Por que minha conexão do AWS Site-to-Site VPN está no status INATIVO IPSEC ATIVO quando o gateway do cliente está ATIVO?
O gateway do cliente configurado para o AWS Site-to-Site VPN está ATIVO, mas o console do AWS Site-to-Site VPN mostra que minha conexão está INATIVA.
Descrição breve
O console do Site-to-Site VPN pode mostrar que o status da sua conexão é IPSEC ATIVO, mas o status do túnel é INATIVO. Isso significa que a segurança de Protocolo Internet (IPsec) foi estabelecida, mas o Protocolo de Gateway da Borda (BGP) não está estabelecido. Para que uma conexão dinâmica do Site-to-Site VPN apareça como ATIVA no lado da AWS, tanto o IPSEC quanto o BGP devem estar estabelecidos com êxito.
Resolução
Confirmar se o gateway do cliente é compatível com o BGP
- Confirme se o gateway do cliente é compatível e está configurado com o BGP.
- Confirme se o lado on-premises da sua conexão usa o Site-to-Site VPN dinâmico (BGP) ou estático baseado em políticas ou o Site-to-Site VPN estático baseado em rotas. Se o lado on-premises estiver usando roteamento estático, você deverá recriar o Site-to-Site VPN no lado da AWS.
Quando você cria uma conexão do Site-to-Site VPN usando a AWS, a opção de roteamento dinâmico é selecionada por padrão. Se você criar uma conexão do Site-to-Site VPN sem escolher o roteamento estático, um Site-to-Site VPN dinâmico será criado. Não é possível modificar a opção de roteamento para uma conexão existente do Site-to-Site VPN e, portanto, você deve criar um novo Site-to-Site VPN para usar o roteamento estático.
Quando você exclui uma conexão do Site-to-Site VPN e cria uma nova conexão, um novo par de endereços IP públicos é atribuído aos túneis. Você deve reconfigurar o dispositivo de gateway do cliente e atualizar adequadamente os IPs públicos de pares. Contudo, ao criar uma nova conexão, é possível usar o túnel dentro dos IPs e a chave secreta pré-compartilhada da sua conexão anterior do Site-to-Site VPN. Não é necessário usar os detalhes gerados automaticamente pela AWS.
Verificar o domínio de criptografia e os IDs de proxy
- Confirme se o domínio de criptografia ou o ID de proxy configurado na AWS e no seu dispositivo de gateway do cliente é 0.0.0.0/0 = 0.0.0.0/0.
- No lado da AWS, verifique o CIDR da rede IPV4 local (CIDR on-premises) e o CIDR da rede IPv4 remota (CIDR da AWS).
- No gateway do cliente, siga as diretrizes fornecidas pelo fornecedor para verificar o domínio de criptografia e o ID de proxy.
- Se você ativou logs do Site-to-Site VPN para sua conexão, analise o grupo de logs do Amazon CloudWatch que contém seus logs do Site-to-Site VPN. Escolha o fluxo de logs para o endpoint associado do Site-to-Site VPN. Em seguida, escolha AWS tunnel Phase 2 SA is established with SPI (Túnel da AWS Fase 2 SA está estabelecida com SPI)** para filtrar os fluxos de log. Agora, você pode visualizar o seletor de tráfego negociado pelo gateway do cliente, supondo que o lado da AWS seja o padrão de 0.0.0.0/0 = 0.0.0.0/0.
O fluxo de logs está em um formato semelhante a vpn-id-VPN_Peer_IP-IKE.log. Veja o seguinte exemplo de saída:
{ "event_timestamp": 1673252138, "details": "AWS tunnel Phase 2 SA is established with inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors: (AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16", "dpd_enabled": true, "nat_t_detected": true, "ike_phase1_state": "established", "ike_phase2_state": "established"}
Observação: se você estiver usando uma conexão dinâmica do Site-to-Site VPN, o seletor de tráfego deverá ser amplo o suficiente para abranger todo o tráfego. Isso inclui endereços IP APIPA usados para pares BGP. No exemplo anterior, você atualiza o domínio de criptografia no seu dispositivo de gateway do cliente para 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0 (on-premises).
Se o lado da AWS da sua conexão tiver um domínio de criptografia específico definido, modifique as opções de conexão do Site-to-Site VPN. Certifique-se de que o CIDR da rede IPv4 local e o CIDR da rede IPv4 remota estejam definidos como 0.0.0.0/0.
Ativar o NAT-T para um Site-to-Site VPN acelerado
Você pode ter uma Site-to-Site VPN que termina em um gateway de trânsito com aceleração ativada. Com essa configuração, certifique-se de que o NAT-T esteja ativado no dispositivo de gateway do cliente.
Observação: o NAT-T deve estar ativado para um Site-to-Site VPN. Se o NAT-T não estiver ativado no dispositivo de gateway do cliente, o IPsec será estabelecido, mas nenhum tráfego fluirá pela conexão do Site-to-Site VPN. Isso inclui o tráfego BGP. Para mais informações, consulte Rules and restrictions (Regras e restrições) para o Site-to-Site VPN acelerado.
Solucionar problemas com o BGP
Se o problema persistir, revise as etapas em How do I troubleshoot BGP connection issues over VPN? (Como solucionar problemas de conexão BGP via VPN?)
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos