Comment puis-je résoudre les problèmes d'inactivité, de battement ou d'arrêt du tunnel VPN site à site sur mon périphérique de passerelle client ?

Lecture de 6 minute(s)

Je souhaite résoudre les problèmes de connectivité liés aux tunnels AWS Site-to-Site VPN sur mon périphérique de passerelle client.

Résolution

Vous pouvez être confronté à une inactivité, une instabilité, un battement ou une interruption des tunnels sur un VPN site à site pour l'une des raisons suivantes :

Il existe des échecs Internet Key Exchange (IKE)/phase 1 ou Internet Protocol security (IPsec)/phase 2.
Vous rencontrez des problèmes lors de la surveillance de la détection de perte de pairs (DDP) IPsec.
Des problèmes de faible trafic sur un tunnel VPN site à site ou de configuration de la passerelle client spécifiques au fournisseur provoquent des délais d’inactivité.
Il existe des problèmes liés à la phase 1 ou à la phase 2 de votre tunnel VPN site à site.
Une connexion VPN site à site basée sur une stratégie sur le périphérique de passerelle client entraîne une connectivité intermittente.
Le routage statique entraîne une connectivité intermittente.
Vous avez configuré votre périphérique de passerelle client de manière incorrecte.

Utilisez les journaux d'activité du tunnel pour surveiller les tunnels VPN site à site et recueillir des informations sur les pannes de tunnel et d'autres problèmes liés aux tunnels.

Remédiez aux problèmes liés aux pannes IKE/phase 1 ou IPsec/phase 2 qui provoquent une panne de tunnel

Vérifiez que les tunnels de la connexion VPN site à site sont actifs. Si la connexion est inactive, résolvez les échecs IKE/phase 1 et IPsec/phase 2.

Remédier aux problèmes liés à la surveillance DPD

Lorsque vous rencontrez un délai d'expiration DPD, vos journaux affichent le message suivant : « Peer is not responsive - Declaring peer dead. » Par défaut, le VPN site à site envoie le message « DPD R_U_THERE » à la passerelle client toutes les 10 secondes. Après trois messages successifs sans réponse, le VPN site à site considère le pair comme perdu. Puis, le VPN site à site ferme la connexion.

Si DPD est actif sur votre périphérique de passerelle client, vérifiez les configurations suivantes :

Vérifiez que vous avez configuré votre passerelle client pour recevoir et répondre aux messages DDP.
Vérifiez si votre périphérique de passerelle client est disponible pour répondre aux messages DPD envoyés par des pairs AWS.
Si les fonctionnalités du système de prévention des intrusions sont actives dans le pare-feu, vérifiez que votre passerelle client autorise les messages DPD sans limitation de débit.
Confirmez que votre périphérique de passerelle client dispose d'une connectivité Internet stable et fiable.

Si le VPN site à site ne doit effectuer aucune action en cas d’expiration DPD, modifiez votre action en cas d’expiration DPD à aucun.

Remédier aux problèmes liés aux délais d’inactivité

Vérifiez qu’il existe un trafic bidirectionnel constant entre votre réseau local et votre cloud privé virtuel (VPC). Pour confirmer le trafic, créez un hôte qui envoie des requêtes Internet Control Message Protocol à une instance de votre VPC toutes les 5 secondes.

Examinez les paramètres de délai d’inactivité de votre périphérique VPN à l’aide des informations du fournisseur de l’appareil. Si le trafic ne passe pas par un tunnel VPN site à site pendant la durée d'inactivité de votre VPN spécifique au fournisseur, la session IPsec se termine.

Remédier aux problèmes de changement de clé pour la phase 1 ou la phase 2

Examinez les champs relatifs à la durée de vie la phase 1 ou de la phase 2 sur la passerelle client. Vérifiez que les champs correspondent aux paramètres AWS. Il est recommandé de ne sélectionner que les options de tunnel VPN site à site nécessaires.

Vérifiez d’activer la confidentialité persistante (Perfect Forward Secret, PFS) sur le périphérique de passerelle client. AWS active PFS par défaut du côté AWS.

Remarque : Le champ de valeur de durée de vie IKEv2 est indépendant des pairs. Ainsi, si vous définissez une valeur de durée de vie inférieure, le pair lance toujours le changement de clé. Il est recommandé de configurer un pair pour lancer un changement de clé.

Remédier aux problèmes de connectivité liés aux VPN basés sur une stratégie

Assurez-vous que le périphérique de passerelle client couvre les plages d'adresses CIDR IPv4 et IPv6 de la connexion VPN site à site. La plage par défaut est 0.0.0.0/0.

Si le VPN site à site côté passerelle client est basé sur des règles, spécifiez un domaine de chiffrement qui couvre le trafic prévu.

Remarque : Le VPN site à site ne prend en charge qu'un seul domaine de chiffrement. Si le VPN inclut plusieurs réseaux, résumez le domaine de chiffrement sur le périphérique de passerelle client afin de ne conserver qu'une seule paire d'associations de sécurité.

Remédier aux problèmes de connectivité liés au routage statique

Remarque : Il est recommandé d'utiliser le routage dynamique au lieu du routage statique. Pour plus d'informations, consultez la section Routage statique et dynamique dans le VPN site à site.

Les tunnels VPN site à site qui utilisent un routage statique et sont configurés avec une configuration active/active peuvent rencontrer des problèmes de connectivité. Assurez-vous que votre passerelle client prend en charge le routage dynamique. Si le périphérique de passerelle client ne prend pas en charge le routage dynamique, configurez votre VPN statique pour éviter le routage asymétrique.

Problèmes de connectivité dus à la configuration de la passerelle client

Procédez comme suit :

Vérifiez que la passerelle client se trouve derrière un périphérique NAT. Vous pouvez également vérifier que l’accélération est activée pour une connexion VPN site à site.
Assurez-vous que NAT-T est actif sur le périphérique de passerelle client. Vérifiez que les paquets UDP peuvent passer entre le réseau et les points de terminaison de VPN sur le port 4500.
Si la passerelle client n'est pas située derrière un périphérique NAT, vérifiez que le port 50 autorise le passage des paquets UDP entre le réseau et les points de terminaison de VPN.
Vérifiez que les règles de pare-feu de votre passerelle client autorisent le trafic entre le réseau local et AWS.
Remédiez aux problèmes de connexion associés à votre périphérique de passerelle client spécifique.

Informations connexes

Le tunnel VPN entre ma passerelle client et ma passerelle privée virtuelle est activé, mais je ne parviens pas à transmettre le trafic par ce tunnel. Que puis-je faire ?

Comment puis-je configurer ma connexion VPN site à site pour qu'elle préfère le tunnel A au tunnel B ?

Sujets: Networking & Content Delivery
Balises: AWS Virtual Private Network (VPN)
Langue: Français

AWS OFFICIELA mis à jour il y a 10 mois

Aucun commentaire

Contenus pertinents

Herbergement site web ecommerce
Faouziya
demandé il y a 3 ans
Problème avec mon instance Wordpress EC2 (crash)
rePost-User-5774152
demandé il y a 3 ans
Comment résoudre le problème de remplacement des images
TEKEU
demandé il y a 2 ans
Problème d'ajout d'IP V4 Publique secondaire sur une instance
Stephan
demandé il y a 2 ans
Echec Déploiement Next Js 10 sur Amplify
Daniel SAKOU
demandé il y a un an
Comment résoudre les problèmes de connectivité du tunnel VPN à un Amazon VPC ?
AWS OFFICIELA mis à jour il y a 10 mois
Pourquoi ne puis-je pas me connecter à mon Amazon VPC lorsque j'utilise un VPN site à site qui se termine sur une passerelle de transit ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi ma connexionAWS Site-to-Site VPN a-t-elle le statut DOWN IPSEC UP alors que la passerelle client est ACTIVE ?
AWS OFFICIELA mis à jour il y a 3 ans
Le tunnel VPN entre ma passerelle client et ma passerelle réseau privé virtuel est actif mais ne transmet aucun trafic. Que puis-je faire ?
AWS OFFICIELA mis à jour il y a 4 ans