Pourquoi ne puis-je pas me connecter à mon Amazon VPC lorsque j'utilise un VPN site à site qui se termine sur une passerelle de transit ?

Lecture de 6 minute(s)

Je souhaite utiliser un AWS Site-to-Site VPN qui se termine sur une passerelle de transit pour me connecter aux ressources d'Amazon Virtual Private Cloud (Amazon VPC).

Résolution

Pour résoudre les erreurs qui empêchent un VPN site à site se terminant sur une passerelle de transit de se connecter aux ressources Amazon VPC, procédez comme suit :

Résoudre les problèmes de connexion VPN site à site

Vérifiez que les tunnels de la connexion VPN site à site sont ACTIVÉS. Si la connexion est INACTIVE, remédiez aux problèmes liés à l'échange de clés Internet (IKE)/phase 1 et IKE/phase 2. Pour plus d’informations, consultez la section Comment puis-je résoudre les problèmes d’interruption ou d’inactivité du tunnel VPN AWS sur mon périphérique de passerelle client ?

Résoudre les problèmes de connexion à la passerelle de transit

Utilisez la console Amazon VPC pour activer la propagation, puis définissez une route statique. Assurez-vous que les sous-réseaux associés couvrent la zone de disponibilité (AZ) qui contient la ressource de destination.

Activer la propagation

Dans les tables de routage de la passerelle de transit, activez la propagation à partir de la connexion VPN site à site et de la connexion Amazon VPC source. Pour propager des routes, procédez comme suit :

Dans le volet de navigation, sélectionnez Tables de routage de passerelle de transit.
Sélectionnez la table de routage associée à la connexion Amazon VPC source.
Sélectionnez Actions, puis Créer une propagation.
Sur la page Créer une propagation, choisissez la connexion VPN site à site.
Sélectionnez Créer une propagation.
Remarque : Une fois la propagation créée, la passerelle de transit ajoute automatiquement les routes sur site à la table de routage associée à l’attachement source.
Dans le volet de navigation, sélectionnez Tables de routage de passerelle de transit.
Sélectionnez la table de routage associée à la connexion VPN site à site, puis répétez les étapes 3 à 5 pour la connexion Amazon VPC source.
Vérifiez qu'un sous-réseau est associé à la connexion VPC de la passerelle de transit.

Définir une route statique

Dans la table de routage Amazon VPC, définissez une route statique pour les CIDR sur site qui pointent vers votre passerelle de transit. Pour mettre à jour les routes d'une table de routage VPC, procédez comme suit :

Dans le volet de navigation, sélectionnez Tables de routage, puis sélectionnez la table de routage.
Sélectionnez Actions, puis Modifier des routes.
Pour ajouter une route, sélectionnez Ajouter une route. Pour Destination, saisissez le bloc CIDR sur site de destination, une adresse IP unique ou l'ID d'une liste de préfixes.
Pour modifier une route, pour Destination, remplacez le bloc CIDR sur site de destination ou l'adresse IP unique. Pour Cible, choisissez une passerelle cible.
Pour supprimer une route, sélectionnez Supprimer.
Sélectionnez Enregistrer les modifications.

Vérifier le sous-réseau associé

Utilisez la console Amazon VPC pour vérifier que le sous-réseau associé couvre la zone de disponibilité du VPC qui contient la ressource de destination. Si le sous-réseau ne couvre pas la zone de disponibilité nécessaire, procédez comme suit :

Dans le volet de navigation, sélectionnez Attachements de la passerelle de transit.
Sélectionnez la connexion VPC, puis Actions.
Sélectionnez Modifier l'association pour Transit Gateway.
Pour ajouter ou supprimer un sous-réseau de la connexion, sélectionnez ou désactivez l'ID sous-réseau en regard du sous-réseau à ajouter ou à supprimer.

Vérifiez que le groupe de sécurité et la liste de contrôle d'accès (ACL) réseau du sous-réseau du VPC autorisent le trafic nécessaire. Puis, vérifiez ensuite que les ACL réseau de la connexion de la passerelle de transit autorisent le trafic nécessaire.

Remarque : Appliquez les rôles aux instances Amazon Elastic Compute Cloud (Amazon EC2) qui correspondent au fait que le VPC utilise le même sous-réseau ou des sous-réseaux différents.

Résoudre les erreurs de routage et de connexion

Important : Il est recommandé d'utiliser le routage dynamique, également connu sous le nom de Border Gateway Protocol (BGP), plutôt que le routage statique. Si le périphérique de passerelle client prend en charge le routage dynamique, assurez-vous que le protocole BGP est configuré sur la connexion VPN site à site.

Effectuez les opérations suivantes en fonction du type de routage utilisé par la connexion.

Routage dynamique

Utilisez les journaux de flux des passerelles de transit Amazon VPC pour vérifier que le trafic est correctement acheminé. S'il n'est pas acheminé correctement, vérifiez les configurations suivantes :

Le périphérique de passerelle client est configuré avec une configuration active/active.
Les préfixes et les attributs BGP annoncés sur le périphérique de passerelle client et configurés sur le VPN site à site correspondent.
Le routage asymétrique est actif sur le périphérique de passerelle client.
Le périphérique de passerelle client annonce les routes sur site vers les points de terminaison de VPN site à site.
Le périphérique de passerelle client reçoit des routes depuis les points de terminaison de VPN site à site qui sont associés aux CIDR Amazon VPC.
La table de routage du périphérique de passerelle client contient une route associée à l'adresse CIDR Amazon VPC qui pointe vers l'interface de tunnel virtuel de l'homologue AWS.
La prise en charge du routage multivoie à coût égal (ECMP) est activée sur la passerelle de transit.

Routage statique

Vérifiez que le périphérique de passerelle client dispose d'une route statique pour le réseau AWS qui pointe vers l'interface du tunnel virtuel. Si vous utilisez un VPN site à site basé sur des règles, vérifiez que les stratégies sur AWS et celles du réseau sur site correspondent.

Résoudre les erreurs de connexion sur l'hôte

Sur l'instance Amazon Elastic Compute Cloud (Amazon EC2) qui héberge Amazon VPC, effectuez les étapes suivantes :

Vérifiez que le pare-feu au niveau du système d'exploitation de l'instance Amazon EC2 cible autorise le trafic entrant et sortant.
Vérifiez que l'application qui s'exécute sur le serveur cible écoute sur le port et le protocole spécifiés :
Windows PowerShell ou invite de commande
```
netstat -a
```
Terminal Linux
```
netstat -plantu
```

Informations connexes

Comment puis-je configurer ma connexion Site-to-Site VPN afin qu'elle préfère le tunnel A au tunnel B ?

Surveiller les tunnels AWS Site-to-Site VPN à l'aide d'Amazon CloudWatch

Comment puis-je résoudre les problèmes de connexion BGP via VPN ?

Périphériques de passerelle client AWS Site-to-Site VPN

Sujets

Réseaux et diffusion de contenu

Balises

AWS Virtual Private Network (VPN)

Langue

Français

AWS OFFICIELA mis à jour il y a 5 mois

Aucun commentaire

Contenus pertinents

Je n'arrive pas à me Connecter sur AWS
Pierre Ndiaye
demandé il y a 2 ans
Herbergement site web ecommerce
Faouziya
demandé il y a 2 ans
Appels sortants à partir de salesforce / Amazon Connect
benoit paternotte
demandé il y a un an
Mon loadbalancer ne marche pas comme il devrait
zerros
demandé il y a 2 ans
AWS SES Bloqué suite à un problème critique lié à votre envoi d'e-mails
rePost-User-2050300
demandé il y a un an
Pourquoi ne puis-je pas me connecter à mon VPC lorsque j'utilise une connexion VPN de site à site AWS qui se termine sur une passerelle privée virtuelle ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi ne puis-je pas me connecter à mon réseau sur site à l'aide d'AWS Site-to-Site VPN ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je surveiller ma passerelle de transit et Site-to-Site VPN sur une passerelle de transit à l'aide de Network Manager ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je réaliser un routage ECMP avec plusieurs tunnels Site-to-Site VPN associés à une passerelle de transit ?
AWS OFFICIELA mis à jour il y a 2 ans