Comment résoudre les erreurs de configuration BYOIP courantes dans mon VPC ?

Date de la dernière mise à jour : 05/04/2022

J'essaie de configurer Bring Your Own IP (BYOIP) pour mon cloud privé virtuel Amazon (Amazon VPC). Comment résoudre les erreurs les plus courantes ?

Brève description

Voici les erreurs courantes qui peuvent se produire lors de la configuration de BYOIP dans votre VPC :

  • L'autorisation d'origine de route (ROA, Route Origin Authorization) n'est pas valide ou n'est pas trouvée pour le CIDR et les ASN Amazon fournis.
  • Aucun certificat X509 n'a été trouvé dans les remarques WHOIS.
  • La plage d'adresses IP n'est pas un type d'allocation acceptable dans le registre Internet associé.
  • La signature CidrAuthorizationContext n'a pas pu être vérifiée avec les certificats X509 dans les enregistrements des registres Internet régionaux (RIR).
  • Votre adresse IP est bloquée dans l'état de allocation en attente.

Résolution

Erreur : Le ROA n'est pas valide ou est introuvable pour le CIDR et les ASN Amazon fournis

Créez un ROA pour autoriser les Amazon ASN 16509 et 14618 à publier vos plages d'adresses. Le ROA peut prendre jusqu'à 24 heures pour que les ASN soient disponibles pour Amazon.

Pour confirmer la création du ROA et le mappage ASN, utilisez WHOIS :

$ whois -h whois.bgpmon.net " --roa 16509 <Customer IP/CIDR> "
$ whois -h whois.bgpmon.net " --roa 14618 <Customer IP/CIDR> "

Exemple de sortie valide :

$ whois -h whois.example.com " --roa 14618 X.X.X.X/24"
0 - Valid
------------------------
ROA Details
------------------------
Origin ASN: AS14618
Not valid Before: 2019-02-20 05:00:00
Not valid After: 2020-02-20 05:00:00 Expires in 266d11h4m39s
Trust Anchor: rpki.arin.net
Prefixes: X.X.X.X/24 (max length /24)

Exemple de sortie non valide :

$ whois -h whois.example.com " --roa 14618 X.X.X.X/24"
2 - Not Valid: Invalid Origin ASN, expected 16509

Pour éviter cette erreur :

  • Le ROA doit être valide pour les deux ASN pour la période d'utilisation et être spécifique aux plages d'adresses que vous importez dans AWS. Pour plus d'informations, consultez la section Préparation de votre plage d'adresses IP dans Présentation de Bring Your Own IP (BYOIP).
  • Attendez 24 heures après la création d'un ROA avant de procéder à une nouvelle allocation.

Erreur : aucun certificat X509 n'a été trouvé dans les remarques WHOIS

Les raisons courantes de cette erreur sont les suivantes :

  • Aucun certificat n'a été fourni dans l'enregistrement RDAP pour le RIR.
  • Le certificat contient des caractères de fin de ligne.
  • Le certificat fourni n'est pas valide.
  • Le certificat n'est pas généré à partir de la paire de clés valide.

Assurez-vous de créer et de charger correctement le certificat. Pour plus d'informations, consultez Créer une paire de clés pour l'authentification AWS.

Pour résoudre cette erreur, vérifiez que le certificat chargé est valide. Vous pouvez utiliser WHOIS pour vérifier l'enregistrement de la plage réseau dans le RIR.

Pour ARIN :

whois -a <Public IP>

Consultez la section Comments (Commentaires) pour NetRange (Plage réseau). Assurez-vous que le certificat est ajouté dans la section Public Comments (Commentaires publics) pour votre plage d'adresses.

Pour RIPE :

whois -r <Public IP>

Vérifiez la section descr de l'objet inetnum (plage réseau) dans l'affichage WHOIS. Assurez-vous que le certificat est ajouté dans le champ desc de votre plage d'adresses.

Pour l'APNIC :

whois -A <Public IP>

Consultez la section des remarks (remarques) pour l'objet inetnum (plage réseau) dans l'affichage WHOIS. Assurez-vous que le certificat se trouve dans le champ de remarks (remarques) de votre plage d'adresses.

Après avoir effectué la vérification précédente, procédez comme suit :

1.    S'il n'y a pas de certificat, créez un certificat, puis chargez-le en suivant les recommandations présentées dans cette section Résolution.

2.    S'il existe un certificat, assurez-vous qu'il n'y a pas de caractères de fin de ligne. S'il y a des caractères de fin de ligne, supprimez-les comme indiqué dans l'exemple suivant :

openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

3.    Vérifiez que le certificat fourni est valide. Pour ce faire, copiez le contenu du certificat dans un nouveau fichier et exécutez la commande suivante :

openssl x509 -in example.crt -text -noout

Si vous recevez un message d'erreur unable to load certificate (impossible de charger le certificat), ajoutez une nouvelle ligne après BEGIN CERTIFICATE et une autre ligne avant END CERTIFICATE.

4.    Si aucune des conditions ci-dessus ne s'applique, le certificat a été généré à l'aide d'une paire de clés incorrecte.

Erreur : La plage d'adresses IP n'est pas un type d'allocation acceptable dans le registre Internet associé

Les raisons possibles de cette erreur sont les suivantes :

  • Le type d'allocation RIR pour la plage d'adresses est erroné.
  • Le registre n'est pas pris en charge.

Il existe cinq registres Internet régionaux (RIR) : AFRINIC, ARIN, APNIC, LACNIC et RIPE. Les préfixes enregistrés ARIN, RIPE et APNIC sont pris en charge par AWS.

Pour vérifier le RIR, utilisez WHOIS :

whois <public ip>

Pour RIPE : vérifiez que le Status (État) est ALLOCATED PA, LEGACY ou ASSIGNED PI.

Pour ARIN : vérifiez que le NetType (Type réseau) est Direct Allocation (Allocation directe) ou Direct Assignment (Affectation directe).

Pour APNIC : Vérifiez que Status (État) est ALLOCATED PORTABLE ou ASSIGNED PORTABLE.

Remarque : certains commentaires peuvent indiquer que les adresses de ce bloc ne sont pas portables. Ce commentaire est une confirmation supplémentaire que le RIR ne peut pas allouer cette plage d'adresses.

L'erreur précédente se produit pour les raisons suivantes :

  • Si le Status (État) (pour RIPE et APNIC) ou NetType (Type réseau) (pour ARIN) ne correspond pas à ces valeurs.
  • S'il s'agit d'un registre non pris en charge.

Erreur : La signature CidrAuthorizationContext n'a pas pu être vérifiée avec les certificats X509 dans les enregistrements RIR

Lorsque vous allouez les plages d'adresses, AWS utilise la clé publique dérivée du certificat pour vérifier la signature dans l'appel d'API aws ec2 provision-byoip-cidr. Cette erreur indique un échec de vérification cryptographique de la signature fournie.

Les raisons courantes de cette erreur sont les suivantes :

  • Vous n'utilisez pas la bonne signature lors de l'allocation.
  • Vous avez signé le message avec la mauvaise clé privée.
  • Vous avez chargé le mauvais certificat dans l'enregistrement RDAP avec le RIR

Erreur : bloqué dans l'état « allocation en attente »

Le processus d'allocation des plages pouvant être annoncées publiquement peut prendre jusqu'à une semaine. Utilisez la commande describe-byoip-cidrs pour surveiller la progression, comme illustré dans l'exemple suivant :

aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

Si l'état passe à failed-provision, vous devez réexécuter la commande provision-byoip-cidr une fois les problèmes résolus.

Pour plus d'informations, consultez Allocation d'une plage d'adresses publiée publiquement dans AWS.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?