En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Comment puis-je résoudre les problèmes d’interruption ou d’inactivité du tunnel VPN AWS sur mon appareil de passerelle client ?

Lecture de 5 minute(s)
0

Je constate des problèmes d’inactivité, d’instabilité ou de connectivité intermittente avec les tunnels du réseau privé virtuel (VPN) AWS sur mon appareil de passerelle client.

Résolution

Voici des raisons courantes de l’inactivité ou de l’instabilité du tunnel VPN AWS sur un dispositif de passerelle client :

  • Problèmes liés à la surveillance de la sécurité du protocole Internet (IPSec) par la détection des pairs morts (DPD)
  • Délais d’inactivité dus à un faible trafic sur un tunnel VPN ou à des problèmes de configuration de passerelle client spécifiques au fournisseur
  • Problèmes de renouvellement de clés pour la phase 1 ou la phase 2
  • Sur le dispositif de passerelle client, une connexion VPN basée sur des stratégies provoque des problèmes de connectivité intermittents

Vérifier les paramètres DPD

Si un pair VPN ne répond pas à trois DPD successifs, il est considéré comme mort et le tunnel est fermé.

Si la DPD est activée sur votre dispositif de passerelle client, vérifiez que ce qui suit est vrai :

  • Il est configuré pour recevoir des messages DPD et y répondre
  • Il n’est pas trop occupé pour répondre aux messages DPD envoyés par des pairs d’AWS
  • Il ne s’agit pas d’une limitation du débit des messages DPD, car les fonctionnalités IPS sont activées dans le pare-feu
  • Il n’a pas de problèmes de transit Internet

Résoudre les problèmes liés aux délais d’inactivité

Si vous rencontrez des délais d’inactivité dus à un faible trafic sur un tunnel VPN, vérifiez les points suivants :

  • Vérifiez qu’il existe un trafic bidirectionnel constant entre votre réseau local et votre cloud privé virtuel (VPC). Si nécessaire, créez un hôte qui envoie des requêtes ICMP à une instance de votre cloud privé virtuel (VPC) toutes les 5 secondes.
  • Examinez les paramètres de délai d’inactivité de votre appareil VPN à l’aide des renseignements du fournisseur de l’appareil. S’il n’y a aucun trafic sur un tunnel VPN pendant la durée d’inactivité du VPN spécifique à votre fournisseur, la session IPsec se termine. Consultez la documentation du fournisseur de votre appareil particulier.

Résoudre les problèmes de renouvellement de clés pour la phase 1 ou la phase 2

Si vous rencontrez des problèmes de renouvellement de clés dus à une incompatibilité de phase 1 ou de phase 2 sur un tunnel VPN, vérifiez les points suivants :

  • Examinez les champs relatifs au cycle de vie de la phase 1 ou de la phase 2 sur la passerelle client. Vérifiez que ces champs correspondent aux paramètres AWS. Dans les options du tunnel VPN, il est recommandé de désactiver les paramètres qui ne sont pas nécessaires à la connexion VPN avec la passerelle client.
  • Vérifiez que la confidentialité persistante (Perfect Forward Secret, PFS) est activée sur le dispositif de passerelle client. Le PFS est activé par défaut sur le pair du côté AWS.
  • Assurez-vous que le trafic entrant vers les ports UDP 500 [IKE], 4500 [NAT-T] et IP 50 [ESP] de la passerelle client autorise bien les renouvellement de clés pour le point de terminaison AWS.

Remarque : le champ de valeur de cycle de vie IKEv2 est indépendant des pairs. Ainsi, si vous définissez une valeur de cycle de vie inférieure, le pair initie toujours la nouvelle clé.

Pour en savoir plus, consultez les options du tunnel de votre connexion VPN de site à site et votre dispositif de passerelle client.

Résoudre les problèmes de connectivité intermittente

Des problèmes de connectivité intermittente peuvent provenir de la configuration basée sur des stratégies sur votre dispositif de passerelle client. Des problèmes de connectivité intermittente peuvent aussi survenir si vous utilisez plusieurs domaines de chiffrement ou plusieurs identifiants de proxy.

  • Limitez le nombre de domaines de chiffrement (réseaux) qui ont accès à votre VPC. Si plusieurs domaines de chiffrement se trouvent derrière la passerelle client de votre VPN, configurez-les pour qu’ils utilisent une seule association de sécurité. Pour vérifier s’il existe plusieurs associations de sécurité pour votre passerelle client, consultez Dépannage de votre périphérique de passerelle client.
  • Configurez votre dispositif de passerelle client de façon à autoriser tout réseau situé derrière la passerelle client (0.0.0.0/0) ayant pour destination le routage inter-domaines sans classe (CIDR) de votre VPC à passer par le tunnel VPN. Cette configuration utilise une association de sécurité unique, ce qui améliore la stabilité du tunnel. Cette configuration permet également aux réseaux qui ne sont pas définis dans la politique d’accéder au VPC.

Pour en savoir plus, consultez la section Comment puis-je résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur une politique ?

Informations connexes

Le tunnel VPN entre ma passerelle client et ma passerelle privée virtuelle est activé, mais je ne parviens pas à faire passer le trafic par ce tunnel. Que puis-je faire ?

Sujets
Réseaux et diffusion de contenu
Balises
AWS Virtual Private Network (VPN)
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents