Come posso risolvere i problemi di connettività del tunnel VPN con un Amazon VPC?

6 minuti di lettura

Ho problemi a stabilire e mantenere una connessione VPN sito-sito AWS con la mia infrastruttura AWS all'interno di un Amazon Virtual Private Cloud (Amazon VPC).

Breve descrizione

Il modello di rete di Amazon VPC supporta connessioni di rete privata virtuale (VPN) IPsec standard aperte e crittografate con l'infrastruttura AWS. La creazione di una connessione tunnel VPN con un Amazon VPC prevede i passaggi seguenti:

Configurazione del tunnel VPN Internet Key Exchange (IKE)
Configurazione della Internet Protocol security (IPSec) per il tunnel VPN
Configurazione della lista di controllo degli accessi alla rete (NACL)
Configurazione delle regole del gruppo di sicurezza per Amazon VPC
Configurazione della tabella di routing di rete per le istanze Amazon Elastic Compute Cloud (Amazon EC2)
Configurazione del firewall per l'istanza Amazon EC2
Configurazione del gateway VPN, incluso Gateway Privato Virtuale o Gateway di transito

Se riscontri problemi nello stabilire o mantenere una connessione VPN sito-sito dal tuo Amazon VPC, prova quanto segue per risolverli.

Risoluzione

Se non è possibile stabilire un tunnel VPN sito-sito

Per risolvere un errore che si presenta durante la creazione di un tunnel VPN sito-sito, è necessario determinare in quale fase si è verificato l'errore:

Se la fase Internet Key Exchange (IKE) ha esito negativo, segui la procedura descritta nella pagina Perché IKE (fase 1 del mio tunnel VPN) non funziona in Amazon VPC?
Se la fase Internet Protocol Security (IPsec/Fase 2) ha esito negativo, segui i passaggi descritti nella pagina Why is IPsec/Phase 2 for AWS Site-to-Site VPN failing to establish a connection?

Se vengono stabiliti tunnel VPN sito-sito

Se sono stati stabiliti entrambi i tunnel VPN, procedi nel modo seguente:

Apri la console Amazon EC2, quindi visualizza le liste di controllo degli accessi alla rete (NACL) nel tuo Amazon VPC. Le NACL personalizzate potrebbero influire sulla capacità della VPN associata di stabilire la connettività di rete. Per ulteriori informazioni, consulta la pagina Utilizzo di ACL di rete .
Segui i passaggi indicati nella pagina Update security group rules per attivare l'accesso SSH, RDP e ICMP in entrata.
Verifica che le tabelle di routing specificate nelle tue istanze Amazon EC2 siano corrette. Per ulteriori informazioni, consulta la pagina Utilizzo delle tabelle di routing.
Quando si utilizza una configurazione Active/Active in cui entrambi i tunnel sono attivi: Durante l'utilizzo di una configurazione Active/Active, AWS assegna automaticamente uno dei tunnel attivi come tunnel VPN preferito per l'invio del traffico da AWS alla rete on-premises. Quando utilizzi configurazioni Active/Active, il gateway del cliente deve avere attivato il Routing asimmetrico sulle interfacce del tunnel virtuale. Per ulteriori informazioni, consulta la pagina How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?
Verifica che non ci siano firewall che bloccano il traffico verso l'istanza Amazon EC2 all'interno del VPC:

Per un'istanza Amazon EC2 Windows: Apri un prompt dei comandi, quindi esegui il comando WF.msc.
Per un'istanza Amazon EC2 Linux: Apri il terminale, quindi esegui il comando iptables con gli argomenti appropriati. Per ulteriori informazioni sul comando iptables, esegui il comando man iptables dal terminale.
Se il dispositivo gateway del cliente implementa una VPN basata su policy: occorre notare che AWS limita il numero di associazioni di sicurezza a una singola coppia. Per singola coppia si intende un'associazione di sicurezza in entrata e una in uscita. Quando utilizzi una VPN basata su policy, è consigliabile impostare l'indirizzo di origine della rete interna su 0.0.0.0/0. Quindi, imposta l'indirizzo di destinazione come sottorete VPC (esempio: 192.168.0.0/16). Queste impostazioni indirizzano il traffico verso il VPC e attraversano la VPN senza creare ulteriori associazioni di sicurezza. Per ulteriori informazioni, consulta la pagina Come posso risolvere i problemi di connessione tra un endpoint VPN AWS e una VPN basata su policy?

Se la connettività dell'istanza e le configurazioni VPC sono escluse come possibili cause principali

Esegui l'utilità traceroute da una sessione del terminale Linux. In alternativa, esegui l'utilità tracert da un prompt dei comandi di Windows. Sia traceroute che tracert devono essere eseguiti dalla rete interna a un'istanza Amazon EC2 nel VPC con cui è connessa la VPN.

Se l'output di traceroute si interrompe su un indirizzo IP associato alla rete interna, verifica che il percorso di routing verso il dispositivo edge VPN sia corretto.
Se l'output di tracert si interrompe su un indirizzo IP associato alla rete interna, verifica che il percorso di routing verso il dispositivo edge VPN sia corretto.
Se verifichi che il traffico proveniente dalla tua rete interna sta raggiungendo il dispositivo gateway del cliente, ma non riesce a raggiungere l'istanza EC2: Verifica che la configurazione VPN, le policy e le impostazioni NAT del gateway del cliente siano corrette. Successivamente, verifica che i dispositivi upstream, se presenti, permettano il flusso di traffico.

Risoluzione dei problemi con il Border Gateway Protocol (BGP)

Se il Border Gateway Protocol (BGP) non funziona, assicurati di aver definito il Numero di sistema autonomo (ASN) per il BGP. L'ASN è il numero che hai usato quando hai creato il gateway del cliente. L'ASN associato al gateway del cliente è incluso nelle proprietà della configurazione VPN scaricabile. Per ulteriori informazioni, consulta Gateway privato virtuale.

Puoi utilizzare un ASN esistente già assegnato alla rete. Se non è stato assegnato un ASN, puoi utilizzare un ASN privato entro l'intervallo 64512-65534. L'ASN configurato deve corrispondere a quello indicato durante la creazione della VPN in AWS. Assicurati che qualsiasi configurazione del firewall locale sul gateway del cliente consenta il passaggio del traffico BGP verso AWS. Per ulteriori informazioni sulla risoluzione dei problemi di connettività del gateway, consulta la pagina Risoluzione dei problemi relativi al dispositivo gateway del cliente.

Informazioni correlate

What is AWS Site-to-Site VPN?

VPC with public and private subnets and AWS Site-to-Site VPN access

VPC with a private subnet only and AWS Site-to-Site VPN access

Come posso risolvere i problemi di connessione BGP tramite VPN?

Argomenti

Networking e distribuzione di contenuti

Tag

AWS Virtual Private Network (VPN)

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Come posso risolvere i problemi di connessione tra Transit Gateway e le appliance virtuali di terze parti in esecuzione in un VPC?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi di connettività quando utilizzo il gateway NAT sul mio Amazon VPC privato?
AWS UFFICIALEAggiornata 7 mesi fa
Come posso risolvere i problemi di connettività con i miei endpoint Amazon VPC di interfaccia?
AWS UFFICIALEAggiornata 7 mesi fa
Come posso risolvere i problemi degli endpoint VPC nella configurazione di rete del mio ambiente privato Elastic Beanstalk?
AWS UFFICIALEAggiornata un anno fa