Como soluciono problemas de erros comuns de configuração de BYOIP na minha VPC?

Data da última atualização: 05/04/2022

Estou tentando configurar o recurso Bring Your Own IP (BYOIP – Traga seu próprio IP) para minha Amazon Virtual Private Cloud (Amazon VPC). Como posso solucionar erros comuns?

Breve descrição

Veja a seguir os erros comuns que podem ocorrer ao configurar o BYOIP na sua VPC:

  • A Route Origin Authorization (ROA – Autorização de origem de rota) não é válida ou não foi encontrada para o CIDR e os ASNs da Amazon fornecidos.
  • Um certificado X509 não foi encontrado nas observações do WHOIS.
  • O intervalo de IP não é um tipo de alocação aceitável no registro da Internet associado.
  • A assinatura CidrAuthorizationContext não pôde ser verificada com os certificados X509 nos registros Regional Internet Registries (RIR – Registros Regionais da Internet).
  • Seu endereço IP está preso no estado pending-provision (provisionamento pendente).

Resolução

Erro: a ROA não é válida ou não foi encontrada para o CIDR e o Amazon ASNs fornecidos

Crie uma ROA para autorizar os ASNs 16509 e 14618 da Amazon a anunciar seus intervalos de endereços. Pode levar até 24 horas para a ROA disponibilizar os ASNs para a Amazon.

Para confirmar a criação da ROA e o mapeamento de ASNs, use o WHOIS:

$ whois -h whois.bgpmon.net " --roa 16509 <Customer IP/CIDR> "
$ whois -h whois.bgpmon.net " --roa 14618 <Customer IP/CIDR> "

Exemplo de saída válida:

$ whois -h whois.example.com " --roa 14618 X.X.X.X/24"
0 - Valid
------------------------
ROA Details
------------------------
Origin ASN: AS14618
Not valid Before: 2019-02-20 05:00:00
Not valid After: 2020-02-20 05:00:00 Expires in 266d11h4m39s
Trust Anchor: rpki.arin.net
Prefixes: X.X.X.X/24 (max length /24)

Exemplo de saída inválida:

$ whois -h whois.example.com " --roa 14618 X.X.X.X/24"
2 - Not Valid: Invalid Origin ASN, expected 16509

Para evitar esse erro:

  • A ROA deve ser válida para ambos os ASNs durante o período em uso e ser específica para os intervalos de endereços que você está trazendo para a AWS. Para obter mais informações, consulte a seção Preparing your IP address range (Preparar seu intervalo de endereços IP) em Introducing Bring Your Own IP (BYOIP) for Amazon VPC (Apresentação do Bring Your Own IP (BYOIP – Traga seu próprio IP) para a Amazon VPC).
  • Aguarde 24 horas após criar uma ROA antes de provisionar novamente.

Erro: Nenhum certificado X509 pôde ser encontrado nas observações do WHOIS

Os motivos comuns para esse erro incluem o seguinte:

  • Um certificado não foi fornecido no registro RDAP do RIR.
  • Há caracteres de nova linha no certificado.
  • O certificado fornecido não é válido.
  • O certificado não é gerado a partir do par de chaves válido.

Certifique-se de criar e carregar o certificado corretamente. Para obter mais informações, consulte Criar um par de chaves para autenticação da AWS.

Para solucionar esse erro, verifique se o certificado carregado é válido. Você pode usar o WHOIS para verificar o registro do intervalo de rede no RIR.

Para ARIN:

whois -a <Public IP>

Verifique na seção Comments (Comentários) as informações sobre NetRange (intervalo de rede). Certifique-se de que o certificado seja adicionado à seção Public Comments (Comentários públicos) de seu intervalo de endereços.

Para RIPE:

whois -r <Public IP>

Verifique a seção descr do objeto inetnum (intervalo de rede) na tela do WHOIS. Certifique-se de que o certificado seja adicionado ao campo desc do seu intervalo de endereços.

Para APNIC:

whois -A <Public IP>

Verifique a seção remarks do objeto inetnum (intervalo de rede) na tela do WHOIS. Certifique-se de que o certificado esteja no campo remarks do seu intervalo de endereços.

Depois de concluir a verificação anterior, faça o seguinte:

1.    Se não houver um certificado, crie um certificado e carregue-o seguindo as recomendações descritas nesta seção Resolução.

2.    Se houver um certificado, verifique se não há novas linhas. Se houver novas linhas, remova conforme mostrado no exemplo a seguir:

openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

3.    Verifique se o certificado fornecido é válido. Para fazer isso, copie o conteúdo do certificado em um novo arquivo e execute o seguinte comando:

openssl x509 -in example.crt -text -noout

Se você receber um erro Unable to load certificate (Não foi possível carregar o certificado), adicione uma nova linha após BEGIN CERTIFICATE e outra nova linha antes de END CERTIFICATE.

4.    Se nenhuma das opções acima se aplicar, o certificado foi gerado usando um par de chaves incorreto.

Erro: O intervalo de IP não é um tipo de alocação aceitável no registro da Internet associado

Os possíveis motivos para esse erro incluem o seguinte:

  • O tipo de alocação RIR para o intervalo de endereços está incorreto.
  • O registro não é compatível.

Há cinco RIRs: AFRINIC, ARIN, APNIC, LACNIC e RIPE. A AWS aceita os prefixos registrados ARIN, RIPE e APNIC.

Para verificar o RIR, use o WHOIS:

whois <public ip>

Para RIPE: verifique se o Status é ALLOCATED PA (PA alocado), LEGACY (HERDADO) ou ASSIGNED PI (PI atribuído).

Para ARIN: verifique se NetType é Direct Allocation (Alocação direta) ou Direct Assignment (Atribuição direta).

Para APNIC: verifique se o Status é ALLOCATED PORTABLE (PORTÁTIL ALOCADO) ou ASSIGNED PORTABLE (PORTÁTIL ATRIBUÍDO).

Observação: alguns comentários podem indicar que os endereços dentro desse bloco não são portáteis. Esse comentário é uma confirmação adicional de que o RIR não pode provisionar esse intervalo de endereços.

O erro anterior ocorre pelos seguintes motivos:

  • Se o Status (para RIPE e APNIC) ou NetType (para ARIN) não for nenhum dos itens acima.
  • Se for um registro sem suporte.

Erro: A assinatura CidrAuthorizationContext não pôde ser verificada com os certificados X509 nos registros RIR

Quando você provisiona os intervalos de endereços, a AWS usa a chave pública derivada do certificado para verificar a assinatura na chamada de API aws ec2 provision-byoip-cidr. Esse erro indica uma falha na verificação criptográfica da assinatura fornecida.

A seguir estão os motivos comuns para o erro:

  • Você não está usando a assinatura correta ao provisionar.
  • Você assinou a mensagem com a chave privada errada.
  • Você carregou o certificado errado no registro RDAP com o RIR

Erro: Preso no estado “pending-provision” (provisionamento pendente)

Pode levar até uma semana para concluir o processo de provisionamento para intervalos publicitários. Use o comando describe-byoip-cidrs para monitorar o progresso, conforme mostrado no exemplo a seguir:

aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

Se o status mudar para failed-provision (falha no provisionamento), você deverá executar o comando provision-byoip-cidr novamente depois que os problemas forem resolvidos.

Para obter mais informações, consulte Provisionar um intervalo de endereços anunciado publicamente na AWS.


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?