Anypoint VPN のトラブルシューティング

Anypoint VPN に接続できない場合は、設定されているファイアウォールで、VPN トンネルの ​localExternalIpAddress​ 項目の IP アドレスを経由するトラフィックが許可されていることを確認してください。

これはフェーズ 1 設定の問題が原因である考えられます。 Anypoint VPN 接続は IKEv1 のみをサポートするため、IKEv2 は機能しません。

サポートされるフェーズ 1 Diffie-Hellman (DH) グループは、2、14-18、22、23、24 です。

フェーズ 2 DH グループがサポートされていない可能性があります。サポートされるフェーズ 2 DH グループは、2、5、14-18、22、23、24 です。

VPC ルートテーブルは、トンネルがアクティブになるまでは更新されません。 静的ルーティングを使用している場合は、トンネルがアクティブになるとリモートネットワークがルートテーブルに追加され、非アクティブになるとテーブルから削除されます。これは想定される動作です。 BGP を使用している場合は、トンネルがアクティブになると VPN エンドポイントからルートが伝播されます。ルートテーブルに必要なエントリが表示されていない場合は、BGP セッションがアクティブであることを確認し、デバイスの BGP 設定が正しいことを検証してください。

トンネルの近隣の IP アドレスが、トンネルの詳細のローカルポイントツーポイント IP アドレスから取得されていることを確認してください。

VPN 接続では、トンネルにつき 1 つのみのセキュリティアソシエーション (SA) ペアがサポートされるので、接続ごとに複数のトラフィックセレクターがあると予期しない結果となります。

これを解決するには、VPN トンネル接続ごとに一意の SA が 1 つだけ使用されていることを確認してください。複数のポリシーが必要な場合は、ネットワーク内のトラフィックを統合して絞り込む必要があります。

IPsec は「対象トラフィック」 (Anypoint VPN 接続を介して暗号化されるトラフィック) を送信することで確立されます。対象トラフィックがない場合、トンネルは切断されます。これは想定される動作であり、タイムアウト値は可変です。

一部の VPN 設定では、トンネルをアクティブ状態に維持するための追加ステップが必要であり、対象トラフィックを定期的に送信する必要があります。たとえば、CloudHub ワーカーの内部 IP アドレスまたは FQDN に対して ICMP 要求を 5 秒ごとに送信すると、トンネルはアクティブ状態を維持できます。

トンネルの状況を取得する時間には、インフラストラクチャプロバイダー API の固有の遅延が含まれるため、正しい状況が報告されるまで最大 5 分遅れる可能性があります。この情報を使用して、トンネル間のフェールオーバーをトリガーしないでください。代わりに、顧客側の VPN ゲートウェイのトンネルを監視します。