¿Cómo soluciono los problemas de conectividad entre los recursos locales y Amazon VPC a través de Transit Gateway?

Resolución

Para solucionar problemas de conectividad entre los recursos locales y una VPC a través de Transit Gateway, haz lo siguiente:

Verificar las reglas de ACL de red y grupo de seguridad de la instancia

Sigue estos pasos:

1. Abre la consola de Amazon Elastic Compute Cloud (Amazon EC2).
2. En el panel de navegación, selecciona Instancias.
3. Selecciona la instancia Amazon EC2.
4. Selecciona la pestaña Seguridad.
5. Comprueba si Reglas de entrada y Reglas de salida permiten el tráfico hacia y desde la red local.
6. Abre la consola de Amazon VPC.
7. En el panel de navegación, selecciona ACL de red.
8. Selecciona la lista de control de acceso de la red (ACL de la red) para la subred de la instancia.
9. Selecciona Reglas de entrada y Reglas de salida. A continuación, comprueba si estas reglas permiten el tráfico hacia y desde la red local.

Comprobación de las conexiones de puerta de enlace de tránsito

Sigue estos pasos:

1. En el panel de navegación, selecciona Conexiones de puerta de enlace de tránsito.
2. Selecciona la vinculación de VPC.
3. En Detalles, comprueba si la vinculación de VPC incluye un ID de subred de la zona de disponibilidad de tu instancia de Amazon EC2.
4. Si la vinculación de VPC no incluye una subred de la zona de disponibilidad de la instancia, selecciona una subred de la zona de disponibilidad de la instancia. Para obtener instrucciones, consulta Modificar una vinculación de VPC en AWS Transit Gateway.
   Nota: El estado de modificación puede afectar al tráfico de datos al agregar o modificar una subred de conexiones de VPC.

Comprobación de las ACL de red para ver las interfaces de puerta de enlace de tránsito

Sigue estos pasos:

1. Abre la consola de Amazon EC2.
2. En el panel de navegación, selecciona Interfaces de red.
3. En la barra de búsqueda, escribe Transit Gateway.
4. Anota los ID de subred en los que Transit Gateway ha creado las interfaces.
5. Abre la consola de Amazon VPC.
6. En el panel de navegación, selecciona ACL de red.
7. En la barra de búsqueda, introduce un ID de subred que hayas anotado anteriormente. Los resultados muestran la ACL de red de la subred.
8. Comprueba si Reglas de entrada y Reglas de salida permiten el bloqueo de CIDR de la VPC y el bloqueo de CIDR de la red local.
9. Repite los pasos 6 a 8 para cada interfaz de red de puerta de enlace de tránsito asociada a la VPC.

Nota: El tráfico de una conexión de VPN o Direct Connect puede entrar en la VPC a través de una zona de disponibilidad o subred diferente a la zona de disponibilidad de la instancia. Comprueba las ACL de la red de todas las subredes que tienen interfaces de red. Para obtener más información sobre la aplicación de reglas de ACL de red, consulta Red ACL para pasarelas de tránsito en AWS Transit Gateway.

Verificar la configuración de la tabla de enrutamiento de subred

Sigue estos pasos:

1. Abre la consola de Amazon VPC.
2. En el panel de navegación, selecciona Tablas de enrutamiento.
3. Selecciona la tabla de enrutamiento para la instancia de origen.
4. Selecciona la pestaña Rutas.
5. Comprueba si Destino muestra la red local.
6. Comprueba si Objetivo muestra el ID de la puerta de enlace de tránsito.

Comprueba si hay una entrada de ruta para el bloque de CIDR de destino que apunte a la puerta de enlace de tránsito. Si no ves ninguna entrada de ruta, agrega una entrada a la tabla de enrutamiento correspondiente que apunte a la puerta de enlace de tránsito.

Consulta las tablas de enrutamiento de Transit Gateway para ver las vinculaciones de la VPC

Sigue estos pasos:

1. En el panel de navegación, selecciona Tablas de enrutamiento de Transit Gateway.
2. Selecciona la tabla de enrutamiento asociada a la vinculación de VPC.
3. En la pestaña Rutas, comprueba si existe una ruta para tu red local. Comprueba también si Objetivo muestra una vinculación de DXGW/VPN.
4. Si usas Site-to-Site VPN con una ruta estática, crea una ruta estática para la red local y selecciona Conexión de VPN como objetivo.

Consulta la tabla de enrutamiento de Transit Gateway para ver si hay una puerta de enlace de Direct Connect o una vinculación de VPN

Sigue estos pasos:

1. En el panel de navegación, selecciona Tablas de enrutamiento de Transit Gateway.
2. Selecciona la tabla de enrutamiento asociada a la puerta de enlace de AWS Direct Connect o a la vinculación de VPN.
3. En la pestaña Rutas, comprueba si existe una ruta para tu bloque de CIDR de VPC. A continuación, comprueba si el objetivo de la ruta es la vinculación de VPC de la puerta de enlace de tránsito correcta.

Comprobación de las puertas de enlace de Direct Connect para ver los prefijos permitidos

Sigue estos pasos:

1. Abre la consola de Direct Connect.
2. En el panel de navegación, selecciona Puertas de enlace de Direct Connect.
3. Selecciona la puerta de enlace Direct Connect que está asociada a la puerta de enlace de tránsito.
4. En Asociación de puertas de enlace, comprueba que el campo Prefijos permitidos incluye el bloque de CIDR de tu VPC.

Comprobación de la configuración del firewall de red o la configuración del dispositivo de firewall de terceros

Verifica si ha implementado un modelo de inspección centralizado para inspeccionar el tráfico norte-sur. Si ha implementado un modelo de inspección centralizado, verifica que el firewall de red de AWS tenga reglas de Suricata que permitan todo el tráfico necesario. Para obtener más información sobre Suricata, consulta Suricata en el sitio web oficial de Suricata. Para obtener más información sobre los modelos de inspección centralizados, consulta Deployment models for AWS Network Firewall (Modelos de implementación para la inspección del tráfico de AWS Network Firewall) y VPC-to-on-premises traffic inspection (Inspección de tráfico de VPC a local).

Si utilizas un dispositivo virtual de terceros para la inspección, asegúrate de que las reglas del firewall permitan todo el tráfico necesario.

Comprobación de las reglas de tráfico de VPC en los dispositivos de firewall locales

Comprueba que los dispositivos de firewall locales permitan todo el tráfico necesario entre ambas redes. Para obtener instrucciones, consulta la documentación del proveedor del firewall.

Comprobación de los firewalls del servidor local

Si el servidor local usa un firewall del sistema operativo (SO), comprueba que permita el tráfico hacia y desde el bloque de CIDR de la VPC.

Análisis de rutas con el analizador de rutas

Requisito previo: Crea una red global con AWS Global Networks.

Para analizar tus rutas con Route Analyzer for AWS Network Manager (Route Analyzer para AWS Network Manager) , sigue los siguientes pasos

1. Abre la consola de Amazon VPC.
2. En el panel de navegación, selecciona Network Manager.
3. Selecciona la red global en la que esté registrada tu puerta de enlace de tránsito.
4. En el panel de navegación, selecciona Red de puerta de enlace de tránsito. A continuación, selecciona Analizador de rutas.
5. En Origen y Destino, introduce una puerta de enlace de tránsito, la conexión de puerta de enlace de tránsito y una dirección IP. Asegúrate de usar la misma puerta de enlace de tránsito en los campos Origen y Destino.
6. Selecciona Ejecutar análisis de ruta.

Nota: Después de ejecutar el análisis de ruta, el analizador de rutas muestra el estado Conectado o No conectado. Si el estado es No conectado, aplica las recomendaciones de enrutamiento que proporciona el analizador de rutas y, a continuación, vuelve a ejecutar el análisis.

Información relacionada

¿Cómo soluciono los problemas de conectividad de VPC a VPC a través de una puerta de enlace de tránsito?

Diagnosing traffic disruption using AWS Transit Gateway Network Manager Route Analyzer (Diagnóstico de las interrupciones del tráfico con el analizador de rutas del Administrador de redes de AWS Transit Gateway)