New user sign up using AWS Builder ID
New user sign up using AWS Builder ID is currently unavailable on re:Post. To sign up, please use the AWS Management Console instead.
Perché la mia connessione VPN sito-sito AWS è allo stato DOWN IPSEC UP mentre il gateway del cliente è UP?
Il gateway del cliente configurato per la mia VPN sito-sito AWS è UP ma la console VPN Site-to-Site mostra che la mia connessione è DOWN.
Breve descrizione
La console di Site-to-Site VPN potrebbe mostrare che lo stato della connessione è IPSEC UP ma lo stato del tunnel è DOWN. Ciò significa che la sicurezza del protocollo Internet (IPsec) è stata stabilita, ma il Border Gateway Protocol (BGP) non è stato stabilito. Affinché una connessione Site-to-Site VPN dinamica venga visualizzata come UP sul lato AWS, sia IPSEC che BGP devono essere stabiliti con successo.
Risoluzione
Verifica che il gateway del cliente supporti BGP
- Verifica che il gateway del tuo cliente supporti e sia configurato con BGP.
- Verifica se il lato on-premise della connessione utilizza una connessione dinamica (BGP) o statica (Site-to-Site VPN basata su policy o Site-to-Site VPN statica basata su route). Se la parte on-premise utilizza il routing statico, devi ricreare la connessione Site-to-Site VPN sul lato AWS.
Quando crei una connessione Site-to-Site VPN utilizzando AWS, per impostazione predefinita viene selezionata l'opzione di routing dinamico. Se crei una connessione Site-to-Site VPN senza scegliere il routing statico, viene creata una Site-to-Site VPN dinamica. Non puoi modificare l'opzione di routing per una connessione Site-to-Site VPN esistente, quindi devi creare una nuova Site-to-Site VPN per utilizzare il routing statico.
Quando elimini una connessione Site-to-Site VPN e crei una nuova connessione, ai tunnel viene assegnata una nuova coppia di indirizzi IP pubblici. È necessario riconfigurare il dispositivo gateway del cliente e aggiornare di conseguenza gli IP peer pubblici. Ma quando crei una nuova connessione, puoi utilizzare il tunnel all'interno degli IP e la chiave segreta già condivisa dalla tua precedente connessione Site-to-Site VPN. Non è necessario utilizzare i dettagli generati automaticamente da AWS.
Verifica il dominio di crittografia e gli ID proxy
- Verifica che il dominio di crittografia o l'ID del proxy configurato sia su AWS che sul dispositivo gateway del cliente sia 0.0.0.0/0 = 0.0.0.0/0.
- Sul lato AWS, verifica il CIDR della rete IPV4 locale (CIDR on-premise) e il CIDR della rete IPv4 remota (AWS CIDR).
- Sul gateway del cliente, segui le linee guida fornite dal fornitore per verificare il dominio di crittografia e l'ID del proxy.
- Se hai attivato i log Site-to-Site VPN per la tua connessione, controlla il gruppo di log di Amazon CloudWatch che contiene i log Site-to-Site VPN. Scegli il flusso di log per l'endpoint Site-to-Site VPN associato. Quindi, scegli il tunnel AWS Fase 2 SA con SPI** per filtrare i flussi di log. Ora puoi visualizzare il selettore di traffico negoziato dal gateway del cliente, supponendo che il lato AWS sia quello predefinito di 0.0.0.0/0 = 0.0.0.0/0.
Il flusso di log ha un formato simile a vpn-id-VPN_Peer_IP-IKE.log. Vedi il seguente esempio di output:
{ "event_timestamp": 1673252138, "details": "AWS tunnel Phase 2 SA is established with inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors: (AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16", "dpd_enabled": true, "nat_t_detected": true, "ike_phase1_state": "established", "ike_phase2_state": "established"}
Nota: se utilizzi una connessione Site-to-Site VPN dinamica, il selettore di traffico deve essere sufficientemente ampio da coprire tutto il traffico. Sono inclusi gli indirizzi IP APIPA utilizzati per i peer BGP. Nell'esempio precedente, hai aggiornato il dominio di crittografia sul dispositivo gateway del cliente a 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0 (on-premise).
Se sul lato AWS della tua connessione è definito un dominio di crittografia specifico, modifica le opzioni di connessione Site-to-Site VPN. Assicurati che sia il CIDR della rete IPv4 locale che quello della rete IPv4 remota siano impostati su 0.0.0.0/0.
Attiva NAT-T per una Site-to-Site VPN accelerata
Potresti avere una Site-to-Site VPN che termina su un gateway di transito, con l'accelerazione attivata. Con questa configurazione, assicurati che NAT-T sia attivato sul dispositivo gateway del cliente.
Nota: NAT-T deve essere attivato per una VPN accelerata da sito a sito. Se NAT-T non è attivato sul dispositivo gateway del cliente, viene stabilito IPSec ma il traffico non passa sulla connessione Site-to-Site VPN. Ciò include il traffico BGP. Per ulteriori informazioni, consulta le Regole e limitazioni per una Site-to-Site VPN accelerata.
Risoluzione dei problemi relativi a BGP
Se il problema persiste, consulta i passaggi in Come posso risolvere i problemi di connessione BGP tramite VPN?

Contenuto pertinente
- AWS UFFICIALEAggiornata 6 mesi fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 3 anni fa
- AWS UFFICIALEAggiornata 4 anni fa