Come posso risolvere i problemi relativi all'inattività del tunnel VPN sito-sito, al tunnel flapping o al tunnel inattivo sul dispositivo gateway del mio cliente?

Risoluzione

I seguenti errori comuni su un dispositivo gateway del cliente possono causare inattività, instabilità, tunnel flapping o tunnel inattivo su una VPN sito-sito:

• Gli errori relativi a Internet Key Exchange (IKE)/Fase 1 o Internet Protocol Security (IPSec)/Fase 2 causano un tunnel inattivo.
• Problemi con il monitoraggio IPSec Dead Peer Detection (DPD).
• Timeout per inattività dovuti allo scarso traffico su un tunnel VPN sito-sito a problemi di configurazione del gateway del cliente specifici del fornitore.
• Risolvi i problemi relativi alla Fase 1 o alla Fase 2 del tuo tunnel VPN sito-sito.
• Una connessione VPN sito-sito basata su policy sul dispositivo gateway del cliente causa una connettività intermittente.
• Il routing statico causa una connettività intermittente.
• Il dispositivo gateway del cliente non è configurato correttamente.

Utilizza i log delle attività dei tunnel per monitorare i tunnel VPN sito-sito e raccogliere informazioni sulle interruzioni dei tunnel e altri problemi relativi ai tunnel. Esegui le seguenti azioni:

Risolvi gli errori IKE/Fase 1 o IPSec/Fase 2 che causano un tunnel inattivo

Verifica che i tunnel della connessione VPN sito-sito siano attivi. Se la connessione è INATTIVA, risolvi i guasti IKE/Fase 1 e IPSec/Fase 2.

Risolvi i problemi relativi al monitoraggio DPD

Quando si verifica un timeout DPD, nei log viene visualizzato il seguente messaggio: “Peer is not responsive - Declaring peer dead.” Per impostazione predefinita, la VPN sito-sito invia un messaggio “DPD R_U_THERE” al gateway del cliente ogni 10 secondi. Dopo tre messaggi consecutivi senza risposta, la VPN sito-sito considera il peer morto. Quindi, la VPN sito-sito chiude la connessione.

Se DPD è attivo sul dispositivo gateway del cliente, controlla quanto segue:

• Il dispositivo gateway del cliente è configurato per ricevere e rispondere ai messaggi DPD.
• Il dispositivo gateway del cliente è disponibile per rispondere ai messaggi DPD dei peer AWS.
• Se le funzionalità del sistema di prevenzione delle intrusioni sono attive nel firewall, verifica che il dispositivo gateway del cliente consenta i messaggi DPD senza limiti di velocità.
• Il dispositivo gateway del cliente dispone di una connettività Internet stabile e affidabile.

Se la VPN sito-sito non deve eseguire alcuna azione quando si verifica un timeout DPD, modifica l'azione al timeout DPD impostando Nessuna.

Risolvi i problemi relativi ai timeout per inattività

Verifica la presenza di un traffico bidirezionale costante tra la tua rete locale e il tuo cloud privato virtuale (VPC). A tal fine, crea un host che invii richieste Internet Control Message Protocol a un'istanza del tuo VPC ogni 5 secondi.

Utilizza le informazioni del fornitore del tuo dispositivo per rivedere le impostazioni di timeout per inattività del tuo dispositivo VPN. Se il traffico non attraversa un tunnel VPN sito-sito per la durata del periodo di inattività della VPN specifico del fornitore, la sessione IPSec termina.

Risolvi i problemi di ripristino delle chiavi per la Fase 1 o la Fase 2

Rivedi i campi relativi alla durata della Fase 1 o della Fase 2 sul gateway del cliente. Assicurati che questi campi corrispondano ai parametri AWS. È consigliabile selezionare solo le opzioni del tunnel VPN sito-sito necessarie.

Assicurati che Perfect Forward Secrecy (PFS) sia attivato sul dispositivo gateway del cliente. PFS è attivato per impostazione predefinita sul lato AWS.

Nota: il campo del valore di durata IKEv2 è indipendente dai peer. Quindi, se imposti un valore di durata inferiore, il peer avvia la reimpostazione. È consigliabile configurare un peer per avviare una reimpostazione.

Risolvi i problemi di connettività con le VPN basate su policy

Assicurati che il dispositivo gateway del cliente copra gli intervalli CIDR IPv4 e IPv6 della connessione VPN sito-sito. L'intervallo predefinito è 0.0.0.0/0.

Se la VPN sito-sito sul lato del gateway del cliente è basata su policy, specifica un dominio di crittografia che copra il traffico previsto.

Nota: la VPN sito-sito supporta solo un dominio di crittografia. Se la VPN include più reti, riepiloga il dominio di crittografia sul dispositivo gateway del cliente per mantenere solo una coppia di associazioni di sicurezza.

Risolvi i problemi di connettività con il routing statico

Importante: è consigliabile utilizzare il routing dinamico anziché il routing statico. Per ulteriori informazioni, consulta Routing statico e dinamico in VPN sito-sito AWS.

I tunnel VPN sito-sito AWS che utilizzano il routing statico e sono impostati con una configurazione attiva/attiva possono presentare problemi di connettività. Assicurati che il dispositivo gateway del cliente supporti il routing dinamico. Se il dispositivo gateway del cliente non supporta il routing dinamico, configura la tua VPN statica per evitare il routing asimmetrico.

Problemi di connettività dovuti alle configurazioni del gateway del cliente

Completa i seguenti passaggi:

1. Verifica che il gateway del cliente sia dietro un dispositivo NAT. Oppure verifica che sia attiva l'accelerazione per una connessione VPN sito-sito. Quindi assicurati che **NAT-T (NAT-Traversal) ** sia attivo sul dispositivo gateway del cliente. Verifica che i pacchetti UDP possano passare tra la rete e gli endpoint VPN sulla porta 4500.
2. Se il gateway del cliente non è protetto da un dispositivo NAT, verifica che la porta 50 consenta il passaggio dei pacchetti UDP tra la rete e gli endpoint VPN.
3. Verifica che le regole del firewall per il dispositivo gateway del cliente consentano il traffico tra la rete locale e AWS.
4. Risolvi i problemi di connessione associati al dispositivo gateway del cliente specifico.

Informazioni correlate

Il tunnel VPN tra il gateway del mio cliente e il mio gateway privato virtuale è attivo, ma non riesco a far passare il traffico attraverso di esso. Cosa posso fare?

Come posso configurare la mia connessione VPN sito-sito in modo che preferisca il tunnel A rispetto al tunnel B?