¿Cómo puedo solucionar los problemas de inactividad, inestabilidad o desconexión de los túneles de VPN en mi dispositivo de puerta de enlace de cliente?

Solución

Entre los motivos habituales de inactividad o inestabilidad de un túnel de VPN de AWS en un dispositivo de puerta de enlace de cliente se incluyen:

• Problema con el monitoreo DPD del protocolo de seguridad de Internet (IPsec)
• Tiempos de inactividad debidos al bajo tráfico en un túnel de VPN o a problemas de configuración de la puerta de enlace del cliente específicos del proveedor
• Problemas de cambio de clave para la fase 1 o la fase 2
• Una conexión de VPN basada en políticas en el dispositivo de puerta de enlace del cliente provoca problemas de conectividad intermitentes

Comprobación de la configuración de DPD

Si un par de VPN no responde a tres DPD sucesivos, se considera que el par no se puede volver a utilizar y el túnel se cierra.

Si su dispositivo de puerta de enlace de cliente tiene activado el DPD, asegúrese de que se cumpla lo siguiente:

• Se ha configurado para recibir mensajes de DPD y responder a ellos
• No está demasiado ocupado para responder a los mensajes de DPD recibidos de pares de AWS
• No limita la velocidad de los mensajes de DPD porque se han activado características de IPS en el firewall
• No tiene problemas de tránsito por Internet

Solución del problema de los tiempos de inactividad

Si se están produciendo tiempos de inactividad debido al poco tráfico en un túnel de VPN, compruebe lo siguiente:

• Confirme que haya tráfico bidireccional constante entre la red local y la nube virtual privada (VPC). Si es necesario, cree un host que envíe solicitudes ICMP a una instancia de su nube virtual privada (VPC) cada 5 segundos.
• Revise la configuración del tiempo de inactividad de su dispositivo VPN según la información del proveedor de su dispositivo. Si no hay tráfico a través de un túnel de VPN durante el tiempo de inactividad de VPN específico de su proveedor, la sesión de IPsec finalizará. Consulte la documentación del proveedor de su dispositivo en particular.

Solución de problemas por cambiar las claves para la fase 1 o la fase 2

Si tiene problemas de cambio de claves causados por una discrepancia en la fase 1 o la fase 2 en un túnel de VPN, comprueba lo siguiente:

• Revise los campos de la vida útil de la fase 1 o la fase 2 en la puerta de enlace de cliente. Asegúrese de que estos campos coincidan con los parámetros de AWS. Se recomienda desmarcar los parámetros de las opciones del túnel de VPN que no sean necesarios en la puerta de enlace de cliente para la conexión VPN.
• Asegúrese de que la confidencialidad directa total (PFS) esté activada en el dispositivo de puerta de enlace de cliente. La PFS está activada en el par del lado de AWS de forma predeterminada.
• Asegúrese de que el tráfico de entrada a los puertos UDP 500 [IKE], 4500 [NAT-T] e IP 50 [ESP] de la puerta de enlace de cliente permita cambiar las claves del punto de enlace de AWS.

Nota: El campo del valor de la vida útil de IKEv2 es independiente de los pares. Por lo tanto, si establece un valor de vida útil inferior, el par iniciará siempre el cambio de clave.

Para obtener más información, consulte Tunnel options for your Site-to-Site VPN connection y Your customer gateway device.

Solución de los problemas de conectividad intermitente

Los problemas de conectividad intermitente pueden deberse a la configuración basada en políticas del dispositivo de puerta de enlace de cliente. También es posible que experimente problemas de conectividad intermitente si utiliza varios dominios de cifrado o ID de proxy.

• Limite la cantidad de dominios de cifrado (redes) con acceso a su VPC. Si tiene más de un dominio de cifrado tras la puerta de enlace de cliente de su VPN, configúrelos para que utilicen una única asociación de seguridad. Para comprobar si existen varias asociaciones de seguridad para su puerta de enlace de cliente, consulte la sección Troubleshooting your customer gateway device.
• Configure su dispositivo de puerta de enlace de cliente de modo que permita que cualquier red tras la puerta de enlace de cliente (0.0.0.0/0) con un destino de su enrutamiento entre dominios sin clases (CIDR) de VPC pase por el túnel de VPN. Esta configuración utiliza una asociación de seguridad única, lo que mejora la estabilidad del túnel. Además, esta configuración permite que las redes que no están definidas en la política accedan a la VPC.

Para obtener más información, consulte ¿Cómo soluciono los problemas de conexión entre un punto de conexión VPN de AWS y una VPN basada en políticas?

Información relacionada

El túnel VPN entre la puerta de enlace de cliente y la puerta de enlace privada virtual está activo, pero el tráfico no pasa por él. ¿Qué puedo hacer?