Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memecahkan masalah perangkat gateway AWS Site-to-Site VPN pelanggan
Saat memecahkan masalah dengan perangkat gateway pelanggan Anda, penting untuk memiliki pendekatan terstruktur. Dua topik pertama di bagian ini menyediakan diagram alur umum untuk memecahkan masalah saat menggunakan perangkat yang dikonfigurasi untuk perutean dinamis (diaktifkan BGP), dan perangkat yang dikonfigurasi untuk perutean statis (tanpa BGP diaktifkan), masing-masing. Berikut topik tersebut adalah panduan pemecahan masalah khusus perangkat untuk perangkat gateway pelanggan Cisco, Juniper, dan Yamaha.
Selain topik di bagian ini, mengaktifkan [AWS Site-to-Site VPN log](monitoring-logs.md) dapat sangat membantu untuk memecahkan masalah dan menyelesaikan masalah konektivitas VPN. Untuk instruksi pengujian umum, lihat juga[Uji AWS Site-to-Site VPN koneksi](HowToTestEndToEnd_Linux.md).
**Topics**
+ [Perangkat dengan BGP](Generic_Troubleshooting.md)
+ [Perangkat tanpa BGP](Generic_Troubleshooting_noBGP.md)
+ [Cisco ASA](Cisco_ASA_Troubleshooting.md)
+ [Cisco IOS](Cisco_Troubleshooting.md)
+ [Cisco IOS tanpa BGP](Cisco_Troubleshooting_NoBGP.md)
+ [Juniper JunOS](Juniper_Troubleshooting.md)
+ [Juniper ScreenOS](Juniper_ScreenOs_Troubleshooting.md)
+ [Yamaha](Yamaha_Troubleshooting.md)
**Sumber daya tambahan**
+ [Forum Amazon VPC](https://repost.aws/tags/TATGuEiYydTVCPMhSnXFN6gA/amazon-vpc)
# Memecahkan masalah AWS Site-to-Site VPN konektivitas saat menggunakan Border Gateway Protocol
Diagram dan tabel berikut menyediakan petunjuk umum untuk pemecahan masalah pada perangkat gateway pelanggan yang menggunakan Border Gateway Protocol (BGP). Kami juga merekomendasikan agar Anda mengaktifkan fitur debug pada perangkat Anda. Konsultasikan dengan vendor perangkat gateway Anda untuk detailnya.
![\[Bagan alur untuk pemecahan masalah pada perangkat generik gateway pelanggan\]](http://docs.aws.amazon.com/id_id/vpn/latest/s2svpn/images/troubleshooting-cgw-flow-diagram.png)
| | |
| --- |--- |
| IKE | Tentukan apakah terdapat asosiasi keamanan IKE. Asosiasi keamanan IKE diperlukan untuk bertukar kunci yang digunakan untuk mendirikan asosiasi IPsec keamanan. Jika tidak terdapat asosiasi kemanan IKE, tinjau pengaturan konfigurasi IKE Anda. Anda harus mengonfigurasikan enkripsi, autentikasi, perfect forward secrecy, dan parameter mode sesuai dengan yang tercantum dalam file konfigurasi. Jika ada asosiasi keamanan IKE, lanjutkan ke 'IPsec'. |
| IPsec | Tentukan apakah ada asosiasi IPsec keamanan (SA). IPsec SA adalah terowongan itu sendiri. Kueri perangkat gateway pelanggan Anda untuk menentukan apakah IPsec SA aktif. Anda harus mengonfigurasikan enkripsi, autentikasi, perfect forward secrecy, dan parameter mode sesuai dengan yang tercantum dalam file konfigurasi. Jika tidak ada IPsec SA, tinjau IPsec konfigurasi Anda. Jika IPsec SA ada, lanjutkan ke 'Terowongan'. |
| Terowongan | Pastikan bahwa aturan firewall yang diperlukan telah disiapkan (untuk daftar aturan, lihat [Aturan firewall untuk perangkat gateway AWS Site-to-Site VPN pelanggan](FirewallRules.md)). Jika sudah, silakan lanjutkan. Tentukan apakah terdapat konektivitas IP melalui terowongan. Setiap sisi pada terowongan memiliki alamat IP sebagaimana yang telah ditentukan dalam file konfigurasi. Alamat virtual private gateway merupakan alamat yang digunakan sebagai alamat BGP neighbor. Dari perangkat gateway pelanggan Anda, ping alamat ini untuk menentukan apakah lalu lintas IP telah dienkripsi dan didekripsi dengan benar. Jika ping tidak berhasil, tinjau konfigurasi antarmuka terowongan Anda untuk memastikan bahwa alamat IP yang tepat telah dikonfigurasi. Jika ping berhasil, lanjutkan ke 'BGP'. |
| BGP | Tentukan apakah sesi peering BGP aktif. Untuk setiap terowongan, lakukan hal berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpn/latest/s2svpn/Generic_Troubleshooting.html) Jika terowongan tidak berada dalam status ini, tinjau konfigurasi BGP Anda. Jika peering BGP telah dibuat, Anda akan menerima prefiks, dan mengiklankan prefiks, terowongan Anda dikonfigurasikan dengan benar. Pastikan kedua terowongan berada dalam status ini. |
# Memecahkan masalah AWS Site-to-Site VPN konektivitas tanpa Border Gateway Protocol
Diagram dan tabel berikut menyediakan petunjuk umum untuk pemecahan masalah perangkat gateway pelanggan yang tidak menggunakan Border Gateway Protocol (BGP). Kami juga merekomendasikan agar Anda mengaktifkan fitur debug pada perangkat Anda. Konsultasikan dengan vendor perangkat gateway Anda untuk detailnya.
![\[Bagan alur untuk memecahkan masalah pada perangkat generik gateway pelanggan\]](http://docs.aws.amazon.com/id_id/vpn/latest/s2svpn/images/troubleshooting-cgw-flow-nobgp-diagram.png)
| | |
| --- |--- |
| IKE | Tentukan apakah terdapat asosiasi keamanan IKE. Asosiasi keamanan IKE diperlukan untuk bertukar kunci yang digunakan untuk mendirikan asosiasi IPsec keamanan. Jika tidak terdapat asosiasi kemanan IKE, tinjau pengaturan konfigurasi IKE Anda. Anda harus mengonfigurasikan enkripsi, autentikasi, perfect forward secrecy, dan parameter mode sesuai dengan yang tercantum dalam file konfigurasi. Jika ada asosiasi keamanan IKE, lanjutkan ke 'IPsec'. |
| IPsec | Tentukan apakah ada asosiasi IPsec keamanan (SA). IPsec SA adalah terowongan itu sendiri. Kueri perangkat gateway pelanggan Anda untuk menentukan apakah IPsec SA aktif. Anda harus mengonfigurasikan enkripsi, autentikasi, perfect forward secrecy, dan parameter mode sesuai dengan yang tercantum dalam file konfigurasi. Jika tidak ada IPsec SA, tinjau IPsec konfigurasi Anda. Jika IPsec SA ada, lanjutkan ke 'Terowongan'. |
| Terowongan | Pastikan bahwa aturan firewall yang diperlukan telah disiapkan (untuk daftar aturan, lihat [Aturan firewall untuk perangkat gateway AWS Site-to-Site VPN pelanggan](FirewallRules.md)). Jika sudah, silakan lanjutkan. Tentukan apakah terdapat konektivitas IP melalui terowongan. Setiap sisi pada terowongan memiliki alamat IP sebagaimana yang telah ditentukan dalam file konfigurasi. Alamat virtual private gateway merupakan alamat yang digunakan sebagai alamat BGP neighbor. Dari perangkat gateway pelanggan Anda, ping alamat ini untuk menentukan apakah lalu lintas IP telah dienkripsi dan didekripsi dengan benar. Jika ping tidak berhasil, tinjau konfigurasi antarmuka terowongan Anda untuk memastikan bahwa alamat IP yang tepat telah dikonfigurasi. Jika ping berhasil, lanjutkan ke 'Rute Statisis'. |
| Rute statis | Untuk setiap terowongan, lakukan hal berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpn/latest/s2svpn/Generic_Troubleshooting_noBGP.html) Jika terowongan tidak berada dalam status ini, tinjau konfigurasi perangkat Anda. Pastikan bahwa kedua terowongan berada dalam status ini, dan setelah itu selesai. |
# Memecahkan masalah AWS Site-to-Site VPN konektivitas dengan perangkat gateway pelanggan Cisco ASA
Saat Anda memecahkan masalah konektivitas perangkat gateway pelanggan Cisco, pertimbangkan IKE,, dan perutean IPsec. Anda dapat memecahkan masalah di area-area ini dalam urutan apapun, akan tapi kami merekomendasikan supaya Anda memulainya dengan IKE (di bagian bawah tumpukan jaringan) dan lanjutkan ke atas.
**penting**
Beberapa Cisco ASAs hanya mendukung Active/Standby mode. Ketika Anda menggunakan Cisco ini ASAs, Anda hanya dapat memiliki satu terowongan aktif pada satu waktu. Terowongan siaga lainnya menjadi aktif hanya jika terowongan pertama tidak tersedia. Terowongan siaga mungkin menghasilkan galat berikut dalam berkas log Anda, yang mana dapat diabaikan: `Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside` .
## IKE
Gunakan perintah berikut ini. Respons tersebut menunjukkan bahwa perangkat gateway pelanggan dengan IKE telah dikonfigurasi dengan benar.
```
ciscoasa# show crypto isakmp sa
```
```
Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2
1 IKE Peer: AWS_ENDPOINT_1
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
```
Anda harus melihat satu atau lebih baris yang berisi nilai `src` untuk gateway jarak jauh yang ditentukan dalam terowongan. Nilai `state` seharusnya `MM_ACTIVE` dan `status` seharusnya `ACTIVE`. Tidak adanya entri, atau entri apapun ada di status lain, mengindikasikan bahwa IKE tidak dikonfigurasi dengan benar.
Untuk pemecahan masalah lebih lanjut, jalankan perintah berikut untuk mengaktifkan pesan log yang menyediakan informasi diagnostik.
```
router# term mon
router# debug crypto isakmp
```
Untuk menonaktifkan mode debug, gunakan perintah berikut.
```
router# no debug crypto isakmp
```
## IPsec
Gunakan perintah berikut ini. Respons menunjukkan perangkat gateway pelanggan dengan IPsec dikonfigurasi dengan benar.
```
ciscoasa# show crypto ipsec sa
```
```
interface: outside
Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101
access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
current_peer: integ-ppe1
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: 6D9F8D3B
current inbound spi : 48B456A6
inbound esp sas:
spi: 0x48B456A6 (1219778214)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
sa timing: remaining key lifetime (kB/sec): (4374000/3593)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x6D9F8D3B (1839172923)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
sa timing: remaining key lifetime (kB/sec): (4374000/3593)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
```
Untuk setiap antarmuka terowongan, Anda akan melihat, baik `inbound esp sas` maupun `outbound esp sas`. Ini mengasumsikan bahwa SA terdaftar (misalnya,`spi: 0x48B456A6`), dan itu IPsec dikonfigurasi dengan benar.
Di Cisco ASA, IPsec satu-satunya muncul setelah lalu lintas yang menarik (lalu lintas yang harus dienkripsi) dikirim. Untuk selalu tetap IPsec aktif, kami sarankan untuk mengonfigurasi monitor SLA. Monitor SLA terus mengirimkan lalu lintas yang menarik, menjaga agar tetap IPsec aktif.
Anda juga dapat menggunakan perintah ping berikut untuk memaksa Anda IPsec memulai negosiasi dan naik.
```
ping ec2_instance_ip_address
```
```
Pinging ec2_instance_ip_address with 32 bytes of data:
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```
Untuk pemecahan masalah lebih lanjut, silahkan gunakan perintah berikut untuk mengaktifkan mode debug.
```
router# debug crypto ipsec
```
Untuk menonaktifkan mode debug, gunakan perintah berikut ini.
```
router# no debug crypto ipsec
```
## Perutean
Ping ujung terowongan lainnya. Jika ini berhasil, maka Anda IPsec harus ditetapkan. Jika ini tidak berfungsi, periksa daftar akses Anda, dan lihat IPsec bagian sebelumnya.
Jika Anda tidak dapat menjangkau instans Anda, periksa informasi berikut.
1. Verifikasi bahwa daftar akses dikonfigurasi untuk mengizinkan lalu lintas yang terkait dengan peta kripto.
Anda dapat melakukannya dengan menggunakan perintah berikut.
```
ciscoasa# show run crypto
```
```
crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
crypto map VPN_crypto_map_name 1 match address access-list-name
crypto map VPN_crypto_map_name 1 set pfs
crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600
```
1. Periksa daftar akses dengan menggunakan perintah berikut.
```
ciscoasa# show run access-list access-list-name
```
```
access-list access-list-name extended permit ip any vpc_subnet subnet_mask
```
1. Verifikasi bahwa daftar akses sudah benar. Contoh daftar akses berikut mengizinkan semua lalu lintas internal ke subnet VPC 10.0.0.0/16.
```
access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0
```
1. Jalankan traceroute dari perangkat Cisco ASA, untuk melihat apakah itu mencapai router Amazon (misalnya,/). *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*
Jika traceroute mencapai router Amazon, periksa rute statis yang Anda tambahkan di konsol Amazon VPC, dan juga grup keamanan untuk instans tertentu.
1. Untuk pemecahan masalah lebih lanjut, tinjau konfigurasi.
## Pantulkan antarmuka terowongan
Jika terowongan tampak naik tetapi lalu lintas tidak mengalir dengan benar, memantul (menonaktifkan dan mengaktifkan kembali) antarmuka terowongan seringkali dapat menyelesaikan masalah konektivitas. Untuk memantulkan antarmuka terowongan pada Cisco ASA:
1. Jalankan hal berikut:
```
ciscoasa# conf t
ciscoasa(config)# interface tunnel X (where X is your tunnel ID)
ciscoasa(config-if)# shutdown
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# end
```
Bergantian Anda dapat menggunakan perintah satu baris:
```
ciscoasa# conf t ; interface tunnel X ; shutdown ; no shutdown ; end
```
1. Setelah memantulkan antarmuka, periksa apakah koneksi VPN telah dibuat kembali dan apakah lalu lintas sekarang mengalir dengan benar..
# Memecahkan masalah AWS Site-to-Site VPN konektivitas dengan perangkat gateway pelanggan Cisco IOS
Saat Anda memecahkan masalah konektivitas perangkat gateway pelanggan Cisco, pertimbangkan empat hal: IKE, terowongan IPsec, dan BGP. Anda dapat memecahkan masalah di area-area ini dalam urutan apapun, akan tapi kami merekomendasikan supaya Anda memulainya dengan IKE (di bagian bawah tumpukan jaringan) dan lanjutkan ke atas.
## IKE
Gunakan perintah berikut ini. Respons tersebut menunjukkan bahwa perangkat gateway pelanggan dengan IKE telah dikonfigurasi dengan benar.
```
router# show crypto isakmp sa
```
```
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE
192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE
```
Anda harus melihat satu atau lebih baris yang berisi nilai `src` untuk gateway jarak jauh yang ditentukan dalam terowongan. `state` seharusnya `QM_IDLE` dan `status` seharusnya `ACTIVE`. Tidak adanya entri, atau entri apapun ada di status lain, mengindikasikan bahwa IKE tidak dikonfigurasi dengan benar.
Untuk pemecahan masalah lebih lanjut, jalankan perintah berikut untuk mengaktifkan pesan log yang menyediakan informasi diagnostik.
```
router# term mon
router# debug crypto isakmp
```
Untuk menonaktifkan mode debug, gunakan perintah berikut.
```
router# no debug crypto isakmp
```
## IPsec
Gunakan perintah berikut ini. Respons menunjukkan perangkat gateway pelanggan dengan IPsec dikonfigurasi dengan benar.
```
router# show crypto ipsec sa
```
```
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
#pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xB8357C22(3090512930)
inbound esp sas:
spi: 0x6ADB173(112046451)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xB8357C22(3090512930)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2
Crypto map tag: Tunnel2-head-0, local addr 174.78.144.73
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.193 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas:
spi: 0xB6720137(3060924727)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF59A3FF6(4120526838)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
```
Untuk setiap antarmuka terowongan, Anda akan melihat, baik `inbound esp sas` maupun `outbound esp sas`. Dengan asumsi SA terdaftar (`spi: 0xF95D2F3C`, misalnya) dan `Status` is`ACTIVE`, IPsec dikonfigurasi dengan benar.
Untuk pemecahan masalah lebih lanjut, gunakan perintah berikut untuk mengaktifkan mode debug.
```
router# debug crypto ipsec
```
Gunakan perintah berikut untuk menonaktifkan mode debug.
```
router# no debug crypto ipsec
```
## Terowongan
Pertama, periksa apakah Anda memiliki aturan firewall yang diperlukan. Untuk informasi selengkapnya, lihat [Aturan firewall untuk perangkat gateway AWS Site-to-Site VPN pelanggan](FirewallRules.md).
Jika aturan firewall Anda telah diatur dengan benar, maka lanjutkan pemecahan masalah dengan menggunakan perintah berikut.
```
router# show interfaces tun1
```
```
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Internet address is 169.254.255.2/30
MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 174.78.144.73, destination 72.21.209.225
Tunnel protocol/transport IPSEC/IP
Tunnel TTL 255
Tunnel transport MTU 1427 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
407 packets input, 30010 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
```
Pastikan bahwa opsi `line protocol` sudah siap. Periksa apakah alamat IP sumber terowongan, antarmuka sumber, dan tujuan masing-masing cocok dengan konfigurasi terowongan untuk perangkat gateway pelanggan di luar alamat IP, antarmuka, dan virtual private gateway di luar alamat IP. Pastikan bahwa `Tunnel protection via IPSec` ada. Jalankan perintah pada kedua antarmuka terowongan. Untuk mengatasi masalah, tinjau konfigurasi dan periksa koneksi fisik ke perangkat gateway pelanggan Anda.
Juga gunakan perintah berikut, menggantikan `169.254.255.1` dengan alamat IP di dalam virtual private gateway Anda.
```
router# ping 169.254.255.1 df-bit size 1410
```
```
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
```
Anda akan melihat lima tanda seru.
Untuk pemecahan masalah lebih lanjut, tinjau konfigurasi.
## BGP
Gunakan perintah berikut ini.
```
router# show ip bgp summary
```
```
BGP router identifier 192.168.37.160, local AS number 65000
BGP table version is 8, main routing table version 8
2 network entries using 312 bytes of memory
2 path entries using 136 bytes of memory
3/1 BGP path/bestpath attribute entries using 444 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
Bitfield cache entries: current 1 (at peak 2) using 32 bytes of memory
BGP using 948 total bytes of memory
BGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1
169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1
```
Kedua neighbor harus terdaftar. Untuk masing-masing, Anda akan melihat nilai `State/PfxRcd` adalah `1`.
Jika peering BGP aktif, verifikasi bahwa perangkat gateway pelanggan Anda mengiklankan rute default (0.0.0.0/0) ke VPC.
```
router# show bgp all neighbors 169.254.255.1 advertised-routes
```
```
For address family: IPv4 Unicast
BGP table version is 3, local router ID is 174.78.144.73
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Originating default network 0.0.0.0
Network Next Hop Metric LocPrf Weight Path
*> 10.120.0.0/16 169.254.255.1 100 0 7224 i
Total number of prefixes 1
```
Selain itu, pastikan bahwa Anda menerima prefiks yang sesuai dengan VPC Anda dari virtual private gateway.
```
router# show ip route bgp
```
```
10.0.0.0/16 is subnetted, 1 subnets
B 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20
```
Untuk pemecahan masalah lebih lanjut, tinjau konfigurasi.
# Memecahkan masalah AWS Site-to-Site VPN konektivitas dengan perangkat gateway pelanggan Cisco IOS tanpa Border Gateway Protocol
Saat Anda memecahkan masalah konektivitas perangkat gateway pelanggan Cisco, pertimbangkan tiga hal: IKE, IPsec, dan terowongan. Anda dapat memecahkan masalah di area-area ini dalam urutan apapun, akan tapi kami merekomendasikan supaya Anda memulainya dengan IKE (di bagian bawah tumpukan jaringan) dan lanjutkan ke atas.
## IKE
Gunakan perintah berikut ini. Respons tersebut menunjukkan bahwa perangkat gateway pelanggan dengan IKE telah dikonfigurasi dengan benar.
```
router# show crypto isakmp sa
```
```
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE
174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE
```
Anda harus melihat satu atau lebih baris yang berisi nilai `src` untuk gateway jarak jauh yang ditentukan dalam terowongan. `state` seharusnya `QM_IDLE` dan `status` seharusnya `ACTIVE`. Tidak adanya entri, atau entri apapun ada di status lain, mengindikasikan bahwa IKE tidak dikonfigurasi dengan benar.
Untuk pemecahan masalah lebih lanjut, jalankan perintah berikut untuk mengaktifkan pesan log yang menyediakan informasi diagnostik.
```
router# term mon
router# debug crypto isakmp
```
Untuk menonaktifkan mode debug, gunakan perintah berikut.
```
router# no debug crypto isakmp
```
## IPsec
Gunakan perintah berikut ini. Respons menunjukkan perangkat gateway pelanggan dengan IPsec dikonfigurasi dengan benar.
```
router# show crypto ipsec sa
```
```
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 174.78.144.73
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
#pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xB8357C22(3090512930)
inbound esp sas:
spi: 0x6ADB173(112046451)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xB8357C22(3090512930)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2
Crypto map tag: Tunnel2-head-0, local addr 205.251.233.122
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.193 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas:
spi: 0xB6720137(3060924727)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF59A3FF6(4120526838)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
```
Untuk setiap antarmuka terowongan, Anda akan melihat, baik `esp sas` masuk dan `esp sas` keluar. Ini mengasumsikan bahwa SA terdaftar (misalnya,`spi: 0x48B456A6`), bahwa statusnya`ACTIVE`, dan itu IPsec dikonfigurasi dengan benar.
Untuk pemecahan masalah lebih lanjut, silahkan gunakan perintah berikut untuk mengaktifkan mode debug.
```
router# debug crypto ipsec
```
Untuk menonaktifkan mode debug, gunakan perintah berikut ini.
```
router# no debug crypto ipsec
```
## Terowongan
Pertama, periksa apakah Anda memiliki aturan firewall yang diperlukan. Untuk informasi selengkapnya, lihat [Aturan firewall untuk perangkat gateway AWS Site-to-Site VPN pelanggan](FirewallRules.md).
Jika aturan firewall Anda telah disiapkan dengan benar, lanjutkan pemecahan masalah dengan menggunakan perintah berikut.
```
router# show interfaces tun1
```
```
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Internet address is 169.254.249.18/30
MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 174.78.144.73, destination 205.251.233.121
Tunnel protocol/transport IPSEC/IP
Tunnel TTL 255
Tunnel transport MTU 1427 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
407 packets input, 30010 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
```
Pastikan bahwa protokol baris sudah siap. Periksa apakah alamat IP sumber terowongan, antarmuka sumber, dan tujuan masing-masing cocok dengan konfigurasi terowongan untuk perangkat gateway pelanggan di luar alamat IP, antarmuka, dan virtual private gateway di luar alamat IP. Pastikan bahwa `Tunnel protection through IPSec` ada. Jalankan perintah pada kedua antarmuka terowongan. Untuk mengatasi masalah, tinjau konfigurasi dan periksa koneksi fisik ke perangkat gateway pelanggan Anda.
Anda juga dapat menggunakan perintah berikut, mengganti `169.254.249.18` dengan alamat IP di dalam virtual private gateway Anda.
```
router# ping 169.254.249.18 df-bit size 1410
```
```
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
```
Anda akan melihat lima tanda seru.
### Perutean
Untuk dapat melihat tabel rute statis Anda, gunakan perintah berikut.
```
router# sh ip route static
```
```
1.0.0.0/8 is variably subnetted
S 10.0.0.0/16 is directly connected, Tunnel1
is directly connected, Tunnel2
```
Anda akan melihat bahwa rute statis untuk VPC CIDR yang melalui kedua terowongan ada. Jika tidak ada, silahkan tambahkan rute statis sebagai berikut.
```
router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100
router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200
```
### Memeriksa pemantau SLA
```
router# show ip sla statistics 100
```
```
IPSLAs Latest Operation Statistics
IPSLA operation id: 100
Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul 15 2012
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
```
```
router# show ip sla statistics 200
```
```
IPSLAs Latest Operation Statistics
IPSLA operation id: 200
Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul 15 2012
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
```
Nilai untuk `Number of successes` menunjukkan apakah pemantau SLA telah berhasil diatur.
Untuk pemecahan masalah lebih lanjut, tinjau konfigurasi.
# Memecahkan masalah AWS Site-to-Site VPN konektivitas dengan perangkat gateway pelanggan Juniper JunOS
Saat Anda memecahkan masalah konektivitas perangkat gateway pelanggan Juniper, pertimbangkan empat hal: IKE,, terowongan IPsec, dan BGP. Anda dapat memecahkan masalah di area-area ini dalam urutan apapun, akan tapi kami merekomendasikan supaya Anda memulainya dengan IKE (di bagian bawah tumpukan jaringan) dan lanjutkan ke atas.
## IKE
Gunakan perintah berikut ini. Respons tersebut menunjukkan bahwa perangkat gateway pelanggan dengan IKE telah dikonfigurasi dengan benar.
```
user@router> show security ike security-associations
```
```
Index Remote Address State Initiator cookie Responder cookie Mode
4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main
3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main
```
Anda akan melihat satu atau lebih baris yang berisi alamat jarak jauh dari gateway jarak jauh yang ditentukan dalam terowongan. `State` seharusnya `UP`. Tidak adanya entri, atau entri apapun ada di status lain (seperti `DOWN`), merupakan indikasi bahwa IKE tidak dikonfigurasi dengan benar.
Untuk pemecahan masalah lebih lanjut, aktifkan opsi pelacakan IKE seperti yang direkomendasikan dalam contoh file konfigurasi. Kemudian jalankan perintah berikut untuk mencetak berbagai pesan debug ke layar.
```
user@router> monitor start kmd
```
Dari host eksternal, Anda dapat mengambil seluruh berkas log dengan perintah berikut.
```
scp username@router.hostname:/var/log/kmd
```
## IPsec
Gunakan perintah berikut ini. Respons menunjukkan perangkat gateway pelanggan dengan IPsec dikonfigurasi dengan benar.
```
user@router> show security ipsec security-associations
```
```
Total active tunnels: 2
ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys
<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0
>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0
<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0
>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0
```
Secara khusus, Anda akan melihat setidaknya dua baris per alamat gateway (sesuai dengan gateway jarak jauh). Tanda sisipan di awal setiap baris (< >) menunjukkan arah lalu lintas untuk entri tertentu. Output memiliki baris terpisah untuk lalu lintas masuk ("<", lalu lintas dari virtual private gateway ke perangkat gateway pelanggan ini) dan lalu lintas keluar (">").
Untuk pemecahan masalah lebih lanjut, aktifkan opsi penelusuran IKE (untuk informasi selengkapnya, lihat bagian sebelumnya tentang IKE).
## Terowongan
Pertama, periksa kembali apakah Anda memiliki aturan firewall yang diperlukan. Untuk daftar aturan, lihat [Aturan firewall untuk perangkat gateway AWS Site-to-Site VPN pelanggan](FirewallRules.md).
Jika aturan firewall Anda disiapkan dengan benar, lanjutkan pemecahan masalah dengan perintah berikut.
```
user@router> show interfaces st0.1
```
```
Logical interface st0.1 (Index 70) (SNMP ifIndex 126)
Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel
Input packets : 8719
Output packets: 41841
Security: Zone: Trust
Allowed host-inbound traffic : bgp ping ssh traceroute
Protocol inet, MTU: 9192
Flags: None
Addresses, Flags: Is-Preferred Is-Primary
Destination: 169.254.255.0/30, Local: 169.254.255.2
```
Pastikan bahwa `Security: Zone` adalah benar, dan bahwa alamat `Local` cocok dengan terowongan perangkat gateway pelanggan di dalam alamat.
Selanjutnya, gunakan perintah berikut, menggantikan `169.254.255.1` dengan alamat IP di dalam virtual private gateway Anda. Hasil Anda akan terlihat seperti respons yang ditunjukkan di sini.
```
user@router> ping 169.254.255.1 size 1382 do-not-fragment
```
```
PING 169.254.255.1 (169.254.255.1): 1410 data bytes
64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms
64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms
```
Untuk pemecahan masalah lebih lanjut, tinjau konfigurasi.
## BGP
Jalankan perintah berikut.
```
user@router> show bgp summary
```
```
Groups: 1 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0 2 1 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0
169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0
```
Untuk pemecahan masalah lebih lanjut, gunakan perintah berikut, mengganti `169.254.255.1` dengan alamat IP di dalam virtual private gateway Anda.
```
user@router> show bgp neighbor 169.254.255.1
```
```
Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000
Type: External State: Established Flags:
Last State: OpenConfirm Last Event: RecvKeepAlive
Last Error: None
Export: [ EXPORT-DEFAULT ]
Options:
Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0
Number of flaps: 0
Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30
Keepalive Interval: 10 Peer index: 0
BFD: disabled, down
Local Interface: st0.1
NLRI for restart configured on peer: inet-unicast
NLRI advertised by peer: inet-unicast
NLRI for this session: inet-unicast
Peer supports Refresh capability (2)
Restart time configured on the peer: 120
Stale routes from peer are kept for: 300
Restart time requested by this peer: 120
NLRI that peer supports restart for: inet-unicast
NLRI that restart is negotiated for: inet-unicast
NLRI of received end-of-rib markers: inet-unicast
NLRI of all end-of-rib markers sent: inet-unicast
Peer supports 4 byte AS extension (peer-as 7224)
Table inet.0 Bit: 10000
RIB State: BGP restart is complete
Send state: in sync
Active prefixes: 1
Received prefixes: 1
Accepted prefixes: 1
Suppressed due to damping: 0
Advertised prefixes: 1
Last traffic (seconds): Received 4 Sent 8 Checked 4
Input messages: Total 24 Updates 2 Refreshes 0 Octets 505
Output messages: Total 26 Updates 1 Refreshes 0 Octets 582
Output Queue[0]: 0
```
Di sini Anda akan melihat `Received prefixes` dan `Advertised prefixes` telah terdaftar masing-masing 1. Ini akan berada di dalam bagian `Table inet.0`.
Jika `State` bukan `Established`, periksa `Last State` dan `Last Error` untuk detail mengenai apa yang diperlukan untuk memperbaiki masalah.
Jika peering BGP aktif, pastikan perangkat gateway pelanggan Anda mengiklankan rute default (0.0.0.0/0) ke VPC.
```
user@router> show route advertising-protocol bgp 169.254.255.1
```
```
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
* 0.0.0.0/0 Self I
```
Selain itu, pastikan Anda menerima prefiks yang sesuai dengan VPC Anda dari virtual private gateway.
```
user@router> show route receive-protocol bgp 169.254.255.1
```
```
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
* 10.110.0.0/16 169.254.255.1 100 7224 I
```
# Memecahkan masalah AWS Site-to-Site VPN konektivitas dengan perangkat gateway pelanggan Juniper ScreenOS
Saat Anda memecahkan masalah konektivitas perangkat gateway pelanggan berbasis Juniper Screenos, pertimbangkan empat hal: IKE,, tunnel IPsec, dan BGP. Anda dapat memecahkan masalah di area-area ini dalam urutan apapun, akan tapi kami merekomendasikan supaya Anda memulainya dengan IKE (di bagian bawah tumpukan jaringan) dan lanjutkan ke atas.
## IKE dan IPsec
Gunakan perintah berikut ini. Respons tersebut menunjukkan bahwa perangkat gateway pelanggan dengan IKE telah dikonfigurasi dengan benar.
```
ssg5-serial-> get sa
```
```
total configured sa: 2
HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys
00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 0
00000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 0
00000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 0
00000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0
```
Anda akan melihat satu atau lebih baris yang berisi alamat jarak jauh dari gateway jarak jauh yang ditentukan dalam terowongan. Nilai `Sta` seharusnya `A/-` dan `SPI` harus berupa angka heksadesimal selain `00000000`. Entri berada di status lain menunjukkan bahwa IKE tidak dikonfigurasi dengan benar.
Untuk pemecahan masalah lebih lanjut, aktifkan opsi jejak IKE (seperti yang direkomendasikan dalam contoh file konfigurasi).
## Terowongan
Pertama, periksa kembali apakah Anda memiliki aturan firewall yang diperlukan. Untuk daftar aturan, lihat [Aturan firewall untuk perangkat gateway AWS Site-to-Site VPN pelanggan](FirewallRules.md).
Jika aturan firewall Anda telah disiapkan dengan benar, lanjutkan pemecahan masalah dengan menggunakan perintah berikut.
```
ssg5-serial-> get interface tunnel.1
```
```
Interface tunnel.1:
description tunnel.1
number 20, if_info 1768, if_index 1, mode route
link ready
vsys Root, zone Trust, vr trust-vr
admin mtu 1500, operating mtu 1500, default mtu 1500
*ip 169.254.255.2/30
*manage ip 169.254.255.2
route-deny disable
bound vpn:
IPSEC-1
Next-Hop Tunnel Binding table
Flag Status Next-Hop(IP) tunnel-id VPN
pmtu-v4 disabled
ping disabled, telnet disabled, SSH disabled, SNMP disabled
web disabled, ident-reset disabled, SSL disabled
OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled
PIM: not configured IGMP not configured
NHRP disabled
bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps
```
Pastikan bahwa Anda melihat `link:ready`, dan bahwa alamat `IP` cocok dengan perangkat terowongan gateway pelanggan di dalam alamat.
Selanjutnya, gunakan perintah berikut, mengganti `169.254.255.1` dengan alamat IP di dalam virtual private gateway Anda. Hasil Anda akan terlihat seperti respons yang ditunjukkan di sini.
```
ssg5-serial-> ping 169.254.255.1
```
```
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms
```
Untuk pemecahan masalah lebih lanjut, tinjau konfigurasi.
## BGP
Jalankan perintah berikut.
```
ssg5-serial-> get vrouter trust-vr protocol bgp neighbor
```
```
Peer AS Remote IP Local IP Wt Status State ConnID Up/Down
--------------------------------------------------------------------------------
7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01
7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59
```
Status dari kedua peer BGP harus `ESTABLISH`, yang berarti bahwa koneksi BGP ke virtual private gateway telah aktif.
Untuk pemecahan masalah lebih lanjut, gunakan perintah berikut, mengganti `169.254.255.1` dengan alamat IP di dalam virtual private gateway Anda.
```
ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1
```
```
peer: 169.254.255.1, remote AS: 7224, admin status: enable
type: EBGP, multihop: 0(disable), MED: node default(0)
connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15s
configured hold time: node default(90s), configured keepalive: node default(30s)
configured adv-interval: default(30s)
designated local IP: n/a
local IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179
router ID of peer: 169.254.255.1, remote AS: 7224
negotiated hold time: 30s, negotiated keepalive interval: 10s
route map in name: , route map out name:
weight: 100 (default)
self as next hop: disable
send default route to peer: disable
ignore default route from peer: disable
send community path attribute: no
reflector client: no
Neighbor Capabilities:
Route refresh: advertised and received
Address family IPv4 Unicast: advertised and received
force reconnect is disable
total messages to peer: 106, from peer: 106
update messages to peer: 6, from peer: 4
Tx queue length 0, Tx queue HWM: 1
route-refresh messages to peer: 0, from peer: 0
last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)
number of total successful connections: 4
connected: 2 minutes 6 seconds
Elapsed time since last update: 2 minutes 6 seconds
```
Jika peering BGP aktif, verifikasi bahwa perangkat gateway pelanggan Anda mengiklankan rute default (0.0.0.0/0) ke VPC. Perintah ini berlaku untuk ScreenOS versi 6.2.0 dan yang lebih tinggi.
```
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised
```
```
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix Nexthop Wt Pref Med Orig AS-Path
--------------------------------------------------------------------------------------
>i 0.0.0.0/0 0.0.0.0 32768 100 0 IGP
Total IPv4 routes advertised: 1
```
Selain itu, pastikan bahwa Anda menerima prefiks yang sesuai dengan VPC Anda dari virtual private gateway. Perintah ini berlaku untuk ScreenOS versi 6.2.0 dan yang lebih tinggi.
```
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received
```
```
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix Nexthop Wt Pref Med Orig AS-Path
--------------------------------------------------------------------------------------
>e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224
Total IPv4 routes received: 1
```
# Memecahkan masalah AWS Site-to-Site VPN konektivitas dengan perangkat gateway pelanggan Yamaha
Saat Anda memecahkan masalah konektivitas perangkat gateway pelanggan Yamaha, pertimbangkan empat hal: IKE,, tunnel IPsec, dan BGP. Anda dapat memecahkan masalah di area-area ini dalam urutan apapun, akan tapi kami merekomendasikan supaya Anda memulainya dengan IKE (di bagian bawah tumpukan jaringan) dan lanjutkan ke atas.
**catatan**
`proxy ID`Pengaturan yang digunakan dalam fase 2 IKE dinonaktifkan secara default pada router Yamaha. Ini dapat menyebabkan masalah saat terhubung ke Site-to-Site VPN. Jika tidak `proxy ID` dikonfigurasi pada router Anda, silakan lihat file konfigurasi contoh AWS yang disediakan untuk Yamaha untuk disetel dengan benar.
## IKE
Jalankan perintah berikut. Respons tersebut menunjukkan bahwa perangkat gateway pelanggan dengan IKE telah dikonfigurasi dengan benar.
```
# show ipsec sa gateway 1
```
```
sgw flags local-id remote-id # of sa
--------------------------------------------------------------------------
1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1
```
Anda akan melihat sebuah baris yang berisi nilai `remote-id` untuk gateway jarak jauh yang ditentukan dalam terowongan. Anda dapat membuat daftar semua asosiasi keamanan (SAs) dengan menghilangkan nomor terowongan.
Untuk pemecahan masalah lebih lanjut, jalankan perintah berikut untuk mengaktifkan pesan log tingkat DEBUG yang menyediakan informasi diagnostik.
```
# syslog debug on
# ipsec ike log message-info payload-info key-info
```
Untuk membatalkan item yang dicatat, jalankan perintah berikut.
```
# no ipsec ike log
# no syslog debug on
```
## IPsec
Jalankan perintah berikut. Respons menunjukkan perangkat gateway pelanggan dengan IPsec dikonfigurasi dengan benar.
```
# show ipsec sa gateway 1 detail
```
```
SA[1] Duration: 10675s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[2] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: a6 67 47 47
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[3] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 6b 98 69 2b
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[4] Duration: 10681s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
```
Untuk setiap antarmuka terowongan, Anda akan melihat, baik `receive sas` maupun `send sas`.
Untuk pemecahan masalah lebih lanjut, gunakan perintah berikut untuk mengaktifkan mode debug.
```
# syslog debug on
# ipsec ike log message-info payload-info key-info
```
Jalankan perintah berikut untuk menonaktifkan mode debug.
```
# no ipsec ike log
# no syslog debug on
```
## Terowongan
Pertama, periksa apakah Anda memiliki aturan firewall yang diperlukan. Untuk daftar aturan, lihat [Aturan firewall untuk perangkat gateway AWS Site-to-Site VPN pelanggan](FirewallRules.md).
Jika aturan firewall Anda disiapkan dengan benar, lanjutkan pemecahan masalah dengan perintah berikut.
```
# show status tunnel 1
```
```
TUNNEL[1]:
Description:
Interface type: IPsec
Current status is Online.
from 2011/08/15 18:19:45.
5 hours 7 minutes 58 seconds connection.
Received: (IPv4) 3933 packets [244941 octets]
(IPv6) 0 packet [0 octet]
Transmitted: (IPv4) 3933 packets [241407 octets]
(IPv6) 0 packet [0 octet]
```
Pastikan `current status` nilainya online dan `Interface type` itu IPsec. Pastikan untuk menjalankan perintah pada kedua antarmuka terowongan. Untuk mengatasi masalah apapun yang ada di sini, tinjau konfigurasi.
## BGP
Jalankan perintah berikut.
```
# show status bgp neighbor
```
```
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.1, Foreign port: 0
BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.5, Foreign port:
```
Kedua neighbor harus terdaftar. Untuk masing-masing, Anda akan melihat nilai `BGP state` adalah `Active`.
Jika peering BGP aktif, verifikasi bahwa perangkat gateway pelanggan Anda mengiklankan rute default (0.0.0.0/0) ke VPC.
```
# show status bgp neighbor 169.254.255.1 advertised-routes
```
```
Total routes: 1
*: valid route
Network Next Hop Metric LocPrf Path
* default 0.0.0.0 0 IGP
```
Selain itu, pastikan bahwa Anda menerima prefiks yang sesuai dengan VPC Anda dari virtual private gateway.
```
# show ip route
```
```
Destination Gateway Interface Kind Additional Info.
default ***.***.***.*** LAN3(DHCP) static
10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124
```