Stay up to date with the latest from the Knowledge Center. See all new Knowledge Center articles published in the last month, and re:Post's top contributors.
Comment utiliser les journaux Site-to-Site VPN pour connaître la cause de la défaillance d’un tunnel ?
Mon tunnel AWS Site-to-Site VPN est hors service et je ne peux pas accéder à mes ressources depuis mon réseau sur site. Je souhaite utiliser les journaux Site-to-Site VPN pour connaître la cause de la défaillance du tunnel.
Résolution
Vous pouvez utiliser les journaux d'activité des tunnels pour surveiller les tunnels Site-to-Site VPN. Lorsque vous activez les journaux d'activité des tunnels, vous pouvez utiliser Amazon CloudWatch Logs pour recueillir des informations sur les défaillances des tunnels et d'autres problèmes liés aux tunnels.
Veillez à attacher toutes les autorisations requises au rôle Gestion des identités et des accès AWS (AWS IAM) pour votre Site-to-Site VPN.
Remarque : les journaux du tunnel VPN ne deviennent disponibles qu'une fois la journalisation VPN activée. Si le tunnel VPN tombe en panne avant l’activation de la journalisation, vous ne pourrez pas voir les journaux pendant la durée de l'interruption.
Identification des horodatages correspondant à la panne
Procédez comme suit :
- Ouvrez la console CloudWatch.
- Sous Métriques, sélectionnez Toutes les métriques.
- Choisissez les Métriques du VPN.
- Choisissez Métriques de tunnel VPN.
- Sélectionnez l'adresse IP du tunnel qui a subi la panne.
- Sélectionnez la métrique TunnelState.
- Sous Graphique des métriques, sélectionnez les options suivantes :
Pour Statistique, sélectionnez Minimum.
Dans Période, sélectionnez Minute. - Notez l'horodatage de la panne.
Examen des journaux d'activité du tunnel
Procédez comme suit :
- Ouvrez la console CloudWatch.
- Dans le volet de navigation, sélectionnez Groupes de journaux.
- Choisissez le groupe de journaux associé à votre Site-to-Site VPN.
- Sélectionnez le flux de journaux correspondant à la période de la défaillance du tunnel Site-to-Site VPN.
- Cherchez les erreurs et les avertissements dans les journaux afin d'identifier les problèmes survenus. Pour en savoir plus, consultez la page Contenu du journal Site-to-Site VPN.
Les exemples suivants présentent des erreurs courantes dans les journaux d'activité d’un tunnel.
Délai d'expiration DPD
Si les journaux comprennent l'événement Peer is not responsive - Declaring peer dead, cela indique qu’un délai d'attente lié à la détection de la perte de pairs (DDP) est survenu. Par défaut, le Site-to-Site VPN envoie la message DPD R_U_THERE à la passerelle client. Après trois messages successifs sans réponse, le Site-to-Site VPN considère le pair comme perdu et ferme le tunnel. Pour résoudre le problème, vous devez également collecter les journaux de débogage depuis la passerelle client. Pour en savoir plus sur les causes du délai d'expiration du DPD, consultez la page Comment résoudre les problèmes d'inactivité ou d’interruption du tunnel AWS VPN sur mon appareil de passerelle client ?
Suppression de la passerelle client
Si les journaux comprennent l'événement AWS tunnel received DELETE, cela indique que la passerelle client a envoyé un message au Site-to-Site VPN pour supprimer le tunnel. Utilisez les journaux de la passerelle client pour identifier la raison pour laquelle celle-ci a envoyé un message de suppression.
Problèmes liés à l'établissement des tunnels
Si votre tunnel ne s’établit pas au moment de sa configuration, vous devez consulter les journaux d'activité du tunnel pour identifier le problème.
Exemples de journaux :
{ "event_timestamp": 1723999332, "details": "AWS tunnel is evaluating proposals received from CGW", "dpd_enabled": true, "nat_t_detected": false, "ike_phase1_state": "down", "ike_phase2_state": "down" } { "event_timestamp":1723999332, "details":"AWS tunnel is processing proposals to find a matching configuration", "dpd_enabled":true, "nat_t_detected":false, "ike_phase1_state":"down", "ike_phase2_state":"down" } { "event_timestamp": 1723999332, "details": "No Proposal Match Found by AWS", "dpd_enabled": true, "nat_t_detected": false, "ike_phase1_state": "down", "ike_phase2_state": "down" }
Dans l'exemple précédent, le champ details indique que les algorithmes du tunnel AWS ne correspondent pas à ceux de la passerelle client (CGW). Pour résoudre ce problème, assurez-vous que la passerelle client présente une suite d'algorithmes prise en charge par le tunnel. Pour obtenir la liste des algorithmes pris en charge, consultez la page Options de tunnel pour votre connexion AWS Site-to-Site VPN.
Vérification des paramètres réseau, des règles de pare-feu et de la configuration de votre Site-to-Site VPN
Si vous ne parvenez toujours pas à déterminer le problème, vérifiez que les paramètres réseau, les règles de pare-feu ou la configuration de votre Site-to-Site VPN ne sont pas à l'origine de la défaillance du tunnel. Il peut être nécessaire de collaborer avec votre équipe informatique, votre administrateur réseau ou votre fournisseur de services Internet (FSI) pour résoudre le problème.
Informations connexes
Surveillance des tunnels AWS Site-to-Site VPN à l'aide d'Amazon CloudWatch
Configuration de la solution de surveillance automatisée AWS Site-to-Site VPN
Contenus pertinents
- demandé il y a 2 ans
- demandé il y a un an
- demandé il y a 4 mois
- AWS OFFICIELA mis à jour il y a 9 mois