Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risoluzione dei problemi relativi ai gateway NAT
I seguenti argomenti consentono di risolvere alcuni problemi comuni che si possono verificare durante la creazione o l'utilizzo di un gateway NAT.
**Topics**
+ [
## Creazione gateway NAT non riuscita
](#nat-gateway-troubleshooting-failed)
+ [
## Quota gateway NAT
](#nat-gateway-troubleshooting-quota)
+ [
## Quota degli indirizzi IP elastici
](#nat-gateway-troubleshooting-limits)
+ [
## La zona di disponibilità non è supportata
](#nat-gateway-troubleshooting-unsupported-az)
+ [
## Il gateway NAT non è più visibile
](#nat-gateway-troubleshooting-gateway-removed)
+ [
## Il gateway NAT non risponde a un comando ping
](#nat-gateway-troubleshooting-ping)
+ [
## Le istanze non possono accedere a Internet
](#nat-gateway-troubleshooting-no-internet-connection)
+ [
## La connessione TCP a una destinazione non va a buon fine
](#nat-gateway-troubleshooting-tcp-issues)
+ [
## L'output di tracciamento non visualizza l'indirizzo IP privato del gateway NAT
](#nat-gateway-troubleshooting-traceroute)
+ [
## Connessione Internet interrotta dopo 350 secondi
](#nat-gateway-troubleshooting-timeout)
+ [
## IPsec la connessione non può essere stabilita
](#nat-gateway-troubleshooting-ipsec)
+ [
## Impossibile avviare più connessioni
](#nat-gateway-troubleshooting-simultaneous-connections)
## Creazione gateway NAT non riuscita
**Problema**
Si crea un gateway NAT che passa allo stato `Failed`.
**Nota**
Un gateway NAT non riuscito viene eliminato automaticamente, solitamente in circa un'ora.
**Causa**
Si è verificato un errore al momento della creazione del gateway NAT. Il messaggio di stato restituito fornisce il motivo dell'errore.
**Soluzione**
Per visualizzare il messaggio di errore, passa alla console Amazon VPC e seleziona **Gateway NAT**. Seleziona il pulsante di opzione per il gateway NAT, quindi cerca **Messaggio di stato** nella scheda **Dettagli** .
Nella seguente tabella vengono elencate le possibili cause di errore come indicato nella console Amazon VPC. Dopo aver applicato le procedure indicate per correggere il problema, puoi provare a creare nuovamente un gateway NAT.
| Errore visualizzato | Causa | Soluzione |
| --- | --- | --- |
| La sottorete non dispone di indirizzi liberi sufficienti per creare questo gateway NAT | La sottorete specificata non dispone di indirizzi IP privati liberi. Il gateway NAT richiede un'interfaccia di rete con un indirizzo IP privato allocato dall'intervallo della sottorete. | Verificare quanti indirizzi IP sono disponibili nella sottorete andado alla pagina Subnets (Sottoreti) nella console Amazon VPC. È possibile visualizzare l'opzione Disponibile IPs nel riquadro dei dettagli della sottorete. Per creare indirizzi IP liberi nella sottorete, puoi eliminare interfacce di rete non utilizzate o terminare istanze non richieste. |
| Rete vpc-xxxxxxxx senza Internet Gateway collegato | Un gateway NAT deve Essere creato in un VPC con un Internet Gateway. | Creare E collegare un Internet Gateway al VPC. Per ulteriori informazioni, consulta [Aggiunta di un accesso Internet a una sottorete](working-with-igw.md). |
| L'indirizzo IP elastico eipalloc-xxxxxxxx è già associato | L'indirizzo IP elastico specificato è già associato a un'altra risorsa e non può essere associato al gateway NAT. | Controlla quale risorsa è associata all'indirizzo IP elastico. Vai alla IPs pagina Elastic nella console Amazon VPC e visualizza i valori specificati per l'ID dell'istanza o l'ID dell'interfaccia di rete. Se l'indirizzo IP elastico per tale risorsa non è richiesto, puoi annullare l'associazione. In alternativa, alloca un nuovo indirizzo IP elastico nell'account. Per ulteriori informazioni, consulta [Iniziare a utilizzare gli indirizzi IP elastici](WorkWithEIPs.md). |
## Quota gateway NAT
Quando provi a creare un gateway NAT, ricevi il seguente errore.
```
Performing this operation would exceed the limit of 5 NAT gateways
```
**Causa**
Hai raggiunto la quota di gateway NAT per l'account in quella zona di disponibilità.
**Soluzione**
Se hai raggiunto questa quota di gateway NAT per il tuo account, puoi effettuare una delle seguenti operazioni:
+ Richiedere un aumento dei [gateway NAT per quota di zona di disponibilità](https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-FE5A380F) utilizzando la console Service Quotas.
+ Verifica lo stato del gateway NAT. Lo stato `Pending`, `Available` o `Deleting` conta ai fini del raggiungimento della quota. Se recentemente hai eliminato un gateway NAT, attendi alcuni minuti finché lo stato passa da `Deleting` a `Deleted`. Prova quindi a creare un nuovo gateway NAT.
+ Se il gateway NAT non è necessario in una zona di disponibilità specifica, prova a creare un gateway NAT in una zona di disponibilità in cui la quota non è stata raggiunta.
Per ulteriori informazioni, consulta [Quote Amazon VPC](amazon-vpc-limits.md).
## Quota degli indirizzi IP elastici
**Problema**
Quando si prova ad allocare un indirizzo IP elastico per il gateway NAT pubblico, viene visualizzato il seguente errore.
```
The maximum number of addresses has been reached.
```
**Causa**
Hai raggiunto la quota di indirizzi IP elastici per l'account in quella regione.
**Soluzione**
Se è stata raggiunta la quota di indirizzi IP elastici, puoi disassociare un indirizzo IP elastico da un'altra risorsa. In alternativa, puoi richiedere un aumento della [ IPs quota elastica](https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-0263D0A3) utilizzando la console Service Quotas.
## La zona di disponibilità non è supportata
**Problema**
Quando provi a creare un gateway NAT, ricevi il seguente error: `NotAvailableInZone`.
**Causa**
Può darsi che tu stia provando a creare il gateway NAT in una zona di disponibilità vincolata, ovvero una zona in cui la capacità di espansione è vincolata.
**Soluzione**
Non siamo in grado di supportare gateway NAT in queste zone di disponibilità.. Puoi creare un gateway NAT in un'altra zona di disponibilità e utilizzarla per sottoreti private nella zona vincolata. Puoi anche spostare le risorse in una zona di disponibilità non vincolata in modo che le risorse e il gateway NAT si trovino nella stessa zona di disponibilità.
## Il gateway NAT non è più visibile
**Problema**
Hai creato un gateway NAT, ma non è più visibile nella console Amazon VPC.
**Causa**
Potrebbe essersi verificato un errore durante la creazione del gateway NAT e la creazione non è riuscita. Un gateway NAT con lo stato di `Failed` è visibile nella console Amazon VPC per un breve periodo di tempo (in genere un'ora). Dopo un'ora, viene eliminato automaticamente.
**Soluzione**
Verifica le informazioni in [Creazione gateway NAT non riuscita](#nat-gateway-troubleshooting-failed) e prova a creare un nuovo gateway NAT.
## Il gateway NAT non risponde a un comando ping
**Problema**
Quando cerchi di eseguire il ping dell'indirizzo IP elastico o indirizzo IP privato di un gateway NAT da Internet (ad esempio, dal computer di casa) o da qualsiasi istanza nel VPC, non ricevi una risposta.
**Causa**
Un gateway NAT passa solo traffico da un'istanza in una sottorete privata a Internet.
**Soluzione**
Per verificare se il gateway NAT funziona, consulta [Test del gateway NAT pubblico](nat-gateway-scenarios.md#public-nat-gateway-testing).
## Le istanze non possono accedere a Internet
**Problema**
Hai creato un gateway NAT e hai seguito i passaggi per testarlo, ma il comando `ping` non funziona o le istanze nella sottorete privata non riescono ad accedere a Internet.
**Cause**
La causa del problema può essere una delle seguenti:
+ Il gateway NAT non è pronto a distribuire il traffico.
+ Le tabelle di routing non sono configurate correttamente.
+ I tuoi gruppi di sicurezza o la tua rete ACLs stanno bloccando il traffico in entrata o in uscita.
+ Utilizzi un protocollo non supportato.
**Soluzione**
Verifica le seguenti informazioni:
+ Controlla che lo stato del gateway NAT sia `Available`. Nella console Amazon VPC, vai alla pagina **NAT gareways** e visualizza le informazioni sullo stato nel riquadro dei dettagli. Se il gateway NAT si trova nello stato di errore, è possibile che al momento della creazione si sia verificato un errore. Per ulteriori informazioni, consulta [Creazione gateway NAT non riuscita](#nat-gateway-troubleshooting-failed).
+ Controlla che le tabelle di routing siano state correttamente configurate:
+ Il gateway NAT deve trovarsi in una sottorete pubblica con una tabella di instradamento che instrada il traffico Internet a un Internet Gateway.
+ L'istanza deve trovarsi in una sottorete privata con una tabella di instradamento che instrada il traffico Internet al gateway NAT.
+ Controlla che non siano presenti voci della tabella di instradamento che instradano tutto o parte del traffico Internet a un altro dispositivo anziché al gateway NAT.
+ Assicurati che le regole del gruppo di sicurezza per l'istanza privata consentano traffico Internet in uscita. Per poter utilizzare il comando `ping`, le regole devono anche consentire traffico ICMP in uscita.
Il gateway NAT consente tutto il traffico in uscita e il traffico ricevuto in risposta a una richiesta in uscita (è pertanto stateful).
+ Assicurati che la rete ACLs associata alla sottorete privata e alle sottoreti pubbliche non disponga di regole che blocchino il traffico Internet in entrata o in uscita. Per poter utilizzare il comando `ping`, le regole devono anche consentire traffico ICMP in entrata e in uscita.
Puoi abilitare log di flusso per semplificare la diagnosi di connessioni interrotte a causa di regole della lista di controllo accessi di rete o del gruppo di sicurezza. Per ulteriori informazioni, consulta [Registrazione del traffico IP utilizzando log di flusso VPC](flow-logs.md).
+ Se utilizzi il comando `ping`, assicurati di eseguire il ping di host in cui ICMP è abilitato. Se ICMP non è abilitato, non riceverai pacchetti di risposta. Per completare il test, esegui lo stesso comando `ping` dal terminale a riga di comando sul computer.
+ Controlla che l'istanza sia in grado di eseguire il ping di altre risorse, ad esempio, altre istanze nella sottorete privata (ipotizzando che sia consentito dalle regole del gruppo di sicurezza).
+ Verifica che la connessione utilizzi solo un protocollo TCP, UDP o ICMP.
## La connessione TCP a una destinazione non va a buon fine
**Problema**
Alcune delle connessioni TCP dalle istanze in una sottorete privata a una destinazione specifica tramite un gateway NAT vanno a buon fine, mentre altre sono inefficaci o scadute.
**Cause**
La causa del problema può essere una delle seguenti:
+ L'endpoint di destinazione risponde con pacchetti TCP frammentati. I gateway NAT non supportano la frammentazione IP per TCP o ICMP. Per ulteriori informazioni, consulta [Confronto delle istanze NAT e i gateway NAT](vpc-nat-comparison.md).
+ L'opzione `tcp_tw_recycle` è abilitata su un server remoto, noto per causare problemi quando ci sono più connessioni provenienti da un dispositivo NAT.
**Soluzioni**
Verifica se l'endpoint a cui provi a connetteri risponde con pacchetti TCP frammentati, nel seguente modo:
1. Utilizza un'istanza in una sottorete pubblica con un indirizzo IP pubblico per attivare una risposta sufficientemente grande da causare la frammentazione dall'endpoint specifico.
1. Utilizza l'utilità `tcpdump` per verificare che l'endpoint sta inviando pacchetti frammentati.
**Importante**
Per eseguire queste verifiche, devi utilizzare un'istanza in una sottorete pubblica. Non puoi utilizzare l'istanza da cui la connessione originale non riesce o un'istanza in una sottorete privata dietro un gateway NAT o un'istanza NAT.
Strumenti di diagnostica che inviano o ricevono pacchetti ICMP di grandi dimensioni segnaleranno perdita di pacchetti. Ad esempio, il comando `ping -s 10000 example.com` non funziona dietro un gateway NAT.
1. Se l'endpoint invia pacchetti TCP frammentati, puoi utilizzare un'istanza NAT anziché un gateway NAT.
Se disponi dell'accesso al server remoto, puoi verificare se l'opzione `tcp_tw_recycle` è abilitata procedendo nel seguente modo:
1. Dal server, esegui questo comando:
```
cat /proc/sys/net/ipv4/tcp_tw_recycle
```
Se l'output è `1`, l'opzione `tcp_tw_recycle` è abilitata.
1. Se `tcp_tw_recycle` è abilitata, ti consigliamo di disabilitarla. Se devi riutilizzare le connessioni, `tcp_tw_reuse` è un'opzione più sicura.
Se non disponi dell'accesso al server remoto, puoi eseguire il test disabilitando temporaneamente l'opzione `tcp_timestamps` su un'istanza nella sottorete privata. Quindi, effettua nuovamente la connessione al server remoto. Se la connessione va a buon fine, la causa del guasto precedente è probabilmente dovuta al fatto che `tcp_tw_recycle` è abilitata sul server remoto. Se possibile, contatta il proprietario del server remoto per verificare se l'opzione è abiitata e chiedine la disabilitazione.
## L'output di tracciamento non visualizza l'indirizzo IP privato del gateway NAT
**Problema**
L'istanza può accedere a Internet, ma quando esegui il comando `traceroute`, l'output non visualizza l'indirizzo IP privato del gateway NAT.
**Causa**
L'istanza accede a Internet utilizzando un gateway diverso, ad esempio un Internet Gateway.
**Soluzione**
Nella tabella di instradamento della sottorete in cui si trova l'istanza, controlla le seguenti informazioni:
+ Assicurati che Esista una route che invia traffico Internet al gateway NAT.
+ Assicurati che non esista una route più specifica che invia traffico Internet ad altri dispositivi, ad esempio un gateway virtuale privato o un Internet Gateway.
## Connessione Internet interrotta dopo 350 secondi
**Problema**
Le istanze possono accedere a Internet ma la connessione si interrompe dopo 350 secondi.
**Causa**
Se una connessione che utilizza un gateway NAT rimane inattiva per almeno 350 secondi, la connessione scade.
Quando si ha il timeout di una connessione, un gateway NAT restituisce un pacchetto RST a tutte le risorse dietro il gateway NAT che tentano di continuare la connessione (non invia un pacchetto FIN).
**Soluzione**
Per impedire l'interruzione della connessione, puoi avviare più traffico sulla connessione. In alternativa, puoi permettere a TCP di rimanere attivo sull'istanza con un valore inferiore ai 350 secondi.
## IPsec la connessione non può essere stabilita
**Problema**
Non è possibile stabilire una IPsec connessione con una destinazione.
**Causa**
I gateway NAT attualmente non supportano il IPsec protocollo.
**Soluzione**
È possibile utilizzare NAT-Traversal (NAT-T) per incapsulare il IPsec traffico in UDP, che è un protocollo supportato per i gateway NAT. Assicurati di testare NAT-T e la configurazione per verificare che il traffico non venga interrotto. IPsec IPsec
## Impossibile avviare più connessioni
**Problema**
Disponi già di connessioni a una destinazione tramite un gateway NAT, ma non puoi stabilire più connessioni.
**Causa**
È possibile che sia stato raggiunto il limite di connessioni simultanee per un singolo gateway NAT. Per ulteriori informazioni, consulta [Nozioni di base sul gateway NAT](nat-gateway-basics.md). Se le istanze nella sottorete privata creano un numero elevato di connessioni, è possibile raggiungere questo limite.
**Soluzione**
Esegui una delle seguenti operazioni:
+ Crea un gateway NAT per zona di disponibilità e distribuisci i client su queste zone.
+ Crea gateway NAT aggiuntivi nella sottorete pubblica e dividi i client in più sottoreti private, ciascuna con una route a un gateway NAT diverso.
+ Limita il numero di connessioni alla destinazione che i client possono creare.
+ Usa la [`IdleTimeoutCount`](vpc-nat-gateway-cloudwatch.md)metrica in CloudWatch per monitorare l'aumento delle connessioni inattive. Per rilasciare la capacità, chiudi le connessioni inattive.
+ Crea un gateway NAT con più indirizzi IP o aggiungi indirizzi IP secondari a un gateway NAT esistente. Ogni nuovo IPv4 indirizzo può supportare fino a 55.000 connessioni simultanee. Per ulteriori informazioni, consulta [Creazione di un gateway NAT](nat-gateway-working-with.md#nat-gateway-creating) o [Come modificare le associazioni di indirizzi IP secondari](nat-gateway-working-with.md#nat-gateway-edit-secondary).