O túnel VPN entre meu gateway de cliente e meu gateway privado virtual está ativo, mas não consigo transmitir tráfego por ele. O que eu posso fazer?
4 minuto de leitura
0
Estabeleci uma conexão VPN entre o gateway do meu cliente e um gateway privado virtual, mas o tráfego não está passando por ele. Como soluciono esse problema?
Resolução
Para solucionar esse problema, confirme se o Amazon VPC, o gateway privado virtual e o gateway do cliente estão configurados corretamente.
Revisar a configuração do seu Amazon VPC e do seu gateway privado virtual
- Verifique se o gateway privado virtual associado à conexão VPN está conectado à sua Amazon VPC.
- Confirme se as redes privadas locais e VPC não estão sobrepostas porque as sub-redes sobrepostas podem causar problemas de roteamento no túnel VPN.
- Para conexões VPN baseadas em rotas estáticas, verifique se as rotas para suas redes privadas locais estão configuradas verificando a guia Rotas estáticas da sua conexão VPN.
- Para conexões VPN baseadas em BGP, verifique se a sessão BGP foi estabelecida. Verifique também se o gateway privado virtual está recebendo rotas BGP do gateway do cliente, verificando a guia Detalhes do túnel da sua conexão VPN.
- Configure sua tabela de rotas VPC para incluir as rotas para suas redes privadas locais. Direcione-as para seu gateway privado virtual para que as instâncias em seu Amazon VPC possam alcançar suas redes locais. Você pode adicionar manualmente essas rotas à tabela de rotas do VPC ou usar a propagação de rotas para propagar automaticamente essas rotas.
- Confirme se os grupos de segurança e as listas de controle de acesso (ACLs) da VPC estão configurados para permitir o tráfego necessário (ICMP, RDP, SSH) de e para suas sub-redes locais para tráfego de entrada e saída.
- Execute capturas de pacotes em várias instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em diferentes zonas de disponibilidade para confirmar que o tráfego do host local está chegando à sua Amazon VPC.
Revisar o gateway do seu cliente
- Confirme se a configuração IPsec em seu dispositivo VPN atende aos requisitos do gateway do cliente.
- Verifique se os pacotes do gateway do cliente estão sendo criptografados e enviados pelo túnel VPN.
- Para configurações baseadas em políticas, verifique os Detalhes da sua conexão VPN para verificar se os seletores de tráfego estão configurados corretamente. (Cidr de rede IPv4 local = faixa CIDR do Customer Gateway e Cidr de rede IPv4 remota = faixa CIDR do lado da AWS)
- Para configurações baseadas em políticas, certifique-se de limitar o número de políticas de criptografia a uma única política. Observação: a AWS suporta somente um par de associações de segurança (SAs) de fase 2 por túnel VPN.
- Se seus túneis VPN forem baseados em rotas, confirme se você configurou corretamente as rotas para seu VPC CIDR.
- Confirme se o tráfego enviado pelo túnel não está traduzido para o endereço IP do gateway do cliente da conexão VPN. Se você tiver um requisito específico para NAT em seu tráfego de VPN, configure-o usando um endereço IP diferente do endereço IP do gateway do cliente.
- Se o gateway do seu cliente não estiver por trás de um dispositivo NAT, é uma prática recomendada desativar o NAT-Traversal.
- Confirme se não há políticas de firewall ou ACLs interferindo no tráfego IPsec de entrada ou saída.
- Execute uma captura de pacotes para o tráfego ESP na interface WAN do seu dispositivo de gateway do cliente para confirmar que ele está enviando e recebendo pacotes criptografados.
Informações relacionadas
AWS OFICIALAtualizada há 2 anos
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano