Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Cisco ASA Customer Gateway - AWS Site-to-Site VPN
IKEIPsecRoteamento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Cisco ASA Customer Gateway

Ao solucionar problemas de conectividade de um dispositivo Cisco Customer Gateway IKEIPsec, considere o roteamento. Você pode solucionar essas áreas em qualquer ordem, mas recomendamos que comece com IKE (na parte inferior da pilha de rede) e suba.

Importante

Alguns Cisco suportam ASAs apenas o modo ativo/em espera. Quando você usa esses CiscoASAs, você pode ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo somente se o primeiro túnel ficar indisponível. O túnel em espera pode gerar o seguinte erro nos arquivos de log, o qual pode ser ignorado: Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside.

IKE

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IKE configurado corretamente.

ciscoasa# show crypto isakmp sa

   Active SA: 2
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: AWS_ENDPOINT_1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

Você deve ver uma ou mais linhas contendo um valor de src do gateway remoto especificado nos túneis. O valor de state deve ser MM_ACTIVE e o status deve ser ACTIVE. A ausência de uma entrada, ou de qualquer entrada em outro estado, indica que ela não IKE está configurada corretamente.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log que fornecem informações de diagnóstico.

router# term mon
router# debug crypto isakmp

Para desativar a depuração, use o comando a seguir.

router# no debug crypto isakmp

IPsec

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.

ciscoasa# show crypto ipsec sa
interface: outside
    Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

      access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
      current_peer: integ-ppe1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 6D9F8D3B
      current inbound spi : 48B456A6

    inbound esp sas:
      spi: 0x48B456A6 (1219778214)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x6D9F8D3B (1839172923)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001

Para a interface de cada túnel, você deve ver inbound esp sas e outbound esp sas. Isso pressupõe que uma SA esteja listada (por exemplo,spi: 0x48B456A6) e que IPsec esteja configurada corretamente.

Na CiscoASA, isso IPsec só aparece após o envio de tráfego interessante (tráfego que deveria ser criptografado). Para manter sempre o IPsec ativo, recomendamos configurar um SLA monitor. O SLA monitor continua enviando tráfego interessante, mantendo o IPsec ativo.

Você também pode usar o seguinte comando ping para forçá-lo IPsec a iniciar a negociação e subir.

ping ec2_instance_ip_address
Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Para solucionar outros problemas, use o comando a seguir para ativar a depuração.

router# debug crypto ipsec

Para desativar a depuração, use o comando a seguir.

router# no debug crypto ipsec

Roteamento

Execute ping na outra extremidade do túnel. Se isso estiver funcionando, você IPsec deve estar estabelecido. Se isso não estiver funcionando, verifique suas listas de acesso e consulte a IPsec seção anterior.

Se não conseguir acessar as instâncias, verifique as seguintes informações:

  1. Verifique se a lista de acesso está configurada para permitir tráfego associado ao mapa de criptografia.

    É possível fazer isso usando o comando a seguir.

    ciscoasa# show run crypto
    crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
crypto map VPN_crypto_map_name 1 match address access-list-name
crypto map VPN_crypto_map_name 1 set pfs
crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

  2. Verifique a lista de acesso usando o comando a seguir.

    ciscoasa# show run access-list access-list-name
    access-list access-list-name extended permit ip any vpc_subnet subnet_mask

  3. Verifique se a lista de acesso está correta. O exemplo de lista de acesso a seguir permite todo o tráfego interno para a VPC sub-rede 10.0.0.0/16.

    access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

  4. Execute um traceroute a partir do ASA dispositivo Cisco, para ver se ele alcança os roteadores da Amazon (por exemplo, AWS_ENDPOINT_1/AWS_ENDPOINT_2).

    Se isso chegar ao roteador da Amazon, verifique as rotas estáticas que você adicionou no VPC console da Amazon e também os grupos de segurança das instâncias específicas.

  5. Para solucionar outros problemas, revise a configuração.