Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

¿Cómo soluciono los errores comunes de configuración de BYOIP en mi VPC?

6 minutos de lectura
0

Quiero configurar Uso de su propia IP (BYOIP) para mi Amazon Virtual Private Cloud (Amazon VPC).

Descripción breve

A continuación, se muestran errores comunes que se producen al configurar BYOIP en la VPC:

  • La autorización de origen de ruta (ROA) no es válida o no se encuentra para el CIDR ni para los números de sistema autónomo (ASN) de Amazon.
  • No se ha encontrado un certificado X509 en las observaciones de WHOIS.
  • El rango de IP no es un tipo de asignación aceptable en el registro de Internet asociado.
  • La firma CidrAuthorizationContext no se puede verificar con los certificados X509 de los registros regionales de Internet (RIR).
  • Su dirección IP está bloqueada en el estado pending-provision.

Resolución

Error: La ROA no es válida o no se encuentra para el CIDR y los ASN de Amazon

Nota: Si recibe errores al ejecutar los comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de utilizar la versión más reciente de AWS CLI.

Cree una ROA para autorizar a los ASN 16509 y 14618 de Amazon a anunciar sus rangos de direcciones. La ROA tarda hasta 24 horas en hacer que los ASN estén disponibles para Amazon.

Para confirmar la creación de la ROA y la asignación de los ASN, utilice rpki-validator de RIPE. Utilice un navegador o el comando curl de la línea de comandos para completar la confirmación.

Ejemplo con navegador

https://rpki-validator.ripe.net/json?select-prefix=X.X.X.X/{prefix-length}

Nota: En el ejemplo anterior, sustituya X.X.X.X/{prefix-length} por su rango de direcciones.

Ejemplo con línea de comandos

curl https://rpki-validator.ripe.net/json?select-prefix=X.X.X.X/{prefix-length}

Nota: En el ejemplo anterior, sustituya X.X.X.X/{prefix-length} por su rango de direcciones.

Ejemplo de salida válida:

{
  "metadata": {
  "generated": 1685008213,
    "generatedTime": "2023-05-25T09:50:13Z"
  },
  "roas": [
    { "asn": "AS14618", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" },
    { "asn": "AS16509", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" }
  ]
}

Ejemplo de salida no válida:

{
  "metadata": {
  "generated": 1685008305,
    "generatedTime": "2023-05-25T09:51:45Z"
  },
  "roas": [

  ]
}

Para evitar este error, lleve a cabo las siguientes tareas:

  • La ROA debe ser válida para ambos ASN durante el periodo de uso. También debe ser específica para los rangos de direcciones que introduzca en AWS. Para obtener más información, consulte la sección «Preparación del rango de direcciones IP» en Introducción a Uso de su propia IP (BYOIP).
  • Espere 24 horas después de crear una ROA antes de volver a aprovisionar.

Error: No se ha encontrado ningún certificado X509 en las observaciones de WHOIS

Entre los motivos más comunes de este error, se incluyen los siguientes:

  • No hay ningún certificado en el registro RDAP para el RIR.
  • Hay caracteres de nueva línea en el certificado.
  • El certificado no es válido.
  • El certificado no se genera a partir del par de claves válido.

Asegúrese de crear y cargar el certificado correctamente. Para obtener más información, consulte Cree un par de claves para la autenticación de AWS.

Para solucionar este error, compruebe que el certificado cargado sea válido. Utilice WHOIS para comprobar el registro del rango de redes en el RIR.

Para ARIN:

whois -a <Public IP>

Consulte la sección Comentarios en relación con NetRange (Rango de redes). Añada el certificado a la sección Comentarios públicos para su rango de direcciones.

Para RIPE:

whois -r <Public IP>

Consulte la sección descr en relación con el objeto inetnum (rango de redes) en la pantalla de WHOIS. Añada el certificado al campo desc de su rango de direcciones.

Para APNIC:

whois -A <Public IP>

Consulte la sección Observaciones en relación con el objeto inetnum (rango de redes) en la pantalla de WHOIS. Asegúrese de que el certificado esté en el campo Observaciones de su rango de direcciones.

Tras completar la comprobación, lleve a cabo las siguientes tareas:

  1. Si no hay ningún certificado, cree uno nuevo. A continuación, siga los pasos que se describen en la sección Resolución de este artículo para cargarlo.
    Si hay un certificado, asegúrese de que no haya líneas nuevas. Si hay líneas nuevas, elimínelas como se muestra en el siguiente ejemplo:

    openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

  2. Compruebe que el certificado sea válido. Para ello, copie el contenido del certificado en un nuevo archivo y ejecute el siguiente comando:

    openssl x509 -in example.crt -text -noout

    Si recibe el error no se puede cargar el certificado, añada una nueva línea después de BEGIN CERTIFICATE y otra nueva línea antes de END CERTIFICATE.

  3. Si no se aplica ninguna de las condiciones anteriores, se utilizó un par de claves incorrecto para generar el certificado.

Error: El rango de IP no es un tipo de asignación aceptable en el registro de Internet asociado

Los motivos de este error son los siguientes:

  • El tipo de asignación de RIR para el rango de direcciones es incorrecto.
  • El registro no es compatible.

Hay cinco registros regionales de Internet (RIR): AFRINIC, ARIN, APNIC, LACNIC y RIPE. AWS admite los prefijos registrados ARIN, RIPE y APNIC.

Para verificar el RIR, utilice WHOIS:

whois <public ip>

Para RIPE: Compruebe que Status sea ALLOCATED PA, LEGACY o ASSIGNED PI.

Para ARIN: Compruebe que NetType sea Direct Allocation o Direct Assignment.

Para APNIC: Compruebe que Status sea ALLOCATED PORTABLE o ASSIGNED PORTABLE.

Nota: Algunos comentarios pueden indicar que las direcciones de este bloque no son portátiles. Este comentario es una confirmación adicional de que el RIR no puede aprovisionar ese rango de direcciones.

El error anterior se produce por los siguientes motivos:

  • Status (para RIPE y APNIC) o NetType (para ARIN) no es ninguno de los estados enumerados en la sección anterior.
  • El registro no es compatible.

Error: La firma CidrAuthorizationContext no se puede verificar con los certificados X509 de los registros RIR

Al aprovisionar los rangos de direcciones, AWS debe verificar la firma de la llamada a la API. AWS utiliza la clave pública obtenida del certificado para verificar la firma en la llamada a la API aws ec2 provision-byoip-cidr. Este error indica que no se ha podido verificar criptográficamente la firma.

Los motivos más comunes de este error son los siguientes:

  • Cuando aprovisiona, no utiliza la firma correcta.
  • Ha firmado el mensaje con una clave privada incorrecta.
  • Ha cargado un certificado incorrecto en el registro RDAP con el RIR

Error: Su dirección IP está bloqueada en el estado «pending-provision»

Se tarda hasta una semana en completar el proceso de aprovisionamiento de los rangos que se pueden anunciar públicamente. Utilice el comando describe-byoip-cidrs para supervisar el progreso, como se muestra en el siguiente ejemplo:

aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

Si el estado cambia a failed-provision, vuelva a ejecutar el comando provision-byoip-cidr después de resolver los problemas.

Para obtener más información, consulte Aprovisionar un rango de direcciones anunciado de forma pública en AWS.

Información relacionada

Uso de su propia IP (BYOIP) en Amazon Elastic Compute Cloud (Amazon EC2)

Uso de su propia IP

Temas
Redes y entrega de contenido
Etiquetas
Amazon VPC
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 10 meses

Contenido relevante