Wie behebe ich die Inaktivität oder Instabilität des AWS-VPN-Tunnels oder einen Tunnelausfall auf meinem Kunden-Gateway-Gerät?

Lesedauer: 4 Minute

Ich bemerke Inaktivität, Instabilität oder zeitweilige Verbindungsprobleme mit den AWS Virtual Private Network (VPN)-Tunneln auf meinem Kunden-Gateway-Gerät.

Lösung

Zu den häufigsten Gründen für die Inaktivität oder Instabilität des AWS-VPN-Tunnels auf einem Kunden-Gateway-Gerät gehören die folgenden:

Probleme mit der Überwachung von Dead Peer Detection (DPD) durch Internet Protocol Security (IPsec)
Timeouts im Leerlauf aufgrund von geringem Datenverkehr in einem VPN-Tunnel oder herstellerspezifischen Problemen mit der Kunden-Gateway-Konfiguration
Probleme für Phase 1 oder Phase 2 erneut eingeben
Eine richtlinienbasierte VPN-Verbindung auf dem Kunden-Gateway-Gerät verursacht zeitweise Verbindungsprobleme

Überprüfen Sie die DPD-Einstellungen

Wenn ein VPN-Peer nicht auf drei aufeinanderfolgende DPDs reagiert, gilt der Peer als tot und der Tunnel wird geschlossen.

Wenn auf Ihrem Kunden-Gateway-Gerät DPD aktiviert ist, stellen Sie sicher, dass Folgendes zutrifft:

Es ist so konfiguriert, dass es DPD-Nachrichten empfängt und beantwortet
Es ist nicht zu beschäftigt, um auf DPD-Nachrichten von AWS-Peers zu antworten
DPD-Nachrichten sind nicht ratenlimitierend, da die IPS-Funktionen in der Firewall aktiviert sind
Es gibt keine Probleme mit der Internetübertragung

Problembehandlung bei Leerlauf-Timeouts

Wenn bei Ihnen Leerlauf-Timeouts auftreten, die durch geringen Traffic in einem VPN-Tunnel verursacht werden, überprüfen Sie Folgendes:

Stellen Sie sicher, dass zwischen Ihrem lokalen Netzwerk und Ihrer Virtual Private Cloud (VPC) ein konstanter bidirektionaler Verkehr besteht. Erstellen Sie bei Bedarf einen Host, der alle fünf Sekunden ICMP-Anfragen an eine Instance in Ihrer Virtual Private Cloud (VPC) sendet.
Überprüfen Sie die Timeout-Einstellungen für den Leerlauf Ihres VPN-Geräts anhand der Informationen des Geräteherstellers. Wenn während der Dauer Ihrer herstellerspezifischen VPN-Leerlaufzeit kein Datenverkehr durch einen VPN-Tunnel fließt, wird die IPsec-Sitzung beendet. Überprüfen Sie die Dokumentation des Herstellers für Ihr bestimmtes Gerät.

Beheben von Problemen mit der erneuten Eingabe für Phase 1 oder Phase 2

Wenn Probleme mit der erneuten Verschlüsselung auftreten, die auf eine Nichtübereinstimmung in Phase 1 oder Phase 2 in einem VPN-Tunnel zurückzuführen sind, überprüfen Sie Folgendes:

Prüfen Sie die Lebenszeitfelder von Phase 1 oder Phase 2 auf dem Kunden-Gateway. Stellen Sie sicher, dass diese Felder den AWS-Parametern entsprechen. Es hat sich bewährt, Parameter in den VPN-Tunneloptionen zu deaktivieren, die beim Kunden-Gateway für die VPN-Verbindung nicht benötigt werden.
Stellen Sie sicher, dass Perfect Forward Secrecy (PFS) auf dem Kunden-Gateway-Gerät aktiviert ist. PFS ist standardmäßig auf dem Peer auf der AWS-Seite aktiviert.
Stellen Sie sicher, dass der eingehende Datenverkehr zu den UDP-Ports 500 [IKE], 4500 [NAT-T] und IP 50 [ESP] auf dem Kunden-Gateway erneute Eingaben für den AWS-Endpunkt zulässt.

Hinweis: Das IKEv2-Lebenszeitwertfeld ist unabhängig von Peers. Wenn Sie also einen niedrigeren Lebenszeitwert festlegen, initiiert der Peer immer die erneute Verschlüsselung.

Weitere Informationen finden Sie unter Tunneloptionen für Ihre Site-to-Site-VPN-Verbindung und Ihr Kunden-Gateway-Gerät.

Beheben zeitweiliger Verbindungsprobleme

Zeitweilige Verbindungsprobleme können durch die richtlinienbasierte Konfiguration auf Ihrem Kunden-Gateway-Gerät verursacht werden. Möglicherweise treten auch zeitweise Verbindungsprobleme auf, da Sie mehrere Verschlüsselungs-Domains oder Proxy-IDs verwenden.

Beschränken Sie die Anzahl der Verschlüsselungs-Domains (Netzwerke), die Zugriff auf Ihre VPC haben. Wenn Sie mehr als eine Verschlüsselungs-Domain nach dem Kunden-Gateway Ihres VPN haben, konfigurieren Sie diese so, dass sie eine einzige Sicherheitszuordnung nutzen. Um zu überprüfen, ob mehrere Sicherheitszuordnungen für Ihr Kunden-Gateway-Gerät vorhanden sind, lesen Sie den Abschnitt Beheben von Problemen mit einem Kunden-Gateway-Gerät.
Konfigurieren Sie Ihr Kunden-Gateway so, dass jedes Netzwerk nach dem Kunden-Gateway (0.0.0.0/0) mit einem Ziel Ihres VPC Classless Inter-Domain Routing (CIDR) den VPN-Tunnel passieren kann. Diese Konfiguration verwendet eine einzige Sicherheitszuordnung, wodurch sich die Tunnelstabilität verbessert. Diese Konfiguration ermöglicht auch Netzwerken, die nicht in der Richtlinie definiert sind, den Zugriff auf die VPC.

Weitere Informationen finden Sie unter Wie behebe ich Verbindungsprobleme zwischen einem AWS-VPN-Endpunkt und einem richtlinienbasierten VPN?

Relevanter Inhalt

Wie kann ich eine Replikationsverzögerung oder einen Backlog auf meinem Linux-Quellserver für den Application Migration Service beheben?
AWS OFFICIALAktualisiert vor einem Jahr
Wie konfiguriere ich die Datenträger-Zuordnung oder finde die Datenträger-Zuordnung für meine EC2 Windows Server 2016 oder neuere Instance?
AWS OFFICIALAktualisiert vor 2 Jahren
Wirkt sich die Verwendung des IAM Identity Center auf meine IAM-Identitäten oder die Verbundkonfiguration aus?
AWS OFFICIALAktualisiert vor einem Jahr
Wie kann ich eine Replikationsverzögerungen oder einen Backlog auf meinem Windows-Quellserver für den Application Migration Service beheben?
AWS OFFICIALAktualisiert vor einem Jahr