Comment résoudre les problèmes de stabilité du tunnel IKEv2 lors d'un changement de clé ?

Dernière mise à jour : 11-05-2022

J'ai créé une connexion AWS Virtual Private Network (AWS VPN) à l'aide d'IKEv2. Les tunnels VPN fonctionnaient, mais ils sont tombés en panne lors d'un changement de clé et ne refonctionnent pas. Comment puis-je résoudre ce problème ?

Résolution

Pour résoudre les problèmes de stabilité du tunnel IKEv2 lors d'un changement de clé :

  • Vérifiez que l'option « Perfect Forward Secrecy (PFS) » est bien activée sur la passerelle client pour la configuration de la phase 2.
  • Si votre passerelle client est configurée en tant que VPN basé sur une stratégie, alors déterminez si vous devez reconfigurer votre connexion VPN pour utiliser des sélecteurs de trafic spécifiques. Par défaut, les points de terminaison VPN AWS sont configurés en tant que VPN basés sur une route. AWS lance un changement de clé d'association de sécurité enfant (SA) à l'aide de 0.0.0.0/0, 0.0.0.0/0 pour les sélecteurs de trafic. Certains périphériques de passerelle client n'acceptent pas le changement de clé de phase 2 lancé par AWS. Cela est dû au fait que les sélecteurs de trafic sur les points de terminaison AWS VPN ne correspondent pas aux sélecteurs de trafic configurés sur le périphérique de passerelle client. Dans ce cas, vous pouvez configurer votre connexion VPN AWS pour qu'elle utilise des sélecteurs de trafic spécifiques qui correspondent à la passerelle client.

Pour configurer une nouvelle connexion VPN qui utilise des sélecteurs de trafic spécifiques :

1.    Pour Local IPv4 Network CIDR (CIDR de réseau IPv4 local), spécifiez la plage CIDR (côté client) sur site.

2.    Pour Remote IPv4 Network CIDR (CIDR de réseau IPv4 distant), spécifiez la plage CIDR côté AWS.

Pour configurer une connexion VPN existante qui utilise des sélecteurs de trafic spécifiques :

1.    Sélectionnez la connexion VPN AWS dans laquelle vous devez modifier les sélecteurs de trafic côté AWS.    

2.    Sélectionnez Actions, puis choisissez Modify VPN Connection Options (Modifier les options de connexion VPN) dans la liste déroulante.

3.    Pour Local IPv4 Network CIDR (CIDR de réseau IPv4 local), spécifiez la plage CIDR (côté client) sur site.

4.    Pour Remote IPv4 Network CIDR (CIDR de réseau IPv4 distant), spécifiez la plage CIDR côté AWS.

5.    Choisissez Save (Enregistrer).

Remarque : la connexion VPN est temporairement indisponible pendant une courte durée lorsqu'elle est mise à jour.

Important : lorsque vous modifiez les options de connexion VPN, les éléments suivants ne changent pas :

  • Adresses IP des points de terminaison VPN côté AWS
  • Options de tunnel

Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?