Pemecahan masalah AWS Client VPN: Masalah konektivitas terowongan ke VPC - AWS Client VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemecahan masalah AWS Client VPN: Masalah konektivitas terowongan ke VPC

Saat mengalami masalah konektivitas dengan AWS Client VPN koneksi Anda, ikuti pendekatan pemecahan masalah sistematis ini untuk mengidentifikasi dan menyelesaikan masalah. Bagian ini menyediakan step-by-step prosedur untuk mendiagnosis masalah konektivitas Client VPN yang umum antara klien jarak jauh dan sumber daya Amazon VPC.

Prasyarat konektivitas jaringan

Sebelum memecahkan masalah konektivitas Client VPN, verifikasi prasyarat jaringan ini:

  • Pastikan subnet titik akhir Client VPN memiliki konektivitas internet (melalui Internet Gateway atau NAT Gateway).

  • Verifikasi bahwa titik akhir Client VPN dikaitkan dengan subnet di Availability Zone yang berbeda untuk ketersediaan tinggi.

  • Periksa apakah VPC memiliki ruang alamat IP yang cukup dan tidak bertentangan dengan blok CIDR klien.

  • Konfirmasikan bahwa subnet target memiliki asosiasi tabel rute yang tepat.

Periksa status titik akhir Client VPN

Pertama, verifikasi bahwa titik akhir Client VPN Anda berada dalam kondisi yang benar:

  1. Gunakan AWS CLI untuk memeriksa status titik akhir Client VPN:

    aws ec2 describe-client-vpn-endpoints --region your-region
  2. Cari status endpoint di output. Negara seharusnyaavailable.

  3. Verifikasi bahwa titik akhir memiliki jaringan target terkait (subnet).

  4. Jika statusnya tidakavailable, periksa pesan kesalahan atau status tertunda yang mungkin menunjukkan masalah konfigurasi.

Verifikasi koneksi klien

Periksa status koneksi klien ke titik akhir Client VPN Anda:

  1. Periksa koneksi klien aktif:

    aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id cvpn-endpoint-id --region your-region
  2. Tinjau status koneksi dan pesan kesalahan apa pun dalam output.

  3. Periksa log otentikasi klien untuk upaya otentikasi yang gagal.

  4. Verifikasi bahwa klien menerima alamat IP dari blok CIDR klien yang dikonfigurasi.

catatan

Jika klien tidak dapat terhubung, masalahnya mungkin dengan konfigurasi otentikasi, aturan otorisasi, atau konektivitas jaringan.

Verifikasi otentikasi klien

Masalah otentikasi adalah penyebab umum masalah konektivitas Client VPN:

  • Untuk otentikasi timbal balik, pastikan sertifikat klien valid dan tidak kedaluwarsa.

  • Untuk otentikasi Active Directory, verifikasi kredensi pengguna dan konektivitas domain.

  • Untuk otentikasi federasi berbasis SAMP, periksa konfigurasi IDP dan izin pengguna.

  • Tinjau log otentikasi CloudWatch untuk informasi kesalahan terperinci.

  • Verifikasi bahwa metode otentikasi yang dikonfigurasi pada titik akhir cocok dengan konfigurasi klien.

Periksa aturan otorisasi

Aturan otorisasi mengontrol sumber daya jaringan mana yang dapat diakses klien:

  1. Daftar aturan otorisasi saat ini:

    aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id cvpn-endpoint-id --region your-region
  2. Verifikasi bahwa aturan ada untuk jaringan target yang perlu diakses klien.

  3. Periksa apakah aturan menentukan grup Active Directory yang benar (jika menggunakan otentikasi AD).

  4. Pastikan bahwa aturan otorisasi dalam active keadaan.

Validasi rute Client VPN

Konfigurasi routing yang tepat sangat penting untuk konektivitas Client VPN:

  1. Periksa rute titik akhir Client VPN:

    aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id cvpn-endpoint-id --region your-region
  2. Verifikasi rute yang ada untuk jaringan target yang perlu diakses klien.

  3. Periksa tabel rute Amazon VPC untuk memastikan lalu lintas kembali dapat mencapai titik akhir Client VPN:

    aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-id" --region your-region
  4. Verifikasi bahwa asosiasi jaringan target dikonfigurasi dengan benar.

Verifikasi grup keamanan dan jaringan ACLs

Grup keamanan dan jaringan ACLs dapat memblokir lalu lintas Client VPN:

  1. Periksa grup keamanan untuk EC2 contoh target:

    aws ec2 describe-security-groups --group-ids sg-xxxxxxxxx --region your-region
  2. Verifikasi aturan masuk mengizinkan lalu lintas dari blok CIDR Client VPN:

    • SSH (port 22) dari Client VPN CIDR: 10.0.0.0/16

    • HTTP (port 80) dari Client VPN CIDR: 10.0.0.0/16

    • HTTPS (port 443) dari Client VPN CIDR: 10.0.0.0/16

    • Port aplikasi khusus sesuai kebutuhan

  3. Untuk grup keamanan titik akhir Client VPN (jika ada), pastikan grup ini memungkinkan:

    • Port UDP 443 (OpenVPN) dari 0.0.0.0/0

    • Semua lalu lintas keluar ke blok VPC CIDR

  4. Periksa apakah jaringan ACLs tidak memblokir lalu lintas. Jaringan ACLs bersifat stateless, jadi aturan masuk dan keluar harus dikonfigurasi.

  5. Verifikasi aturan masuk dan keluar untuk lalu lintas spesifik yang Anda coba kirim.

Uji konektivitas klien

Uji konektivitas dari klien Client VPN ke sumber daya Amazon VPC:

  1. Dari klien Client VPN yang terhubung, uji konektivitas ke sumber daya Amazon VPC:

    ping vpc-resource-ip traceroute vpc-resource-ip
  2. Uji konektivitas aplikasi tertentu:

    telnet vpc-resource-ip port
  3. Verifikasi resolusi DNS jika menggunakan nama DNS pribadi:

    nslookup private-dns-name
  4. Uji konektivitas ke sumber daya internet jika tunneling terpisah diaktifkan.

Mendiagnosa perangkat klien

Lakukan pemeriksaan ini pada perangkat klien:

  1. Verifikasi file konfigurasi klien (.ovpn) berisi pengaturan yang benar:

    • URL titik akhir server yang benar

    • Sertifikat klien dan kunci pribadi yang valid

    • Konfigurasi metode otentikasi yang tepat

  2. Periksa log klien untuk kesalahan koneksi:

    • Windows: Penampil Acara → Log Aplikasi dan Layanan → OpenVPN

    • macOS: Aplikasi konsol, cari “Tunnelblick” atau “OpenVPN”

    • Linux: /var/log/openvpn/ atau jurnal systemd

  3. Uji konektivitas jaringan dasar dari klien:

    ping 8.8.8.8 nslookup cvpn-endpoint-id.cvpn.region.amazonaws.com

Memecahkan masalah resolusi DNS

Masalah DNS dapat mencegah akses ke sumber daya menggunakan nama DNS pribadi:

  1. Periksa apakah server DNS dikonfigurasi di titik akhir Client VPN:

    aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids cvpn-endpoint-id --query 'ClientVpnEndpoints[0].DnsServers'
  2. Uji resolusi DNS dari klien:

    nslookup private-resource.internal dig private-resource.internal
  3. Verifikasi aturan Route 53 Resolver jika menggunakan resolusi DNS kustom.

  4. Periksa apakah grup keamanan mengizinkan lalu lintas DNS (port UDP/TCP 53) dari Client VPN CIDR ke server DNS.

Memecahkan masalah kinerja

Mengatasi masalah kinerja dengan koneksi Client VPN:

  • Pantau pemanfaatan bandwidth menggunakan CloudWatch metrik untuk ingress/egress byte.

  • Periksa kehilangan paket menggunakan tes ping berkelanjutan dari klien.

  • Pastikan titik akhir Client VPN tidak mencapai batas koneksi.

  • Pertimbangkan untuk menggunakan beberapa titik akhir Client VPN untuk distribusi beban.

  • Uji dengan lokasi klien yang berbeda untuk mengidentifikasi masalah kinerja regional.

Pantau metrik Client VPN

Pantau metrik titik akhir Client VPN menggunakan: CloudWatch

  1. Periksa metrik koneksi aktif:

    aws cloudwatch get-metric-statistics \ --namespace AWS/ClientVPN \ --metric-name ActiveConnectionsCount \ --dimensions Name=Endpoint,Value=cvpn-endpoint-id \ --start-time start-time \ --end-time end-time \ --period 300 \ --statistics Average
  2. Tinjau metrik kegagalan otentikasi:

    aws cloudwatch get-metric-statistics \ --namespace AWS/ClientVPN \ --metric-name AuthenticationFailures \ --dimensions Name=Endpoint,Value=cvpn-endpoint-id \ --start-time start-time \ --end-time end-time \ --period 300 \ --statistics Sum
  3. Tinjau metrik lain yang tersedia seperti byte dan paket masuk dan keluar.

Periksa log Client VPN

Log koneksi Client VPN memberikan informasi terperinci tentang upaya dan kesalahan koneksi:

  • Aktifkan pencatatan koneksi Client VPN jika belum dikonfigurasi.

  • Tinjau CloudWatch log untuk upaya koneksi, kegagalan otentikasi, dan kesalahan otorisasi.

  • Cari kode kesalahan dan pesan tertentu yang menunjukkan akar penyebab masalah konektivitas.

  • Periksa pola dalam koneksi gagal yang mungkin menunjukkan masalah konfigurasi.

Masalah dan solusi umum

Masalah umum yang dapat memengaruhi konektivitas Client VPN:

Kegagalan otentikasi

Sertifikat klien kedaluwarsa atau tidak valid, atau kredensi Direktori Aktif salah. Verifikasi konfigurasi otentikasi dan validitas kredensi.

Aturan otorisasi tidak ada

Klien tidak dapat mengakses jaringan target karena aturan otorisasi yang hilang atau salah. Tambahkan aturan otorisasi yang sesuai untuk jaringan yang diperlukan.

Masalah terowongan terpisah

Perutean lalu lintas salah karena konfigurasi terowongan terpisah. Tinjau dan sesuaikan pengaturan terowongan terpisah sesuai kebutuhan.

Kelelahan kolam IP klien

Tidak ada alamat IP yang tersedia di blok CIDR klien. Perluas jangkauan CIDR klien atau putuskan sambungan klien yang tidak digunakan.

Masalah MTU

Paket besar dijatuhkan karena keterbatasan ukuran MTU. Coba atur MTU ke 1436 byte atau aktifkan Path MTU Discovery di perangkat klien.

Masalah resolusi DNS

Klien tidak dapat menyelesaikan nama DNS pribadi. Verifikasi konfigurasi server DNS dan pastikan lalu lintas DNS diizinkan melalui grup keamanan.

Rentang IP yang tumpang tindih

Client CIDR memblokir konflik dengan rentang jaringan lokal. Periksa dan selesaikan rentang alamat IP yang tumpang tindih antara CIDR klien dan jaringan lokal.

Kegagalan jabat tangan TLS

Koneksi gagal selama negosiasi TLS. Periksa validitas sertifikat, pastikan cipher suite yang benar, dan verifikasi bahwa sertifikat klien dan server dikonfigurasi dengan benar.

Penundaan propagasi rute

Rute baru tidak segera tersedia untuk klien. Biarkan 1-2 menit untuk propagasi rute setelah membuat perubahan pada rute Client VPN.

Koneksi tetes/ketidakstabilan

Pemutusan yang sering atau koneksi yang tidak stabil. Periksa kemacetan jaringan, gangguan firewall, atau pengaturan manajemen daya pada perangkat klien.