Solução de problemas AWS Client VPN: problemas de conectividade de túnel com uma VPC - AWS Client VPN
Pré-requisitos de conectividade de redeVerifique o status do endpoint do Client VPNVerifique as conexões do clienteVerifique a autenticação do clienteVerifique as regras de autorizaçãoValidar rotas do Client VPNVerifique os grupos de segurança e a rede ACLsTeste a conectividade do clienteDiagnosticar o dispositivo clienteSolucionar problemas de resolução de DNSSolucionar problemas de desempenhoMonitore as métricas do Client VPNVerifique os registros do Client VPNProblemas e soluções comuns de

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas AWS Client VPN: problemas de conectividade de túnel com uma VPC

Ao enfrentar problemas de conectividade com sua AWS Client VPN conexão, siga esta abordagem sistemática de solução de problemas para identificar e resolver o problema. Esta seção fornece step-by-step procedimentos para diagnosticar problemas comuns de conectividade do Client VPN entre clientes remotos e recursos da Amazon VPC.

Pré-requisitos de conectividade de rede

Antes de solucionar problemas de conectividade do Client VPN, verifique estes pré-requisitos de rede:

  • Verifique se a sub-rede do endpoint do Client VPN tem conectividade com a Internet (via Internet Gateway ou NAT Gateway).

  • Verifique se o endpoint do Client VPN está associado a sub-redes em diferentes zonas de disponibilidade para obter alta disponibilidade.

  • Verifique se a VPC tem espaço de endereço IP suficiente e não está em conflito com os blocos CIDR do cliente.

  • Confirme se as sub-redes de destino têm associações de tabela de rotas adequadas.

Verifique o status do endpoint do Client VPN

Primeiro, verifique se o endpoint do Client VPN está no estado correto:

  1. Use o AWS CLI para verificar o status do endpoint do Client VPN:

    aws ec2 describe-client-vpn-endpoints --region your-region

  2. Procure o estado do endpoint na saída. O estado deveria seravailable.

  3. Verifique se o endpoint tem redes de destino associadas (sub-redes).

  4. Se o estado não foravailable, verifique se há mensagens de erro ou estados pendentes que possam indicar problemas de configuração.

Verifique as conexões do cliente

Verifique o status das conexões do cliente com seu endpoint do Client VPN:

  1. Verifique as conexões ativas do cliente:

    aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Revise o status da conexão e todas as mensagens de erro na saída.

  3. Verifique os registros de autenticação do cliente em busca de tentativas de autenticação malsucedidas.

  4. Verifique se os clientes estão recebendo endereços IP do bloco CIDR do cliente configurado.

nota

Se os clientes não conseguirem se conectar, o problema provavelmente está na configuração de autenticação, nas regras de autorização ou na conectividade de rede.

Verifique a autenticação do cliente

Problemas de autenticação são causas comuns de problemas de conectividade do Client VPN:

  • Para autenticação mútua, certifique-se de que os certificados do cliente sejam válidos e não tenham expirado.

  • Para autenticação do Active Directory, verifique as credenciais do usuário e a conectividade do domínio.

  • Para autenticação federada baseada em SAML, verifique a configuração do IdP e as permissões do usuário.

  • Revise os registros de autenticação CloudWatch para obter informações detalhadas sobre erros.

  • Verifique se o método de autenticação configurado no endpoint corresponde à configuração do cliente.

Verifique as regras de autorização

As regras de autorização controlam quais recursos de rede os clientes podem acessar:

  1. Liste as regras de autorização atuais:

    aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Verifique se existem regras para as redes de destino que os clientes precisam acessar.

  3. Verifique se as regras especificam os grupos corretos do Active Directory (se estiver usando a autenticação AD).

  4. Certifique-se de que as regras de autorização estejam em active vigor.

Validar rotas do Client VPN

A configuração de roteamento adequada é essencial para a conectividade do Client VPN:

  1. Verifique as rotas dos endpoints do Client VPN:

    aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Verifique se existem rotas para as redes de destino que os clientes precisam acessar.

  3. Verifique as tabelas de rotas do Amazon VPC para garantir que o tráfego de retorno possa alcançar o endpoint do Client VPN:

    aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-id" --region your-region

  4. Verifique se as associações de rede de destino estão configuradas corretamente.

Verifique os grupos de segurança e a rede ACLs

Os grupos de segurança e a rede ACLs podem bloquear o tráfego do Client VPN:

  1. Verifique os grupos de segurança das EC2 instâncias de destino:

    aws ec2 describe-security-groups --group-ids sg-xxxxxxxxx --region your-region

  2. Verifique se as regras de entrada permitem o tráfego do bloco CIDR do Client VPN:

    • SSH (porta 22) do Client VPN CIDR: 10.0.0.0/16

    • HTTP (porta 80) do Client VPN CIDR: 10.0.0.0/16

    • HTTPS (porta 443) do Client VPN CIDR: 10.0.0.0/16

    • Portas de aplicativos personalizadas conforme necessário

  3. Para o grupo de segurança de endpoint do Client VPN (se aplicável), verifique se ele permite:

    • Porta UDP 443 (OpenVPN) de 0.0.0.0/0

    • Todo o tráfego de saída para blocos CIDR da VPC

  4. Verifique se a rede não ACLs está bloqueando o tráfego. A rede ACLs não tem estado, portanto, as regras de entrada e saída devem ser configuradas.

  5. Verifique as regras de entrada e saída para o tráfego específico que você está tentando enviar.

Teste a conectividade do cliente

Teste a conectividade dos clientes Client VPN com os recursos da Amazon VPC:

  1. Em um cliente Client VPN conectado, teste a conectividade com os recursos da Amazon VPC:

    ping vpc-resource-ip
traceroute vpc-resource-ip

  2. Teste a conectividade específica do aplicativo:

    telnet vpc-resource-ip port

  3. Verifique a resolução do DNS se estiver usando nomes DNS privados:

    nslookup private-dns-name

  4. Teste a conectividade com os recursos da Internet se o tunelamento dividido estiver ativado.

Diagnosticar o dispositivo cliente

Execute estas verificações no dispositivo cliente:

  1. Verifique se o arquivo de configuração do cliente (.ovpn) contém as configurações corretas:

    • URL correta do endpoint do servidor

    • Certificado de cliente e chave privada válidos

    • Configuração adequada do método de autenticação

  2. Verifique se há erros de conexão nos registros do cliente:

    • Windows: Visualizador de eventos → Registros de aplicativos e serviços → OpenVPN

    • macOS: aplicativo de console, pesquise por “Tunnelblick” ou “OpenVPN”

    • Linux: /var/log/openvpn/ ou diário systemd

  3. Teste a conectividade básica de rede do cliente:

    ping 8.8.8.8
nslookup cvpn-endpoint-id.cvpn.region.amazonaws.com

Solucionar problemas de resolução de DNS

Problemas de DNS podem impedir o acesso a recursos usando nomes DNS privados:

  1. Verifique se os servidores DNS estão configurados no endpoint do Client VPN:

    aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids cvpn-endpoint-id --query 'ClientVpnEndpoints[0].DnsServers'

  2. Teste a resolução de DNS do cliente:

    nslookup private-resource.internal
dig private-resource.internal

  3. Verifique as regras do Route 53 Resolver se estiver usando uma resolução de DNS personalizada.

  4. Verifique se os grupos de segurança permitem tráfego DNS (porta UDP/TCP 53) do Client VPN CIDR para servidores DNS.

Solucionar problemas de desempenho

Solucione problemas de desempenho com conexões Client VPN:

  • Monitore a utilização da largura de banda usando CloudWatch métricas para ingress/egress bytes.

  • Verifique a perda de pacotes usando testes de ping contínuos dos clientes.

  • Verifique se o endpoint do Client VPN não está atingindo os limites de conexão.

  • Considere o uso de vários endpoints do Client VPN para distribuição de carga.

  • Teste com diferentes locais de clientes para identificar problemas de desempenho regional.

Monitore as métricas do Client VPN

Monitore as métricas de endpoint do Client VPN usando CloudWatch:

  1. Verifique as métricas de conexão ativa:

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name ActiveConnectionsCount \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Average

  2. Analise as métricas de falha de autenticação:

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name AuthenticationFailures \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Sum

  3. Analise outras métricas disponíveis, como bytes e pacotes de entrada e saída.

Verifique os registros do Client VPN

Os registros de conexão do Client VPN fornecem informações detalhadas sobre tentativas e erros de conexão:

  • Ative o registro de conexão do Client VPN se ainda não estiver configurado.

  • Analise CloudWatch os registros de tentativas de conexão, falhas de autenticação e erros de autorização.

  • Procure códigos de erro e mensagens específicos que indiquem a causa raiz dos problemas de conectividade.

  • Verifique se há padrões em conexões com falha que possam indicar problemas de configuração.

Problemas e soluções comuns de

Problemas comuns que podem afetar a conectividade do Client VPN:

Falhas de autenticação

Certificados de cliente expirados ou inválidos, ou credenciais do Active Directory incorretas. Verifique a configuração da autenticação e a validade da credencial.

Regras de autorização ausentes

Os clientes não podem acessar as redes de destino devido a regras de autorização ausentes ou incorretas. Adicione regras de autorização apropriadas para as redes necessárias.

Problemas de tunelamento dividido

Roteamento de tráfego incorreto devido à configuração de tunelamento dividido. Revise e ajuste as configurações de tunelamento dividido conforme necessário.

Exaustão do pool IP do cliente

Não há endereços IP disponíveis no bloco CIDR do cliente. Expanda o intervalo CIDR do cliente ou desconecte clientes não utilizados.

Problemas de MTU

Pacotes grandes estão sendo descartados devido às limitações de tamanho da MTU. Tente definir a MTU para 1436 bytes ou habilitar o Path MTU Discovery em dispositivos cliente.

Problemas de resolução de DNS

Os clientes não conseguem resolver nomes DNS privados. Verifique a configuração do servidor DNS e garanta que o tráfego DNS seja permitido por meio de grupos de segurança.

Intervalos de IP sobrepostos

O CIDR do cliente bloqueia conflitos com intervalos de rede local. Verifique e resolva quaisquer intervalos de endereços IP sobrepostos entre o CIDR do cliente e as redes locais.

Falhas no handshake do TLS

A conexão falha durante a negociação do TLS. Verifique a validade do certificado, garanta os conjuntos de criptografia corretos e verifique se os certificados de cliente e servidor estão configurados corretamente.

Atrasos na propagação da rota

Novas rotas não estão imediatamente disponíveis para os clientes. Aguarde de 1 a 2 minutos para a propagação da rota depois de fazer alterações nas rotas do Client VPN.

Quedas de conexão/instabilidade

Desconexões frequentes ou conexões instáveis. Verifique se há congestionamento de rede, interferência de firewall ou configurações de gerenciamento de energia nos dispositivos cliente.