Pourquoi le VPN de site à site IPSec/Phase 2 pour AWS ne parvient-il pas à établir de connexion ?

Lecture de 3 minute(s)
0

Lorsque j'essaie de configurer une connexion VPN de site à site AWS dans Amazon Virtual Private Cloud (Amazon VPC), l'IPsec/phase 2 de ma configuration ne parvient pas à établir de connexion.

Résolution

Si votre protocole Internet VPN de site à site (IPsec/phase 2) ne parvient pas à établir de connexion, essayez les étapes suivantes pour résoudre le problème :

  • Vérifiez que les paramètres de phase 2 du VPN de site à site sont correctement configurés sur votre appareil de passerelle client. Pour ce faire, comparez vos paramètres avec le fichier de configuration VPN que vous avez téléchargé depuis la console VPN de site à site.
  • Vérifiez que les paramètres de phase 2 pris en charge pour IKEv1 et IKEv2 sont correctement configurés :
    Exemples de paramètres IKEv1 et IKEv2 :
    Chiffrement IKEv1 : AES-128, AES-256, AES128-GCM-16, AES256-GCM-16
    Intégrité des données IKEv1 : SHA-1, SHA2-256, SHA2-384, SHA2-512
    Groupes IKEv1 DH : 2, 5 et 14-24
    Durée de vie : 3 600 secondes
    Secret avancé parfait de Diffie-Hellman : Activé
    **Remarque :**Les exemples de paramètres IKEv1 et IKEv2 Phase 2 et IKEv2 Child_SA spécifient la configuration minimale requise pour une connexion VPN de site à site de :
    Paramètres de la phase 2 d'AWS : AES128, SHA1, groupe Diffie-Hellman 2
    Paramètres de phase 2 d'AWS GovCloud (États-Unis) : AES128, SHA2, groupe Diffie-Hellman 14
  • Vérifiez que Diffie-Hellman Perfect Forward Secrecy (PFS) est actif et utilise des groupes Diffie-Hellman pour la génération de clés. Pour plus d'informations, consultez la section Utiliser Diffie-Hellman Perfect Forward Secrecy.
  • Vérifiez qu'il n'existe aucune association de sécurité ni aucune incompatibilité du sélecteur de trafic entre AWS et le dispositif de passerelle client.
  • Vérifiez si les options de connexion VPN de site à site configurées, y compris les adresses IP distantes et locales, correspondent à l'association de sécurité spécifiée sur le dispositif de passerelle client. Pour plus d'informations, consultez Comment résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur des règles ?
  • Vérifiez si le trafic est initié vers AWS. Le VPN de site à site fonctionne en mode répondeur par défaut, ce qui permet de modifier la configuration des négociations IKE, des paramètres de délai d'attente entre homologues et d'autres paramètres de configuration. Pour plus d'informations, consultez la section Options de lancement d'un tunnel VPN de site à site.

Si le problème persiste, essayez les solutions suivantes :


Informations reliées

Exemples de configurations de dispositifs de passerelle client pour le routage dynamique (BGP)

Exemples de configurations de dispositifs de passerelle client pour le routage statique

Modification des options de tunnel VPN de site à site

Qu'est-ce que le VPN de site à site AWS ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans