Pourquoi ne puis-je pas me connecter à mon VPC lorsque j'utilise un AWS Site-to-Site VPN qui se termine sur une passerelle de transit ?

Lecture de 6 minute(s)
0

Je ne peux pas accéder aux ressources d'un cloud privé virtuel (VPC) lorsque je me connecte à l'aide d'un AWS Site-to-Site VPN qui se termine sur une passerelle de transit.

Résolution

  • Vérifiez que les tunnels pour la connexion VPN de site à site AWS sont actifs à la fois du côté AWS et de votre appareil de passerelle client. Si la connexion est interrompue, suivez les étapes de dépannage relatives aux défaillances d'IKE/Phase 1 et d'IKE/Phase 2 afin d'établir le tunnel.

  • Vérifiez que le domaine de chiffrement configuré sur le dispositif de passerelle client est suffisamment large pour couvrir les CIDR du réseau local (sur site) et distant (AWS). Le Site-to-Site VPN est une solution basée sur le routage. Cela signifie que les CIDR du réseau local et distant sont définis sur any/any (0.0.0.0/0 <==> 0.0.0.0/0) côté AWS, par défaut. Mais si vous utilisez un Site-to-Site VPN basé sur des règles du côté de la passerelle client, utilisez un domaine de cryptage spécifique pour couvrir le trafic prévu.

    Remarque :AWS limite le nombre d'associations de sécurité (SA) à une seule paire pour les SA entrantes et sortantes. Si vous utilisez un Site-to-Site VPN basé sur des règles et que vous disposez de plusieurs réseaux accessibles via le tunnel VPN de site à site, le domaine de cryptage doit être résumé. Si le domaine de chiffrement n'est pas résumé, la passerelle client propose plusieurs SA, ce qui peut entraîner une défaillance de la connectivité.

  • Vérifiez si votre passerelle client se trouve derrière un appareil NAT. Si ce n'est pas le cas, assurez-vous que le protocole ESP-IP 50 est autorisé à destination et en provenance du point de terminaison VPN de site à site jusqu'à la passerelle client. Si la passerelle client se trouve derrière un périphérique NAT, vérifiez si NAT-T est activé. Si NAT-T est activé, assurez-vous que le port UDP 4500 est autorisé sur le périphérique NAT et sur le périphérique de passerelle client. Il s'agit d'une exigence pour que le trafic ESP circule.

  • Si vous utilisez un Site-to-Site VPN accéléré, assurez-vous que NAT-T est activé du côté de la passerelle client.

  • Vérifiez si la politique de pare-feu du dispositif de passerelle client autorise le trafic sortant du réseau local vers AWS. Vérifiez ensuite que la politique autorise le trafic entrant d'AWS vers le réseau sur site.

  • Pour un VPN statique de site à site, définissez un itinéraire statique pour les CIDR du réseau local sur la table de routage de la passerelle de transit associée à la pièce jointe du VPC source.

  • Pour un VPN de site à site dynamique, assurez-vous que le dispositif de passerelle client annonce les itinéraires sur site vers les points de terminaison Site-to-Site VPN. Assurez-vous ensuite que le dispositif de passerelle client reçoit les itinéraires pour les CIDR du VPC en provenance des points de terminaison Site-to-Site VPN. Vérifiez que la table de routage de l'appareil contient un itinéraire pour le CIDR du VPC qui pointe vers l'interface de tunnel virtuel pour l'homologue AWS.



  • Sur la table de routage TGW associée à la connexion VPC source, vous pouvez activer la propagation à partir de la pièce jointe Site-to-Site VPN. Les routes locales sont ensuite ajoutées automatiquement à la table de routage TGW associée à la pièce jointe du VPC source.

  • Pour un Site-to-Site VPN statique, vous utilisez peut-être une implémentation VPN basée sur la route. Pour cette configuration, vérifiez que le dispositif de passerelle client dispose d'une route statique pour le réseau AWS qui pointe vers l'interface du tunnel virtuel. Ou, si vous utilisez une implémentation VPN basée sur des règles, assurez-vous d'avoir mis en place une politique qui correspond au réseau sur site et au réseau AWS.

  • Pour un Site-to-Site VPN statique, vérifiez que les deux tunnels sur AWS ont une configuration active/active, ce qui signifie que les deux tunnels sont opérationnels. Assurez-vous que le routage asymétrique est pris en charge sur votre appareil de passerelle client. Si le routage asymétrique n'est pas pris en charge, AWS sélectionne le tunnel de sortie de manière aléatoire.

  • Pour un Site-to-Site VPN dynamique, vérifiez si le support VPN ECMP est activé sur la passerelle de transit. Vérifiez ensuite si votre configuration est active/active, dans laquelle la passerelle client affiche les mêmes préfixes et attributs BGP. Si vous avez une configuration active/active et que le support VPN ECMP est activé, AWS équilibre la charge du trafic entre les deux tunnels. Pour cette raison, le routage asymétrique doit être pris en charge et activé sur le dispositif de passerelle client. Si le support VPN ECMP est désactivé, AWS choisit aléatoirement un tunnel de sortie, ce qui entraîne un routage asymétrique.

  • Vérifiez le routage sur les tables de routage du VPC. Les passerelles privées virtuelles vous permettent d'activer la propagation des routes pour propager automatiquement les routes VPN de site à site vers les tables de routage du VPC. Toutefois, lorsque vous utilisez une passerelle de transit, vous devez définir un itinéraire statique pour les CIDR locaux qui pointent vers votre passerelle de transit.

  • Vérifiez qu'un sous-réseau est associé à la connexion VPC de la passerelle de transit. Ce sous-réseau doit couvrir la zone de disponibilité (AZ) dans laquelle réside votre ressource de destination au sein du VPC.

  • Vérifiez que le trafic est autorisé sur le groupe de sécurité associé à l'instance ou à la ressource cible.

  • Vérifiez que la liste de contrôle d'accès réseau (ACL réseau) autorise le trafic entrant et sortant.

    Remarque : Les règles ACL du réseau sont appliquées de différentes manières. Cela dépend du fait que les instances et l'interface réseau élastique de connexion VPC de la passerelle de transit résident dans le même sous-réseau ou dans des sous-réseaux différents.

  • Vérifiez si le pare-feu au niveau du système d'exploitation de l'hôte cible autorise à la fois le trafic entrant et sortant.

  • Vérifiez si l'application qui s'exécute sur le serveur cible écoute sur le port et le protocole spécifiés. Exécutez les commandes suivantes :

    Windows PowerShell ou invite de commande :

    netstat -a

    Terminal Linux :

    netstat -plantu

Informations connexes

Configurer une connexion VPN de site à site pour préférer le tunnel A au tunnel B

Surveillance des tunnels VPN à l'aide d'Amazon CloudWatch

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 9 mois