はじめに
実務で、AWSの設定は完了したはずなのに、オンプレミスからアクセスできない状況が発生しました。
結論は、オンプレミス側の設定の見落としが主な原因でした。
発生した問題
- EC2やRDSへのPing・SSH・RDPが通らない
- プライベートDNS名の名前解決が失敗する
- AWS側(セキュリティグループ、NACL、ルートテーブルなど)は問題なし
- オンプレ端末にAWSのIPを直接設定しても通信できない
チェックすべき2つの設定
1. オンプレミスルーターにAWS CIDRへのルートがあるか
オンプレミスからAWSのVPCに到達するには、
接続に使用するルーターがAWSのCIDRを正しく認識している必要があります。
✅ チェックポイント
- 静的ルートでVPC CIDRがルーターに明示的に登録されているか
2. オンプレミスDNSサーバに条件付きフォワーディングがあるか
オンプレミスからAWS内のDNS名(例: example.internal)を解決するには、
Route 53 Resolverのインバウンドエンドポイントと
DNSサーバの条件付きフォワーディングの設定が必要です。
尚、前提として「オンプレのDNSサーバ」からroute53へ名前解決する想定です。
✅ 設定手順
-
Route 53 Resolver インバウンドエンドポイントを作成
- VPCに配置
- 割り当てられるIPアドレス(通常2つ)をメモ
-
オンプレミスDNSサーバに条件付きフォワーディングを設定
- 対象ドメイン:
example.internalなど - 転送先IP: 上記でメモしたインバウンドエンドポイントのIPアドレス
- 対象ドメイン:
💡 例(Windows Server DNSの場合)
- DNSマネージャーを開く
- 「条件付きフォワーダー」→「新しい条件付きフォワーダー」を追加
- 対象ドメインを入力
- IPアドレスにインバウンドエンドポイントを指定
※ 「解決できません」と表示されることがありますが、問題ありません。
これはRoute 53側が逆引き応答を返さない仕様のためで、
実際のDNS解決は正常に動作するはずです。
また、オンプレDNSサーバからインバウンドエンドポイントへのIPがルーティング許可されているかも合わせて確認してください。
感想
オンプレの設定が「どこまで」出来ているかを確認することが大事だと実感