Come posso risolvere i problemi relativi all'inattività del tunnel VPN sito-sito, al tunnel flapping o al downtunnel sul dispositivo gateway del mio cliente?

Risoluzione

Potresti riscontrare inattività, instabilità, flapping o interruzioni dei tunnel in una VPN sito-sito per uno dei seguenti motivi:

• Sono presenti errori relativi a Internet Key Exchange (IKE)/Fase 1 o Internet Protocol Security (IPSec)/Fase 2.
• Sono presenti problemi con il monitoraggio DPD (Dead Peer Detection) di IPSec.
• Lo scarso traffico su un tunnel VPN sito-sito o problemi di configurazione del gateway del cliente specifici del fornitore causano timeout di inattività.
• Sono presenti problemi di reimpostazione delle chiavi per la Fase 1 o la Fase 2 del tunnel VPN sito-sito.
• Una connessione VPN sito-sito basata su policy per il dispositivo gateway del cliente causa una connettività intermittente.
• Il routing statico causa una connettività intermittente.
• Hai configurato il dispositivo gateway del cliente in modo errato.

Utilizza i log delle attività dei tunnel per monitorare i tunnel VPN sito-sito e raccogliere informazioni sulle interruzioni dei tunnel e altri problemi sempre relativi ai tunnel.

Risolvi gli errori IKE/Fase 1 o IPSec/Fase 2 che causano l'inattività di un tunnel

Verifica che i tunnel della connessione VPN sito-sito siano attivi. Se la connessione è inattiva, risolvi gli errori relativi a IKE/Fase 1 e IPSec/Fase 2.

Risolvi i problemi relativi al monitoraggio DPD

Quando si verifica un timeout DPD, nei log viene visualizzato il seguente messaggio: "Peer is not responsive - Declaring peer dead." Per impostazione predefinita, la VPN sito-sito invia un messaggio “DPD R_U_THERE” al gateway del cliente ogni 10 secondi. Dopo tre messaggi consecutivi senza risposta, la VPN sito-sito considera il peer morto. Quindi chiude la connessione.

Se DPD è attivo sul dispositivo gateway del cliente, controlla quanto segue:

• Verifica di aver configurato il dispositivo gateway del cliente per ricevere e rispondere ai messaggi DPD.
• Verifica se il dispositivo gateway del cliente è disponibile per rispondere ai messaggi DPD dei peer AWS.
• Se nel firewall sono attive funzionalità del sistema di prevenzione delle intrusioni, verifica che il dispositivo gateway del cliente consenta i messaggi DPD senza limiti di velocità.
• Verifica se il dispositivo gateway del cliente dispone di una connettività Internet stabile e affidabile.

Se la VPN sito-sito non deve eseguire alcuna azione quando si verifica un timeout DPD, modifica l'azione al timeout DPD impostando Nessuna.

Risolvi i problemi relativi ai timeout di inattività

Verifica che ci sia un traffico bidirezionale costante tra la rete locale e il cloud privato virtuale (VPC). A tal fine, crea un host che invii richieste Internet Control Message Protocol a un'istanza nel VPC ogni 5 secondi.

Utilizza le informazioni del fornitore del tuo dispositivo per rivedere le impostazioni di timeout per inattività del tuo dispositivo VPN. Se il traffico non attraversa un tunnel VPN sito-sito per la durata del periodo di inattività della VPN specifico del fornitore, la sessione IPSec termina.

Risolvi i problemi di reimpostazione delle chiavi per la Fase 1 o la Fase 2

Rivedi i campi relativi alla durata della Fase 1 o della Fase 2 sul gateway del cliente. Assicurati che i campi corrispondano ai parametri AWS. È consigliabile selezionare solo le opzioni del tunnel VPN sito-sito necessarie.

Assicurati che Perfect Forward Secrecy (PFS) sia attivato sul dispositivo gateway del cliente. AWS attiva PFS per impostazione predefinita sul lato AWS.

Nota: il campo del valore di durata IKEv2 è indipendente dai peer. Quindi, se imposti un valore di durata inferiore, il peer avvia la reimpostazione delle chiavi. È consigliabile configurare un peer per avviare una reimpostazione.

Risolvi i problemi di connettività con le VPN basate su policy

Assicurati che il dispositivo gateway del cliente copra gli intervalli CIDR IPv4 e IPv6 della connessione VPN sito-sito. L'intervallo predefinito è 0.0.0.0/0.

Se la VPN sito-sito lato gateway del cliente è basata su policy, specifica un dominio di crittografia che copra il traffico previsto.

Nota: la VPN sito-sito supporta solo un dominio di crittografia. Se la VPN include più reti, riepiloga il dominio di crittografia sul dispositivo gateway del cliente per mantenere solo una coppia di associazioni di sicurezza.

Risolvi i problemi di connettività con il routing statico

Nota: è consigliabile utilizzare il routing dinamico anziché il routing statico. Per ulteriori informazioni, consulta Routing statico e dinamico in VPN sito-sito AWS.

I tunnel VPN sito-sito che utilizzano il routing statico e sono impostati con una configurazione attiva/attiva potrebbero presentare problemi di connettività. Assicurati che il dispositivo gateway del cliente supporti il routing dinamico. Se il dispositivo gateway del cliente non supporta il routing dinamico, configura la VPN statica per evitare il routing asimmetrico.

Problemi di connettività dovuti alle configurazioni del gateway del cliente

Completa i seguenti passaggi:

1. Verifica che il gateway del cliente sia dietro un dispositivo NAT. Oppure verifica che sia attiva l'accelerazione per una connessione VPN sito-sito.
2. Assicurati che sul dispositivo gateway del cliente sia attivo NAT-T. Inoltre, verifica che i pacchetti UDP possano passare tra la rete e gli endpoint VPN sulla porta 4500.
3. Se il gateway del cliente non è protetto da un dispositivo NAT, verifica che la porta 50 consenta il passaggio dei pacchetti UDP tra la rete e gli endpoint VPN.
4. Verifica che le regole del firewall per il dispositivo gateway del cliente consentano il traffico tra la rete locale e AWS.
5. Risolvi i problemi di connessione associati allo specifico dispositivo gateway del cliente.

Informazioni correlate

Il tunnel VPN tra il gateway del mio cliente e il mio gateway privato virtuale è attivo, ma non riesco a far passare il traffico attraverso di esso. Cosa posso fare?

Come posso configurare la mia connessione VPN sito-sito per preferire il tunnel A al tunnel B?