確認!
まずはAWS Site-to-Site VPNの接続方法からしっかり確認しましょう。この手順をしっかり従うだけでも多くの問題は解決できます。手順で何かが漏れていたり、設定を間違えたりすることは多々あります。接続方法は以下のドキュメントをご参考ください。
https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/SetUpVPNConnections.html
それでは、接続設定する際に特に気をつけたいポイントをみていきましょう。
FWの設定は正しいかチェック
こちらのリンクをご参考いただきますと、VPN接続を行う際に疎通を許可しないといけないポートに対する設定が記載されています。仮想プライベートゲートウェイ1、2に対するUDP500およびUDP50ポートを許可しなければなりません。
実際、ここの設定が漏れていて通信がそもそも弾かれてしまうことはよくあることです。また、VPN接続の際にConfigファイルをそのままダウンロードして使う場合にはあまり該当しませんが、ルーターのフィルタリング設定でこちらのポートがPassとして設定されておらず、通信ができないケースもあります。通信要件を満たしているか、しっかり確認しましょう!
NAT構成であればここ注意!
オンプレミス環境でNATを使用している場合があるかと思います。例えば以下のような構成です。
「インターネット - FW - NAT - ルーター - サーバー」の図を貼る
このように、ルーターの前段にNATがある場合には注意が必要です。VPN接続を進める際に作成するカスタマーゲートウェイですが、IP指定をルーターでなくNATデバイスのIPをカスタマーゲートウェイに指定する必要があります。
また、FWの設定にて、いろいろな要件がありますが(こちらのリンクをご参考ください)NATデバイスが介入する場合には追加で4500/UDPポートも開放する必要があります。
以下のブログを確認してみると、NATを使用する場合4500/UDPポートの開放が必要であることがわかるかと思います。
同じく、オンプレミスでNATデバイスを使用する際にはFWにて該当するポートを解放しましょう。
トラブルシューティングをして、どの段階でエラーが生じてるかチェック
VPN接続と一言で言っても、接続の際には段階があります。フェーズ1・2、トンネリングと言った段階です。どの段階で問題が生じているかチェックして、原因を特定することが問題解決の近道です。
こちらのリンクを参考いただきますと、多様な種類のルーターでどのようにトラブルシューティングができるか記載がありますので、参考にしてトラブルシューティングを行うのもいいでしょう。
最後に
「つながるVPNはいずれも似ているが、つながらないVPNはそれぞれちがう理由をかかえている」(アンナ・カレーニナっぽく言ってみました)
VPNがつながらない理由はいろいろありますが、設定がちゃんとされているか!構成に注意すべきものはないか!をチェックしながら、トラブルシューティングを行っていくと原因究明&解決に繋がるかと思います。
それでは、諦めずに頑張りましょう!