Comment résoudre les erreurs de configuration BYOIP courantes dans mon VPC ?

Brève description

Les erreurs courantes qui se produisent lorsque vous configurez BYOIP dans votre VPC sont les suivantes :

• L'autorisation d'origine de la route (ROA) n'est pas valide ou est introuvable pour le CIDR et les numéros de système autonome Amazon (ASN).
• Aucun certificat X509 n'a été trouvé dans les remarques du WHOIS.
• La plage d'adresses IP n'est pas un type d'allocation acceptable dans le registre Internet associé.
• La signature CidrAuthorizationContext ne peut pas être vérifiée à l'aide des certificats X509 contenus dans les enregistrements des Registres Internet Régionaux (RIR).
• Votre adresse IP est bloquée en attente de fourniture.

Résolution

Erreur: Le ROA n'est pas valide ou est introuvable pour le CIDR et les ASNs Amazon

Remarque : Si vous recevez des erreurs lors de l'exécution des commandes de l'interface de la ligne de commande AWS (AWS CLI), vérifiez que vous utilisez la version la plus récente de l’AWS CLI.

Créez un ROA pour autoriser les numéros ASN 16509 et 14618 d'Amazon à publier vos plages d'adresses. Le ROA met jusqu'à 24 heures pour rendre les ASN disponibles pour Amazon.

Pour confirmer la création du ROA et le mappage ASN, utilisez le rpki-validator de RIPE. Utilisez un navigateur ou une boucle depuis la ligne de commande pour terminer la confirmation.

Exemple de navigateur

https://rpki-validator.ripe.net/json?select-prefix = X.X.X.X/{longueur du préfixe}

Remarque : Dans l'exemple précédent, remplacez X.X.X.X/{prefix-length} par votre plage d'adresses.

Exemple de ligne de commande

curl https://rpki-validator.ripe.net/json?select-prefix=X.X.X.X/{prefix-length}

Remarque : Dans l'exemple précédent, remplacez X.X.X.X/{prefix-length} par votre plage d'adresses.

Exemple de sortie valide :

{
  "metadata": {
  "generated": 1685008213,
    "generatedTime": "2023-05-25T09:50:13Z"
  },
  "roas": [
    { "asn": "AS14618", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" },
    { "asn": "AS16509", "prefix": "X.X.X.X/{prefix-length}", "maxLength": X, "ta": "arin" }
  ]
}

Exemple de sortie non valide :

{
  "metadata": {
  "generated": 1685008305,
    "generatedTime": "2023-05-25T09:51:45Z"
  },
  "roas": [

  ]
}

Pour éviter cette erreur, effectuez les tâches suivantes :

• Le ROA doit être valide pour les deux ASN pendant la période d'utilisation. Il doit également être spécifique aux plages d'adresses que vous importez dans AWS. Pour plus d'informations, consultez la section « Préparation de votre plage d'adresses IP » dans Présentation de apportez votre propre adresse IP (BYOIP).
• Attendez 24 heures après avoir créé un ROA avant de le reprovisionner.

Erreur: Aucun certificat X509 n'a été trouvé dans les remarques du WHOIS

Les raisons les plus courantes de cette erreur sont les suivantes :

• Il n'y a pas de certificat dans l'enregistrement RDAP pour le RIR.
• Le certificat contient des nouveaux caractères de ligne.
• Le certificat n'est pas valide.
• Le certificat n'est pas généré à partir de la paire de clés valide.

Assurez-vous de créer et de télécharger correctement le certificat. Pour plus d'informations, consultez Créer une paire de clés pour l'authentification AWS.

Pour résoudre cette erreur, vérifiez que le certificat chargé est valide. Utilisez le WHOIS pour vérifier l'enregistrement de la portée du réseau dans le RIR.

Pour ARIN :

whois -a <Public IP>

Consultez la section Commentaires pour la NetRange (plage réseau). Ajoutez le certificat à la section desCommentaires Publics correspondant à votre plage d'adresses.

Pour RIPE :

whois -r <Public IP>

Consultez la section descr pour l'objet inetnum (plage réseau) sur l'écran WHOIS. Ajoutez le certificat dans le champ desc correspondant à votre plage d'adresses.

Pour APNIC :

whois -A <Public IP>

Consultez la section remarques pour l'objet inetnum (plage réseau) dans l'écran WHOIS. Assurez-vous que le certificat figure dans le champ remarques correspondant à votre plage d'adresses.

Une fois la vérification terminée, effectuez les tâches suivantes :

1. S'il n'y a pas de certificat, créez-en un nouveau. Suivez ensuite les étapes décrites dans la section Résolution de cet article pour le télécharger.
   S'il existe un certificat, assurez-vous qu'il n'y a pas de nouvelles lignes. S'il y a de nouvelles lignes, supprimez-les comme indiqué dans l'exemple suivant :

   openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

2. Vérifiez que le certificat est valide. Pour ce faire, copiez le contenu du certificat dans un nouveau fichier et exécutez la commande suivante :

   openssl x509 -in example.crt -text -noout

   Si vous recevez le message d'erreur Impossible de charger le certificat, ajoutez une nouvelle ligne après BEGIN CERTIFICATE et une autre ligne avant END CERTIFICATE.

3. Si aucune des conditions ci-dessus ne s'applique, c'est qu'une paire de clés incorrecte a été utilisée pour générer le certificat.

Erreur: La plage d'adresses IP n'est pas un type d'allocation acceptable dans le registre Internet associé

Les raisons de cette erreur sont les suivantes :

• Le type d'allocation RIR pour la plage d'adresses est incorrect.
• Le registre n'est pas pris en charge.

Il existe cinq registres Internet régionaux (RIR) : AFRINIC, ARIN, APNIC, LACNIC et RIPE. AWS prend en charge les préfixes enregistrés ARIN, RIPE et APNIC.

Pour vérifier le RIR, utilisez le WHOIS :

whois <public ip>

Pour RIPE : Vérifiez que le Statut est ALLOCATED PA, LEGACY ou ASSIGNED PI.

Pour ARIN : Vérifiez que le NetType est Allocation directe ou Affectation directe.

Pour APNIC : Vérifiez que le Statut est ALLOCATED PORTABLE ou ASSIGNED PORTABLE.

Remarque : Certains commentaires peuvent indiquer que les Adresses de ce bloc ne sont pas portables. Ce commentaire est une confirmation supplémentaire que le RIR ne peut pas fournir cette plage d'adresses.

L'erreur précédente se produit pour les raisons suivantes :

• Le statut (pour RIPE et APNIC) ou NetType (pour ARIN) ne correspond à aucun des statuts répertoriés dans la section précédente.
• Le registre n'est pas pris en charge.

Erreur: La signature CidrAuthorizationContext ne peut pas être vérifiée à l'aide des certificats X509 contenus dans les enregistrements RIR

Lorsque vous fournissez les plages d'adresses, AWS doit vérifier la signature de l'appel d'API. AWS utilise la clé publique dérivée du certificat pour vérifier la signature dans l'appel d'API aws ec2 provision-byoip-cidr. Cette erreur indique l'échec de la vérification cryptographique de la signature.

Les raisons courantes de cette erreur sont les suivantes :

• Lorsque vous effectuez un approvisionnement, vous n'utilisez pas la bonne signature.
• Vous avez signé le message avec la mauvaise clé privée.
• Vous avez chargé le mauvais certificat dans l'enregistrement RDAP avec le RIR

Erreur: Votre adresse IP est bloquée dans l'état « en attente de fourniture »

Il faut jusqu'à une semaine pour terminer le processus d'approvisionnement pour les gammes faisant l'objet d'une publicité publique. Utilisez la commande describe-byoip-cidrs pour suivre la progression, comme illustré dans l'exemple suivant :

aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

Si l'état passe à provision échouée, exécutez à nouveau la commande provision-byoip-cidr après avoir résolu les problèmes.

Pour plus d'informations, voir Provisionner une plage d'adresses publiée dans AWS.

Informations connexes

Apportez vos propres adresses IP (BYOIP) dans Amazon Elastic Compute Cloud (Amazon EC2)

Apportez votre propre adresse IP