Pourquoi ma connexionAWS Site-to-Site VPN a-t-elle le statut DOWN IPSEC UP alors que la passerelle client est ACTIVE ?

Lecture de 5 minute(s)
0

La passerelle client configurée pour mon AWS Sote-to-Site VPN fonctionne mais la console VPN de site à site indique que ma connexion est hors service.

Brève description

La console VPN site à site peut indiquer que l'état de votre connexion est IPSEC UP mais que l'état du tunnel est DOWN. Cela signifie que la sécurité du protocole Internet (IPsec) est établie, mais pas le protocole de passerelle frontière (BGP). Pour qu'une connexion VPN de site à site dynamique apparaisse comme UP côté AWS, IPSEC et BGP doivent être correctement établis.

Résolution

Vérifiez que la passerelle client prend en charge le protocole BGP

  1. Vérifiez que votre passerelle client prend en charge le protocole BGP et est configurée avec ce protocole.
  2. Vérifiez si le côté sur site de votre connexion utilise le mode dynamique (BGP) ou statique (VPN de site à site basé sur des règles ou VPN de site à site basé sur un itinéraire statique). Si le côté sur site utilise le routage statique, vous devez recréer le VPN de site à site du côté AWS.

Lorsque vous créez une connexion VPN de site à site à l'aide d'AWS, l'option de routage dynamique est sélectionnée par défaut. Si vous créez une connexion VPN de site à site sans choisir le routage statique, un VPN de site à site dynamique est créé. Vous ne pouvez pas modifier l'option de routage pour une connexion VPN site à site existante. Vous devez donc créer un nouveau VPN de site à site pour utiliser le routage statique.

Lorsque vous supprimez une connexion VPN de site à site et que vous créez une nouvelle connexion, une nouvelle paire d'adresses IP publiques est attribuée aux tunnels. Vous devez reconfigurer le dispositif de passerelle client et mettre à jour les adresses IP publiques des homologues en conséquence. Mais lorsque vous créez une nouvelle connexion, vous pouvez utiliser le tunnel contenu dans les adresses IP et la clé secrète pré-partagée de votre précédente connexion VPN de site à site. Vous n'avez pas besoin d'utiliser les informations générées automatiquement par AWS.

Vérifiez le domaine de chiffrement et les ID de proxy

  1. Vérifiez si le domaine de chiffrement ou l'ID de proxy configuré à la fois sur AWS et sur votre appareil de passerelle client est 0.0.0.0/0 = 0.0.0.0/0.
  2. Du côté d'AWS, vérifiez le CIDR du réseau IPV4 local (CIDR sur site) et le CIDR du réseau IPv4 distant (CIDR AWS).
  3. Sur la passerelle client, suivez les instructions fournies par le fournisseur pour vérifier le domaine de chiffrement et l'ID du proxy.
  4. Si vous avez activé les journaux de VPN de site à site pour votre connexion, consultez le groupe de journaux Amazon CloudWatch qui contient vos journaux VPN de site à site. Choisissez le flux de journaux pour le point de terminaison VPN de site à site associé. Choisissez ensuite le tunnel AWS Phase 2 SA est établi avec SPI** pour filtrer les flux de journaux. Vous pouvez désormais consulter le sélecteur de trafic négocié par la passerelle client, en supposant que le côté AWS utilise la valeur par défaut de 0.0.0.0/0 = 0,0.0.0/0.

Le flux du journal est dans un format similaire à VPN-ID-VPN_Peer_IP-IKE.log. Consultez l’exemple suivant :

{
"event_timestamp": 1673252138,
"details": "AWS tunnel Phase 2 SA is established with
inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors:
(AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16",
"dpd_enabled": true,
"nat_t_detected": true,
"ike_phase1_state": "established",
"ike_phase2_state": "established"}

Remarque : Si vous utilisez une connexion VPN de site à site dynamique, le sélecteur de trafic doit être suffisamment large pour couvrir l'ensemble du trafic. Cela inclut les adresses IP APIPA utilisées pour les homologues BGP. Dans l'exemple précédent, vous mettez à jour le domaine de chiffrement sur votre appareil de passerelle client vers 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0 (sur site).

Si un domaine de chiffrement spécifique est défini pour le côté AWS de votre connexion, modifiez les options de connexion VPN de site à site. Assurez-vous que le CIDR du réseau IPv4 local et le CIDR du réseau IPv4 distant sont définis sur 0.0.0.0/0.

Activez NAT-T pour un VPN de site à site accéléré

Vous avez peut-être un VPN de site à site qui se termine sur une passerelle de transit, avec l'accélération activée. Avec cette configuration, assurez-vous que NAT-T est activé sur le dispositif de passerelle client.

Remarque : NAT-T doit être activé pour un VPN de site à site accéléré. Si NAT-T n'est pas activé sur le dispositif de passerelle client, IPsec est établi mais aucun trafic ne passe par la connexion VPN de site à site. Cela inclut le trafic BGP. Pour plus d'informations, consultez les Règles et restrictions relatives au VPN accéléré de site à site.

Résoudre les problèmes liés au BGP

Si le problème persiste, passez en revue les étapes décrites dans la section Comment résoudre les problèmes de connexion BGP via VPN ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 10 mois