Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Résoudre les problèmes AWS Site-to-Site VPN de connectivité avec un dispositif de passerelle client Yamaha
Lorsque vous dépannez la connectivité d'un dispositif de passerelle client Yamaha, tenez compte de quatre éléments : IKE IPsec, tunnel et BGP. Vous pouvez résoudre des problèmes dans ces domaines dans n'importe quel ordre mais nous vous recommandons de commencer avec l'IKE (en bas du stack réseau) et de remonter.
**Note**
Le`proxy ID` paramètre utilisé dans la phase 2 d'IKE est désactivé par défaut sur le routeur Yamaha. Cela peut entraîner des problèmes de connexion au Site-to-Site VPN. Si le n'`proxy ID`est pas configuré sur votre routeur, veuillez consulter le fichier d'exemple de configuration AWS fourni pour que Yamaha le configure correctement.
## IKE
Exécutez la commande suivante. La réponse montre une passerelle client avec IKE configuré correctement.
```
# show ipsec sa gateway 1
```
```
sgw flags local-id remote-id # of sa
--------------------------------------------------------------------------
1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1
```
Vous devez voir une ligne contenant une valeur de `remote-id` pour la passerelle à distance spécifiée dans les tunnels. Vous pouvez répertorier toutes les associations de sécurité (SAs) en omettant le numéro du tunnel.
Pour un dépannage plus approfondi, exécutez les commandes suivantes pour permettre la consignation des messages de niveau DEBUG qui apportent des informations de diagnostic.
```
# syslog debug on
# ipsec ike log message-info payload-info key-info
```
Pour annuler les éléments enregistrés, utilisez la commande suivante.
```
# no ipsec ike log
# no syslog debug on
```
## IPsec
Exécutez la commande suivante. La réponse indique qu'un dispositif de passerelle client IPsec est correctement configuré.
```
# show ipsec sa gateway 1 detail
```
```
SA[1] Duration: 10675s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[2] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: a6 67 47 47
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[3] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 6b 98 69 2b
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[4] Duration: 10681s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
```
Pour chaque interface du tunnel, vous devez voir `receive sas` et `send sas`.
Pour un dépannage plus approfondi, exécutez les commandes suivantes pour activer le débogage.
```
# syslog debug on
# ipsec ike log message-info payload-info key-info
```
Utilisez la commande suivante pour désactiver le débogage.
```
# no ipsec ike log
# no syslog debug on
```
## Tunnel
Tout d'abord, vérifiez que les règles de pare-feu nécessaires sont instaurées. Pour obtenir la liste des règles, consultez [Règles de pare-feu pour un dispositif de passerelle AWS Site-to-Site VPN client](FirewallRules.md).
Si vos règles de pare-feu sont correctement configurées, alors continuez le dépannage avec la commande suivante.
```
# show status tunnel 1
```
```
TUNNEL[1]:
Description:
Interface type: IPsec
Current status is Online.
from 2011/08/15 18:19:45.
5 hours 7 minutes 58 seconds connection.
Received: (IPv4) 3933 packets [244941 octets]
(IPv6) 0 packet [0 octet]
Transmitted: (IPv4) 3933 packets [241407 octets]
(IPv6) 0 packet [0 octet]
```
Assurez-vous que la `current status` valeur est en ligne et c'`Interface type`est le cas IPsec. Assurez-vous d'exécuter la commande sur les deux interfaces du tunnel. Pour résoudre tout problème se présentant ici, passez en revue la configuration.
## BGP
Exécutez la commande suivante.
```
# show status bgp neighbor
```
```
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.1, Foreign port: 0
BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.5, Foreign port:
```
Les deux voisins doivent être répertoriés. Pour chacun d'entre eux, vous devez voir la valeur `Active` pour `BGP state`.
Si l'appairage BGP est opérationnel, vérifiez que votre routeur de passerelle client publie la route par défaut (0.0.0.0/0) vers le VPC.
```
# show status bgp neighbor 169.254.255.1 advertised-routes
```
```
Total routes: 1
*: valid route
Network Next Hop Metric LocPrf Path
* default 0.0.0.0 0 IGP
```
En outre, assurez-vous de recevoir le préfixe correspondant à votre VPC depuis la passerelle réseau privé virtuel.
```
# show ip route
```
```
Destination Gateway Interface Kind Additional Info.
default ***.***.***.*** LAN3(DHCP) static
10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124
```