Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo Customer Gateway Cisco ASA - AWS Site-to-Site VPN
IKEIPsecRouting

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo Customer Gateway Cisco ASA

Quando risolvi i problemi di connettività di un dispositivo Cisco Customer Gateway, prendi in considerazione IKE il routing. IPsec Puoi risolvere queste aree in qualsiasi ordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e procedere verso l'alto.

Importante

Alcuni Cisco supportano ASAs solo la modalità Active/Standby. Quando usi questi CiscoASAs, puoi avere solo un tunnel attivo alla volta. Il tunnel in standby diventa attivo solo se il primo tunnel non è più disponibile. Il tunnel in standby potrebbe generare l'errore seguente nei file di log, che può essere ignorato: Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside.

IKE

Utilizza il seguente comando. La risposta mostra che un dispositivo gateway per il cliente è IKE configurato correttamente.

ciscoasa# show crypto isakmp sa

   Active SA: 2
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: AWS_ENDPOINT_1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

Devono essere visualizzate una o più linee contenenti un valore src del gateway remoto specificato nei tunnel. Il valore state deve essere MM_ACTIVE e status deve essere ACTIVE. L'assenza di una voce, o di qualsiasi voce in un altro stato, indica che non IKE è configurata correttamente.

Per un'ulteriore risoluzione dei problemi, esegui i comandi seguenti per abilitare i messaggi di log che forniscono informazioni di diagnostica.

router# term mon
router# debug crypto isakmp

Per disabilitare il debug, utilizza il comando seguente.

router# no debug crypto isakmp

IPsec

Utilizza il seguente comando. La risposta mostra che un dispositivo gateway per il cliente è IPsec configurato correttamente.

ciscoasa# show crypto ipsec sa
interface: outside
    Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

      access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
      current_peer: integ-ppe1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 6D9F8D3B
      current inbound spi : 48B456A6

    inbound esp sas:
      spi: 0x48B456A6 (1219778214)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x6D9F8D3B (1839172923)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001

Per ogni interfaccia di tunnel, devono essere visualizzati inbound esp sas e outbound esp sas. Ciò presuppone che nell'elenco sia presente un SA (ad esempio,spi: 0x48B456A6) e che IPsec sia configurato correttamente.

In CiscoASA, viene visualizzato IPsec solo dopo l'invio di traffico interessante (traffico che deve essere crittografato). Per mantenerlo sempre IPsec attivo, ti consigliamo di configurare un SLA monitor. Il SLA monitor continua a inviare traffico interessante, mantenendolo IPsec attivo.

Puoi anche usare il seguente comando ping per IPsec forzare l'avvio della negoziazione e andare avanti.

ping ec2_instance_ip_address
Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Per un'ulteriore risoluzione dei problemi, utilizza il comando seguente per abilitare il debug.

router# debug crypto ipsec

Per disabilitare il debug, utilizza il comando seguente.

router# no debug crypto ipsec

Routing

Esegui il ping dell'altra estremità del tunnel. Se funziona, allora IPsec dovresti stabilirlo. Se questo non funziona, controllate le vostre liste di accesso e consultate la IPsec sezione precedente.

Se le istanze non sono accessibili, controlla le seguenti informazioni:

  1. Verificare che l'elenco di accesso sia configurato per consentire il traffico associato alla mappa crypto.

    A questo proposito, utilizzare il seguente comando.

    ciscoasa# show run crypto
    crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
crypto map VPN_crypto_map_name 1 match address access-list-name
crypto map VPN_crypto_map_name 1 set pfs
crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

  2. Controllare l'elenco di accesso utilizzando il seguente comando.

    ciscoasa# show run access-list access-list-name
    access-list access-list-name extended permit ip any vpc_subnet subnet_mask

  3. Verificare che l'elenco di accesso sia corretto. L'elenco di accesso di esempio seguente consente tutto il traffico interno alla VPC sottorete 10.0.0.0/16.

    access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

  4. Esegui un traceroute dal ASA dispositivo Cisco, per vedere se raggiunge i router Amazon (ad esempio, AWS_ENDPOINT_1/AWS_ENDPOINT_2).

    Se questo raggiunge il router Amazon, controlla le route statiche che hai aggiunto nella VPC console Amazon e anche i gruppi di sicurezza per le istanze particolari.

  5. Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.