Pourquoi mon AWS Site-to-Site VPN est-il hors service ?

Résolution

Lorsque le tunnel du réseau privé virtuel (VPN) ne parvient pas à établir de connexion sur un appareil de passerelle client ou sur AWS, vérifiez les configurations suivantes :

• Vous avez correctement configuré l'adresse IP du pair distant sur le dispositif de passerelle client. Elle doit correspondre à l'adresse IP publique externe des points de terminaison VPN. Pour plus d'informations, consultez la section Modifier les options du tunnel Site-to-Site VPN.
• Vous avez correctement configuré l'adresse IP publique externe sur AWS. Elle doit correspondre à l'adresse IP publique de l'interface WAN du dispositif de passerelle client. Si vous utilisez un appareil de traduction d'adresses réseau (NAT), l'adresse IP publique externe sur AWS doit correspondre à l'adresse IP publique de l'appareil.
• Il existe une connectivité entre le point de terminaison du VPN AWS et le dispositif de passerelle client. Envoyez un ping au point de terminaison VPN AWS en dehors des adresses IP publiques depuis le dispositif de passerelle client.
• La politique de pare-feu autorise le trafic sortant et entrant sur le port UDP 500 à destination et en provenance des points de terminaison VPN AWS. Si la passerelle client se trouve derrière un périphérique NAT, cette politique s'applique également au trafic sortant et entrant sur le protocole UDP 4500.
• Si vous utilisez la traversée NAT (NAT-T), vérifiez que les fournisseurs de services Internet intermédiaires (ISP) ne bloquent pas le port UDP 500 ou le port 4500.
• Les versions d'échange de clés Internet (IKE) configurées sont les mêmes à la fois du côté AWS et du dispositif de passerelle client.
• Les paramètres de phase 1 et de phase 2 correspondent sur la passerelle client par rapport à AWS. Pour plus d'informations, consultez la section Options de tunnel pour vos connexions Site-to-Site VPN. Téléchargez un exemple de configuration depuis la console de gestion AWS. Choisissez VPC, puis VPN. Choisissez Connexions Site-to-Site VPN, puis choisissez Télécharger la configuration.
• Consultez les journaux AWS Site-to-Site VPN.
• Si la connexion VPN s'authentifie à l'aide d'une clé pré-partagée, la clé secrète partagée est la même sur AWS et sur l'appareil de passerelle client.
• Si la connexion VPN est un VPN basé sur des certificats, vérifiez que la passerelle client possède des certificats valides et corrects. Les certificats doivent inclure le certificat privé, le certificat CA racine et le certificat CA subordonné.
• L'action de démarrage est définie sur Démarrer et dispose d'un VPN basé sur des certificats. Assurez-vous que la passerelle client possède l'adresse IP publique définie dans la structure de la passerelle client côté AWS.
  Remarque : dans cette configuration, AWS n'initie pas de négociations IKE ni ne renouvelle de clés. Au lieu de cela, la passerelle client lance les négociations IKE et renouvelle les clés. Pour plus d'informations, consultez la section Règles et restrictions.
• Pour un VPN accéléré avec authentification basée sur des certificats, assurez-vous que votre passerelle client prend en charge la fragmentation IKE. Cela est dû au fait qu'AWS Global Accelerator prend en charge de manière limitée la fragmentation des paquets, ce qui entraîne des échecs de négociation IKE.
• Pour un VPN dynamique, vérifiez qu'IPsec et le protocole de passerelle frontière (BGP) sont à l'état UP.
• Générez du trafic intéressant pour faire apparaître le tunnel VPN.