Como solucionar problemas com o Direct Connect e failover de VPN?

7 minuto de leitura

Quero solucionar problemas com o AWS Direct Connect e failover de VPN.

Resolução

Solucione os problemas com o AWS Direct Connect e failover de VPN com base na VPN sendo utilizada:

VPN baseada em gateway virtual
VPN baseada no AWS Transit Gateway

VPN baseada em gateway virtual

O tráfego da AWS para on-premises dá preferência ao Direct Connect em vez de conexões VPN dinâmicas ou estáticas. Seu tráfego pode não ser transmitido pelos seguintes motivos:

VPN baseada em BGP

O gateway do cliente não anuncia o prefixo on-premises da sessão BGP no túnel VPN.
O gateway do cliente filtra o prefixo anunciado na sessão BGP da VPN.
A política de firewall não permite tráfego de entrada ou saída entre AWS e on-premises.
Para conexões VPN com os dois túneis ativos (ativo/ativo), verifique se o gateway do cliente é compatível com roteamento assimétrico. A AWS escolherá aleatoriamente o túnel de saída se você anunciar os mesmos prefixos. Para obter mais informações, consulte Como configurar uma conexão Site-to-Site VPN para preferir o túnel A ao túnel B?
Uma rota estática para a rede da AWS aponta para o gateway de pares do Direct Connect em vez de depender de rotas BGP.

VPN estática

A conexão VPN não tem uma rota estática para a rede on-premises adicionada sob a rota de conexão VPN.
O gateway do cliente não tem uma rota estática para o CIDR da AWS que aponte para a interface de túnel. Se houver uma rota estática para a rede da AWS, garanta que ela aponte para a interface de túnel correta. Se você estiver usando uma VPN baseada em políticas, garanta que a política corresponda às redes on-premises e da AWS.
A política de firewall não permite tráfego de entrada ou saída entre AWS e on-premises.
Para conexões VPN com os dois túneis ativos (ativo/ativo), verifique se o gateway do cliente é compatível com roteamento assimétrico. A AWS escolherá aleatoriamente o túnel de saída se você anunciar os mesmos prefixos. Para obter mais informações, consulte Como configurar uma conexão Site-to-Site VPN para preferir o túnel A ao túnel B?

Gateway privado virtual

Para uma VPN como backup do Direct Connect que termina em um gateway privado virtual, certifique-se do seguinte:

Para VPNs dinâmicas, anuncie o mesmo prefixo na VPN e no Direct Connect. A AWS dá preferência ao Direct Connect. Para o dispositivo on-premises, garanta que o Direct Connect seja preferido como o caminho de saída para a AWS.
Para VPNs estáticas, use a mesma rota estática para a rede on-premises que a rota anunciada pelo gateway do cliente no Direct Connect. Os gateways privados virtuais dão preferência ao Direct Connect como caminho de saída para on-premises. Tenha uma rota menos específica para o CIDR da Amazon Virtual Private Cloud (Amazon VPC). As rotas estáticas nos gateways do cliente têm métricas mais baixas do que as rotas BGP.

Observação: para VPNs virtuais privadas baseadas em gateway, envie um valor MED de 100 e 200. Se não houver nenhum filtro de importação aplicado às rotas recebidas, o gateway do cliente dará preferência ao Direct Connect devido ao valor MED igual a 0.

VPN baseada no Transit Gateway

O Direct Connect associado ao Transit Gateway utiliza o gateway do Direct Connect e permite um máximo de 200 prefixos. Para VPNs dinâmicas, o Transit Gateway anuncia rotas com base na tabela de rotas do Transit Gateway associada à conexão VPN. Além disso, o gateway do cliente recebe prefixos específicos pela conexão VPN e prefere rotear os prefixos da AWS a partir do túnel de VPN.

Seu tráfego pode não ser transferido pelos seguintes motivos:

VPN baseada em BGP

O gateway do cliente não anuncia o prefixo on-premises da sessão BGP no túnel VPN.
O gateway do cliente filtra o prefixo anunciado na sessão BGP da VPN.
Tabela de rotas do Transit Gateway associada à origem do tráfego.
A política de firewall não permite tráfego de entrada ou saída entre AWS e on-premises.
Para conexões VPN com os dois túneis ativos (ativo/ativo), verifique se o gateway do cliente é compatível com roteamento assimétrico. A AWS escolherá aleatoriamente o túnel de saída se você anunciar os mesmos prefixos. Para obter mais informações, consulte Como configurar uma conexão Site-to-Site VPN para preferir o túnel A ao túnel B?
Uma rota estática para a rede da AWS aponta para o ponto do Direct Connect em vez de depender das rotas BGP.

VPN estática

A conexão VPN não tem uma rota estática para a rede on-premises incluída na tabela de rotas do Transit Gateway apontando para o anexo da conexão VPN.
O gateway do cliente não tem uma rota estática para o CIDR da AWS que aponte para a interface de túnel. Se houver uma rota estática para a rede da AWS, certifique-se de que ela aponte para a interface de túnel correta. Se você estiver usando uma VPN baseada em políticas, certifique-se de que a política corresponde às redes on-premises e da AWS.
A política de firewall não permite tráfego de entrada ou saída entre AWS e on-premises.
Para VPNs aceleradas, garanta que o NAT-T esteja ativado. Para obter mais informações, consulte Como solucionar problemas com VPN acelerada?
Para conexões VPN com os dois túneis ativos (ativo/ativo), verifique se o gateway do cliente é compatível com roteamento assimétrico. A AWS escolherá aleatoriamente o túnel de saída se você anunciar os mesmos prefixos. Para obter mais informações, consulte Como configurar uma conexão Site-to-Site VPN para preferir o túnel A ao túnel B?

Transit Gateway

Para uma VPN como backup do Direct Connect que termina em um Transit Gateway, certifique-se do seguinte:

Para VPNs dinâmicas, anuncie o mesmo prefixo na VPN e no Direct Connect. A AWS dá preferência ao Direct Connect. Para o dispositivo on-premises, filtre a rota específica aprendida por meio da conexão VPN. Garanta que o tráfego de saída do gateway do cliente prefira o Direct Connect à conexão VPN.
Para VPNs estáticas no lado da AWS, adicione rotas estáticas menos específicas para a rede on-premises no Transit Gateway apontando para o anexo de VPN. As rotas estáticas têm preferência às rotas propagadas pelo Direct Connect (o tráfego de saída em direção ao gateway do cliente prefere a VPN). No lado da rede on-premises, certifique-se de ter uma rota menos específica para o CIDR do Amazon VPC. As rotas estáticas têm métricas mais baixas do que as rotas BGP.

Observação: para conexões VPN baseadas no Transit Gateway, envie um valor MED igual a 100 em ambos os túneis VPN. Se não houver nenhum filtro de importação aplicado às rotas recebidas, o gateway do cliente dará preferência ao Direct Connect devido ao valor MED igual a 0.

Informações relacionadas

Como posso resolver problemas de roteamento assimétrico ao criar uma VPN como backup para o Direct Connect em um gateway de trânsito?

Como configurar o Direct Connect e failover de VPN com o Transit Gateway?

Eu tenho um gateway Direct Connect de conexão primária, com uma conexão VPN de backup. Por que o tráfego está priorizando a conexão de backup?

Tópicos

Rede e entrega de conteúdo

Conteúdo relevante

Como conecto filiais diferentes usando o AWS Site-to-Site VPN e o AWS Direct Connect?
AWS OFICIALAtualizada há um ano
Como soluciono problemas de conexão entre um endpoint VPN da AWS e uma VPN baseada em políticas?
AWS OFICIALAtualizada há um ano
Como configuro o Direct Connect e um failover de VPN com o Transit Gateway?
AWS OFICIALAtualizada há 10 meses
Como soluciono problemas de falha de conexão BGP por meio do AWS VPN ou do Direct Connect?
AWS OFICIALAtualizada há um ano