Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Fehlerbehebung AWS Client VPN: Probleme mit der Tunnelkonnektivität zu einer VPC
Wenn Verbindungsprobleme mit Ihrer AWS Client VPN Verbindung auftreten, folgen Sie diesem systematischen Ansatz zur Fehlerbehebung, um das Problem zu identifizieren und zu lösen. Dieser Abschnitt enthält step-by-step Verfahren zur Diagnose häufiger Client-VPN-Verbindungsprobleme zwischen Remote-Clients und Amazon VPC-Ressourcen.
Themen
Voraussetzungen für die Netzwerkkonnektivität
Bevor Sie Probleme mit der Client-VPN-Konnektivität beheben, überprüfen Sie die folgenden Netzwerkvoraussetzungen:
-
Stellen Sie sicher, dass das Client-VPN-Endpunkt-Subnetz über eine Internetverbindung verfügt (über Internet Gateway oder NAT-Gateway).
-
Stellen Sie sicher, dass der Client-VPN-Endpunkt Subnetzen in verschiedenen Availability Zones zugeordnet ist, um eine hohe Verfügbarkeit zu gewährleisten.
-
Stellen Sie sicher, dass die VPC über ausreichend IP-Adressraum verfügt und nicht mit den CIDR-Blöcken des Clients in Konflikt steht.
-
Vergewissern Sie sich, dass die Zielsubnetze über die richtigen Routing-Tabellenzuordnungen verfügen.
Überprüfen Sie den Status Client VPN Client-VPN-Endpunkts
Stellen Sie zunächst sicher, dass sich Ihr Client-VPN-Endpunkt im richtigen Status befindet:
-
Verwenden Sie den AWS CLI , um den Status des Client-VPN-Endpunkts zu überprüfen:
aws ec2 describe-client-vpn-endpoints --region
your-region
-
Suchen Sie in der Ausgabe nach dem Endpunktstatus. Der Status sollte sein
available
. -
Stellen Sie sicher, dass dem Endpunkt Zielnetzwerke (Subnetze) zugeordnet sind.
-
Wenn dies nicht der Fall ist
available
, suchen Sie nach Fehlermeldungen oder ausstehenden Status, die auf Konfigurationsprobleme hinweisen könnten.
Überprüfen Sie die Client-Verbindungen
Überprüfen Sie den Status der Client-Verbindungen zu Ihrem Client-VPN-Endpunkt:
-
Überprüfen Sie die aktiven Client-Verbindungen:
aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id
cvpn-endpoint-id
--regionyour-region
-
Überprüfen Sie den Verbindungsstatus und alle Fehlermeldungen in der Ausgabe.
-
Überprüfen Sie die Client-Authentifizierungsprotokolle auf fehlgeschlagene Authentifizierungsversuche.
-
Stellen Sie sicher, dass die Clients IP-Adressen vom konfigurierten Client-CIDR-Block erhalten.
Anmerkung
Wenn Clients keine Verbindung herstellen können, liegt das Problem wahrscheinlich an der Authentifizierungskonfiguration, den Autorisierungsregeln oder der Netzwerkkonnektivität.
Überprüfen Sie die Client-Authentifizierung
Authentifizierungsprobleme sind häufige Ursachen für Probleme mit der Client-VPN-Konnektivität:
-
Stellen Sie bei der gegenseitigen Authentifizierung sicher, dass die Client-Zertifikate gültig und nicht abgelaufen sind.
-
Überprüfen Sie für die Active Directory-Authentifizierung die Benutzeranmeldeinformationen und die Domänenkonnektivität.
-
Überprüfen Sie für die SAML-basierte Verbundauthentifizierung die IdP-Konfiguration und die Benutzerberechtigungen.
-
Ausführliche Fehlerinformationen finden Sie in den CloudWatch Authentifizierungsanmeldungen.
-
Stellen Sie sicher, dass die auf dem Endpunkt konfigurierte Authentifizierungsmethode mit der Client-Konfiguration übereinstimmt.
Überprüfen Sie die Autorisierungsregeln
Autorisierungsregeln steuern, auf welche Netzwerkressourcen Clients zugreifen können:
-
Aktuelle Autorisierungsregeln auflisten:
aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id
cvpn-endpoint-id
--regionyour-region
-
Stellen Sie sicher, dass Regeln für die Zielnetzwerke existieren, auf die Clients zugreifen müssen.
-
Vergewissern Sie sich, dass die Regeln die richtigen Active Directory-Gruppen angeben (falls Sie die AD-Authentifizierung verwenden).
-
Stellen Sie sicher, dass die Autorisierungsregeln den aktuellen
active
Status haben.
Client-VPN-Routen validieren
Die richtige Routing-Konfiguration ist für die Client-VPN-Konnektivität unerlässlich:
-
Überprüfen Sie die Client-VPN-Endpunktrouten:
aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id
cvpn-endpoint-id
--regionyour-region
-
Stellen Sie sicher, dass Routen für Zielnetzwerke existieren, auf die Clients zugreifen müssen.
-
Überprüfen Sie die Amazon VPC-Routentabellen, um sicherzustellen, dass der zurückkehrende Datenverkehr den Client-VPN-Endpunkt erreichen kann:
aws ec2 describe-route-tables --filters "Name=vpc-id,Values=
vpc-id
" --regionyour-region
-
Stellen Sie sicher, dass die Zielnetzwerkzuordnungen korrekt konfiguriert sind.
Überprüfen Sie die Sicherheitsgruppen und das Netzwerk ACLs
Sicherheitsgruppen und Netzwerke ACLs können den Client-VPN-Verkehr blockieren:
-
Suchen Sie in den Sicherheitsgruppen nach EC2 Zielinstanzen:
aws ec2 describe-security-groups --group-ids
sg-xxxxxxxxx
--regionyour-region
-
Stellen Sie sicher, dass die Regeln für eingehenden Datenverkehr den Datenverkehr vom Client-VPN-CIDR-Block zulassen:
SSH (Port 22) von Client VPN CIDR:
10.0.0.0/16
HTTP (Port 80) von Client VPN CIDR:
10.0.0.0/16
HTTPS (Port 443) von Client VPN CIDR:
10.0.0.0/16
Benutzerdefinierte Anwendungs-Ports nach Bedarf
-
Stellen Sie für die Client-VPN-Endpunktsicherheitsgruppe (falls zutreffend) sicher, dass sie Folgendes zulässt:
UDP-Port 443 (OpenVPN) ab 0.0.0.0/0
Der gesamte ausgehende Datenverkehr zu VPC-CIDR-Blöcken
-
Stellen Sie sicher, dass das Netzwerk ACLs den Verkehr nicht blockiert. Das Netzwerk ACLs ist zustandslos, daher müssen sowohl Regeln für eingehenden als auch für ausgehenden Datenverkehr konfiguriert werden.
-
Überprüfen Sie sowohl die Regeln für eingehenden als auch für ausgehenden Datenverkehr für den spezifischen Datenverkehr, den Sie senden möchten.
Testen Sie die Client-Konnektivität
Testen Sie die Konnektivität von Client-VPN-Clients zu Amazon VPC-Ressourcen:
-
Testen Sie von einem verbundenen Client-VPN-Client aus die Konnektivität zu Amazon VPC-Ressourcen:
ping
vpc-resource-ip
traceroutevpc-resource-ip
-
Testen Sie die Konnektivität bestimmter Anwendungen:
telnet
vpc-resource-ip
port
-
Überprüfen Sie die DNS-Auflösung, wenn Sie private DNS-Namen verwenden:
nslookup
private-dns-name
-
Testen Sie die Konnektivität zu Internetressourcen, wenn Split-Tunneling aktiviert ist.
Diagnostizieren Sie das Client-Gerät
Führen Sie die folgenden Prüfungen auf dem Client-Gerät durch:
-
Stellen Sie sicher, dass die Client-Konfigurationsdatei (.ovpn) die richtigen Einstellungen enthält:
Richtige Serverendpunkt-URL
Gültiges Client-Zertifikat und privater Schlüssel
Richtige Konfiguration der Authentifizierungsmethode
-
Überprüfen Sie die Client-Protokolle auf Verbindungsfehler:
Windows: Ereignisanzeige → Anwendungs- und Dienstprotokolle → OpenVPN
macOS: Konsolen-App, suche nach „Tunnelblick“ oder „OpenVPN“
Linux: oder systemd journal
/var/log/openvpn/
-
Testen Sie die grundlegende Netzwerkkonnektivität vom Client aus:
ping 8.8.8.8 nslookup
cvpn-endpoint-id
.cvpn.region
.amazonaws.com
Problembehandlung bei der DNS-Auflösung
DNS-Probleme können den Zugriff auf Ressourcen verhindern, die private DNS-Namen verwenden:
-
Prüfen Sie, ob DNS-Server im Client-VPN-Endpunkt konfiguriert sind:
aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids
cvpn-endpoint-id
--query 'ClientVpnEndpoints[0].DnsServers' -
Testen Sie die DNS-Auflösung vom Client aus:
nslookup
private-resource.internal
digprivate-resource.internal
-
Überprüfen Sie die Route 53 53-Resolver-Regeln, wenn Sie eine benutzerdefinierte DNS-Auflösung verwenden.
-
Vergewissern Sie sich, dass Sicherheitsgruppen DNS-Verkehr (UDP/TCP-Port 53) vom Client-VPN-CIDR zu DNS-Servern zulassen.
Probleme mit der Leistung beheben
Behebung von Leistungsproblemen mit Client-VPN-Verbindungen:
-
Überwachen Sie die Bandbreitennutzung anhand von CloudWatch ingress/egress Byte-Metriken.
-
Prüfen Sie anhand kontinuierlicher Ping-Tests von Clients, ob Pakete verloren gehen.
-
Stellen Sie sicher, dass der Client-VPN-Endpunkt die Verbindungslimits nicht erreicht.
-
Erwägen Sie die Verwendung mehrerer Client-VPN-Endpunkte für die Lastverteilung.
-
Testen Sie an verschiedenen Kundenstandorten, um regionale Leistungsprobleme zu identifizieren.
Client-VPN-Metriken überwachen
Überwachen Sie Client-VPN-Endpunktmetriken mit CloudWatch:
-
Überprüfen Sie die Messwerte für aktive Verbindungen:
aws cloudwatch get-metric-statistics \ --namespace AWS/ClientVPN \ --metric-name ActiveConnectionsCount \ --dimensions Name=Endpoint,Value=
cvpn-endpoint-id
\ --start-timestart-time
\ --end-timeend-time
\ --period 300 \ --statistics Average -
Überprüfen Sie die Metriken für Authentifizierungsfehler:
aws cloudwatch get-metric-statistics \ --namespace AWS/ClientVPN \ --metric-name AuthenticationFailures \ --dimensions Name=Endpoint,Value=
cvpn-endpoint-id
\ --start-timestart-time
\ --end-timeend-time
\ --period 300 \ --statistics Sum -
Überprüfen Sie andere verfügbare Metriken wie eingehende und ausgehende Bytes und Pakete.
Überprüfen Sie die Client-VPN-Protokolle
Client-VPN-Verbindungsprotokolle enthalten detaillierte Informationen zu Verbindungsversuchen und Fehlern:
-
Aktivieren Sie die Client-VPN-Verbindungsprotokollierung, falls sie nicht bereits konfiguriert ist.
-
Überprüfen Sie die CloudWatch Protokolle auf Verbindungsversuche, Authentifizierungsfehler und Autorisierungsfehler.
-
Suchen Sie nach bestimmten Fehlercodes und Meldungen, die auf die Hauptursache von Verbindungsproblemen hinweisen.
-
Suchen Sie nach Mustern bei fehlgeschlagenen Verbindungen, die auf Konfigurationsprobleme hinweisen könnten.
Häufige Probleme und Lösungen
Häufige Probleme, die sich auf die Client-VPN-Konnektivität auswirken können:
- Authentication failures (Authentifizierungsfehler)
-
Die Client-Zertifikate sind abgelaufen oder ungültig, oder die Active Directory-Anmeldeinformationen sind falsch. Überprüfen Sie die Authentifizierungskonfiguration und die Gültigkeit der Anmeldeinformationen.
- Fehlende Autorisierungsregeln
-
Clients können aufgrund fehlender oder falscher Autorisierungsregeln nicht auf Zielnetzwerke zugreifen. Fügen Sie die entsprechenden Autorisierungsregeln für die erforderlichen Netzwerke hinzu.
- Probleme beim Split-Tunneling
-
Der Datenverkehr wurde aufgrund der Split-Tunneling-Konfiguration falsch weitergeleitet. Überprüfen Sie die Split-Tunneling-Einstellungen und passen Sie sie nach Bedarf an.
- Erschöpfung des Client-IP-Pools
-
Keine verfügbaren IP-Adressen im CIDR-Block des Clients. Erweitern Sie den CIDR-Bereich des Clients oder trennen Sie die Verbindung zu ungenutzten Clients.
- MTU-Probleme
-
Große Pakete werden aufgrund von MTU-Größenbeschränkungen verworfen. Versuchen Sie, die MTU auf 1436 Byte einzustellen, oder aktivieren Sie Path MTU Discovery auf Client-Geräten.
- Probleme mit der DNS-Auflösung
-
Clients können private DNS-Namen nicht auflösen. Überprüfen Sie die DNS-Serverkonfiguration und stellen Sie sicher, dass DNS-Verkehr über Sicherheitsgruppen zugelassen wird.
- Überlappende IP-Bereiche
-
Die CIDR-Blöcke der Clients stehen in Konflikt mit lokalen Netzwerkbereichen. Suchen Sie nach überlappenden IP-Adressbereichen zwischen Client-CIDR und lokalen Netzwerken und lösen Sie diese.
- TLS-Handshake-Fehler
-
Die Verbindung schlägt während der TLS-Aushandlung fehl. Überprüfen Sie die Gültigkeit des Zertifikats, stellen Sie sicher, dass die richtigen Verschlüsselungssammlungen vorhanden sind, und stellen Sie sicher, dass die Client- und Serverzertifikate ordnungsgemäß konfiguriert sind.
- Verzögerungen bei der Weiterleitung der Route
-
Neue Routen stehen Kunden nicht sofort zur Verfügung. Warten Sie 1—2 Minuten für die Weiterleitung der Route, nachdem Sie Änderungen an den Client-VPN-Routen vorgenommen haben.
- Verbindungsabbruch/Instabilität
-
Häufige Verbindungsabbrüche oder instabile Verbindungen. Überprüfen Sie die Client-Geräte auf Netzwerküberlastung, Firewall-Interferenzen oder Energieverwaltungseinstellungen.