web-dev-qa-db-ja.com

トラフィックなしでAWSVPNトンネルがダウンする

Amazon VPCから会社のネットワークへのサイト間VPN接続をセットアップできました。多くの構成を行った後、正常に機能していましたが、VPNトンネル数分間トラフを通過するトラフィックがないたびにダウンします

トラフィックを生成するために私が見つけた唯一の方法は、会社のネットワークからAmazonインスタンスに到達することです。その後、トンネルが再び上昇します。

毎分pingを実行するcronジョブがありましたが、どこかにキープアライブオプションがあるか、少なくともトンネルのログファイルで何が起こっているのかを調べる必要があると思います。

トンネルを維持したり、アマゾンから立ち上げたりするためのアイデアはありますか?

ファイアウォールはチェックポイントR75.20であり、同じサブネットに対して一度に1つのトンネルしか許可しないため、両方のトンネルをアクティブにすることはできません。

ありがとう、どんな質問でもただ尋ねてください。

編集追加するのを忘れました。pingキープアライブは正常に機能していました(トラフィックが少し発生する可能性がありますが、心配する必要はありません)。インスタンスを再起動する必要があったために接続が切断されました。

vpnamazon-web-servicessite-to-site-vpnstatic-routestunnel
1
Asfura

SLAモニターを追加します

SLAモニタを使用すると、ASAにトンネル上で継続的なpingを実行させて、トンネルを常に稼働させ続けることができます。これは、トンネルを介してIPを5秒ごとに永久にpingする構成です。

sla monitor 1
    type echo protocol ipIcmpEcho 10.1.2.2 interface OUTSIDE
    frequency 5
exit

sla monitor schedule 1 life forever start-time now

これのポイントは、トンネルを維持することだけです。 pingが実際に成功したかどうかは関係ありません。

参照: http://www.tunnelsup.com/troubleshooting-vpn-between-Cisco-asa-and-Amazon-aws

1
Kato

2つのアイデア、

1)チェックポイント側でキーの再生成を有効にできるかどうかを確認します。これは長くて複雑な調査であり、実際には機能しない可能性があります。

2)VPCを使用しているので、「DNSを有効にする」機能をアクティブにしていますか?デフォルトでオンになっています。その場合、VPC内に常に存在するIPアドレス(VPC DNSサーバー)があります。すべてのインスタンスがなくなったとしても、それはまだそこにあります。そのIPアドレスは、インスタンスのDHCPリースから簡単に見つけることができますが、常にVPCサブネットネットワーク番号+ 2です(たとえば、VPCが172.20.0.0/16の場合、VPC DNSサーバーのIPは172.20.0.2です)。 。 cronからDig @ a.b.c.dwhatever.comを実行できます。

最後に、数分後に接続がダウンするのは本当に短すぎるようです。チェックポイント側でトンネルの有効期間を変更できる場合があります(チェックポイントはトンネルを開始するものであるためですよね?)

幸運を!

0
whitepaws