¿Por qué mi conexión de AWS Site-to-Site VPN está en estado INACTIVA con IPSEC ACTIVA cuando la puerta de enlace de cliente está ACTIVA?

5 minutos de lectura
0

La puerta de enlace de cliente que está configurada para mi conexión de AWS Site-to-Site VPN está ACTIVA, pero la consola de Site-to-Site VPN muestra que mi conexión está INACTIVA.

Descripción breve

Puede que la consola de Site-to-Site VPN muestre que el estado de la conexión es IPSEC ACTIVA, pero el estado del túnel es INACTIVO. Esto significa que la seguridad del protocolo de Internet (IPsec) está establecida, pero el protocolo de puerta de enlace fronteriza (BGP) no está establecido. Para que una conexión de Site-to-Site VPN dinámica aparezca como ACTIVA en AWS, tanto la IPSEC como el BGP deben estar debidamente establecidos.

Resolución

Confirmar que la puerta de enlace de cliente es compatible con el BGP

  1. Confirme que su puerta de enlace de cliente es compatible y está configurada con el BGP.
  2. Confirme si el lado local de su conexión utiliza un enrutamiento dinámico (BGP) o estático (conexión de Site-to-Site VPN basada en políticas o basada en rutas estáticas). Si el lado local utiliza el enrutamiento estático, debe volver a crear la conexión de Site-to-Site VPN en AWS.

Al crear una conexión de Site-to-Site VPN mediante AWS, se selecciona la opción de enrutamiento dinámico de forma predeterminada. Si crea una conexión de Site-to-Site VPN sin elegir el enrutamiento estático, se crea una conexión de Site-to-Site VPN dinámica. No puede modificar la opción de enrutamiento de una conexión de Site-to-Site VPN existente, por lo que debe crear una nueva conexión de Site-to-Site VPN para utilizar el enrutamiento estático.

Al eliminar una conexión de Site-to-Site VPN y crear una nueva conexión, se asigna un nuevo par de direcciones IP públicas a los túneles. Debe reconfigurar el dispositivo de puerta de enlace de cliente y actualizar las IP públicas del mismo nivel como corresponda. Sin embargo, cuando cree una nueva conexión, puede usar el túnel que hay dentro de las IP y la clave secreta previamente compartida de su anterior conexión de Site-to-Site VPN. No necesita usar los detalles que AWS genera automáticamente.

Verificar el dominio de cifrado y los ID de proxy

  1. Confirme si el dominio de cifrado o el ID de proxy que está configurado tanto en AWS como en su dispositivo de puerta de enlace de cliente es 0.0.0.0/0 = 0.0.0.0/0.
  2. En AWS, compruebe el CIDR de la red IPV4 local (CIDR local) y el CIDR de la red IPv4 remota (CIDR de AWS).
  3. En la puerta de enlace de cliente, siga las instrucciones proporcionadas por el proveedor para comprobar el dominio de cifrado y el ID del proxy.
  4. Si ha activado los registros de Site-to-Site VPN para su conexión, revise el grupo de registros de Amazon CloudWatch que contiene sus registros de Site-to-Site VPN. Elija la secuencia de registro para el punto de conexión de Site-to-Site VPN. A continuación, elija Fase 2 SA de túnel de AWS establecida con SPI** para filtrar las secuencias de registro. Ahora puede ver el selector de tráfico negociado por la puerta de enlace de cliente, considerando que AWS tenga el valor predeterminado de 0.0.0.0/0 = 0.0.0.0/0.

La secuencia de registro tiene un formato similar a vpn-id-VPN_Peer_IP-IKE.log. Consulte el siguiente ejemplo de salida:

{
"event_timestamp": 1673252138,
"details": "AWS tunnel Phase 2 SA is established with
inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors:
(AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16",
"dpd_enabled": true,
"nat_t_detected": true,
"ike_phase1_state": "established",
"ike_phase2_state": "established"}

Nota: Si utiliza una conexión de Site-to-Site VPN dinámica, el selector de tráfico debe ser lo suficientemente amplio como para cubrir todo el tráfico. Esto incluye las direcciones IP de APIPA que se utilizan para los pares de BGP. En el ejemplo anterior, actualiza el dominio de cifrado de su dispositivo de puerta de enlace de cliente a 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0 (local).

Si el lado de AWS de su conexión tiene definido un dominio de cifrado específico, modifique las opciones de conexión de Site-to-Site VPN. Asegúrese de que tanto el CIDR de la red IPv4 local como el CIDR de la red IPv4 remota estén establecidos en 0.0.0.0/0.

Activar NAT-T para una conexión de Site-to-Site VPN acelerada

Es posible que su conexión de Site-to-Site VPN termine en una puerta de enlace de tránsito con la aceleración activada. Con esta configuración, asegúrese de que NAT-T está activado en el dispositivo de puerta de enlace de cliente.

Nota: NAT-T debe estar activado para una conexión de Site-to-Site VPN acelerada. Si NAT-T no está activado en el dispositivo de puerta de enlace de cliente, se establece la IPsec pero no fluye tráfico a través de la conexión de Site-to-Site VPN. Esto incluye el tráfico del BGP. Para obtener más información, consulte Reglas y restricciones de las conexiones de Site-to-Site VPN aceleradas.

Solucionar problemas del BGP

Si el problema persiste, consulte los pasos que se indican en ¿Cómo puedo solucionar los problemas de conexión del BGP a través de una VPN?

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 10 meses