「ピアが応答していません」というメッセージが表示されて VPN が停止した場合、ネットワークの停止、ファイアウォール ルールの欠落や構成ミスなど、さまざまな根本原因が考えられます。
問題
作成後に新しい VPN が起動しない。またはいずれか 1 台のエンドポイントが更新または再構成された後、あるいはルート テーブルが変更された後に動作中の VPN が機能を停止する。
原因
ping などのコマンドを使用して到達可能性を検証できる他のエンドポイントとは異なり、VPN 自体の外部で VPN 接続を検証することはできません。IPsec では UDP を使用するため、ピアから応答を取得するか、または取得しません。ping の到達可能性は、ピアが ping を有効にしているかどうかによって異なり、多くのピアでは有効にしていません。
解決方法
- VPN で構成されたリモート IP アドレスが、ピアがリッスンする IP アドレスと一致していることを確認します。
- リモート(オンプレミス)サイトのすべてのファイアウォールが UDP ポート 500 へのトラフィックを許可するように構成されていることを確認します。リモート エンドポイントが NAT 処理されている場合、リモート サイトのファイアウォールは UDP ポート 4500 へのトラフィックを許可する必要があります。
- IPsec VPN トラフィックでは複数のプロトコルを使用します。すべてのプロトコルをファイアウォール経由で許可する必要があります。
一般的に次の設定を行います。
- ESP (Encapsulating Security Payload) IP プロトコル 50
- AH(認証ヘッダー)- IP プロトコル 51
- ISAKMP (Internet Security Association and Key Management Protocol)、続いて IKE と IKE v2(インターネット キー交換)を使用
- 両方のエンドポイントに同じ IKE バージョンが構成されていることを確認します。
- それぞれの側が相互に到達できるようにルーティングが設定されていることを確認します。
これは traceroute を使用して検証できますが、多くのエンドポイントは標準の ICMP エコー (ping) または traceroute 要求に応答しないため、エンドツーエンドのパス検証が常に可能とは限りsません。SDDC VPN の
[ローカル IP アドレス] をパブリックとして構成すると、VPN トラフィックは常に SDDC インターネット ゲートウェイを通過します。それ以外の場合(VPN の
[ローカル IP アドレス] がプライベートの場合)、VPN トラフィックは SDDC の
[イントラネット] アップリンクを通過します。VPN のリモート側が同じパスを介して応答トラフィックを送信していることを確認してください。