Solucionar problemas de conectividade do AWS Site-to-Site VPN com um dispositivo de gateway do cliente Yamaha - AWS Site-to-Site VPN
IKEIPsecTúnelBGP

Solucionar problemas de conectividade do AWS Site-to-Site VPN com um dispositivo de gateway do cliente Yamaha

Ao solucionar um problema de conectividade em um dispositivo de gateway do cliente da Yamaha, considere quatro fatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.

nota

A configuração proxy ID usada na fase 2 do IKE está desabilitada por padrão no roteador Yamaha. Isso pode causar problemas ao se conectar à VPN de local a local. Se o proxy ID não estiver configurado no seu roteador, consulte o exemplo de arquivo de configuração fornecido pela AWS para Yamaha para defini-lo corretamente.

IKE

Execute o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.

# show ipsec sa gateway 1
sgw  flags local-id                      remote-id        # of sa
--------------------------------------------------------------------------
1    U K   YOUR_LOCAL_NETWORK_ADDRESS     72.21.209.225    i:2 s:1 r:1

Você deve ver uma linha contendo um valor remote-id do gateway remoto especificado nos túneis. É possível listar todas as associações de segurança (SAs) omitindo o número de túneis.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log de nível de DEPURAÇÃO que fornecem informações de diagnóstico.

# syslog debug on
# ipsec ike log message-info payload-info key-info

Para cancelar os itens registrados, execute o comando a seguir.

# no ipsec ike log
# no syslog debug on

IPsec

Execute o seguinte comando. A resposta mostra um gateway do cliente com o IPsec configurado corretamente.

# show ipsec sa gateway 1 detail
SA[1] Duration: 10675s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit

SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[2] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: a6 67 47 47 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[3] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 6b 98 69 2b 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[4] Duration: 10681s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------

Para a interface de cada túnel, você deve ver receive sas e send sas.

Para solucionar outros problemas, use o comando a seguir para ativar a depuração.

# syslog debug on
# ipsec ike log message-info payload-info key-info

Execute o comando a seguir para desabilitar a depuração.

# no ipsec ike log
# no syslog debug on

Túnel

Primeiro, verifique se você implementou as regras de firewall necessárias. Para obter uma lista de regras, consulte Regras de firewall para um dispositivo de gateway do cliente do AWS Site-to-Site VPN.

Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.

# show status tunnel 1
TUNNEL[1]: 
Description: 
  Interface type: IPsec
  Current status is Online.
  from 2011/08/15 18:19:45.
  5 hours 7 minutes 58 seconds  connection.
  Received:    (IPv4) 3933 packets [244941 octets]
               (IPv6) 0 packet [0 octet]
  Transmitted: (IPv4) 3933 packets [241407 octets]
               (IPv6) 0 packet [0 octet]

Verifique se o valor de current status é online e se Interface type é IPsec. Lembre-se de executar o comando em ambas as interfaces do túnel. Para solucionar qualquer problema aqui, revise a configuração.

BGP

Execute o seguinte comando.

# show status bgp neighbor
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link
  BGP version 0, remote router ID 0.0.0.0
  BGP state = Active
  Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
  Received 0 messages, 0 notifications, 0 in queue
  Sent 0 messages, 0 notifications, 0 in queue
  Connection established 0; dropped 0
  Last reset never
Local host: unspecified
Foreign host: 169.254.255.1, Foreign port: 0

BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link
  BGP version 0, remote router ID 0.0.0.0
  BGP state = Active
  Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
  Received 0 messages, 0 notifications, 0 in queue
  Sent 0 messages, 0 notifications, 0 in queue
  Connection established 0; dropped 0
  Last reset never
Local host: unspecified
Foreign host: 169.254.255.5, Foreign port:

Ambos os vizinhos deve ser listados. Para cada um, você deve ver um valor BGP state de Active.

Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente está anunciando a rota padrão (0.0.0.0/0) para a VPC. 

# show status bgp neighbor 169.254.255.1 advertised-routes 
Total routes: 1
*: valid route
  Network            Next Hop        Metric LocPrf Path
* default            0.0.0.0              0        IGP

Além disso, verifique se você está recebendo o prefixo correspondente à VPC do gateway privado virtual. 

# show ip route
Destination         Gateway          Interface       Kind  Additional Info.
default             ***.***.***.***   LAN3(DHCP)    static  
10.0.0.0/16         169.254.255.1    TUNNEL[1]       BGP  path=10124