クライアントVPNエンドポイント作成後EC2インスタンスへ接続できない場合の対処方法
この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
困っていた内容
クライアントVPNエンドポイントを作成しましたがVPN クライアントから接続しても、AWS環境にあるEC2インスタンスへ接続できません。
どう対応すればいいの?
接続先のEC2インスタンスのセキュリティグループを確認します。
セキュリティグループのインバウンドルールにクライアントVPNに設定されたセキュリティグループをソースとしたアクセス許可があるか確認ください。
ない場合は、インバウンドルールにクライアントVPNに設定されたセキュリティグループをソースとしたアクセス許可を設定し接続ができるか、ご確認ください。
特定のリソースへのアクセスを許可するには、リソースが実行されているインスタンスに関連付けられているセキュリティグループを特定します。次に、クライアント VPN セキュリティグループからのトラフィックを許可するルールを作成します。
接続先のEC2インスタンスのセキュリティグループにクライアントVPNエンドポイントの「クライアントCIDR」を許可している場合がありますが、クライアントVPNエンドポイントに設定した「クライアントCIDR」のIPアドレスではなく、実際はクライアントVPNのエンドポイントにアタッチされたIPアドレスにNATされてEC2にパケットが到達します。
EC2のセキュリティグループにIPアドレスで許可設定をする場合は、クライアントVPNエンドポイントの「クライアントCIDR」ではなくクライアントVPNエンドポイントにアタッチされたサブネットやENI の IP アドレスを許可する必要がありますが、上記AWSドキュメント内容の通りクライアント VPN のセキュリティグループをソースとした設定方法でも同じ制限が可能な様です。
アタッチを行うと、指定したサブネット内に Elastic Network Interface (ENI) が作成されます。 クライアントサブネットからのネットワークトラフィックはすべて ENI の IP アドレスに NAT されます。
AWS Client VPNの仕組みとクライアントとの接続方法
まとめ
この記事がどなたかのお役に立てば幸いです。
