Pourquoi ne puis-je pas accéder à mon instance Windows ou Linux via ping ou RDP lorsque j'utilise un VPN de site à site AWS ?

Résolution

Si vous disposez d'une connexion VPN de site à site, mais que vous ne parvenez pas à envoyer un ping à une instance EC2 Windows ou Linux à l'aide du protocole SSH, suivez ces étapes de résolution des problèmes :

• Assurez-vous que votre instance est en cours d'exécution en vérifiant son état.

• Utilisez la console VPN AWS pour vérifier l'état de votre connexion VPN de site à site. Vérifiez que l'état du tunnel est activé. Si votre connexion est hors service, passez en revue les étapes de résolution des pannes de phase 1 et de phase 2 afin de résoudre le problème d'interruption de la connexion.

• Pour les instances Windows, vérifiez que le port RDP 3389 est autorisé par votre groupe de sécurité AWS, votre ACL réseau, votre pare-feu du système d'exploitation et votre logiciel antivirus. Pour les instances Linux, confirmez la même chose pour le port SSH 22. Pour activer l'accès SSH, RDP ou ICMP entrant, voir Contrôler le trafic vers les ressources à l'aide de groupes de sécurité et Contrôler le trafic vers des sous-réseaux à l'aide des ACL réseau.

• Vérifiez que les tables de routage spécifiées dans vos instances sont correctes. Assurez-vous que vous disposez d'un itinéraire de retour pour le CIDR de destination ou le réseau local. Vérifiez que cet itinéraire de retour pointe vers une passerelle de transit (TGW) ou une passerelle privée virtuelle (VGW). Vérifiez que ce TGW ou VGW est connecté à votre VPN de site à site.

• Si votre appareil de passerelle client met en œuvre un VPN basé sur des règles, assurez-vous que l'appareil négocie une association de sécurité (SA) unique. AWS limite le nombre d'associations de sécurité à une seule paire. Pour plus d'informations, consultez Comment résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur des règles ?

• Vous utilisez peut-être une configuration active/active. Cela signifie que vos deux tunnels sont opérationnels et que votre VPN de site à site se termine sur un VGW ou un TGW avec l'ECMP désactivé. Dans ce cas d'utilisation, AWS attribue un tunnel actif comme tunnel VPN préféré pour envoyer le trafic d'AWS vers le réseau sur site. Lorsque vous utilisez des configurations Active/Active, le routage asymétrique doit être activé sur la passerelle client sur les interfaces du tunnel virtuel. Pour plus d'informations, consultez Comment configurer ma connexion VPN de site à site pour préférer le tunnel A au tunnel B ?

• Vérifiez qu'aucun pare-feu au niveau du système d'exploitation ne bloque le trafic entrant ou sortant. Pour les instances Windows, ouvrez une invite de commande, puis exécutez la commande WF.msc. Pour les instances Linux, depuis le terminal, exécutez la commande iptables avec les arguments appropriés.

• Si vous utilisez un VPN dynamique, assurez-vous de communiquer les préfixes locaux corrects à AWS.

• Si vous utilisez un VPN statique, assurez-vous d'avoir configuré la bonne route statique pour votre VPN de site à site. Connectez-vous à la console VPN AWS, puis sous routes statiques, vérifiez le réseau cible de votre VPN de site à site.

• Si vous utilisez un VPN statique, vérifiez votre appareil de passerelle client. Assurez-vous d'avoir configuré un itinéraire statique pointant vers le CIDR AWS Virtual Private Cloud (AWS VPC) de destination sur l'appareil.

• Si vous utilisez un VPN accéléré, vérifiez que le NAT est activé et que le trafic utilise le protocole UDP 4500. Cela est nécessaire à la fluidité du trafic. Si le NAT n'est pas activé, le tunnel s'ouvre mais aucun trafic ne passe.

  Remarque : Prenez connaissance des règles d'utilisation d'une connexion VPN accélérée.

Informations connexes

Comment résoudre les problèmes de connexion au bureau à distance à mon instance Windows Amazon EC2 ?