¿Por qué no puedo usar una puerta de enlace de NAT para acceder a Internet desde mis instancias de Amazon EC2?

Resolución

Los problemas de conectividad a Internet con las puertas de enlace de NAT pueden producirse debido a problemas de configuración de subred o rutas que faltan.

Uso del Analizador de accesibilidad para comprobar la conectividad

Para comprobar si se puede acceder a una ruta, utiliza el Analizador de accesibilidad.

En primer lugar, crea y analiza una ruta. En Tipo de origen, elige Instancias y, a continuación, selecciona tu instancia. En Tipo de destino, elige Puertas de enlace de Internet y, a continuación, selecciona la puerta de enlace por la que deseas pasar como destino. A continuación, consulta los resultados para identificar si la ruta es accesible. Si no se puede acceder a ella, analiza la ruta y actualiza la configuración según sea necesario.

Comprobación de las configuraciones de subred

Confirma que las tablas de enrutamiento tengan las siguientes configuraciones:

• La puerta de enlace de NAT está en una subred pública con una tabla de enrutamiento que dirige el tráfico de Internet a una puerta de enlace de Internet.
• Tu instancia está en una subred privada con una tabla de enrutamiento que dirige el tráfico de Internet a la puerta de enlace de NAT.
• No hay otras entradas de la tabla de enrutamiento que dirijan todo o parte del tráfico de Internet a otro dispositivo en lugar de a la puerta de enlace de NAT.

Asegúrate de que los grupos de seguridad y las listas de control de acceso de la red (ACL) asociados a la instancia de origen permitan el tráfico saliente. La subred donde se inicia la puerta de enlace de NAT debe tener una ACL de la red asociada que permita el tráfico entrante desde las instancias y los hosts de Internet. La ACL de la red también debe permitir el tráfico saliente a los hosts de Internet y a las instancias.

Comprueba que la puerta de enlace de NAT esté en estado Disponible. Para ver el estado de la puerta de enlace de NAT, abre la consola de Amazon Virtual Private Cloud (Amazon VPC). Navega hasta la página de puertas de enlace de NAT y, a continuación, consulta la información de estado en el panel de detalles. Si la puerta de enlace de NAT está en un estado fallido, es posible que se haya producido un error durante la creación de la puerta de enlace de NAT. Para obtener más información, consulta Fallos en la creación de la puerta de enlace de NAT.

Para ayudarte a diagnosticar las conexiones interrumpidas debido a reglas de grupos de seguridad o ACL de la red, activa los registros de flujo de la VPC.

Si usas el comando ping, asegúrate de hacer ping a un host que tenga activado el protocolo de control de mensajes de Internet (ICMP). Si el host no tiene ICMP activado, no recibirás paquetes de respuesta. Para comprobar si el host tiene ICMP activado, ejecuta el mismo comando ping desde el terminal de la línea de comandos de tu ordenador.

Comprueba que tu instancia pueda hacer ping a otros recursos, como otras instancias de la subred privada.

Nota: Asegúrate de que las reglas del grupo de seguridad te permitan hacer ping a otros recursos.

Comprueba que tu conexión solo utilice un protocolo TCP, UDP o ICMP.

Para permitir que las instancias accedan a un sitio web HTTPS, la ACL de la red asociada a la subred de la puerta de enlace de NAT debe tener las siguientes reglas.

Reglas de entrada:

Reglas de salida: