Comment puis-je résoudre les problèmes d'inactivité, de battement ou d'arrêt du tunnel VPN site à site sur mon périphérique de passerelle client ?

Lecture de 6 minute(s)

Je souhaite résoudre les problèmes de connectivité liés aux tunnels AWS Site-to-Site VPN sur mon périphérique de passerelle client.

Résolution

Les erreurs courantes suivantes sur un périphérique de passerelle client peuvent provoquer l'inactivité, l'instabilité, la défaillance ou la panne des tunnels via un VPN site à site :

Les échecs Internet Key Exchange (IKE)/phase 1 ou Internet Protocol security (IPsec)/phase 2 provoquent une panne de tunnel.
Problèmes liés à la surveillance de la détection de perte de pairs (DPD) IPsec.
Délais d'inactivité dus à un faible trafic sur un tunnel VPN site à site ou à des problèmes de configuration de la passerelle client spécifiques au fournisseur.
Réinitialisez les problèmes liés à la phase 1 ou à la phase 2 de votre tunnel VPN site à site.
Une connexion VPN site à site basée sur une stratégie sur le périphérique de passerelle client entraîne une connectivité intermittente.
Le routage statique entraîne une connectivité intermittente.
Le périphérique de passerelle client n'est pas configuré correctement.

Utilisez les journaux d'activité du tunnel pour surveiller les tunnels VPN site à site et recueillir des informations sur les pannes de tunnel et d'autres problèmes liés aux tunnels. Procédez comme suit :

Remédiez aux problèmes liés aux pannes IKE/phase 1 ou IPsec/phase 2 qui provoquent une panne de tunnel

Vérifiez que les tunnels de la connexion VPN site à site sont actifs. Si la connexion est inactive, résolvez les échecs IKE/phase 1 et IPsec/phase 2.

Remédiez aux problèmes liés à la surveillance DPD

Lorsque vous rencontrez un délai d'expiration DPD, vos journaux affichent le message suivant : « Peer is not responsive - Declaring peer dead. » Par défaut, le VPN site à site envoie le message « DPD R_U_THERE » à la passerelle client toutes les 10 secondes. Après trois messages successifs sans réponse, le VPN site à site considère le pair comme perdu. Puis, le VPN site à site ferme la connexion.

Si DPD est actif sur votre périphérique de passerelle client, vérifiez les points suivants :

Votre passerelle client est configurée pour recevoir les messages DPD et y répondre.
Votre passerelle client est disponible pour répondre aux messages DPD envoyés par des pairs AWS.
Si les fonctionnalités du système de prévention des intrusions sont actives dans le pare-feu, vérifiez que votre passerelle client autorise les messages DPD sans limitation de débit.
Votre passerelle client dispose d'une connectivité Internet stable et fiable.

Si le VPN site à site ne doit effectuer aucune action en cas d’expiration DPD, modifiez votre action en cas d’expiration DPD à aucun.

Remédiez aux problèmes liés aux délais d’inactivité

Vérifiez qu’il existe un trafic bidirectionnel constant entre votre réseau local et votre cloud privé virtuel (VPC). Pour confirmer le trafic, créez un hôte qui envoie des requêtes Internet Control Message Protocol à une instance de votre VPC toutes les 5 secondes.

Examinez les paramètres de délai d’inactivité de votre périphérique VPN à l’aide des informations du fournisseur de l’appareil. Si le trafic ne passe pas par un tunnel VPN site à site pendant la durée d'inactivité de votre VPN spécifique au fournisseur, la session IPsec se termine.

Remédiez aux problèmes de changement de clé pour la phase 1 ou la phase 2

Examinez les champs relatifs à la durée de vie la phase 1 ou de la phase 2 sur la passerelle client. Vérifiez que les champs correspondent aux paramètres AWS. Il est recommandé de ne sélectionner que les options de tunnel VPN site à site nécessaires.

Vérifiez d’activer la confidentialité persistante (Perfect Forward Secret, PFS) sur le périphérique de passerelle client. PFS est activé par défaut côté AWS.

Remarque : Le champ de valeur de durée de vie IKEv2 est indépendant des pairs. Ainsi, si vous définissez une valeur de durée de vie inférieure, le pair lance toujours le changement de clé. Il est recommandé de configurer un pair pour lancer un changement de clé.

Remédiez aux problèmes de connectivité liés aux VPN basés sur une stratégie

Assurez-vous que le périphérique de passerelle client couvre les plages d'adresses CIDR IPv4 et IPv6 de la connexion VPN site à site. La plage par défaut est 0.0.0.0/0.

Si le VPN site à site côté passerelle client est basé sur des règles, spécifiez un domaine de chiffrement qui couvre le trafic prévu.

Remarque : Le VPN site à site ne prend en charge qu'un seul domaine de chiffrement. Si le VPN inclut plusieurs réseaux, résumez le domaine de chiffrement sur le périphérique de passerelle client afin de ne conserver qu'une seule paire d'associations de sécurité.

Remédiez aux problèmes de connectivité liés au routage statique

Important : Il est recommandé d'utiliser le routage dynamique au lieu du routage statique. Pour plus d'informations, consultez la section Routage statique et dynamique dans le VPN site à site AWS.

Les tunnels VPN site à site AWS qui utilisent un routage statique et sont configurés avec une configuration active/active peuvent rencontrer des problèmes de connectivité. Assurez-vous que votre passerelle client prend en charge le routage dynamique. Si le périphérique de passerelle client ne prend pas en charge le routage dynamique, configurez votre VPN statique pour éviter le routage asymétrique.

Problèmes de connectivité dus à la configuration de la passerelle client

Procédez comme suit :

Vérifiez que la passerelle client se trouve derrière un périphérique NAT. Vous pouvez également vérifier que l’accélération est activée pour une connexion VPN site à site. Assurez-vous ensuite que NAT-traversal (NAT-T) est actif sur le périphérique de passerelle client. Vérifiez que les paquets UDP peuvent passer entre le réseau et les points de terminaison de VPN sur le port 4500.
Si la passerelle client n'est pas située derrière un périphérique NAT, vérifiez que le port 50 autorise le passage des paquets UDP entre le réseau et les points de terminaison de VPN.
Vérifiez que les règles de pare-feu de votre passerelle client autorisent le trafic entre le réseau local et AWS.
Remédiez aux problèmes de connexion associés à votre périphérique de passerelle client spécifique.

Informations connexes

Le tunnel VPN entre ma passerelle client et ma passerelle privée virtuelle est activé, mais je ne parviens pas à faire passer le trafic par ce tunnel. Que puis-je faire ?

Comment puis-je configurer ma connexion VPN site à site pour qu'elle préfère le tunnel A au tunnel B ?

Sujets

Réseaux et diffusion de contenu

Balises

AWS Virtual Private Network (VPN)

Langue

Français

AWS OFFICIELA mis à jour il y a 4 mois

Aucun commentaire

Contenus pertinents

Herbergement site web ecommerce
Faouziya
demandé il y a 2 ans
Problème de facturation inattendue avec Amazon Web Services
rePost-User-1581363
demandé il y a 2 ans
Comment résoudre le problème de remplacement des images
TEKEU
demandé il y a 10 mois
Problème avec mon instance Wordpress EC2 (crash)
rePost-User-5774152
demandé il y a 2 ans
AWS ACM erreur "le délai de validation a expiré"
Harold
demandé il y a 4 mois
Comment puis-je résoudre les problèmes de connectivité intermittente avec Amazon VPC lorsque j'utilise un VPN site à site ?
AWS OFFICIELA mis à jour il y a 4 mois
Comment puis-je résoudre les problèmes liés au routage du trafic via Site-to-Site VPN ?
AWS OFFICIELA mis à jour il y a 5 mois
Pourquoi ne puis-je pas me connecter à mon Amazon VPC lorsque j'utilise un VPN site à site qui se termine sur une passerelle de transit ?
AWS OFFICIELA mis à jour il y a 4 mois
Comment puis-je résoudre les problèmes liés à la faible vitesse de transfert de mon VPN site à site ?
AWS OFFICIELA mis à jour il y a 5 mois