クライアントVPNエンドポイント作成後EC2インスタンスへ接続できない場合の対処方法

困っていた内容

クライアントVPNエンドポイントを作成しましたがVPN クライアントから接続しても、AWS環境にあるEC2インスタンスへ接続できません。

どう対応すればいいの?

接続先のEC2インスタンスのセキュリティグループを確認します。
セキュリティグループのインバウンドルールにクライアントVPNに設定されたセキュリティグループをソースとしたアクセス許可があるか確認ください。
ない場合は、インバウンドルールにクライアントVPNに設定されたセキュリティグループをソースとしたアクセス許可を設定し接続ができるか、ご確認ください。

特定のリソースへのアクセスを許可するには、リソースが実行されているインスタンスに関連付けられているセキュリティグループを特定します。次に、クライアント VPN セキュリティグループからのトラフィックを許可するルールを作成します。

セキュリティグループを使用してアクセスを制限する

接続先のEC2インスタンスのセキュリティグループにクライアントVPNエンドポイントの「クライアントCIDR」を許可している場合がありますが、クライアントVPNエンドポイントに設定した「クライアントCIDR」のIPアドレスではなく、実際はクライアントVPNのエンドポイントにアタッチされたIPアドレスにNATされてEC2にパケットが到達します。
EC2のセキュリティグループにIPアドレスで許可設定をする場合は、クライアントVPNエンドポイントの「クライアントCIDR」ではなくクライアントVPNエンドポイントにアタッチされたサブネットやENI の IP アドレスを許可する必要がありますが、上記AWSドキュメント内容の通りクライアント VPN のセキュリティグループをソースとした設定方法でも同じ制限が可能な様です。

アタッチを行うと、指定したサブネット内に Elastic Network Interface (ENI) が作成されます。 クライアントサブネットからのネットワークトラフィックはすべて ENI の IP アドレスに NAT されます。

AWS Client VPNの仕組みとクライアントとの接続方法

まとめ

この記事がどなたかのお役に立てば幸いです。