El túnel VPN entre la puerta de enlace de cliente y la puerta de enlace privada virtual está activo, pero el tráfico no pasa por él. ¿Qué puedo hacer?

Resolución

Para solucionar este problema, confirme que Amazon VPC, la puerta de enlace privada virtual y la puerta de enlace de cliente estén configuradas correctamente.

Revise la configuración de su Amazon VPC y su puerta de enlace privada virtual

1. Compruebe que la puerta de enlace privada virtual asociada a la conexión VPN esté conectada a su Amazon VPC.
2. Confirme que las redes privadas locales y de VPC no estén superpuestas, ya que la superposición de subredes puede provocar problemas de enrutamiento a través del túnel VPN.
3. Para las conexiones VPN basadas en rutas estáticas, compruebe que las rutas de las redes privadas locales estén configuradas consultando la pestaña Rutas estáticas de su conexión VPN.
4. Para las conexiones VPN basadas en BGP, compruebe que la sesión de BGP esté establecida. Asegúrese también que la puerta de enlace privada virtual reciba rutas BGP de su puerta de enlace de cliente consultando la pestaña Detalles del túnel de su conexión VPN.
5. Configure la tabla de enrutamiento de la VPC para incluir las rutas a las redes privadas locales. Enrútelas a la puerta de enlace privada virtual para que las instancias de Amazon VPC puedan llegar a sus redes locales. Puede añadir estas rutas manualmente a la tabla de enrutamiento de VPC o puede utilizar la propagación de rutas para propagar automáticamente estas rutas.
6. Confirme que los grupos de seguridad de VPC y las listas de control de acceso (ACL) estén configurados para permitir el tráfico necesario (ICMP, RDP, SSH) hacia las subredes locales y desde ellas para el tráfico entrante y saliente.
7. Lleve a cabo capturas de paquetes en varias instancias de Amazon Elastic Compute Cloud (Amazon EC2) en diferentes zonas de disponibilidad para confirmar que el tráfico del host local llega a su Amazon VPC.

Revise la puerta de enlace de cliente

1. Confirme que la configuración de IPsec de su dispositivo VPN cumple con los requisitos de la puerta de enlace de cliente.
2. Compruebe que los paquetes de su puerta de enlace de cliente estén cifrados y se envíen a través del túnel VPN.
3. En el caso de las configuraciones basadas en políticas, compruebe los Detalles de su conexión VPN para comprobar que los selectores de tráfico estén configurados correctamente. (Local IPv4 Network Cidr = rango CIDR para la puerta de enlace de cliente y Remote IPv4 Network Cidr = rango CIDR del lado de AWS)
4. Para las configuraciones basadas en políticas, asegúrese de limitar el número de políticas de cifrado a una sola política. Nota: AWS solo admite un par de asociaciones de seguridad (SA) de fase 2 por túnel VPN.
5. Si sus túneles de VPN están basados en rutas, confirme que ha configurado correctamente las rutas a su CIDR de VPC.
6. Confirme que el tráfico enviado a través del túnel no esté traducido a la dirección IP de la puerta de enlace de cliente de la conexión VPN. Si tiene un requisito específico de NAT para su tráfico de VPN, configúrelo con una dirección IP diferente a la dirección IP de la puerta de enlace de cliente.
7. Si su puerta de enlace de cliente no se encuentra detrás de un dispositivo NAT, se recomienda desactivar NAT-Traversal.
8. Confirme que no haya políticas de firewall ni ACL que interfieran con el tráfico IPsec entrante o saliente.
9. Lleve a cabo una captura de paquetes para el tráfico ESP en la interfaz WAN de su dispositivo de puerta de enlace de cliente para confirmar que envía y recibe paquetes cifrados.

Información relacionada

Su dispositivo de puerta de enlace de cliente