Je ne parviens pas à établir et à conserver une connexion VPN à mon infrastructure AWS au sein d'un VPC Amazon.

Le modèle de réseau Amazon Virtual Private Cloud (VPC) prend en charge les connexions VPN IPsec chiffrées standard aux infrastructures AWS. La connectivité du tunnel VPN au VPC Amazon est soumise à divers facteurs :

  • Configuration IKE (Internet Key Exchange) du tunnel VPN
  • Configuration IPsec (Internet Protocol security) du tunnel VPN
  • Configuration de la liste de contrôle d'accès réseau (NACL)
  • Configuration des règles du groupe de sécurité du VPC Amazon
  • Configuration de la table de routage réseau de l'instance Amazon EC2
  • Configuration du pare-feu de l'instance Amazon EC2
  • Configuration de la passerelle VPN
  • Configuration de la redondance des tunnels VPN

Pour résoudre les problèmes de connectivité des tunnels VPN au VPC Amazon, suivez cette procédure :

Les étapes de résolution d'un échec d'établissement du tunnel VPN dépendent de la phase pendant laquelle l'échec s'est produit :

Si les deux tunnels VPN sont établis, suivez ces étapes :

  1. Utilisez la ligne de commande ou la console Amazon EC2 pour vérifier qu'aucune liste de contrôle d'accès réseau (NACL) dans le VPC Amazon n'empêche le VPN associé d'établir la connectivité réseau. Pour plus d'informations, consultez la section Utilisation des listes ACL réseau.
  2. Suivez la procédure décrite sous Mise à jour de votre groupe de sécurité pour autoriser un accès SSH, RDP et ICMP entrant.
  3. Utilisez la ligne de commande ou la console Amazon EC2 pour vérifier que les tables de routage définies dans vos instances Amazon EC2 sont correctes. Pour plus d'informations, consultez les sections Utilisation des tables de routage et Présentation des API et des commandes.
  4. Vérifiez que le pare-feu ne bloque pas le trafic vers les instances Amazon EC2 au sein du VPC :

Pour une instance Amazon EC2 sur Windows, exécutez la commande WF.msc.

Pour une instance Amazon EC2 sur Linux, ouvrez une session de terminal et exécutez la commande iptables avec les arguments appropriés. Pour en savoir plus sur la commande iptables, exécutez la commande man iptables.

Si votre périphérique de passerelle client intègre un VPN basé sur une stratégie, sachez qu'AWS accepte uniquement deux associations de sécurité : une en sortie et une en entrée. Par conséquent, en cas d'utilisation d'un VPN basé sur une stratégie, il est recommandé de configurer l'adresse source à partir du réseau interne comme « 0.0.0.0/0 » et les adresses de destination comme sous-réseau VPC (172.31.0.0/16, par exemple). En procédant de la sorte, tout le trafic vers le VPC traverse le VPN sans créer d'associations de sécurité supplémentaires. Avec les périphériques Cisco ASA, la surveillance du SLA doit être activée. Pour plus d'informations sur l'activation de la surveillance du SLA pour les périphériques Cisco ASA, consultez la section Résolution des problèmes de connectivité de la passerelle client Cisco ASA.

Exécutez l'utilitaire traceroute à partir d'une session de terminal (Linux) ou l'utilitaire tracert depuis une invite de commande (Windows). Veillez à procéder depuis votre réseau interne vers une instance EC2 se trouvant dans le VPC auquel le VPN est connecté.

  • Si la sortie de l'utilitaire traceroute ou tracert s'arrête à une adresse IP associée au réseau interne, vérifiez que le chemin du routage vers le périphérique de périmètre VPN est correct.
  • Si vous pouvez déterminer que le trafic à partir de votre réseau interne atteint votre périphérique de passerelle client, mais qu'il ne parvient pas à atteindre l'instance EC2, vérifiez la configuration VPN, les stratégies et les paramètres NAT sur votre passerelle client VPN (CGW). En outre, assurez-vous que les éventuels périphériques en amont autorisent également le flux de trafic.

Si le protocole BGP (Border Gateway Protocol) est arrêté, vérifiez que vous avez défini le numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) que vous avez utilisé lors de la création de la passerelle client à l'aide de la console AWS VPC ou de l'API. Le numéro d'ASN AWS associé à votre passerelle client est inclus avec les propriétés de configuration VPN téléchargeables.

Vous pouvez utiliser un numéro d'ASN existant déjà affecté à votre réseau. Si aucun numéro d'ASN n'est affecté, vous pouvez utiliser un numéro d'ASN privé (compris entre 64512 et 65534). Le numéro d'ASN configuré doit correspondre à celui que vous avez fourni lors de la création du VPN côté AWS. De plus, assurez-vous que toutes les configurations de pare-feu locales sur la passerelle client permettent au trafic BGP de transiter vers AWS. Pour plus d'informations sur la résolution des problèmes de connectivité de la passerelle, consultez la section Dépannage dans le Guide de l'administrateur réseau Amazon Virtual Private Cloud.

AWS Trusted Advisor assure le contrôle de la redondance des tunnels VPN, que vos solutions de surveillance doivent intégrer. Pour de plus amples informations sur Trusted Advisor, consultez la section Découvrir AWS Trusted Advisor.

Si vous avez souscrit un forfait de support payant, vous pouvez envoyer une demande d'assistance technique. Pour résoudre les problèmes de VPC/VPN, AWS Support nécessite les informations et les ressources ci-dessous :

  • Un contact disposant des droits d'accès à l'équipement de mise en réseau sur site et aux ressources VPC en tant qu'administrateur
  • La marque et le modèle du périphérique physique que vous utilisez pour établir la connexion, y compris la version du microprogramme exécuté sur ce périphérique
  • Les identifiants Amazon du cloud privé virtuel, de la passerelle réseau privé virtuel et du VPN (tels que vpc-XXXXXXXX, vgw-XXXXXXXX et vpn-XXXXXXXX, respectivement)
  • L'accès à la configuration en cours du périphérique VPN et à la configuration générée par la console AWS lors de la création du ou des tunnels VPN
  • Accès à l'historique de connectivité du VPN
  • Une adresse IP associée à une instance Amazon EC2 ou à toute autre ressource qui se trouve dans le VPC auquel le tunnel VPN est associé, à des fins de test
  • L'adresse IP source sur le réseau local à partir de laquelle vous essayez d'initier la connexion VPN à votre AWS VPC. 

AWS, VPN, VPC, tunnel, connexion, IKE, IPsec, BGP, ASN, dépannage


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support.

Date de publication : 28/04/2015
Date de mise à jour : 24/08/2016