Wie behebe ich die Inaktivität des Site-to-Site-VPN-Tunnels, das Flattern eines Tunnels oder den Ausfall eines Tunnels auf meinem Kunden-Gateway-Gerät?

Lesedauer: 4 Minute
0

Ich möchte Verbindungsprobleme mit den AWS Site-to-Site-VPN-Tunneln auf meinem Kunden-Gateway-Gerät beheben.

Lösung

Die folgenden häufigen Fehler auf einem Kunden-Gateway-Gerät können zu Tunnel-Inaktivität, -Instabilität, -Flattern oder -Ausfällen über Site-to-Site VPN führen:

  • Fehler in Internet Key Exchange (IKE)/Phase 1 oder Internet Protocol Security (IPSec)/Phase 2 führen zu einem Tunnelausfall.
  • Probleme mit der IPSec-Überwachung von Dead Peer Detection (DPD).
  • Timeouts im Leerlauf aufgrund von geringem Datenverkehr in einem Site-to-Site-VPN-Tunnel oder aufgrund von Problemen mit der anbieterspezifischen Kunden-Gateway-Konfiguration.
  • Gib Probleme für Phase 1 oder Phase 2 des Site-to-Site-VPN-Tunnels erneut ein.
  • Eine richtlinienbasierte Site-to-Site-VPN-Verbindung auf dem Kunden-Gateway-Gerät führt zu einer unterbrochenen Konnektivität.
  • Statisches Routing führt zu einer unterbrochenen Konnektivität.
  • Das Kunden-Gateway-Gerät ist nicht richtig konfiguriert.

Verwende Tunnelaktivitätsprotokolle, um Site-to-Site-VPN-Tunnel zu überwachen und erhebe Informationen über Tunnelausfälle und andere Tunnelprobleme. Ergreife die folgenden Maßnahmen:

Behebung von IKE/Phase 1- oder IPSec/Phase 2-Fehlern, die zu einem Tunnelausfall führen

Stelle sicher, dass die Tunnel der Site-to-Site-VPN-Verbindung aktiv sind. Wenn die Verbindung unterbrochen ist, behebe die Fehler IKE/Phase 1 und IPSec/Phase 2.

Probleme mit der DPD-Überwachung beheben

Wenn ein DPD-Timeout auftritt, wird in den Protokollen die folgende Meldung angezeigt: „Peer is not responsive - Declaring peer dead.“ Standardmäßig sendet Site-to-Site VPN alle 10 Sekunden eine „DPD R_U_THERE“-Nachricht an das Kunden-Gateway. Nach drei aufeinanderfolgenden Nachrichten ohne Antwort betrachtet Site-to-Site VPN den Peer als tot. Dann schließt Site-to-Site VPN die Verbindung.

Wenn DPD auf dem Kunden-Gateway-Gerät aktiv ist, überprüfe Folgendes:

  • Das Kunden-Gateway-Gerät ist so konfiguriert, dass es DPD-Nachrichten empfängt und beantwortet.
  • Das Kunden-Gateway-Gerät ist verfügbar, um auf DPD-Nachrichten von AWS-Peers zu antworten.
  • Wenn die Funktionen des Intrusion Prevention-Systems in der Firewall aktiv sind, stelle sicher, dass das Kunden-Gateway-Gerät DPD-Nachrichten ohne Ratenbegrenzung zulässt.
  • Das Kunden-Gateway-Gerät verfügt über eine stabile und zuverlässige Internetverbindung.

Falls das Site-to-Site-VPN keine Maßnahmen ergreifen darf, wenn ein DPD-Timeout auftritt, ändere die DPD-Timeout-Aktion auf Keine.

Problembehandlung bei Leerlauf-Timeouts

Bestätige den konstanten bidirektionalen Datenverkehr zwischen dem lokalen Netzwerk und der Virtual Private Cloud (VPC). Um den Datenverkehr zu bestätigen, erstelle einen Host, der alle 5 Sekunden Internet Control Message Protocol-Anforderungen an eine Instance in der VPC sendet.

Verwende Informationen des Anbieters deines Geräts, um die Timeout-Einstellungen deines VPN-Geräts im Leerlauf zu überprüfen. Wenn der Datenverkehr für die Dauer der anbieterspezifischen VPN-Leerlaufzeit keinen Site-to-Site-VPN-Tunnel passiert, wird die IPSec-Sitzung beendet.

Beheben von Problemen mit der erneuten Eingabe für Phase 1 oder Phase 2

Prüfe die Lebensdauerfelder von Phase 1 oder Phase 2 auf dem Kunden-Gateway. Stelle sicher, dass die Felder den AWS-Parametern entsprechen. Es hat sich bewährt, nur die erforderlichen Site-to-Site-VPN-Tunneloptionen auszuwählen.

Stelle sicher, dass du Perfect Forward Secrecy (PFS) auf dem Kunden-Gateway-Gerät aktivierst. PFS ist standardmäßig auf der AWS-Seite aktiviert.

Hinweis: Das IKEv2-Lebensdauerfeld ist unabhängig von Peers. Wenn du einen niedrigeren Lebensdauerwert festlegst, initiiert der Peer die erneute Eingabe. Es hat sich bewährt, einen Peer so zu konfigurieren, dass er eine erneute Eingabe initiiert.

Beheben von Konnektivitätsproblemen mit richtlinienbasierten VPNs

Stelle sicher, dass das Kunden-Gateway-Gerät die IPv4- und IPv6-CIDR-Bereiche der Site-to-Site-VPN-Verbindung abdeckt. Der Standardbereich ist 0.0.0.0/0.

Wenn das Site-to-Site-VPN auf der Kunden-Gateway-Seite richtlinienbasiert ist, [gib eine Verschlüsselungs-Domain an, die den vorgesehenen Datenverkehr abdeckt](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-connection-options.html).

Hinweis: Site-to-Site VPN unterstützt nur eine Verschlüsselungs-Domain. Wenn das VPN mehrere Netzwerke umfasst, fasse die Verschlüsselungs-Domain auf dem Kunden-Gateway-Gerät zusammen, um nur ein Paar von Sicherheitszuordnungen beizubehalten.

Behebung von Verbindungsproblemen mit statischem Routing

Wichtig: Es hat sich bewährt, dynamisches Routing anstelle von statischem Routing zu verwenden. Weitere Informationen findest du unter Statisches und dynamisches Routing in AWS Site-to-Site VPN.

Bei AWS Site-to-Site-VPN-Tunneln, die statisches Routing verwenden und mit einem aktiv/aktiv-Setup konfiguriert sind, können Verbindungsprobleme auftreten. Stelle sicher, dass das Kunden-Gateway-Gerät dynamisches Routing unterstützt. Wenn das Kunden-Gateway-Gerät kein dynamisches Routing unterstützt, konfiguriere dein statisches VPN, um asymmetrisches Routing zu vermeiden.

Verbindungsprobleme aufgrund von Kunden-Gateway-Konfigurationen

Führe die folgenden Schritte aus:

  1. Vergewissere dich, dass sich das Kunden-Gateway hinter einem NAT-Gerät befindet. Oder stelle sicher, dass die Beschleunigung für eine Site-to-Site-VPN-Verbindung aktiviert ist. Stelle dann sicher, dass NAT-Durchlauf (NAT-T) auf dem Kunden-Gateway-Gerät aktiv ist. Stelle sicher, dass UDP-Pakete zwischen dem Netzwerk und den VPN-Endpunkten auf Port 4500 übertragen werden können.
  2. Wenn sich das Kunden-Gateway nicht hinter einem NAT-Gerät befindet, stelle sicher, dass Port 50 die Übertragung von UDP-Paketen zwischen dem Netzwerk und den VPN-Endpunkten ermöglicht.
  3. Stelle sicher, dass die Firewall-Regeln für das Kunden-Gateway-Gerät den Datenverkehr zwischen dem lokalen Netzwerk und AWS zulassen.
  4. Behebe Verbindungsprobleme im Zusammenhang mit deinem spezifischen Kunden-Gateway-Gerät.

Ähnliche Informationen

Der VPN-Tunnel zwischen meinem Kunden-Gateway und meinem virtuelle privaten Gateway ist aktiv, aber ich kann keinen Datenverkehr durch ihn leiten. Was kann ich tun?

Wie konfiguriere ich meine Site-to-Site-VPN-Verbindung so, dass Tunnel A gegenüber Tunnel B bevorzugt wird?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 3 Monaten