Le tunnel VPN entre ma passerelle client et ma passerelle réseau privé virtuel est actif mais ne transmet aucun trafic. Que puis-je faire ?

Solution

Vous devez vérifier que votre Amazon VPC, votre passerelle réseau privé virtuel et votre passerelle client sont correctement configurés.

Vérifier la configuration de votre Amazon VPC et de votre passerelle réseau privé virtuel

1. Vérifiez que la passerelle réseau privé virtuel associée à la connexion VPN est attachée à votre Amazon VPC.
2. Assurez-vous que les réseaux privés sur site et VPC ne se chevauchent pas : les sous-réseaux superposés peuvent provoquer des problèmes de routage sur le tunnel VPN.
3. Pour les connexions VPN basées sur des routes statiques, vérifiez que le routage de vos réseaux privés sur site est configuré en consultant l'onglet Routes statiques de votre connexion VPN.
4. Pour les connexions VPN basées sur BGP, vérifiez que la session BGP est établie. Assurez-vous également que la passerelle réseau privé virtuel reçoit des routes BGP de votre passerelle client en consultant l'onglet Détails du tunnel de votre connexion VPN.
5. Configurez votre table de routage VPC de façon à inclure les routes vers vos réseaux privés sur site. Dirigez-les vers votre passerelle réseau privé virtuel afin que les instances de votre Amazon VPC puissent atteindre vos réseaux sur site. Vous pouvez ajouter ces routes à la table de routage VPC soit manuellement, soit automatiquement via la propagation des routes.
6. Vérifiez que les groupes de sécurité VPC et les listes de contrôle d'accès (ACL) sont configurés pour autoriser le trafic nécessaire (ICMP, RDP, SSH) à destination et en provenance de vos sous-réseaux sur site pour le trafic entrant et sortant.
7. Effectuez des captures de paquets sur plusieurs instances Amazon Elastic Compute Cloud (Amazon EC2), dans différentes zones de disponibilité, afin de confirmer que le trafic provenant de l'hôte sur site atteint votre Amazon VPC.

Vérifier votre passerelle client

1. Vérifiez que la configuration IPsec de votre périphérique VPN répond aux exigences de votre passerelle client.
2. Assurez-vous que les paquets de votre passerelle client sont chiffrés et envoyés via le tunnel VPN.
3. Pour les configurations basées sur des stratégies, consultez les détails de votre connexion VPN pour vérifier que les sélecteurs de trafic sont correctement configurés. (CIDR de réseau IPv4 local = plage CIDR de la passerelle client et CIDR du réseau IPv4 distant = plage CIDR côté AWS)
4. Pour les configurations basées sur des stratégies, pensez à les restreindre à une seule stratégie de chiffrement. Remarque : AWS ne prend en charge qu'une paire d'association de sécurité (SA) de phase 2 par tunnel VPN.
5. Si vos tunnels VPN sont basés sur des routes, vérifiez que vous avez correctement configuré les routes vers votre CIDR VPC.
6. Vérifiez que le trafic envoyé à travers le tunnel n'est pas traduit par l'adresse IP de passerelle client de la connexion VPN. Si vous devez employer une méthode de traduction d'adresse réseau (NAT) spécifique pour votre trafic VPN, veuillez utiliser une adresse IP différente de celle de la passerelle client.
7. Si votre passerelle client ne se trouve pas derrière un périphérique NAT, nous vous recommandons de désactiver NAT-Traversal.
8. Vérifiez qu'aucune stratégie de pare-feu ni de liste ACL n'interfère avec le trafic IPsec entrant ou sortant.
9. Effectuez une capture de paquets du trafic ESP sur l'interface WAN de votre périphérique de passerelle client pour confirmer l'envoi et la réception des paquets chiffrés.

Informations connexes

Votre périphérique de passerelle client