Solucionar problemas de conectividade AWS Site-to-Site VPN sem o Protocolo de Gateway da Borda - AWS Site-to-Site VPN

Solucionar problemas de conectividade AWS Site-to-Site VPN sem o Protocolo de Gateway da Borda

O diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas para um dispositivo de gateway do cliente que não usa o Protocolo de Gateway da Borda (BGP). Também recomendamos que você habilite os recursos de depuração do dispositivo. Consulte o fornecedor do dispositivo do gateway para obter informações detalhadas.

Fluxograma para solução de problemas de dispositivo genérico de gateway do cliente
IKE

Determine se existe uma associação de segurança IKE.

A associação de segurança IKE é necessária para trocar chaves usadas para estabelecer a associação de segurança IPsec.

Se não houver nenhuma associação de segurança IKE, revise as definições de configuração de IKE. É necessário configurar os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração.

Se houver uma associação de segurança IKE, passe para "IPsec".
IPsec

Determine se existe uma associação de segurança (SA) IPsec.

Uma SA IPsec é o próprio túnel. Consulte o dispositivo de gateway do cliente para determinar se uma SA IPsec está ativa. Configure os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração.

Se não existir nenhuma SA IPsec, revise a configuração de IPsec.

Se existir uma SA IPsec, avance para "Túnel".

Túnel

Confirme se as regras necessárias de firewall estão configuradas (para obter uma lista de regras, consulte Regras de firewall para um dispositivo de gateway do cliente do AWS Site-to-Site VPN). Se não, prossiga.

Determine se existe conectividade IP por meio do túnel.

Cada lado do túnel tem um endereço IP conforme especificado no arquivo de configuração. O endereço do gateway privado virtual é endereço usado como endereço de vizinho BGP. No dispositivo de gateway do cliente, execute ping nesse endereço para determinar se o tráfego de IP está sendo criptografado e descriptografado adequadamente.

Se o ping não tiver êxito, revise a configuração da interface do túnel para verificar se o endereço IP apropriado está configurado.

Se o ping for bem-sucedido, avance para "Rotas estáticas".

Rotas estáticas

Para cada túnel, faça o seguinte:

  • Verifique se você adicionou uma rota estática ao CIDR da VPC com os túneis como o salto seguinte.

  • Verifique se você adicionou uma rota estática ao console da Amazon VPC a fim de informar o gateway privado virtual para rotear o tráfego de volta para as redes internas.

Se os túneis não estiverem nesse estado, revise a configuração de seu dispositivo.

Verifique se ambos os túneis estão nesse estado. Se sim, você terá terminado.