Comment résoudre les problèmes de stabilité du tunnel IKEv2 lors d'un changement de clé ?

Dernière mise à jour : 26/01/2021

J'ai créé une connexion AWS Virtual Private Network (AWS VPN) à l'aide d'IKEv2. Les tunnels VPN fonctionnaient, mais ils sont tombés en panne lors d'un changement de clé et ne refonctionnent pas. Comment puis-je résoudre ce problème ?

Résolution

Pour résoudre les problèmes de stabilité du tunnel IKEv2 lors d'un changement de clé :

  • Vérifiez que l'option « Perfect Forward Secrecy (PFS) » est activée sur la passerelle client pour la configuration de la phase 2.
  • Vérifiez que vous utilisez bien le même groupe Diffie-Hellman (DH) pour les phases 1 et 2.
    Remarque : si le périphérique de passerelle client ne lance pas de changement de clé avant l'expiration de la durée de vie, AWS le fait. Dans IKEv2, le point de terminaison VPN du côté AWS propose la charge utile Key Exchange (KE) avec le groupe DH de la négociation de la phase 1 précédente. Par conséquent, le changement de clé peut être rejeté par le périphérique de passerelle client. Si nécessaire, définissez l'option Modify VPN Tunnel Options (Modifier les options du tunnel VPN) pour limiter les options de tunnel à vos paramètres VPN spécifiques.
  • Si votre passerelle client est configurée en tant que VPN basé sur une stratégie, déterminez si vous devez reconfigurer votre connexion VPN pour utiliser des sélecteurs de trafic spécifiques. Par défaut, les points de terminaison VPN AWS sont configurés en tant que VPN basés sur une route. AWS lance un changement de clé d'association de sécurité enfant (SA) à l'aide de 0.0.0.0/0, 0.0.0.0/0 pour les sélecteurs de trafic. Certains périphériques de passerelle client n'acceptent pas le changement de clé de phase 2 lancé par AWS. Cela est dû au fait que les sélecteurs de trafic sur les points de terminaison AWS VPN ne correspondent pas aux sélecteurs de trafic configurés sur le périphérique de passerelle client. Dans ce cas, vous pouvez configurer votre connexion VPN AWS pour qu'elle utilise des sélecteurs de trafic spécifiques qui correspondent à la passerelle client.

           Pour configurer une nouvelle connexion VPN qui utilise des sélecteurs de trafic spécifiques :
              1.    Pour Local IPv4 Network CIDR (CIDR de réseau IPv4 local), spécifiez la plage CIDR (côté client) sur site.
              2.    Pour Remote IPv4 Network CIDR (CIDR de réseau IPv4 distant), spécifiez la plage CIDR côté AWS.

           Pour configurer une connexion VPN existante qui utilise des sélecteurs de trafic spécifiques :
              1.    Sélectionnez la connexion VPN AWS dans laquelle vous devez modifier les sélecteurs de trafic côté AWS.                    
              2.    Sélectionnez Actions, puis Modify VPN Connection Options (Modifier les options de connexion VPN) dans la liste déroulante.
              3.    Pour Local IPv4 Network CIDR (CIDR de réseau IPv4 local), spécifiez la plage CIDR (côté client) sur site.
              4.    Pour Remote IPv4 Network CIDR (CIDR de réseau IPv4 distant), spécifiez la plage CIDR côté AWS.
              5.    Sélectionnez Save (Enregistrer). 
            Remarque :
la connexion VPN est temporairement indisponible pendant une courte durée lorsqu'elle est mise à jour.

            Important : lorsque vous modifiez les options de connexion VPN, les éléments suivants ne changent pas :

    • Adresses IP des points de terminaison VPN côté AWS
    • Options de tunnel

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?