Risoluzione dei problemi relativi a AWS Client VPN

Nel seguente argomento viene descritto come risolvere i problemi che si possono verificare con un endpoint Client VPN.

Per ulteriori informazioni sulla risoluzione dei problemi relativi al software basato su OpenVPN utilizzato dai client per connettersi a un Client VPN, consulta Risoluzione dei problemi relativi alla connessione VPN client nella Guida per l'utente di AWS Client VPN .

Impossibile risolvere il nome DNS dell'endpoint Client VPN

Problema

Impossibile risolvere il nome DNS dell'endpoint Client VPN.

Causa

Il file di configurazione dell'endpoint Client VPN include un parametro chiamato remote-random-hostname. Questo parametro impone al client di anteporre una stringa casuale al nome DNS per impedire il caching DNS. Alcuni client non riconoscono questo parametro e, pertanto, non antepongono la stringa casuale richiesta al nome DNS.

Soluzione

Apri il file di configurazione dell'endpoint Client VPN utilizzando l'editor di testo preferito. Individua la riga che specifica il nome DNS dell'endpoint Client VPN e anteponi una stringa casuale in modo che il formato sia stringa_casuale.nome_DNS_visualizzato. Ad esempio:

• Nome DNS originale: cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com

• Nome DNS modificato: asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com

Il traffico non viene suddiviso tra sottoreti

Problema

Sto cercando di suddividere il traffico di rete tra due sottoreti in modo da instradare il traffico privato attraverso una sottorete privata e il traffico Internet attraverso una sottorete pubblica. Tuttavia, pur avendo aggiunto entrambe le route alla tabella di routing dell'endpoint Client VPN, solo una viene utilizzata.

Causa

È possibile associare più sottoreti a un endpoint Client VPN, ma è consentito associare solo una sottorete per zona di disponibilità. L'associazione di più sottoreti ha lo scopo di fornire elevata disponibilità e ridondanza della zona di disponibilità per i client. Tuttavia, Client VPN non consente di suddividere in maniera selettiva il traffico tra le sottoreti associate all'endpoint del Client VPN.

I client si connettono a un endpoint del Client VPN in base all'algoritmo round-robin DNS. Ciò significa che il traffico può essere instradato attraverso una qualsiasi delle sottoreti associate quando stabiliscono una connessione. Di conseguenza, problemi di connettività si possono verificare se i client si trovano in una sottorete associata che non dispone delle voci route richieste.

Ad esempio, si supponga di configurare le seguenti associazioni di sottorete e route:

• Associazioni di sottorete

  • Associazione 1: Sottorete-A (us-est-1a)

  • Associazione 2: Sottorete-B (us-east-1b)

• Route

  • Route 1: 10.0.0.0/16 instradata a Sottorete-A

  • Route 2: 172.31.0.0/16 instradata a Sottorete-B

In questo esempio, i client che quando si connettono si trovano sulla Sottorete-A, non possono accedere alla Route 2, mentre i client che quando si connettono si trovano sulla Sottorete-B non possono accedere alla Route 1.

Soluzione

Verificare che l'endpoint Client VPN disponga delle stesse voci route con destinazioni per ogni rete associata. Ciò garantisce che i client possano accedere a tutte le route a prescindere dalla sottorete attraverso la quale viene instradato il traffico.

Regole di autorizzazione per i gruppi di Active Directory non funzionano come previsto

Problema

Ho configurato delle regole di autorizzazione per i gruppi di Active Directory, ma il funzionamento non è quello previsto. Ho aggiunto una regola di autorizzazione per 0.0.0.0/0 per autorizzare il traffico per tutte le reti, ma il traffico ancora non va a buon fine per CIDR di destinazione specifici.

Causa

Le regole di autorizzazione sono indicizzate sui CIDR di rete. Le regole di autorizzazione devono concedere ai gruppi di Active Directory l'accesso a CIDR di rete specifici. Le regole di autorizzazione per 0.0.0.0/0 vengono gestite come un caso speciale e pertanto valutate per ultime, a prescindere dal loro ordine di creazione.

Ad esempio, si supponga di creare cinque regole di autorizzazione nel seguente ordine:

• Regola 1: accesso del gruppo 1 a 10.1.0.0/16

• Regola 2: accesso del gruppo 1 a 0.0.0.0/0

• Regola 3: accesso del gruppo 2 a 0.0.0.0/0

• Regola 4: accesso del gruppo 3 a 0.0.0.0/0

• Regola 5: accesso del gruppo 2 a 172.131.0.0/16

In questo esempio, la regola 2, la regola 3 e la regola 4 vengono valutate per ultima. Il gruppo 1 può accedere solo a 10.1.0.0/16 e il gruppo 2 può accedere solo a 172.131.0.0/16. Il gruppo 3 non può accedere a 10.1.0.0/16 o 172.131.0.0/16, ma può accedere a tutte le altre reti. Se si rimuovono le regole 1 e 5, tutti e tre i gruppi possono accedere a tutte le reti.

Durante la valutazione delle regole di autorizzazione, Client VPN utilizza la corrispondenza del prefisso più lungo. Consulta .Priorità della route nella Guida per l’utente di Amazon VPC per maggiori dettagli.

Soluzione

Verificare di creare regole di autorizzazione che concedono specificatamente ai gruppi di Active Directory l'accesso a CIDR di rete specifici. Se si aggiunge una regola di autorizzazione per 0.0.0.0/0, tenere presente che verrà valutata per ultima e che le regole di autorizzazione precedenti potrebbero limitare le reti a cui viene concesso l'accesso.

I client non possono accedere a un VPC in peering, ad Amazon S3 o a Internet

Problema

Ho configurato correttamente le route dell'endpoint Client VPN, ma i miei client non possono accedere a un VPC in peering, ad Amazon S3 o a Internet.

Soluzione

Nel seguente diagramma di flusso sono riportate le fasi per la diagnosi dei problemi di connettività Internet, VPC in peering e Amazon S3.

1. Per l'accesso a Internet, aggiungere una regola di autorizzazione per 0.0.0.0/0.

   Per l'accesso a un VPC in peering, aggiungere una regola di autorizzazione per l'intervallo CIDR IPv4 del VPC.

   Per accedere a S3, specifica l'indirizzo IP dell'endpoint Amazon S3.

2. Verificare se è possibile risolvere il nome DNS.

   Se non è possibile risolvere il nome DNS, verificare di aver specificato i server DNS per l'endpoint Client VPN. Se si gestisce il proprio server DNS, specificare l'indirizzo IP. Verificare che il server DNS sia accessibile dal VPC.

   Se non si è certi dell'indirizzo IP da specificare per i server DNS, specificare il resolver DNS VPC all'indirizzo IP .2 del VPC.

3. Per l'accesso a Internet, verificare se è possibile eseguire il ping di un indirizzo IP pubblico o di un sito Web pubblico, ad esempio, amazon.com. Se non si riceve una risposta, accertarsi che la tabella di routing per le sottoreti associate disponga di una route predefinita che si rivolge a un Internet gateway o a un gateway NAT. Se la route predefinita è attiva, verificare che la sottorete associata non disponga di regole della lista di controllo accessi di rete che bloccano il traffico in ingresso e in uscita.

   Se non è possibile raggiungere un VPC in peering, verificare che la tabella di routing della sottorete associata disponga di una voce route per il VPC in peering.

   Se non è possibile raggiungere Amazon S3, verificare che la tabella di routing della sottorete associata disponga di una voce route per l'endpoint VPC del gateway.

4. Verificare se è possibile eseguire il ping di un indirizzo IP pubblico con un payload superiore a 1400 byte. Utilizzare uno dei seguenti comandi:

   • Windows

     C:\> ping  8.8.8.8 -l 1480 -f

   • Linux

     $ ping -s 1480 8.8.8.8 -M do

   Se non è possibile eseguire il ping di un indirizzo IP con un payload superiore a 1400 byte, apri il file di configurazione .ovpn dell'endpoint Client VPN utilizzando l'editor di testo preferito e aggiungi quanto segue.

   mssfix 1328

Accesso intermittente a un VPC in peering, ad Amazon S3 o a Internet

Problema

Ho problemi di connettività intermittente durante la connessione a un VPC in peering, ad Amazon S3 o a Internet, ma l'accesso alle sottoreti associate non è influenzato. Per risolvere i problemi di connettività devo eseguire la disconnessione e la riconnessione.

Causa

I client si connettono a un endpoint del Client VPN in base all'algoritmo round-robin DNS. Ciò significa che il traffico può essere instradato attraverso una qualsiasi delle sottoreti associate quando stabiliscono una connessione. Di conseguenza, problemi di connettività si possono verificare se i client si trovano in una sottorete associata che non dispone delle voci route richieste.

Soluzione

Verificare che l'endpoint Client VPN disponga delle stesse voci route con destinazioni per ogni rete associata. Ciò garantisce che i client possano accedere a tutte le route a prescindere dalla sottorete associata attraverso la quale viene instradato il traffico.

Ad esempio, si supponga che l'endpoint Client VPN disponga di tre sottoreti associate (sottorete A, B e C) e che si desideri abilitare l'accesso a Internet per i client. A tale scopo, è necessario aggiungere tre route 0.0.0.0/0, una per ogni sottorete associata:

• Route 1: 0.0.0.0/0 per sottorete A

• Route 2: 0.0.0.0/0 per sottorete B

• Route 3: 0.0.0.0/0 per sottorete C

Il software client restituisce l'errore TLS

Problema

Ero solito connettere i miei client al Client VPN, ma ora il client basato su OpenVPN restituisce uno dei seguenti errori quando tenta di connettersi:

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) 
TLS Error: TLS handshake failed

Connection failed because of a TLS handshake error. Contact your IT administrator.

Possibile causa #1

Se si utilizza l'autenticazione reciproca e si importa un elenco di revoche di certificati del client, l'elenco di revoche di certificati del client potrebbe essere scaduto. Durante la fase di autenticazione, l'endpoint Client VPN controlla il certificato client rispetto all'elenco di revoche di certificati del client importato. Se l'elenco di revoche di certificati del client è scaduto, non è possibile connettersi all'endpoint Client VPN.

Soluzione #1

Controllare la data di scadenza dell'elenco di revoche di certificati del client utilizzando lo strumento OpenSSL.

$ openssl crl -in path_to_crl_pem_file -noout -nextupdate

Nell'output vengono visualizzate la data e l'ora di scadenza. Se l'elenco di revoche di certificati del client è scaduto, è necessario crearne uno nuovo e importarlo nell'endpoint Client VPN. Per ulteriori informazioni, consulta Elenchi di revoche di certificati client.

Possibile causa #2

Il certificato del server utilizzato per l'endpoint del Client VPN è scaduto.

Soluzione #2

Controlla lo stato del certificato del tuo server nella AWS Certificate Manager console o utilizzando la AWS CLI. Se il certificato del server è scaduto, crea un nuovo certificato e caricalo in ACM. Per le fasi dettagliate per generare i certificati e le chiavi server e client utilizzando la Utility OpenVPN easy-rsa e importarli in ACM vedi Autenticazione reciproca.

In alternativa, potrebbe verificarsi un problema con il software basato su OpenVPN utilizzato dal client per connettersi a Client VPN. Per ulteriori informazioni sulla risoluzione dei problemi relativi al software basato su OpenVPN, consulta Risoluzione dei problemi relativi alla connessione Client VPN nella Guida per l'utente di AWS Client VPN .

Il software client restituisce errori di nome utente e password (autenticazione di Active Directory)

Problema

Utilizzo l'autenticazione di Active Directory per il mio endpoint Client VPN ed ero in grado di connettere i miei client a Client VPN. Ora, tuttavia,i client ricevono errori di nome utente e password non validi.

Possibili cause

Se si utilizza l'autenticazione di Active Directory e se è stata abilitata l'autenticazione a più fattori dopo aver distribuito il file di configurazione del client, il file non contiene le informazioni necessarie per richiedere agli utenti di immettere il codice MFA. Agli utenti viene richiesto di immettere solo nome utente e password e l'autenticazione non va a buon fine.

Soluzione

Scaricare un nuovo file di configurazione del client e distribuirlo ai client. Verificare che il nuovo file contenga la riga seguente.

static-challenge "Enter MFA code " 1

Per ulteriori informazioni, consulta Esportazione e configurazione del file di configurazione del client. Verifica la configurazione MFA per Active Directory senza utilizzare l'endpoint Client VPN per controllare che MFA funzioni come previsto.

Il software client restituisce gli errori relativi al nome utente e alla password (autenticazione federata)

Problema

Tentativo di accesso con nome utente e password con autenticazione federata e visualizzazione dell'errore «Le credenziali ricevute non erano corrette. Contatta il tuo amministratore IT».

Causa

Questo errore può essere causato dalla mancata inclusione di almeno un attributo nella risposta SAML dell'IdP.

Soluzione

Assicurati che almeno un attributo sia incluso nella risposta SAML dell'IdP. Per ulteriori informazioni, consulta Risorse di configurazione IdP basate su SAML.

I client non sono in grado di connettersi (autenticazione reciproca)

Problema

Uso l'autenticazione reciproca per il mio endpoint Client VPN. I client ricevono errori di negoziazione della chiave TLS non riuscita ed errori di timeout.

Possibili cause

Il file di configurazione fornito ai client non contiene il certificato client e la chiave privata del client o il certificato e la chiave non sono corretti.

Soluzione

Accertarsi che il file di configurazione contenga il certificato client e la chiave corretti. Se necessario, correggere il file di configurazione e ridistribuirlo ai client. Per ulteriori informazioni, consulta Esportazione e configurazione del file di configurazione del client.

Client restituisce un errore di superamento delle dimensioni massime delle credenziali (autenticazione federata)

Problema

Uso l'autenticazione federata per il mio endpoint Client VPN. Quando i client immettono il nome utente e la password nella finestra del browser del provider di identità (IdP) basato su SAML, viene visualizzato un errore che indica che le credenziali superano le dimensioni massime supportate.

Causa

La risposta SAML restituita dall'IdP supera le dimensioni massime supportate. Per ulteriori informazioni, consulta Requisiti e considerazioni per l'autenticazione federata basata su SAML.

Soluzione

Provare a ridurre il numero di gruppi a cui l'utente appartiene nel provider di identità e provare a connettersi nuovamente.

Il client non apre il browser (autenticazione federata)

Problema

Uso l'autenticazione federata per il mio endpoint Client VPN. Quando i client tentano di connettersi all'endpoint, il software client non apre una finestra del browser e visualizza invece una finestra popup del nome utente e della password.

Causa

Il file di configurazione fornito ai client non contiene il flag auth-federate.

Soluzione

Esporta il file di configurazione più recente, importalo nel client AWS fornito e riprova a connetterti.

Il client non restituisce un errore nessuna porta disponibile (autenticazione federata)

Problema

Uso l'autenticazione federata per il mio endpoint Client VPN. Quando i client tentano di connettersi all'endpoint, il software client restituisce il seguente errore:

The authentication flow could not be initiated. There are no available ports. 

Causa

Il client AWS fornito richiede l'uso della porta TCP 35001 per completare l'autenticazione. Per ulteriori informazioni, consulta Requisiti e considerazioni per l'autenticazione federata basata su SAML.

Soluzione

Verificare che il dispositivo del client non stia bloccando la porta TCP 35001 o la stia utilizzando per un processo diverso.

Connessione VPN interrotta a causa della mancata corrispondenza dell'IP

Problema

La connessione VPN è terminata e il software client restituisce il seguente errore: "The VPN connection is being terminated due to a discrepancy between the IP address of the connected server and the expected VPN server IP. Please contact your network administrator for assistance in resolving this issue."

Causa

Il client AWS fornito richiede che l'indirizzo IP a cui è connesso corrisponda all'IP del server VPN che supporta l'endpoint Client VPN. Per ulteriori informazioni, consulta Regole e best practice di AWS Client VPN.

Soluzione

Verifica che non vi sia alcun proxy DNS tra il client AWS fornito e l'endpoint Client VPN.

Il routing del traffico verso la LAN non funziona come previsto

Problema

Il tentativo di instradare il traffico verso la rete locale (LAN) non funziona come previsto quando gli intervalli di indirizzi IP LAN non rientrano nei seguenti intervalli di indirizzi IP privati standard:10.0.0.0/8,172.16.0.0/12,192.168.0.0/16, oppure169.254.0.0/16.

Causa

Se viene rilevato che l'intervallo di indirizzi LAN del client non rientra negli intervalli standard sopra indicati, l'endpoint Client VPN invierà automaticamente la direttiva OpenVPN «redirect-gateway block-local» al client, forzando tutto il traffico LAN a entrare nella VPN. Per ulteriori informazioni, consulta Regole e best practice di AWS Client VPN.

Soluzione

Se è necessario l'accesso alla LAN durante le connessioni VPN, si consiglia di utilizzare gli intervalli di indirizzi convenzionali sopra elencati per la rete LAN.

Verifica del limite di larghezza di banda per un endpoint Client VPN

Problema

Devo verificare il limite di larghezza di banda per un endpoint Client VPN.

Causa

Il throughput dipende da diversi fattori, ad esempio la capacità della connessione dalla posizione e la latenza di rete tra l'applicazione desktop Client VPN sul computer e l'endpoint VPC. Esiste anche un limite di larghezza di banda di 10 Mbps per connessione utente.

Soluzione

Eseguire i seguenti comandi per verificare la larghezza di banda.

sudo iperf3 -s -V

Sul client:

sudo iperf -c server IP address -p port -w 512k -P 60