Come posso risolvere l'inattività o l'instabilità del tunnel VPN o il tunnel down sul dispositivo gateway del cliente?

4 minuti di lettura

Sto osservando problemi di inattività, instabilità o connettività intermittente con i tunnel AWS Virtual Private Network (VPN) sul dispositivo gateway del mio cliente.

Risoluzione

I motivi più comuni per l'inattività o l'instabilità del tunnel VPN AWS su un dispositivo gateway del cliente includono quanto segue:

Problemi con Internet Protocol Security (IPsec) dead peer detection (DPD) monitoring
Timeout di inattività dovuti al basso traffico su un tunnel VPN o a problemi di configurazione del gateway del cliente specifici del fornitore
Problemi relativi alla riassegnazione delle chiavi per la fase 1 o la fase 2
Una connessione VPN basata su policy sul dispositivo gateway del cliente sta causando problemi di connettività intermittenti

Controllare le impostazioni DPD

Se un peer VPN non risponde a tre DPD successivi, il peer viene considerato morto e il tunnel viene chiuso.

Se il dispositivo gateway del cliente ha DPD attivato, assicurati che siano vere le seguenti condizioni:

È configurato per ricevere e rispondere a messaggi DPD
Non è troppo occupato per rispondere ai messaggi DPD dei colleghi di AWS
Non limita la velocità dei messaggi DPD perché le funzionalità IPS sono attivate nel firewall
Non ha problemi di transito via Internet

Risolvere i problemi relativi ai timeout di inattività

Se riscontri dei timeout di inattività causati da un traffico insufficiente su un tunnel VPN, controlla quanto segue:

Verifica che ci sia un traffico bidirezionale costante tra la tua rete locale e il tuo cloud privato virtuale (VPC). Se necessario, crea un host che invii richieste ICMP a un'istanza nel tuo cloud privato virtuale (VPC) ogni 5 secondi.
Controlla le impostazioni di timeout di inattività del tuo dispositivo VPN utilizzando le informazioni del fornitore del dispositivo. Se non c'è traffico attraverso un tunnel VPN per la durata del periodo di inattività del VPN specifico del fornitore, la sessione IPSec termina. Consulta la documentazione del fornitore per il tuo dispositivo specifico.

Risolvere i problemi di ripristino delle chiavi per la fase 1 o la fase 2

Se riscontri problemi di reimpostazione causati dalla mancata corrispondenza della fase 1 o della fase 2 su un tunnel VPN, controlla quanto segue:

Rivedi i campi relativi alla durata della fase 1 o della fase 2 sul gateway del cliente. Assicurati che questi campi corrispondano ai parametri AWS. È consigliabile deselezionare i parametri nelle opzioni del tunnel VPN che non sono necessari con il gateway del cliente per la connessione VPN.
Assicurati che Perfect Forward Secrecy (PFS) sia attivato sul dispositivo gateway del cliente. Per impostazione predefinita, PFS è attivato sul peer sul lato AWS.
Assicurati che il traffico in entrata verso le porte UDP 500 [IKE], 4500 [NAT-T] e IP 50 [ESP] sul gateway del cliente consenta il ripristino delle chiavi per l'endpoint AWS.

Nota: il campo del valore di durata IKEv2 è indipendente dai peer. Quindi, se imposti un valore di durata inferiore, il peer avvia sempre la reimpostazione.

Per ulteriori informazioni, consulta le opzioni del tunnel per la tua connessione VPN site-to-site e il dispositivo del gateway del cliente.

Risolvi i problemi di connettività intermittente

I problemi di connettività intermittenti potrebbero essere causati dalla configurazione basata su policy sul dispositivo gateway del cliente. Potresti inoltre riscontrare problemi di connettività intermittenti perché stai utilizzando più domini di crittografia o ID proxy.

Limita il numero di domini di crittografia (reti) con accesso al tuo VPC. Se disponi di più di un dominio di crittografia alla base del gateway del cliente della tua VPN, configurali in modo che utilizzino un'unica associazione di sicurezza. Per verificare se esistono più associazioni di sicurezza per il gateway del cliente, consulta la pagina Troubleshooting your customer gateway device.
Configura il gateway del cliente per consentire a qualsiasi rete protetta dal gateway del cliente (0.0.0.0/0) con una destinazione del tuo routing interdominio senza classi (CIDR) di passare attraverso il tunnel VPN. Questa configurazione utilizza un'unica associazione di sicurezza, che migliora la stabilità del tunnel. Questa configurazione consente inoltre alle reti non definite nella policy di accedere al VPC.

Per ulteriori informazioni, consulta Come posso risolvere i problemi di connessione tra un endpoint VPN AWS e una VPN basata su policy?

Informazioni correlate

Il tunnel VPN tra il gateway del mio cliente e il mio gateway privato virtuale è attivo, ma non riesco a far passare il traffico attraverso di esso. Cosa posso fare?

Argomenti

Networking e distribuzione di contenuti

Tag

AWS Virtual Private Network (VPN)

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Il tunnel VPN tra il gateway del mio cliente e il mio gateway privato virtuale è attivo, ma non riesco a far passare il traffico attraverso di esso. Cosa posso fare?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi di connettività del tunnel VPN con un Amazon VPC?
AWS UFFICIALEAggiornata 2 anni fa
Perché la mia connessione VPN sito-sito AWS è allo stato DOWN IPSEC UP mentre il gateway del cliente è UP?
AWS UFFICIALEAggiornata 10 mesi fa
Come posso controllare lo stato corrente del mio tunnel VPN?
AWS UFFICIALEAggiornata 2 anni fa