Mon pare-feu implémente un VPN basé sur une stratégie et je rencontre parfois des problèmes de connectivité vers un point de terminaison VPN AWS. Certain des problèmes se produisant incluent perte de paquet, connectivité intermittente ou inexistante, et une instabilité générale du réseau.

Lors de l'utilisation d'une configuration VPN basée sur une stratégie, AWS limite le nombre d'associations de sécurité à une paire unique (une entrante et une sortante). Les VPN basés sur des stratégies dont la configuration inclut plus d'une association de sécurité abandonnent des connexions tunnel VPN lors de l'initiation d'une connexion tunnel VPN qui utilise une autre association de sécurité. Ce problème sera perçu comme une défaillance de connectivité ou une perte de paquet intermittente car de nouvelles connexions VPN avec une association de sécurité interrompent les connexions tunnel VPN établies avec une association de sécurité différente.

Essayez une ou plusieurs des méthodes suivantes pour résoudre le problème :

  • Limitez le nombre de domaines de chiffrement (réseaux) qui ont le droit d'accéder au cloud privé virtuel (VPC) et se regroupent. S'il y a plus de deux domaines de chiffrement (réseaux) derrière la passerelle client, regroupez-les pour utiliser une seule association de sécurité.
  • Configurez la stratégie pour autoriser « tout » réseau (0.0.0.0/0) de derrière la passerelle client vers le CIDR VPC. Cela permet essentiellement à tout réseau derrière la passerelle client avec une destination du nouveau VPC AWS de traverser le tunnel, ce qui créera uniquement une association de sécurité unique. Cela améliore la stabilité du tunnel et permet à de futurs réseaux non définis dans la stratégie d'accéder au VPC AWS. Il s'agit de la meilleure approche généralement recommandée pour résoudre ce problème.

Remarque
Lorsque cela est possible, implémentez un filtre de trafic sur la passerelle client pour bloquer le trafic non souhaité sur le VPC. Vous pouvez également configurer des groupes de sécurité pour spécifier le trafic qui peut atteindre vos instances, et des listes de contrôle d'accès réseau (ACL réseau) pour bloquer le trafic non souhaité sur vos sous-réseaux.

AWS, VPN, VPC, abandon tunnel, connecter, perte de paquet, instabilité de tunnel, dépannage


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support.

Date de publication : 19/11/2015