Résolution des problèmes AWS Client VPN : problèmes de connectivité entre un tunnel et un VPC - AWS Client VPN
Prérequis en matière de connectivité réseauVérifiez l'état du point de terminaison du Client VPNVérifier les connexions des clientsVérifier l'authentification du clientVérifiez les règles d'autorisationValider les itinéraires VPN du ClientVérifier les groupes de sécurité et le réseau ACLsTestez la connectivité des clientsDiagnostiquer l'appareil clientRésoudre les problèmes de résolution DNSRésoudre les problèmes de performancesSurveillez les statistiques du VPN du ClientVérifiez les journaux VPN du ClientProblèmes courants et solutions correspondantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes AWS Client VPN : problèmes de connectivité entre un tunnel et un VPC

Lorsque vous rencontrez des problèmes de connectivité avec votre AWS Client VPN connexion, suivez cette approche de dépannage systématique pour identifier et résoudre le problème. Cette section fournit des step-by-step procédures permettant de diagnostiquer les problèmes courants de connectivité VPN entre les clients distants et les ressources Amazon VPC.

Prérequis en matière de connectivité réseau

Avant de résoudre les problèmes de connectivité VPN du Client, vérifiez les conditions réseau requises suivantes :

  • Assurez-vous que le sous-réseau du point de terminaison VPN du Client dispose d'une connectivité Internet (via Internet Gateway ou NAT Gateway).

  • Vérifiez que le point de terminaison VPN du Client est associé à des sous-réseaux dans différentes zones de disponibilité pour garantir une haute disponibilité.

  • Vérifiez que le VPC dispose d'un espace d'adresse IP suffisant et qu'il n'entre pas en conflit avec les blocs CIDR du client.

  • Vérifiez que les sous-réseaux cibles disposent des associations de tables de routage appropriées.

Vérifiez l'état du point de terminaison du Client VPN

Tout d'abord, vérifiez que le point de terminaison de votre Client VPN est dans le bon état :

  1. Utilisez le AWS CLI pour vérifier l'état du point de terminaison du Client VPN :

    aws ec2 describe-client-vpn-endpoints --region your-region

  2. Recherchez l'état du point de terminaison dans la sortie. L'État devrait l'êtreavailable.

  3. Vérifiez que le point de terminaison possède des réseaux cibles associés (sous-réseaux).

  4. Si ce n'est pas le casavailable, recherchez les messages d'erreur ou les états en attente susceptibles d'indiquer des problèmes de configuration.

Vérifier les connexions des clients

Vérifiez l'état des connexions client à votre point de terminaison VPN client :

  1. Vérifiez les connexions client actives :

    aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Vérifiez l'état de la connexion et les éventuels messages d'erreur dans la sortie.

  3. Vérifiez les journaux d'authentification du client pour détecter les tentatives d'authentification infructueuses.

  4. Vérifiez que les clients reçoivent des adresses IP à partir du bloc CIDR client configuré.

Note

Si les clients ne peuvent pas se connecter, le problème est probablement lié à la configuration de l'authentification, aux règles d'autorisation ou à la connectivité réseau.

Vérifier l'authentification du client

Les problèmes d'authentification sont des causes fréquentes des problèmes de connectivité VPN du Client :

  • Pour l'authentification mutuelle, assurez-vous que les certificats clients sont valides et qu'ils n'ont pas expiré.

  • Pour l'authentification Active Directory, vérifiez les informations d'identification de l'utilisateur et la connectivité au domaine.

  • Pour l'authentification fédérée basée sur SAML, vérifiez la configuration de l'IdP et les autorisations utilisateur.

  • Consultez les connexions d'authentification CloudWatch pour obtenir des informations détaillées sur les erreurs.

  • Vérifiez que la méthode d'authentification configurée sur le point de terminaison correspond à la configuration du client.

Vérifiez les règles d'autorisation

Les règles d'autorisation contrôlent les ressources réseau auxquelles les clients peuvent accéder :

  1. Répertoriez les règles d'autorisation actuelles :

    aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Vérifiez qu'il existe des règles pour les réseaux cibles auxquels les clients doivent accéder.

  3. Vérifiez que les règles spécifient les groupes Active Directory corrects (si vous utilisez l'authentification AD).

  4. Assurez-vous que les règles d'autorisation sont en active vigueur.

Valider les itinéraires VPN du Client

Une configuration de routage correcte est essentielle pour la connectivité VPN du Client :

  1. Vérifiez les itinéraires des points de terminaison VPN du Client :

    aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Vérifiez qu'il existe des routes pour les réseaux cibles auxquels les clients doivent accéder.

  3. Consultez les tables de routage Amazon VPC pour vous assurer que le trafic de retour peut atteindre le point de terminaison VPN du Client :

    aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-id" --region your-region

  4. Vérifiez que les associations de réseaux cibles sont correctement configurées.

Vérifier les groupes de sécurité et le réseau ACLs

Les groupes de sécurité et le réseau ACLs peuvent bloquer le trafic VPN du Client :

  1. Vérifiez les groupes de sécurité pour les EC2 instances cibles :

    aws ec2 describe-security-groups --group-ids sg-xxxxxxxxx --region your-region

  2. Vérifiez que les règles entrantes autorisent le trafic provenant du bloc CIDR du Client VPN :

    • SSH (port 22) depuis le CIDR du Client VPN : 10.0.0.0/16

    • HTTP (port 80) depuis le CIDR du Client VPN : 10.0.0.0/16

    • HTTPS (port 443) depuis le CIDR du Client VPN : 10.0.0.0/16

    • Ports d'application personnalisés selon les besoins

  3. Pour le groupe de sécurité des points de terminaison VPN du Client (le cas échéant), assurez-vous qu'il autorise :

    • Port UDP 443 (OpenVPN) à partir de 0.0.0.0/0

    • Tout le trafic sortant vers les blocs d'adresse CIDR VPC

  4. Vérifiez que le réseau ACLs ne bloque pas le trafic. Le réseau ACLs étant apatride, les règles entrantes et sortantes doivent être configurées.

  5. Vérifiez les règles entrantes et sortantes pour le trafic spécifique que vous essayez d'envoyer.

Testez la connectivité des clients

Testez la connectivité entre les clients VPN du Client et les ressources Amazon VPC :

  1. À partir d'un client VPN client connecté, testez la connectivité aux ressources Amazon VPC :

    ping vpc-resource-ip
traceroute vpc-resource-ip

  2. Testez la connectivité d'applications spécifiques :

    telnet vpc-resource-ip port

  3. Vérifiez la résolution DNS si vous utilisez des noms DNS privés :

    nslookup private-dns-name

  4. Testez la connectivité aux ressources Internet si le split tunneling est activé.

Diagnostiquer l'appareil client

Effectuez les vérifications suivantes sur l'appareil client :

  1. Vérifiez que le fichier de configuration du client (.ovpn) contient les paramètres corrects :

    • URL du point de terminaison du serveur correcte

    • Certificat client et clé privée valides

    • Configuration correcte de la méthode d'authentification

  2. Vérifiez les journaux des clients pour détecter les erreurs de connexion :

    • Windows : Observateur d'événements → Journaux des applications et des services → OpenVPN

    • macOS : application console, recherchez « Tunnelblick » ou « OpenVPN »

    • Linux : /var/log/openvpn/ ou journal systemd

  3. Testez la connectivité réseau de base depuis le client :

    ping 8.8.8.8
nslookup cvpn-endpoint-id.cvpn.region.amazonaws.com

Résoudre les problèmes de résolution DNS

Les problèmes de DNS peuvent empêcher l'accès aux ressources à l'aide de noms DNS privés :

  1. Vérifiez si les serveurs DNS sont configurés dans le point de terminaison VPN du Client :

    aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids cvpn-endpoint-id --query 'ClientVpnEndpoints[0].DnsServers'

  2. Testez la résolution DNS depuis le client :

    nslookup private-resource.internal
dig private-resource.internal

  3. Vérifiez les règles du résolveur Route 53 si vous utilisez une résolution DNS personnalisée.

  4. Vérifiez que les groupes de sécurité autorisent le trafic DNS (port UDP/TCP 53) depuis le CIDR du Client VPN vers les serveurs DNS.

Résoudre les problèmes de performances

Résolvez les problèmes de performances liés aux connexions VPN du Client :

  • Surveillez l'utilisation de la bande passante à l'aide de CloudWatch métriques pour les ingress/egress octets.

  • Vérifiez la perte de paquets à l'aide de tests de ping continus effectués par les clients.

  • Vérifiez que le point de terminaison VPN du Client n'atteint pas les limites de connexion.

  • Envisagez d'utiliser plusieurs points de terminaison Client VPN pour la distribution de la charge.

  • Effectuez des tests auprès de différents sites clients pour identifier les problèmes de performance régionaux.

Surveillez les statistiques du VPN du Client

Surveillez les métriques des terminaux VPN du Client à l'aide de CloudWatch :

  1. Vérifiez les métriques de connexion active :

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name ActiveConnectionsCount \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Average

  2. Passez en revue les indicateurs d'échec de l'authentification :

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name AuthenticationFailures \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Sum

  3. Passez en revue les autres mesures disponibles, telles que les octets et les paquets d'entrée et de sortie.

Vérifiez les journaux VPN du Client

Les journaux de connexion VPN du Client fournissent des informations détaillées sur les tentatives et les erreurs de connexion :

  • Activez la journalisation des connexions VPN du Client si ce n'est pas déjà fait.

  • Consultez CloudWatch les journaux pour détecter les tentatives de connexion, les échecs d'authentification et les erreurs d'autorisation.

  • Recherchez les codes d'erreur et les messages spécifiques qui indiquent la cause première des problèmes de connectivité.

  • Vérifiez l'absence de modèles d'échec de connexion susceptibles d'indiquer des problèmes de configuration.

Problèmes courants et solutions correspondantes

Problèmes courants susceptibles d'affecter la connectivité VPN du Client :

Authentication failures (Échecs d’authentification)

Les certificats clients ont expiré ou ne sont pas valides, ou les informations d'identification Active Directory sont incorrectes. Vérifiez la configuration de l'authentification et la validité des informations d'identification.

Règles d'autorisation manquantes

Les clients ne peuvent pas accéder aux réseaux cibles en raison de règles d'autorisation manquantes ou incorrectes. Ajoutez des règles d'autorisation appropriées pour les réseaux requis.

Problèmes liés au split tunneling

Acheminement incorrect du trafic en raison de la configuration du split tunneling. Vérifiez et ajustez les paramètres de split tunneling selon vos besoins.

Épuisement du pool d'adresses IP client

Aucune adresse IP disponible dans le bloc CIDR du client. Élargissez la plage d'adresses CIDR du client ou déconnectez les clients inutilisés.

Problèmes liés au MTU

Les paquets volumineux sont supprimés en raison des limites de taille de la MTU. Essayez de définir le MTU sur 1 436 octets ou d'activer Path MTU Discovery sur les appareils clients.

Problèmes de résolution DNS

Les clients ne peuvent pas résoudre les noms DNS privés. Vérifiez la configuration du serveur DNS et assurez-vous que le trafic DNS est autorisé via les groupes de sécurité.

Plages d'adresses IP qui se chevauchent

Les blocs CIDR du client entrent en conflit avec les plages du réseau local. Vérifiez et corrigez les plages d'adresses IP qui se chevauchent entre le CIDR du client et les réseaux locaux.

Échec de la poignée de main TLS

La connexion échoue pendant la négociation TLS. Vérifiez la validité des certificats, assurez-vous que les suites de chiffrement sont correctes et vérifiez que les certificats client et serveur sont correctement configurés.

Retards de propagation de l'itinéraire

Les nouveaux itinéraires ne sont pas immédiatement disponibles pour les clients. Attendez 1 à 2 minutes pour la propagation des itinéraires après avoir modifié les itinéraires VPN du Client.

Pertes de connexion/instabilité

Déconnexions fréquentes ou connexions instables. Vérifiez l'absence de congestion du réseau, d'interférence du pare-feu ou de paramètres de gestion de l'alimentation sur les appareils clients.