Requisitos previos de conectividad de red Comprobación del estado del punto de conexión de Client VPN Verificación de conexiones de clientes Verificación de la autenticación del cliente Comprobación de reglas de autorización Validación de rutas de Client VPN Verificación de grupos de seguridad y ACL de red Prueba de conectividad de clientes Diagnóstico del dispositivo cliente Solución de problemas de resolución de DNS Solución de problemas de rendimiento Monitorización de métricas de Client VPN Comprobación de los registros de Client VPN Problemas y soluciones comunes

Solución de problemas de AWS Client VPN: problemas de conectividad del túnel con una VPC

Cuando tenga problemas de conectividad con su conexión de AWS Client VPN, siga este método sistemático para identificarlos y resolverlos. En esta sección se proporcionan procedimientos paso a paso para diagnosticar problemas comunes de conectividad de Client VPN entre clientes remotos y recursos de Amazon VPC.

Temas

Requisitos previos de conectividad de red
Comprobación del estado del punto de conexión de Client VPN
Verificación de conexiones de clientes
Verificación de la autenticación del cliente
Comprobación de reglas de autorización
Validación de rutas de Client VPN
Verificación de grupos de seguridad y ACL de red
Prueba de conectividad de clientes
Diagnóstico del dispositivo cliente
Solución de problemas de resolución de DNS
Solución de problemas de rendimiento
Monitorización de métricas de Client VPN
Comprobación de los registros de Client VPN
Problemas y soluciones comunes

Requisitos previos de conectividad de red

Antes de solucionar los problemas de conectividad de Client VPN, compruebe estos requisitos previos de red:

Asegúrese de que la subred de punto de conexión de Client VPN tenga conectividad a Internet (a través de puerta de enlace de Internet o puerta de enlace NAT).
Compruebe que el punto de conexión de Client VPN esté asociado a subredes en diferentes zonas de disponibilidad para garantizar alta disponibilidad.
Compruebe que la VPC tenga suficiente espacio de direcciones IP y que no entre en conflicto con los bloques de CIDR del cliente.
Confirme que las subredes de destino tengan las asociaciones de tabla de enrutamiento adecuadas.

Comprobación del estado del punto de conexión de Client VPN

En primer lugar, compruebe que el punto de conexión de Client VPN se encuentre en el estado correcto:

Utilice AWS CLI para comprobar el estado del punto de conexión de Client VPN:
```
aws ec2 describe-client-vpn-endpoints --region your-region
```
Busque el estado del punto de conexión en la salida. El estado debería ser available.
Compruebe que el punto de conexión tenga redes de destino asociadas (subredes).
Si el estado no es available, compruebe si hay mensajes de error o estados pendientes que puedan indicar problemas de configuración.

Verificación de conexiones de clientes

Compruebe el estado de las conexiones de clientes con el punto de conexión de Client VPN:

Compruebe las conexiones de clientes activas:


aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

Revise el estado de la conexión y los mensajes de error que puedan aparecer en el resultado.
Compruebe los registros de autenticación del cliente para ver si hay intentos de autenticación fallidos.
Compruebe que los clientes reciben direcciones IP del bloque de CIDR del cliente configurado.

nota

Si los clientes no pueden conectarse, es probable que el problema esté relacionado con la configuración de la autenticación, las reglas de autorización o la conectividad de red.

Verificación de la autenticación del cliente

Los problemas de autenticación suelen producir errores de conectividad en Client VPN:

Para la autenticación mutua, asegúrese de que los certificados del clientes sean válidos y no hayan caducado.
Para la autenticación de Active Directory, compruebe las credenciales de usuario y la conectividad del dominio.
Para la autenticación federada basada en SAML, compruebe la configuración del IdP y los permisos de usuario.
Revise los registros de autenticación en CloudWatch para obtener información detallada sobre los errores.
Compruebe que el método de autenticación configurado en el punto de conexión coincide con la configuración del cliente.

Comprobación de reglas de autorización

Las reglas de autorización controlan a qué recursos de red pueden acceder los clientes:

Enumere las reglas de autorización actuales:


aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

Compruebe que haya reglas para las redes de destino a las que necesitan acceder los clientes.
Compruebe que las reglas especifican los grupos de Active Directory correctos (si utiliza la autenticación AD).
Asegúrese de que las reglas de autorización se encuentren en estado active.

Validación de rutas de Client VPN

La configuración de enrutamiento adecuada es esencial para la conectividad de Client VPN:

Compruebe las rutas de punto de conexión de Client VPN:


aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

Compruebe que hay reglas para las redes de destino a las que deban acceder los clientes.
Consulte las tablas de enrutamiento de Amazon VPC para asegurarse de que el tráfico de retorno pueda llegar al punto de conexión de Client VPN:
```
aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-id" --region your-region
```
Compruebe que las asociaciones de redes de destino estén configuradas correctamente.

Verificación de grupos de seguridad y ACL de red

Los grupos de seguridad y las ACL de red pueden bloquear el tráfico de Client VPN:

Compruebe los grupos de seguridad para las instancias de EC2 de destino:


aws ec2 describe-security-groups --group-ids sg-xxxxxxxxx --region your-region

Compruebe que las reglas de entrada permiten tráfico del bloque de CIDR de Client VPN:
- SSH (puerto 22) desde el CIDR de Client VPN: 10.0.0.0/16
- HTTP (puerto 80) desde el CIDR de Client VPN: 10.0.0.0/16
- HTTPS (puerto 443) desde el CIDR de Client VPN: 10.0.0.0/16
- Puertos de aplicaciones personalizados si es necesario
Para el grupo de seguridad del punto de conexión de Client VPN (en su caso), asegúrese de que permita:
- Puerto UDP 443 (OpenVPN) desde 0.0.0.0/0
- Todo el tráfico de salida a bloques de CIDR de VPC
Compruebe que las ACL de red no bloqueen el tráfico. Las ACL de red no tienen estado, por lo que se deben configurar reglas de entrada y salida.
Verifique las reglas de entrada y salida para el tráfico específico que intenta enviar.

Prueba de conectividad de clientes

Pruebe la conectividad de los clientes de Client VPN a los recursos de Amazon VPC:

Desde un cliente de Client VPN conectado, pruebe la conectividad a recursos de Amazon VPC:
```
ping vpc-resource-ip
traceroute vpc-resource-ip
```
Pruebe la conectividad de aplicaciones específicas.
```
telnet vpc-resource-ip port
```
Verifique la resolución de DNS si utiliza nombres de DNS privados:
```
nslookup private-dns-name
```
Pruebe la conectividad a los recursos de Internet si está habilitada la tunelización dividida.

Diagnóstico del dispositivo cliente

Realice estas comprobaciones en el dispositivo cliente:

Verifique que el archivo de configuración del cliente (.ovpn) contenga los ajustes correctos:
- URL correcta del punto de conexión del servidor
- Certificado del cliente y clave privada válidos
- Configuración adecuada del método de autenticación
Compruebe los registros del cliente para ver si hay errores de conexión:
- Windows: Visor de eventos → Registros de aplicaciones y servicios → OpenVPN
- macOS: aplicación Consola, busque “Tunnelblick” u “OpenVPN”
- Linux: /var/log/openvpn/ o systemd journal

Pruebe la conectividad de red básica desde el cliente:


ping 8.8.8.8
nslookup cvpn-endpoint-id.cvpn.region.amazonaws.com

Solución de problemas de resolución de DNS

Los problemas de DNS pueden impedir el acceso a recursos que utilizan nombres de DNS privados:

Compruebe si los servidores de DNS están configurados en el punto de conexión de Client VPN:


aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids cvpn-endpoint-id --query 'ClientVpnEndpoints[0].DnsServers'

Pruebe la resolución de DNS desde el cliente:


nslookup private-resource.internal
dig private-resource.internal

Verifique las reglas de Route 53 Resolver si usa una resolución de DNS personalizada.
Compruebe que los grupos de seguridad permiten tráfico de DNS (puerto 53 UDP/TCP) desde el CIDR de Client VPN hasta los servidores de DNS.

Solución de problemas de rendimiento

Solución de problemas de rendimiento con conexiones de Client VPN:

Supervise el uso del ancho de banda mediante métricas de CloudWatch para bytes de entrada/salida.
Compruebe la pérdida de paquetes mediante pruebas de ping continuas desde los clientes.
Verifique que el punto de conexión de Client VPN no alcance los límites de conexión.
Considere la posibilidad de utilizar varios puntos de conexión de Client VPN para la distribución de la carga.
Pruebe con diferentes ubicaciones de clientes para identificar problemas de rendimiento regionales.

Monitorización de métricas de Client VPN

Monitorización de las métricas de punto de conexión de Client VPN a través de CloudWatch:

Compruebe las métricas de conexión activa:


aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name ActiveConnectionsCount \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Average

Revise las métricas de error de autenticación:


aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name AuthenticationFailures \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Sum

Revise otras métricas disponibles, como los bytes y los paquetes de entrada y salida.

Comprobación de los registros de Client VPN

Los registros de conexión de Client VPN proporcionan información detallada sobre los intentos y errores de conexión:

Habilite el registro de conexiones de Client VPN si aún no está configurado.
Revise los registros de CloudWatch para ver si hay intentos de conexión, errores de autenticación y errores de autorización.
Busque códigos y mensajes de error específicos que indiquen la causa raíz de los problemas de conectividad.
Compruebe en las conexiones fallidas si hay patrones que puedan indicar problemas de configuración.

Problemas y soluciones comunes

Problemas comunes que pueden afectar a la conectividad de Client VPN:

Errores de autenticación: Certificados de cliente que han caducado o no son válidos, o credenciales de Active Directory incorrectas. Compruebe la configuración de autenticación y la validez de las credenciales.
Ausencia de reglas de autorización: Los clientes no pueden acceder a las redes de destino porque faltan reglas de autorización o son incorrectas. Agregue las reglas de autorización adecuadas para las redes requeridas.
Problemas de tunelización dividida: El enrutamiento del tráfico es incorrecto debido a la configuración de túneles divididos. Revise y ajuste la configuración de tunelización dividida si es necesario.
Agotamiento del grupo de IP del cliente: No hay direcciones IP disponibles en el bloque de CIDR del cliente. Amplíe el intervalo de CIDR del cliente o desconecte los clientes no utilizados.
Problemas de MTU: Los paquetes grandes se descartan debido a las limitaciones de tamaño de la MTU. Configure la MTU en 1436 bytes o habilite Path MTU Discovery en los dispositivos cliente.
Problemas de resolución de DNS: Los clientes no pueden resolver nombres de DNS privados. Compruebe la configuración del servidor de DNS y asegúrese de que el tráfico de DNS esté permitido a través de grupos de seguridad.
Solapamiento de intervalos de IP: El bloque de CIDR del cliente entra en conflicto con los intervalos de redes locales. Compruebe y resuelva cualquier intervalo de direcciones IP que se solape entre el CIDR del cliente y las redes locales.
Errores de establecimiento de comunicación de TLS: La conexión falla durante la negociación de TLS. Compruebe la validez del certificado, asegúrese de que los conjuntos de cifrado sean correctos y compruebe que los certificados de cliente y servidor estén configurados correctamente.
Retrasos de propagación de rutas: Las nuevas rutas no están disponibles de forma inmediata para los clientes. Espere de 1 a 2 minutos a la propagación de la ruta después de realizar cambios en rutas de Client VPN.
Caídas o inestabilidad de la conexión: Desconexiones frecuentes o inestables. Compruebe la congestión de la red, las interferencias del firewall o la configuración de administración de energía en los dispositivos cliente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Comprobación del límite de ancho de banda para un punto de conexión

Historial de revisión