Como soluciono problemas de inatividade ou instabilidade do túnel VPN ou túnel inativo no meu dispositivo de gateway do cliente?

4 minuto de leitura

Estou observando problemas de inatividade, instabilidade ou conectividade intermitente com os túneis da Rede Privada Virtual (VPN) da AWS no meu dispositivo de gateway do cliente.

Resolução

Os motivos comuns para a inatividade ou instabilidade do túnel VPN da AWS em um dispositivo de gateway do cliente incluem os seguintes:

Problemas com o monitoramento de detecção de ponto morto (DPD) do Internet Protocol Security (IPsec)
Tempo limite de inatividade devido ao baixo tráfego em um túnel VPN ou a problemas de configuração do gateway do cliente específicos do fornecedor
Problemas de rechaveamento para a fase 1 ou fase 2
Uma conexão VPN baseada em políticas no dispositivo de gateway do cliente está causando problemas de conectividade intermitentes

Verifique as configurações de DPD

Se um peer de VPN não responder a três DPDs sucessivos, o peer será considerado morto e o túnel será fechado.

Se o dispositivo de gateway do cliente tiver o DPD ativado, certifique-se de que o seguinte seja verdadeiro:

Está configurado para receber e responder às mensagens DPD
Não está muito ocupado para responder às mensagens de DPD de colegas da AWS
Não está limitando a taxa de mensagens DPD porque os recursos do IPS estão ativados no firewall
Não tem problemas de trânsito na Internet

Solucione problemas de tempo limite de inatividade

Se você estiver enfrentando tempos limite de inatividade causados pelo baixo tráfego em um túnel VPN, verifique o seguinte:

Confirme se há tráfego bidirecional constante entre sua rede local e sua nuvem privada virtual (VPC). Se necessário, crie um host que envie solicitações ICMP para uma instância na sua nuvem privada virtual (VPC) a cada 5 segundos.
Revise as configurações de tempo limite de inatividade do seu dispositivo VPN usando informações do fornecedor do seu dispositivo. Se não houver tráfego por meio de um túnel VPN durante o tempo de inatividade da VPN específico do fornecedor, a sessão IPsec será encerrada. Verifique a documentação do fornecedor para seu dispositivo específico.

Solucione problemas de rechaveamento para a fase 1 ou fase 2

Se você estiver enfrentando problemas de rechave causados pela incompatibilidade de fase 1 ou 2 em um túnel VPN, verifique o seguinte:

Analise os campos de vida útil da fase 1 ou da fase 2 no gateway do cliente. Certifique-se de que esses campos correspondam aos parâmetros da AWS. É uma prática recomendada desmarcar os parâmetros nas opções de túnel VPN que não são necessários com o gateway do cliente para a conexão VPN.
Certifique-se de que o Perfect Forward Secrecy (PFS) esteja ativado no dispositivo de gateway do cliente. O PFS é ativado no par no lado da AWS, por padrão.
Certifique-se de que o tráfego de entrada para as portas 500 [IKE], 4500 [NAT-T] e IP 50 [ESP] no gateway do cliente permita rechaves para o endpoint da AWS.

Observação: o campo de valor de vida útil do IKEv2 é independente dos pares. Portanto, se você definir um valor de vida útil menor, o par sempre iniciará a rechave.

Para obter mais informações, consulte Opções de túnel para sua conexão VPN site a site e Seu dispositivo de gateway do cliente.

Solucione problemas de conectividade intermitente

Problemas intermitentes de conectividade podem ser causados pela configuração baseada em políticas em seu dispositivo de gateway do cliente. Você também pode ter problemas de conectividade intermitentes porque está usando vários domínios de criptografia ou IDs de proxy.

Limite o número de domínios de criptografia (redes) com acesso à sua VPC. Se você tiver mais de um domínio de criptografia por trás do gateway do cliente da sua VPN, configure-os para usar uma única associação de segurança. Para verificar se existem várias associações de segurança para o gateway do cliente, consulte Solucione problemas do dispositivo de gateway do cliente.
Configure o gateway do cliente para permitir que qualquer rede por trás do gateway do cliente (0.0.0.0/0) com um destino do seu VPC Encaminhamento Entre Domínios Sem Classificação (CIDR) passe pelo túnel VPN. Essa configuração usa uma única associação de segurança, o que melhora a estabilidade do túnel. Essa configuração também permite que redes que não estão definidas na política acessem a VPC.

Para obter mais informações, consulte Como soluciono problemas de conexão entre um endpoint de VPN da AWS e uma VPN baseada em políticas?

Informações relacionadas

O túnel VPN entre meu gateway de cliente e meu gateway privado virtual está ativo, mas não consigo transmitir tráfego por ele. O que eu posso fazer?

Tópicos

Rede e entrega de conteúdo

Conteúdo relevante

Por que minha conexão do AWS Site-to-Site VPN está no status INATIVO IPSEC ATIVO quando o gateway do cliente está ATIVO?
AWS OFICIALAtualizada há 10 meses
Como soluciono problemas de conexão BGP pela VPN?
AWS OFICIALAtualizada há um ano
Como resolver a notificação INATIVO no BFD do meu Direct Connect?
AWS OFICIALAtualizada há 10 meses
Como solucionar problemas de conectividade do túnel VPN para um Amazon VPC?
AWS OFICIALAtualizada há 2 anos