Solução de problemas do Client VPN - AWSClient VPN

Solução de problemas do Client VPN

O tópico a seguir pode ajudar a solucionar problemas que possam surgir com um endpoint do Client VPN.

Para obter mais informações sobre a solução de problemas de software baseado em OpenVPN que os clientes usam para se conectar a um cliente VPN, consulte Solução de problemas de conexão do cliente VPN no Guia do usuário do AWS Client VPN.

Não é possível resolver o nome DNS do endpoint do Client VPN.

Problem

Não consigo resolver o nome DNS do endpoint do Client VPN.

Cause

O arquivo de configuração do endpoint do Client VPN inclui um parâmetro chamado remote-random-hostname. Esse parâmetro força o cliente a preceder o nome DNS com uma string aleatória para impedir o armazenamento em cache de DNS. Alguns clientes não reconhecem esse parâmetro e, portanto, não precedem o nome DNS com a string aleatória necessária.

Solution

Abra o arquivo de configuração do endpoint do Client VPN usando seu editor de texto preferido. Localize a linha que especifica o nome DNS do endpoint da cliente VPN e adicione uma string aleatória ao início dela para que o formato seja string_aleatória.nome_DNS_exibido. Por exemplo:

  • Nome DNS original: cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com

  • Nome DNS modificado: asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.clientvpn.us-west-2.amazonaws.com

O tráfego não está sendo dividido entre as sub-redes

Problem

Estou tentando dividir o tráfego de rede entre duas sub-redes. O tráfego privado deve ser roteado por uma sub-rede privada, enquanto o tráfego da Internet deve ser roteado por uma sub-rede pública. No entanto, somente uma rota está sendo usada, embora eu tenha adicionado ambas as rotas à tabela de rotas do endpoint do Client VPN.

Cause

É possível associar várias sub-redes a um endpoint do Client VPN, mas somente uma sub-rede por zona de disponibilidade. O objetivo da associação de várias sub-redes é fornecer alta disponibilidade e redundância de zona de disponibilidade para os clientes. No entanto, o Client VPN não permite dividir o tráfego seletivamente entre as sub-redes associadas ao endpoint do Client VPN.

Os clientes se conectam a um endpoint do Client VPN com base no algoritmo round-robin do DNS. Isso significa que o tráfego pode ser roteado por qualquer uma das sub-redes associadas quando eles estabelecem uma conexão. Portanto, eles poderão enfrentar problemas de conectividade se estiverem em uma sub-rede associada que não tenha as entradas de rota necessárias.

Por exemplo, digamos que você configure as seguintes associações de sub-rede e rotas:

  • Associações de sub-rede

    • Associação 1: sub-rede A (us-east-1a)

    • Associação 2: sub-rede B (us-east-1b)

  • Rotas

    • Rota 1:10.0.0.0/16 roteada para a sub-rede A

    • Rota 2:172.31.0.0/16 roteada para a sub-rede B

Neste exemplo, os clientes que entrarem na sub-rede A quando se conectarem não poderão acessar a Rota 2, enquanto os clientes que aterrissarem na sub-rede B quando se conectarem não poderão acessar a Rota 1.

Solution

Verifique se o endpoint do Client VPN tem as mesmas entradas de rota com destinos para cada rede associada. Isso garante que os clientes tenham acesso a todas as rotas, independentemente da sub-rede pela qual seu tráfego seja roteado.

Regras de autorização para grupos do Active Directory não funcionando conforme esperado

Problem

Configurei regras de autorização para meus grupos do Active Directory, mas elas não estão funcionando como eu esperava. Adicionei uma regra de autorização para 0.0.0.0/0 para autorizar o tráfego para todas as redes, mas ainda há falha no tráfego para CIDRs de destino específicos.

Cause

As regras de autorização são indexadas em CIDRs de rede. As regras de autorização devem conceder aos grupos do Active Directory acesso a CIDRs de rede específicos. As regras de autorização para 0.0.0.0/0 são tratadas como um caso especial e, portanto, são avaliadas por último, independentemente da ordem na qual as regras de autorização são criadas.

Por exemplo, digamos que você crie cinco regras de autorização na seguinte ordem:

  • Regra 1: acesso do grupo 1 a 10.1.0.0/16

  • Regra 2: acesso do grupo 1 a 0.0.0.0/0

  • Regra 3: acesso do grupo 2 a 0.0.0.0/0

  • Regra 4: acesso do grupo 3 a 0.0.0.0/0

  • Regra 5: acesso do grupo 2 a 172.131.0.0/16

Neste exemplo, a regra 2, a regra 3 e a regra 4 são avaliadas por último. O grupo 1 tem acesso somente a 10.1.0.0/16, e o grupo 2 tem acesso somente a 172.131.0.0/16. O grupo 3 não tem acesso a 10.1.0.0/16 ou a 172.131.0.0/16, mas tem acesso a todas as outras redes. Se você remover as regras 1 e 5, todos os três grupos terão acesso a todas as redes.

O cliente VPN usa a correspondência de prefixo mais longa ao avaliar as regras de autorização. Consulte Prioridade de rota no Guia do usuário do Amazon VPC para obter mais detalhes.

Solution

Verifique se as regras de autorização criadas concedem explicitamente aos grupos do Active Directory acesso a CIDRs de rede específicos. Se você adicionar uma regra de autorização para 0.0.0.0/0, tenha em mente que ela será avaliada por último e que as regras de autorização anteriores podem limitar as redes às quais ela concede acesso.

Os clientes não podem acessar uma VPC emparelhada, o Amazon S3 ou a Internet

Problem

Configurei corretamente minhas rotas do endpoint do Client VPN, mas meus clientes não conseguem acessar uma VPC emparelhada, o Amazon S3 ou a Internet.

Solution

O fluxograma a seguir contém as etapas para diagnosticar problemas de conectividade da Internet, da VPC emparelhada e do Amazon S3.


				Etapas de solução de problemas do Client VPN
  1. Para acesso à Internet, adicione uma regra de autorização para 0.0.0.0/0.

    Para acesso a uma VPC emparelhada, adicione uma regra de autorização para o intervalo CIDR IPv4 da VPC.

    Para acesso ao S3, especifique o endereço IP do endpoint do Amazon S3.

  2. Verifique se é possível resolver o nome DNS.

    Se não for possível resolver o nome DNS, verifique se você especificou os servidores DNS para o endpoint do Client VPN. Se você gerenciar seu próprio servidor DNS, especifique seu endereço IP. Verifique se o servidor DNS é acessível pela VPC.

    Se você não tiver certeza sobre qual endereço IP especificar para os servidores DNS, especifique o resolvedor DNS da VPC no endereço IP .2 na VPC.

  3. Para ter acesso à Internet, verifique se você consegue executar ping em um endereço IP público ou em um site público, por exemplo, amazon.com. Se não receber uma resposta, certifique-se de que a tabela de rotas para as sub-redes associadas tenha uma rota padrão que tenha como destino um gateway da Internet ou um gateway NAT. Se a rota estiver em vigor, certifique-se de que a sub-rede associada não tenha regras de lista de controle de acesso à rede que bloqueiem o tráfego de entrada e saída.

    Se você não conseguir acessar uma VPC emparelhada, certifique-se de que a tabela de rotas da sub-rede associada tenha uma entrada de rota para a VPC emparelhada.

    Se não conseguir acessar o Amazon S3, certifique-se de que a tabela de rotas da sub-rede associada tenha uma entrada de rota para o VPC endpoint do gateway.

  4. Verifique se é possível executar ping em um endereço IP público com uma carga maior que 1400 bytes. Use um dos seguintes comandos:

    • Windows

      C:\> ping 8.8.8.8 -l 1480 -f
    • Linux

      $ ping -s 1480 8.8.8.8 -M do

    Se não for possível executar ping em um endereço IP com uma carga útil maior que 1400 bytes, abra o arquivo de configuração .ovpn do endpoint do Client VPN usando seu editor de texto preferido e adicione o seguinte.

    mssfix 1328

O acesso a uma VPC emparelhada, ao Amazon S3 ou à Internet está intermitente

Problem

Tenho problemas de conectividade intermitentes ao me conectar a uma VPC emparelhada, ao Amazon S3 ou à Internet, mas o acesso a sub-redes associadas não foi afetado. Preciso me desconectar e reconectar para resolver os problemas de conectividade.

Cause

Os clientes se conectam a um endpoint do Client VPN com base no algoritmo round-robin do DNS. Isso significa que o tráfego pode ser roteado por qualquer uma das sub-redes associadas quando eles estabelecem uma conexão. Portanto, eles poderão enfrentar problemas de conectividade se estiverem em uma sub-rede associada que não tenha as entradas de rota necessárias.

Solution

Verifique se o endpoint do Client VPN tem as mesmas entradas de rota com destinos para cada rede associada. Isso garante que os clientes tenham acesso a todas as rotas, independentemente da sub-rede associada pela qual o tráfego é roteado.

Por exemplo, digamos que o endpoint do Client VPN tenha três sub-redes associadas (sub-rede A, B e C) e que você queira habilitar o acesso à Internet para seus clientes. Para fazer isso, adicione três rotas 0.0.0.0/0 – uma que tenha como destino cada sub-rede associada:

  • Rota 1: 0.0.0.0/0 para a sub-rede A

  • Rota 2: 0.0.0.0/0 para a sub-rede B

  • Rota 3: 0.0.0.0/0 para a sub-rede C

O software cliente retorna erro TLS

Problem

Antes eu podia conectar meus clientes ao Client VPN com êxito, mas agora o cliente baseado em OpenVPN-retorna o seguinte erro quando ele tenta se conectar:

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) TLS Error: TLS handshake failed

Possíveis causas

Se você usa autenticação mútua e importou uma lista de revogação de certificados de cliente, a lista de revogação de certificados de cliente pode ter expirado. Durante a fase de autenticação, o endpoint do Client VPN verifica o certificado de cliente em relação à lista de revogação de certificados de cliente importada. Se a lista de revogação de certificados de cliente tiver expirado, não será possível conectar-se ao endpoint do Client VPN.

Como alternativa, pode haver um problema com o software baseado em OpenVPN que o cliente está usando para se conectar ao Client VPN.

Solution

Verifique a data de expiração da lista de revogação de certificados do cliente usando a ferramenta OpenSSL.

$ openssl crl -in path_to_crl_pem_file -noout -nextupdate

A saída exibe a data e a hora de expiração. Se a lista de revogação de certificados do cliente tiver expirado, você deverá criar uma nova e importá-la para o endpoint do Client VPN. Para obter mais informações, consulte . Listas de revogação de certificados de cliente.

Para obter mais informações sobre a solução de problemas de software baseado em OpenVPN, consulte Solução de problemas de conexão do cliente VPN no Guia do usuário do AWS Client VPN.

O software cliente retorna erros de nome de usuário e senha (autenticação do Active Directory)

Problem

Uso a autenticação do Active Directory para meu endpoint do Client VPN e antes podia conectar meus clientes ao Client VPN com êxito. Mas agora, os clientes estão recebendo erros de nome de usuário e senha inválidos.

Possíveis causas

Se usar a autenticação do Active Directory e se tiver habilitado a autenticação multifator (MFA) depois de distribuir o arquivo de configuração do cliente, o arquivo não conterá as informações necessárias para pedir aos usuários que insiram o código da MFA. Os usuários são solicitados a inserir o nome de usuário e a senha, mas há falha na autenticação.

Solution

Baixe um novo arquivo de configuração do cliente e distribua-o para seus clientes. Verifique se o novo arquivo contém a seguinte linha:

static-challenge "Enter MFA code " 1

Para obter mais informações, consulte . Exportar e configurar o arquivo de configuração do cliente. Teste a configuração de MFA para o Active Directory sem usar o endpoint do Client VPN para verificar se a MFA está funcionando conforme o esperado.

Clientes não conseguem se conectar (autenticação mútua)

Problem

Uso autenticação mútua para o meu endpoint do Client VPN. Os clientes estão recebendo erros de falha na negociação de chave TLS e erros de tempo limite.

Possíveis causas

O arquivo de configuração que foi fornecido aos clientes não contém o certificado do cliente e a chave privada do cliente ou o certificado e a chave estão incorretos.

Solution

Certifique-se de que o arquivo de configuração contenha o certificado e a chave do cliente corretos. Se necessário, corrija o arquivo de configuração e redistribua-o para seus clientes. Para obter mais informações, consulte . Exportar e configurar o arquivo de configuração do cliente.

O cliente retorna um erro de tamanho máximo de credenciais excedido (autenticação federada)

Problem

Uso autenticação federada para meu endpoint do Client VPN. Quando os clientes inserem o nome de usuário e a senha na janela do navegador do provedor de identidade (IdP) baseado em SAML, eles recebem um erro informando que as credenciais excedem o tamanho máximo permitido.

Cause

A resposta SAML retornada pelo IdP excede o tamanho máximo permitido. Para obter mais informações, consulte . Requisitos e considerações para autenticação federada baseada em SAML.

Solution

Tente reduzir o número de grupos aos quais o usuário pertence no IdP e tente se conectar novamente.

O cliente não abre o navegador (autenticação federada)

Problem

Uso autenticação federada para meu endpoint do Client VPN. Quando os clientes tentam se conectar ao endpoint, o software cliente não abre uma janela do navegador e, em vez disso, exibe uma janela pop-up de nome de usuário e senha.

Cause

O arquivo de configuração fornecido aos clientes não contém o sinalizador auth-federate.

Solution

Exporte o arquivo de configuração mais recente, importe-o para o cliente fornecido pela AWS e tente se conectar novamente.

O cliente não retorna nenhum erro de portas disponíveis (autenticação federada)

Problem

Uso autenticação federada para meu endpoint do Client VPN. Quando os clientes tentam se conectar ao endpoint, o software cliente retorna o seguinte erro:

The authentication flow could not be initiated. There are no available ports.

Cause

O cliente fornecido pela AWS requer o uso da porta TCP 35001 para concluir a autenticação. Para obter mais informações, consulte . Requisitos e considerações para autenticação federada baseada em SAML.

Solution

Verifique se o dispositivo do cliente não está bloqueando a porta TCP 35001 ou a está usando para um processo diferente.

Verificar o limite de largura de banda para um endpoint do Client VPN

Problem

Preciso verificar o limite de largura de banda para um endpoint do Client VPN.

Cause

A taxa de transferência depende de vários fatores, como a capacidade da conexão do local e a latência da rede entre o aplicativo para desktop de Client VPN no computador e o VPC endpoint.

Solution

Execute os comandos a seguir para verificar a largura de banda.

sudo iperf3 -s -V

No cliente:

sudo iperf -c server IP address -p port -w 512k -P 60