Wie behebe ich häufige BYOIP-Konfigurationsfehler in meiner VPC?

Letzte Aktualisierung: 5.4.2022

Ich versuche, Bring Your Own IP (BYOIP) für meine Amazon Virtual Private Cloud (Amazon VPC) zu konfigurieren. Wie kann ich häufige Fehler beheben?

Kurzbeschreibung

Im Folgenden sind häufige Fehler aufgeführt, die bei der Konfiguration von BYOIP in Ihrer VPC auftreten können:

  • Die Route Origin Authorization (ROA) ist nicht gültig oder wurde für das bereitgestellte CIDR und Amazon ASNs nicht gefunden.
  • Ein X509-Zertifikat wurde in den WHOIS-Bemerkungen nicht gefunden.
  • Der IP-Bereich ist kein akzeptabler Zuweisungstyp im zugehörigen Internet-Registry.
  • Die CidrAuthorizationContext-Signatur konnte nicht mit den X509-Zertifikaten in den Regional Internet Registries-Datensätzen (RIR) verifiziert werden.
  • Ihre IP-Adresse steckt im Status „Ausstehende Bereitstellung“ fest.

Auflösung

Fehler: Die ROA ist ungültig oder wurde für das bereitgestellte CIDR und Amazon ASNs nicht gefunden

Erstellen Sie eine ROA, um Amazon ASNs 16509 und 14618 zur Bekanntgabe Ihrer Adressbereiche zu autorisieren. Es kann bis zu 24 Stunden dauern, bis die ROA die ASNs für Amazon verfügbar macht.

Um die ROA-Erstellung und die ASN-Zuordnung zu bestätigen, verwenden Sie WHOIS:

$ whois -h whois.bgpmon.net " --roa 16509 <Customer IP/CIDR> "
$ whois -h whois.bgpmon.net " --roa 14618 <Customer IP/CIDR> "

Beispiel für eine gültige Ausgabe:

$ whois -h whois.example.com " --roa 14618 X.X.X.X/24"
0 - Valid
------------------------
ROA Details
------------------------
Origin ASN: AS14618
Not valid Before: 2019-02-20 05:00:00
Not valid After: 2020-02-20 05:00:00 Expires in 266d11h4m39s
Trust Anchor: rpki.arin.net
Prefixes: X.X.X.X/24 (max length /24)

Beispiel für eine ungültige Ausgabe:

$ whois -h whois.example.com " --roa 14618 X.X.X.X/24"
2 - Not Valid: Invalid Origin ASN, expected 16509

Um diesen Fehler zu vermeiden:

  • Die ROA muss für beide ASNs für den Nutzungszeitraum gültig sein und spezifisch für die Adressbereiche sein, die Sie in AWS übernehmen. Weitere Informationen finden Sie im Abschnitt Vorbereiten Ihres IP-Adressbereichs unter Einführung von Bring Your Own IP (BYOIP).
  • Warten Sie 24 Stunden, nachdem Sie eine ROA erstellt haben, bevor Sie sie erneut bereitstellen.

Fehler: In den WHOIS-Bemerkungen konnte kein X509-Zertifikat gefunden werden

Häufige Gründe für diesen Fehler sind:

  • Im RDAP-Datensatz für die RIR wurde kein Zertifikat angegeben.
  • Das Zertifikat enthält Zeichen für neue Zeilen.
  • Das bereitgestellte Zertifikat ist nicht gültig.
  • Das Zertifikat wurde nicht aus dem gültigen Schlüsselpaar generiert.

Stellen Sie sicher, dass Sie das Zertifikat korrekt erstellen und hochladen. Weitere Informationen finden Sie unter Erstellen eines Schlüsselpaars für die AWS-Authentifizierung.

Um diesen Fehler zu beheben, stellen Sie sicher, dass das hochgeladene Zertifikat gültig ist. Sie können WHOIS verwenden, um den Datensatz für den Netzwerkbereich in der RIR zu überprüfen.

Für ARIN:

whois -a <Public IP>

Im Abschnitt Comments (Kommentare) finden Sie den NetRange (Netzbereich). Stellen Sie sicher, dass das Zertifikat im Abschnitt Public Comments (Öffentliche Kommentare) für Ihren Adressbereich hinzugefügt wurde.

Für RIPE:

whois -r <Public IP>

Prüfen Sie den Abschnitt descr (Beschreibung) für das Objekt inetnum (Netzwerkbereich) in der WHOIS-Anzeige. Stellen Sie sicher, dass das Zertifikat im Feld desc (Beschreibung) für Ihren Adressbereich hinzugefügt wurde.

Für APNIC:

whois -A <Public IP>

Überprüfen Sie den Abschnitt remarks (Anmerkungen) für das Objekt inetnum (Netzwerkbereich) in der WHOIS-Anzeige. Stellen Sie sicher, dass sich das Zertifikat im Feld remarks (Anmerkungen) für Ihren Adressbereich befindet.

Gehen Sie nach Abschluss der vorherigen Prüfung wie folgt vor:

1.    Wenn kein Zertifikat vorhanden ist, erstellen Sie ein neues Zertifikat, und laden Sie es dann gemäß den Empfehlungen in diesem Abschnitt „Auflösung“ hoch.

2.    Wenn ein Zertifikat vorhanden ist, stellen Sie sicher, dass keine neuen Zeilen vorhanden sind. Wenn neue Zeilen vorhanden sind, entfernen Sie diese wie im folgenden Beispiel gezeigt:

openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

3.    Stellen Sie sicher, dass das bereitgestellte Zertifikat gültig ist. Kopieren Sie dazu den Inhalt des Zertifikats in eine neue Datei und führen Sie den folgenden Befehl aus:

openssl x509 -in example.crt -text -noout

Wenn Sie einen Fehler unable to load certificate (Laden des Zertifikats nicht möglich) erhalten, fügen Sie eine neue Zeile nach BEGIN CERTIFICATE (Anfang des Zertifikats) und eine weitere neue Zeile vor END CERTIFICATE (Ende des Zertifikats) hinzu.

4.    Wenn keiner der oben genannten Punkte zutrifft, wurde das Zertifikat mit einem falschen Schlüsselpaar generiert.

Fehler: Der IP-Bereich ist in der zugehörigen Internetregistry kein akzeptabler Zuordnungstyp

Mögliche Gründe für diesen Fehler sind:

  • Der RIR-Zuordnungstyp für den Adressbereich ist falsch.
  • Die Registry wird nicht unterstützt.

Es gibt fünf regionale Internetregistries (RIR): AFRINIC, ARIN, APNIC, LACNIC und RIPE. AWS unterstützt ARIN-, RIPE- und APNIC-registrierte Präfixe.

Um die RIR zu überprüfen, verwenden Sie WHOIS:

whois <public ip>

Für RIPE: Vergewissern Sie sich, dass der Status ALLOCATED PA, LEGACY oder ASSIGNED PI ist.

Für ARIN: Stellen Sie sicher, dass der NetType Direct Allocation oder Direct Assignment ist.

Für APNIC: Stellen Sie sicher, dass der Status ALLOCATED PORTABLE oder ASSIGNED PORTABLE ist.

Hinweis: In einigen Kommentaren wird möglicherweise angegeben, dass Adressen in diesem Block nicht portabel sind. Dieser Kommentar ist eine zusätzliche Bestätigung, dass die RIR diesen Adressbereich nicht bereitstellen kann.

Der vorhergehende Fehler tritt aus folgenden Gründen auf:

  • Wenn der Status (für RIPE und APNIC) oder NetType (für ARIN) keiner der oben genannten Werte ist.
  • Wenn es sich um eine nicht unterstützte Registry handelt.

Fehler: Die CidrAuthorizationContext-Signatur konnte nicht mit den X509-Zertifikaten in den RIR-Datensätzen verifiziert werden

Wenn Sie die Adressbereiche bereitstellen, verwendet AWS den vom Zertifikat abgeleiteten öffentlichen Schlüssel, um die Signatur im API-Aufruf aws ec2 provision-byoip-cidr zu überprüfen. Dieser Fehler weist darauf hin, dass die bereitgestellte Signatur nicht kryptografisch überprüft wurde.

Folgende sind häufige Gründe für diesen Fehler:

  • Sie verwenden bei der Bereitstellung nicht die richtige Signatur.
  • Sie haben die Nachricht mit dem falschen privaten Schlüssel signiert.
  • Sie haben das falsche Zertifikat in den RDAP-Datensatz mit der RIR hochgeladen.

Fehler: Im Status „Ausstehende Bereitstellung“ stecken geblieben

Es kann bis zu einer Woche dauern, bis der Bereitstellungsprozess für öffentlich bewerbbare Bereiche abgeschlossen ist. Verwenden Sie den Befehl describe-byoip-cidrs, um den Fortschritt zu überwachen, wie im folgenden Beispiel gezeigt:

aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

Wenn sich der Status in fehlgeschlagene Bereitstellung ändert, müssen Sie den Befehl provision-byoip-cidr erneut ausführen, nachdem die Probleme behoben wurden.

Weitere Informationen finden Sie unter Bereitstellen eines öffentlich beworbenen Adressbereichs in AWS.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?