Je souhaite résoudre les problèmes liés au routage du trafic via AWS Site-to-Site VPN.
Résolution
Les raisons suivantes peuvent entraîner des problèmes d'acheminement du trafic via Site-to-Site VPN :
- Table de routage mal configurée
- Erreurs de routage dynamique
- Erreurs de routage statiques
- Configuration incorrecte entre AWS et votre appareil sur site
- Connexion VPN intermittente ou instable
- Trafic qui n'est pas acheminé ou qui n'atteint pas sa destination
Téléchargez l'exemple de fichier de configuration correspondant à votre périphérique de passerelle client et utilisez-le pour résoudre les problèmes de routage.
Assurez-vous que la stratégie de pare-feu du périphérique de passerelle client autorise le trafic entre AWS et votre appareil sur site.
Table de routage mal configurée
Sur les tables de routage de la passerelle de transit ou du cloud privé virtuel (VPC), vérifiez que les préfixes sur site correspondent au type de passerelle de la connexion VPN.
Si la connexion utilise une passerelle de transit, vérifiez que la table de routage de la passerelle de transit est associée à la source de trafic et à l’attachement de VPN. La passerelle de transit doit également contenir des itinéraires pour les préfixes sur site qui pointent vers la connexion VPN et l’attachement de VPC.
Erreurs de routage dynamique
Si la connexion utilise le routage dynamique, vérifiez les configurations suivantes :
- La passerelle client publie les préfixes sur site de la session BGP (protocole de passerelle frontière) sur le tunnel Site-to-Site VPN.
- Les plans de routage sur le périphérique de passerelle client autorisent les préfixes sur site qui sont annoncés au cours de la session BGP.
- Les itinéraires AWS Direct Connect sont prioritaires par rapport aux itinéraires Site-to-Site VPN.
Si vous configurez correctement les configurations précédentes mais que le BGP continue d'échouer, résolvez les problèmes de connexion BGP via le VPN.
Erreurs de routage statiques
Si la connexion utilise une passerelle privée virtuelle, vérifiez que la connexion VPN inclut un itinéraire statique pour le réseau local.
Assurez-vous que la passerelle client dispose d’itinéraires statiques pour le CIDR de VPC qui pointe vers l’interface de tunnel virtuel appropriée.
Si vous utilisez une connexion VPN accélérée, vérifiez que NAT-Traversal (NAT-T) est actif sur le périphérique de passerelle client.
Activez les journaux de flux Amazon Virtual Private Cloud (Amazon VPC) sur l'instance de destination, puis vérifiez que le trafic est reçu.
Configuration incorrecte entre AWS et votre appareil sur site
Vérifiez que les itinéraires sont correctement configurés à destination et en provenance d'AWS et de votre appareil sur site.
S'il existe un VPN basé sur des stratégies côté passerelle client, vérifiez les configurations suivantes :
- Les options de tunnel CIDR du réseau IPv4 local et de tunnel CIDR du réseau IPv4 distant sur AWS correspondent à celles de votre appareil sur site.
- Le domaine de chiffrement inclut le trafic nécessaire.
Utilisez Amazon CloudWatch pour surveiller les métriques de tunnel TunnelDataIn et TunnelDataOut.
Résoudre les problèmes liés aux connexions VPN intermittentes ou instables
AWS limite le nombre d'associations de sécurité (SA) à une seule paire pour les SA entrantes et sortantes. Si la connexion VPN requiert plusieurs réseaux, résumez le CIDR local et distant sur les connexions VPN pour utiliser une SA.
Si l'état des deux tunnels est Actif, vérifiez que le périphérique de passerelle client prend en charge le routage asymétrique.
Trafic qui n'est pas acheminé ou qui n'atteint pas sa destination
Vérifiez que le groupe de sécurité et la liste de contrôle d'accès au réseau (ACL réseau) du sous-réseau du VPC autorisent le trafic nécessaire.
Si la connexion utilise une passerelle de transit Amazon VPC, vérifiez que les ACL sous-réseau de sous-réseau de l’attachement de la passerelle de transit autorisent le trafic nécessaire. Utilisez les journaux de flux des passerelles de transit Amazon VPC pour vérifier que le trafic est correctement acheminé.
Informations connexes
Comment puis-je résoudre les problèmes de connexion entre un point de terminaison AWS VPN et un VPN basé sur une stratégie ?
Périphériques de passerelle client AWS Site-to-Site VPN
Enregistrements de flux de passerelle de transit dans Amazon CloudWatch Logs