Lorsqu'un VPN tombe en panne avec le message « L'homologue ne répond pas », la cause principale peut être de toute sorte, d'une interruption du réseau à une règle de pare-feu manquante ou mal configurée.
Problème
Un nouveau VPN ne parvient pas à démarrer après sa création, ou un VPN opérationnel échoue après la mise à jour ou la reconfiguration, ou une table de routage a été modifiée.
Cause
Contrairement aux autres points de terminaison, dont l'activité peut être vérifiée à l'aide de commandes telles que ping, vous ne pouvez pas vraiment vérifier la connectivité VPN en dehors du VPN lui-même. IPsec utilise UDP, de sorte que vous obtenez ou non une réponse de l'homologue. L'accessibilité au ping varie selon que l'homologue l'a activé ou non, et beaucoup ne le font pas.
Solution
- Assurez-vous que l'adresse IP distante configurée dans le VPN correspond à l'adresse IP sur laquelle l'homologue écoute.
- Assurez-vous que tous les pare-feu sur le site distant (sur site) sont configurés pour autoriser le trafic vers le port UDP 500. Si le point de terminaison distant est avec NAT, les pare-feu sur le site distant doivent autoriser le trafic vers le port UDP 4500.
- Le trafic VPN IPsec utilise plusieurs protocoles qui doivent tous être autorisés via le pare-feu.
Il s'agit des opérations suivantes :
- ESP (Encapsulating Security Payload) Protocole IP 50
- AH (Authentification de l'en-tête) Protocole IP 51
- ISAKMP (Internet Security Association and Key Management Protocol) qui, à son tour, utilise IKE et IKE v2 (Internet Key Exchange)
- Assurez-vous que la même version IKE est configurée pour les deux points de terminaison.
- Assurez-vous que le routage est en place pour que chaque côté puisse accéder à l'autre.
Cela peut se faire par une validation à l'aide d'une détermination de route, mais la validation du chemin de bout en bout n'est pas toujours possible, car de nombreux points de terminaison ne répondront pas à un écho ICMP standard (ping) ou à des demandes de détermination de route. Lorsque vous configurez l'
Adresse IP locale du VPN SDDC comme Publique, le trafic VPN circule toujours sur la passerelle Internet du SDDC. Dans le cas contraire (lorsque l'
Adresse IP locale du VPN est Privée), le trafic VPN circule sur la liaison montante
Intranet du SDDC. Assurez-vous que le côté distant du VPN envoie le trafic de réponse sur le même chemin.