Fehlerbehebung AWS Client VPN: Probleme mit der Tunnelkonnektivität zu einer VPC - AWS Client VPN
Voraussetzungen für die NetzwerkkonnektivitätÜberprüfen Sie den Status Client VPN Client-VPN-EndpunktsÜberprüfen Sie die Client-VerbindungenÜberprüfen Sie die Client-AuthentifizierungÜberprüfen Sie die AutorisierungsregelnClient-VPN-Routen validierenÜberprüfen Sie die Sicherheitsgruppen und das Netzwerk ACLsTesten Sie die Client-KonnektivitätDiagnostizieren Sie das Client-GerätProblembehandlung bei der DNS-AuflösungProbleme mit der Leistung behebenClient-VPN-Metriken überwachenÜberprüfen Sie die Client-VPN-ProtokolleHäufige Probleme und Lösungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung AWS Client VPN: Probleme mit der Tunnelkonnektivität zu einer VPC

Wenn Verbindungsprobleme mit Ihrer AWS Client VPN Verbindung auftreten, folgen Sie diesem systematischen Ansatz zur Fehlerbehebung, um das Problem zu identifizieren und zu lösen. Dieser Abschnitt enthält step-by-step Verfahren zur Diagnose häufiger Client-VPN-Verbindungsprobleme zwischen Remote-Clients und Amazon VPC-Ressourcen.

Voraussetzungen für die Netzwerkkonnektivität

Bevor Sie Probleme mit der Client-VPN-Konnektivität beheben, überprüfen Sie die folgenden Netzwerkvoraussetzungen:

  • Stellen Sie sicher, dass das Client-VPN-Endpunkt-Subnetz über eine Internetverbindung verfügt (über Internet Gateway oder NAT-Gateway).

  • Stellen Sie sicher, dass der Client-VPN-Endpunkt Subnetzen in verschiedenen Availability Zones zugeordnet ist, um eine hohe Verfügbarkeit zu gewährleisten.

  • Stellen Sie sicher, dass die VPC über ausreichend IP-Adressraum verfügt und nicht mit den CIDR-Blöcken des Clients in Konflikt steht.

  • Vergewissern Sie sich, dass die Zielsubnetze über die richtigen Routing-Tabellenzuordnungen verfügen.

Überprüfen Sie den Status Client VPN Client-VPN-Endpunkts

Stellen Sie zunächst sicher, dass sich Ihr Client-VPN-Endpunkt im richtigen Status befindet:

  1. Verwenden Sie den AWS CLI , um den Status des Client-VPN-Endpunkts zu überprüfen:

    aws ec2 describe-client-vpn-endpoints --region your-region

  2. Suchen Sie in der Ausgabe nach dem Endpunktstatus. Der Status sollte seinavailable.

  3. Stellen Sie sicher, dass dem Endpunkt Zielnetzwerke (Subnetze) zugeordnet sind.

  4. Wenn dies nicht der Fall istavailable, suchen Sie nach Fehlermeldungen oder ausstehenden Status, die auf Konfigurationsprobleme hinweisen könnten.

Überprüfen Sie die Client-Verbindungen

Überprüfen Sie den Status der Client-Verbindungen zu Ihrem Client-VPN-Endpunkt:

  1. Überprüfen Sie die aktiven Client-Verbindungen:

    aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Überprüfen Sie den Verbindungsstatus und alle Fehlermeldungen in der Ausgabe.

  3. Überprüfen Sie die Client-Authentifizierungsprotokolle auf fehlgeschlagene Authentifizierungsversuche.

  4. Stellen Sie sicher, dass die Clients IP-Adressen vom konfigurierten Client-CIDR-Block erhalten.

Anmerkung

Wenn Clients keine Verbindung herstellen können, liegt das Problem wahrscheinlich an der Authentifizierungskonfiguration, den Autorisierungsregeln oder der Netzwerkkonnektivität.

Überprüfen Sie die Client-Authentifizierung

Authentifizierungsprobleme sind häufige Ursachen für Probleme mit der Client-VPN-Konnektivität:

  • Stellen Sie bei der gegenseitigen Authentifizierung sicher, dass die Client-Zertifikate gültig und nicht abgelaufen sind.

  • Überprüfen Sie für die Active Directory-Authentifizierung die Benutzeranmeldeinformationen und die Domänenkonnektivität.

  • Überprüfen Sie für die SAML-basierte Verbundauthentifizierung die IdP-Konfiguration und die Benutzerberechtigungen.

  • Ausführliche Fehlerinformationen finden Sie in den CloudWatch Authentifizierungsanmeldungen.

  • Stellen Sie sicher, dass die auf dem Endpunkt konfigurierte Authentifizierungsmethode mit der Client-Konfiguration übereinstimmt.

Überprüfen Sie die Autorisierungsregeln

Autorisierungsregeln steuern, auf welche Netzwerkressourcen Clients zugreifen können:

  1. Aktuelle Autorisierungsregeln auflisten:

    aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Stellen Sie sicher, dass Regeln für die Zielnetzwerke existieren, auf die Clients zugreifen müssen.

  3. Vergewissern Sie sich, dass die Regeln die richtigen Active Directory-Gruppen angeben (falls Sie die AD-Authentifizierung verwenden).

  4. Stellen Sie sicher, dass die Autorisierungsregeln den aktuellen active Status haben.

Client-VPN-Routen validieren

Die richtige Routing-Konfiguration ist für die Client-VPN-Konnektivität unerlässlich:

  1. Überprüfen Sie die Client-VPN-Endpunktrouten:

    aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Stellen Sie sicher, dass Routen für Zielnetzwerke existieren, auf die Clients zugreifen müssen.

  3. Überprüfen Sie die Amazon VPC-Routentabellen, um sicherzustellen, dass der zurückkehrende Datenverkehr den Client-VPN-Endpunkt erreichen kann:

    aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-id" --region your-region

  4. Stellen Sie sicher, dass die Zielnetzwerkzuordnungen korrekt konfiguriert sind.

Überprüfen Sie die Sicherheitsgruppen und das Netzwerk ACLs

Sicherheitsgruppen und Netzwerke ACLs können den Client-VPN-Verkehr blockieren:

  1. Suchen Sie in den Sicherheitsgruppen nach EC2 Zielinstanzen:

    aws ec2 describe-security-groups --group-ids sg-xxxxxxxxx --region your-region

  2. Stellen Sie sicher, dass die Regeln für eingehenden Datenverkehr den Datenverkehr vom Client-VPN-CIDR-Block zulassen:

    • SSH (Port 22) von Client VPN CIDR: 10.0.0.0/16

    • HTTP (Port 80) von Client VPN CIDR: 10.0.0.0/16

    • HTTPS (Port 443) von Client VPN CIDR: 10.0.0.0/16

    • Benutzerdefinierte Anwendungs-Ports nach Bedarf

  3. Stellen Sie für die Client-VPN-Endpunktsicherheitsgruppe (falls zutreffend) sicher, dass sie Folgendes zulässt:

    • UDP-Port 443 (OpenVPN) ab 0.0.0.0/0

    • Der gesamte ausgehende Datenverkehr zu VPC-CIDR-Blöcken

  4. Stellen Sie sicher, dass das Netzwerk ACLs den Verkehr nicht blockiert. Das Netzwerk ACLs ist zustandslos, daher müssen sowohl Regeln für eingehenden als auch für ausgehenden Datenverkehr konfiguriert werden.

  5. Überprüfen Sie sowohl die Regeln für eingehenden als auch für ausgehenden Datenverkehr für den spezifischen Datenverkehr, den Sie senden möchten.

Testen Sie die Client-Konnektivität

Testen Sie die Konnektivität von Client-VPN-Clients zu Amazon VPC-Ressourcen:

  1. Testen Sie von einem verbundenen Client-VPN-Client aus die Konnektivität zu Amazon VPC-Ressourcen:

    ping vpc-resource-ip
traceroute vpc-resource-ip

  2. Testen Sie die Konnektivität bestimmter Anwendungen:

    telnet vpc-resource-ip port

  3. Überprüfen Sie die DNS-Auflösung, wenn Sie private DNS-Namen verwenden:

    nslookup private-dns-name

  4. Testen Sie die Konnektivität zu Internetressourcen, wenn Split-Tunneling aktiviert ist.

Diagnostizieren Sie das Client-Gerät

Führen Sie die folgenden Prüfungen auf dem Client-Gerät durch:

  1. Stellen Sie sicher, dass die Client-Konfigurationsdatei (.ovpn) die richtigen Einstellungen enthält:

    • Richtige Serverendpunkt-URL

    • Gültiges Client-Zertifikat und privater Schlüssel

    • Richtige Konfiguration der Authentifizierungsmethode

  2. Überprüfen Sie die Client-Protokolle auf Verbindungsfehler:

    • Windows: Ereignisanzeige → Anwendungs- und Dienstprotokolle → OpenVPN

    • macOS: Konsolen-App, suche nach „Tunnelblick“ oder „OpenVPN“

    • Linux: oder systemd journal /var/log/openvpn/

  3. Testen Sie die grundlegende Netzwerkkonnektivität vom Client aus:

    ping 8.8.8.8
nslookup cvpn-endpoint-id.cvpn.region.amazonaws.com

Problembehandlung bei der DNS-Auflösung

DNS-Probleme können den Zugriff auf Ressourcen verhindern, die private DNS-Namen verwenden:

  1. Prüfen Sie, ob DNS-Server im Client-VPN-Endpunkt konfiguriert sind:

    aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids cvpn-endpoint-id --query 'ClientVpnEndpoints[0].DnsServers'

  2. Testen Sie die DNS-Auflösung vom Client aus:

    nslookup private-resource.internal
dig private-resource.internal

  3. Überprüfen Sie die Route 53 53-Resolver-Regeln, wenn Sie eine benutzerdefinierte DNS-Auflösung verwenden.

  4. Vergewissern Sie sich, dass Sicherheitsgruppen DNS-Verkehr (UDP/TCP-Port 53) vom Client-VPN-CIDR zu DNS-Servern zulassen.

Probleme mit der Leistung beheben

Behebung von Leistungsproblemen mit Client-VPN-Verbindungen:

  • Überwachen Sie die Bandbreitennutzung anhand von CloudWatch ingress/egress Byte-Metriken.

  • Prüfen Sie anhand kontinuierlicher Ping-Tests von Clients, ob Pakete verloren gehen.

  • Stellen Sie sicher, dass der Client-VPN-Endpunkt die Verbindungslimits nicht erreicht.

  • Erwägen Sie die Verwendung mehrerer Client-VPN-Endpunkte für die Lastverteilung.

  • Testen Sie an verschiedenen Kundenstandorten, um regionale Leistungsprobleme zu identifizieren.

Client-VPN-Metriken überwachen

Überwachen Sie Client-VPN-Endpunktmetriken mit CloudWatch:

  1. Überprüfen Sie die Messwerte für aktive Verbindungen:

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name ActiveConnectionsCount \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Average

  2. Überprüfen Sie die Metriken für Authentifizierungsfehler:

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name AuthenticationFailures \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Sum

  3. Überprüfen Sie andere verfügbare Metriken wie eingehende und ausgehende Bytes und Pakete.

Überprüfen Sie die Client-VPN-Protokolle

Client-VPN-Verbindungsprotokolle enthalten detaillierte Informationen zu Verbindungsversuchen und Fehlern:

  • Aktivieren Sie die Client-VPN-Verbindungsprotokollierung, falls sie nicht bereits konfiguriert ist.

  • Überprüfen Sie die CloudWatch Protokolle auf Verbindungsversuche, Authentifizierungsfehler und Autorisierungsfehler.

  • Suchen Sie nach bestimmten Fehlercodes und Meldungen, die auf die Hauptursache von Verbindungsproblemen hinweisen.

  • Suchen Sie nach Mustern bei fehlgeschlagenen Verbindungen, die auf Konfigurationsprobleme hinweisen könnten.

Häufige Probleme und Lösungen

Häufige Probleme, die sich auf die Client-VPN-Konnektivität auswirken können:

Authentication failures (Authentifizierungsfehler)

Die Client-Zertifikate sind abgelaufen oder ungültig, oder die Active Directory-Anmeldeinformationen sind falsch. Überprüfen Sie die Authentifizierungskonfiguration und die Gültigkeit der Anmeldeinformationen.

Fehlende Autorisierungsregeln

Clients können aufgrund fehlender oder falscher Autorisierungsregeln nicht auf Zielnetzwerke zugreifen. Fügen Sie die entsprechenden Autorisierungsregeln für die erforderlichen Netzwerke hinzu.

Probleme beim Split-Tunneling

Der Datenverkehr wurde aufgrund der Split-Tunneling-Konfiguration falsch weitergeleitet. Überprüfen Sie die Split-Tunneling-Einstellungen und passen Sie sie nach Bedarf an.

Erschöpfung des Client-IP-Pools

Keine verfügbaren IP-Adressen im CIDR-Block des Clients. Erweitern Sie den CIDR-Bereich des Clients oder trennen Sie die Verbindung zu ungenutzten Clients.

MTU-Probleme

Große Pakete werden aufgrund von MTU-Größenbeschränkungen verworfen. Versuchen Sie, die MTU auf 1436 Byte einzustellen, oder aktivieren Sie Path MTU Discovery auf Client-Geräten.

Probleme mit der DNS-Auflösung

Clients können private DNS-Namen nicht auflösen. Überprüfen Sie die DNS-Serverkonfiguration und stellen Sie sicher, dass DNS-Verkehr über Sicherheitsgruppen zugelassen wird.

Überlappende IP-Bereiche

Die CIDR-Blöcke der Clients stehen in Konflikt mit lokalen Netzwerkbereichen. Suchen Sie nach überlappenden IP-Adressbereichen zwischen Client-CIDR und lokalen Netzwerken und lösen Sie diese.

TLS-Handshake-Fehler

Die Verbindung schlägt während der TLS-Aushandlung fehl. Überprüfen Sie die Gültigkeit des Zertifikats, stellen Sie sicher, dass die richtigen Verschlüsselungssammlungen vorhanden sind, und stellen Sie sicher, dass die Client- und Serverzertifikate ordnungsgemäß konfiguriert sind.

Verzögerungen bei der Weiterleitung der Route

Neue Routen stehen Kunden nicht sofort zur Verfügung. Warten Sie 1—2 Minuten für die Weiterleitung der Route, nachdem Sie Änderungen an den Client-VPN-Routen vorgenommen haben.

Verbindungsabbruch/Instabilität

Häufige Verbindungsabbrüche oder instabile Verbindungen. Überprüfen Sie die Client-Geräte auf Netzwerküberlastung, Firewall-Interferenzen oder Energieverwaltungseinstellungen.