¿Cómo soluciono los problemas de conectividad del túnel VPN con una Amazon VPC?

6 minutos de lectura

Tengo problemas para establecer y mantener una conexión AWS Site-to-Site VPN con mi infraestructura de AWS dentro de una Nube Privada Virtual de Amazon (Amazon VPC).

Breve descripción

El modelo de red de Amazon VPC admite conexiones de red privada virtual (VPN) IPsec cifradas y de estándar abierto a la infraestructura de AWS. El establecimiento de una conexión de túnel VPN a una Amazon VPC incluye:

Configuración del intercambio de claves de Internet (IKE) del túnel VPN
Configuración de seguridad del protocolo de Internet (IPsec) del túnel VPN
Configuración de la lista de control de acceso a la red (NACL)
Configuración de reglas de grupos de seguridad de Amazon VPC
Configuración de la tabla de enrutamiento de red de instancias de Amazon Elastic Compute Cloud (Amazon EC2)
Configuración del firewall de instancias de Amazon EC2
Configuración de puerta de enlace VPN, incluida la puerta de enlace privada virtual o la puerta de enlace de tránsito

Si tiene problemas para establecer o mantener una conexión VPN de sitio a sitio desde su Amazon VPC, pruebe lo siguiente para resolver el problema.

Resolución

Si no se puede establecer un túnel VPN de sitio a sitio

Para resolver un error al establecer un túnel VPN de sitio a sitio, debe determinar en qué fase se produjo el error:

Si la fase de intercambio de claves de Internet (IKE) falla, siga los pasos descritos en ¿Por qué falla el IKE (la fase 1 de mi túnel VPN) en Amazon VPC?
Si la fase de seguridad del Protocolo de Internet (IPsec/fase 2) falla, siga los pasos en ¿Por qué IPsec/fase 2 para la AWS Site-to-Site VPN no logra establecer una conexión?

Si se establecen túneles VPN de sitio a sitio

Si ambos túneles VPN están establecidos, siga estos pasos:

Abra la consola de Amazon EC2 y, entonces, consulte las listas de control de acceso a la red (NACL) de su Amazon VPC. Las NACL personalizadas pueden afectar la habilidad de la VPN conectada para establecer la conectividad de red. Para más información, consulte Trabajar con ACL de red .
Siga los pasos en Actualizar las reglas del grupo de seguridad para activar los accesos SSH, RDP e ICMP entrantes.
Compruebe que las tablas de enrutamiento especificadas en sus instancias de Amazon EC2 son correctas. Para obtener más información, consulte Trabajar con tablas de enrutamiento.
Cuando se usa una configuración Activa/Activa en la que ambos túneles están activos: Al usar Activa/Activa, AWS asigna automáticamente uno de los túneles activos como el túnel VPN preferido para enviar tráfico desde AWS a la red local. Con una configuración de tipo Activa/Activa, la puerta de enlace de cliente debe tener activado el Enrutamiento asimétrico en las interfaces del túnel virtual. Para más información, consulte ¿Cómo configuro mi conexión de Site-to-Site VPN para preferir el túnel A en lugar del túnel B?
Compruebe que no haya firewalls que bloqueen el tráfico a la instancia Amazon EC2 dentro de la VPC:

Para una instancia Windows de Amazon EC2: Abra una línea de comandos y, a continuación, ejecute el comando WF.msc.
Para una instancia Linux de Amazon EC2: Abra la terminal y, entonces, ejecute el comando iptables con los argumentos apropiados. Para más información sobre el comando iptables, ejecute el comando man iptables desde la terminal.
Si su dispositivo de puerta de enlace de cliente implementa una VPN basada en políticas: Tenga en cuenta que AWS limita el número de asociaciones de seguridad a un solo par. El par único incluye una asociación de seguridad de entrada y una de salida. Al usar una VPN basada en políticas, se recomienda configurar la dirección de origen de la red interna como 0.0.0.0/0. Entonces, defina la dirección de destino como la subred de la VPC (ejemplo: 192.168.0.0/16). Estas configuraciones dirigen el tráfico a la VPC y atraviesan la VPN sin crear asociaciones de seguridad adicionales. Para más información, consulte ¿Cómo soluciono los problemas de conexión entre un punto de conexión VPN de AWS y una VPN basada en políticas?

Si se descartan la conectividad de la instancia y las configuraciones de VPC como posibles causas principales

Ejecute la utilidad traceroute desde una sesión de terminal de Linux. O bien, ejecute la utilidad tracert desde una línea de comandos de Windows. Tanto traceroute como tracert deben ejecutarse desde su red interna en una instancia Amazon EC2 de la VPC a la que está conectada la VPN.

Si el resultado de traceroute se detiene en una dirección IP asociada a su red interna, compruebe que la ruta de enrutamiento al dispositivo VPN perimetral sea correcta.
Si la salida del tracert se detiene en una dirección IP asociada a su red interna, compruebe que la ruta de enrutamiento al dispositivo VPN perimetral sea la correcta.
Si comprueba que el tráfico de su red interna llega al dispositivo de puerta de enlace de cliente, pero no llega a la instancia EC2: Compruebe que la configuración de VPN, las políticas y las configuraciones de NAT de su puerta de enlace de cliente de VPN sean los correctos. A continuación, verifique que los dispositivos ascendentes, si los hay, permitan el flujo de tráfico.

Solución de problemas con el protocolo de puerta de enlace fronteriza (BGP)

Si el protocolo de puerta de enlace fronteriza (BGP) no funciona, asegúrese de haber definido el número de sistema autónomo (ASN) de BGP. El ASN es el número que usó al crear la puerta de enlace de cliente. El ASN asociado a la puerta de enlace de cliente se incluye en las propiedades de configuración de VPN descargables. Para más información, consulte Puerta de enlace privada virtual.

Puede usar un ASN existente que ya esté asignado a su red. Si no tiene ningún ASN asignado, puede usar un ASN privado en el rango de 64512 a 65534. El ASN configurado debe coincidir con el que proporcionó al crear la VPN en AWS. Asegúrese de que cualquier configuración de firewall local en la puerta de enlace de cliente permita que el tráfico de BGP pase a AWS. Para más información sobre la solución de problemas de conectividad de la puerta de enlace, consulte Solución de problemas del dispositivo de la puerta de enlace de cliente.

Información relacionada

¿Qué es la AWS Site-to-Site VPN?

VPC con subredes públicas y privadas y acceso AWS Site-to-Site VPN

VPC con solo una subred privada y acceso AWS Site-to-Site VPN

¿Cómo soluciono los problemas de conexión de BGP a través de una VPN?

Temas

Redes y entrega de contenido

Etiquetas

AWS Virtual Private Network (VPN)

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

El túnel VPN entre la puerta de enlace de cliente y la puerta de enlace privada virtual está activo, pero el tráfico no pasa por él. ¿Qué puedo hacer?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué falla el IKE (fase 1 de mi túnel VPN) en Amazon VPC?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo solucionar los problemas de conexión de BGP a través de una VPN?
OFICIAL DE AWSActualizada hace un año
¿Cómo compruebo el estado actual de mi túnel VPN?
OFICIAL DE AWSActualizada hace 2 años