Perché la mia connessione VPN sito-sito AWS è allo stato DOWN IPSEC UP mentre il gateway del cliente è UP?

4 minuti di lettura
0

Il gateway del cliente configurato per la mia VPN sito-sito AWS è UP ma la console VPN Site-to-Site mostra che la mia connessione è DOWN.

Breve descrizione

La console di Site-to-Site VPN potrebbe mostrare che lo stato della connessione è IPSEC UP ma lo stato del tunnel è DOWN. Ciò significa che la sicurezza del protocollo Internet (IPsec) è stata stabilita, ma il Border Gateway Protocol (BGP) non è stato stabilito. Affinché una connessione Site-to-Site VPN dinamica venga visualizzata come UP sul lato AWS, sia IPSEC che BGP devono essere stabiliti con successo.

Risoluzione

Verifica che il gateway del cliente supporti BGP

  1. Verifica che il gateway del tuo cliente supporti e sia configurato con BGP.
  2. Verifica se il lato on-premise della connessione utilizza una connessione dinamica (BGP) o statica (Site-to-Site VPN basata su policy o Site-to-Site VPN statica basata su route). Se la parte on-premise utilizza il routing statico, devi ricreare la connessione Site-to-Site VPN sul lato AWS.

Quando crei una connessione Site-to-Site VPN utilizzando AWS, per impostazione predefinita viene selezionata l'opzione di routing dinamico. Se crei una connessione Site-to-Site VPN senza scegliere il routing statico, viene creata una Site-to-Site VPN dinamica. Non puoi modificare l'opzione di routing per una connessione Site-to-Site VPN esistente, quindi devi creare una nuova Site-to-Site VPN per utilizzare il routing statico.

Quando elimini una connessione Site-to-Site VPN e crei una nuova connessione, ai tunnel viene assegnata una nuova coppia di indirizzi IP pubblici. È necessario riconfigurare il dispositivo gateway del cliente e aggiornare di conseguenza gli IP peer pubblici. Ma quando crei una nuova connessione, puoi utilizzare il tunnel all'interno degli IP e la chiave segreta già condivisa dalla tua precedente connessione Site-to-Site VPN. Non è necessario utilizzare i dettagli generati automaticamente da AWS.

Verifica il dominio di crittografia e gli ID proxy

  1. Verifica che il dominio di crittografia o l'ID del proxy configurato sia su AWS che sul dispositivo gateway del cliente sia 0.0.0.0/0 = 0.0.0.0/0.
  2. Sul lato AWS, verifica il CIDR della rete IPV4 locale (CIDR on-premise) e il CIDR della rete IPv4 remota (AWS CIDR).
  3. Sul gateway del cliente, segui le linee guida fornite dal fornitore per verificare il dominio di crittografia e l'ID del proxy.
  4. Se hai attivato i log Site-to-Site VPN per la tua connessione, controlla il gruppo di log di Amazon CloudWatch che contiene i log Site-to-Site VPN. Scegli il flusso di log per l'endpoint Site-to-Site VPN associato. Quindi, scegli il tunnel AWS Fase 2 SA con SPI** per filtrare i flussi di log. Ora puoi visualizzare il selettore di traffico negoziato dal gateway del cliente, supponendo che il lato AWS sia quello predefinito di 0.0.0.0/0 = 0.0.0.0/0.

Il flusso di log ha un formato simile a vpn-id-VPN_Peer_IP-IKE.log. Vedi il seguente esempio di output:

{
"event_timestamp": 1673252138,
"details": "AWS tunnel Phase 2 SA is established with
inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors:
(AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16",
"dpd_enabled": true,
"nat_t_detected": true,
"ike_phase1_state": "established",
"ike_phase2_state": "established"}

Nota: se utilizzi una connessione Site-to-Site VPN dinamica, il selettore di traffico deve essere sufficientemente ampio da coprire tutto il traffico. Sono inclusi gli indirizzi IP APIPA utilizzati per i peer BGP. Nell'esempio precedente, hai aggiornato il dominio di crittografia sul dispositivo gateway del cliente a 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0 (on-premise).

Se sul lato AWS della tua connessione è definito un dominio di crittografia specifico, modifica le opzioni di connessione Site-to-Site VPN. Assicurati che sia il CIDR della rete IPv4 locale che quello della rete IPv4 remota siano impostati su 0.0.0.0/0.

Attiva NAT-T per una Site-to-Site VPN accelerata

Potresti avere una Site-to-Site VPN che termina su un gateway di transito, con l'accelerazione attivata. Con questa configurazione, assicurati che NAT-T sia attivato sul dispositivo gateway del cliente.

Nota: NAT-T deve essere attivato per una VPN accelerata da sito a sito. Se NAT-T non è attivato sul dispositivo gateway del cliente, viene stabilito IPSec ma il traffico non passa sulla connessione Site-to-Site VPN. Ciò include il traffico BGP. Per ulteriori informazioni, consulta le Regole e limitazioni per una Site-to-Site VPN accelerata.

Risoluzione dei problemi relativi a BGP

Se il problema persiste, consulta i passaggi in Come posso risolvere i problemi di connessione BGP tramite VPN?

AWS UFFICIALE
AWS UFFICIALEAggiornata 9 mesi fa