Il tunnel VPN tra il gateway del mio cliente e il mio gateway privato virtuale è attivo, ma non riesco a far passare il traffico attraverso di esso. Cosa posso fare?

Soluzione

Per risolvere questo problema, verifica che Amazon VPC, il gateway privato virtuale e il gateway del cliente siano configurati correttamente.

Esaminare la configurazione del tuo Amazon VPC e del tuo gateway privato virtuale

1. Verifica che il gateway privato virtuale associato alla connessione VPN sia collegato al tuo Amazon VPC.
2. Verifica che le reti private locali e VPC non si sovrappongano. La sovrapposizione delle sottoreti infatti può causare problemi di routing attraverso il tunnel VPN.
3. Per le connessioni VPN statiche basate su percorsi, verifica che i percorsi per le tue reti private locali siano configurati controllando la scheda Percorsi statici della tua connessione VPN.
4. Per le connessioni VPN basate su BGP, verifica che la sessione BGP sia stabilita. Verifica inoltre che il gateway privato virtuale riceva percorsi BGP dal gateway del tuo cliente controllando la scheda Dettagli del tunnel della tua connessione VPN.
5. Configura la tabella dei percorsi VPC per includere i percorsi verso le tue reti private on-premise. Indirizzali al tuo gateway privato virtuale in modo che le istanze del tuo Amazon VPC possano raggiungere le tue reti on-premise. Puoi aggiungere manualmente questi percorsi alla tabella di routing VPC oppure utilizzare la propagazione dei percorsi per propagarli automaticamente.
6. Verifica che i gruppi di sicurezza VPC e le liste di controllo degli accessi (ACL) siano configurati per consentire il traffico necessario (ICMP, RDP, SSH) da e verso le sottoreti on-premise per il traffico in entrata e in uscita.
7. Esegui l'acquisizione di pacchetti su più istanze di Amazon Elastic Compute Cloud (Amazon EC2) in diverse zone di disponibilità per confermare che il traffico proveniente dall'host on-premise raggiunga il tuo Amazon VPC.

Controllare il tuo gateway del cliente

1. Verifica che la configurazione IPSec sul tuo dispositivo VPN soddisfi i requisiti del gateway del tuo cliente.
2. Verifica che i pacchetti provenienti dal gateway del tuo cliente siano crittografati e inviati attraverso il tunnel VPN.
3. Per le configurazioni basate su policy, controlla i Dettagli della tua connessione VPN per verificare che i selettori di traffico siano configurati correttamente. (Rete IPv4 locale Cidr = intervallo CIDR del gateway del cliente e rete IPv4 remota Cidr = intervallo CIDR lato AWS)
4. Per le configurazioni basate su policy, assicurarsi di limitare il numero di policy di crittografia a un singolo criterio. Nota: AWS supporta solo una coppia di associazioni di sicurezza (SA) di fase 2 per tunnel VPN.
5. Se i tuoi tunnel VPN sono basati su percorsi, conferma di aver configurato correttamente i percorsi verso il tuo CIDR VPC.
6. Verifica che il traffico inviato attraverso il tunnel non sia convertito nell'indirizzo IP del gateway del cliente della connessione VPN. Se hai un’esigenza per applicare il NAT al tuo traffico VPN, configuralo utilizzando un indirizzo IP diverso da quello del gateway del cliente.
7. Se il gateway del tuo cliente non è protetto da un dispositivo NAT, è consigliabile disattivare NAT-Traversal.
8. Verifica che non vi siano policy firewall o ACL che interferiscano con il traffico IPSec in entrata o in uscita.
9. Esegui un'acquisizione di pacchetti per il traffico ESP sull'interfaccia WAN del dispositivo gateway del cliente per confermare che stia inviando e ricevendo pacchetti crittografati.

Informazioni correlate

Il dispositivo gateway del cliente