Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Résolution des problèmes AWS Client VPN
Les sections suivantes peuvent vous aider à résoudre les problèmes que vous pourriez rencontrer avec un point de terminaison Client VPN.
Pour plus d'informations sur le dépannage des logiciels OpenVPN utilisés par les clients pour se connecter à un VPN Client, consultez [Dépannage de votre connexion VPN Client](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/troubleshooting.html) dans le *AWS Client VPN Guide de l'utilisateur*.
**Topics**
+ [Impossible de résoudre le nom DNS du point de terminaison VPN du Client](resolve-host-name.md)
+ [Le trafic n'est pas réparti entre les sous-réseaux](split-traffic.md)
+ [Les règles d'autorisation pour les groupes Active Directory ne fonctionnent pas comme prévu](ad-group-auth-rules.md)
+ [Les clients ne peuvent pas accéder à un VPC appairé, à Amazon S3 ou à Internet](no-internet-access.md)
+ [L'accès à un VPC appairé, à Amazon S3 ou à Internet est intermittent](intermittent-access.md)
+ [Le logiciel client renvoie une erreur TLS](client-cannot-connect.md)
+ [Le logiciel client renvoie des erreurs de nom d'utilisateur et de mot de passe — Authentification Active Directory](client-user-name-password-mfa.md)
+ [Le logiciel client renvoie des erreurs de nom d'utilisateur et de mot de passe : authentification fédérée](missing-attribute.md)
+ [Les clients ne peuvent pas se connecter : authentification mutuelle](client-cannot-connect-mutual.md)
+ [Le client renvoie une erreur de dépassement de la taille maximale des informations d'identification : authentification fédérée](client-credentials-exceeded.md)
+ [Le client n'ouvre pas le navigateur : authentification fédérée](client-no-browser.md)
+ [Le client renvoie une erreur indiquant qu'aucun port n'est disponible : authentification fédérée](client-no-port.md)
+ [Connexion VPN interrompue en raison d'une incompatibilité d'adresse IP](server-ip-mismatch.md)
+ [Le routage du trafic vers le réseau local ne fonctionne pas comme prévu](routing-to-lan.md)
+ [Vérifier la limite de bande passante pour un point de terminaison](test-throughput.md)
+ [Connectivité du tunnel VPN du client](VPNTunnelConnectivityTroubleshooting.md)
# Résolution des problèmes AWS Client VPN : Impossible de résoudre le nom DNS du point de terminaison VPN du Client
**Problème**
Je ne parviens pas à résoudre le nom DNS du point de terminaison VPN Client.
**Cause**
Le fichier de configuration du point de terminaison VPN Client inclut un paramètre appelé `remote-random-hostname`. Ce paramètre force le client à pré-insérer une chaîne aléatoire dans le nom DNS pour empêcher la mise en cache DNS. Certains clients ne reconnaissent pas ce paramètre et, par conséquent, n'ajoutent pas la chaîne aléatoire requise au nom DNS.
**Solution**
Ouvrez le fichier de configuration du point de terminaison VPN Client à l'aide de votre éditeur de texte préféré. Localisez la ligne qui spécifie le nom DNS du point de terminaison VPN du Client et ajoutez-y une chaîne aléatoire afin que le format soit*random\$1string.displayed\$1DNS\$1name*. Par Exemple:
+ Nom DNS d'origine: `cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com`
+ Nom DNS modifié : `asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com`
# Résolution des problèmes AWS Client VPN : le trafic n'est pas réparti entre les sous-réseaux
**Problème**
J'essaie de répartir le trafic réseau entre deux sous-réseaux. Le trafic privé doit être acheminé par un sous-réseau privé, tandis que le trafic Internet doit l'être par un sous-réseau public. Cependant, un seul acheminement est utilisée même si j'ai ajouté les deux routes à la table de routage du point de terminaison VPN Client.
**Cause**
Vous pouvez associer plusieurs sous-réseaux à un point de terminaison VPN client, mais vous ne pouvez associer qu'un seul sous-réseau par zone de disponibilité. L'objectif de l'association de plusieurs sous-réseaux est de fournir une haute disponibilité et une redondance de zone de disponibilité aux clients. Toutefois, le VPN client ne vous permet pas de répartir sélectivement le trafic entre les sous-réseaux associés au point de terminaison VPN Client.
Les clients se connectent à un point de terminaison VPN Client en fonction de l'algorithme DNS round-robin (tourniquet). Cela signifie que leur trafic peut être acheminé par l'un des sous-réseaux associés lorsqu'ils établissent une connexion. Par conséquent, les clients peuvent rencontrer des problèmes de connexion s'ils accèdent à un sous-réseau associé qui ne possède pas les entrées d'itinéraire requises.
Par exemple, supposons que vous configuriez les associations et routage de sous-réseau suivantes:
+ Associations de sous-réseaux
+ Association 1 : sous-réseau A (us-east-1a)
+ Association 2 : sous-réseau B (us-east-1b)
+ Routage
+ Routage 1: 10.0.0.0/16 acheminé vers le sous-réseau A
+ Routage 2: 172.31.0.0/16 acheminé vers le sous-réseau B
Dans cet exemple, les clients qui accèdent au sous-réseau A lorsqu'ils se connectent ne peuvent pas accéder à l’acheminement 2, tandis que les clients qui accèdent au sous-réseau B lorsqu'ils se connectent ne peuvent pas accéder à l’acheminement 1.
**Solution**
Vérifiez que le point de terminaison VPN Client a les mêmes entrées d’acheminement, avec les cibles de chaque réseau associé. Cela garantit que les clients peuvent accéder à tous les routages, quel que soit le sous-réseau via lequel leur trafic est acheminé.
# Résolution des problèmes AWS Client VPN : les règles d'autorisation pour les groupes Active Directory ne fonctionnent pas comme prévu
**Problème**
J'ai configuré des règles d'autorisation pour mes groupes Active Directory, mais elles ne fonctionnent pas comme prévu. J'ai ajouté une règle d'autorisation `0.0.0.0/0` pour autoriser le trafic pour tous les réseaux, mais le trafic échoue toujours pour une destination spécifique CIDRs.
**Cause**
Les règles d'autorisation sont indexées sur le réseau. CIDRs Les règles d'autorisation doivent autoriser les groupes Active Directory à accéder à un réseau spécifique CIDRs. Les règles d'autorisation pour `0.0.0.0/0` sont traitées comme un cas particulier et sont donc évaluées en dernier, quel que soit l'ordre de création des règles d'autorisation.
Par exemple, supposons que vous créez cinq règles d'autorisation dans l'ordre suivant:
+ Règle 1 : accès du groupe 1 à `10.1.0.0/16`
+ Règle 2 : accès du groupe 1 à `0.0.0.0/0`
+ Règle 3 : accès du groupe 2 à `0.0.0.0/0`
+ Règle 4 : accès du groupe 3 à `0.0.0.0/0`
+ Règle 5 : accès du groupe 2 à `172.131.0.0/16`
Dans cet exemple, les règles 2, 3 et 4 sont évaluées en dernier. Le groupe 1 n'a accès qu'à `10.1.0.0/16` et le groupe 2 n'a accès qu'à `172.131.0.0/16`. Le groupe 3 n'a pas accès à `10.1.0.0/16` ou `172.131.0.0/16`, mais il a accès à tous les autres réseaux. Si vous supprimez les règles 1 et 5, les trois groupes ont accès à tous les réseaux.
Le VPN Client utilise la correspondance du préfixe la plus longue lors de l'évaluation des règles d'autorisation. Voir[Priorité d’acheminement ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)dans le*Amazon VPC Guide de l’utilisateur*pour plus d'informations.
**Solution**
Vérifiez que vous créez des règles d'autorisation qui accordent explicitement aux groupes Active Directory l'accès à un réseau spécifique CIDRs. Si vous ajoutez une règle d'autorisation pour `0.0.0.0/0`, gardez à l'esprit qu'elle sera évaluée en dernier et que les règles d'autorisation antérieures peuvent limiter les réseaux auxquels elle accorde l'accès.
# Résolution des problèmes AWS Client VPN : les clients ne peuvent pas accéder à un VPC pair, à Amazon S3 ou à Internet
**Problème**
J'ai correctement configuré mes routes de points de terminaison VPN Client, mais mes clients ne peuvent pas accéder à un VPC appairé, à Amazon S3 ou à Internet.
**Solution**
L'organigramme suivant contient les étapes permettant de diagnostiquer les problèmes de connexion à Internet, à un VPC appairé et à Amazon S3.
![\[Étapes de dépannage du Client VPN\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/cvpn-flow.png)
1. Pour accéder à Internet, ajoutez une règle d'autorisation pour `0.0.0.0/0`.
Pour accéder à un VPC apparenté, ajoutez une règle d'autorisation pour IPv4 la plage d'adresses CIDR du VPC.
Pour accéder à S3, spécifiez l'adresse IP du point de terminaison Amazon S3.
1. Vérifiez si vous êtes en mesure de résoudre le nom DNS.
Si vous ne parvenez pas à résoudre le nom DNS, vérifiez que vous avez spécifié les serveurs DNS pour le point de terminaison VPN Client. Si vous gérez votre propre serveur DNS, spécifiez son adresse IP. Vérifiez que le serveur DNS est accessible à partir du VPC.
Si vous n'êtes pas sûr de l'adresse IP à spécifier pour les serveurs DNS, spécifiez le résolveur DNS VPC à l'adresse IP .2 de votre VPC.
1. Pour accéder à Internet, vérifiez si vous êtes en mesure d'effectuer un ping sur une adresse IP publique ou un site Web public, par exemple, `amazon.com`. Si vous ne recevez pas de réponse, assurez-vous que la table de routage des sous-réseaux associés a une route par défaut qui cible une passerelle Internet ou une passerelle NAT. Si l’acheminement par défaut est en place, vérifiez que le sous-réseau associé ne dispose pas de règles de liste de contrôle d'accès réseau qui bloquent le trafic entrant et sortant.
Si vous ne parvenez pas à atteindre un VPC appairé, vérifiez que la table de routage du sous-réseau associé possède une entrée de routage pour le VPC appairé.
Si vous ne parvenez pas à atteindre Amazon S3, vérifiez que la table de routage du sous-réseau associé possède une entrée de routage pour le point de terminaison VPC de passerelle.
1. Vérifiez si vous pouvez exécuter une commande ping sur une adresse IP publique avec une charge utile supérieure à 1 400 octets. Utilisez l’une des commandes suivantes :
+ Windows
```
C:\> ping 8.8.8.8 -l 1480 -f
```
+ Linux
```
$ ping -s 1480 8.8.8.8 -M do
```
Si vous ne pouvez pas à exécuter une commande ping sur une adresse IP avec une charge utile supérieure à 1400 octets, ouvrez le fichier de configuration `.ovpn` du point de terminaison VPN Client à l'aide de votre éditeur de texte préféré et ajouter ce qui suit.
```
mssfix 1328
```
# Résolution des problèmes AWS Client VPN : l'accès à un VPC pair, à Amazon S3 ou à Internet est intermittent
**Problème**
J'ai des problèmes de connexion intermittents lors de la connexion à un VPC appairé, à Amazon S3 ou à Internet, mais l'accès aux sous-réseaux associés n'est pas affecté. Je dois me déconnecter et me reconnecter afin de résoudre les problèmes de connexion.
**Cause**
Les clients se connectent à un point de terminaison VPN Client en fonction de l'algorithme DNS round-robin (tourniquet). Cela signifie que leur trafic peut être acheminé par l'un des sous-réseaux associés lorsqu'ils établissent une connexion. Par conséquent, les clients peuvent rencontrer des problèmes de connexion s'ils accèdent à un sous-réseau associé qui ne possède pas les entrées d'itinéraire requises.
**Solution**
Vérifiez que le point de terminaison VPN Client a les mêmes entrées d’acheminement, avec les cibles de chaque réseau associé. Cela garantit que les clients ont accès à toutes les routes, quel que soit le sous-réseau associé via lequel leur trafic est acheminé.
Par exemple, supposons que votre point de terminaison VPN Client a trois sous-réseaux associés (sous-réseaux A, B et C) et que vous souhaitez activer l'accès Internet pour vos clients. Pour y arriver, vous devez ajouter trois routes `0.0.0.0/0`, chacune ciblant chaque sous-réseau associé:
+ Acheminement 1 : `0.0.0.0/0` pour le sous-réseau A
+ Acheminement 2 : `0.0.0.0/0` pour le sous-réseau B
+ Acheminement 3 : `0.0.0.0/0` pour le sous-réseau C
# Résolution des problèmes AWS Client VPN : le logiciel client renvoie une erreur TLS lors de la tentative de connexion au VPN client
**Problème**
Je pouvais connecter mes clients au VPN Client avec succès, mais désormais le client OpenVPN renvoie l'une des erreurs suivantes lorsqu'il essaie de se connecter :
```
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
```
```
Connection failed because of a TLS handshake error. Contact your IT administrator.
```
**Cause possible 1**
Si vous utilisez l'authentification mutuelle et que vous avez importé une liste de révocation de certificat client, la liste de révocation de certificat client a peut-être expiré. Au cours de la phase d'authentification, le point de terminaison VPN Client vérifie le certificat client par rapport à la liste de révocation de certificats client que vous avez importée. Si la liste de révocation de certificats client a expiré, vous ne pouvez pas vous connecter au point de terminaison VPN Client.
**Solution 1**
Vérifiez la date d'expiration de votre liste de révocation de certificat client à l'aide de l'outil OpenSSL.
```
$ openssl crl -in path_to_crl_pem_file -noout -nextupdate
```
La sortie affiche la date et l'heure d'expiration. Si la liste de révocation de certificats client a expiré, vous devez en créer une nouvelle et l'importer dans le point de terminaison VPN Client. Pour de plus amples informations, veuillez consulter [AWS Client VPN listes de révocation de certificats clients](cvpn-working-certificates.md).
**Cause possible 2**
Le certificat de serveur utilisé pour le point de terminaison VPN du client a expiré.
**Solution 2**
Vérifiez l'état de votre certificat de serveur dans la AWS Certificate Manager console ou à l'aide de la AWS CLI. Si le certificat de serveur a expiré, créez un nouveau certificat et téléchargez-le sur ACM. Pour obtenir une présentation détaillée des étapes requises pour générer les certificats et les clés de serveur et client à l'aide de l'[utilitaire Easy RSA OpenVPN](https://github.com/OpenVPN/easy-rsa) et les importer dans ACM, consultez [Authentification mutuelle dans AWS Client VPN](mutual.md).
Il peut aussi exister un problème avec le logiciel OpenVPN que le client utilise pour se connecter au Client VPN. Pour plus d'informations sur le dépannage des logiciels OpenVPN, consultez [Dépannage de votre connexion VPN Client)](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/troubleshooting.html) dans le *AWS Client VPN Guide de l'utilisateur*.
# Résolution des problèmes AWS Client VPN : le logiciel client renvoie des erreurs de nom d'utilisateur et de mot de passe — Authentification Active Directory
**Problème**
J'utilise l'authentification Active Directory pour mon point de terminaison VPN Client et je pouvais connecter mes clients au Client VPN avec succès. Mais désormais, les clients obtiennent des erreurs de nom d'utilisateur et de mot de passe non valides.
**Causes possibles :**
Si vous utilisez l'authentification Active Directory et si vous avez activé l'authentification multi-facteur (MFA) après avoir distribué le fichier de configuration client, le fichier ne contient pas les informations nécessaires pour inviter les utilisateurs à saisir leur code MFA. Les utilisateurs sont invités à entrer leur nom d'utilisateur et leur mot de passe uniquement, et l'authentification échoue.
**Solution**
Téléchargez un nouveau fichier de configuration client et distribuez-le à vos clients. Vérifiez que le fichier contient la ligne suivante :
```
static-challenge "Enter MFA code " 1
```
Pour plus d’informations, veuillez consulter . [AWS Client VPN exportation du fichier de configuration du terminal](cvpn-working-endpoint-export.md). Testez la configuration MFA pour votre Active Directory sans utiliser le point de terminaison VPN Client pour vérifier que le MFA fonctionne comme prévu.
# Résolution des problèmes AWS Client VPN : le logiciel client renvoie des erreurs de nom d'utilisateur et de mot de passe — authentification fédérée
**Problème**
J'essaie de vous connecter avec un nom d'utilisateur et un mot de passe avec une authentification fédérée et le message d'erreur suivant s'affiche : « Les informations d'identification reçues sont incorrectes. Contactez votre administrateur informatique. »
**Cause**
Cette erreur peut être due au fait qu'au moins un attribut n'est pas inclus dans la réponse SAML de l'IdP.
**Solution**
Assurez-vous qu'au moins un attribut est inclus dans la réponse SAML de l'IdP. Pour plus d'informations, consultez [Ressources de configuration d'un IdP basé sur SAML](federated-authentication.md#saml-config-resources).
# Résolution des problèmes AWS Client VPN : les clients ne peuvent pas se connecter — authentification mutuelle
**Problème**
J'utilise l'authentification mutuelle pour mon point de terminaison VPN Client. Les clients obtiennent des erreurs d'échec de négociation de clé TLS et des erreurs de délai d'expiration.
**Causes possibles :**
Le fichier de configuration fourni aux clients ne contient pas le certificat client et la clé privée du client, ou le certificat et la clé sont incorrects.
**Solution**
Assurez-vous que le fichier de configuration contient le certificat client et la clé corrects. Si nécessaire, corrigez le fichier de configuration et redistribuez-le à vos clients. Pour de plus amples informations, veuillez consulter [AWS Client VPN exportation du fichier de configuration du terminal](cvpn-working-endpoint-export.md).
# Résolution des problèmes AWS Client VPN : le client renvoie une erreur de dépassement de la taille maximale des informations d'identification dans le VPN client — authentification fédérée
**Problème**
J'utilise l'authentification fédérée pour mon point de terminaison VPN Client. Lorsque les clients saisissent leur nom d'utilisateur et leur mot de passe dans la fenêtre du navigateur du fournisseur d'identité (IdP) basé sur SAML, ils obtiennent une erreur indiquant que les informations d'identification dépassent la taille maximale prise en charge.
**Cause**
La réponse SAML renvoyée par l'IdP dépasse la taille maximale prise en charge. Pour de plus amples informations, veuillez consulter [Les exigences et les observations relatives à l'authentification fédérée basée sur SAML](federated-authentication.md#saml-requirements).
**Solution**
Essayez de réduire le nombre de groupes auxquels l'utilisateur appartient dans l'IdP, puis essayez de vous connecter à nouveau.
# Résolution des problèmes AWS Client VPN : le client n'ouvre pas le navigateur d'un terminal : authentification fédérée
**Problème**
J'utilise l'authentification fédérée pour mon point de terminaison VPN Client. Lorsque les clients essaient de se connecter au point de terminaison, le logiciel client n'ouvre pas de fenêtre de navigateur et affiche à la place une fenêtre contextuelle de nom d'utilisateur et de mot de passe.
**Cause**
Le fichier de configuration fourni aux clients ne contient pas l'indicateur `auth-federate`.
**Solution**
[Exportez le dernier fichier de configuration](cvpn-working-endpoint-export.md), importez-le sur le client AWS fourni et réessayez de vous connecter.
# Résolution des problèmes AWS Client VPN : le client renvoie une erreur indiquant qu'aucun port n'est disponible — authentification fédérée
**Problème**
J'utilise l'authentification fédérée pour mon point de terminaison VPN Client. Lorsque des clients essaient de se connecter au point de terminaison, le logiciel client renvoie l'erreur suivante :
```
The authentication flow could not be initiated. There are no available ports.
```
**Cause**
Le client AWS fourni nécessite l'utilisation du port TCP 35001 pour terminer l'authentification. Pour de plus amples informations, veuillez consulter [Les exigences et les observations relatives à l'authentification fédérée basée sur SAML](federated-authentication.md#saml-requirements).
**Solution**
Vérifiez que le périphérique du client ne bloque pas le port TCP 35001 ou ne l'utilise pas pour un autre processus.
# Résolution des problèmes AWS Client VPN : une connexion est interrompue en raison d'une incompatibilité d'adresse IP
**Problème**
La connexion VPN est interrompue et le logiciel client renvoie le message d'erreur suivant : `"The VPN connection is being terminated due to a discrepancy between the IP address of the connected server and the expected VPN server IP. Please contact your network administrator for assistance in resolving this issue."`
**Cause**
Le client AWS fourni nécessite que l'adresse IP à laquelle il est connecté corresponde à l'adresse IP du serveur VPN qui soutient le point de terminaison VPN du Client. Pour de plus amples informations, veuillez consulter [Règles et bonnes pratiques d'utilisation AWS Client VPN](what-is-best-practices.md).
**Solution**
Vérifiez qu'il n'existe aucun proxy DNS entre le client AWS fourni et le point de terminaison VPN du Client.
# Résolution des problèmes AWS Client VPN : le routage du trafic vers le réseau local ne fonctionne pas comme prévu
**Problème**
La tentative d'acheminer le trafic vers le réseau local (LAN) ne fonctionne pas comme prévu lorsque les plages d'adresses IP du réseau local ne se situent pas dans les plages d'adresses IP privées standard suivantes : `10.0.0.0/8``172.16.0.0/12`,`192.168.0.0/16`, ou`169.254.0.0/16`.
**Cause**
S'il est détecté que la plage d'adresses LAN du client se situe en dehors des plages standard ci-dessus, le point de terminaison du VPN client transmet automatiquement la directive OpenVPN « redirect-gateway block-local » au client, forçant ainsi tout le trafic LAN à entrer dans le VPN. Pour de plus amples informations, veuillez consulter [Règles et bonnes pratiques d'utilisation AWS Client VPN](what-is-best-practices.md).
**Solution**
Si vous avez besoin d'un accès au réseau local pendant les connexions VPN, il est conseillé d'utiliser les plages d'adresses classiques répertoriées ci-dessus pour votre réseau local.
# Résolution des problèmes AWS Client VPN : vérifier la limite de bande passante pour un point de terminaison VPN client
**Problème**
J'ai besoin de vérifier la limite de bande passante pour un point de terminaison VPN Client.
**Cause**
Le débit dépend de plusieurs facteurs, tels que la capacité de votre connexion depuis votre emplacement et la latence réseau entre votre application de bureau VPN Client sur votre ordinateur et le point de terminaison d’un VPC. Une bande passante minimale de 10 Mbits/s est prise en charge par connexion utilisateur.
**Solution**
Exécutez les commandes suivantes pour vérifier la bande passante.
```
sudo iperf3 -s -V
```
Sur le client :
```
sudo iperf -c server IP address -p port -w 512k -P 60
```
# Résolution des problèmes AWS Client VPN : problèmes de connectivité entre un tunnel et un VPC
Lorsque vous rencontrez des problèmes de connectivité avec votre AWS Client VPN connexion, suivez cette approche de dépannage systématique pour identifier et résoudre le problème. Cette section fournit des step-by-step procédures permettant de diagnostiquer les problèmes courants de connectivité VPN entre les clients distants et les ressources Amazon VPC.
**Topics**
+ [Prérequis en matière de connectivité réseau](#NetworkConnectivityPrerequisites)
+ [Vérifiez l'état du point de terminaison du Client VPN](#CheckClientVPNEndpointStatus)
+ [Vérifier les connexions des clients](#VerifyClientConnections)
+ [Vérifier l'authentification du client](#ClientAuthentication)
+ [Vérifiez les règles d'autorisation](#AuthorizationRules)
+ [Valider les itinéraires VPN du Client](#ValidateClientVPNRoutes)
+ [Vérifier les groupes de sécurité et le réseau ACLs](#SecurityGroupNACLVerification)
+ [Testez la connectivité des clients](#TestClientConnectivity)
+ [Diagnostiquer l'appareil client](#ClientSideDiagnostics)
+ [Résoudre les problèmes de résolution DNS](#DNSTroubleshooting)
+ [Résoudre les problèmes de performances](#PerformanceTroubleshooting)
+ [Surveillez les statistiques du VPN du Client](#MonitorClientVPNMetrics)
+ [Vérifiez les journaux VPN du Client](#CheckClientVPNLogs)
+ [Problèmes courants et solutions correspondantes](#CommonIssues)
## Prérequis en matière de connectivité réseau
Avant de résoudre les problèmes de connectivité VPN du Client, vérifiez les conditions réseau requises suivantes :
+ Assurez-vous que le sous-réseau du point de terminaison VPN du Client dispose d'une connectivité Internet (via Internet Gateway ou NAT Gateway).
+ Vérifiez que le point de terminaison VPN du Client est associé à des sous-réseaux dans différentes zones de disponibilité pour garantir une haute disponibilité.
+ Vérifiez que le VPC dispose d'un espace d'adresse IP suffisant et qu'il n'entre pas en conflit avec les blocs CIDR du client.
+ Vérifiez que les sous-réseaux cibles disposent des associations de tables de routage appropriées.
## Vérifiez l'état du point de terminaison du Client VPN
Tout d'abord, vérifiez que le point de terminaison de votre Client VPN est dans le bon état :
1. Utilisez le AWS CLI pour vérifier l'état du point de terminaison du Client VPN :
```
aws ec2 describe-client-vpn-endpoints --region your-region
```
1. Recherchez l'état du point de terminaison dans la sortie. L'État devrait l'être`available`.
1. Vérifiez que le point de terminaison possède des réseaux cibles associés (sous-réseaux).
1. Si ce n'est pas le cas`available`, recherchez les messages d'erreur ou les états en attente susceptibles d'indiquer des problèmes de configuration.
## Vérifier les connexions des clients
Vérifiez l'état des connexions client à votre point de terminaison VPN client :
1. Vérifiez les connexions client actives :
```
aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id cvpn-endpoint-id --region your-region
```
1. Vérifiez l'état de la connexion et les éventuels messages d'erreur dans la sortie.
1. Vérifiez les journaux d'authentification du client pour détecter les tentatives d'authentification infructueuses.
1. Vérifiez que les clients reçoivent des adresses IP à partir du bloc CIDR client configuré.
**Note**
Si les clients ne peuvent pas se connecter, le problème est probablement lié à la configuration de l'authentification, aux règles d'autorisation ou à la connectivité réseau.
## Vérifier l'authentification du client
Les problèmes d'authentification sont des causes fréquentes des problèmes de connectivité VPN du Client :
+ Pour l'authentification mutuelle, assurez-vous que les certificats clients sont valides et qu'ils n'ont pas expiré.
+ Pour l'authentification Active Directory, vérifiez les informations d'identification de l'utilisateur et la connectivité au domaine.
+ Pour l'authentification fédérée basée sur SAML, vérifiez la configuration de l'IdP et les autorisations utilisateur.
+ Consultez les connexions d'authentification CloudWatch pour obtenir des informations détaillées sur les erreurs.
+ Vérifiez que la méthode d'authentification configurée sur le point de terminaison correspond à la configuration du client.
## Vérifiez les règles d'autorisation
Les règles d'autorisation contrôlent les ressources réseau auxquelles les clients peuvent accéder :
1. Répertoriez les règles d'autorisation actuelles :
```
aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id cvpn-endpoint-id --region your-region
```
1. Vérifiez qu'il existe des règles pour les réseaux cibles auxquels les clients doivent accéder.
1. Vérifiez que les règles spécifient les groupes Active Directory corrects (si vous utilisez l'authentification AD).
1. Assurez-vous que les règles d'autorisation sont en `active` vigueur.
## Valider les itinéraires VPN du Client
Une configuration de routage correcte est essentielle pour la connectivité VPN du Client :
1. Vérifiez les itinéraires des points de terminaison VPN du Client :
```
aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id cvpn-endpoint-id --region your-region
```
1. Vérifiez qu'il existe des routes pour les réseaux cibles auxquels les clients doivent accéder.
1. Consultez les tables de routage Amazon VPC pour vous assurer que le trafic de retour peut atteindre le point de terminaison VPN du Client :
```
aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-id" --region your-region
```
1. Vérifiez que les associations de réseaux cibles sont correctement configurées.
## Vérifier les groupes de sécurité et le réseau ACLs
Les groupes de sécurité et le réseau ACLs peuvent bloquer le trafic VPN du Client :
1. Vérifiez les groupes de sécurité pour les EC2 instances cibles :
```
aws ec2 describe-security-groups --group-ids sg-xxxxxxxxx --region your-region
```
1. Vérifiez que les règles entrantes autorisent le trafic provenant du bloc CIDR du Client VPN :
+ SSH (port 22) depuis le CIDR du Client VPN : `10.0.0.0/16`
+ HTTP (port 80) depuis le CIDR du Client VPN : `10.0.0.0/16`
+ HTTPS (port 443) depuis le CIDR du Client VPN : `10.0.0.0/16`
+ Ports d'application personnalisés selon les besoins
1. Pour le groupe de sécurité des points de terminaison VPN du Client (le cas échéant), assurez-vous qu'il autorise :
+ Port UDP 443 (OpenVPN) à partir de 0.0.0.0/0
+ Tout le trafic sortant vers les blocs d'adresse CIDR VPC
1. Vérifiez que le réseau ACLs ne bloque pas le trafic. Le réseau ACLs étant apatride, les règles entrantes et sortantes doivent être configurées.
1. Vérifiez les règles entrantes et sortantes pour le trafic spécifique que vous essayez d'envoyer.
## Testez la connectivité des clients
Testez la connectivité entre les clients VPN du Client et les ressources Amazon VPC :
1. À partir d'un client VPN client connecté, testez la connectivité aux ressources Amazon VPC :
```
ping vpc-resource-ip
traceroute vpc-resource-ip
```
1. Testez la connectivité d'applications spécifiques :
```
telnet vpc-resource-ip port
```
1. Vérifiez la résolution DNS si vous utilisez des noms DNS privés :
```
nslookup private-dns-name
```
1. Testez la connectivité aux ressources Internet si le split tunneling est activé.
## Diagnostiquer l'appareil client
Effectuez les vérifications suivantes sur l'appareil client :
1. Vérifiez que le fichier de configuration du client (.ovpn) contient les paramètres corrects :
+ URL du point de terminaison du serveur correcte
+ Certificat client et clé privée valides
+ Configuration correcte de la méthode d'authentification
1. Vérifiez les journaux des clients pour détecter les erreurs de connexion :
+ Windows : Observateur d'événements → Journaux des applications et des services → OpenVPN
+ macOS : application console, recherchez « Tunnelblick » ou « OpenVPN »
+ Linux : `/var/log/openvpn/` ou journal systemd
1. Testez la connectivité réseau de base depuis le client :
```
ping 8.8.8.8
nslookup cvpn-endpoint-id.cvpn.region.amazonaws.com
```
## Résoudre les problèmes de résolution DNS
Les problèmes de DNS peuvent empêcher l'accès aux ressources à l'aide de noms DNS privés :
1. Vérifiez si les serveurs DNS sont configurés dans le point de terminaison VPN du Client :
```
aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids cvpn-endpoint-id --query 'ClientVpnEndpoints[0].DnsServers'
```
1. Testez la résolution DNS depuis le client :
```
nslookup private-resource.internal
dig private-resource.internal
```
1. Vérifiez les règles du résolveur Route 53 si vous utilisez une résolution DNS personnalisée.
1. Vérifiez que les groupes de sécurité autorisent le trafic DNS (port UDP/TCP 53) depuis le CIDR du Client VPN vers les serveurs DNS.
## Résoudre les problèmes de performances
Résolvez les problèmes de performances liés aux connexions VPN du Client :
+ Surveillez l'utilisation de la bande passante à l'aide de CloudWatch métriques pour les ingress/egress octets.
+ Vérifiez la perte de paquets à l'aide de tests de ping continus effectués par les clients.
+ Vérifiez que le point de terminaison VPN du Client n'atteint pas les limites de connexion.
+ Envisagez d'utiliser plusieurs points de terminaison Client VPN pour la distribution de la charge.
+ Effectuez des tests auprès de différents sites clients pour identifier les problèmes de performance régionaux.
## Surveillez les statistiques du VPN du Client
Surveillez les métriques des terminaux VPN du Client à l'aide de CloudWatch :
1. Vérifiez les métriques de connexion active :
```
aws cloudwatch get-metric-statistics \
--namespace AWS/ClientVPN \
--metric-name ActiveConnectionsCount \
--dimensions Name=Endpoint,Value=cvpn-endpoint-id \
--start-time start-time \
--end-time end-time \
--period 300 \
--statistics Average
```
1. Passez en revue les indicateurs d'échec de l'authentification :
```
aws cloudwatch get-metric-statistics \
--namespace AWS/ClientVPN \
--metric-name AuthenticationFailures \
--dimensions Name=Endpoint,Value=cvpn-endpoint-id \
--start-time start-time \
--end-time end-time \
--period 300 \
--statistics Sum
```
1. Passez en revue les autres mesures disponibles, telles que les octets et les paquets d'entrée et de sortie.
## Vérifiez les journaux VPN du Client
Les journaux de connexion VPN du Client fournissent des informations détaillées sur les tentatives et les erreurs de connexion :
+ Activez la journalisation des connexions VPN du Client si ce n'est pas déjà fait.
+ Consultez CloudWatch les journaux pour détecter les tentatives de connexion, les échecs d'authentification et les erreurs d'autorisation.
+ Recherchez les codes d'erreur et les messages spécifiques qui indiquent la cause première des problèmes de connectivité.
+ Vérifiez l'absence de modèles d'échec de connexion susceptibles d'indiquer des problèmes de configuration.
## Problèmes courants et solutions correspondantes
Problèmes courants susceptibles d'affecter la connectivité VPN du Client :
Authentication failures (Échecs d’authentification)
Les certificats clients ont expiré ou ne sont pas valides, ou les informations d'identification Active Directory sont incorrectes. Vérifiez la configuration de l'authentification et la validité des informations d'identification.
Règles d'autorisation manquantes
Les clients ne peuvent pas accéder aux réseaux cibles en raison de règles d'autorisation manquantes ou incorrectes. Ajoutez des règles d'autorisation appropriées pour les réseaux requis.
Problèmes liés au split tunneling
Acheminement incorrect du trafic en raison de la configuration du split tunneling. Vérifiez et ajustez les paramètres de split tunneling selon vos besoins.
Épuisement du pool d'adresses IP client
Aucune adresse IP disponible dans le bloc CIDR du client. Élargissez la plage d'adresses CIDR du client ou déconnectez les clients inutilisés.
Problèmes liés au MTU
Les paquets volumineux sont supprimés en raison des limites de taille de la MTU. Essayez de définir le MTU sur 1 436 octets ou d'activer Path MTU Discovery sur les appareils clients.
Problèmes de résolution DNS
Les clients ne peuvent pas résoudre les noms DNS privés. Vérifiez la configuration du serveur DNS et assurez-vous que le trafic DNS est autorisé via les groupes de sécurité.
Plages d'adresses IP qui se chevauchent
Les blocs CIDR du client entrent en conflit avec les plages du réseau local. Vérifiez et corrigez les plages d'adresses IP qui se chevauchent entre le CIDR du client et les réseaux locaux.
Échec de la poignée de main TLS
La connexion échoue pendant la négociation TLS. Vérifiez la validité des certificats, assurez-vous que les suites de chiffrement sont correctes et vérifiez que les certificats client et serveur sont correctement configurés.
Retards de propagation de l'itinéraire
Les nouveaux itinéraires ne sont pas immédiatement disponibles pour les clients. Attendez 1 à 2 minutes pour la propagation des itinéraires après avoir modifié les itinéraires VPN du Client.
Pertes de connexion/instabilité
Déconnexions fréquentes ou connexions instables. Vérifiez l'absence de congestion du réseau, d'interférence du pare-feu ou de paramètres de gestion de l'alimentation sur les appareils clients.