Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Problema VPN Site-to-Site: Tráfego aceito pela VPC mas não processado pelo túnel

0

Olá pessoal,

Estou enfrentando um problema específico com VPN Site-to-Site onde o tráfego é aceito pela VPC mas não chega ao túnel. Gostaria da ajuda de vocês para identificar o que pode estar acontecendo.

Configuração Atual

Infraestrutura AWS:

  • VPN Connection: Status Available
  • Virtual Private Gateway: Status Available
  • Customer Gateway: Status Available
  • BGP ASN AWS: 64512
  • BGP ASN Cliente: 65000
  • Túnel Status: UP
  • Routing: Static

Redes:

  • VPC CIDR: 10.0.0.0/16
  • Local Network (Cliente): 192.168.0.0/16 (exemplo sanitizado)
  • Subnet NAT: 10.0.200.0/24

SNAT Configurado

Tenho uma NAT instance que faz SNAT do tráfego:

iptables -t nat -A POSTROUTING -s 10.0.200.100 -d 192.168.0.0/16 -j SNAT --to-source 192.168.14.193

Validações Realizadas

1. SNAT Funcionando

Confirmado via tcpdump na NAT instance que o tráfego sai com IP de origem correto:

192.168.14.193 > 192.168.121.220: Flags [S]

2. VPC Flow Logs - OK

Os Flow Logs mostram que a VPC aceita e encaminha o tráfego:

10.0.200.100 192.168.121.220 ... ACCEPT OK

3. Route Table - OK

Rota configurada corretamente:

192.168.0.0/16 -> vgw-x (Active)

4. Security Groups e NACLs - OK

Todas as permissões liberadas para o tráfego necessário.

PROBLEMA IDENTIFICADO

O que está funcionando:

  • Flow Logs mostram tráfego sendo enviado da VPC para o destino remoto
  • VPC aceita e encaminha o pacote para o VPN Gateway
  • Túnel está UP e BGP estabelecido

O que NÃO está funcionando:

  • Logs do túnel VPN mostram apenas pacotes DPD (keepalive)
  • Nenhum tráfego de dados aparece nos logs do túnel
  • Conectividade não é estabelecida

Análise

O tráfego claramente chega até o Virtual Private Gateway (confirmado pelos Flow Logs), mas não está sendo processado/encaminhado pelo túnel IPSec.

Fluxo observado: Aplicação → NAT Instance (SNAT funciona) NAT Instance → VPC Router (Flow Logs confirmam ACCEPT)
VPC Router → VPN Gateway (Flow Logs mostram encaminhamento) VPN Gateway → Túnel IPSec (logs do túnel vazios)

Configurações Verificadas

  • Phase 1/Phase 2 do IPSec estão corretos (túnel UP)
  • BGP está estabelecido
  • Rotas estáticas configuradas corretamente
  • Customer Gateway com IP público correto
  • Não há conflitos de CIDR

Pergunta

Alguém já enfrentou essa situação onde:

  • VPC Flow Logs mostram ACCEPT e encaminhamento para VGW
  • Túnel IPSec está UP
  • Mas os dados não aparecem nos logs do túnel?

Existe alguma configuração adicional ou limitação que eu possa estar perdendo entre o VPN Gateway e o processamento do túnel?

Qualquer insight seria muito bem-vindo!

Obrigado!

Tópicos
Rede e entrega de conteúdo
Tags
AWS Virtual Private Network (VPN)Amazon VPCRegistros de fluxo de VPC
Idioma
Português
feita há um mês24 visualizações
1 Resposta
0

Analisando seu problema com a VPN Site-to-Site, parece que você está enfrentando uma questão de roteamento onde o tráfego é aceito pela VPC mas não está sendo processado pelo túnel IPSec. Baseado nas informações fornecidas, aqui estão algumas possíveis causas e soluções:

  1. Verificação de NAT-T (NAT-Traversal): Se você estiver usando uma conexão VPN acelerada, verifique se o NAT-Traversal (NAT-T) está ativo no dispositivo do customer gateway. Isso é essencial para que o tráfego passe corretamente pelo túnel.

  2. Configuração de rotas no Customer Gateway: Certifique-se de que o customer gateway possui rotas estáticas para o CIDR da VPC (10.0.0.0/16) que apontam para a interface de túnel virtual correta. Mesmo que o túnel esteja UP, se o roteamento não estiver configurado corretamente no lado do customer gateway, o tráfego não será processado.

  3. Verificação de rotas bidirecionais: Confirme que as rotas estão configuradas corretamente em ambas as direções. No seu caso, você mencionou que tem a rota 192.168.0.0/16 -> vgw-x, mas verifique se o lado remoto tem a rota para 10.0.0.0/16 apontando para o túnel VPN.

  4. Problemas com SNAT: Embora seu SNAT pareça estar funcionando, pode haver um problema com o endereço IP de origem que você está usando (192.168.14.193). Verifique se este IP está dentro do domínio de criptografia configurado no túnel VPN. Se o túnel estiver configurado para aceitar apenas tráfego de determinados CIDRs, e seu IP de SNAT não estiver incluído, o tráfego será descartado.

  5. Verificação de domínios de criptografia: Se você estiver usando uma VPN baseada em políticas, verifique se os CIDRs de rede IPv4 locais e remotos e os domínios de criptografia correspondem corretamente.

  6. Roteamento assimétrico: Verifique se o dispositivo do customer gateway suporta roteamento assimétrico, pois isso pode causar problemas quando o tráfego de retorno segue um caminho diferente.

  7. Análise de pacotes: Utilize ferramentas como tcpdump no lado do customer gateway para verificar se os pacotes estão chegando ao túnel. Isso pode ajudar a identificar onde exatamente o tráfego está sendo interrompido.

  8. Logs de fluxo do Transit Gateway: Se você estiver usando um Transit Gateway, ative os logs de fluxo para verificar se o tráfego está sendo roteado corretamente.

  9. MTU e fragmentação: Problemas com MTU podem causar falhas na comunicação. Tente ajustar o MTU para um valor menor (como 1400) para evitar problemas de fragmentação.

  10. Teste com MTR: Execute o comando MTR do seu endpoint local para o IP público do túnel AWS para verificar se há problemas de latência ou perda de pacotes no caminho.

Estas verificações devem ajudar a identificar onde o tráfego está sendo interrompido entre o Virtual Private Gateway e o túnel IPSec.
Sources
Troubleshoot VPN routing issues | AWS re:Post
site to site vpn connection to on premise network - pfsense firewall - cannot communicate beyond firewall subnet/vlan | AWS re:Post
ec2 instance not routing through virtual private gateway | AWS re:Post
Troubleshoot low transfer speed on Site-to-Site VPN | AWS re:Post

respondido há um mês

Você não está conectado. Fazer login para postar uma resposta.

Uma boa resposta responde claramente à pergunta, dá feedback construtivo e incentiva o crescimento profissional de quem perguntou.

Conteúdo relevante