Comment résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur une stratégie ?

Dernière mise à jour : 22-03-2021

J'utilise un réseau privé virtuel (VPN) pour me connecter à mon point de terminaison VPN AWS dans Amazon Virtual Private Cloud (Amazon VPC). Je rencontre des problèmes, tels que des pertes de paquet, une connectivité intermittente ou inexistante et une instabilité générale du réseau. Comment résoudre ces erreurs ?

Brève description

Lorsque vous utilisez une connexion VPN basée sur une stratégie pour vous connecter à un point de terminaison VPN AWS, AWS limite le nombre d'associations de sécurité à une paire unique. Cette paire unique inclut une association de sécurité entrante et une association de sécurité sortante.

Les VPN basés sur des stratégies dont la configuration inclut plusieurs associations de sécurité abandonnent les connexions existantes lors de nouvelles connexions utilisant des associations de sécurité différentes. Ce comportement indique qu'une nouvelle connexion VPN a interrompu une connexion existante.

Résolution

Limitez le nombre de domaines de chiffrement (réseaux) pouvant accéder à votre VPC. Si vous avez plusieurs domaines de chiffrement derrière la passerelle client de votre VPN, configurez-les de manière à ce qu'ils utilisent une association de sécurité unique. Pour vérifier s'il existe plusieurs associations de sécurité pour votre passerelle client, consultez le Dépannage de votre périphérique de passerelle client.

Configurez votre passerelle client de manière à autoriser n'importe quel réseau derrière la passerelle client (0.0.0.0/0) avec une destination du CIDR de votre VPC à transiter par le tunnel VPN. Cette configuration utilise une association de sécurité unique, ce qui améliore la stabilité du tunnel. Elle permet également aux réseaux qui ne sont pas définis dans la stratégie d'accéder au VPC.

Si possible, implémentez un filtre de trafic sur votre passerelle client pour bloquer le trafic non souhaité sur votre VPC. Configurez des groupes de sécurité pour spécifier le trafic pouvant atteindre vos instances. Configurez aussi des listes de contrôle d'accès réseau (ACL réseau) pour bloquer le trafic non souhaité sur les sous-réseaux.