🍒
AWS Client VPN endpoints構築時に発生する伝搬待ちについて
事象
ClientVPNendpointsを作成した直後にAWSVPNClientを使用し、アプリ上では正常に接続できたように見えていても実際にはDNS解決されず、インターネットに接続できません。
原因
理由はClientVPNendpointsに関連付けられた証明書の変更には最大で24時間要することがあるからです。私の環境だと、異なるAWSアカウントで確認しましたが、共にで約15分間の待機時間(伝搬待ち)が発生しました。
過去に何度も作成していたのにこれまでこの事象に悩まされたことはなかったので原因がわかるまで時間を要しました。
確認項目
- エンドポイントは正常に作成できているように見える
{
"ClientVpnEndpoints": [
{
"ClientVpnEndpointId": "cvpn-endpoint-xxxxxxxxxxxx",
"Description": "",
"Status": {
"Code": "available"
},
-
アプリではClientVPNendpointsに正常に接続できているように見える
-
ログではClientVPNendpointsに正常に接続できているように見える
"connection-log-type": "connection-attempt",
"connection-attempt-status": "successful",
"connection-attempt-failure-reason": "NA",
"connection-id": "cvpn-connection-xxxxxxxxxxxx",
"client-vpn-endpoint-id": "cvpn-endpoint-xxxxxxxxxxxx",
"transport-protocol": "udp",
"connection-start-time": "20xx-xx-xx xx:xx:xx",
"connection-last-update-time": "20xx-xx-xx xx:xx:xx",
"client-ip": "xxx.xxx.xxx.xxx",
"username": "xxxx",
"device-type": "mac",
"device-ip": "xxx.xxx.xxx.xxx",
"port": "8762",
"ingress-bytes": "0",
"egress-bytes": "0",
"ingress-packets": "0",
"egress-packets": "0",
"connection-end-time": "NA",
"connection-duration-seconds": "0"
- 実際には名前解決できてない
% dig yahoo.co.jp
; <<>> DiG 9.10.6 <<>> yahoo.co.jp
;; global options: +cmd
;; connection timed out; no servers could be reached
Feature Request
証明書の伝搬遅延が原因で、エンドポイント設定が完全にならないと、内部DNSの設定や外部へのルーティングも正常に機能しない状況になるんだからエンドポイントの状態はavailableになっちゃダメでしょ。とサポートセンターに機能追加のお願いをしておきました。
Discussion