私のISPはすべての受信トラフィックをブロックしています。AWSでVPCを設定するには、AWSが私のEdgeRouterに接続を開始する必要があるようです。EdgeRouterにAWS / VPCへの接続を開始し維持させる方法はありますか? このために推奨されるVPN接続のタイプは何ですか? 目的は、サイト間接続を維持し、VPCにVPNでアクセスし、家庭のリソースにアクセスできるようにすることです(EdgeRouter経由)。
ISPに特定のプライベートIPアドレスにDMZを設定できるかどうか尋ねましたか?
AWSのサイト間VPN接続は、デフォルトでは非AWS側が開始します。https://docs.aws.amazon.com/vpn/latest/s2svpn/initiate-vpn-tunnels.html
もし彼らに頼めば、実用的な意味でAWS側からの自動的な接続開始はほぼ不可能だと気づくでしょう。彼らのVPNサポートチームは正直で、その点は感謝です。しかし、ドキュメントは開始はリモート側から来なければならないと記載を変えるべきです。あるいは、新機能として追加すべきです。
その機能は最近リリースされましたか?それとも期待ほどのものではないといっていますか?
AWS VPNサポートから先週聞いた話によると、AWS側からVPN接続を開始するのは実務上ほぼ不可能です。具体的には:
- VPNトンネルの状態が「DOWN」のときにネゴシエーションや接続を呼び出す明示的な手段(AWSウェブコンソールまたはCLI)がないことを確認できますか?
現状、そのようなオプションはありませんが、「トンネルをバウンス」させる機能をAWSコンソールに追加するリクエストに声を届けています。
- 例えば未使用のネゴシエーション選択肢の追加や削除といったVPNトンネルオプションのちょっとした変更がネゴシエーションや接続をトリガーしますか?
単にトンネル変更オプションをクリックして何も変更せずに保存すれば、VPNエンドポイントが変更され、新しいノードに置き換えられ、スタートアップアクションがトリガーされます。
- VPNの状態が「DOWN」のときに常にネゴシエーションを試み、一定回数再試行し、すべて失敗した場合はAWSクライアントに通知する(メールやSNS経由のSMSなど)設定は提案できますか?
残念ながら現在の機能にはリトライ機能はなく、最初の試みが失敗した場合は再試行しません。
通知については、CloudWatchにVPNログの記録がないため設定できません。ただし、その可視性向上のためのリクエストも追加しています。
- ISAKMP交渉やIPSEC VPN接続試行の詳細、及び接続後のトンネルイベントを公開しているAWSのログはありますか?
残念ながら、VPN接続のCloudWatchログは今のところありませんが、そのリクエストも追加済みです。
つまり、今一部可能になっていることもあるということですね。
ただし、ログ記録の不足は私にとっても過去の問題でした。サポートは私たちよりも多くを見ることができますが、AWS側のログを公開するのは簡単な追加作業のように思えます。私たちのTAMにこのリクエストに+1してもらうよう頼みます。
一度だけ接続を試みます。再試行はありません。そして、何が起きているのかを見る手段もありません。これは現時点では「本当の」機能ではありません。彼らも開発中だと言っています。