Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo gateway per clienti Juniper ScreenOS - AWS Site-to-Site VPN
IKEe IPsecTunnelBGP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo gateway per clienti Juniper ScreenOS

Quando risolvi i problemi di connettività di un dispositivo gateway per clienti basato su Juniper ScreenOS, prendi in considerazione quattro fattori:,IKE, IPsec tunnel e. BGP Puoi risolvere queste aree in qualsiasi ordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e procedere verso l'alto.

IKEe IPsec

Utilizza il seguente comando. La risposta mostra che un dispositivo gateway per il cliente è IKE configurato correttamente.

ssg5-serial-> get sa
total configured sa: 2
HEX ID    Gateway         Port Algorithm     SPI      Life:sec kb Sta   PID vsys
00000002<   72.21.209.225  500 esp:a128/sha1 80041ca4  3385 unlim A/-    -1 0
00000002>   72.21.209.225  500 esp:a128/sha1 8cdd274a  3385 unlim A/-    -1 0
00000001<   72.21.209.193  500 esp:a128/sha1 ecf0bec7  3580 unlim A/-    -1 0
00000001>   72.21.209.193  500 esp:a128/sha1 14bf7894  3580 unlim A/-    -1 0

Devono essere visualizzate una o più linee contenenti un indirizzo remoto del gateway remoto specificato nei tunnel. Il valore di Sta deve essere A/- e quello di SPI deve essere un numero esadecimale diverso da 00000000. Le voci in altri stati indicano che non IKE è configurato correttamente.

Per un'ulteriore risoluzione dei problemi, abilitate le opzioni di IKE traccia (come consigliato nel file di configurazione di esempio).

Tunnel

Innanzi tutto, accertati che le regole di firewall necessarie siano applicate. Per un elenco di regole, consulta Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente.

Se le regole di firewall sono configurate correttamente, continua con la risoluzione dei problemi utilizzando il comando seguente.

ssg5-serial-> get interface tunnel.1
  Interface tunnel.1:
  description tunnel.1
  number 20, if_info 1768, if_index 1, mode route
  link ready
  vsys Root, zone Trust, vr trust-vr
  admin mtu 1500, operating mtu 1500, default mtu 1500
  *ip 169.254.255.2/30
  *manage ip 169.254.255.2
  route-deny disable
  bound vpn:
    IPSEC-1

  Next-Hop Tunnel Binding table
  Flag Status Next-Hop(IP)    tunnel-id  VPN

  pmtu-v4 disabled
  ping disabled, telnet disabled, SSH disabled, SNMP disabled
  web disabled, ident-reset disabled, SSL disabled

  OSPF disabled  BGP enabled  RIP disabled  RIPng disabled  mtrace disabled
  PIM: not configured  IGMP not configured
  NHRP disabled
  bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps]
             configured ingress mbw 0kbps, current bw 0kbps
             total allocated gbw 0kbps

Assicurati che link:ready sia visualizzato e che l'indirizzo IP corrisponda all'indirizzo interno del tunnel del dispositivo gateway del cliente.

Successivamente, utilizza il comando seguente, sostituendo 169.254.255.1 con l'indirizzo IP interno del gateway virtuale privato. I risultati devono essere simili alla risposta riportata di seguito.

ssg5-serial-> ping 169.254.255.1
Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms

Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.

BGP

Esegui il comando seguente.

ssg5-serial-> get vrouter trust-vr protocol bgp neighbor
Peer AS Remote IP       Local IP          Wt Status   State     ConnID Up/Down
--------------------------------------------------------------------------------
   7224 169.254.255.1   169.254.255.2    100 Enabled  ESTABLISH     10 00:01:01
   7224 169.254.255.5   169.254.255.6    100 Enabled  ESTABLISH     11 00:00:59

Lo stato di entrambi BGP i peer dovrebbe essereESTABLISH, il che significa che la BGP connessione al gateway privato virtuale è attiva.

Per un'ulteriore risoluzione dei problemi, puoi anche utilizzare il comando seguente, sostituendo 169.254.255.1 con l'indirizzo IP interno del gateway virtuale privato. 

ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1
peer: 169.254.255.1,  remote AS: 7224, admin status: enable
type: EBGP, multihop: 0(disable), MED: node default(0)
connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15s
configured hold time: node default(90s), configured keepalive: node default(30s)
configured adv-interval: default(30s)
designated local IP: n/a
local IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179
router ID of peer: 169.254.255.1, remote AS: 7224
negotiated hold time: 30s, negotiated keepalive interval: 10s
route map in name: , route map out name:
weight: 100 (default)
self as next hop: disable
send default route to peer: disable
ignore default route from peer: disable
send community path attribute: no
reflector client: no
Neighbor Capabilities:
  Route refresh: advertised and received
  Address family IPv4 Unicast:  advertised and received
force reconnect is disable
total messages to peer: 106, from peer: 106
update messages to peer: 6, from peer: 4
Tx queue length 0, Tx queue HWM: 1
route-refresh messages to peer: 0, from peer: 0
last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)
number of total successful connections: 4
connected: 2 minutes 6 seconds
Elapsed time since last update: 2 minutes 6 seconds

Se il BGP peering è attivo, verifica che il dispositivo Customer Gateway stia pubblicizzando il percorso predefinito (0.0.0.0/0) verso. VPC Questo comando si applica a ScreenOS versione 6.2.0 e versione successiva.

ssg5-serial-> get vr trust-vr protocol bgp  rib neighbor 169.254.255.1 advertised
i: IBGP route, e: EBGP route, >: best route, *: valid route
               Prefix         Nexthop    Wt  Pref   Med Orig    AS-Path
--------------------------------------------------------------------------------------
>i          0.0.0.0/0         0.0.0.0 32768   100     0  IGP
Total IPv4 routes advertised: 1

Inoltre, assicurati di ricevere il prefisso corrispondente al tuo VPC dal gateway privato virtuale. Questo comando si applica a ScreenOS versione 6.2.0 e versione successiva.

ssg5-serial-> get vr trust-vr protocol bgp  rib neighbor 169.254.255.1 received
i: IBGP route, e: EBGP route, >: best route, *: valid route
               Prefix         Nexthop    Wt  Pref   Med Orig    AS-Path
--------------------------------------------------------------------------------------
>e*     10.0.0.0/16   169.254.255.1   100   100   100  IGP   7224
Total IPv4 routes received: 1