¿Cómo soluciono los problemas de conexión entre un punto de conexión VPN de AWS y una VPN basada en políticas?

Breve descripción

Cuando utiliza una conexión VPN basada en políticas para conectarse a un punto de conexión VPN de AWS, AWS limita el número de asociaciones de seguridad a un solo par. El par único incluye una asociación de seguridad de entrada y una de salida.

Las VPN basadas en políticas con más de un par de asociaciones de seguridad eliminarán las conexiones existentes cuando se inicien nuevas conexiones con diferentes asociaciones de seguridad. Este comportamiento indica que una conexión VPN nueva ha interrumpido una existente.

Resolución

Limite la cantidad de dominios de cifrado (redes) con acceso a su VPC. Si tiene más de un dominio de cifrado detrás de la puerta de enlace de cliente de su VPN, configúrelos para que utilicen una única asociación de seguridad. Para comprobar si existen varias asociaciones de seguridad para su puerta de enlace de cliente, consulte la sección Solución de problemas del dispositivo de gateway de cliente.

Configure su puerta de enlace de cliente para permitir que cualquier red detrás de la puerta de enlace de cliente (0.0.0.0/0) con un destino de su enrutamiento entre dominios sin clases (CIDR) de VPC pase por el túnel VPN. Esta configuración utiliza una asociación de seguridad única, lo que mejora la estabilidad del túnel. Además, esta configuración permite que las redes que no están definidas en la política accedan a la VPC.

Si es posible, implemente un filtro de tráfico en su puerta de enlace de cliente para bloquear el tráfico no deseado a su VPC. Configure grupos de seguridad para especificar qué tráfico puede llegar a sus instancias. Configure también las listas de control de acceso a la red (ACL de red) para bloquear el tráfico no deseado a las subredes.

Información relacionada

¿Por qué falla el IKE (fase 1 de mi túnel VPN) en Amazon VPC?

¿Por qué IPSec/Phase 2 para AWS Site-to-Site VPN no logra establecer una conexión?