Solucionar problemas do AWS Client VPN: problemas de conectividade de túnel com uma VPC - AWS Client VPN
Pré-requisitos de conectividade de redeVerificar o status do endpoint do Client VPNVerificar conexões de clienteVerificar a autenticação de clienteVerificar as regras de autorizaçãoValidar rotas do Client VPNVerificar grupos de segurança e ACLs de redeTestar a conectividade dos clientesDiagnosticar o dispositivo clienteSolucionar problemas de resolução de DNSSolucionar problemas de desempenhoMonitorar as métricas do Client VPNVerificar os logs do Client VPNProblemas e soluções comuns

Solucionar problemas do AWS Client VPN: problemas de conectividade de túnel com uma VPC

Ao enfrentar problemas de conectividade com sua conexão do AWS Client VPN, siga esta abordagem sistemática de solução de problemas para identificar e resolver o problema. Esta seção apresenta procedimentos detalhados para diagnosticar problemas comuns de conectividade do Client VPN entre clientes remotos e recursos da Amazon VPC.

Pré-requisitos de conectividade de rede

Antes de solucionar problemas de conectividade do Client VPN, verifique estes pré-requisitos de rede:

  • Verifique se a sub-rede do endpoint do Client VPN tem conectividade com a internet (via gateway da internet ou do gateway NAT).

  • Verifique se o endpoint do Client VPN está associado a sub-redes em diferentes zonas de disponibilidade para obter alta disponibilidade.

  • Verifique se a VPC tem espaço de endereço IP suficiente e não está em conflito com os blocos CIDR do cliente.

  • Confirme se as sub-redes de destino têm associações de tabela de rotas adequadas.

Verificar o status do endpoint do Client VPN

Primeiro, verifique se o endpoint do Client VPN está no estado correto:

  1. Use a AWS CLI para verificar o status do endpoint do Client VPN:

    aws ec2 describe-client-vpn-endpoints --region your-region

  2. Procure o estado do endpoint na saída. O estado deveria ser available.

  3. Verifique se o endpoint tem redes de destino associadas (sub-redes).

  4. Se o estado não for available, verifique se há mensagens de erro ou estados pendentes que possam indicar problemas de configuração.

Verificar conexões de cliente

Verifique o status das conexões de cliente com o endpoint do Client VPN:

  1. Verifique as conexões de cliente ativas:

    aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Analise o status da conexão e todas as mensagens de erro na saída.

  3. Verifique os logs de autenticação do cliente em busca de tentativas de autenticação malsucedidas.

  4. Verifique se os clientes estão recebendo endereços IP do bloco CIDR do cliente configurado.

nota

Se os clientes não conseguirem se conectar, o problema provavelmente está na configuração de autenticação, nas regras de autorização ou na conectividade de rede.

Verificar a autenticação de cliente

Problemas de autenticação são causas comuns de problemas de conectividade do Client VPN:

  • Para autenticação mútua, os certificados dos cliente devem ser válidos e não devem ter expirado.

  • Para autenticação do Active Directory, verifique as credenciais do usuário e a conectividade do domínio.

  • Para autenticação federada baseada em SAML, verifique a configuração do IdP e as permissões do usuário.

  • Analise os logs de autenticação no CloudWatch para obter informações detalhadas sobre erros.

  • Verifique se o método de autenticação configurado no endpoint corresponde à configuração do cliente.

Verificar as regras de autorização

As regras de autorização controlam quais recursos de rede os clientes podem acessar:

  1. Liste as regras de autorização atuais:

    aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Verifique se existem regras para as redes de destino que os clientes precisam acessar.

  3. Verifique se as regras especificam os grupos corretos do Active Directory (se estiver usando a autenticação do AD).

  4. As regras de autorização devem estar no estado active.

Validar rotas do Client VPN

A configuração de roteamento adequada é essencial para a conectividade do Client VPN:

  1. Verifique as rotas de endpoint do Client VPN:

    aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id cvpn-endpoint-id --region your-region

  2. Verifique se existem rotas para as redes de destino que os clientes precisam acessar.

  3. Verifique as tabelas de rotas da Amazon VPC para garantir que o tráfego de retorno possa alcançar o endpoint do Client VPN:

    aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-id" --region your-region

  4. Verifique se as associações de rede de destino estão configuradas corretamente.

Verificar grupos de segurança e ACLs de rede

Grupos de segurança e ACLs de rede podem bloquear o tráfego do Client VPN:

  1. Verifique os grupos de segurança para instâncias de destino do EC2:

    aws ec2 describe-security-groups --group-ids sg-xxxxxxxxx --region your-region

  2. Verifique se as regras de entrada permitem o tráfego do bloco CIDR do Client VPN:

    • SSH (porta 22) do CIDR do Client VPN: 10.0.0.0/16.

    • HTTP (porta 80) do CIDR do Client VPN: 10.0.0.0/16.

    • HTTPS (porta 443) do CIDR do Client VPN: 10.0.0.0/16.

    • Portas de aplicações personalizadas conforme necessário.

  3. Para o grupo de segurança de endpoint do Client VPN (se aplicável), verifique se ele permite:

    • Porta UDP 443 (OpenVPN) de 0.0.0.0/0.

    • Todo tráfego de saída para blocos CIDR da VPC.

  4. Verifique se as ACLs de rede não estão bloqueando o tráfego. Como as ACLs de rede não têm estado, é necessário configurar regras de entrada e de saída.

  5. Verifique as regras de entrada e de saída para o tráfego específico que você está tentando enviar.

Testar a conectividade dos clientes

Teste a conectividade dos clientes di Client VPN com os recursos da Amazon VPC:

  1. Em um cliente conectado do Client VPN, teste a conectividade com os recursos da Amazon VPC:

    ping vpc-resource-ip
traceroute vpc-resource-ip

  2. Teste a conectividade específica da aplicação:

    telnet vpc-resource-ip port

  3. Verifique a resolução de DNS se estiver usando nomes de DNS privados:

    nslookup private-dns-name

  4. Teste a conectividade com recursos da internet se o tunelamento dividido estiver habilitado.

Diagnosticar o dispositivo cliente

Execute estas verificações no dispositivo cliente:

  1. Verifique se o arquivo de configuração do cliente (.ovpn) contém as configurações corretas:

    • URL correto do endpoint do servidor.

    • Chave privada e certificado de cliente válidos.

    • Configuração adequada do método de autenticação.

  2. Verifique se há erros de conexão nos logs do cliente:

    • Windows: Visualizador de Eventos → Logs de Aplicações e Serviços → OpenVPN

    • macOS: Console app, pesquise “Tunnelblick” ou “OpenVPN”.

    • Linux: /var/log/openvpn/ ou diário systemd.

  3. Teste a conectividade básica de rede do cliente:

    ping 8.8.8.8
nslookup cvpn-endpoint-id.cvpn.region.amazonaws.com

Solucionar problemas de resolução de DNS

Problemas de DNS podem impedir o acesso a recursos quando são usados nomes de DNS privados:

  1. Verifique se os servidores de DNS estão configurados no endpoint do Client VPN:

    aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids cvpn-endpoint-id --query 'ClientVpnEndpoints[0].DnsServers'

  2. Teste a resolução de DNS do cliente:

    nslookup private-resource.internal
dig private-resource.internal

  3. Verifique as regras do Route 53 Resolver se estiver usando uma resolução de DNS personalizada.

  4. Verifique se os grupos de segurança permitem tráfego de DNS (porta UDP/TCP 53) do CIDR do Client VPN para servidores de DNS.

Solucionar problemas de desempenho

Solucione problemas de desempenho em conexões do Client VPN:

  • Monitore a utilização da largura de banda usando as métricas do CloudWatch para bytes de entrada/saída.

  • Verifique a perda de pacotes usando testes de ping contínuos dos clientes.

  • Verifique se o endpoint do Client VPN não está atingindo os limites de conexão.

  • Considere a possibilidade de usar vários endpoints do Client VPN para distribuição de carga.

  • Aplique o teste a diferentes locais de cliente para identificar problemas de desempenho regional.

Monitorar as métricas do Client VPN

Monitore as métricas de endpoint da Client VPN usando o CloudWatch:

  1. Verifique as métricas de conexão ativa:

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name ActiveConnectionsCount \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Average

  2. Analise as métricas de falha de autenticação:

    aws cloudwatch get-metric-statistics \
  --namespace AWS/ClientVPN \
  --metric-name AuthenticationFailures \
  --dimensions Name=Endpoint,Value=cvpn-endpoint-id \
  --start-time start-time \
  --end-time end-time \
  --period 300 \
  --statistics Sum

  3. Analise outras métricas disponíveis, como bytes e pacotes de entrada e saída.

Verificar os logs do Client VPN

Os logs de conexão do Client VPN fornecem informações detalhadas sobre tentativas e erros de conexão:

  • Habilite o registro em log de conexões do Client VPN se ainda não estiver habilitado.

  • Analise os logs do CloudWatch para verificar tentativas de conexão, falhas de autenticação e erros de autorização.

  • Procure códigos de erro e mensagens específicos que indiquem a causa raiz dos problemas de conectividade.

  • Verifique se há padrões em conexões com falha que possam indicar problemas de configuração.

Problemas e soluções comuns

Problemas comuns que podem afetar a conectividade do Client VPN:

Falhas de autenticação

Certificados de cliente expirados ou inválidos ou credenciais do Active Directory incorretas. Verifique a configuração da autenticação e a validade da credencial.

Regras de autorização ausentes

Os clientes não podem acessar as redes de destino devido a regras de autorização ausentes ou incorretas. Adicione regras de autorização apropriadas para as redes necessárias.

Problemas de tunelamento dividido

Roteamento de tráfego incorreto devido à configuração de tunelamento dividido. Analise e ajuste as configurações de tunelamento dividido, conforme necessário.

Exaustão do grupo de IPs de clientes

Não há endereços IP disponíveis no bloco CIDR de clientes. Expanda o intervalo CIDR de clientes ou desconecte clientes não utilizados.

Problemas de MTU

Pacotes grandes estão sendo encerrados devido a limitações de tamanho de MTU. Tente definir a MTU com 1.436 bytes ou habilitar a descoberta de MTU de caminho em dispositivos cliente.

Problemas de resolução de DNS

Os clientes não conseguem resolver nomes de DNS privados. Verifique a configuração do servidor de DNS e garanta que o tráfego de DNS seja permitido por meio de grupos de segurança.

Intervalos de IP sobrepostos

Os blocos CIDR de clientes divergem dos intervalos de rede local. Verifique e resolva quaisquer intervalos de endereços IP sobrepostos entre o CIDR de cliente e as redes locais.

Falhas do handshake TLS

A conexão falha durante a negociação de TLS. Verifique a validade do certificado, use as suítes de cifras corretas e verifique se os certificados de cliente e servidor estão configurados corretamente.

Atrasos na propagação de rotas

Novas rotas não são disponibilizadas imediatamente aos clientes. Ao fazer alterações nas rotas do Client VPN, aguarde de 1 a 2 minutos para realizar a propagação de rotas.

Quedas de conexão/instabilidade

Desconexões frequentes ou conexões instáveis. Verifique se há congestionamento de rede, interferência de firewall ou configurações de gerenciamento de energia nos dispositivos cliente.