Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post
Acerca de re:Post

¿Cómo puedo solucionar los problemas de inactividad, interrupciones o desconexión de los túneles de Site-to-Site VPN en mi dispositivo de puerta de enlace de cliente?

6 minutos de lectura
0

Quiero solucionar problemas de conectividad con los túneles de AWS Site-to-Site VPN en mi dispositivo de puerta de enlace de cliente.

Resolución

Los siguientes errores comunes en un dispositivo de puerta de enlace de cliente pueden provocar inactividad, inestabilidad, interrupciones o desconexión de túneles a través de Site-to-Site VPN:

  • Los errores de intercambio de claves de Internet (IKE)/fase 1 o de seguridad del protocolo de Internet (IPsec)/fase 2 provocan que un túnel deje de funcionar.
  • Problemas con la supervisión de la detección de pares inactivos (DPD) de IPsec.
  • Tiempos de inactividad debidos a poco tráfico en un túnel de Site-to-Site VPN o a problemas de configuración de la puerta de enlace de cliente específicos del proveedor.
  • Problemas de cambio de clave para la fase 1 o fase 2 del túnel de Site-to-Site VPN.
  • Una conexión de Site-to-Site VPN basada en políticas en el dispositivo de puerta de enlace de cliente provoca una conectividad intermitente.
  • El enrutamiento estático provoca una conectividad intermitente.
  • El dispositivo de puerta de enlace de cliente no está configurado correctamente.

Utiliza los registros de actividad de los túneles para supervisar los túneles de Site-to-Site VPN y recopilar información sobre las interrupciones de los túneles y otros problemas relacionados con los túneles. A continuación, haz lo siguiente:

Solución de problemas de IKE/fase 1 o IPsec/fase 2 que provocan que un túnel deje de funcionar

Verifica que los túneles de la conexión de Site-to-Site VPN estén activos. Si la conexión está inactiva, soluciona los errores de IKE/fase 1 e IPsec/fase 2.

Solución de problemas con la supervisión de DPD

Cuando se agota el tiempo de espera de DPD, los registros muestran el siguiente mensaje: "Peer is not responsive - Declaring peer dead." («El par no responde. Declarando par inactivo».) De forma predeterminada, Site-to-Site VPN envía un mensaje «DPD R_U_THERE» a la puerta de enlace de cliente cada 10 segundos. Después de tres mensajes sucesivos sin respuesta, Site-to-Site VPN considera que el par está inactivo. A continuación, Site-to-Site VPN cierra la conexión.

Si el DPD está activo en tu dispositivo de puerta de enlace de cliente, comprueba lo siguiente:

  • Tu dispositivo de puerta de enlace de cliente está configurado para recibir y responder a los mensajes de DPD.
  • Tu dispositivo de puerta de enlace de cliente está disponible para responder a los mensajes de DPD de los pares de AWS.
  • Si las características del sistema de prevención de intrusiones están activas en el firewall, comprueba que el dispositivo de puerta de enlace de cliente permita los mensajes de DPD sin límite de velocidad.
  • El dispositivo de puerta de enlace de cliente tiene una conectividad a Internet estable y confiable.

Si Site-to-Site VPN no debe realizar ninguna acción cuando se agote el tiempo de espera de DPD, cambia la acción de tiempo de espera de DPD a ninguna.

Solución del problema de los tiempos de inactividad

Confirma que haya tráfico bidireccional constante entre la red local y la nube virtual privada (VPC). Para confirmar el tráfico, crea un host que envíe solicitudes del Protocolo de mensajes de control de Internet a una instancia de tu VPC cada 5 segundos.

Usa la información del proveedor de tu dispositivo para revisar la configuración del tiempo de inactividad de tu dispositivo VPN. Si el tráfico no pasa por un túnel de Site-to-Site VPN durante el tiempo de inactividad de la VPN específico del proveedor, la sesión de IPsec finaliza.

Solución de problemas por cambiar las claves para la fase 1 o la fase 2

Revisa los campos de la vida útil de la fase 1 o la fase 2 en la puerta de enlace de cliente. Asegúrate de que estos campos coincidan con los parámetros de AWS. Se recomienda seleccionar solo las opciones de túnel de Site-to-Site VPN necesarias.

Asegúrate de activar la confidencialidad directa total (PFS) en el dispositivo de puerta de enlace de cliente. PFS se activa de forma predeterminada en el lado de AWS.

Nota: El campo del valor de la vida útil de IKEv2 es independiente de los pares. Si estableces un valor de vida útil inferior, el par iniciará siempre el cambio de clave. Se recomienda configurar un par para iniciar un cambio de clave.

Solución de problemas de conectividad con VPN basadas en políticas

Asegúrate de que el dispositivo de puerta de enlace de cliente cubra los rangos de CIDR IPv4 e IPv6 de la conexión de Site-to-Site VPN. El rango predeterminado es 0.0.0.0/0.

Si Site-to-Site VPN en el lado de la puerta de enlace de cliente se basa en políticas, especifica un dominio de cifrado que cubra el tráfico previsto.

Nota: Site-to-Site VPN solo admite un dominio de cifrado. Si la VPN incluye varias redes, resume el dominio de cifrado en el dispositivo de puerta de enlace de cliente para mantener solo un par de asociaciones de seguridad.

Solución de problemas de conectividad con enrutamiento estático

Importante: Se recomienda utilizar el enrutamiento dinámico en lugar del enrutamiento estático. Para obtener más información, consulta Static and dynamic routing in AWS Site-to-Site VPN (Enrutamiento estático y dinámico en AWS Site-to-Site VPN).

Los túneles de AWS Site-to-Site VPN que utilizan enrutamiento estático y están configurados con una configuración activa/activa pueden experimentar problemas de conectividad. Asegúrate de que el dispositivo de puerta de enlace de cliente sea compatible con el enrutamiento dinámico. Si el dispositivo de puerta de enlace de cliente no admite el enrutamiento dinámico, configura la VPN estática para evitar el enrutamiento asimétrico.

Problemas de conectividad debidos a las configuraciones de las puertas de enlace de cliente

Sigue estos pasos:

  1. Comprueba que la puerta de enlace de cliente esté detrás de un dispositivo NAT. O comprueba que la aceleración esté activada para una conexión de Site-to-Site VPN. A continuación, asegúrate de que NAT traversal (NAT-T) esté activo en el dispositivo de puerta de enlace de cliente. Verifica que los paquetes UDP puedan pasar entre la red y los puntos de enlace de la VPN en el puerto 4500.
  2. Si la puerta de enlace de cliente no está detrás de un dispositivo NAT, verifica que el puerto 50 permita que los paquetes UDP pasen entre la red y los puntos de enlace de la VPN.
  3. Comprueba que las reglas de firewall del dispositivo de puerta de enlace de cliente permitan el tráfico entre la red local y AWS.
  4. Soluciona los problemas de conexión asociados a tu dispositivo de puerta de enlace de cliente específico.

Información relacionada

El túnel VPN entre la puerta de enlace de cliente y la puerta de enlace privada virtual está activo, pero el tráfico no pasa por él. ¿Qué puedo hacer?

¿Cómo puedo configurar mi conexión de Site-to-Site VPN para que prefiera el túnel A al túnel B?

Temas
Redes y entrega de contenido
Etiquetas
AWS Virtual Private Network (VPN)
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 6 meses
Sin comentarios

Contenido relevante