Risoluzione dei problemi relativi ai gateway NAT - Amazon Virtual Private Cloud
Creazione gateway NAT non riuscitaQuota gateway NATQuota degli indirizzi IP elasticiLa zona di disponibilità non è supportataIl gateway NAT non è più visibileIl gateway NAT non risponde a un comando pingLe istanze non possono accedere a InternetLa connessione TCP a una destinazione non va a buon fineL'output di tracciamento non visualizza l'indirizzo IP privato del gateway NATConnessione Internet interrotta dopo 350 secondiImpossibile stabilire connessione IPsecImpossibile avviare più connessioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi relativi ai gateway NAT

I seguenti argomenti consentono di risolvere alcuni problemi comuni che si possono verificare durante la creazione o l'utilizzo di un gateway NAT.

Creazione gateway NAT non riuscita

Problema

Si crea un gateway NAT che passa allo stato Failed.

Nota

Un gateway NAT non riuscito viene eliminato automaticamente, solitamente in circa un'ora.

Causa

Si è verificato un errore al momento della creazione del gateway NAT. Il messaggio di stato restituito fornisce il motivo dell'errore.

Soluzione

Per visualizzare il messaggio di errore, passa alla console Amazon VPC e seleziona Gateway NAT. Seleziona il pulsante di opzione per il gateway NAT, quindi cerca Messaggio di stato nella scheda Dettagli .

Nella seguente tabella vengono elencate le possibili cause di errore come indicato nella console Amazon VPC. Dopo aver applicato le procedure indicate per correggere il problema, puoi provare a creare nuovamente un gateway NAT.

Errore visualizzato Causa Soluzione
La sottorete non dispone di indirizzi liberi sufficienti per creare questo gateway NAT La sottorete specificata non dispone di indirizzi IP privati liberi. Il gateway NAT richiede un'interfaccia di rete con un indirizzo IP privato allocato dall'intervallo della sottorete. Verificare quanti indirizzi IP sono disponibili nella sottorete andado alla pagina Subnets (Sottoreti) nella console Amazon VPC. Si possono visualizzare gli Available IPs (IP disponibili nel riquadro dei dettagli della sottorete. Per creare indirizzi IP liberi nella sottorete, puoi eliminare interfacce di rete non utilizzate o terminare istanze non richieste.
Rete vpc-xxxxxxxx senza Internet Gateway collegato Un gateway NAT deve Essere creato in un VPC con un Internet Gateway. Creare E collegare un Internet Gateway al VPC. Per ulteriori informazioni, consulta Aggiungere l'accesso a Internet a una sottorete.
L'indirizzo IP elastico eipalloc-xxxxxxxx è già associato L'indirizzo IP elastico specificato è già associato a un'altra risorsa e non può essere associato al gateway NAT. Controlla quale risorsa è associata all'indirizzo IP elastico. Vai alla pagina Elastic IPs (IP elastici) nella console Amazon VPC e visualizza i valori specificati per l'ID istanza o l'ID interfaccia di rete. Se l'indirizzo IP elastico per tale risorsa non è richiesto, puoi annullare l'associazione. In alternativa, alloca un nuovo indirizzo IP elastico nell'account. Per ulteriori informazioni, consulta Inizia a utilizzare indirizzi IP elastici.

Quota gateway NAT

Quando provi a creare un gateway NAT, ricevi il seguente errore.

Performing this operation would exceed the limit of 5 NAT gateways
Causa

Hai raggiunto la quota di gateway NAT per l'account in quella zona di disponibilità.

Soluzione

Se hai raggiunto questa quota di gateway NAT per il tuo account, puoi effettuare una delle seguenti operazioni:

  • Richiedere un aumento dei gateway NAT per quota di zona di disponibilità utilizzando la console Service Quotas.

  • Verifica lo stato del gateway NAT. Lo stato Pending, Available o Deleting conta ai fini del raggiungimento della quota. Se recentemente hai eliminato un gateway NAT, attendi alcuni minuti finché lo stato passa da Deleting a Deleted. Prova quindi a creare un nuovo gateway NAT.

  • Se il gateway NAT non è necessario in una zona di disponibilità specifica, prova a creare un gateway NAT in una zona di disponibilità in cui la quota non è stata raggiunta.

Per ulteriori informazioni, consulta VPCQuote Amazon.

Quota degli indirizzi IP elastici

Problema

Quando si prova ad allocare un indirizzo IP elastico per il gateway NAT pubblico, viene visualizzato il seguente errore.

The maximum number of addresses has been reached.
Causa

Hai raggiunto la quota di indirizzi IP elastici per l'account in quella regione.

Soluzione

Se è stata raggiunta la quota di indirizzi IP elastici, puoi disassociare un indirizzo IP elastico da un'altra risorsa. In alternativa, è possibile richiedere un aumento della quota degli IP elastici dalla console Service Quotas.

La zona di disponibilità non è supportata

Problema

Quando provi a creare un gateway NAT, ricevi il seguente error: NotAvailableInZone.

Causa

Può darsi che tu stia provando a creare il gateway NAT in una zona di disponibilità vincolata, ovvero una zona in cui la capacità di espansione è vincolata.

Soluzione

Non siamo in grado di supportare gateway NAT in queste zone di disponibilità.. Puoi creare un gateway NAT in un'altra zona di disponibilità e utilizzarla per sottoreti private nella zona vincolata. Puoi anche spostare le risorse in una zona di disponibilità non vincolata in modo che le risorse e il gateway NAT si trovino nella stessa zona di disponibilità.

Il gateway NAT non è più visibile

Problema

Hai creato un gateway NAT, ma non è più visibile nella console Amazon VPC.

Causa

Potrebbe essersi verificato un errore durante la creazione del gateway NAT e la creazione non è riuscita. Un gateway NAT con lo stato di Failed è visibile nella console Amazon VPC per un breve periodo di tempo (in genere un'ora). Dopo un'ora, viene eliminato automaticamente.

Soluzione

Verifica le informazioni in Creazione gateway NAT non riuscita e prova a creare un nuovo gateway NAT.

Il gateway NAT non risponde a un comando ping

Problema

Quando cerchi di eseguire il ping dell'indirizzo IP elastico o indirizzo IP privato di un gateway NAT da Internet (ad esempio, dal computer di casa) o da qualsiasi istanza nel VPC, non ricevi una risposta.

Causa

Un gateway NAT passa solo traffico da un'istanza in una sottorete privata a Internet.

Soluzione

Per verificare se il gateway NAT funziona, consulta Prova il gateway pubblico NAT.

Le istanze non possono accedere a Internet

Problema

Hai creato un gateway NAT e hai seguito i passaggi per testarlo, ma il comando ping non funziona o le istanze nella sottorete privata non riescono ad accedere a Internet.

Cause

La causa del problema può essere una delle seguenti:

  • Il gateway NAT non è pronto a distribuire il traffico.

  • Le tabelle di routing non sono configurate correttamente.

  • I gruppi di sicurezza o le liste di controllo degli accessi di rete bloccano il traffico in entrata o in uscita.

  • Utilizzi un protocollo non supportato.

Soluzione

Verifica le seguenti informazioni:

  • Controlla che lo stato del gateway NAT sia Available. Nella console Amazon VPC, vai alla pagina NAT Gateways (Gateway NAT) e visualizza le informazioni sullo stato nel riquadro dei dettagli. Se il gateway NAT si trova nello stato di errore, è possibile che al momento della creazione si sia verificato un errore. Per ulteriori informazioni, consulta Creazione gateway NAT non riuscita.

  • Controlla che le tabelle di routing siano state correttamente configurate:

    • Il gateway NAT deve trovarsi in una sottorete pubblica con una tabella di instradamento che instrada il traffico Internet a un Internet Gateway.

    • L'istanza deve trovarsi in una sottorete privata con una tabella di instradamento che instrada il traffico Internet al gateway NAT.

    • Controlla che non siano presenti voci della tabella di instradamento che instradano tutto o parte del traffico Internet a un altro dispositivo anziché al gateway NAT.

  • Assicurati che le regole del gruppo di sicurezza per l'istanza privata consentano traffico Internet in uscita. Per poter utilizzare il comando ping, le regole devono anche consentire traffico ICMP in uscita.

    Il gateway NAT consente tutto il traffico in uscita e il traffico ricevuto in risposta a una richiesta in uscita (è pertanto stateful).

  • Assicurati che le liste di controllo accessi di rete siano associate alla sottorete privata e che sottoreti pubbliche non dispongano di regole che bloccano il traffico Internet in entrata e in uscita. Per poter utilizzare il comando ping, le regole devono anche consentire traffico ICMP in entrata e in uscita.

    Puoi abilitare log di flusso per semplificare la diagnosi di connessioni interrotte a causa di regole della lista di controllo accessi di rete o del gruppo di sicurezza. Per ulteriori informazioni, consulta Registrazione del traffico IP tramite VPC Flow Logs.

  • Se utilizzi il comando ping, assicurati di eseguire il ping di host in cui ICMP è abilitato. Se ICMP non è abilitato, non riceverai pacchetti di risposta. Per completare il test, esegui lo stesso comando ping dal terminale a riga di comando sul computer.

  • Controlla che l'istanza sia in grado di eseguire il ping di altre risorse, ad esempio, altre istanze nella sottorete privata (ipotizzando che sia consentito dalle regole del gruppo di sicurezza).

  • Verifica che la connessione utilizzi solo un protocollo TCP, UDP o ICMP.

La connessione TCP a una destinazione non va a buon fine

Problema

Alcune delle connessioni TCP dalle istanze in una sottorete privata a una destinazione specifica tramite un gateway NAT vanno a buon fine, mentre altre sono inefficaci o scadute.

Cause

La causa del problema può essere una delle seguenti:

  • L'endpoint di destinazione risponde con pacchetti TCP frammentati. I gateway NAT non supportano la frammentazione IP per TCP o ICMP. Per ulteriori informazioni, consulta Confronto delle istanze NAT e i gateway NAT.

  • L'opzione tcp_tw_recycle è abilitata su un server remoto, noto per causare problemi quando ci sono più connessioni provenienti da un dispositivo NAT.

Soluzioni

Verifica se l'endpoint a cui provi a connetteri risponde con pacchetti TCP frammentati, nel seguente modo:

  1. Utilizza un'istanza in una sottorete pubblica con un indirizzo IP pubblico per attivare una risposta sufficientemente grande da causare la frammentazione dall'endpoint specifico.

  2. Utilizza l'utilità tcpdump per verificare che l'endpoint sta inviando pacchetti frammentati.

    Importante

    Per eseguire queste verifiche, devi utilizzare un'istanza in una sottorete pubblica. Non puoi utilizzare l'istanza da cui la connessione originale non riesce o un'istanza in una sottorete privata dietro un gateway NAT o un'istanza NAT.

    Strumenti di diagnostica che inviano o ricevono pacchetti ICMP di grandi dimensioni segnaleranno perdita di pacchetti. Ad esempio, il comando ping -s 10000 example.com non funziona dietro un gateway NAT.

  3. Se l'endpoint invia pacchetti TCP frammentati, puoi utilizzare un'istanza NAT anziché un gateway NAT.

Se disponi dell'accesso al server remoto, puoi verificare se l'opzione tcp_tw_recycle è abilitata procedendo nel seguente modo:

  1. Dal server, esegui questo comando:

    cat /proc/sys/net/ipv4/tcp_tw_recycle

    Se l'output è 1, l'opzione tcp_tw_recycle è abilitata.

  2. Se tcp_tw_recycle è abilitata, ti consigliamo di disabilitarla. Se devi riutilizzare le connessioni, tcp_tw_reuse è un'opzione più sicura.

Se non disponi dell'accesso al server remoto, puoi eseguire il test disabilitando temporaneamente l'opzione tcp_timestamps su un'istanza nella sottorete privata. Quindi, effettua nuovamente la connessione al server remoto. Se la connessione va a buon fine, la causa del guasto precedente è probabilmente dovuta al fatto che tcp_tw_recycle è abilitata sul server remoto. Se possibile, contatta il proprietario del server remoto per verificare se l'opzione è abiitata e chiedine la disabilitazione.

L'output di tracciamento non visualizza l'indirizzo IP privato del gateway NAT

Problema

L'istanza può accedere a Internet, ma quando esegui il comando traceroute, l'output non visualizza l'indirizzo IP privato del gateway NAT.

Causa

L'istanza accede a Internet utilizzando un gateway diverso, ad esempio un Internet Gateway.

Soluzione

Nella tabella di instradamento della sottorete in cui si trova l'istanza, controlla le seguenti informazioni:

  • Assicurati che Esista una route che invia traffico Internet al gateway NAT.

  • Assicurati che non esista una route più specifica che invia traffico Internet ad altri dispositivi, ad esempio un gateway virtuale privato o un Internet Gateway.

Connessione Internet interrotta dopo 350 secondi

Problema

Le istanze possono accedere a Internet ma la connessione si interrompe dopo 350 secondi.

Causa

Se una connessione che utilizza un gateway NAT rimane inattiva per almeno 350 secondi, la connessione scade.

Quando si ha il timeout di una connessione, un gateway NAT restituisce un pacchetto RST a tutte le risorse dietro il gateway NAT che tentano di continuare la connessione (non invia un pacchetto FIN).

Soluzione

Per impedire l'interruzione della connessione, puoi avviare più traffico sulla connessione. In alternativa, puoi permettere a TCP di rimanere attivo sull'istanza con un valore inferiore ai 350 secondi.

Impossibile stabilire connessione IPsec

Problema

Non è possibile stabilire una connessione IPsec a una destinazione.

Causa

I gateway NAT al momento non supportano il protocollo IPsec.

Soluzione

Puoi utilizzare NAT-Trasversal (NAT-T) per incapsulare il traffico IPsec in UDP, un protocollo supportato per i gateway NAT. Assicurati di eseguire il test di NAT-T e della configurazione IPsec per verificare che il traffico IPsec non venga interrotto.

Impossibile avviare più connessioni

Problema

Disponi già di connessioni a una destinazione tramite un gateway NAT, ma non puoi stabilire più connessioni.

Causa

È possibile che sia stato raggiunto il limite di connessioni simultanee per un singolo gateway NAT.. Per ulteriori informazioni, consulta NATnozioni di base sul gateway. Se le istanze nella sottorete privata creano un numero elevato di connessioni, è possibile raggiungere questo limite.

Soluzione

Esegui una di queste operazioni:

  • Crea un gateway NAT per zona di disponibilità e distribuisci i client su queste zone.

  • Crea gateway NAT aggiuntivi nella sottorete pubblica e dividi i client in più sottoreti private, ciascuna con una route a un gateway NAT diverso.

  • Limita il numero di connessioni alla destinazione che i client possono creare.

  • Utilizza la IdleTimeoutCountmetrica in per monitorare l'aumento delle connessioni CloudWatch inattive. Per rilasciare la capacità, chiudi le connessioni inattive.

  • Crea un gateway NAT con più indirizzi IP o aggiungi indirizzi IP secondari a un gateway NAT esistente. Ogni nuovo indirizzo IPv4 può supportare fino a 55.000 connessioni simultanee. Per ulteriori informazioni, consulta Crea un gateway NAT o Come modificare le associazioni di indirizzi IP secondari.