Pour quelle raison mon réseau AWS Site-to-Site VPN ne peut-il pas établir de connexion ?
Mon réseau AWS Site-to-Site VPN dans un Amazon Virtual Private Cloud (Amazon VPC) ne parvient pas à établir de connexion par échange de clés Internet (IKE)/Phase 1 ou via Internet Protocol Security (IPsec)/Phase 2. Je souhaite résoudre ces erreurs de connexion.
Résolution
Si le VPN ne parvient pas à établir de connexion, cela signifie que la phase 1 IKE ou la phase 2 IPsec est défaillante.
Activez les journaux du VPN de site à site. Consultez les journaux pour vérifier l’état de chaque phase. Vous pouvez également vérifier leur état sur le périphérique de passerelle client.
Résolvez ensuite l’échec de connexion en fonction de la phase défaillante.
Remarque : l’état du VPN est ACTIF uniquement lorsque les états en phase 1 et phase 2 sont ACTIFS. Sur un VPN dynamique, l’état du protocole de passerelle frontière (BGP) doit également être ACTIF. Si la connexion IKE en phase 1 est établie mais que l’état de la connexion IPsec de la phase 2 est INACTIF, alors l’état du VPN est également INACTIF.
Défaillances IKE en phase 1
Vérifier le périphérique de passerelle client
Sur le périphérique de passerelle client, vérifiez les configurations suivantes :
- La configuration du VPN répond aux exigences du périphérique de passerelle client. Pour plus d’informations, consultez la rubrique Résolution des problèmes de périphérique de passerelle client AWS Site-to-Site VPN.
- AWS et le périphérique de passerelle client utilisent la même version d’IKE.
Remarque : AWS prend en charge IKEv1 et IKEv2. - Les paramètres de phase 1 sur le périphérique de passerelle client correspondent aux paramètres de phase 1 sur AWS. Pour plus d’informations, consultez la rubrique Options de tunnel pour vos connexions AWS Site-to-Site VPN.
- L’option de durée de vie en phase 1 de la connexion VPN est suffisamment longue pour la version d’IKE que vous utilisez. Si l’option est trop courte, reconfigurez les options du tunnel de sorte que la durée de vie de la phase 1 soit suffisamment longue.
- Le périphérique de passerelle client possède la clé pré-partagée correcte ou les certificats valides.
- Vous pouvez envoyer une requête ping aux points de terminaison du VPN :
Remarque : remplacez example_IP par l’adresse IP publique du point de terminaison du VPN AWS.ping example_IP
- Le trafic entrant est lancé vers AWS.
Remarque : les services du VPN AWS fonctionnent en mode répondeur par défaut et permettent de modifier la configuration des négociations IKE, des paramètres de délai d’attente entre homologues et d’autres paramètres de configuration. Pour plus d’informations, consultez la rubrique Options de lancement d’un tunnel AWS Site-to-Site VPN.
Vérifier l’action de démarrage
Si l’action de démarrage du tunnel est Démarrer, effectuez les actions suivantes :
- Si le point de terminaison du VPN est l’initiateur IKE du tunnel VPN, vérifiez que les options de tunnel sur le périphérique de passerelle client et sur AWS correspondent.
- Pour l’authentification par clé pré-partagée, vérifiez que l’ID local du périphérique de passerelle client et l’adresse IP publique sur AWS correspondent. Pour l’authentification par certificat, vérifiez que l’ID local du périphérique de passerelle client est l’objet du certificat.
Vérifier l’acheminement du trafic vers les ports requis
Si le périphérique client se trouve derrière un périphérique NAT, exécutez mytraceroute (MTR) pour vérifier que le trafic passe bien par les ports requis :
- Vérifiez que les paquets UDP (Unified Data Provider) peuvent passer entre le réseau et les points de terminaison du VPN sur le port 500. Si le service NAT-Traversal est actif, vérifiez également le port 4500.
- Vérifiez que le fournisseur de services Internet (ISP) intermédiaire autorise le trafic sur le port 500. Si vous utilisez le service NAT-Traversal, vérifiez que l’ISP autorise le trafic sur le port 4500.
Pour plus d’informations, consultez la page Comment puis-je résoudre les problèmes de perte de paquets sur ma connexion VPN AWS ?
Remarque : si votre passerelle client ne se trouve pas derrière un dispositif de traduction d’adresses de port (PAT), il est recommandé de désactiver le service NAT-traversal. Si l’accélération est activée pour une connexion VPN de site à site, assurez-vous que le service NAT-Traversal est activé sur le périphérique de passerelle client.
Résolution des problèmes de défaillance IPsec en phase 2 lorsque la phase 1 d’IKE est ACTIVE
Vérifiez ensuite les configurations suivantes :
- Comparez les paramètres du périphérique de passerelle client avec le fichier de configuration du VPN de site à site pour vérifier que les paramètres de phase 2 sont correctement configurés. Si le périphérique de passerelle client est configuré avec des options autres que celles par défaut, vérifiez les paramètres de phase 2 dans la Console de gestion AWS.
- Sur le périphérique de passerelle client, vérifiez que les paramètres de phase 2 acceptés par IKEv1 et IKEv2 sont correctement configurés.
- Vérifiez que la propriété Diffie-Hellman Perfect Forward Secrecy (PFS) est active et utilise des groupes Diffie-Hellman pour la génération des clés.
- Vérifiez que les associations de sécurité et les sélecteurs de trafic sur AWS et sur le périphérique de passerelle client correspondent.
- Vérifiez que les options de connexion VPN des adresses IP distantes et locales correspondent aux associations de sécurité du périphérique de passerelle client. Pour en savoir plus, consultez la page Comment puis-je résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur une politique ?
Résolution d’autres problèmes de connectivité VPN courants
Si le problème persiste, prenez les mesures suivantes :
- Consultez les journaux du VPN de site à site pour détecter les erreurs correspondant au problème de connexion.
- Consultez les journaux de débogage IPsec pour déterminer la cause de la défaillance et comment la résoudre.
Informations connexes
Comment puis-je vérifier l'état actuel de mon tunnel VPN ?
Contenus pertinents
- demandé il y a 2 anslg...
- demandé il y a un anlg...
- Réponse acceptéedemandé il y a 3 moislg...
- demandé il y a 8 moislg...
- demandé il y a un anlg...
- AWS OFFICIELA mis à jour il y a 5 mois
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans