Por que minha conexão do AWS Site-to-Site VPN está no status INATIVO IPSEC ATIVO quando o gateway do cliente está ATIVO?

4 minuto de leitura
0

O gateway do cliente configurado para o AWS Site-to-Site VPN está ATIVO, mas o console do AWS Site-to-Site VPN mostra que minha conexão está INATIVA.

Descrição breve

O console do Site-to-Site VPN pode mostrar que o status da sua conexão é IPSEC ATIVO, mas o status do túnel é INATIVO. Isso significa que a segurança de Protocolo Internet (IPsec) foi estabelecida, mas o Protocolo de Gateway da Borda (BGP) não está estabelecido. Para que uma conexão dinâmica do Site-to-Site VPN apareça como ATIVA no lado da AWS, tanto o IPSEC quanto o BGP devem estar estabelecidos com êxito.

Resolução

Confirmar se o gateway do cliente é compatível com o BGP

  1. Confirme se o gateway do cliente é compatível e está configurado com o BGP.
  2. Confirme se o lado on-premises da sua conexão usa o Site-to-Site VPN dinâmico (BGP) ou estático baseado em políticas ou o Site-to-Site VPN estático baseado em rotas. Se o lado on-premises estiver usando roteamento estático, você deverá recriar o Site-to-Site VPN no lado da AWS.

Quando você cria uma conexão do Site-to-Site VPN usando a AWS, a opção de roteamento dinâmico é selecionada por padrão. Se você criar uma conexão do Site-to-Site VPN sem escolher o roteamento estático, um Site-to-Site VPN dinâmico será criado. Não é possível modificar a opção de roteamento para uma conexão existente do Site-to-Site VPN e, portanto, você deve criar um novo Site-to-Site VPN para usar o roteamento estático.

Quando você exclui uma conexão do Site-to-Site VPN e cria uma nova conexão, um novo par de endereços IP públicos é atribuído aos túneis. Você deve reconfigurar o dispositivo de gateway do cliente e atualizar adequadamente os IPs públicos de pares. Contudo, ao criar uma nova conexão, é possível usar o túnel dentro dos IPs e a chave secreta pré-compartilhada da sua conexão anterior do Site-to-Site VPN. Não é necessário usar os detalhes gerados automaticamente pela AWS.

Verificar o domínio de criptografia e os IDs de proxy

  1. Confirme se o domínio de criptografia ou o ID de proxy configurado na AWS e no seu dispositivo de gateway do cliente é 0.0.0.0/0 = 0.0.0.0/0.
  2. No lado da AWS, verifique o CIDR da rede IPV4 local (CIDR on-premises) e o CIDR da rede IPv4 remota (CIDR da AWS).
  3. No gateway do cliente, siga as diretrizes fornecidas pelo fornecedor para verificar o domínio de criptografia e o ID de proxy.
  4. Se você ativou logs do Site-to-Site VPN para sua conexão, analise o grupo de logs do Amazon CloudWatch que contém seus logs do Site-to-Site VPN. Escolha o fluxo de logs para o endpoint associado do Site-to-Site VPN. Em seguida, escolha AWS tunnel Phase 2 SA is established with SPI (Túnel da AWS Fase 2 SA está estabelecida com SPI)** para filtrar os fluxos de log. Agora, você pode visualizar o seletor de tráfego negociado pelo gateway do cliente, supondo que o lado da AWS seja o padrão de 0.0.0.0/0 = 0.0.0.0/0.

O fluxo de logs está em um formato semelhante a vpn-id-VPN_Peer_IP-IKE.log. Veja o seguinte exemplo de saída:

{
"event_timestamp": 1673252138,
"details": "AWS tunnel Phase 2 SA is established with
inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors:
(AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16",
"dpd_enabled": true,
"nat_t_detected": true,
"ike_phase1_state": "established",
"ike_phase2_state": "established"}

Observação: se você estiver usando uma conexão dinâmica do Site-to-Site VPN, o seletor de tráfego deverá ser amplo o suficiente para abranger todo o tráfego. Isso inclui endereços IP APIPA usados para pares BGP. No exemplo anterior, você atualiza o domínio de criptografia no seu dispositivo de gateway do cliente para 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0 (on-premises).

Se o lado da AWS da sua conexão tiver um domínio de criptografia específico definido, modifique as opções de conexão do Site-to-Site VPN. Certifique-se de que o CIDR da rede IPv4 local e o CIDR da rede IPv4 remota estejam definidos como 0.0.0.0/0.

Ativar o NAT-T para um Site-to-Site VPN acelerado

Você pode ter uma Site-to-Site VPN que termina em um gateway de trânsito com aceleração ativada. Com essa configuração, certifique-se de que o NAT-T esteja ativado no dispositivo de gateway do cliente.

Observação: o NAT-T deve estar ativado para um Site-to-Site VPN. Se o NAT-T não estiver ativado no dispositivo de gateway do cliente, o IPsec será estabelecido, mas nenhum tráfego fluirá pela conexão do Site-to-Site VPN. Isso inclui o tráfego BGP. Para mais informações, consulte Rules and restrictions (Regras e restrições) para o Site-to-Site VPN acelerado.

Solucionar problemas com o BGP

Se o problema persistir, revise as etapas em How do I troubleshoot BGP connection issues over VPN? (Como solucionar problemas de conexão BGP via VPN?)

AWS OFICIAL
AWS OFICIALAtualizada há 8 meses