As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Solução de problemas AWS Site-to-Site VPN do dispositivo de gateway do cliente
Ao solucionar problemas com o dispositivo de gateway do cliente, é importante ter uma abordagem estruturada. Os dois primeiros tópicos desta seção fornecem fluxogramas generalizados para solucionar problemas ao usar um dispositivo configurado para roteamento dinâmico (habilitado para BGP) e um dispositivo configurado para roteamento estático (sem BGP ativado), respectivamente. A seguir esses tópicos, estão os guias de solução de problemas específicos do dispositivo para dispositivos de gateway do cliente Cisco, Juniper e Yamaha.
Além dos tópicos desta seção, habilitar o [AWS Site-to-Site VPN troncos](monitoring-logs.md) pode ser muito útil para solucionar problemas de conectividade VPN. Para obter instruções gerais de teste, consulte também [Testar uma conexão com o AWS Site-to-Site VPN](HowToTestEndToEnd_Linux.md).
**Topics**
+ [Dispositivo com BGP](Generic_Troubleshooting.md)
+ [Dispositivo sem BGP](Generic_Troubleshooting_noBGP.md)
+ [Cisco ASA](Cisco_ASA_Troubleshooting.md)
+ [Cisco IOS](Cisco_Troubleshooting.md)
+ [Cisco IOS sem BGP](Cisco_Troubleshooting_NoBGP.md)
+ [Juniper JunOS](Juniper_Troubleshooting.md)
+ [Juniper ScreenOS](Juniper_ScreenOs_Troubleshooting.md)
+ [Yamaha](Yamaha_Troubleshooting.md)
**Recursos adicionais do**
+ [Fórum da Amazon VPC](https://repost.aws/tags/TATGuEiYydTVCPMhSnXFN6gA/amazon-vpc)
# Solucione problemas de AWS Site-to-Site VPN conectividade ao usar o Border Gateway Protocol
O diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas de um dispositivo de gateway do cliente que usa o Protocolo de Gateway da Borda (BGP). Também recomendamos que você habilite os recursos de depuração do dispositivo. Consulte o fornecedor do dispositivo do gateway para obter informações detalhadas.
![\[Fluxograma para solucionar problemas de um gateway do cliente genérico\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/troubleshooting-cgw-flow-diagram.png)
| | |
| --- |--- |
| IKE | Determine se existe uma associação de segurança IKE. É necessária uma associação de segurança IKE para trocar as chaves usadas para estabelecer a associação IPsec de segurança. Se não houver nenhuma associação de segurança IKE, revise as definições de configuração de IKE. É necessário configurar os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração. Se existir uma associação de segurança IKE, vá para 'IPsec'. |
| IPsec | Determine se existe uma associação de IPsec segurança (SA). Um IPsec SA é o próprio túnel. Consulte seu dispositivo de gateway do cliente para determinar se um IPsec SA está ativo. Configure os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração. Se nenhum IPsec SA existir, revise sua IPsec configuração. Se existir um IPsec SA, vá para “Túnel”. |
| Túnel | Confirme se as regras necessárias de firewall estão configuradas (para obter uma lista de regras, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md)). Se não, prossiga. Determine se existe conectividade IP por meio do túnel. Cada lado do túnel tem um endereço IP conforme especificado no arquivo de configuração. O endereço do gateway privado virtual é endereço usado como endereço de vizinho BGP. No dispositivo de gateway do cliente, execute ping nesse endereço para determinar se o tráfego de IP está sendo criptografado e descriptografado adequadamente. Se o ping não tiver êxito, revise a configuração da interface do túnel para verificar se o endereço IP apropriado está configurado. Se o ping for bem-sucedido, prossiga para "BGP". |
| BGP | Determine se a sessão de emparelhamento de BGP está ativa. Para cada túnel, faça o seguinte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/Generic_Troubleshooting.html) Se os túneis não estiverem nesse estado, revise a configuração do BGP. Se a sessão de BGP entre pares for estabelecida e você estiver recebendo um prefixo e anunciando um prefixo, isso quer dizer que o túnel está configurado corretamente. Certifique-se de que os dois túneis estão nesse estado. |
# Solucione problemas de AWS Site-to-Site VPN conectividade sem o Border Gateway Protocol
O diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas para um dispositivo de gateway do cliente que não usa o Protocolo de Gateway da Borda (BGP). Também recomendamos que você habilite os recursos de depuração do dispositivo. Consulte o fornecedor do dispositivo do gateway para obter informações detalhadas.
![\[Fluxograma para solução de problemas de dispositivo genérico de gateway do cliente\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/troubleshooting-cgw-flow-nobgp-diagram.png)
| | |
| --- |--- |
| IKE | Determine se existe uma associação de segurança IKE. É necessária uma associação de segurança IKE para trocar as chaves usadas para estabelecer a associação IPsec de segurança. Se não houver nenhuma associação de segurança IKE, revise as definições de configuração de IKE. É necessário configurar os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração. Se existir uma associação de segurança IKE, vá para 'IPsec'. |
| IPsec | Determine se existe uma associação de IPsec segurança (SA). Um IPsec SA é o próprio túnel. Consulte seu dispositivo de gateway do cliente para determinar se um IPsec SA está ativo. Configure os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração. Se nenhum IPsec SA existir, revise sua IPsec configuração. Se existir um IPsec SA, vá para “Túnel”. |
| Túnel | Confirme se as regras necessárias de firewall estão configuradas (para obter uma lista de regras, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md)). Se não, prossiga. Determine se existe conectividade IP por meio do túnel. Cada lado do túnel tem um endereço IP conforme especificado no arquivo de configuração. O endereço do gateway privado virtual é endereço usado como endereço de vizinho BGP. No dispositivo de gateway do cliente, execute ping nesse endereço para determinar se o tráfego de IP está sendo criptografado e descriptografado adequadamente. Se o ping não tiver êxito, revise a configuração da interface do túnel para verificar se o endereço IP apropriado está configurado. Se o ping for bem-sucedido, avance para "Rotas estáticas". |
| Rotas estáticas | Para cada túnel, faça o seguinte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/Generic_Troubleshooting_noBGP.html) Se os túneis não estiverem nesse estado, revise a configuração de seu dispositivo. Verifique se ambos os túneis estão nesse estado. Se sim, você terá terminado. |
# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Cisco ASA Customer Gateway
Ao solucionar problemas de conectividade de um dispositivo Cisco Customer Gateway, considere o IKE e o roteamento. IPsec É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.
**Importante**
Alguns Cisco suportam ASAs apenas o Active/Standby modo. Quando você usa esses Cisco ASAs, você pode ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo somente se o primeiro túnel ficar indisponível. O túnel em espera pode gerar o seguinte erro nos arquivos de log, o qual pode ser ignorado: `Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside`.
## IKE
Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.
```
ciscoasa# show crypto isakmp sa
```
```
Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2
1 IKE Peer: AWS_ENDPOINT_1
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
```
Você deve ver uma ou mais linhas contendo um valor de `src` do gateway remoto especificado nos túneis. O valor de `state` deve ser `MM_ACTIVE` e o `status` deve ser `ACTIVE`. A ausência de uma entrada, ou de qualquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.
Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log que fornecem informações de diagnóstico.
```
router# term mon
router# debug crypto isakmp
```
Para desativar a depuração, use o comando a seguir.
```
router# no debug crypto isakmp
```
## IPsec
Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.
```
ciscoasa# show crypto ipsec sa
```
```
interface: outside
Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101
access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
current_peer: integ-ppe1
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: 6D9F8D3B
current inbound spi : 48B456A6
inbound esp sas:
spi: 0x48B456A6 (1219778214)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
sa timing: remaining key lifetime (kB/sec): (4374000/3593)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x6D9F8D3B (1839172923)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
sa timing: remaining key lifetime (kB/sec): (4374000/3593)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
```
Para a interface de cada túnel, você deve ver `inbound esp sas` e `outbound esp sas`. Isso pressupõe que uma SA esteja listada (por exemplo,`spi: 0x48B456A6`) e que IPsec esteja configurada corretamente.
No Cisco ASA, o IPsec só aparece após o envio de tráfego interessante (tráfego que deve ser criptografado). Para manter sempre o IPsec ativo, recomendamos configurar um monitor de SLA. O monitor de SLA continua enviando tráfego interessante, mantendo o IPsec ativo.
Você também pode usar o seguinte comando ping para forçá-lo IPsec a iniciar a negociação e subir.
```
ping ec2_instance_ip_address
```
```
Pinging ec2_instance_ip_address with 32 bytes of data:
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```
Para solucionar outros problemas, use o comando a seguir para ativar a depuração.
```
router# debug crypto ipsec
```
Para desativar a depuração, use o comando a seguir.
```
router# no debug crypto ipsec
```
## Roteamento
Execute ping na outra extremidade do túnel. Se isso estiver funcionando, você IPsec deve estar estabelecido. Se isso não estiver funcionando, verifique suas listas de acesso e consulte a IPsec seção anterior.
Se não conseguir acessar as instâncias, verifique as seguintes informações:
1. Verifique se a lista de acesso está configurada para permitir tráfego associado ao mapa de criptografia.
É possível fazer isso usando o comando a seguir.
```
ciscoasa# show run crypto
```
```
crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
crypto map VPN_crypto_map_name 1 match address access-list-name
crypto map VPN_crypto_map_name 1 set pfs
crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600
```
1. Verifique a lista de acesso usando o comando a seguir.
```
ciscoasa# show run access-list access-list-name
```
```
access-list access-list-name extended permit ip any vpc_subnet subnet_mask
```
1. Verifique se a lista de acesso está correta. A lista de acesso de exemplo a seguir permite todo o tráfego interno para a sub-rede 10.0.0.0/16 da VPC.
```
access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0
```
1. Execute um traceroute a partir do dispositivo Cisco ASA para ver se ele alcança os roteadores Amazon (por exemplo,/). *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*
Se conseguir acessar o roteador da Amazon, verifique as rotas estáticas adicionadas no console da Amazon VPC e os grupos de segurança para instâncias específicas.
1. Para solucionar outros problemas, revise a configuração.
## Desabilitar e reabilitar a interface do túnel
Se o túnel parecer ativo, mas o tráfego não estiver fluindo adequadamente, desabilitar e reabilitar a interface do túnel geralmente pode resolver problemas de conectividade. Para desabilitar e reabilitar a interface do túnel em um Cisco ASA:
1. Execute o seguinte:
```
ciscoasa# conf t
ciscoasa(config)# interface tunnel X (where X is your tunnel ID)
ciscoasa(config-if)# shutdown
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# end
```
Como alternativa, você pode usar um comando de linha única:
```
ciscoasa# conf t ; interface tunnel X ; shutdown ; no shutdown ; end
```
1. Depois de desabilitar e reabilitar a interface, verifique se a conexão VPN foi restabelecida e se o tráfego agora está fluindo corretamente.
# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Cisco IOS Customer Gateway
Ao solucionar problemas de conectividade de um dispositivo Cisco Customer Gateway, considere quatro coisas: IKE IPsec, túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.
## IKE
Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.
```
router# show crypto isakmp sa
```
```
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE
192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE
```
Você deve ver uma ou mais linhas contendo um valor de `src` do gateway remoto especificado nos túneis. O `state` deve ser `QM_IDLE` e o `status` deve ser `ACTIVE`. A ausência de uma entrada, ou de qualquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.
Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log que fornecem informações de diagnóstico.
```
router# term mon
router# debug crypto isakmp
```
Para desativar a depuração, use o comando a seguir.
```
router# no debug crypto isakmp
```
## IPsec
Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.
```
router# show crypto ipsec sa
```
```
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
#pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xB8357C22(3090512930)
inbound esp sas:
spi: 0x6ADB173(112046451)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xB8357C22(3090512930)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2
Crypto map tag: Tunnel2-head-0, local addr 174.78.144.73
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.193 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas:
spi: 0xB6720137(3060924727)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF59A3FF6(4120526838)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
```
Para a interface de cada túnel, você deve ver `inbound esp sas` e `outbound esp sas`. Supondo que um SA esteja `spi: 0xF95D2F3C` listado (por exemplo) e `Status` IPsec esteja `ACTIVE` configurado corretamente.
Para solucionar outros problemas, use o comando a seguir para ativar a depuração.
```
router# debug crypto ipsec
```
Use o comando a seguir para desativar a depuração.
```
router# no debug crypto ipsec
```
## Túnel
Primeiro, verifique se você implementou as regras de firewall necessárias. Para obter mais informações, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).
Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.
```
router# show interfaces tun1
```
```
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Internet address is 169.254.255.2/30
MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 174.78.144.73, destination 72.21.209.225
Tunnel protocol/transport IPSEC/IP
Tunnel TTL 255
Tunnel transport MTU 1427 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
407 packets input, 30010 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
```
Verifique se o `line protocol` está em execução. Verifique se o endereço IP de origem, a interface de origem e o destino correspondem respectivamente à configuração do túnel para o endereço IP externo do dispositivo de gateway do cliente, à interface e ao endereço IP externo do gateway privado virtual. Verifique se o `Tunnel protection via IPSec` está presente. Execute o comando em ambas as interfaces do túnel. Para resolver qualquer problema, revise a configuração e verifique as conexões físicas com o dispositivo de gateway do cliente.
Além disso, use o comando a seguir e substitua `169.254.255.1` pelo endereço IP interno de seu gateway privado virtual.
```
router# ping 169.254.255.1 df-bit size 1410
```
```
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
```
Você deve ver cinco pontos de exclamação.
Para solucionar outros problemas, revise a configuração.
## BGP
Use o seguinte comando.
```
router# show ip bgp summary
```
```
BGP router identifier 192.168.37.160, local AS number 65000
BGP table version is 8, main routing table version 8
2 network entries using 312 bytes of memory
2 path entries using 136 bytes of memory
3/1 BGP path/bestpath attribute entries using 444 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
Bitfield cache entries: current 1 (at peak 2) using 32 bytes of memory
BGP using 948 total bytes of memory
BGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1
169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1
```
Ambos os vizinhos deve ser listados. Para cada um, você deve ver um valor `State/PfxRcd` de `1`.
Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente está anunciando a rota padrão (0.0.0.0/0) para a VPC.
```
router# show bgp all neighbors 169.254.255.1 advertised-routes
```
```
For address family: IPv4 Unicast
BGP table version is 3, local router ID is 174.78.144.73
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Originating default network 0.0.0.0
Network Next Hop Metric LocPrf Weight Path
*> 10.120.0.0/16 169.254.255.1 100 0 7224 i
Total number of prefixes 1
```
Além disso, confirme se você está recebendo o prefixo correspondente à sua VPC do gateway privado virtual.
```
router# show ip route bgp
```
```
10.0.0.0/16 is subnetted, 1 subnets
B 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20
```
Para solucionar outros problemas, revise a configuração.
# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Cisco IOS Customer Gateway sem o Border Gateway Protocol
Ao solucionar problemas de conectividade de um dispositivo Cisco Customer Gateway, considere três coisas: IKE e IPsec túnel. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.
## IKE
Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.
```
router# show crypto isakmp sa
```
```
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE
174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE
```
Você deve ver uma ou mais linhas contendo um valor de `src` do gateway remoto especificado nos túneis. O `state` deve ser `QM_IDLE` e o `status` deve ser `ACTIVE`. A ausência de uma entrada, ou de qualquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.
Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log que fornecem informações de diagnóstico.
```
router# term mon
router# debug crypto isakmp
```
Para desativar a depuração, use o comando a seguir.
```
router# no debug crypto isakmp
```
## IPsec
Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.
```
router# show crypto ipsec sa
```
```
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 174.78.144.73
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
#pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xB8357C22(3090512930)
inbound esp sas:
spi: 0x6ADB173(112046451)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xB8357C22(3090512930)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2
Crypto map tag: Tunnel2-head-0, local addr 205.251.233.122
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.193 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas:
spi: 0xB6720137(3060924727)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF59A3FF6(4120526838)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
```
Para a interface de cada túnel, você deve ver `esp sas` de entrada e `esp sas` de saída. Isso pressupõe que um SA esteja listado (por exemplo,`spi: 0x48B456A6`), que o status seja `ACTIVE` e que IPsec esteja configurado corretamente.
Para solucionar outros problemas, use o comando a seguir para ativar a depuração.
```
router# debug crypto ipsec
```
Para desativar a depuração, use o comando a seguir.
```
router# no debug crypto ipsec
```
## Túnel
Primeiro, verifique se você implementou as regras de firewall necessárias. Para obter mais informações, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).
Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.
```
router# show interfaces tun1
```
```
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Internet address is 169.254.249.18/30
MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 174.78.144.73, destination 205.251.233.121
Tunnel protocol/transport IPSEC/IP
Tunnel TTL 255
Tunnel transport MTU 1427 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
407 packets input, 30010 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
```
Verifique se o protocolo de linha está em execução. Verifique se o endereço IP de origem, a interface de origem e o destino correspondem respectivamente à configuração do túnel para o endereço IP externo do dispositivo de gateway do cliente, à interface e ao endereço IP externo do gateway privado virtual. Verifique se o `Tunnel protection through IPSec` está presente. Execute o comando em ambas as interfaces do túnel. Para resolver qualquer problema, revise a configuração e verifique as conexões físicas com o dispositivo de gateway do cliente.
É possível também usar o comando a seguir e substituir `169.254.249.18` pelo endereço IP interno de seu gateway privado virtual.
```
router# ping 169.254.249.18 df-bit size 1410
```
```
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
```
Você deve ver cinco pontos de exclamação.
### Roteamento
Para ver sua tabela de rotas estáticas, use o comando a seguir.
```
router# sh ip route static
```
```
1.0.0.0/8 is variably subnetted
S 10.0.0.0/16 is directly connected, Tunnel1
is directly connected, Tunnel2
```
Você verá que existe uma rota estática para o CIDR da VPC por meio de ambos os túneis. Se não houver, adicione as rotas estáticas conforme indicado a seguir.
```
router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100
router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200
```
### Verificação do monitor de SLA
```
router# show ip sla statistics 100
```
```
IPSLAs Latest Operation Statistics
IPSLA operation id: 100
Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul 15 2012
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
```
```
router# show ip sla statistics 200
```
```
IPSLAs Latest Operation Statistics
IPSLA operation id: 200
Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul 15 2012
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
```
O valor para `Number of successes` indica se o monitor de SLA foi configurado com êxito.
Para solucionar outros problemas, revise a configuração.
# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Juniper JunOS Customer Gateway
Ao solucionar problemas de conectividade de um dispositivo de gateway de cliente da Juniper, considere quatro coisas: IKE IPsec, túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.
## IKE
Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.
```
user@router> show security ike security-associations
```
```
Index Remote Address State Initiator cookie Responder cookie Mode
4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main
3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main
```
Você deve ver uma ou mais linhas contendo um endereço remoto do gateway remoto especificado nos túneis. O `State` deve ser `UP`. A ausência de uma entrada, ou de qualquer entrada em outro estado (como `DOWN`), indica que o IKE não está configurado apropriadamente.
Para solucionar outros problemas, habilite as opções de rastreamento de IKE, conforme recomendado no arquivo de configuração de exemplo. Em seguida, execute o comando a seguir para imprimir na tela uma variedade de mensagens de depuração.
```
user@router> monitor start kmd
```
Em um host externo, é possível recuperar o arquivo de log completo com o comando a seguir.
```
scp username@router.hostname:/var/log/kmd
```
## IPsec
Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.
```
user@router> show security ipsec security-associations
```
```
Total active tunnels: 2
ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys
<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0
>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0
<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0
>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0
```
Mais especificamente, você deve ver pelo menos duas linhas por endereço de gateway (correspondentes ao gateway remoto). Os operadores maior e menor no início de cada linha (< >) indicam a direção do tráfego para a entrada específica. A saída tem linhas distintas para tráfego de entrada ("<", tráfego do gateway privado virtual para esse dispositivo de gateway do cliente) e tráfego de saída (">").
Para solucionar outros problemas, habilite as opções de rastreamento de IKE (para obter mais informações, consulte a seção precedente sobre IKE).
## Túnel
Primeiro, verifique novamente se você implementou as regras de firewall necessárias. Para obter uma lista de regras, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).
Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.
```
user@router> show interfaces st0.1
```
```
Logical interface st0.1 (Index 70) (SNMP ifIndex 126)
Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel
Input packets : 8719
Output packets: 41841
Security: Zone: Trust
Allowed host-inbound traffic : bgp ping ssh traceroute
Protocol inet, MTU: 9192
Flags: None
Addresses, Flags: Is-Preferred Is-Primary
Destination: 169.254.255.0/30, Local: 169.254.255.2
```
Verifique se `Security: Zone` está correto e se o endereço `Local` corresponde ao túnel do dispositivo de gateway do cliente dentro do endereço.
Em seguida, use o comando a seguir e substitua `169.254.255.1` pelo endereço IP interno de seu gateway privado virtual. Os resultados devem ser semelhantes à resposta mostrada aqui.
```
user@router> ping 169.254.255.1 size 1382 do-not-fragment
```
```
PING 169.254.255.1 (169.254.255.1): 1410 data bytes
64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms
64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms
```
Para solucionar outros problemas, revise a configuração.
## BGP
Execute o seguinte comando.
```
user@router> show bgp summary
```
```
Groups: 1 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0 2 1 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0
169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0
```
Para solucionar outros problemas, use o comando a seguir e substitua `169.254.255.1` pelo endereço IP interno de seu gateway privado virtual.
```
user@router> show bgp neighbor 169.254.255.1
```
```
Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000
Type: External State: Established Flags:
Last State: OpenConfirm Last Event: RecvKeepAlive
Last Error: None
Export: [ EXPORT-DEFAULT ]
Options:
Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0
Number of flaps: 0
Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30
Keepalive Interval: 10 Peer index: 0
BFD: disabled, down
Local Interface: st0.1
NLRI for restart configured on peer: inet-unicast
NLRI advertised by peer: inet-unicast
NLRI for this session: inet-unicast
Peer supports Refresh capability (2)
Restart time configured on the peer: 120
Stale routes from peer are kept for: 300
Restart time requested by this peer: 120
NLRI that peer supports restart for: inet-unicast
NLRI that restart is negotiated for: inet-unicast
NLRI of received end-of-rib markers: inet-unicast
NLRI of all end-of-rib markers sent: inet-unicast
Peer supports 4 byte AS extension (peer-as 7224)
Table inet.0 Bit: 10000
RIB State: BGP restart is complete
Send state: in sync
Active prefixes: 1
Received prefixes: 1
Accepted prefixes: 1
Suppressed due to damping: 0
Advertised prefixes: 1
Last traffic (seconds): Received 4 Sent 8 Checked 4
Input messages: Total 24 Updates 2 Refreshes 0 Octets 505
Output messages: Total 26 Updates 1 Refreshes 0 Octets 582
Output Queue[0]: 0
```
Aqui você deve visualizar `Received prefixes` e `Advertised prefixes` listados com 1. Isso dever estar dentro da seção `Table inet.0`.
Se o `State` não for `Established`, verifique o `Last State` e o `Last Error` para obter detalhes sobre o que é necessário para corrigir o problema.
Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente está anunciando a rota padrão (0.0.0.0/0) para a VPC.
```
user@router> show route advertising-protocol bgp 169.254.255.1
```
```
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
* 0.0.0.0/0 Self I
```
Além disso, verifique se você está recebendo o prefixo que corresponde à VPC do gateway privado virtual.
```
user@router> show route receive-protocol bgp 169.254.255.1
```
```
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
* 10.110.0.0/16 169.254.255.1 100 7224 I
```
# Solucione problemas de AWS Site-to-Site VPN conectividade com um dispositivo de gateway de cliente ScreenOS da Juniper
Ao solucionar problemas de conectividade de um dispositivo de gateway de cliente baseado em ScreenOS da Juniper, considere quatro coisas: IKE IPsec, túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.
## IKE e IPsec
Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.
```
ssg5-serial-> get sa
```
```
total configured sa: 2
HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys
00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 0
00000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 0
00000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 0
00000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0
```
Você deve ver uma ou mais linhas contendo um endereço remoto do gateway remoto especificado nos túneis. O valor `Sta` deve ser `A/-` e o `SPI` deve ser um número hexadecimal diferente de `00000000`. As entradas em outros estados indicam que o IKE não está configurado apropriadamente.
Para solucionar outros problemas, habilite as opções de rastreamento de IKE (conforme recomendado no arquivo de configuração de exemplo).
## Túnel
Primeiro, verifique novamente se você implementou as regras de firewall necessárias. Para obter uma lista de regras, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).
Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.
```
ssg5-serial-> get interface tunnel.1
```
```
Interface tunnel.1:
description tunnel.1
number 20, if_info 1768, if_index 1, mode route
link ready
vsys Root, zone Trust, vr trust-vr
admin mtu 1500, operating mtu 1500, default mtu 1500
*ip 169.254.255.2/30
*manage ip 169.254.255.2
route-deny disable
bound vpn:
IPSEC-1
Next-Hop Tunnel Binding table
Flag Status Next-Hop(IP) tunnel-id VPN
pmtu-v4 disabled
ping disabled, telnet disabled, SSH disabled, SNMP disabled
web disabled, ident-reset disabled, SSL disabled
OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled
PIM: not configured IGMP not configured
NHRP disabled
bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps
```
Verifique se `link:ready` está presente e se o endereço `IP` corresponde ao endereço interno do túnel do dispositivo de gateway do cliente.
Em seguida, use o comando a seguir e substitua `169.254.255.1` pelo endereço IP interno de seu gateway privado virtual. Os resultados devem ser semelhantes à resposta mostrada aqui.
```
ssg5-serial-> ping 169.254.255.1
```
```
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms
```
Para solucionar outros problemas, revise a configuração.
## BGP
Execute o comando a seguir.
```
ssg5-serial-> get vrouter trust-vr protocol bgp neighbor
```
```
Peer AS Remote IP Local IP Wt Status State ConnID Up/Down
--------------------------------------------------------------------------------
7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01
7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59
```
O estado de ambos os peers de BGP deve ser `ESTABLISH`, o que significa que a conexão de BGP com o gateway privado virtual está ativa.
Para solucionar outros problemas, use o comando a seguir e substitua `169.254.255.1` pelo endereço IP interno de seu gateway privado virtual.
```
ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1
```
```
peer: 169.254.255.1, remote AS: 7224, admin status: enable
type: EBGP, multihop: 0(disable), MED: node default(0)
connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15s
configured hold time: node default(90s), configured keepalive: node default(30s)
configured adv-interval: default(30s)
designated local IP: n/a
local IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179
router ID of peer: 169.254.255.1, remote AS: 7224
negotiated hold time: 30s, negotiated keepalive interval: 10s
route map in name: , route map out name:
weight: 100 (default)
self as next hop: disable
send default route to peer: disable
ignore default route from peer: disable
send community path attribute: no
reflector client: no
Neighbor Capabilities:
Route refresh: advertised and received
Address family IPv4 Unicast: advertised and received
force reconnect is disable
total messages to peer: 106, from peer: 106
update messages to peer: 6, from peer: 4
Tx queue length 0, Tx queue HWM: 1
route-refresh messages to peer: 0, from peer: 0
last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)
number of total successful connections: 4
connected: 2 minutes 6 seconds
Elapsed time since last update: 2 minutes 6 seconds
```
Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente está anunciando a rota padrão (0.0.0.0/0) para a VPC. Esse comando aplica-se ao ScreenOS versão 6.2.0 e superior.
```
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised
```
```
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix Nexthop Wt Pref Med Orig AS-Path
--------------------------------------------------------------------------------------
>i 0.0.0.0/0 0.0.0.0 32768 100 0 IGP
Total IPv4 routes advertised: 1
```
Além disso, verifique se você está recebendo o prefixo correspondente à VPC do gateway privado virtual. Esse comando aplica-se ao ScreenOS versão 6.2.0 e superior.
```
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received
```
```
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix Nexthop Wt Pref Med Orig AS-Path
--------------------------------------------------------------------------------------
>e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224
Total IPv4 routes received: 1
```
# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Yamaha Customer Gateway
Ao solucionar problemas de conectividade de um dispositivo Yamaha Customer Gateway, considere quatro coisas: IKE IPsec, túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.
**nota**
A configuração `proxy ID` usada na fase 2 do IKE está desabilitada por padrão no roteador Yamaha. Isso pode causar problemas na conexão com a Site-to-Site VPN. Se o não `proxy ID` estiver configurado em seu roteador, consulte o exemplo de arquivo AWS de configuração fornecido para que a Yamaha defina corretamente.
## IKE
Execute o comando a seguir. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.
```
# show ipsec sa gateway 1
```
```
sgw flags local-id remote-id # of sa
--------------------------------------------------------------------------
1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1
```
Você deve ver uma linha contendo um valor `remote-id` do gateway remoto especificado nos túneis. Você pode listar todas as associações de segurança (SAs) omitindo o número do túnel.
Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log de nível de DEPURAÇÃO que fornecem informações de diagnóstico.
```
# syslog debug on
# ipsec ike log message-info payload-info key-info
```
Para cancelar os itens registrados, execute o comando a seguir.
```
# no ipsec ike log
# no syslog debug on
```
## IPsec
Execute o comando a seguir. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.
```
# show ipsec sa gateway 1 detail
```
```
SA[1] Duration: 10675s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[2] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: a6 67 47 47
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[3] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 6b 98 69 2b
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[4] Duration: 10681s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
```
Para a interface de cada túnel, você deve ver `receive sas` e `send sas`.
Para solucionar outros problemas, use o comando a seguir para ativar a depuração.
```
# syslog debug on
# ipsec ike log message-info payload-info key-info
```
Execute o comando a seguir para desabilitar a depuração.
```
# no ipsec ike log
# no syslog debug on
```
## Túnel
Primeiro, verifique se você implementou as regras de firewall necessárias. Para obter uma lista de regras, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).
Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.
```
# show status tunnel 1
```
```
TUNNEL[1]:
Description:
Interface type: IPsec
Current status is Online.
from 2011/08/15 18:19:45.
5 hours 7 minutes 58 seconds connection.
Received: (IPv4) 3933 packets [244941 octets]
(IPv6) 0 packet [0 octet]
Transmitted: (IPv4) 3933 packets [241407 octets]
(IPv6) 0 packet [0 octet]
```
Certifique-se de que o `current status` valor esteja on-line e `Interface type` pronto IPsec. Lembre-se de executar o comando em ambas as interfaces do túnel. Para solucionar qualquer problema aqui, revise a configuração.
## BGP
Execute o comando a seguir.
```
# show status bgp neighbor
```
```
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.1, Foreign port: 0
BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.5, Foreign port:
```
Ambos os vizinhos deve ser listados. Para cada um, você deve ver um valor `BGP state` de `Active`.
Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente está anunciando a rota padrão (0.0.0.0/0) para a VPC.
```
# show status bgp neighbor 169.254.255.1 advertised-routes
```
```
Total routes: 1
*: valid route
Network Next Hop Metric LocPrf Path
* default 0.0.0.0 0 IGP
```
Além disso, verifique se você está recebendo o prefixo correspondente à VPC do gateway privado virtual.
```
# show ip route
```
```
Destination Gateway Interface Kind Additional Info.
default ***.***.***.*** LAN3(DHCP) static
10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124
```