EC2インスタンスにSSH接続できない

回答率: 85.48%

質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

新規登録して質問してみよう

ただいま回答率: 85.48%

トップ Tera Termに関する質問

Q&A

解決済

5回答

20362閲覧

EC2インスタンスにSSH接続できない

総合スコア178

0グッド

0クリップ

投稿2019/10/02 00:25

編集2019/10/02 10:04

0

0

AWSにて、EC2インスタンスを立ち上げ、tera termにてssh接続を試みたのですが、「ホストに接続できません」との表示が出てしまい、インスタンスに接続することができません。
色々と調べていましたら、iptableの設定が問題かもしれないとのことがわかりました。
こちらのssh接続ができなくなった際の解決法についての記事を読ませてもらったのですが、そもそも今現在自分はインスタンスを一つしか所持していない為、リンク先の方法が取れない状況にあります。
どなたか解決法をご存じでしたら、教えて頂けますと幸いです。
追記です
SSH接続に関してなのですが、以前書籍を頼りに作成したインスタンスにSSH接続をしたのですが、その際は成功いたしました。
また、今回作成したインスタンスへのSSH接続は一度も成功していないといった状況になっております。
インスタンスを作成する際なのですが、無料のAmazon Linux 2 AMI (HVM), SSD Volume Typeを選択し、後は名前を付けるため、タグを設定したのみで、他の個所については、全てデフォルトの状態になっております。
以下は、tera termを立ち上げた際の画面となります
![
追記➁
コマンドプロンプトより、「ping 54...*」として送ってみたのですが、要求がタイムアウトしてしまいました。

行動規範の内容に同意します

回答5件

0

ベストアンサー

作成したEC2に設定したキーペアと接続時に使用する秘密鍵は一致していますでしょうか？

また、セキュリティグループでインバウンドのSSHは、ご自身が利用されているIPアドレスが許可されていますでしょうか？
こちらで確認できます。

投稿2019/10/02 02:44

編集2019/10/02 02:54

総合スコア453

2019/10/02 03:11

>また、セキュリティグループでインバウンドのSSHは、ご自身が利用されているIPアドレスが許可されていますでしょうか？セキュリティグループのインバウンドを確認してみました所、「ソース」の項目は「0.0.0.0/0」こちらが設定されておりました為、全てのipアドレスが許可されているものと思われます。

2019/10/02 03:11

＞作成したEC2に設定したキーペアと接続時に使用する秘密鍵は一致していますでしょうか？こちらを入力する以前の、ホストを入力し、接続する段階で、ホストへの接続が失敗してしまっているといった状況になってしまっております。

2019/10/02 03:18

秘密鍵の指定を行ってから接続かと思いましたが認識と異なりますでしょうか？ TeraTermであれば、「RSA/DSA鍵を使う」にチェックをいれ、秘密鍵ファイルを指定する必要があるかと存じます。

2019/10/02 03:24 編集

なお、EC2キーペアの秘密鍵は、キーペア作成時にダウンロードすることができます。 https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-services-ec2-keypairs.html もしこちらをダウンロードしていない(し損ねた)場合は再度キーペアを作成する必要があるかも知れません……。 > プライベートキーは AWS に保存されず、作成時にのみ取得することができます。後で復元することはできません。代わりに、プライベートキーを紛失した場合は、新しいキーペアを作成する必要があります。【補足】秘密鍵を使用して接続するので、AmazonLinuxであればユーザはec2-userで、パスフレーズは必要ございません！ pemという拡張子のファイルをダウンロードした覚えはございますか？

2019/10/02 03:33

tera termを立ち上げた際のキャプチャー画像を追記いたしました。＞秘密鍵の指定を行ってから接続かと思いましたが認識と異なりますでしょうか？こちらなのですが、恐らくホストへの接続が成功した後の設定ではないでしょうか？画像の方、ご確認頂けましたら幸いです。

2019/10/02 03:43 編集

画像の追記ありがとうございます、確認致します！【追記】仰るとおり、画像を確認するに一番最初のところで躓いている状況なのですね……改めて調べてみます。ありがとうございます。

2019/10/02 04:00

お手数をおかけしてしまし、申し訳ないです。よろしくお願いします。

2019/10/02 08:34

もしかしたら、インスタンスが起動できているか、といった点も怪しいです... pingを送ってみた所、「要求がタイムアウトしました」との応答が返ってきましたので...

2019/10/02 09:03 編集

追加情報ありがとうございます。ただ、EC2に対するpingは、セキュリティグループでICMPを許可してあげないと通らないハズなので、許可設定を追加しても返らないという訳でなければ起動自体は問題ないかと思いますよ！ご参考：https://blogenist.jp/2018/06/20/4805/ 【追記】追加のご確認ですが、EC2を起動したAMIのIDは「ami-0ff21806645c5e492」で合っていますでしょうか？ > 無料のAmazon Linux 2 AMI (HVM), SSD Volume Typeを選択所有者がamazonのパブリックイメージのものと本当に同じかどうかをご確認させて頂きたく存じます。

2019/10/02 09:10 編集

①EC2の"インスタンス"を選択 ②"インスタンスの作成"という青いボタンをクリック ③"クイックスタート"から"Amazon Linux 2 AMI (HVM), SSD Volume Type - ami-0ff21806645c5e492 (64 ビット x86)"を選択 ④任意のインスタンスタイプを選択し次のステップ ⑤インスタンスの詳細は全てデフォルトのまま次のステップ ⑥ストレージの追加は全てデフォルトのまま次のステップ ⑦タグは任意のものを追加し、次のステップ ⑧"既存のセキュリティグループを選択する"から　タイプ：SSH 　プロトコル：TCP 　ポート範囲：22 　ソース：ご自身のグローバルIPアドレス、もしくはネットワークが許可されたIPレンジ　のセキュリティグループを選択して"確認と作成"をクリック ⑨"起動"をクリック（このとき、秘密鍵ファイルを所有しているキーペアを選択） EC2作成までの流れで、上記と異なる部分はございますか？

2019/10/02 09:17

＞EC2を起動したAMIのIDは「ami-0ff21806645c5e492」で合っていますでしょうか？ AMIのIDは左メニュー項目のAMIから確認を行えますでしょうか？ AMIの項目を選択したのですが、パブリックイメージにはインスタンスを作成した日付のものはなく、プライベートイメージ、自己所有には一つもみつからないといった状態です。

2019/10/02 09:23 編集

EC2を作成したAMI IDの確認は、EC2のクイックスタートからでも可能ですが一般的には以下手順で確認します。 ①インスタンス一覧より作成したEC2を選択 ②画面下の説明タブの"AMI ID"を確認　AMI名( AMI ID) 　みたいな感じに表示されています。

2019/10/02 09:23

ご提示頂いた手順なのですが、⑧のソースはカスタムを選択し、「0.0.0.0/0」を指定いたしました。その他の部分に関しましては、ご提示頂いた通りにインスタンスを作成いたしました。

2019/10/02 09:25

追記頂きました方法で、AMI IDを確認いたしました。 AMI IDは以下の通りです。「amzn2-ami-hvm-2.0.20190823.1-x86_64-gp2 (ami-0ff21806645c5e492)」

2019/10/02 09:26

ありがとうございます。「0.0.0.0/0」に関しては https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html にもございますように、全許可になりますので問題ないと思います。では、EC2はデフォルトVPCに作成されていますか？また、"VPC"から"ネットワークACL"を選択し、EC2を作成しているVPCにてSSHを拒否しているようなネットワークACLはございませんでしょうか？

2019/10/02 09:32 編集

>AMI IDは以下の通りです。 >「amzn2-ami-hvm-2.0.20190823.1-x86_64-gp2 (ami-0ff21806645c5e492)」ありがとうございます、では本当に間違いなくAmazon所有のパブリックイメージから作成されているようですね。念のためのご確認でした。【補足】もう１点補足です！追記②されている「54.249.xxx.xxx」はEC2のパブリックIPでしょうか？現状セキュリティグループでSSH全許可されているとのことですので、念のため記載されないことを推奨致します。ElasticIPであれば一度破棄し、パブリックIPであれば一度インスタンスを停止→起動してパブリックIPを変更された方がよいかと存じます。

2019/10/02 09:40 編集

すみません。ご丁寧にご確認頂きありがとうございます。＞EC2はデフォルトVPCに作成されていますか？はい。VPCはデフォルトのものを選択いたしました。少し、気になったのですが、VPCから、ルートテーブルへと辿った際、送信先「0.0.0.0/0」に対して、ステータスが「blackhole」となっていました。こちらに関しては問題ないと思われますでしょうか...?

2019/10/02 09:53 編集

本来そこに設定されていたインターネットゲートウェイが削除などされた可能性があります。 https://go-journey.club/archives/12101 その為、そちらが原因の可能性が高いです現在デフォルトゲートウェイで、他に使用しているリソース(EC2など)はございますか？他に影響が無いようであれば、そのblackhole状態を直す事で症状が改善されるかどうかを確認してみる価値はあると思います。【追記】他リソースに影響がなさそうであれば以下を確認下さい。 AWSのVPCを開き、左側のメニューから「インターネットゲートウェイ」を選択して下さい。そこにインターネットゲートウェイは１つ以上ありますでしょうか？また、VPCが割り当てられていない(アタッチ済み VPC IDが空の)インターネットゲートウェイはございますでしょうか？インターネットゲートウェイをVPCにアタッチする手順として分かりやすいものがございましたので、以下ご参考ください。 https://lab.sonicmoov.com/development/aws/vpc/ 「VPCにInternet Gatewayを追加」以下をご確認下さい。

2019/10/02 09:50

＞EC2のパブリックIPでしょうか？はい。インスタンスを選択した際に下側に表示されている「ipv4 パブリックIP」になります。＞現在デフォルトゲートウェイで、他に使用しているリソース(EC2など)はございますか？いえ、以前作成しましたインスタンスは削除してありますので、ないと思います。

2019/10/02 10:00

ご丁寧にありがとうございます。＞そこにインターネットゲートウェイは１つ以上ありますでしょうか？はい。しかし、こちら下側の「説明」の欄を見てみますと、アタッチされているVPCは以前、作成したVPCがアタッチされておりました。＞VPCが割り当てられていない(アタッチ済み VPC IDが空の)インターネットゲートウェイはございますでしょうか？いえ、以前作成したVPCに割り当てられているもの以外は見当たりません。

2019/10/02 10:02

一度、以前に作成したVPCにアタッチされているものをデタッチし、インスタンスを作成する際に指定したデフォルトのVPCへアタッチしてみようかと思います。

2019/10/02 10:03

デフォルトVPCに割り当てられているインターネットゲートウェイは無いということで認識相違ございませんでしょうか？であれば、デフォルトVPCからインターネットに接続できるように先ほどデフォルトVPCのルートテーブルで「blackhole」となっていたところに新たにインターネットゲートウェイを割り当ててあげる必要があるかと存じますので https://lab.sonicmoov.com/development/aws/vpc/ こちらを元にご確認いただけますでしょうか？

2019/10/02 10:07 編集

> 一度、以前に作成したVPCにアタッチされているものをデタッチし、インスタンスを作成する際に指定したデフォルトのVPCへアタッチしてみようかと思います。はい、こちらでも大丈夫です！【追記】ちなみに、yu_1985様が仰られているようにデフォルトVPCは何もしなくても最初はインターネットゲートウェイが割り当てられていて、インターネット接続できる状態(パブリックサブネット)になっている状態のハズなので、ここは検証か何かで意図的にVPC周りを操作された可能性があるかと存じます。

2019/10/02 10:26

＞デフォルトVPCに割り当てられているインターネットゲートウェイは無いということで認識相違ございませんでしょうか？はい。誤認識の通りでございます。すみません。自分の勉強不足だと思うのですが、「先ほどデフォルトVPCのルートテーブルで「blackhole」となっていたところに新たにインターネットゲートウェイを割り当ててあげる必要がある」こちらなのですが、先ほどVPCとインターネットゲートウェイをアタッチしたのですが、ルートテーブルを確認しますと、ゲートウェイがアタッチされていない状況になっております。そして、アタッチするゲートウエィも表示されていないのですが、こちらは何故なのでしょうか...?

2019/10/02 10:35

「blackhole」となってしまっておりました「ルートテーブル」なのですが、サブネットにより関連付けがされておりませんでした為、こちらインスタンスのサブネットIDと一致するものに関連づけを行ってみましたが、やはり接続はできませんでした。。。

2019/10/02 10:39

すみません。若干混乱してしまっている部分があり、申し訳ないのですが、ルートテーブルにて、「送信先」が「0.0.0.0/0」となっております、「ステータス」が「blackhole」「ターゲット」が「 igw-63b48d07」こちらのインターネットゲートウェイなのですが、クリックしてみますと「フィルタ条件に一致するインターネットゲートウェイが見つかりません」との表示がされてしまいます。こちらは、インターネットゲートウェイが既に削除されてしまったという意味なのでしょうか？

2019/10/02 22:58

教えて頂きました、blackholeを解決する為の参考記事を元にインターネットゲートウェイの設定を見直してみましたら、なんとか接続に成功しました。ご丁寧に教えていただきありがとうございました

2019/10/07 06:55

幸いです！

行動規範の内容に同意します

0

まず、セキュリティグループの設定で自分自身のネットワークのIPを含むIPからのSSH（デフォルトなら22番ポート）を許可しているか確認してみてください。
セキュリティグループはポートだけでなく接続元も合わせて設定をしています。
デフォルトのまま作成したらSSHを0.0.0.0/0で許可しているはずだとは思いますが、
ホストに接続できませんなので、そもそもサーバまで疎通できてない感じがします。
Teratermのエラーメッセージ一覧が探しても見つからないのでやってみるしかないところです。
また、特に言及されていませんがSSHログインするにあたり秘密鍵は指定していますか？

あと、補足ですが「一度も接続できていない」のか「接続できていたものができなくなった」のかは違います。
前者であれば、カスタマイズされたAMIを使っていない限りiptablesが原因であることは考えづらいです。
iptablesはサーバ内部で設定しなければいけないからです。

細かいことをいうと、別のインスタンスを立てるのは簡単なので参考リンクの先の方法はそれほど難しくはありません。
ただ、コメント欄を見る限り恐らく上記のうち後者だと思いますのでおそらく適切ではないかと思います。

追記
読んだら色々書いてありましたね。
そうなると気になるのは下記でしょうか。

立ち上げたインスタンスはデフォルトのマシンイメージから作りましたか？どのOSでしょう？
間違ってプライベートIPを指定していたりしませんか？
自分の使っているネットワークからアウトバウンドのSSHは許可されていますか？他の外部サーバにはSSHできますか？

投稿2019/10/02 03:10

編集2019/10/02 03:16

総合スコア7440

2019/10/02 03:40 編集

ご回答頂きありがとうございます。現在、AWS講座の動画を見ながら、勉強を進めているのですが、「SSHログインする際の秘密鍵の指定」に関しましては他の方からもご指摘を頂いたのですが、はホストへの接続が成功した後の設定ではないでしょうか？ tera termを立ち上げた際の画像を追記いたしましたので、ご確認いただけますと幸いです。

2019/10/02 03:42

こちらも追記しました。 IPの指定が間違っているかどこかで接続がブロックされているかしかもう思い当たるところがないのが正直なところです。 IPの指定に余計なスペース（特に気づきにくいのが末尾）が入っていたりしないか等細かく確認してみてください。

2019/10/02 04:04

ご返信ありがとうございます。すみません。最後に一点だけお伺いしたいのですが、「Elastic IP」の指定or作成はしていないのですが、こちらが関係あるといったことは考えられますでしょうか？

2019/10/02 05:23

ElasticIPの作成をしていなくても、インスタンスを立ち上げるときに自動割当パブリックIPを指定したら自動でPublicなIPが割り当てられます。ただし、ElasticIPを割り当てるのと違ってインスタンスを停止して再度立ち上げるとIP、ホスト名が変わってしまいます。そのためIPを固定したい場合はElasticIPを割り当てる必要があります。 …もしかして、IPをコピーした後にインスタンス停止→開始をしましたか？

2019/10/02 08:29

＞もしかして、IPをコピーした後にインスタンス停止→開始をしましたか？いえ、そのような手順は踏んでおりません。一点気になったのですが、今、コンマンドプロンプトより「ping 54.249.0.204」といった具合にpingを送ってみたのですが、要求がタイムアウトしてしまいました。これは、サーバーが起動できていないということなのでしょうか？ ec2インスタンスの表示を見る限り「running」となっていますので、起動しているはずではあるんですよね...

2019/10/02 08:49 編集

それはセキュリティグループでICMPを許可していないからでしょう（デフォルトでは当然許可していません）。 SSHとpingは使っているプロトコル自体が違います。 runningになっているのであれば起動はしているはずです。インスタンスのステータスチェックに問題なければ基本的には大丈夫なはずです。

2019/10/02 08:59

すみません。ご丁寧にありがとうございます。インスタンスが起動できているとなると、謎が深まりますね... tera term側の問題、ということはありますでしょうか...? また、インスタンスを作成する際に、インターネットゲートウェイやサブネットの指定など一切行わずデフォルトのまま作っていったのですが、それが問題だったりするのでしょうか... 以前、書籍を頼りに、サブネットを作成し、VPC領域を作ってからインスタンスを作成したのですが、その際は、tera termからエラーなども出ずに、ssh接続ができたんですよね...

2019/10/02 09:05

指定したインスタンスがプライベートサブネットの中にあったりしませんか？インスタンスの存在するサブネットのルートテーブルを見て`igw-`で始まるものがなければそのためですね…。今回はVPC作成は新規に行ったのでしょうか？ teraterm側の問題ということはありえなくはないですが、ちょっとそこまではわかりません。

2019/10/02 09:30

＞指定したインスタンスがプライベートサブネットの中にあったりしませんか？こちらなのですが、勉強不足で申し訳ないのですが、確認する方法を教えて頂いてもよろしいでしょうか...? VPCに関しましては、以前作成したVPCも選択できましたが、「デフォルト」と表示されているものを選択いたしました。

2019/10/02 09:55

インスタンスをコンソールで選択するとサブネットIDが出ると思うので、それをクリックするとVPCのコンソールの該当サブネットの詳細のところまで飛びます。ルートテーブルのタブを見てインターネットゲートウェイにルートがなければプライベートサブネットです。ただ、デフォルトのVPCは何もしなければパブリックサブネットしかないはずなんですよね…。

2019/10/02 11:07

＞サブネットの詳細のところまで飛びますルートテーブルを確認しました所、送信先「0.0.0.0/0」でターゲットが「igw-63b48d07」のインターネットゲートウェイをクリックしますと左メニューの「インターネットゲートウェイ」の項目に飛ぶのですが、「フィルタ条件に一致するインターネットゲートウェイが見つかりません」との表示がされてしまっております。こちらで何か問題が起きている可能性というのはありますでしょうか...?

2019/10/02 22:59

インターネットゲートェイの設定を見直し、いじっているうちになんとか接続することができました。ご丁寧にご助言くださりまして、ありがとうございました。

2019/10/03 02:09

よかったです。VPCのネットワーク周りは結構ハマってしまうところなので、ぜひ知見として残しておいていただけると嬉しいです。

行動規範の内容に同意します

0

EC2 インスタンスが何かによって SSH 接続する際のユーザー名が違ってきますが、
そこら辺はきちんとされましたか？

※Amazon Linux なら ec2-user ですし、Ubuntu 系なら ubuntu になるように

あとはセキュリティグループ設定で inbounds に SSH がない、とか？

投稿2019/10/02 01:20

総合スコア13703

2019/10/02 01:47 編集

>あとはセキュリティグループ設定で inbounds に SSH がない、とか？こちら、インバンウドの設定を確認してみました所、タイプの項目に「ssh」と表示されておりました。＞ SSH 接続する際のユーザー名が違ってきますが、こちらなのですが、ユーザー名、及びパスワードを設定する画面を出す前の画面(ホストを入力し、接続する画面)にて、ipv4 パブリックipアドレスを入力し、接続したのですが、接続できないといった表示がでている状況になります。

2019/10/02 02:52

貴方が現在使用しているPCから、外部へのSSH接続自体が禁止されてたりしませんか？ ※企業などではそのようなガードをしている場合はあり得ます

2019/10/02 04:05

>貴方が現在使用しているPCから、外部へのSSH接続自体が禁止されてたりしませんか？こちらなのですが、自分は特段そのような設定はしたつもりはありませんが、出来ることなら確かめたく思っております。確かめる方法など、ありましたら教えて貰えませんでしょうか？

行動規範の内容に同意します

0

どなたか解決法をご存じでしたら、教えて頂けますと幸いです。

まだ初期設定の段階で、救出したいデータがある状況ではないなら、サーバを削除して再作成するのが手っ取り早いかと思います。

投稿2019/10/02 00:42

総合スコア145183

2019/10/02 00:43

サーバ反映手順を自動化するようにしておけば、いざというときにも操作一発で再作成できるようになります。

2019/10/02 00:44

＞サーバを削除して再作成する作ったばかりで、SSH接続を試みたら、接続できないという状況になってしまったんですよね... データなどは入っていないので、もう一度インスタンスを再作成してみたいと思います！

2019/10/02 00:46

> 作ったばかりで、SSH接続を試みたら、接続できない EC2の外側のセキュリティグループ設定などはきちんと行っていますでしょうか？

2019/10/02 00:53 編集

インスタンスを作成する際に、セキュリティグループの設定項目はございましたが、特に設定はせず、そのまま次の項目へと進み、ほとんど他の項目もデフォルトの設定のままインスタンスは作成したといった感じです...

2019/10/02 01:01

やはり、インスタンスを新たに作ったのですが、tera termにてipv4 パブリックipをホストへ指定し、接続したのですが、やはり「ホストへ接続できません」のメッセージが表示されてしまいます...

行動規範の内容に同意します

0

セキュリティグループの設定は？　インバウンドの方はデフォルトはすべて拒否です。ステートフルなので戻りの通信は自動的に許可です。

投稿2019/10/02 11:13

総合スコア894

2019/10/02 12:41

ご回答ありがとうございます。インスタンスに紐づけてあるサブネットを確認してみたのですが、ルールの項目が「*」の「許可/拒否」の部分が「DENY」となっています。この点が問題になってしまっている可能性はありますでしょうか？

2019/10/02 13:04

DENYは拒否なんですが、サブネットはACLの方では？　ACLはデフォは許可のはずです。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問

トップ Tera Termに関する質問

EC2インスタンスにSSH接続できない

関連した質問

同じタグがついた質問を見る

運営からのお知らせ

【重要なお知らせ】いつもteratailをご利用いただきありがとうございます。現在、認証システムの修正により、一部のユーザーが強制的にログアウトされる可能性がございます。お手数おかけしますが、再度ログインを行なっていただきますよう宜しくお願いいたします。ご不便をおかけし申し訳ございません。

過去のお知らせを見る