Solución de problemas AWS Client VPN: problemas de conectividad del túnel con una VPC - AWS Client VPN
Requisitos previos de conectividad de redCompruebe el estado del punto final de Client VPNCompruebe las conexiones de los clientesCompruebe la autenticación del clienteCompruebe las reglas de autorizaciónValide las rutas de Client VPNCompruebe los grupos de seguridad y la red ACLsPruebe la conectividad del clienteDiagnostique el dispositivo clienteSolucione problemas de resolución de DNSSolucione problemas de rendimientoSupervise las métricas de Client VPNCompruebe los registros de Client VPNProblemas y soluciones comunes de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas AWS Client VPN: problemas de conectividad del túnel con una VPC

Cuando tenga problemas de conectividad con su AWS Client VPN conexión, siga este enfoque sistemático de solución de problemas para identificar y resolver el problema. En esta sección se proporcionan step-by-step procedimientos para diagnosticar problemas comunes de conectividad de Client VPN entre clientes remotos y recursos de Amazon VPC.

Requisitos previos de conectividad de red

Antes de solucionar los problemas de conectividad de Client VPN, compruebe estos requisitos previos de red:

  • Asegúrese de que la subred de puntos finales de Client VPN tenga conectividad a Internet (a través de Internet Gateway o NAT Gateway).

  • Compruebe que el punto final de Client VPN esté asociado a subredes en diferentes zonas de disponibilidad para garantizar una alta disponibilidad.

  • Compruebe que la VPC tenga suficiente espacio de direcciones IP y que no entre en conflicto con los bloques CIDR del cliente.

  • Confirme que las subredes de destino tengan las asociaciones de tablas de enrutamiento adecuadas.

Compruebe el estado del punto final de Client VPN

En primer lugar, compruebe que el punto final de Client VPN esté en el estado correcto:

  1. Utilice el AWS CLI para comprobar el estado del punto final de Client VPN:

    aws ec2 describe-client-vpn-endpoints --region your-region

  2. Busque el estado del punto final en la salida. El estado debería seravailable.

  3. Compruebe que el punto final tenga redes de destino asociadas (subredes).

  4. Si el estado no lo esavailable, compruebe si hay mensajes de error o estados pendientes que puedan indicar problemas de configuración.

Compruebe las conexiones de los clientes

Compruebe el estado de las conexiones de los clientes a su terminal Client VPN:

  1. Compruebe las conexiones de clientes activas:

    aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Revise el estado de la conexión y cualquier mensaje de error que aparezca en el resultado.

  3. Compruebe los registros de autenticación del cliente para ver si hay intentos de autenticación fallidos.

  4. Compruebe que los clientes reciben direcciones IP del bloque CIDR del cliente configurado.

nota

Si los clientes no pueden conectarse, es probable que el problema esté relacionado con la configuración de la autenticación, las reglas de autorización o la conectividad de la red.

Compruebe la autenticación del cliente

Los problemas de autenticación son causas comunes de los problemas de conectividad de Client VPN:

  • Para la autenticación mutua, asegúrese de que los certificados de los clientes sean válidos y no hayan caducado.

  • Para la autenticación de Active Directory, compruebe las credenciales de usuario y la conectividad del dominio.

  • Para la autenticación federada basada en SAML, compruebe la configuración del IDP y los permisos de usuario.

  • Revise los inicios de sesión de autenticación para obtener información detallada sobre CloudWatch los errores.

  • Compruebe que el método de autenticación configurado en el punto final coincide con la configuración del cliente.

Compruebe las reglas de autorización

Las reglas de autorización controlan a qué recursos de red pueden acceder los clientes:

  1. Enumere las reglas de autorización actuales:

    aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Compruebe que existan reglas para las redes de destino a las que deben acceder los clientes.

  3. Compruebe que las reglas especifican los grupos de Active Directory correctos (si utiliza la autenticación AD).

  4. Asegúrese de que las reglas de autorización estén active vigentes.

Valide las rutas de Client VPN

La configuración de enrutamiento adecuada es esencial para la conectividad de Client VPN:

  1. Compruebe las rutas de los puntos finales de Client VPN:

    aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Compruebe que existan rutas para las redes de destino a las que los clientes deben acceder.

  3. Consulte las tablas de enrutamiento de Amazon VPC para asegurarse de que el tráfico de retorno pueda llegar al punto final de Client VPN:

    aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-id" --region your-region

  4. Compruebe que las asociaciones de redes de destino estén configuradas correctamente.

Compruebe los grupos de seguridad y la red ACLs

Los grupos de seguridad y la red ACLs pueden bloquear el tráfico de Client VPN:

  1. Compruebe los grupos de seguridad para ver EC2 las instancias de destino:

    aws ec2 describe-security-groups --group-ids sg-xxxxxxxxx --region your-region

  2. Compruebe que las reglas de entrada permiten el tráfico del bloque CIDR de Client VPN:

    • SSH (puerto 22) desde Client VPN CIDR: 10.0.0.0/16

    • HTTP (puerto 80) desde Client VPN CIDR: 10.0.0.0/16

    • HTTPS (puerto 443) desde Client VPN CIDR: 10.0.0.0/16

    • Puertos de aplicaciones personalizados según sea necesario

  3. Para el grupo de seguridad de puntos finales Client VPN (si corresponde), asegúrese de que permita:

    • Puerto UDP 443 (OpenVPN) desde 0.0.0.0/0

    • Todo el tráfico saliente a los bloques CIDR de VPC

  4. Compruebe que la red no ACLs esté bloqueando el tráfico. La red ACLs no tiene estado, por lo que se deben configurar las reglas de entrada y salida.

  5. Verifica las reglas de entrada y salida para el tráfico específico que intentas enviar.

Pruebe la conectividad del cliente

Pruebe la conectividad de los clientes de Client VPN a los recursos de Amazon VPC:

  1. Desde un cliente Client VPN conectado, pruebe la conectividad con los recursos de Amazon VPC:

    ping vpc-resource-ip
traceroute vpc-resource-ip

  2. Pruebe la conectividad de aplicaciones específicas:

    telnet vpc-resource-ip port

  3. Compruebe la resolución del DNS si utiliza nombres DNS privados:

    nslookup private-dns-name

  4. Pruebe la conectividad a los recursos de Internet si la tunelización dividida está habilitada.

Diagnostique el dispositivo cliente

Realice estas comprobaciones en el dispositivo cliente:

  1. Compruebe que el archivo de configuración del cliente (.ovpn) contenga los ajustes correctos:

    • URL correcta del punto final del servidor

    • Certificado de cliente y clave privada válidos

    • Configuración adecuada del método de autenticación

  2. Compruebe los registros del cliente para ver si hay errores de conexión:

    • Windows: Visor de eventos → Registros de aplicaciones y servicios → OpenVPN

    • macOS: aplicación de consola, busca «Tunnelblick» u «OpenVPN»

    • Linux: o systemd journal /var/log/openvpn/

  3. Pruebe la conectividad de red básica desde el cliente:

    ping 8.8.8.8
nslookup cvpn-endpoint-id.cvpn.region.amazonaws.com

Solucione problemas de resolución de DNS

Los problemas de DNS pueden impedir el acceso a los recursos mediante nombres DNS privados:

  1. Compruebe si los servidores DNS están configurados en el punto final Client VPN:

    aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids cvpn-endpoint-id --query 'ClientVpnEndpoints[0].DnsServers'

  2. Pruebe la resolución de DNS desde el cliente:

    nslookup private-resource.internal
dig private-resource.internal

  3. Verifique las reglas de Route 53 Resolver si usa una resolución de DNS personalizada.

  4. Compruebe que los grupos de seguridad permiten el tráfico DNS (puerto UDP/TCP 53) desde el CIDR de Client VPN a los servidores DNS.

Solucione problemas de rendimiento

Solucione los problemas de rendimiento con las conexiones Client VPN:

  • Supervise la utilización del ancho de banda mediante CloudWatch métricas de ingress/egress bytes.

  • Compruebe la pérdida de paquetes mediante pruebas de ping continuas de los clientes.

  • Compruebe que el punto final de Client VPN no alcance los límites de conexión.

  • Considere la posibilidad de utilizar varios puntos finales de Client VPN para la distribución de la carga.

  • Realice pruebas con diferentes ubicaciones de clientes para identificar problemas de rendimiento regionales.

Supervise las métricas de Client VPN

Supervise las métricas de los puntos finales de Client VPN mediante CloudWatch:

  1. Compruebe las métricas de conexión activa:

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name ActiveConnectionsCount \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Average

  2. Revise las métricas de errores de autenticación:

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name AuthenticationFailures \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Sum

  3. Revise otras métricas disponibles, como los bytes y paquetes de entrada y salida.

Compruebe los registros de Client VPN

Los registros de conexión de Client VPN proporcionan información detallada sobre los intentos y errores de conexión:

  • Habilite el registro de conexiones de Client VPN si aún no está configurado.

  • Revise CloudWatch los registros para ver si hay intentos de conexión, errores de autenticación y errores de autorización.

  • Busque códigos y mensajes de error específicos que indiquen la causa raíz de los problemas de conectividad.

  • Compruebe si hay patrones en las conexiones fallidas que puedan indicar problemas de configuración.

Problemas y soluciones comunes de

Problemas comunes que pueden afectar a la conectividad de Client VPN:

Errores de autenticación

Los certificados de cliente han caducado o no son válidos, o las credenciales de Active Directory son incorrectas. Compruebe la configuración de autenticación y la validez de las credenciales.

Faltan reglas de autorización

Los clientes no pueden acceder a las redes de destino porque faltan reglas de autorización o son incorrectas. Agregue las reglas de autorización adecuadas para las redes requeridas.

Problemas de tunelización dividida

El enrutamiento del tráfico es incorrecto debido a la configuración de túneles divididos. Revise y ajuste la configuración de los túneles divididos según sea necesario.

Agotamiento del grupo de IP del cliente

No hay direcciones IP disponibles en el bloque CIDR del cliente. Amplíe el rango de CIDR del cliente o desconecte los clientes no utilizados.

Problemas con la MTU

Los paquetes grandes se descartan debido a las limitaciones de tamaño de la MTU. Intente configurar la MTU en 1436 bytes o habilite Path MTU Discovery en los dispositivos cliente.

Problemas de resolución de DNS

Los clientes no pueden resolver los nombres DNS privados. Compruebe la configuración del servidor DNS y asegúrese de que el tráfico DNS esté permitido a través de los grupos de seguridad.

Intervalos de IP superpuestos

El CIDR del cliente bloquea los conflictos con los rangos de redes locales. Compruebe y resuelva cualquier intervalo de direcciones IP superpuesto entre el CIDR del cliente y las redes locales.

Fallos en el protocolo de enlace TLS

La conexión falla durante la negociación de TLS. Compruebe la validez del certificado, asegúrese de que los conjuntos de cifrado son correctos y compruebe que los certificados de cliente y servidor estén configurados correctamente.

Retrasos de propagación de rutas

Las nuevas rutas no están disponibles de forma inmediata para los clientes. Espere de 1 a 2 minutos para que se propague la ruta después de realizar cambios en las rutas de Client VPN.

Caídas o inestabilidad de la conexión

Desconexiones frecuentes o conexiones inestables. Compruebe la congestión de la red, las interferencias del firewall o la configuración de administración de energía en los dispositivos cliente.