Como soluciono problemas de inatividade, oscilação ou interrupção do túnel do Site-to-Site VPN no meu dispositivo de gateway do cliente?

6 minuto de leitura

Quero solucionar problemas de conectividade com os túneis do AWS Site-to-Site VPN no meu dispositivo de gateway do cliente.

Resolução

É possível enfrentar inatividade, instabilidade, oscilação ou interrupção de túneis no Site-to-Site VPN por um dos seguintes motivos:

Falhas do Internet Key Exchange (IKE)/Fase 1 ou da segurança de protocolo de internet (IPsec)/Fase 2.
Você enfrenta problemas com o monitoramento de detecção de par inativo (dead peer detection, DPD) do IPsec.
Tempo limite de inatividade devido ao baixo tráfego em um túnel do Site-to-Site VPN ou problemas de configuração do gateway do cliente específicos do fornecedor.
Problemas de rechaveamento na Fase 1 ou Fase 2 do seu túnel do Site-to-Site VPN.
Uma conexão do Site-to-Site VPN baseada em políticas no dispositivo de gateway do cliente causa conectividade intermitente.
O roteamento estático causa conectividade intermitente.
Você configurou seu dispositivo de gateway do cliente incorretamente.

Use logs de atividade do túnel para monitorar túneis do Site-to-Site VPN e coletar informações sobre interrupções de túneis e outros problemas de túneis.

Solucione problemas de falhas do IKE/Fase 1 ou do IPsec/Fase 2 que causam uma interrupção de túnel

Verifique se os túneis da conexão do Site-to-Site VPN estão ATIVOS. Se a conexão estiver INTERROMPIDA, solucione falhas do IKE/Fase 1 e do IPsec/Fase 2.

Solucione problemas com o monitoramento de DPD

Quando você experimenta um tempo limite de DPD, seus logs exibem a seguinte mensagem: "Peer is not responsive - Declaring peer dead." Por padrão, o Site-to-Site VPN envia uma mensagem "DPD R_U_THERE" para o gateway do cliente a cada 10 segundos. Depois de três mensagens sucessivas sem resposta, o Site-to-Site VPN considera o par inativo. Em seguida, o Site-to-Site VPN encerra a conexão.

Se o DPD estiver ativo em seu dispositivo de gateway do cliente, verifique as seguintes configurações:

Confirme se você configurou seu dispositivo de gateway do cliente para receber e responder às mensagens de DPD.
Verifique se seu dispositivo de gateway do cliente está disponível para responder às mensagens de DPD de pares da AWS.
Se os recursos do sistema de prevenção de intrusões estiverem ativos no firewall, verifique se o dispositivo de gateway do cliente permite mensagens de DPD sem limitação de taxa.
Confirme se seu dispositivo de gateway do cliente tem conectividade estável e confiável com a Internet.

Se o Site-to-Site VPN não precisar realizar nenhuma ação quando ocorrer um tempo limite de DPD, altere sua ação de tempo limite de DPD para nenhum.

Solucione problemas de tempo limite de inatividade

Confirme se há tráfego bidirecional constante entre sua rede local e sua nuvem privada virtual (VPC). Para confirmar o tráfego, crie um host que envie solicitações do Internet Control Message Protocol para uma instância na sua VPC a cada 5 segundos.

Use as informações do fornecedor do seu dispositivo para analisar as configurações de tempo limite de inatividade do seu dispositivo VPN. Se o tráfego não passar por um túnel do Site-to-Site VPN durante o tempo de inatividade da VPN específico do fornecedor, a sessão do IPsec será encerrada.

Solucione problemas de rechaveamento da Fase 1 ou Fase 2

Analise os campos de vida útil da Fase 1 ou da Fase 2 no gateway do cliente. Certifique-se de que os campos correspondam aos parâmetros da AWS. É uma prática recomendada selecionar apenas as opções de túnel do Site-to-Site VPN necessárias.

Certifique-se de ativar o Perfect Forward Secrecy (PFS) no dispositivo de gateway do cliente. A AWS ativa o PFS por padrão no lado da AWS.

Observação: o campo valor de vida útil do IKEv2 é independente dos pares. Se você definir um valor de vida útil menor, o par iniciará o rechaveamento. É uma prática recomendada configurar um par para iniciar um rechaveamento.

Solucione problemas de conectividade com VPNs baseadas em políticas

Certifique-se de que o dispositivo de gateway do cliente cubra os intervalos CIDR IPv4 e IPv6 da conexão do Site-to-Site VPN. O intervalo padrão é 0.0.0.0/0.

Se o Site-to-Site VPN no lado do gateway do cliente for baseado em políticas, especifique um domínio de criptografia que cubra o tráfego pretendido.

Observação: o Site-to-Site VPN oferece suporte apenas a um domínio de criptografia. Se a VPN incluir várias redes, resuma o domínio de criptografia no dispositivo de gateway do cliente para manter somente um par de associações de segurança.

Solucione problemas de conectividade com roteamento estático

Observação: é uma prática recomendada usar roteamento dinâmico em vez de roteamento estático. Para obter mais informações, consulte Roteamento estático e dinâmico em AWS Site-to-Site VPN.

Os túneis do Site-to-Site VPN que usam roteamento estático e são configurados com uma configuração ativa/ativa podem ter problemas de conectividade. Certifique-se de que seu dispositivo de gateway do cliente ofereça suporte ao roteamento dinâmico. Se o dispositivo de gateway do cliente não oferecer suporte ao roteamento dinâmico, configure sua VPN estática para evitar o roteamento assimétrico.

Problemas de conectividade devido às configurações do gateway do cliente

Conclua as etapas a seguir:

Verifique se o gateway do cliente está atrás de um dispositivo NAT. Ou verifique se a aceleração está ativada para uma conexão do Site-to-Site VPN.
Certifique-se de que NAT-T está ativo no dispositivo de gateway do cliente. Verifique se os pacotes UDP podem passar entre a rede e os endpoints de VPN na porta 4500.
Se o gateway do cliente não estiver atrás de um dispositivo NAT, verifique se a porta 50 permite que pacotes UDP passem entre a rede e os endpoints da VPN.
Verifique se as regras de firewall do seu dispositivo de gateway do cliente permitem o tráfego entre a rede on-premises e a AWS.
Solucione problemas de conexão associados ao seu dispositivo de gateway do cliente específico.

Informações relacionadas

O túnel VPN entre meu gateway de cliente e meu gateway privado virtual está ativo, mas não consigo transmitir tráfego por ele. O que eu posso fazer?

Como configuro minha conexão do Site-to-Site VPN para preferir o túnel A em vez do túnel B?

Tópicos: Networking & Content Delivery
Tags: AWS Virtual Private Network (VPN)
Idioma: Português

AWS OFICIALAtualizada há 10 meses

Sem comentários

Conteúdo relevante

Problema VPN Site-to-Site: Tráfego aceito pela VPC mas não processado pelo túnel
Mateus Diniz
feita há 6 meses
Servidores com Instabilidade
ALESSANDRO
feita há um ano
Stack perdeu o vinculo com meu Pool no Cognito
rePost-User-3170605
feita há um ano
Last Day on Earth Mobile Android (novo 2026) Problema de latência com S3 na região useast1?
wwefcgrfgfr
feita há 5 meses
Stardew Valley APK (Mobile Android) Problema de acesso público e CORS no bucket S3
entrenamne
feita há 5 meses
Como soluciono problemas de conexão BGP pela VPN?
AWS OFICIALAtualizada há 3 anos
Por que minha conexão do AWS Site-to-Site VPN está no status INATIVO IPSEC ATIVO quando o gateway do cliente está ATIVO?
AWS OFICIALAtualizada há 3 anos
Como solucionar problemas de conectividade do túnel VPN para uma Amazon VPC?
AWS OFICIALAtualizada há 10 meses
O túnel VPN entre meu gateway de cliente e meu gateway privado virtual está ativo, mas não consigo transmitir tráfego por ele. O que eu posso fazer?
AWS OFICIALAtualizada há 4 anos
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 9 meses