Comment résoudre le problème de l'inactivité ou de l'instabilité du tunnel VPN ou de l'arrêt du tunnel sur le périphérique de ma passerelle client ?

Dernière mise à jour : 05/05/2021

J'ai des problèmes d'inactivité ou d'instabilité avec les tunnels de réseau privé virtuel (VPN) sur mon périphérique réseau. Comment résoudre ce problème dans Amazon Virtual Private Cloud (Amazon VPC) ?

Brève description

Les causes courantes d'inactivité ou d'instabilité de tunnel VPN sur un périphérique de passerelle client sont les suivantes :

Résolution

Vérifiez les paramètres DPD

Si un homologue VPN ne répond pas à trois DPD successifs, il est considéré comme mort et le tunnel est fermé.

Si DPD est activé sur votre périphérique de passerelle client, vérifiez les points suivants :

  • Il est configuré pour recevoir les messages DPD et y répondre.
  • Il n'est pas trop occupé pour répondre aux messages de DPD des homologues AWS.
  • Il ne limite pas le nombre de messages DPD en raison des fonctions IPS activées dans le pare-feu.

Résoudre les délais d'inactivité

Si vous rencontrez des délais d'inactivité dus à un faible trafic sur un tunnel VPN :

  • Vérifiez qu'il existe un trafic bidirectionnel constant entre votre réseau local et votre VPC. Le cas échéant, créez un hôte qui envoie des demandes ICMP à une instance dans votre VPC toutes les 5 secondes.
  • Vérifiez les paramètres de délai d'inactivité du périphérique VPN en utilisant les informations du fournisseur de votre appareil. Lorsqu'il n'existe aucun trafic via un tunnel VPN pendant le délai d'inactivité VPN spécifique du fournisseur, la séance IPsec se termine. Assurez-vous de vérifier la documentation de votre fournisseur pour votre appareil spécifique.

Problèmes de renouvellement de clé pour la phase 1 ou la phase 2

Si vous rencontrez des problèmes de renouvellement de clé en raison d'une incompatibilité de phase 1 ou de phase 2 sur un tunnel VPN :

  • Passez en revue les champs de durée de vie de phase 1 ou de phase 2 sur la passerelle client. Assurez-vous qu'il correspond aux paramètres AWS. Il est recommandé de décocher les paramètres dans les options de tunnel VPN qui ne sont pas nécessaires avec la passerelle client pour la connexion VPN.
  • Assurez-vous que le trafic entrant vers les ports UDP 500 [IKE], 4500 [NAT-T] et IP 50 [ESP] sur la passerelle client autorise les renouvellements de clés pour le point de terminaison AWS.

Pour plus d'informations, consultez Options de tunnel pour votre connexion VPN site à site et Votre périphérique de passerelle client.