Pour quelle raison mon réseau AWS Site-to-Site VPN ne peut-il pas établir de connexion ?

Lecture de 6 minute(s)
0

Mon réseau AWS Site-to-Site VPN dans un Amazon Virtual Private Cloud (Amazon VPC) ne parvient pas à établir de connexion par échange de clés Internet (IKE)/Phase 1 ou via Internet Protocol Security (IPsec)/Phase 2. Je souhaite résoudre ces erreurs de connexion.

Résolution

Si le VPN ne parvient pas à établir de connexion, cela signifie que la phase 1 IKE ou la phase 2 IPsec est défaillante.

Activez les journaux du VPN de site à site. Consultez les journaux pour vérifier l’état de chaque phase. Vous pouvez également vérifier leur état sur le périphérique de passerelle client.

Résolvez ensuite l’échec de connexion en fonction de la phase défaillante. 

Remarque : l’état du VPN est ACTIF uniquement lorsque les états en phase 1 et phase 2 sont ACTIFS. Sur un VPN dynamique, l’état du protocole de passerelle frontière (BGP) doit également être ACTIF. Si la connexion IKE en phase 1 est établie mais que l’état de la connexion IPsec de la phase 2 est INACTIF, alors l’état du VPN est également INACTIF.

Défaillances IKE en phase 1

Vérifier le périphérique de passerelle client

Sur le périphérique de passerelle client, vérifiez les configurations suivantes :

Vérifier l’action de démarrage

Si l’action de démarrage du tunnel est Démarrer, effectuez les actions suivantes :

  • Si le point de terminaison du VPN est l’initiateur IKE du tunnel VPN, vérifiez que les options de tunnel sur le périphérique de passerelle client et sur AWS correspondent.
  • Pour l’authentification par clé pré-partagée, vérifiez que l’ID local du périphérique de passerelle client et l’adresse IP publique sur AWS correspondent. Pour l’authentification par certificat, vérifiez que l’ID local du périphérique de passerelle client est l’objet du certificat.

Vérifier l’acheminement du trafic vers les ports requis

Si le périphérique client se trouve derrière un périphérique NAT, exécutez mytraceroute (MTR) pour vérifier que le trafic passe bien par les ports requis :

  • Vérifiez que les paquets UDP (Unified Data Provider) peuvent passer entre le réseau et les points de terminaison du VPN sur le port 500. Si le service NAT-Traversal est actif, vérifiez également le port 4500.
  • Vérifiez que le fournisseur de services Internet (ISP) intermédiaire autorise le trafic sur le port 500. Si vous utilisez le service NAT-Traversal, vérifiez que l’ISP autorise le trafic sur le port 4500.

Pour plus d’informations, consultez la page Comment puis-je résoudre les problèmes de perte de paquets sur ma connexion VPN AWS ?

Remarque : si votre passerelle client ne se trouve pas derrière un dispositif de traduction d’adresses de port (PAT), il est recommandé de désactiver le service NAT-traversal. Si l’accélération est activée pour une connexion VPN de site à site, assurez-vous que le service NAT-Traversal est activé sur le périphérique de passerelle client.

Résolution des problèmes de défaillance IPsec en phase 2 lorsque la phase 1 d’IKE est ACTIVE

Vérifiez ensuite les configurations suivantes :

  • Comparez les paramètres du périphérique de passerelle client avec le fichier de configuration du VPN de site à site pour vérifier que les paramètres de phase 2 sont correctement configurés. Si le périphérique de passerelle client est configuré avec des options autres que celles par défaut, vérifiez les paramètres de phase 2 dans la Console de gestion AWS.
  • Sur le périphérique de passerelle client, vérifiez que les paramètres de phase 2 acceptés par IKEv1 et IKEv2 sont correctement configurés.
  • Vérifiez que la propriété Diffie-Hellman Perfect Forward Secrecy (PFS) est active et utilise des groupes Diffie-Hellman pour la génération des clés.
  • Vérifiez que les associations de sécurité et les sélecteurs de trafic sur AWS et sur le périphérique de passerelle client correspondent.
  • Vérifiez que les options de connexion VPN des adresses IP distantes et locales correspondent aux associations de sécurité du périphérique de passerelle client. Pour en savoir plus, consultez la page Comment puis-je résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur une politique ?

Résolution d’autres problèmes de connectivité VPN courants

Si le problème persiste, prenez les mesures suivantes :

Informations connexes

Comment puis-je vérifier l'état actuel de mon tunnel VPN ?

Modifier les options du tunnel AWS Site-to-Site VPN

Fichiers de configuration du routage statique téléchargeables pour un périphérique de passerelle client AWS Site-to-Site VPN

Fichiers de configuration du routage dynamique téléchargeables pour un périphérique de passerelle client AWS Site-to-Site VPN

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 4 mois