Solución de problemas de AWS Client VPN

El siguiente tema le puede ayudar a solucionar los problemas que podrían presentarse con un punto de enlace de Client VPN.

Para obtener más información acerca de cómo solucionar los problemas del software basado en OpenVPN que utilizan los clientes para conectarse a Client VPN, consulte Solución de problemas de conexión de Client VPN en la Guía del usuario de AWS Client VPN .

No se puede resolver el nombre de DNS del punto de enlace de Client VPN

Problema

No puedo resolver el nombre de DNS del punto de enlace de Client VPN.

Causa

El archivo de configuración del punto de enlace de Client VPN contiene un parámetro llamado remote-random-hostname. Este parámetro obliga al cliente a prefijar una cadena aleatoria al nombre de DNS para evitar el almacenamiento en caché del DNS. Algunos clientes no reconocen este parámetro y, por lo tanto, no prefijan la cadena aleatoria requerida al nombre de DNS.

Solución

Abra el archivo de configuración del punto de enlace de Client VPN con el editor de texto que prefiera. Busque la línea que especifica el nombre de DNS del punto de enlace de Client VPN y asígnele como prefijo una cadena aleatoria de manera que el formato sea cadena_aleatoria.nombre_DNS_mostrado. Por ejemplo:

• Nombre de DNS original: cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com

• Nombre de DNS modificado: asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com

El tráfico no se divide entre subredes

Problema

Estoy tratando de dividir el tráfico de red entre dos subredes. El tráfico privado debe direccionarse a través de una subred privada, mientras que el tráfico de Internet debe direccionarse a través de una subred pública. Sin embargo, solo se utiliza una ruta, aunque he agregado las dos a la tabla de enrutamiento del punto de enlace de Client VPN.

Causa

Puede asociar varias subredes a un punto de enlace de Client VPN, pero solo puede asociar una subred por zona de disponibilidad. La finalidad de la asociación de varias subredes es proporcionar a los clientes alta disponibilidad y redundancia de zonas de disponibilidad. Sin embargo, la VPN de cliente no permite dividir el tráfico de forma selectiva entre las subredes asociadas con el punto de enlace de la VPN del cliente.

Los clientes se conectan a un punto de enlace de VPN de cliente basado en el algoritmo rotativo de DNS. Esto significa que su tráfico se puede direccionar a través de cualquiera de las subredes asociadas cuando establecen una conexión. Por lo tanto, pueden experimentar problemas de conectividad si acaban en una subred asociada que no tiene las entradas de rutas necesarias.

Por ejemplo, supongamos que configura las siguientes asociaciones y rutas de subred:

• Asociaciones de subred

  • Asociación 1: Subred A (us-east-1a)

  • Asociación 2: Subred B (us-east-1b)

• Rutas

  • Ruta 1:10.0.0.0/16 direccionada a la Subred A

  • Ruta 2:172.31.0.0/16 direccionada a la Subred B

En este ejemplo, los clientes que acaban en la Subred A cuando se conectan no pueden acceder a la Ruta 2, mientras que los clientes que acaban en la Subred B cuando se conectan no pueden acceder a la Ruta 1.

Solución

Compruebe que el punto de enlace de VPN de cliente tiene las mismas entradas de ruta con destinos para cada red asociada. Esto garantiza que los clientes tengan acceso a todas las rutas independientemente de la subred a través de la cual se direcciona su tráfico.

Las reglas de autorización para grupos de Active Directory no funcionan de la forma prevista

Problema

He configurado reglas de autorización para mis grupos de Active Directory, pero no funcionan como esperaba. He agregado una regla de autorización para 0.0.0.0/0 para autorizar el tráfico para todas las redes, pero el tráfico sigue fallando para los CIDR con destinos específicos.

Causa

Las reglas de autorización se indexan en los CIDR de red. Las reglas de autorización deben conceder acceso a los grupos de Active Directory a CIDR de red específicos. Las reglas de autorización para 0.0.0.0/0 se tratan como un caso especial y, por lo tanto, se evalúan en último lugar, independientemente del orden en que se creen las reglas de autorización.

Por ejemplo, supongamos que crea cinco reglas de autorización en el siguiente orden:

• Regla 1: Acceso del grupo 1 a 10.1.0.0/16

• Regla 2: acceso del grupo 1 a 0.0.0.0/0

• Regla 3: acceso del grupo 2 a 0.0.0.0/0

• Regla 4: acceso del grupo 3 a 0.0.0.0/0

• Regla 5: acceso del grupo 2 a 172.131.0.0/16

En este ejemplo, la regla 2, la regla 3 y la regla 4 se evalúan en último lugar. El Grupo 1 solo tiene acceso a 10.1.0.0/16 y el Grupo 2 solo tiene acceso a 172.131.0.0/16. El Grupo 3 no tiene acceso a 10.1.0.0/16 ni 172.131.0.0/16, pero tiene acceso a todas las demás redes. Si quita las reglas 1 y 5, los tres grupos tienen acceso a todas las redes.

Client VPN utiliza la coincidencia de prefijos más larga al evaluar las reglas de autorización. Consulte Prioridad de la ruta en la Guía del usuario de Amazon VPC para obtener más información.

Solución

Compruebe que las reglas de autorización que crea conceden explícitamente a los grupos de Active Directory acceso a CIDR de red específicos. Si agrega una regla de autorización para 0.0.0.0/0, tenga en cuenta que se evaluará en último lugar y que las reglas de autorización anteriores podrían limitar las redes a las que concede acceso.

Los clientes no pueden acceder a una VPC interconectada, a Amazon S3 o a Internet

Problema

He configurado correctamente las rutas del punto de enlace de Client VPN, pero mis clientes no pueden acceder a una VPC interconectada, a Amazon S3 ni a Internet.

Solución

El siguiente diagrama de flujo contiene los pasos para diagnosticar problemas de conectividad de Internet, de las VPC interconectadas y de Amazon S3.

1. Para obtener acceso a Internet, agregue una regla de autorización para 0.0.0.0/0.

   Para obtener acceso a una VPC interconectada, agregue una regla de autorización para el rango de CIDR IPv4 de la VPC.

   Para obtener acceso a S3, especifique la dirección IP del punto de enlace de Amazon S3.

2. Compruebe si puede resolver el nombre de DNS.

   Si no puede resolver el nombre de DNS, compruebe que ha especificado los servidores DNS del punto de enlace de Client VPN. Si administra su propio servidor DNS, especifique su dirección IP. Compruebe que el servidor DNS sea accesible desde la VPC.

   Si no está seguro de qué dirección IP especificar para los servidores DNS, especifique el solucionador de DNS de VPC en la dirección IP .2 de la VPC.

3. Para el acceso a Internet, compruebe si puede hacer ping a una dirección IP pública o a un sitio web público, por ejemplo, amazon.com. Si no obtiene respuesta, asegúrese de que la tabla de enrutamiento de las subredes asociadas tiene una ruta predeterminada que está dirigida a una gateway de Internet o a una gateway NAT. Si la ruta está en su lugar, compruebe que la subred asociada no tenga reglas de listas de control de acceso de red que bloqueen el tráfico entrante y saliente.

   Si no puede conectarse a una VPC interconectada, compruebe que la tabla de enrutamiento de la subred asociada tenga una entrada de ruta para la VPC interconectada.

   Si no puede conectarse a Amazon S3, compruebe que la tabla de enrutamiento de la subred asociada tiene una entrada de ruta para el punto de enlace de la VPC de la gateway.

4. Compruebe si puede hacer ping a una dirección IP pública con una carga superior a 1400 bytes. Utilice uno de los siguientes comandos:

   • Windows

     C:\> ping  8.8.8.8 -l 1480 -f

   • Linux

     $ ping -s 1480 8.8.8.8 -M do

   Si no puede hacer ping a una dirección IP con una carga superior a 1400 bytes, abra el archivo de configuración .ovpn del punto de enlace de Client VPN utilizando el editor de texto que prefiera y agregue lo siguiente.

   mssfix 1328

El acceso a una VPC interconectada, a Amazon S3 o a Internet es intermitente

Problema

Tengo problemas de conectividad intermitentes cuando me conecto a una VPC interconectada, a Amazon S3 o a Internet, pero el problema no ocurre cuando me conecto a las subredes asociadas. Tengo que desconectarme y volver a conectarme para resolver los problemas de conectividad.

Causa

Los clientes se conectan a un punto de enlace de VPN de cliente basado en el algoritmo rotativo de DNS. Esto significa que su tráfico se puede direccionar a través de cualquiera de las subredes asociadas cuando establecen una conexión. Por lo tanto, pueden experimentar problemas de conectividad si acaban en una subred asociada que no tiene las entradas de rutas necesarias.

Solución

Compruebe que el punto de enlace de VPN de cliente tiene las mismas entradas de ruta con destinos para cada red asociada. Esto garantiza que los clientes tengan acceso a todas las rutas independientemente de la subred asociada a través de la cual se direcciona su tráfico.

Por ejemplo, supongamos que su punto de enlace de VPN de cliente tiene tres subredes asociadas (Subred A, B y C) y desea habilitar el acceso a Internet para sus clientes. Para ello, debe agregar tres rutas de 0.0.0.0/0 que se dirijan a cada subred asociada:

• Ruta 1: 0.0.0.0/0 para la Subred A

• Ruta 2: 0.0.0.0/0 para la Subred B

• Ruta 3: 0.0.0.0/0 para la Subred C

El software cliente devuelve un error de TLS

Problema

Antes podía conectar mis clientes a Client VPN sin ningún problema, pero ahora el cliente basado en OpenVPN devuelve uno de los siguientes errores cuando intenta conectarse:

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) 
TLS Error: TLS handshake failed

Connection failed because of a TLS handshake error. Contact your IT administrator.

Causa posible n.º 1

Si utiliza la autenticación mutua y ha importado una lista de revocación de certificados de cliente, es posible que la lista de revocación de certificados de cliente haya caducado. Durante la fase de autenticación, el punto de enlace de Client VPN comprueba el certificado de cliente en la lista de revocación de certificados de cliente que ha importado. Si esta lista ha caducado, no puede conectarse al punto de enlace de Client VPN.

Solución n.º 1

Compruebe la fecha de caducidad de su lista de revocación de certificados de cliente con la herramienta OpenSSL.

$ openssl crl -in path_to_crl_pem_file -noout -nextupdate

La salida muestra la fecha y la hora de caducidad. Si la lista de revocación de certificados de cliente ha caducado, debe crear una nueva e importarla al punto de enlace de Client VPN. Para obtener más información, consulte Listas de revocación de certificados del cliente.

Causa posible n.º 2

El certificado de servidor que se utiliza para el punto de conexión de Client VPN ha caducado.

Solución n.º 2

Compruebe el estado del certificado de servidor en la AWS Certificate Manager consola o mediante la AWS CLI. Si el certificado del servidor ha caducado, cree uno nuevo y cárguelo en ACM. Para conocer los pasos detallados para generar los certificados y las claves del servidor y del cliente mediante la utilidad easy-rsa de OpenVPN e importarlos a ACM, consulte Autenticación mutua.

También es posible que haya un problema con el software basado en OpenVPN que el cliente está utilizando para conectarse a Client VPN. Para obtener más información acerca de cómo solucionar los problemas del software basado en OpenVPN, consulte Solución de problemas de la conexión de Client VPN en la AWS Client VPN Guía del usuario.

El software cliente devuelve errores de nombre de usuario y contraseña (autenticación de Active Directory)

Problema

Utilizo la autenticación de Active Directory con el punto de enlace de Client VPN y antes podía conectar los clientes a Client VPN correctamente. Pero ahora los clientes están recibiendo errores de nombre de usuario y contraseña no válidos.

Causas posibles

Si utiliza la autenticación de Active Directory y ha habilitado la autenticación multifactor (MFA) después de distribuir el archivo de configuración del cliente, el archivo no contiene la información necesaria para solicitar a los usuarios que introduzcan su código MFA. A los usuarios se les pide que introduzcan únicamente su nombre de usuario y contraseña, por lo que la autenticación falla.

Solución

Descargue un nuevo archivo de configuración de cliente y distribúyalo entre sus clientes. Compruebe que el archivo contenga la siguiente línea.

static-challenge "Enter MFA code " 1

Para obtener más información, consulte Exportar y configurar el archivo de configuración del cliente. Pruebe la configuración de MFA de Active Directory sin utilizar el punto de enlace de Client VPN para comprobar que MFA funciona de la forma prevista.

El software cliente devuelve errores de nombre de usuario y contraseña (autenticación federada)

Problema

Al intentar iniciar sesión con un nombre de usuario y una contraseña con autenticación federada, aparece el error «Las credenciales recibidas son incorrectas». Póngase en contacto con su administrador de TI».

Causa

Este error puede deberse a que no se incluye al menos un atributo en la respuesta SAML del IdP.

Solución

Asegúrese de incluir al menos un atributo en la respuesta SAML del IdP. Para obtener más información, consulte Recursos de configuración de IdP basados en SAML.

Los clientes no pueden conectarse (autenticación mutua)

Problema

Utilizo la autenticación mutua con el punto de enlace de Client VPN. Los clientes están recibiendo errores de negociación de claves TLS y errores de tiempo de espera.

Causas posibles

El archivo de configuración proporcionado a los clientes no contiene el certificado del cliente y la clave privada del cliente, o el certificado y la clave son incorrectos.

Solución

Asegúrese de que el archivo de configuración contiene el certificado de cliente y la clave correctos. Si es necesario, corrija el archivo de configuración y vuelva a distribuirlo entre sus clientes. Para obtener más información, consulte Exportar y configurar el archivo de configuración del cliente.

El cliente devuelve un error que indica que se ha superado el tamaño máximo de las credenciales (autenticación federada)

Problema

Utilizo la autenticación federada con el punto de enlace de Client VPN. Cuando los clientes escriben el nombre de usuario y la contraseña en la ventana del navegador del proveedor de identidades (IdP) basado en SAML, reciben un error que indica que las credenciales superan el tamaño máximo admitido.

Causa

La respuesta SAML que devuelve el IdP supera el tamaño máximo admitido. Para obtener más información, consulte Requisitos y consideraciones de la autenticación federada basada en SAML.

Solución

Pruebe a reducir el número de grupos a los que pertenece el usuario en el IdP e intente conectarse de nuevo.

El cliente no abre el navegador (autenticación federada)

Problema

Utilizo la autenticación federada con el punto de enlace de Client VPN. Cuando los clientes intentan conectarse al punto de enlace, el software del cliente no abre una ventana del navegador y, en su lugar, se muestra una ventana emergente para el nombre de usuario y la contraseña.

Causa

El archivo de configuración proporcionado a los clientes no contiene la marca auth-federate.

Solución

Exporte el archivo de configuración más reciente, impórtelo al cliente AWS proporcionado e intente conectarse de nuevo.

El cliente devuelve un error que indica que no hay puertos disponibles (autenticación federada)

Problema

Utilizo la autenticación federada con el punto de enlace de Client VPN. Cuando los clientes intentan conectarse al punto de enlace, el software de cliente devuelve el siguiente error:

The authentication flow could not be initiated. There are no available ports. 

Causa

El cliente AWS proporcionado requiere el uso del puerto TCP 35001 para completar la autenticación. Para obtener más información, consulte Requisitos y consideraciones de la autenticación federada basada en SAML.

Solución

Compruebe que el dispositivo del cliente no está bloqueando el puerto TCP 35001 ni lo está utilizando para otro proceso.

La conexión VPN se interrumpió debido a una discordancia de IP

Problema

La conexión VPN ha finalizado y el software del cliente devuelve el siguiente error: "The VPN connection is being terminated due to a discrepancy between the IP address of the connected server and the expected VPN server IP. Please contact your network administrator for assistance in resolving this issue."

Causa

El cliente AWS proporcionado requiere que la dirección IP a la que está conectado coincida con la IP del servidor VPN que respalda el punto final Client VPN. Para obtener más información, consulte Reglas y prácticas recomendadas de AWS Client VPN.

Solución

Compruebe que no haya ningún proxy DNS entre el cliente AWS proporcionado y el punto final Client VPN.

El enrutamiento del tráfico a la LAN no funciona según lo esperado

Problema

El intento de enrutar el tráfico a la red de área local (LAN) no funciona según lo esperado cuando los rangos de direcciones IP de la LAN no se encuentran dentro de los siguientes rangos de direcciones IP privadas estándar: 10.0.0.0/8 172.16.0.0/12192.168.0.0/16,, o169.254.0.0/16.

Causa

Si se detecta que el rango de direcciones LAN del cliente se encuentra fuera de los rangos estándar anteriores, el punto final de Client VPN enviará automáticamente la directiva de OpenVPN «redirect-gateway block-local» al cliente, obligando a todo el tráfico de la LAN a entrar en la VPN. Para obtener más información, consulte Reglas y prácticas recomendadas de AWS Client VPN.

Solución

Si necesita acceso a una LAN durante las conexiones a la VPN, se recomienda que utilice los rangos de direcciones convencionales enumerados anteriormente para su LAN.

Comprobación del límite de ancho de banda de un punto de enlace de Client VPN

Problema

Tengo que comprobar el límite de ancho de banda de un punto de enlace de Client VPN.

Causa

El rendimiento depende de varios factores, como la capacidad de la conexión desde su ubicación y la latencia de red entre la aplicación de escritorio de Client VPN del equipo y el punto de enlace de la VPC. También hay un límite de ancho de banda de 10 Mbps por conexión de usuario.

Solución

Ejecute los siguientes comandos para verificar el ancho de banda.

sudo iperf3 -s -V

En el cliente:

sudo iperf -c server IP address -p port -w 512k -P 60