Risoluzione dei problemi AWS Client VPN: problemi di connettività del tunnel a un VPC - AWS Client VPN
Prerequisiti di connettività di reteVerifica lo stato dell'endpoint Client VPNVerifica le connessioni dei clientVerifica l'autenticazione del clientControlla le regole di autorizzazioneConvalida i percorsi Client VPNVerifica i gruppi di sicurezza e la rete ACLsVerifica la connettività del clientDiagnostica il dispositivo clientRisoluzione dei problemi relativi alla risoluzione DNSRisolvi i problemi relativi alle prestazioniMonitora le metriche di Client VPNControlla i log di Client VPNProblemi e soluzioni comuni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi AWS Client VPN: problemi di connettività del tunnel a un VPC

In caso di problemi di connettività con la AWS Client VPN connessione, segui questo approccio sistematico alla risoluzione dei problemi per identificare e risolvere il problema. Questa sezione fornisce step-by-step le procedure per diagnosticare i problemi più comuni di connettività Client VPN tra client remoti e risorse Amazon VPC.

Prerequisiti di connettività di rete

Prima di risolvere i problemi di connettività Client VPN, verifica questi prerequisiti di rete:

  • Assicurati che la sottorete degli endpoint Client VPN disponga di connettività Internet (tramite Internet Gateway o NAT Gateway).

  • Verifica che l'endpoint Client VPN sia associato a sottoreti in diverse zone di disponibilità per un'elevata disponibilità.

  • Verifica che il VPC disponga di uno spazio di indirizzi IP sufficiente e che non sia in conflitto con i blocchi CIDR del client.

  • Verifica che le sottoreti di destinazione abbiano associazioni corrette tra le tabelle di routing.

Verifica lo stato dell'endpoint Client VPN

Innanzitutto, verifica che l'endpoint Client VPN sia nello stato corretto:

  1. Utilizza il AWS CLI per verificare lo stato dell'endpoint Client VPN:

    aws ec2 describe-client-vpn-endpoints --region your-region

  2. Cerca lo stato dell'endpoint nell'output. Lo stato dovrebbe essereavailable.

  3. Verificare che all'endpoint siano associate reti di destinazione (sottoreti).

  4. Se lo stato non lo èavailable, verifica la presenza di messaggi di errore o stati in sospeso che potrebbero indicare problemi di configurazione.

Verifica le connessioni dei client

Controlla lo stato delle connessioni client al tuo endpoint Client VPN:

  1. Controlla le connessioni client attive:

    aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Controlla lo stato della connessione e gli eventuali messaggi di errore nell'output.

  3. Controlla i registri di autenticazione del client per i tentativi di autenticazione falliti.

  4. Verifica che i client ricevano gli indirizzi IP dal blocco CIDR del client configurato.

Nota

Se i client non riescono a connettersi, è probabile che il problema riguardi la configurazione dell'autenticazione, le regole di autorizzazione o la connettività di rete.

Verifica l'autenticazione del client

I problemi di autenticazione sono cause comuni dei problemi di connettività Client VPN:

  • Per l'autenticazione reciproca, assicurati che i certificati client siano validi e non scaduti.

  • Per l'autenticazione Active Directory, verifica le credenziali utente e la connettività del dominio.

  • Per l'autenticazione federata basata su SAML, controlla la configurazione IdP e le autorizzazioni utente.

  • Controlla i log di autenticazione per informazioni dettagliate sugli errori. CloudWatch

  • Verifica che il metodo di autenticazione configurato sull'endpoint corrisponda alla configurazione del client.

Controlla le regole di autorizzazione

Le regole di autorizzazione controllano a quali risorse di rete possono accedere i client:

  1. Elenca le regole di autorizzazione correnti:

    aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Verifica che esistano regole per le reti di destinazione a cui i client devono accedere.

  3. Verifica che le regole specifichino i gruppi Active Directory corretti (se utilizzi l'autenticazione AD).

  4. Assicurati che le regole di autorizzazione siano active valide.

Convalida i percorsi Client VPN

Una corretta configurazione del routing è essenziale per la connettività Client VPN:

  1. Controlla i percorsi degli endpoint Client VPN:

    aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Verifica che esistano percorsi per le reti di destinazione a cui i client devono accedere.

  3. Controlla le tabelle di routing di Amazon VPC per assicurarti che il traffico di ritorno possa raggiungere l'endpoint Client VPN:

    aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-id" --region your-region

  4. Verifica che le associazioni di rete di destinazione siano configurate correttamente.

Verifica i gruppi di sicurezza e la rete ACLs

I gruppi di sicurezza e la rete ACLs possono bloccare il traffico Client VPN:

  1. Controlla i gruppi di sicurezza per le EC2 istanze di destinazione:

    aws ec2 describe-security-groups --group-ids sg-xxxxxxxxx --region your-region

  2. Verifica che le regole in entrata consentano il traffico dal blocco CIDR di Client VPN:

    • SSH (porta 22) da Client VPN CIDR: 10.0.0.0/16

    • HTTP (porta 80) da Client VPN CIDR: 10.0.0.0/16

    • HTTPS (porta 443) da Client VPN CIDR: 10.0.0.0/16

    • Porte applicative personalizzate in base alle esigenze

  3. Per il gruppo di sicurezza degli endpoint Client VPN (se applicabile), assicurati che consenta:

    • Porta UDP 443 (OpenVPN) da 0.0.0.0/0

    • Tutto il traffico in uscita verso i blocchi CIDR VPC

  4. Verifica che la rete non ACLs stia bloccando il traffico. ACLs Le reti sono prive di stato, quindi è necessario configurare sia le regole in entrata che quelle in uscita.

  5. Verifica le regole in entrata e in uscita per il traffico specifico che stai tentando di inviare.

Verifica la connettività del client

Verifica la connettività dai client Client VPN alle risorse Amazon VPC:

  1. Da un client Client VPN connesso, verifica la connettività alle risorse Amazon VPC:

    ping vpc-resource-ip
traceroute vpc-resource-ip

  2. Verifica la connettività di applicazioni specifiche:

    telnet vpc-resource-ip port

  3. Verifica la risoluzione DNS se utilizzi nomi DNS privati:

    nslookup private-dns-name

  4. Verifica la connettività alle risorse Internet se lo split tunneling è abilitato.

Diagnostica il dispositivo client

Esegui questi controlli sul dispositivo client:

  1. Verifica che il file di configurazione del client (.ovpn) contenga le impostazioni corrette:

    • URL dell'endpoint del server corretto

    • Certificato client e chiave privata validi

    • Configurazione corretta del metodo di autenticazione

  2. Controlla i log del client per verificare la presenza di errori di connessione:

    • Windows: Visualizzatore eventi → Registri applicazioni e servizi → OpenVPN

    • macOS: app per console, cerca «Tunnelblick» o «OpenVPN»

    • Linux: o systemd journal /var/log/openvpn/

  3. Verifica la connettività di rete di base dal client:

    ping 8.8.8.8
nslookup cvpn-endpoint-id.cvpn.region.amazonaws.com

Risoluzione dei problemi relativi alla risoluzione DNS

I problemi DNS possono impedire l'accesso alle risorse utilizzando nomi DNS privati:

  1. Controlla se i server DNS sono configurati nell'endpoint Client VPN:

    aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids cvpn-endpoint-id --query 'ClientVpnEndpoints[0].DnsServers'

  2. Verifica la risoluzione DNS del client:

    nslookup private-resource.internal
dig private-resource.internal

  3. Verifica le regole del Route 53 Resolver se utilizzi una risoluzione DNS personalizzata.

  4. Verifica che i gruppi di sicurezza consentano il traffico DNS (porta UDP/TCP 53) dal CIDR Client VPN ai server DNS.

Risolvi i problemi relativi alle prestazioni

Risolvi i problemi di prestazioni con le connessioni Client VPN:

  • Monitora l'utilizzo della larghezza di banda utilizzando le CloudWatch metriche per i byte. ingress/egress

  • Verifica la perdita di pacchetti utilizzando test ping continui dei client.

  • Verifica che l'endpoint Client VPN non stia raggiungendo i limiti di connessione.

  • Prendi in considerazione l'utilizzo di più endpoint Client VPN per la distribuzione del carico.

  • Esegui test con diverse sedi dei clienti per identificare i problemi di prestazioni regionali.

Monitora le metriche di Client VPN

Monitora le metriche degli endpoint Client VPN utilizzando: CloudWatch

  1. Controlla le metriche di connessione attive:

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name ActiveConnectionsCount \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Average

  2. Rivedi le metriche relative agli errori di autenticazione:

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name AuthenticationFailures \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Sum

  3. Esamina altre metriche disponibili come byte e pacchetti in ingresso e uscita.

Controlla i log di Client VPN

I log delle connessioni Client VPN forniscono informazioni dettagliate sui tentativi e sugli errori di connessione:

  • Abilita la registrazione della connessione Client VPN se non è già configurata.

  • CloudWatch Esamina i log per verificare eventuali tentativi di connessione, errori di autenticazione ed errori di autorizzazione.

  • Cerca codici e messaggi di errore specifici che indicano la causa principale dei problemi di connettività.

  • Verifica la presenza di schemi nelle connessioni non riuscite che potrebbero indicare problemi di configurazione.

Problemi e soluzioni comuni

Problemi comuni che possono influire sulla connettività Client VPN:

Authentication failures (Errori di autenticazione)

I certificati client sono scaduti o non validi oppure le credenziali di Active Directory non sono corrette. Verifica la configurazione dell'autenticazione e la validità delle credenziali.

Regole di autorizzazione mancanti

I client non possono accedere alle reti di destinazione a causa di regole di autorizzazione mancanti o errate. Aggiungere le regole di autorizzazione appropriate per le reti richieste.

Problemi relativi allo split tunneling

Instradamento del traffico errato a causa della configurazione dello split tunneling. Rivedi e modifica le impostazioni dello split tunneling secondo necessità.

Esaurimento del pool IP del client

Nessun indirizzo IP disponibile nel blocco CIDR del client. Espandi l'intervallo CIDR del client o disconnetti i client non utilizzati.

Problemi MTU

I pacchetti di grandi dimensioni vengono eliminati a causa delle limitazioni delle dimensioni dell'MTU. Prova a impostare l'MTU su 1436 byte o abilita Path MTU Discovery sui dispositivi client.

Problemi di risoluzione DNS

I client non possono risolvere nomi DNS privati. Verifica la configurazione del server DNS e assicurati che il traffico DNS sia consentito attraverso i gruppi di sicurezza.

Intervalli IP sovrapposti

Il CIDR del client blocca i conflitti con gli intervalli della rete locale. Verifica e risolvi eventuali intervalli di indirizzi IP sovrapposti tra il CIDR del client e le reti locali.

Errori di handshake TLS

La connessione non riesce durante la negoziazione TLS. Verifica la validità dei certificati, assicurati che le suite di crittografia siano corrette e verifica che i certificati client e server siano configurati correttamente.

Ritardi di propagazione delle rotte

Nuove rotte non immediatamente disponibili per i clienti. Attendi 1-2 minuti per la propagazione delle rotte dopo aver apportato modifiche alle rotte Client VPN.

Cadute/instabilità della connessione

Disconnessioni frequenti o connessioni instabili. Controlla la congestione della rete, le interferenze del firewall o le impostazioni di gestione dell'alimentazione sui dispositivi client.