Come posso risolvere gli errori di configurazione BYOIP comuni nel mio VPC?

Ultimo aggiornamento: 05/04/2022

Sto cercando di configurare Bring Your Own IP (BYOIP) per Amazon Virtual Private Cloud (Amazon VPC). Come posso risolvere gli errori più comuni?

Breve descrizione

Di seguito sono riportati gli errori comuni che possono verificarsi durante la configurazione del BYOIP nel VPC:

  • La Route Origin Authorization (ROA) non è valida o non è stata trovata per il CIDR e gli ASN Amazon forniti.
  • Non è stato trovato un certificato X509 nelle osservazioni WHOIS.
  • L'intervallo IP non è un tipo di allocazione accettabile nel registro Internet associato.
  • La firma CidrAuthorizationContext non può essere verificata con i certificati X509 nei registri RIR (Regional Internet Registries).
  • Il tuo indirizzo IP è bloccato nello stato pending-provision.

Risoluzione

Errore: il ROA non è valido o non è stato trovato per il CIDR e gli ASN Amazon forniti

Crea un ROA per autorizzare gli ASN 16509 e 14618 di Amazon a pubblicizzare i tuoi intervalli di indirizzi. Potrebbero essere necessarie fino a 24 ore prima che il ROA renda disponibili gli ASN per Amazon.

Per confermare la creazione del ROA e la mappatura ASN, utilizza WHOIS:

$ whois -h whois.bgpmon.net " --roa 16509 <Customer IP/CIDR> "
$ whois -h whois.bgpmon.net " --roa 14618 <Customer IP/CIDR> "

Esempio di output valido:

$ whois -h whois.example.com " --roa 14618 X.X.X.X/24"
0 - Valid
------------------------
ROA Details
------------------------
Origin ASN: AS14618
Not valid Before: 2019-02-20 05:00:00
Not valid After: 2020-02-20 05:00:00 Expires in 266d11h4m39s
Trust Anchor: rpki.arin.net
Prefixes: X.X.X.X/24 (max length /24)

Esempio di output non valido:

$ whois -h whois.example.com " --roa 14618 X.X.X.X/24"
2 - Not Valid: Invalid Origin ASN, expected 16509

Per evitare questo errore:

  • Il ROA deve essere valido per entrambi gli ASN per il periodo in uso ed essere specifico per gli intervalli di indirizzi che stai portando in AWS. Per ulteriori informazioni, consulta la sezione Preparazione dell'intervallo di indirizzi IP in Introduzione a Bring Your Own IP (BYOIP).
  • Attendi 24 ore dopo la creazione di un ROA prima di effettuare nuovamente il provisioning.

Errore: non è stato trovato alcun certificato X509 nelle osservazioni WHOIS

I motivi più comuni di questo errore sono i seguenti:

  • Non è stato fornito un certificato nel record RDAP per il RIR.
  • Sono presenti nuovi caratteri di linea nel certificato.
  • Il certificato fornito non è valido.
  • Il certificato non viene generato dalla coppia di chiavi valida.

Assicurati di creare e caricare il certificato correttamente. Per ulteriori informazioni, consulta Creare una coppia di chiavi per l'autenticazione AWS.

Per risolvere questo errore, verifica che il certificato caricato sia valido. Puoi utilizzare WHOIS per controllare il record per l'intervallo di rete nel RIR.

Per ARIN:

whois -a <Public IP>

Controlla la sezione Commenti per il NetRange (intervallo di rete). Assicurati che il certificato sia aggiunto nella sezione Commenti pubblici per il tuo intervallo di indirizzi.

Per RIPE:

whois -r <Public IP>

Controlla la sezione descr per l'oggetto inetnum (range di rete) nel display WHOIS. Assicurati che il certificato sia aggiunto nel campo desc per il tuo intervallo di indirizzi.

Per APNIC:

whois -A <Public IP>

Controlla la sezione osservazioni per l'oggetto inetnum (intervallo di rete) nel display WHOIS. Assicurati che il certificato si trovi nel campo delle osservazioni per il tuo intervallo di indirizzi.

Dopo aver completato il controllo precedente, procedi come illustrato di seguito:

1.    Se non è presente un certificato, creane uno nuovo e caricalo seguendo i suggerimenti descritti nella sezione Risoluzione.

2.    Se è presente un certificato, assicurati che non ci siano nuove righe. Se ci sono nuove righe, rimuovile come mostrato nell'esempio seguente:

openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

3.    Verifica che il certificato fornito sia valido. Per fare ciò, copia il contenuto del certificato in un nuovo file ed esegui il seguente comando:

openssl x509 -in example.crt -text -noout

Se ricevi un errore che dice che è impossibile caricare il certificato, aggiungi una nuova riga dopo BEGIN CERTIFICATE e un'altra nuova riga prima di END CERTIFICATE.

4.    Se non si applica nessuna delle precedenti condizioni, il certificato è stato generato utilizzando una coppia di chiavi errata.

Errore: l'intervallo IP non è un tipo di allocazione accettabile nel registro Internet associato

Le possibili ragioni di questo errore sono le seguenti:

  • Il tipo di allocazione RIR per l'intervallo di indirizzi è errato.
  • Il registro non è supportato.

Esistono cinque registri Internet regionali (RIR): AFRINIC, ARIN, APNIC, LACNIC e RIPE. AWS supporta i prefissi registrati ARIN, RIPE e APNIC.

Per verificare il RIR, utilizza WHOIS:

whois <public ip>

Per RIPE: verifica che lo Status (Stato) sia ALLOCATO PA, LEGACY o ASSIGNED PI.

Per ARIN: verifica che il NetType (tipo di rete) sia Allocazione diretta o Assegnazione diretta.

Per APNIC: verificare che lo Status (Stato) sia ALLOCATO PORTABILE o ASSEGNATO PORTABLE.

Nota: alcuni commenti potrebbero indicare che gli indirizzi all'interno di questo blocco non sono portabili. Questo commento è un'ulteriore conferma che il RIR non è in grado di fornire questo intervallo di indirizzi.

L'errore precedente si verifica per i seguenti motivi:

  • Se lo Status (Stato) (per RIPE e APNIC) o NetType (tipo di rete) (per ARIN) non è nessuno dei precedenti.
  • Se si tratta di un registro non supportato.

Errore: la firma CidrAuthorizationContext non può essere verificata con i certificati X509 nei registri RIR

Quando esegui il provisioning degli intervalli di indirizzi, AWS utilizza la chiave pubblica derivata dal certificato per verificare la firma nella chiamata API di aws ec2 provision-byoip-cidr. Questo errore indica una mancata verifica crittografica della firma fornita.

Di seguito sono riportati i motivi più comuni di questo errore:

  • Non stai utilizzando la firma giusta durante il provisioning.
  • Hai firmato il messaggio con la chiave privata sbagliata.
  • Hai caricato il certificato sbagliato nel record RDAP con il RIR

Errore: bloccato nello stato "pending-provision"

Può essere necessaria fino a una settimana per completare il processo di provisioning per gli intervalli pubblicizzabili pubblicamente. Utilizza il comando describe-byoip-cidrs per monitorare l'avanzamento, come mostrato nell'esempio seguente:

aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

Se lo stato cambia in failed-provisioning, devi eseguire nuovamente il comando provision-byoip-cidr dopo che i problemi sono stati risolti.

Per ulteriori informazioni, consulta Provisioning di un intervallo di indirizzi pubblicizzato pubblicamente in AWS.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?