Solución de problemas de conectividad de AWS Site-to-Site VPN al usar el protocolo de puerta de enlace fronteriza

El siguiente diagrama y la siguiente tabla proporcionan instrucciones generales para solucionar problemas de un dispositivo de gateway de cliente que utiliza el protocolo de gateway fronteriza (BGP). También recomendamos que habilite las características de depuración de su dispositivo. Consulte al proveedor de su dispositivo de gateway para obtener detalles.

Diagrama para la resolución de problemas de dispositivos de gateway de cliente genéricos

IKE	Determine si existe una asociación de seguridad de IKE. Es necesario tener una asociación de seguridad de IKE para intercambiar las claves que se utilizan para establecer la asociación de seguridad de IPsec. Si no existe ninguna asociación de seguridad de IKE, revise sus opciones de configuración de IKE. Debe configurar los parámetros de cifrado, autenticación, confidencialidad directa total y modo según lo que se indica en el archivo de configuración. Si existe una asociación de seguridad de IKE, continúe hasta “IPsec”.
IPsec	Determine si existe una asociación de seguridad (SA) de IPsec. Una SA de IPSec es el propio túnel. Consulte el dispositivo de gateway de cliente para determinar si hay activa una SA de IPSec. Asegúrese de configurar los parámetros de cifrado, autenticación, confidencialidad directa total y modo según lo mostrado en el archivo de configuración. Si no existe una SA de IPSec, revise la configuración de IPSec. Si existe una SA de IPSec, vaya a la sección “Túnel”.
Túnel	Asegúrese de que se han configurado las reglas de firewall necesarias (para ver una lista de las reglas, consulte Reglas de firewall para un dispositivo de puerta de enlace de cliente de AWS Site-to-Site VPN). Si están correctamente configuradas, continúe. Determine si hay conectividad IP a través del túnel. Cada lado del túnel tiene una dirección IP según lo especificado en el archivo de configuración. La dirección de gateway privada virtual es la dirección utilizada como la dirección vecina de BGP. Desde su dispositivo de gateway de cliente, haga ping a esta dirección para determinar si el tráfico IP se está cifrando y descifrando correctamente. Si el ping no se realiza correctamente, revise la configuración de la interfaz del túnel para asegurarse de que se ha configurado la dirección IP adecuada. Si el ping es correcto, vaya a “BGP”.
BGP	Determine si la sesión de intercambio de tráfico BGP está activa. Para cada túnel, haga lo siguiente: En su dispositivo de gateway de cliente, determine si el estado de BGP es `Active` o `Established`. El intercambio de tráfico BGP puede tardar aproximadamente 30 segundos en activarse. Asegúrese de que el dispositivo de gateway de cliente indica la ruta predeterminada (0.0.0.0/0) hacia la gateway privada virtual. Si los túneles no se encuentran en este estado, revise su configuración de BGP. Si se establece el intercambio de tráfico BGP, recibe un prefijo y se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tienen este estado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Solución de problemas de dispositivos de puerta de enlace de cliente

Dispositivo sin BGP