O túnel VPN entre meu gateway de cliente e meu gateway privado virtual está ativo, mas não consigo transmitir tráfego por ele. O que eu posso fazer?

Resolução

Para solucionar esse problema, confirme se o Amazon VPC, o gateway privado virtual e o gateway do cliente estão configurados corretamente.

Revisar a configuração do seu Amazon VPC e do seu gateway privado virtual

1. Verifique se o gateway privado virtual associado à conexão VPN está conectado à sua Amazon VPC.
2. Confirme se as redes privadas locais e VPC não estão sobrepostas porque as sub-redes sobrepostas podem causar problemas de roteamento no túnel VPN.
3. Para conexões VPN baseadas em rotas estáticas, verifique se as rotas para suas redes privadas locais estão configuradas verificando a guia Rotas estáticas da sua conexão VPN.
4. Para conexões VPN baseadas em BGP, verifique se a sessão BGP foi estabelecida. Verifique também se o gateway privado virtual está recebendo rotas BGP do gateway do cliente, verificando a guia Detalhes do túnel da sua conexão VPN.
5. Configure sua tabela de rotas VPC para incluir as rotas para suas redes privadas locais. Direcione-as para seu gateway privado virtual para que as instâncias em seu Amazon VPC possam alcançar suas redes locais. Você pode adicionar manualmente essas rotas à tabela de rotas do VPC ou usar a propagação de rotas para propagar automaticamente essas rotas.
6. Confirme se os grupos de segurança e as listas de controle de acesso (ACLs) da VPC estão configurados para permitir o tráfego necessário (ICMP, RDP, SSH) de e para suas sub-redes locais para tráfego de entrada e saída.
7. Execute capturas de pacotes em várias instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em diferentes zonas de disponibilidade para confirmar que o tráfego do host local está chegando à sua Amazon VPC.

Revisar o gateway do seu cliente

1. Confirme se a configuração IPsec em seu dispositivo VPN atende aos requisitos do gateway do cliente.
2. Verifique se os pacotes do gateway do cliente estão sendo criptografados e enviados pelo túnel VPN.
3. Para configurações baseadas em políticas, verifique os Detalhes da sua conexão VPN para verificar se os seletores de tráfego estão configurados corretamente. (Cidr de rede IPv4 local = faixa CIDR do Customer Gateway e Cidr de rede IPv4 remota = faixa CIDR do lado da AWS)
4. Para configurações baseadas em políticas, certifique-se de limitar o número de políticas de criptografia a uma única política. Observação: a AWS suporta somente um par de associações de segurança (SAs) de fase 2 por túnel VPN.
5. Se seus túneis VPN forem baseados em rotas, confirme se você configurou corretamente as rotas para seu VPC CIDR.
6. Confirme se o tráfego enviado pelo túnel não está traduzido para o endereço IP do gateway do cliente da conexão VPN. Se você tiver um requisito específico para NAT em seu tráfego de VPN, configure-o usando um endereço IP diferente do endereço IP do gateway do cliente.
7. Se o gateway do seu cliente não estiver por trás de um dispositivo NAT, é uma prática recomendada desativar o NAT-Traversal.
8. Confirme se não há políticas de firewall ou ACLs interferindo no tráfego IPsec de entrada ou saída.
9. Execute uma captura de pacotes para o tráfego ESP na interface WAN do seu dispositivo de gateway do cliente para confirmar que ele está enviando e recebendo pacotes criptografados.

Informações relacionadas

Seu dispositivo de gateway de clientes