Como solucionar problemas de conectividade do túnel VPN para um Amazon VPC?

Breve descrição

O modelo de rede do Amazon VPC oferece suporte a conexões de rede privada virtual (VPN) IPsec criptografadas e de padrão aberto com a infraestrutura da AWS. Estabelecer uma conexão de túnel VPN com um Amazon VPC inclui:

• Configuração do Internet Key Exchange (IKE) para o túnel VPN
• Configuração da segurança do protocolo Internet (IPsec) para o túnel VPN
• Configuração da lista de controle de acesso à rede (NACL)
• Configuração de regras do grupo de segurança do Amazon VPC
• Configuração da tabela de roteamento de rede da instância do Amazon Elastic Compute Cloud (Amazon EC2)
• Configuração do firewall da instância do Amazon EC2
• Configuração do gateway VPN, incluindo o Gateway privado virtual ou o Gateway de trânsito

Se estiver enfrentando problemas para estabelecer ou manter uma conexão VPN Site-to-Site a partir da seu Amazon VPC, tente o seguinte para resolver o problema.

Resolução

Se um túnel VPN Site-to-Site não puder ser estabelecido

Para resolver uma falha ao estabelecer um túnel VPN Site-to-Site, você deve determinar em qual fase a falha ocorreu:

• Se a fase do Internet Key Exchange (IKE) falhar, siga as etapas em Por que o IKE (fase 1 do meu túnel VPN) está falhando no Amazon VPC?
• Se a fase de segurança do protocolo de Internet (IPsec/fase 2) falhar, siga as etapas em Why is IPsec/Phase 2 for AWS Site-to-Site VPN failing to establish a connection?

Se túneis VPN Site-to-Site forem estabelecidos

Se os dois túneis VPN estiverem estabelecidos, siga estas etapas:

1. Abra o console do Amazon EC2 e visualize as listas de controle de acesso à rede (NACLs) na Amazon VPC. NACLs personalizadas podem afetar a capacidade da VPN conectada de estabelecer conectividade de rede. Para obter mais informações, consulte Trabalhar com ACLs de rede.
2. Siga as etapas em Update security group rules para ativar o acesso SSH, RDP e ICMP.
3. Verifique se as tabelas de rotas especificadas nas suas instâncias do Amazon EC2 estão corretas. Para obter mais informações, consulte Working with Route Tables.
4. Ao usar uma configuração Ativa/Ativa em que os dois túneis estão ativos: Ao usar Ativa/Ativa, a AWS atribui automaticamente um dos túneis ativos como o túnel VPN preferencial para enviar tráfego da AWS à rede on-premises. Com uma configuração Ativa/ativa, o gateway do cliente deve ter o Roteamento assimétrico ativado nas interfaces de túnel virtual. Para obter mais informações, consulte How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?
5. Verifique se não há firewalls bloqueando o tráfego para a instância do Amazon EC2 dentro da VPC:

• Para uma instância Windows do Amazon EC2: Abra um prompt de comando e execute o comando WF.msc.
• Para uma instância Linux do Amazon EC2: Abra o terminal e execute o comando iptables com os argumentos apropriados. Para obter mais informações sobre o comando iptables, execute o comando man iptables no terminal.
• Se o dispositivo de gateway do cliente implementa uma VPN baseada em políticas: Observe que a AWS limita o número de associações de segurança a um único par. O par único inclui uma associação de segurança de entrada e uma de saída. Ao usar uma VPN baseada em políticas, é uma prática recomendada configurar o endereço de origem da sua rede interna como 0.0.0.0/0. Em seguida, defina o endereço de destino como a sub-rede da VPC (exemplo: 192.168.0.0/16). Essas configurações direcionam o tráfego à VPC e a atravessam sem criar associações de segurança adicionais. Para obter mais informações, consulte Como soluciono problemas de conexão entre um endpoint VPN da AWS e uma VPN baseada em políticas?

Se a conectividade da instância e as configurações da VPC forem descartadas como possíveis causas básicas

Execute o utilitário traceroute em uma sessão de terminal do Linux. Ou execute o utilitário tracert a partir de um prompt de comando do Windows. Tanto traceroute quanto tracert devem ser executados da sua rede interna para uma instância do Amazon EC2 na VPC à qual a VPN está conectada.

• Se a saída de traceroute parar em um endereço IP associado à sua rede interna, verifique se o caminho de roteamento para o dispositivo de borda da VPN está correto.
• Se a saída de tracert parar em um endereço IP associado à sua rede interna, verifique se o caminho de roteamento para o dispositivo de borda da VPN está correto.
• Se você verificar se o tráfego da sua rede interna está chegando ao dispositivo de gateway do cliente, mas não consegue acessar a instância do EC2: Verifique se a configuração da VPN, as políticas e as configurações de NAT no gateway do cliente VPN estão corretas. Em seguida, verifique se os dispositivos upstream, se houver, estão permitindo fluxo de tráfego.

Solução de problemas com o Protocolo de Gateway da Borda (BGP)

Se o Protocolo de Gateway da Borda (BGP) estiver inativo, verifique se você definiu o Número de sistema autônomo (ASN) do BGP. O ASN é o número que você usou ao criar o gateway do cliente. O ASN associado ao gateway do cliente está incluído nas propriedades de configuração da VPN que podem ser baixadas. Para obter mais informações, consulte Virtual private gateway.

Você pode usar um ASN existente que já esteja atribuído à sua rede. Se um ASN não for atribuído, você poderá usar um ASN privado no intervalo de 64512 a 65534. O ASN configurado deve corresponder ao que você forneceu ao criar a VPN na AWS. Certifique-se de que qualquer configuração de firewall local no gateway do cliente permita que o tráfego do BGP passe para a AWS. Para obter mais informações sobre como solucionar problemas de conectividade de gateway, consulte Troubleshooting your customer gateway device.

---

Informações relacionadas

What is AWS Site-to-Site VPN?

VPC with public and private subnets and AWS Site-to-Site VPN access

VPC with a private subnet only and AWS Site-to-Site VPN access

Como soluciono problemas de conexão BGP pela VPN?