Solução de problemas AWS do Client VPN

O tópico a seguir pode ajudar a solucionar problemas que possam surgir com um endpoint do Client VPN.

Para obter mais informações sobre a solução de problemas de software baseado em OpenVPN que os clientes usam para se conectar a um cliente VPN, consulte Solução de problemas de conexão do cliente VPN no Guia do usuário do AWS Client VPN .

Não é possível resolver o nome DNS do endpoint do Client VPN.

Problema

Não consigo resolver o nome DNS do endpoint do Client VPN.

Causa

O arquivo de configuração do endpoint do Client VPN inclui um parâmetro chamado remote-random-hostname. Esse parâmetro força o cliente a preceder o nome DNS com uma string aleatória para impedir o armazenamento em cache de DNS. Alguns clientes não reconhecem esse parâmetro e, portanto, não precedem o nome DNS com a string aleatória necessária.

Solução

Abra o arquivo de configuração do endpoint do Client VPN usando seu editor de texto preferido. Localize a linha que especifica o nome DNS do endpoint da cliente VPN e adicione uma string aleatória ao início dela para que o formato seja string_aleatória.nome_DNS_exibido. Por exemplo:

• Nome DNS original: cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com

• Nome DNS modificado: asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com

O tráfego não está sendo dividido entre as sub-redes

Problema

Estou tentando dividir o tráfego de rede entre duas sub-redes. O tráfego privado deve ser roteado por uma sub-rede privada, enquanto o tráfego da Internet deve ser roteado por uma sub-rede pública. No entanto, somente uma rota está sendo usada, embora eu tenha adicionado ambas as rotas à tabela de rotas do endpoint do Client VPN.

Causa

É possível associar várias sub-redes a um endpoint do Client VPN, mas somente uma sub-rede por zona de disponibilidade. O objetivo da associação de várias sub-redes é fornecer alta disponibilidade e redundância de zona de disponibilidade para os clientes. No entanto, o Client VPN não permite dividir o tráfego seletivamente entre as sub-redes associadas ao endpoint do Client VPN.

Os clientes se conectam a um endpoint do Client VPN com base no algoritmo round-robin do DNS. Isso significa que o tráfego pode ser roteado por qualquer uma das sub-redes associadas quando eles estabelecem uma conexão. Portanto, eles poderão enfrentar problemas de conectividade se estiverem em uma sub-rede associada que não tenha as entradas de rota necessárias.

Por exemplo, digamos que você configure as seguintes associações de sub-rede e rotas:

• Associações de sub-rede

  • Associação 1: sub-rede A (us-east-1a)

  • Associação 2: sub-rede B (us-east-1b)

• Rotas

  • Rota 1:10.0.0.0/16 roteada para a sub-rede A

  • Rota 2:172.31.0.0/16 roteada para a sub-rede B

Neste exemplo, os clientes que entrarem na sub-rede A quando se conectarem não poderão acessar a Rota 2, enquanto os clientes que aterrissarem na sub-rede B quando se conectarem não poderão acessar a Rota 1.

Solução

Verifique se o endpoint do Client VPN tem as mesmas entradas de rota com destinos para cada rede associada. Isso garante que os clientes tenham acesso a todas as rotas, independentemente da sub-rede pela qual seu tráfego seja roteado.

Regras de autorização para grupos do Active Directory não funcionando conforme esperado

Problema

Configurei regras de autorização para meus grupos do Active Directory, mas elas não estão funcionando como eu esperava. Adicionei uma regra de autorização para 0.0.0.0/0 para autorizar o tráfego para todas as redes, mas ainda há falha no tráfego para CIDRs de destino específicos.

Causa

As regras de autorização são indexadas em CIDRs de rede. As regras de autorização devem conceder aos grupos do Active Directory acesso a CIDRs de rede específicos. As regras de autorização para 0.0.0.0/0 são tratadas como um caso especial e, portanto, são avaliadas por último, independentemente da ordem na qual as regras de autorização são criadas.

Por exemplo, digamos que você crie cinco regras de autorização na seguinte ordem:

• Regra 1: acesso do grupo 1 a 10.1.0.0/16

• Regra 2: acesso do grupo 1 a 0.0.0.0/0

• Regra 3: acesso do grupo 2 a 0.0.0.0/0

• Regra 4: acesso do grupo 3 a 0.0.0.0/0

• Regra 5: acesso do grupo 2 a 172.131.0.0/16

Neste exemplo, a regra 2, a regra 3 e a regra 4 são avaliadas por último. O grupo 1 tem acesso somente a 10.1.0.0/16, e o grupo 2 tem acesso somente a 172.131.0.0/16. O grupo 3 não tem acesso a 10.1.0.0/16 ou a 172.131.0.0/16, mas tem acesso a todas as outras redes. Se você remover as regras 1 e 5, todos os três grupos terão acesso a todas as redes.

O cliente VPN usa a correspondência de prefixo mais longa ao avaliar as regras de autorização. Consulte Prioridade de rota no Guia do usuário do Amazon VPC para obter mais detalhes.

Solução

Verifique se as regras de autorização criadas concedem explicitamente aos grupos do Active Directory acesso a CIDRs de rede específicos. Se você adicionar uma regra de autorização para 0.0.0.0/0, tenha em mente que ela será avaliada por último e que as regras de autorização anteriores podem limitar as redes às quais ela concede acesso.

Os clientes não podem acessar uma VPC emparelhada, o Amazon S3 ou a Internet

Problema

Configurei corretamente minhas rotas do endpoint do Client VPN, mas meus clientes não conseguem acessar uma VPC emparelhada, o Amazon S3 ou a Internet.

Solução

O fluxograma a seguir contém as etapas para diagnosticar problemas de conectividade da Internet, da VPC emparelhada e do Amazon S3.

1. Para acesso à Internet, adicione uma regra de autorização para 0.0.0.0/0.

   Para acesso a uma VPC emparelhada, adicione uma regra de autorização para o intervalo CIDR IPv4 da VPC.

   Para acesso ao S3, especifique o endereço IP do endpoint do Amazon S3.

2. Verifique se é possível resolver o nome DNS.

   Se não for possível resolver o nome DNS, verifique se você especificou os servidores DNS para o endpoint do Client VPN. Se você gerenciar seu próprio servidor DNS, especifique seu endereço IP. Verifique se o servidor DNS é acessível pela VPC.

   Se você não tiver certeza sobre qual endereço IP especificar para os servidores DNS, especifique o resolvedor DNS da VPC no endereço IP .2 na VPC.

3. Para ter acesso à Internet, verifique se você consegue executar ping em um endereço IP público ou em um site público, por exemplo, amazon.com. Se não receber uma resposta, certifique-se de que a tabela de rotas para as sub-redes associadas tenha uma rota padrão que tenha como destino um gateway da Internet ou um gateway NAT. Se a rota estiver em vigor, certifique-se de que a sub-rede associada não tenha regras de lista de controle de acesso à rede que bloqueiem o tráfego de entrada e saída.

   Se você não conseguir acessar uma VPC emparelhada, certifique-se de que a tabela de rotas da sub-rede associada tenha uma entrada de rota para a VPC emparelhada.

   Se não conseguir acessar o Amazon S3, certifique-se de que a tabela de rotas da sub-rede associada tenha uma entrada de rota para o VPC endpoint do gateway.

4. Verifique se é possível executar ping em um endereço IP público com uma carga maior que 1400 bytes. Use um dos seguintes comandos:

   • Windows

     C:\> ping  8.8.8.8 -l 1480 -f

   • Linux

     $ ping -s 1480 8.8.8.8 -M do

   Se não for possível executar ping em um endereço IP com uma carga útil maior que 1400 bytes, abra o arquivo de configuração .ovpn do endpoint do Client VPN usando seu editor de texto preferido e adicione o seguinte.

   mssfix 1328

O acesso a uma VPC emparelhada, ao Amazon S3 ou à Internet está intermitente

Problema

Tenho problemas de conectividade intermitentes ao me conectar a uma VPC emparelhada, ao Amazon S3 ou à Internet, mas o acesso a sub-redes associadas não foi afetado. Preciso me desconectar e reconectar para resolver os problemas de conectividade.

Causa

Os clientes se conectam a um endpoint do Client VPN com base no algoritmo round-robin do DNS. Isso significa que o tráfego pode ser roteado por qualquer uma das sub-redes associadas quando eles estabelecem uma conexão. Portanto, eles poderão enfrentar problemas de conectividade se estiverem em uma sub-rede associada que não tenha as entradas de rota necessárias.

Solução

Verifique se o endpoint do Client VPN tem as mesmas entradas de rota com destinos para cada rede associada. Isso garante que os clientes tenham acesso a todas as rotas, independentemente da sub-rede associada pela qual o tráfego é roteado.

Por exemplo, digamos que o endpoint do Client VPN tenha três sub-redes associadas (sub-rede A, B e C) e que você queira habilitar o acesso à Internet para seus clientes. Para fazer isso, adicione três rotas 0.0.0.0/0 – uma que tenha como destino cada sub-rede associada:

• Rota 1: 0.0.0.0/0 para a sub-rede A

• Rota 2: 0.0.0.0/0 para a sub-rede B

• Rota 3: 0.0.0.0/0 para a sub-rede C

O software cliente retorna erro TLS

Problema

Antes, eu podia conectar meus clientes ao Client VPN com êxito, mas agora o cliente baseado em OpenVPN retorna um dos seguintes erros quando ele tenta se conectar:

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) 
TLS Error: TLS handshake failed

Connection failed because of a TLS handshake error. Contact your IT administrator.

Possível causa nº. 1

Se você usa autenticação mútua e importou uma lista de revogação de certificados de cliente, a lista de revogação de certificados de cliente pode ter expirado. Durante a fase de autenticação, o endpoint do Client VPN verifica o certificado de cliente em relação à lista de revogação de certificados de cliente importada. Se a lista de revogação de certificados de cliente tiver expirado, não será possível conectar-se ao endpoint do Client VPN.

Solução nº. 1

Verifique a data de expiração da lista de revogação de certificados do cliente usando a ferramenta OpenSSL.

$ openssl crl -in path_to_crl_pem_file -noout -nextupdate

A saída exibe a data e a hora de expiração. Se a lista de revogação de certificados do cliente tiver expirado, você deverá criar uma nova e importá-la para o endpoint do Client VPN. Para ter mais informações, consulte Listas de revogação de certificados de cliente.

Possível causa nº. 2

O certificado do servidor que está sendo usado para o endpoint do Client VPN expirou.

Solução nº. 2

Verifique o status do seu certificado de servidor no AWS Certificate Manager console ou usando a AWS CLI. Se o certificado do servidor estiver expirado, crie outro certificado e faça upload para o ACM. Para obter as etapas detalhadas de geração dos certificados e das chaves de servidor e cliente usando o utilitário easy-rsa do OpenVPN e obter instruções sobre como importá-los para o ACM, consulte Autenticação mútua.

Como alternativa, pode haver um problema com o software baseado em OpenVPN que o cliente está usando para se conectar ao Client VPN. Para obter mais informações sobre a solução de problemas de software baseado em OpenVPN, consulte Solução de problemas de conexão do cliente VPN no Guia do usuário do AWS Client VPN .

O software cliente retorna erros de nome de usuário e senha (autenticação do Active Directory)

Problema

Uso a autenticação do Active Directory para meu endpoint do Client VPN e antes podia conectar meus clientes ao Client VPN com êxito. Mas agora, os clientes estão recebendo erros de nome de usuário e senha inválidos.

Possíveis causas

Se usar a autenticação do Active Directory e se tiver habilitado a autenticação multifator (MFA) depois de distribuir o arquivo de configuração do cliente, o arquivo não conterá as informações necessárias para pedir aos usuários que insiram o código da MFA. Os usuários são solicitados a inserir o nome de usuário e a senha, mas há falha na autenticação.

Solução

Baixe um novo arquivo de configuração do cliente e distribua-o para seus clientes. Verifique se o novo arquivo contém a seguinte linha:

static-challenge "Enter MFA code " 1

Para ter mais informações, consulte Exportar e configurar o arquivo de configuração do cliente. Teste a configuração de MFA para o Active Directory sem usar o endpoint do Client VPN para verificar se a MFA está funcionando conforme o esperado.

O software cliente retorna erros de nome de usuário e senha (autenticação federada)

Problema

Tentando fazer login com um nome de usuário e senha com autenticação federada e recebendo o erro “As credenciais recebidas estavam incorretas. Entre em contato com seu administrador de TI.”

Causa

Esse erro pode ser causado por não ter pelo menos um atributo incluído na resposta SAML do IdP.

Solução

Certifique-se de que pelo menos um atributo esteja incluído na resposta SAML do IdP. Consulte Recursos de configuração de IdPs baseados em SAML para obter mais informações.

Clientes não conseguem se conectar (autenticação mútua)

Problema

Uso autenticação mútua para o meu endpoint do Client VPN. Os clientes estão recebendo erros de falha na negociação de chave TLS e erros de tempo limite.

Possíveis causas

O arquivo de configuração que foi fornecido aos clientes não contém o certificado do cliente e a chave privada do cliente ou o certificado e a chave estão incorretos.

Solução

Certifique-se de que o arquivo de configuração contenha o certificado e a chave do cliente corretos. Se necessário, corrija o arquivo de configuração e redistribua-o para seus clientes. Para ter mais informações, consulte Exportar e configurar o arquivo de configuração do cliente.

O cliente retorna um erro de tamanho máximo de credenciais excedido (autenticação federada)

Problema

Uso autenticação federada para meu endpoint do Client VPN. Quando os clientes inserem o nome de usuário e a senha na janela do navegador do provedor de identidade (IdP) baseado em SAML, eles recebem um erro informando que as credenciais excedem o tamanho máximo permitido.

Causa

A resposta SAML retornada pelo IdP excede o tamanho máximo permitido. Para ter mais informações, consulte Requisitos e considerações para autenticação federada baseada em SAML.

Solução

Tente reduzir o número de grupos aos quais o usuário pertence no IdP e tente se conectar novamente.

O cliente não abre o navegador (autenticação federada)

Problema

Uso autenticação federada para meu endpoint do Client VPN. Quando os clientes tentam se conectar ao endpoint, o software cliente não abre uma janela do navegador e, em vez disso, exibe uma janela pop-up de nome de usuário e senha.

Causa

O arquivo de configuração fornecido aos clientes não contém o sinalizador auth-federate.

Solução

Exporte o arquivo de configuração mais recente, importe-o para o cliente AWS fornecido e tente se conectar novamente.

O cliente não retorna nenhum erro de portas disponíveis (autenticação federada)

Problema

Uso autenticação federada para meu endpoint do Client VPN. Quando os clientes tentam se conectar ao endpoint, o software cliente retorna o seguinte erro:

The authentication flow could not be initiated. There are no available ports. 

Causa

O cliente AWS fornecido requer o uso da porta TCP 35001 para concluir a autenticação. Para ter mais informações, consulte Requisitos e considerações para autenticação federada baseada em SAML.

Solução

Verifique se o dispositivo do cliente não está bloqueando a porta TCP 35001 ou a está usando para um processo diferente.

Conexão VPN encerrada devido à incompatibilidade de IP

Problema

A conexão VPN foi encerrada e o software cliente retorna o seguinte erro: "The VPN connection is being terminated due to a discrepancy between the IP address of the connected server and the expected VPN server IP. Please contact your network administrator for assistance in resolving this issue."

Causa

O cliente AWS fornecido exige que o endereço IP ao qual ele está conectado corresponda ao IP do servidor VPN que dá suporte ao endpoint do Client VPN. Para ter mais informações, consulte Regras e melhores práticas de AWS Client VPN.

Solução

Verifique se não há proxy DNS entre o cliente AWS fornecido e o endpoint do Client VPN.

O tráfego de roteamento para a LAN não está funcionando conforme o esperado

Problema

A tentativa de rotear o tráfego para a rede local (LAN) não funciona conforme o esperado quando os intervalos de endereços IP da LAN não estão dentro dos seguintes intervalos de endereços IP privados padrão: 10.0.0.0/8172.16.0.0/12,,192.168.0.0/16, ou169.254.0.0/16.

Causa

Se for detectado que o intervalo de endereços da LAN do cliente está fora dos intervalos padrão acima, o endpoint do Client VPN enviará automaticamente a diretiva OpenVPN “redirect-gateway block-local” para o cliente, forçando todo o tráfego da LAN para a VPN. Para ter mais informações, consulte Regras e melhores práticas de AWS Client VPN.

Solução

Se você precisar de acesso à LAN durante as conexões VPN, é recomendável usar os intervalos de endereços convencionais listados acima para sua LAN.

Verificar o limite de largura de banda para um endpoint do Client VPN

Problema

Preciso verificar o limite de largura de banda para um endpoint do Client VPN.

Causa

A taxa de transferência depende de vários fatores, como a capacidade da conexão do local e a latência da rede entre o aplicativo para desktop de Client VPN no computador e o VPC endpoint. Também há um limite de largura de banda de 10 Mbps por conexão de usuário.

Solução

Execute os comandos a seguir para verificar a largura de banda.

sudo iperf3 -s -V

No cliente:

sudo iperf -c server IP address -p port -w 512k -P 60