Je ne peux pas établir ou conserver une connexion de réseau privé virtuel (VPN) à mon Amazon Virtual Private Cloud (Amazon VPC).

Les problèmes liés à l'établissement d'une connexion VPN peuvent se produire en raison de la configuration des éléments suivants :

  • Internet Key Exchange (IKE)
  • Internet Protocol security (IPsec)

Les problèmes liés à la conservation d'une connexion VPN peuvent se produire en raison de la configuration des éléments suivants :

  • Listes de contrôle d'accès réseau (liste ACL réseau)
  • Règles des groupes de sécurité VPC
  • Tables de routage réseau de l'instance Amazon Elastic Compute Cloud (Amazon EC2)
  • Pare-feu d'instance Amazon EC2
  • Passerelles privées virtuelles
  • Redondance du tunnel VPN

Problèmes liés à l'établissement d'une connexion VPN

Problèmes liés à la conservation d'une connexion VPN

Si vous avez établi avec succès les tunnels VPN mais que vous rencontrez toujours des problèmes de connectivité :

  1. Vérifiez les listes ACL réseau dans votre VPC qui empêchent le VPN attaché d'établir une connexion.
  2. Vérifiez que les règles de groupe de sécurité affectées aux instances EC2 dans votre VPC autorisent les accès appropriés. Autorisez les accès SSH, RDP et ICMP entrants. Pour plus d'informations, consultez Groupes de sécurité Amazon EC2 pour les instances Linux ou Groupes de sécurité Amazon EC2 pour les instances Windows.
  3. Vérifiez que les tables de routage attachées à votre VPC sont configurées correctement.
  4. Vérifiez les pare-feu au niveau système d'exploitation qui bloquent le trafic vers les instances EC2 dans votre VPC.
    Pour les instances EC2 Windows, exécutez WF.msc à partir de l'invite de commande.
    Pour les instances EC2 Linux, exécutez iptables dans une session de terminal avec les arguments appropriés. Pour obtenir des informations plus détaillées, exécutez man iptables.

Remarque : AWS accepte une seule paire d'associations de sécurité pour une connexion VPN (une association entrante et une association sortante). Si votre périphérique de passerelle client utilise un VPN basé sur la stratégie, configurez votre réseau interne en tant qu'adresse source (0.0.0.0/0) et le sous-réseau VPC en tant qu'adresse de destination. Cette configuration permet au trafic vers le VPC de traverser le VPN sans créer d'association de sécurité supplémentaire.

Un tunnel VPN intervient lorsque le trafic est généré depuis le côté de la passerelle client de la connexion VPN. Le côté de la passerelle réseau privé virtuel n'est pas l'initiateur. Si votre connexion VPN subit une période d'inactivité (généralement 10 secondes, selon votre configuration de passerelle client), le tunnel peut s'arrêter. Pour éviter ce problème, utilisez un outil de supervision du réseau pour générer des tests ping keepalive. Par exemple, pour les périphériques Cisco ASA, activez la surveillance du SLA.

Si vous excluez votre configuration VPC et la connectivité de l'instance EC2 comme causes profondes possibles :

  1. Ouvrez une session de terminal (Linux) ou une invite de commande (Windows).
  2. Exécutez l'utilitaire traceroute (Linux) ou tracert (Windows) depuis votre réseau interne vers une instance EC2 du VPC auquel votre VPN est attaché.
  3. Si la sortie s'arrête à une adresse IP associée à votre réseau interne, vérifiez que le chemin du routage vers le périphérique de périmètre VPN est correct.
  4. Si la sortie atteint votre périphérique de passerelle client mais pas votre instance EC2, vérifiez les paramètres de votre périphérique de passerelle client VPN. Vérifiez que les paramètres de votre configuration VPN, de vos stratégies et de votre traduction d'adresses réseau (NAT) sont corrects. Vérifiez également que les éventuels périphériques en amont autorisent le flux de trafic.

Si le protocole Border Gateway Protocol (BGP) utilisé dans votre tunnel VPN est désactivé :

  1. Vérifiez que vous avez défini le numéro d'ASN (Autonomous System Number) BGP lorsque vous avez créé votre passerelle client. Le numéro d'ASN de la passerelle client est inclus dans votre configuration VPN téléchargeable.
  2. Si nécessaire, mettez à jour la passerelle client avec le numéro d'ASN correct. Le numéro d'ASN doit correspondre à celui indiqué lors de la configuration VPN. Il doit s'agir d'un numéro d'ASN existant affecté à votre réseau ou d'un numéro d'ASN privé compris dans la plage 64512–65534.
  3. Vérifiez que les configurations de pare-feu locales sur votre passerelle client permettent au trafic BGP de transiter vers AWS. Pour plus d'informations, consultez les guides de dépannage spécifiques aux périphériques.

Si possible, utilisez le contrôle de redondance du tunnel VPN d'AWS Trusted Advisor dans vos activités de surveillance :

  1. Connectez-vous à la console Trusted Advisor.
  2. Dans le volet de navigation, sous Dashboard (Tableau de bord), choisissez Fault Tolerance (Tolérance aux pannes).
  3. Dans le volet de contenu, sélectionnez VPN Tunnel Redundancy (Redondance de tunnel VPN) à partir de la liste Fault Tolerance Checks (Contrôles de tolérance aux pannes).
  4. Choisissez l'icône de téléchargement pour télécharger le résultat de ce contrôle.

Dépannage plus approfondi

Avant de procéder à un dépannage plus approfondi, assurez-vous de disposer des informations suivantes :

  • Un contact disposant des droits d'accès à votre équipement de mise en réseau sur site et aux ressources VPC en tant qu'administrateur.
  • La marque et le modèle du périphérique physique que vous utilisez pour établir la connexion VPN, y compris la version du microprogramme.
  • Les identifiants de votre VPC (vpc-XXXXXXXX), de votre passerelle réseau privé virtuel (vgw-XXXXXXXX) et de votre VPN (vpn-XXXXXXXX).
  • L'accès à la configuration actuelle du périphérique VPN et à la configuration générée par la console AWS lors de la création des tunnels VPN.
  • Les détails de l'historique de connectivité du VPN.
  • L'adresse IP d'une instance EC2 ou d'une autre ressource du VPC à des fins de test.
  • L'adresse IP source du réseau local à partir de laquelle vous essayez d'initier votre connexion VPN.

Composants de mise en réseau de VPC

Scénarios et exemples pour la création et la configuration de VPC


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support.

Date de publication : 28/04/2015

Date de mise à jour : 30/10/2018