Pourquoi mon AWS Site-to-Site VPN ne parvient-il pas à établir de connectivité ?
Mon AWS Site-to-Site VPN dans un Amazon Virtual Private Cloud (Amazon VPC) échoue soit à IKE/phase 1, soit à IPsec/phase 2 de l'établissement de la connectivité.
Résolution
Défaillances IKE/phase 1
Si la phase IKE de votre configuration échoue, vérifiez la configuration VPN de site à site pour vous assurer qu'elle répond aux exigences suivantes :
- Exigences relatives à la passerelle client.
- Utilise la version d'IKE adaptée à votre cas d'utilisation. **Remarque :**AWS prend en charge IKEv1 et IKEv2.
- Utilise la durée de vie appropriée en secondes pour IKE (phase 1) pour votre version d'IKE. Pour configurer les options de tunnel dont vous avez besoin, consultez la section Options de tunnel pour votre connexion VPN de site à site.
- Possède un dispositif de passerelle client configuré avec la clé pré-partagée (PSK) appropriée ou des certificats valides.
- Vous pouvez envoyer un ping aux points de terminaison VPN de site à site avec succès à partir de votre passerelle client.
Si l'accélération est activée pour une connexion VPN de site à site, assurez-vous que NAT-Traversal est activé pour le dispositif de passerelle client.
Si le dispositif de passerelle client se trouve derrière un dispositif de traduction d'adresses réseau (NAT), confirmez les points suivants :
- Les paquets UDP sur le port 500 (et le port 4500, si la traversée par NAT est utilisée) sont autorisés à passer entre votre réseau et les points de terminaison Site-to-Site VPN.
- Les fournisseurs de services Internet (ISP) intermédiaires ne bloquent pas le port UDP 500 (ou le port 4500, si NAT-Traversal est utilisé).
Remarque : Si votre passerelle client ne se trouve pas derrière un dispositif de traduction d'adresses de port (PAT), il est recommandé de désactiver la traversée NAT.
Défaillances IPSec/Phase 2 lorsque IKE/Phase 1 est activé
Une fois que l'IKE/la phase 1 de la connexion VPN de site à site est établie, la passerelle client essaie d'établir IPsec/phase 2. Notez que l'état du VPN de site à site est activé uniquement lorsque les statuts de phase 1 et de phase 2 sont actifs. Pour un VPN dynamique de site à site, le BGP doit également avoir le statut UP. Si la connexion IKE/Phase 1 est établie, mais que votre connexion IPSec/Phase 2 est à l'état DOWN, le statut VPN de site à site est également DOWN.
Si votre VPN de site à site IPsec/Phase 2 ne parvient pas à établir de connexion, essayez les étapes suivantes pour résoudre le problème :
- Comparez vos paramètres avec le fichier de configuration du Site-to-Site VPN pour vérifier que les paramètres de phase 2 du VPN de site à site sont correctement configurés sur votre appareil de passerelle client. Vous pouvez télécharger ce fichier depuis la console VPN de site à site.
- Vérifiez que les paramètres de phase 2 pris en charge pour IKEv1 et IKEv2 sont correctement configurés. Consultez les exemples de paramètres IKEv1 et IKEv2 suivants :
Chiffrement IKEv1: AES-128, AES-256, AES128-GCM-16, AES256-GCM-16 Intégrité des données IKEv1: SHA-1, SHA2-256, SHA2-384, SHA2-512 Groupes IKEv1 DH: 2, 5 et 14-24 Durée de vie: 3600 secondes Secret avancé parfait de Diffie-Hellman: Allumé **Remarque :**Les exemples de paramètres IKEv1 et IKEv2 Phase 2 et IKEv2 Child \ _SA spécifient la configuration minimale requise pour une connexion VPN de site à site de :
Paramètres de la phase 2 d'AWS: AES128, SHA1, groupe Diffie-Hellman 2 Paramètres de phase 2 d'AWS GovCloud (États-Unis): AES128, SHA2, groupe Diffie-Hellman 14 - Vérifiez que Diffie-Hellman Perfect Forward Secrecy (PFS) est actif et utilise des groupes Diffie-Hellman pour la génération de clés. Consultez les exigences relatives à votre dispositif de passerelle client et consultez les informations relatives à l'utilisation de Diffie-Hellman Perfect Forward Secrecy dans le tableau fourni.
- Vérifiez qu'il n'y a pas d'association de sécurité ou de décalage du sélecteur de trafic entre AWS et le dispositif de passerelle client.
- Vérifiez si les options de connexion VPN de site à site configurées, y compris les adresses IP distantes et locales, correspondent à l'association de sécurité spécifiée sur le dispositif de passerelle client. Pour plus d'informations, consultez Comment résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur des règles ?
- Vérifiez si le trafic est initié vers AWS. Le VPN de site à site fonctionne en mode répondeur par défaut et permet de modifier la configuration des négociations IKE, des paramètres de délai d'attente entre homologues et d'autres paramètres de configuration. Pour plus d'informations, consultez la section Options de lancement d'un tunnel Site-to-Site VPN.
Si le problème persiste, essayez les solutions suivantes :
- Activez les journaux Site-to-Site VPN.
- Consultez les journaux de débogage IPsec pour connaître la cause de l'échec et les étapes de dépannage.
Informations connexes
Qu'est-ce que le Site-to-Site VPN AWS ?
Résolution des problèmes liés à votre appareil de passerelle client
Modifier les options du tunnel Site-to-Site VPN
Exemples de configurations de dispositifs de passerelle client pour le routage statique
Exemples de configurations de dispositifs de passerelle client pour le routage dynamique (BGP)
Contenus pertinents
- demandé il y a 4 heures
- demandé il y a un an
- demandé il y a 9 jours
- demandé il y a 4 mois
- demandé il y a un an
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a un an