En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Pourquoi ne puis-je pas me connecter à mon réseau sur site à l'aide d'AWS Site-to-Site VPN ?

Lecture de 5 minute(s)
0

Je dispose d'une connexion AWS Site-to-Site VPN entre mon réseau sur site et AWS, mais je n'arrive pas à me connecter à mes ressources locales.

Résolution

Vérifiez l'état de la connexion Site-to-Site VPN

Vérifiez que la connexion Site-to-Site VPN est dans l'état disponible et que les tunnels sont opérationnels.

1.    Connectez-vous à la console de gestion AWS.

2.    Sous Réseau privé virtuel (VPN), choisissez Connexions VPN de site à site.

3.    Si votre connexion est hors service, suivez les étapes de résolution des pannes de phase 1 et de phase 2 afin de résoudre l'erreur d'indisponibilité.

Remarque : Sachez que le VPN de site à site basé sur le protocole de passerelle frontière (BGP) ne fonctionne que si le protocole BGP est également actif. Si BGP est en panne, cela signifie que l'état de votre VPN de site à site est INACCESSIBLE.

Vérifiez si votre VPN de site à site basé sur des politiques comporte plusieurs associations de sécurité

Vérifiez si votre passerelle client utilise une connexion VPN de site à site basée sur des règles pour se connecter à un point de terminaison VPN de site à site. AWS n'autorise qu'une seule paire d'associations de sécurité. Une paire inclut une association de sécurité entrante et une association de sécurité sortante. Si un VPN de site à site basé sur des règles dépasse cette limite, les connexions existantes sont abandonnées lorsqu'une nouvelle connexion avec différentes associations de sécurité est initiée. En fait, une nouvelle connexion VPN de site à site interrompt une connexion existante.

Lorsque vous utilisez un VPN de site à site basé sur des règles, il est recommandé de définir l'adresse source de votre réseau interne comme étant 0.0.0.0/0. Pour plus d'informations, consultez la section Comment résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur des règles ?

Vérifiez la couverture de votre domaine de cryptage ou de votre sélecteur de trafic

Assurez-vous que le domaine de chiffrement ou le sélecteur de trafic que vous utilisez couvre à la fois les réseaux source et de destination. Le trafic est interrompu si les réseaux source et de destination ne sont pas couverts.

Dirigez la table de routage de votre instance Amazon Elastic Compute Cloud (Amazon EC2) vers une passerelle privée virtuelle ou une passerelle de transit

La table de routage associée à votre instance EC2 doit comporter un itinéraire pointant vers une passerelle privée virtuelle ou une passerelle de transit. Si vous utilisez une passerelle privée virtuelle, vous pouvez activer la propagation.

Vous utilisez peut-être un VPN statique de site à site connecté à une passerelle de transit. Assurez-vous d'avoir ajouté une route statique à la pièce jointe VPN de site à site de la passerelle de transit dans votre tableau de passerelle de transit. Pour un VPN dynamique de site à site, assurez-vous d'avoir activé la propagation. Lorsqu'une pièce jointe est propagée vers une table de routage de passerelle de transit, ces itinéraires sont installés dans la table de routage.

Vérifiez les paramètres du groupe de sécurité et de l'ACL réseau

Assurez-vous que le groupe de sécurité et les ACL réseau de votre instance autorisent le trafic entrant sur les ports auxquels vous essayez d'accéder. Pour vérifier cela, connectez-vous à la console Amazon Virtual Private Cloud (Amazon VPC). Choisissez Groupes de sécurité ou ACL réseau dans le volet de navigation, puis passez en revue vos paramètres.

Vérifiez si vous utilisez une configuration active/active

Vous utilisez peut-être une configuration active/active. Cela signifie que les deux tunnels sont opérationnels et que votre VPN de site à site se termine sur une passerelle privée virtuelle ou une passerelle de transit avec l'ECMP désactivé. Dans ce cas d'utilisation, AWS attribue à un tunnel actif le tunnel VPN de site à site préféré pour envoyer le trafic d'AWS vers le réseau sur site. Lorsque vous utilisez des configurations Active/Active, le routage asymétrique doit être activé sur la passerelle client sur les interfaces du tunnel virtuel. Pour plus d'informations, consultez la section Comment configurer ma connexion VPN de site à site pour préférer le tunnel A au tunnel B ?

Résolution des problèmes supplémentaires

Effectuez ces vérifications de dépannage, en fonction du type de VPN de site à site que vous utilisez :

  • Pour les VPN de site à site basé sur BGP, assurez-vous d'annoncer les préfixes locaux corrects.

  • Pour un VPN statique de site à site, assurez-vous que vous avez configuré la bonne route statique pour votre VPN de site à site. Connectez-vous à la console VPN de site à site, puis sous routes statiques, vérifiez le réseau cible de votre VPN de site à site.

  • Pour un VPN statique de site à site, vérifiez votre appareil de passerelle client pour vous assurer que vous avez configuré un itinéraire statique pointant vers le CIDR Amazon VPC de destination.

  • Pour un VPN de site à site accéléré, vérifiez que NAT-T est activé et que le trafic utilise le protocole UDP 4500. Cela est nécessaire à la fluidité du trafic. Si NAT-T n'est pas activé, le tunnel s'ouvre mais aucun trafic ne passe.

    Remarque : Prenez connaissance des règles d'utilisation d'une connexion VPN accélérée de site à site.

Informations connexes

Comment résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur des règles ?

Sujets
Réseaux et diffusion de contenu
Balises
AWS Virtual Private Network (VPN)
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents