Memecahkan masalah gateway NAT - Amazon Virtual Private Cloud
Pembuatan gateway NAT gagalKuota gateway NATKuota alamat IP ElastisAvailability Zone tidak didukunggateway NAT tidak lagi terlihatgateway NAT tidak menanggapi perintah pingInstans tidak dapat mengakses internetKoneksi TCP ke tujuan gagalOutput Traceroute tidak menampilkan alamat IP privat gateway NATKoneksi internet terputus setelah 350 detikKoneksi IPsec tidak dapat dibuatTidak dapat memulai lebih banyak koneksi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memecahkan masalah gateway NAT

Topik berikut membantu Anda memecahkan masalah umum yang mungkin Anda temui saat membuat atau menggunakan gateway NAT.

Pembuatan gateway NAT gagal

Masalah

Anda membuat gateway NAT dan berubah ke status Failed.

catatan

Gateway NAT yang gagal dihapus secara otomatis, biasanya sekitar satu jam.

Penyebab

Terjadi kesalahan saat gateway NAT dibuat. Pesan status kembali memberikan alasan untuk kesalahan.

Solusi

Untuk melihat pesan kesalahan, buka konsol Amazon VPC, dan kemudian pilih Gateway NAT. Pilih tombol radio untuk gateway NAT Anda, dan kemudian temukan Pesan status pada tab Detail.

Tabel berikut mencantumkan kemungkinan penyebab kegagalan seperti yang ditunjukkan dalam konsol Amazon VPC. Setelah menerapkan salah satu langkah perbaikan yang ditunjukkan, Anda dapat mencoba membuat gateway NAT lagi.

Kesalahan ditampilkan Penyebab Solusi
Subnet memiliki alamat gratis yang tidak mencukupi untuk membuat gateway NAT ini Subnet yang Anda tentukan tidak memiliki alamat IP privat gratis. Gateway NAT memerlukan antarmuka jaringan dengan alamat IP privat yang dialokasikan dari rentang subnet ini. Periksa berapa banyak alamat IP yang tersedia di subnet Anda dengan membuka halaman Subnet di konsol Amazon VPC. Anda dapat melihat IP yang tersedia di panel detail untuk subnet Anda. Untuk membuat alamat IP gratis di subnet Anda, Anda dapat menghapus antarmuka jaringan yang tidak terpakai, atau mengakhiri instans yang tidak Anda butuhkan.
Jaringan vpc-xxxxxxxx tidak memiliki gateway internet terpasang Gateway NAT harus dibuat dalam VPC dengan gateway internet. Buat dan lampirkan gateway internet ke VPC Anda. Untuk informasi selengkapnya, lihat Bekerja dengan gateway internet.
Alamat IP Elastis eipalloc-xxxxxxxx siap diasosiasikan Alamat IP Elastis yang Anda tentukan sudah dikaitkan dengan sumber daya lain, dan tidak dapat dikaitkan dengan gateway NAT. Periksa sumber daya mana yang terkait dengan alamat IP Elastis. Pergi ke halaman IP elastis di konsol Amazon VPC, dan tampilkan nilai-nilai yang ditentukan untuk ID instans atau ID antarmuka jaringan. Jika Anda tidak memerlukan alamat IP Elastis untuk sumber daya tersebut, Anda dapat memisahkannya. Atau, alokasikan alamat IP Elastis baru ke akun Anda. Untuk informasi selengkapnya, lihat Bekerja dengan alamat IP Elastis.

Kuota gateway NAT

Ketika Anda mencoba untuk membuat gateway NAT, Anda akan menerima pesan kesalahan berikut.

Performing this operation would exceed the limit of 5 NAT gateways
Penyebab

Anda telah mencapai kuota untuk jumlah gateway NAT untuk Availability Zone tersebut.

Solusi

Jika Anda telah mencapai kuota gateway NAT ini untuk akun Anda, Anda dapat melakukan salah satu hal berikut:

  • Meminta peningkatan Gateway NAT per kuota Availability Zone menggunakan konsol Service Quotas.

  • Periksa status gateway NAT Anda. Status dari Pending, Available, atau Deleting dihitung dari kuota Anda. Jika Anda baru saja menghapus gateway NAT, tunggu beberapa menit hingga status berjalan dari Deleting ke Deleted. Kemudian coba buat gateway NAT baru.

  • Jika Anda tidak memerlukan gateway NAT di Availability Zone tertentu, coba buat gateway NAT di Availability Zone yang belum mencapai kuota.

Untuk informasi selengkapnya, lihat Kuota Amazon VPC.

Kuota alamat IP Elastis

Masalah

Ketika Anda mencoba untuk mengalokasikan alamat IP elastis untuk gateway NAT publik Anda, Anda mendapatkan galat berikut.

The maximum number of addresses has been reached.
Penyebab

Anda telah mencapai kuota untuk jumlah alamat IP Elastis untuk akun Anda untuk Wilayah tersebut.

Solusi

Jika Anda telah mencapai kuota alamat IP Elastis, Anda dapat memisahkan alamat IP Elastis dari sumber daya lain. Atau, Anda dapat meminta penambahan kuota IP Elastis menggunakan konsol Service Quotas.

Availability Zone tidak didukung

Masalah

Ketika Anda mencoba untuk membuat gateway NAT, Anda akan menerima pesan kesalahan berikut. NotAvailableInZone.

Penyebab

Anda mungkin mencoba untuk membuat gateway NAT di Availability Zone terbatas - zona di mana kemampuan kita untuk memperluas dibatasi.

Solusi

Kami tidak dapat mendukung gateway NAT di Availability Zone ini. Anda dapat membuat gateway NAT di Availability Zone yang berbeda dan menggunakannya untuk subnet privat di zona dibatasi. Anda juga dapat memindahkan sumber daya Anda ke Availability Zone yang tidak terbatas sehingga sumber daya dan gateway NAT Anda berada di zona yang sama.

gateway NAT tidak lagi terlihat

Masalah

Anda membuat gateway NAT tapi tidak lagi terlihat di konsol Amazon VPC.

Penyebab

Mungkin ada kesalahan selama pembuatan gateway NAT Anda, dan pembuatan gagal. Sebuah gateway NAT dengan status Failed terlihat di konsol Amazon VPC selama sekitar satu jam). Setelah satu jam, secara otomatis dihapus.

Solusi

Tinjau informasi di Pembuatan gateway NAT gagal, dan coba buat gateway NAT baru.

gateway NAT tidak menanggapi perintah ping

Masalah

Ketika Anda mencoba untuk mengirim ping ke alamat IP Elastis gateway NAT atau alamat IP privat dari internet (misalnya, dari komputer rumah Anda) atau dari sebuah instans di VPC Anda, Anda tidak mendapatkan respons.

Penyebab

Sebuah gateway NAT hanya melewati lalu lintas dari sebuah instans dalam sebuah subnet privat ke internet.

Solusi

Untuk menguji apakah gateway NAT Anda berfungsi, lihat Uji gateway NAT publik.

Instans tidak dapat mengakses internet

Masalah

Anda membuat gateway NAT publik dan mengikuti langkah-langkah untuk mengujinya, tetapi perintah ping gagal, atau instans Anda di subnet privat tidak dapat mengakses internet.

Penyebab

Penyebab dari masalah ini mungkin salah satu dari yang berikut:

  • Gateway NAT tidak siap untuk melayani lalu lintas.

  • Tabel rute Anda tidak dikonfigurasi dengan benar.

  • Grup keamanan atau ACL jaringan memblokir lalu lintas masuk atau keluar.

  • Anda menggunakan protokol yang tidak didukung.

Solusi

Perhatikan informasi berikut:

  • Periksa bahwa gateway NAT dalam keadaan Available. Di konsol Amazon VPC, buka halaman gateway NAT dan tampilkan informasi status di panel detail. Jika gateway NAT dalam keadaan gagal, mungkin ada kesalahan saat dibuat. Untuk informasi selengkapnya, lihat Pembuatan gateway NAT gagal.

  • Periksa apakah Anda telah mengonfigurasi tabel rute dengan benar:

    • Gateway NAT harus berada di subnet publik dengan tabel rute yang merutekan lalu lintas internet ke gateway internet.

    • Instans Anda harus dalam subnet privat dengan tabel rute yang merutekan lalu lintas internet ke gateway NAT.

    • Periksa bahwa tidak ada entri tabel rute lain yang merutekan semua atau sebagian lalu lintas internet ke perangkat lain, bukan gateway NAT.

  • Pastikan bahwa aturan grup keamanan untuk instans pribadi Anda mengizinkan lalu lintas internet keluar. Agar perintah ping bekerja, aturan juga harus mengizinkan lalu lintas ICMP keluar.

    Gateway NAT itu sendiri mengizinkan semua lalu lintas keluar dan lalu lintas yang diterima dalam menanggapi permintaan keluar (oleh karena itu bersifat stateful).

  • Pastikan bahwa ACL jaringan yang terkait dengan subnet privat dan subnet publik tidak memiliki aturan yang memblokir lalu lintas internet masuk atau keluar. Agar perintah ping bekerja, aturan juga harus mengizinkan lalu lintas ICMP masuk dan keluar.

    Anda dapat mengaktifkan log alur untuk membantu Anda mendiagnosis koneksi yang terputus karena ACL jaringan atau aturan grup keamanan. Untuk informasi selengkapnya, lihat Mencatat lalu lintas IP menggunakan VPC Flow Logs.

  • Jika Anda menggunakan perintah ping, pastikan bahwa Anda mengirim ping ke host yang mengaktifkan ICMP. Jika ICMP tidak diaktifkan, Anda tidak akan menerima balasan paket. Untuk menguji ini, kirimkan perintah ping yang sama dari terminal baris perintah pada komputer Anda sendiri.

  • Periksa apakah instans Anda dapat mengirimkan ping ke sumber daya lain, misalnya, instans lain di subnet privat (dengan asumsi bahwa aturan grup keamanan mengizinkan ini).

  • Pastikan bahwa koneksi Anda menggunakan protokol TCP, UDP, atau ICMP saja.

Koneksi TCP ke tujuan gagal

Masalah

Beberapa koneksi TCP Anda dari instans di subnet privat untuk tujuan tertentu melalui gateway NAT berhasil, tetapi beberapa gagal atau waktu habis.

Penyebab

Penyebab dari masalah ini mungkin salah satu dari yang berikut:

  • Titik akhir tujuan merespons dengan paket TCP terfragmentasi. gateway NAT tidak support fragmentasi IP untuk TCP atau ICMP. Untuk informasi selengkapnya, lihat Bandingkan gateway NAT dan instans NAT.

  • Opsi tcp_tw_recycle diaktifkan pada server jarak jauh, yang diketahui menyebabkan masalah ketika ada beberapa koneksi dari belakang perangkat NAT.

Solusi

Verifikasi apakah titik akhir yang Anda coba koneksikan merespons dengan paket TCP terfragmentasi dengan melakukan hal berikut:

  1. Gunakan instans di subnet publik dengan alamat IP publik untuk memicu respons yang cukup besar untuk menyebabkan fragmentasi dari titik akhir tertentu.

  2. Gunakan utilitas tcpdump untuk memverifikasi bahwa titik akhir mengirim paket terfragmentasi.

    penting

    Anda harus menggunakan instans di subnet publik untuk melakukan pemeriksaan ini. Anda tidak dapat menggunakan instans dari mana koneksi asal gagal, atau instans di subnet privat di belakang gateway NAT atau instans NAT.

    Alat diagnostik yang mengirim atau menerima paket ICMP besar akan melaporkan kehilangan paket. Misalnya, perintah ping -s 10000 example.com tidak bekerja di belakang gateway NAT.

  3. Jika titik akhir mengirimkan paket TCP terfragmentasi, Anda dapat menggunakan instans NAT bukannya gateway NAT.

Jika Anda memiliki akses ke server jarak jauh, Anda dapat memverifikasi apakah opsi tcp_tw_recycle diaktifkan dengan melakukan hal berikut:

  1. Dari server, jalankan perintah berikut.

    cat /proc/sys/net/ipv4/tcp_tw_recycle

    Jika outputnya 1, maka opsi tcp_tw_recycle diaktifkan.

  2. Jika tcp_tw_recycle diaktifkan, kami sarankan menonaktifkannya. Jika Anda perlu menggunakan kembali koneksi, tcp_tw_reuse adalah opsi yang lebih aman.

Jika Anda tidak memiliki akses ke server jarak jauh, Anda dapat melakukan pengujian dengan menonaktifkan sementara opsi tcp_timestamps pada instans di subnet privat. Kemudian koneksikan ke server jarak jauh lagi. Jika koneksi berhasil, penyebab kegagalan sebelumnya mungkin terjadi karena tcp_tw_recycle diaktifkan pada server jarak jauh. Jika dimungkinkan, hubungi pemilik server jarak jauh untuk memverifikasi apakah opsi ini diaktifkan dan memintanya untuk dinonaktifkan.

Output Traceroute tidak menampilkan alamat IP privat gateway NAT

Masalah

Instans Anda dapat mengakses internet, tetapi ketika Anda melakukan perintah traceroute, output tidak menampilkan alamat IP privat gateway NAT.

Penyebab

Instans Anda mengakses internet menggunakan gateway yang berbeda, seperti gateway internet.

Solusi

Dalam tabel rute subnet di mana instans Anda berada, periksa informasi berikut:

  • Pastikan bahwa ada rute yang mengirimkan lalu lintas internet ke gateway NAT.

  • Pastikan tidak ada rute yang lebih spesifik yang mengirim lalu lintas internet ke perangkat lain, seperti virtual private gateway atau gateway internet.

Koneksi internet terputus setelah 350 detik

Masalah

Instans Anda dapat mengakses internet, namun koneksi akan terputus setelah 350 detik.

Penyebab

Jika koneksi yang menggunakan gateway NAT siaga selama 350 detik atau lebih, waktu koneksi akan habis.

Ketika waktu koneksi habis, gateway NAT mengembalikan paket RST untuk sumber daya di belakang gateway NAT yang mencoba untuk melanjutkan koneksi (tidak mengirim paket FIN).

Solusi

Untuk mencegah koneksi terhenti, Anda dapat memulai lebih banyak lalu lintas melalui koneksi tersebut. Atau, Anda dapat mengaktifkan TCP keepalive pada instans dengan nilai kurang dari 350 detik.

Koneksi IPsec tidak dapat dibuat

Masalah

Anda tidak dapat membuat koneksi IPsec ke tujuan.

Penyebab

Gateway NAT saat ini tidak support protokol IPsec.

Solusi

Anda dapat menggunakan NAT-Traversal (NAT-T) untuk merangkum lalu lintas IPsec di UDP, yang merupakan protokol yang di-support untuk gateway NAT. Pastikan bahwa Anda menguji konfigurasi NAT-T dan IPsec untuk memverifikasi bahwa lalu lintas IPsec Anda tidak terputus.

Tidak dapat memulai lebih banyak koneksi

Masalah

Anda memiliki koneksi yang ada ke tujuan melalui gateway NAT, tetapi Anda tidak dapat membuat lebih banyak koneksi.

Penyebab

Anda mungkin telah mencapai batas untuk koneksi simultan untuk gateway NAT tunggal. Untuk informasi selengkapnya, lihat Dasar gateway NAT. Jika instans Anda di subnet privat membuat sejumlah besar koneksi, Anda mungkin mencapai batas ini.

Solusi

Lakukan salah satu dari berikut:

  • Buat gateway NAT per Availability Zone dan sebarkan klien Anda di seluruh zona tersebut.

  • Buat gateway NAT tambahan di subnet publik dan pisahkan klien Anda menjadi beberapa subnet privat, masing-masing dengan rute ke gateway NAT yang berbeda.

  • Batasi jumlah koneksi ke tujuan yang dapat dibuat klien Anda.

  • Gunakan IdleTimeoutCountmetrik CloudWatch untuk memantau peningkatan koneksi idle. Tutup koneksi siaga untuk melepaskan kapasitas.

  • Buat Gateway NAT dengan beberapa alamat IP atau tambahkan alamat IP sekunder ke Gateway NAT yang ada. Setiap alamat IPv4 baru dapat mendukung hingga 55.000 koneksi bersamaan. Untuk informasi lebih lanjut, lihat Buat gateway NAT atau Edit asosiasi alamat IP sekunder.