Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pemecahan masalah AWS Client VPN: Masalah konektivitas terowongan ke VPC
Saat mengalami masalah konektivitas dengan AWS Client VPN koneksi Anda, ikuti pendekatan pemecahan masalah sistematis ini untuk mengidentifikasi dan menyelesaikan masalah. Bagian ini menyediakan step-by-step prosedur untuk mendiagnosis masalah konektivitas Client VPN yang umum antara klien jarak jauh dan sumber daya Amazon VPC.
Topik
Prasyarat konektivitas jaringan
Sebelum memecahkan masalah konektivitas Client VPN, verifikasi prasyarat jaringan ini:
-
Pastikan subnet titik akhir Client VPN memiliki konektivitas internet (melalui Internet Gateway atau NAT Gateway).
-
Verifikasi bahwa titik akhir Client VPN dikaitkan dengan subnet di Availability Zone yang berbeda untuk ketersediaan tinggi.
-
Periksa apakah VPC memiliki ruang alamat IP yang cukup dan tidak bertentangan dengan blok CIDR klien.
-
Konfirmasikan bahwa subnet target memiliki asosiasi tabel rute yang tepat.
Periksa status titik akhir Client VPN
Pertama, verifikasi bahwa titik akhir Client VPN Anda berada dalam kondisi yang benar:
-
Gunakan AWS CLI untuk memeriksa status titik akhir Client VPN:
aws ec2 describe-client-vpn-endpoints --region
your-region
-
Cari status endpoint di output. Negara seharusnya
available
. -
Verifikasi bahwa titik akhir memiliki jaringan target terkait (subnet).
-
Jika statusnya tidak
available
, periksa pesan kesalahan atau status tertunda yang mungkin menunjukkan masalah konfigurasi.
Verifikasi koneksi klien
Periksa status koneksi klien ke titik akhir Client VPN Anda:
-
Periksa koneksi klien aktif:
aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id
cvpn-endpoint-id
--regionyour-region
-
Tinjau status koneksi dan pesan kesalahan apa pun dalam output.
-
Periksa log otentikasi klien untuk upaya otentikasi yang gagal.
-
Verifikasi bahwa klien menerima alamat IP dari blok CIDR klien yang dikonfigurasi.
catatan
Jika klien tidak dapat terhubung, masalahnya mungkin dengan konfigurasi otentikasi, aturan otorisasi, atau konektivitas jaringan.
Verifikasi otentikasi klien
Masalah otentikasi adalah penyebab umum masalah konektivitas Client VPN:
-
Untuk otentikasi timbal balik, pastikan sertifikat klien valid dan tidak kedaluwarsa.
-
Untuk otentikasi Active Directory, verifikasi kredensi pengguna dan konektivitas domain.
-
Untuk otentikasi federasi berbasis SAMP, periksa konfigurasi IDP dan izin pengguna.
-
Tinjau log otentikasi CloudWatch untuk informasi kesalahan terperinci.
-
Verifikasi bahwa metode otentikasi yang dikonfigurasi pada titik akhir cocok dengan konfigurasi klien.
Periksa aturan otorisasi
Aturan otorisasi mengontrol sumber daya jaringan mana yang dapat diakses klien:
-
Daftar aturan otorisasi saat ini:
aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id
cvpn-endpoint-id
--regionyour-region
-
Verifikasi bahwa aturan ada untuk jaringan target yang perlu diakses klien.
-
Periksa apakah aturan menentukan grup Active Directory yang benar (jika menggunakan otentikasi AD).
-
Pastikan bahwa aturan otorisasi dalam
active
keadaan.
Validasi rute Client VPN
Konfigurasi routing yang tepat sangat penting untuk konektivitas Client VPN:
-
Periksa rute titik akhir Client VPN:
aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id
cvpn-endpoint-id
--regionyour-region
-
Verifikasi rute yang ada untuk jaringan target yang perlu diakses klien.
-
Periksa tabel rute Amazon VPC untuk memastikan lalu lintas kembali dapat mencapai titik akhir Client VPN:
aws ec2 describe-route-tables --filters "Name=vpc-id,Values=
vpc-id
" --regionyour-region
-
Verifikasi bahwa asosiasi jaringan target dikonfigurasi dengan benar.
Verifikasi grup keamanan dan jaringan ACLs
Grup keamanan dan jaringan ACLs dapat memblokir lalu lintas Client VPN:
-
Periksa grup keamanan untuk EC2 contoh target:
aws ec2 describe-security-groups --group-ids
sg-xxxxxxxxx
--regionyour-region
-
Verifikasi aturan masuk mengizinkan lalu lintas dari blok CIDR Client VPN:
SSH (port 22) dari Client VPN CIDR:
10.0.0.0/16
HTTP (port 80) dari Client VPN CIDR:
10.0.0.0/16
HTTPS (port 443) dari Client VPN CIDR:
10.0.0.0/16
Port aplikasi khusus sesuai kebutuhan
-
Untuk grup keamanan titik akhir Client VPN (jika ada), pastikan grup ini memungkinkan:
Port UDP 443 (OpenVPN) dari 0.0.0.0/0
Semua lalu lintas keluar ke blok VPC CIDR
-
Periksa apakah jaringan ACLs tidak memblokir lalu lintas. Jaringan ACLs bersifat stateless, jadi aturan masuk dan keluar harus dikonfigurasi.
-
Verifikasi aturan masuk dan keluar untuk lalu lintas spesifik yang Anda coba kirim.
Uji konektivitas klien
Uji konektivitas dari klien Client VPN ke sumber daya Amazon VPC:
-
Dari klien Client VPN yang terhubung, uji konektivitas ke sumber daya Amazon VPC:
ping
vpc-resource-ip
traceroutevpc-resource-ip
-
Uji konektivitas aplikasi tertentu:
telnet
vpc-resource-ip
port
-
Verifikasi resolusi DNS jika menggunakan nama DNS pribadi:
nslookup
private-dns-name
-
Uji konektivitas ke sumber daya internet jika tunneling terpisah diaktifkan.
Mendiagnosa perangkat klien
Lakukan pemeriksaan ini pada perangkat klien:
-
Verifikasi file konfigurasi klien (.ovpn) berisi pengaturan yang benar:
URL titik akhir server yang benar
Sertifikat klien dan kunci pribadi yang valid
Konfigurasi metode otentikasi yang tepat
-
Periksa log klien untuk kesalahan koneksi:
Windows: Penampil Acara → Log Aplikasi dan Layanan → OpenVPN
macOS: Aplikasi konsol, cari “Tunnelblick” atau “OpenVPN”
Linux:
/var/log/openvpn/
atau jurnal systemd
-
Uji konektivitas jaringan dasar dari klien:
ping 8.8.8.8 nslookup
cvpn-endpoint-id
.cvpn.region
.amazonaws.com
Memecahkan masalah resolusi DNS
Masalah DNS dapat mencegah akses ke sumber daya menggunakan nama DNS pribadi:
-
Periksa apakah server DNS dikonfigurasi di titik akhir Client VPN:
aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids
cvpn-endpoint-id
--query 'ClientVpnEndpoints[0].DnsServers' -
Uji resolusi DNS dari klien:
nslookup
private-resource.internal
digprivate-resource.internal
-
Verifikasi aturan Route 53 Resolver jika menggunakan resolusi DNS kustom.
-
Periksa apakah grup keamanan mengizinkan lalu lintas DNS (port UDP/TCP 53) dari Client VPN CIDR ke server DNS.
Memecahkan masalah kinerja
Mengatasi masalah kinerja dengan koneksi Client VPN:
-
Pantau pemanfaatan bandwidth menggunakan CloudWatch metrik untuk ingress/egress byte.
-
Periksa kehilangan paket menggunakan tes ping berkelanjutan dari klien.
-
Pastikan titik akhir Client VPN tidak mencapai batas koneksi.
-
Pertimbangkan untuk menggunakan beberapa titik akhir Client VPN untuk distribusi beban.
-
Uji dengan lokasi klien yang berbeda untuk mengidentifikasi masalah kinerja regional.
Pantau metrik Client VPN
Pantau metrik titik akhir Client VPN menggunakan: CloudWatch
-
Periksa metrik koneksi aktif:
aws cloudwatch get-metric-statistics \ --namespace AWS/ClientVPN \ --metric-name ActiveConnectionsCount \ --dimensions Name=Endpoint,Value=
cvpn-endpoint-id
\ --start-timestart-time
\ --end-timeend-time
\ --period 300 \ --statistics Average -
Tinjau metrik kegagalan otentikasi:
aws cloudwatch get-metric-statistics \ --namespace AWS/ClientVPN \ --metric-name AuthenticationFailures \ --dimensions Name=Endpoint,Value=
cvpn-endpoint-id
\ --start-timestart-time
\ --end-timeend-time
\ --period 300 \ --statistics Sum -
Tinjau metrik lain yang tersedia seperti byte dan paket masuk dan keluar.
Periksa log Client VPN
Log koneksi Client VPN memberikan informasi terperinci tentang upaya dan kesalahan koneksi:
-
Aktifkan pencatatan koneksi Client VPN jika belum dikonfigurasi.
-
Tinjau CloudWatch log untuk upaya koneksi, kegagalan otentikasi, dan kesalahan otorisasi.
-
Cari kode kesalahan dan pesan tertentu yang menunjukkan akar penyebab masalah konektivitas.
-
Periksa pola dalam koneksi gagal yang mungkin menunjukkan masalah konfigurasi.
Masalah dan solusi umum
Masalah umum yang dapat memengaruhi konektivitas Client VPN:
- Kegagalan otentikasi
-
Sertifikat klien kedaluwarsa atau tidak valid, atau kredensi Direktori Aktif salah. Verifikasi konfigurasi otentikasi dan validitas kredensi.
- Aturan otorisasi tidak ada
-
Klien tidak dapat mengakses jaringan target karena aturan otorisasi yang hilang atau salah. Tambahkan aturan otorisasi yang sesuai untuk jaringan yang diperlukan.
- Masalah terowongan terpisah
-
Perutean lalu lintas salah karena konfigurasi terowongan terpisah. Tinjau dan sesuaikan pengaturan terowongan terpisah sesuai kebutuhan.
- Kelelahan kolam IP klien
-
Tidak ada alamat IP yang tersedia di blok CIDR klien. Perluas jangkauan CIDR klien atau putuskan sambungan klien yang tidak digunakan.
- Masalah MTU
-
Paket besar dijatuhkan karena keterbatasan ukuran MTU. Coba atur MTU ke 1436 byte atau aktifkan Path MTU Discovery di perangkat klien.
- Masalah resolusi DNS
-
Klien tidak dapat menyelesaikan nama DNS pribadi. Verifikasi konfigurasi server DNS dan pastikan lalu lintas DNS diizinkan melalui grup keamanan.
- Rentang IP yang tumpang tindih
-
Client CIDR memblokir konflik dengan rentang jaringan lokal. Periksa dan selesaikan rentang alamat IP yang tumpang tindih antara CIDR klien dan jaringan lokal.
- Kegagalan jabat tangan TLS
-
Koneksi gagal selama negosiasi TLS. Periksa validitas sertifikat, pastikan cipher suite yang benar, dan verifikasi bahwa sertifikat klien dan server dikonfigurasi dengan benar.
- Penundaan propagasi rute
-
Rute baru tidak segera tersedia untuk klien. Biarkan 1-2 menit untuk propagasi rute setelah membuat perubahan pada rute Client VPN.
- Koneksi tetes/ketidakstabilan
-
Pemutusan yang sering atau koneksi yang tidak stabil. Periksa kemacetan jaringan, gangguan firewall, atau pengaturan manajemen daya pada perangkat klien.