Comment puis-je résoudre les problèmes de connectivité du tunnel VPN à un Amazon VPC ?

Lecture de 6 minute(s)

Je ne parviens pas à établir et à maintenir une connexion AWS Site-to-Site VPN à mon infrastructure AWS au sein d’un Amazon Virtual Private Cloud (Amazon VPC).

Brève description

Le modèle de réseau Amazon VPC prend en charge les connexions de réseau privé virtuel (VPN) IPsec standard ouvertes et chiffrées à l’infrastructure AWS. Pour l’établissement d’une connexion par tunnel VPN à un Amazon VPC, il faut :

la configuration de l’échange de clés Internet (IKE) du tunnel VPN
la configuration de la sécurité du protocole Internet (IPsec) du tunnel VPN
la configuration de la liste de contrôle d’accès réseau (NACL)
la configuration des règles du groupe de sécurité pour Amazon VPC
la configuration de la table de routage réseau de l’instance Amazon Elastic Compute Cloud (Amazon EC2)
la configuration du pare-feu de l’instance Amazon EC2
la configuration de la passerelle VPN, y compris la passerelle privée virtuelle ou la passerelle de transit

Si vous rencontrez des difficultés pour établir ou maintenir une connexion Site-to-Site VPN à partir de votre Amazon VPC, essayez les solutions suivantes.

Résolution

Si un tunnel Site-to-Site VPN ne peut pas être établi

Pour remédier à un échec lors de l’établissement d’un tunnel Site-to-Site VPN, vous devez déterminer la phase au cours de laquelle l’échec s’est produit :

En cas d’échec de la phase d’échange de clés Internet (IKE), suivez les étapes décrites dans Pourquoi l’IKE (phase 1 de mon tunnel VPN) échoue-t-il dans Amazon VPC ?
En cas d’échec de la phase de sécurité du protocole Internet (IPsec/phase 2), suivez les étapes décrites dans Pourquoi IPsec/Phase 2 pour AWS Site-to-Site VPN ne parvient-il pas à établir une connexion ?

Si des tunnels Site-to-Site VPN sont établis

Si les deux tunnels VPN sont établis, procédez comme suit :

Ouvrez la console EC2 Amazon, puis consultez les listes de contrôle d’accès réseau (NACL) dans votre Amazon VPC. Les NACL personnalisés peuvent affecter la capacité du VPN connecté à établir une connectivité réseau. Consultez la section Utiliser les ACL réseau pour en savoir plus.
Suivez les étapes décrites dans la section Mettre à jour les règles du groupe de sécurité pour activer l’accès SSH, RDP et ICMP entrant.
Vérifiez que les tables de routage spécifiées dans vos instances Amazon EC2 sont bien correctes. Pour plus d’informations, consultez Utilisation des tables de routage.
Utilisation d’une configuration Active/Active dans laquelle les deux tunnels sont actifs : Lors de l’utilisation d’Active/Active, AWS attribue automatiquement l’un des tunnels actifs comme tunnel VPN préféré pour envoyer le trafic d’AWS vers le réseau sur site. Dans le cas d’une configuration Active/Active, le routage asymétrique doit être activé sur les interfaces du tunnel virtuel de la passerelle client. Pour en savoir plus, consultez Comment configurer ma connexion VPN de site à site pour préférer le tunnel A au tunnel B ?
Vérifiez qu’aucun pare-feu ne bloque le trafic vers l’instance Amazon EC2 au sein du VPC :

Pour une instance Windows Amazon EC2 : Ouvrez une invite de commande, puis exécutez la commande WF.msc.
Pour une instance Linux Amazon EC2 : Ouvrez le terminal, puis exécutez la commande iptables avec les arguments appropriés. Pour plus d’informations sur la commande iptables, exécutez la commande man iptables depuis le terminal.
Si votre passerelle client met en œuvre un VPN basé sur des règles : Notez qu’AWS limite le nombre d’associations de sécurité à une seule paire. La paire unique inclut une association de sécurité entrante et une association de sécurité sortante. Lorsque vous utilisez un VPN basé sur des règles, il est recommandé de configurer l’adresse source de votre réseau interne comme 0.0.0.0/0. Définissez ensuite l’adresse de destination comme sous-réseau VPC (Exemple : 192.168.0.0/16). Ces paramètres dirigent le trafic vers le VPC et traversent le VPN sans créer des associations de sécurité supplémentaires. Pour en savoir plus, consultez Comment résoudre les problèmes de connexion entre un point de terminaison VPN AWS et un VPN basé sur une politique ?

Si la connectivité d’instance et les configurations de VPC sont exclues des causes racines possibles

Exécutez l’utilitaire traceroute à partir d’une session de terminal sous Linux. Vous pouvez également exécuter l’utilitaire tracert à partir d’une invite de commande sous Windows. Traceroute et Tracert doivent tous deux être exécutés depuis votre réseau interne vers une instance Amazon EC2 dans le VPC auquel le VPN est connecté.

Si la sortie de l’utilitaire traceroute s’arrête à une adresse IP associée à votre réseau interne, vérifiez que le chemin de routage vers le dispositif VPN en périphérie est correct.
Si la sortie de l’utilitaire tracert s’arrête à une adresse IP associée à votre réseau interne, vérifiez que le chemin de routage vers le dispositif VPN en périphérie est correct.
Si vous vérifiez que le trafic provenant de votre réseau interne atteint votre passerelle client, mais n’atteint pas l’instance EC2 : Vérifiez que la configuration VPN, les politiques et les paramètres NAT de votre passerelle client VPN sont corrects. Vérifiez ensuite que les appareils en amont, le cas échéant, autorisent bien le flux de trafic.

Résolution des problèmes liés au protocole de passerelle frontière (BGP)

Si le protocole de passerelle frontière (BGP) ne fonctionne pas, assurez-vous d’avoir défini le Numéro de système autonome (ASN) BGP. L’ASN est le numéro que vous avez utilisé lors de la création de la passerelle client. L’ASN associé à votre passerelle client est inclus dans les propriétés de configuration VPN téléchargeables. Pour plus d’informations, consultez Passerelle privée virtuelle.

Vous pouvez utiliser un ASN existant et déjà attribué à votre réseau. Si aucun ASN n’est attribué, vous pouvez utiliser un ASN privé compris entre 64512 et 65534. L’ASN configuré doit correspondre à celui que vous avez fourni lors de la création du VPN dans AWS. Assurez-vous que toute configuration de pare-feu local sur la passerelle client autorise le trafic BGP à passer par AWS. Pour plus d’informations sur la résolution des problèmes de connectivité de la passerelle, consultez la section Résolution des problèmes liés à votre passerelle client.

Informations connexes

Qu’est-ce que AWS Site-to-Site VPN ?

VPC avec sous-réseaux publics et privés et accès AWS Site-to-Site VPN

VPC avec sous-réseau privé uniquement et accès AWS Site-to-Site VPN

Comment puis-je résoudre les problèmes de connexion BGP sur un VPN ?

Sujets

Réseaux et diffusion de contenu

Balises

AWS Virtual Private Network (VPN)

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

Problème d'ajout d'IP V4 Publique secondaire sur une instance
Stephan
demandé il y a 4 mois
Problème mot de passe perdu
Fesch
demandé il y a 6 mois
Problème de facturation inattendue avec Amazon Web Services
rePost-User-1581363
demandé il y a 10 mois
Appels sortants à partir de salesforce / Amazon Connect
benoit paternotte
demandé il y a 5 jours
Erreur "Amazon Rekognition experienced a service issue." quand je souhaite entrainer mon model
rePost-User-1814428
demandé il y a un an
Pourquoi IKE (phase 1 de mon tunnel VPN) échoue-t-il dans Amazon VPC ?
AWS OFFICIELA mis à jour il y a un an
Comment puis résoudre les problèmes de connectivité à une instance de base de données Amazon RDS qui utilise un sous-réseau public ou privé d'un VPC ?
AWS OFFICIELA mis à jour il y a un an
Comment résoudre les problèmes liés à Direct Connect et au basculement du VPN ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment connecter plusieurs VPC à un réseau local via la même connexion VPN ?
AWS OFFICIELA mis à jour il y a 9 mois