Como soluciono problemas de inatividade, oscilação ou interrupção do túnel do Site-to-Site VPN no meu dispositivo de gateway do cliente?

6 minuto de leitura

Quero solucionar problemas de conectividade com os túneis do AWS Site-to-Site VPN no meu dispositivo de gateway do cliente.

Resolução

Os seguintes erros comuns em um dispositivo de gateway do cliente podem causar inatividade, instabilidade, oscilação ou interrupção de túneis no Site-to-Site VPN:

Falhas do Internet Key Exchange (IKE)/Fase 1 ou da segurança de protocolo de internet (IPsec)/Fase 2 causam interrupção do túnel.
Problemas com o monitoramento de detecção de par morto (DPD) do IPsec.
Tempo limite de inatividade devido ao baixo tráfego em um túnel do Site-to-Site VPN ou problemas de configuração do gateway do cliente específicos do fornecedor.
Problemas de rechaveamento para a Fase 1 ou Fase 2 do seu túnel do Site-to-Site VPN.
Uma conexão do Site-to-Site VPN baseada em políticas no dispositivo de gateway do cliente causa conectividade intermitente.
O roteamento estático causa conectividade intermitente.
O dispositivo de gateway do cliente não está configurado corretamente.

Use logs de atividades de túneis para monitorar túneis do Site-to-Site VPN e coletar informações sobre interrupções de túneis e outros problemas de túneis. Em seguida, execute as seguintes ações:

Solucionar problemas de falhas do IKE/Fase 1 ou do IPsec/Fase 2 que causam uma interrupção de túnel

Verifique se os túneis da conexão do Site-to-Site VPN estão ATIVOS. Se a conexão estiver INTERROMPIDA, solucione falhas do IKE/Fase 1 e do IPsec/Fase 2.

Solucionar problemas com o monitoramento de DPD

Quando você experimenta um tempo limite de DPD, seus logs exibem a seguinte mensagem: “Par não responde — declara que o par está morto.” Por padrão, o Site-to-Site VPN envia uma mensagem “DPD R_U_THERE” para o gateway do cliente a cada 10 segundos. Depois de três mensagens sucessivas sem resposta, o Site-to-Site VPN considera o par morto. Em seguida, o Site-to-Site VPN fecha a conexão.

Se o DPD estiver ativo em seu dispositivo de gateway do cliente, verifique o seguinte:

Seu dispositivo de gateway do cliente está configurado para receber e responder às mensagens de DPD.
Seu dispositivo de gateway do cliente está disponível para responder às mensagens de DPD de pares da AWS.
Se os recursos do sistema de prevenção de intrusões estiverem ativos no firewall, verifique se o dispositivo de gateway do cliente permite mensagens de DPD sem limitação de taxa.
Seu dispositivo de gateway do cliente tem conectividade estável e confiável com a Internet.

Se o Site-to-Site VPN não precisar realizar nenhuma ação quando ocorrer um tempo limite de DPD, altere sua ação de tempo limite de DPD para nenhum.

Solucione problemas de tempo limite de inatividade

Confirme o tráfego bidirecional constante entre sua rede local e sua nuvem privada virtual (VPC). Para confirmar o tráfego, crie um host que envie solicitações do Internet Control Message Protocol para uma instância na sua VPC a cada 5 segundos.

Use as informações do fornecedor do seu dispositivo para revisar as configurações de tempo limite de inatividade do seu dispositivo VPN. Se o tráfego não passar por um túnel do Site-to-Site VPN durante o tempo de inatividade da VPN específico do fornecedor, a sessão do IPsec será encerrada.

Solucione problemas de rechaveamento para a fase 1 ou fase 2

Analise os campos de vida útil da fase 1 ou da fase 2 no gateway do cliente. Certifique-se de que os campos correspondam aos parâmetros da AWS. É uma prática recomendada selecionar apenas as opções de túnel do Site-to-Site VPN necessárias.

Certifique-se de ativar o Perfect Forward Secrecy (PFS) no dispositivo de gateway do cliente. O PFS é ativado por padrão no lado da AWS.

Observação: o campo de valor de vida útil do IKEv2 é independente dos pares. Se você definir um valor de vida útil menor, o par iniciará o rechaveamento. É uma prática recomendada configurar um par para iniciar um rechaveamento.

Solucione problemas de conectividade com VPNs baseadas em políticas

Certifique-se de que o dispositivo de gateway do cliente cubra os intervalos CIDR IPv4 e IPv6 da conexão do Site-to-Site VPN. O intervalo padrão é 0.0.0.0/0.

Se o Site-to-Site VPN no lado do gateway do cliente for baseado em políticas, especifique um domínio de criptografia que cubra o tráfego pretendido.

Observação: O Site-to-Site VPN suporta apenas um domínio de criptografia. Se a VPN incluir várias redes, resuma o domínio de criptografia no dispositivo de gateway do cliente para manter somente um par de associações de segurança.

Solucionar problemas de conectividade com roteamento estático

Importante: É uma prática recomendada usar roteamento dinâmico em vez de roteamento estático. Para obter mais informações, consulte Roteamento estático e dinâmico no AWS Site-to-Site VPN.

Os túneis do AWS Site-to-Site VPN que usam roteamento estático e são configurados com uma configuração ativa/ativa podem ter problemas de conectividade. Certifique-se de que seu dispositivo de gateway do cliente ofereça suporte ao roteamento dinâmico. Se o dispositivo de gateway do cliente não oferecer suporte ao roteamento dinâmico, configure sua VPN estática para evitar o roteamento assimétrico.

Problemas de conectividade devido às configurações do gateway do cliente

Conclua as seguintes etapas:

Verifique se o gateway do cliente está atrás de um dispositivo NAT. Ou verifique se a aceleração está ativada para uma conexão do Site-to-Site VPN. Em seguida, certifique-se de que NAT-Traversal (NAT-T) esteja ativo no dispositivo de gateway do cliente. Verifique se os pacotes UDP podem passar entre a rede e os endpoints de VPN na porta 4500.
Se o gateway do cliente não estiver atrás de um dispositivo NAT, verifique se a porta 50 permite que pacotes UDP passem entre a rede e os endpoints de VPN.
Verifique se as regras de firewall do seu dispositivo de gateway do cliente permitem o tráfego entre a rede on-premises e a AWS.
Solucione problemas de conexão associados ao seu dispositivo de gateway do cliente específico.

Informações relacionadas

O túnel VPN entre meu gateway do cliente e meu gateway privado virtual está ativo, mas não consigo transmitir tráfego por ele. O que eu posso fazer?

Como configuro minha conexão do Site-to-Site VPN para preferir o túnel A em vez do túnel B?

Tópicos

Rede e entrega de conteúdo

Conteúdo relevante

Recuperar o número da porta lógica de um request
Resposta aceita
Paulo
feita há 9 dias
COBRANÇA ERRADA NO MEU CARTÃO DE CRÉDITO
Fabio
feita há 17 dias
Tem alguma maneira de conseguir um voucher ou desconto no exame cloud practitioner
Ana Caroline Dal Molin
feita há 2 meses
Log de erro no Histórico do CloudWatch, porém funcionado o invoke da Lambda, envio de SNS, alerta de alarme no CloudWatch
Resposta aceita
Jovando
feita há 2 meses
Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há 10 dias
Como soluciono problemas de conexão BGP pela VPN?
AWS OFICIALAtualizada há 2 anos
Por que minha conexão do AWS Site-to-Site VPN está no status INATIVO IPSEC ATIVO quando o gateway do cliente está ATIVO?
AWS OFICIALAtualizada há 2 anos
O túnel VPN entre meu gateway de cliente e meu gateway privado virtual está ativo, mas não consigo transmitir tráfego por ele. O que eu posso fazer?
AWS OFICIALAtualizada há 3 anos
Como solucionar problemas de perda de pacotes, latência ou conectividade intermitente em uma conexão do Client VPN?
AWS OFICIALAtualizada há 2 anos