Pourquoi le VPN de site à site IPSec/Phase 2 pour AWS ne parvient-il pas à établir de connexion ?
Lecture de 3 minute(s)
0
Lorsque j'essaie de configurer une connexion VPN de site à site AWS dans Amazon Virtual Private Cloud (Amazon VPC), l'IPsec/phase 2 de ma configuration ne parvient pas à établir de connexion.
Résolution
Si votre protocole Internet VPN de site à site (IPsec/phase 2) ne parvient pas à établir de connexion, essayez les étapes suivantes pour résoudre le problème :
- Vérifiez que les paramètres de phase 2 du VPN de site à site sont correctement configurés sur votre appareil de passerelle client. Pour ce faire, comparez vos paramètres avec le fichier de configuration VPN que vous avez téléchargé depuis la console VPN de site à site.
- Vérifiez que les paramètres de phase 2 pris en charge pour IKEv1 et IKEv2 sont correctement configurés :
Exemples de paramètres IKEv1 et IKEv2 :
Chiffrement IKEv1 : AES-128, AES-256, AES128-GCM-16, AES256-GCM-16
Intégrité des données IKEv1 : SHA-1, SHA2-256, SHA2-384, SHA2-512
Groupes IKEv1 DH : 2, 5 et 14-24
Durée de vie : 3 600 secondes
Secret avancé parfait de Diffie-Hellman : Activé
**Remarque :**Les exemples de paramètres IKEv1 et IKEv2 Phase 2 et IKEv2 Child_SA spécifient la configuration minimale requise pour une connexion VPN de site à site de :
Paramètres de la phase 2 d'AWS : AES128, SHA1, groupe Diffie-Hellman 2
Paramètres de phase 2 d'AWS GovCloud (États-Unis) : AES128, SHA2, groupe Diffie-Hellman 14 - Vérifiez que Diffie-Hellman Perfect Forward Secrecy (PFS) est actif et utilise des groupes Diffie-Hellman pour la génération de clés. Pour plus d'informations, consultez la section Utiliser Diffie-Hellman Perfect Forward Secrecy.
- Vérifiez qu'il n'existe aucune association de sécurité ni aucune incompatibilité du sélecteur de trafic entre AWS et le dispositif de passerelle client.
- Vérifiez si les options de connexion VPN de site à site configurées, y compris les adresses IP distantes et locales, correspondent à l'association de sécurité spécifiée sur le dispositif de passerelle client. Pour plus d'informations, consultez Comment résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur des règles ?
- Vérifiez si le trafic est initié vers AWS. Le VPN de site à site fonctionne en mode répondeur par défaut, ce qui permet de modifier la configuration des négociations IKE, des paramètres de délai d'attente entre homologues et d'autres paramètres de configuration. Pour plus d'informations, consultez la section Options de lancement d'un tunnel VPN de site à site.
Si le problème persiste, essayez les solutions suivantes :
- Activez les journaux VPN de site à site.
- Consultez les journaux de débogage IPsec pour connaître la cause de l'échec et les étapes de dépannage.
Informations reliées
Exemples de configurations de dispositifs de passerelle client pour le routage dynamique (BGP)
Exemples de configurations de dispositifs de passerelle client pour le routage statique
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire
Contenus pertinents
- demandé il y a 3 mois
- demandé il y a 4 mois
- demandé il y a 10 mois
- demandé il y a un an
- AWS OFFICIELA mis à jour il y a un an
- Comment connecter différentes succursales à l'aide de AWS Site-to-Site VPN et d'AWS Direct Connect ?AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 8 mois