Comment résoudre les problèmes de connectivité du tunnel VPN à un Amazon VPC ?

Lecture de 6 minute(s)
0

Je ne parviens pas à établir et à maintenir une connexion VPN de site à site AWS à mon infrastructure AWS au sein d'un Amazon Virtual Private Cloud (Amazon VPC).

Description rapide

Le modèle de réseau Amazon VPC prend en charge les connexions de réseau privé virtuel (VPN) IPsec cryptées à standard ouvert à l'infrastructure AWS. L'établissement d'une connexion par tunnel VPN à un Amazon VPC inclut :

  • Configuration de l'échange de clés Internet (IKE) du tunnel VPN
  • Configuration de la sécurité du protocole Internet (IPsec) du tunnel VPN
  • Configuration de la liste de contrôle d'accès réseau (NACL)
  • Configuration des règles du groupe de sécurité Amazon VPC
  • Configuration de la table de routage réseau de l'instance Amazon Elastic Compute Cloud (Amazon EC2)
  • Configuration du pare-feu de l'instance Amazon EC2
  • Configuration de la passerelle VPN, y compris la passerelle privée virtuelle ou la passerelle de transit

Si vous rencontrez des difficultés pour établir ou maintenir une connexion VPN de site à site à partir de votre Amazon VPC, essayez les solutions suivantes pour résoudre le problème.

Résolution

Si un tunnel VPN de site à site ne peut pas être établi

Pour résoudre un échec lors de l'établissement d'un tunnel VPN de site à site, vous devez déterminer la phase dans laquelle l'échec s'est produit :

Si des tunnels VPN de site à site sont établis

Si les deux tunnels VPN sont établis, procédez comme suit :

  1. Ouvrez la console Amazon EC2, puis consultez les listes de contrôle d'accès réseau (NACL) dans votre Amazon VPC. Les NACL personnalisés peuvent affecter la capacité du VPN connecté à établir une connectivité réseau. Pour plus d'informations, consultez la section Utilisation des listes de contrôle d'accès réseau.
  2. Suivez les étapes décrites dans la section Mettre à jour les règles du groupe de sécurité pour activer l'accès SSH, ** RDP ** et ** ICMP entrant. **
  3. Vérifiez que les tables de routage spécifiées dans vos instances Amazon EC2 sont correctes. Pour plus d'informations, consultez la section Utilisation des tables de routage.
  4. Lorsque vous utilisez une ** configuration ** active/active dans laquelle les deux tunnels sont actifs : Lors de l'utilisation d'Active/Active, AWS attribue automatiquement l'un des tunnels actifs comme tunnel VPN préféré pour envoyer le trafic d'AWS vers le réseau sur site. Avec une ** configuration ** active/active, le routage ** asymétrique doit être ** activé sur la passerelle client sur les interfaces du tunnel virtuel. Pour plus d'informations, consultez Comment configurer mon VPN de site à site pour préférer le tunnel A au tunnel B ?
  5. Vérifiez qu'aucun pare-feu ne bloque le trafic vers l'instance Amazon EC2 au sein du VPC :
  • Pour une instance Windows Amazon EC2 : Ouvrez une invite de commande, puis exécutez la commande ** ** WF.msc.
  • Pour une instance Linux Amazon EC2 : Ouvrezle terminal, puis exécutez lacommande iptables avec les arguments appropriés. Pour plus d'informations sur la commande ** iptables, exécutez la ** commande ** man iptables depuis le ** terminal.
  • Si votre appareil de passerelle client met en œuvre un VPN basé sur des règles : Notez qu'AWS limite le nombre d'associations de sécurité à une seule paire. La paire unique inclut une association de sécurité entrante et une association de sécurité sortante. Lorsque vous utilisez un VPN basé sur des règles, il est recommandé de configurer l'adresse source de votre réseau interne comme étant ** ** 0.0.0.0/0. Définissez ensuite l'adresse de destination en tant que sous-réseau VPC (Exemple : 192.168.0.0/16). Ces paramètres dirigent le trafic vers le VPC et traversent le VPN sans créer d'associations de sécurité supplémentaires. Pour plus d'informations, consultez Comment résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur des règles ?

Si la connectivité des instances et les configurations VPC sont exclues en tant que causes premières possibles

Exécutez l'**utilitaire ** traceroute à partir d'une session de terminal sous Linux. Vous pouvez également exécuter l'**utilitaire ** tracert à partir d'une invite de commande sous Windows. **Traceroute ** et ** Tracert ** doivent tous deux être exécutés depuis votre réseau interne vers une instance Amazon EC2 dans le VPC auquel le VPN est connecté.

  • Si la ** sortie du ** traceroute s'arrête à une adresse IP associée à votre réseau interne, vérifiez que le chemin de routage vers le périphérique VPN Edge est correct.
  • Si la ** sortie de ** tracert s'arrête à une adresse IP associée à votre réseau interne, vérifiez que le chemin de routage vers le périphérique VPN Edge est correct.
  • Si vous vérifiez que le trafic provenant de votre réseau interne atteint votre appareil de passerelle client mais n'atteint pas l'instance EC2 : Vérifiez que la configuration VPN, les politiques et les paramètres NAT de votre passerelle client VPN sont corrects. Vérifiez ensuite que les appareils en amont, le cas échéant, autorisent le flux de trafic.

Résolution des problèmes liés au protocole BGP (Border Gateway Protocol)

Si le protocole BGP (**Border Gateway Protocol) ne ** fonctionne pas, assurez-vous d'avoir défini le numéro de système autonome BGP (ASN). L'ASN est le numéro que vous avez utilisé lors de la création de la passerelle client. L'ASN associé à votre passerelle client est inclus dans les propriétés de configuration ](https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-dynamic-routing-examples.html) VPN [ téléchargeables. Pour plus d'informations, consultez la section Passerelle privée virtuelle.

Vous pouvez utiliser un ASN existant qui est déjà attribué à votre réseau. Si aucun ASN n'est attribué, vous pouvez utiliser un ASN privé compris entre 64512 et 65534. L'ASN configuré doit correspondre à celui que vous avez fourni lors de la création du VPN dans AWS. Assurez-vous que toute configuration de pare-feu local sur la passerelle client autorise le trafic BGP à passer par AWS. Pour plus d'informations sur la résolution des problèmes de connectivité de la passerelle, consultez la section Résolution des problèmes liés à votre appareil de passerelle client.


Informations connexes

Qu'est-ce que le VPN de site à site AWS ?

VPC avec sous-réseaux publics et privés et accès VPN de site à site AWS

VPC avec sous-réseau privé uniquement et accès VPN de site à site AWS

Comment résoudre les problèmes de connexion BGP via VPN ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an