Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # `AWSSupport-TroubleshootVPN` **Descripción** El `AWSSupport-TroubleshootVPN` manual le ayuda a rastrear y resolver los errores de una AWS Site-to-Site VPN conexión. La automatización incluye varias comprobaciones automatizadas diseñadas para rastrear `IKEv1` `IKEv2` los errores relacionados con los túneles de AWS Site-to-Site VPN conexión. La automatización intenta hacer coincidir errores específicos y su correspondiente resolución para formar una lista de problemas comunes. **Nota: **Esta automatización no corrige los errores. Se ejecuta durante el intervalo de tiempo mencionado y escanea el grupo de registros en busca de errores en el grupo de [ CloudWatch registros de la VPN](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html). **¿Cómo funciona?** El runbook ejecuta una validación de parámetros para confirmar si el grupo de CloudWatch registros de Amazon incluido en el parámetro de entrada existe, si hay algún flujo de registro en el grupo de registros que corresponda al registro del túnel VPN, si existe el identificador de conexión VPN y si existe la dirección IP del túnel. Realiza llamadas a la API de Logs Insights en su grupo de CloudWatch registros que está configurado para el registro de VPN. **Tipo de documento** Automatización **Propietario** Amazon **Plataformas** Linux, macOS, Windows **Parámetros** + AutomationAssumeRole Tipo: cadena Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos. + LogGroupName Tipo: cadena Descripción: (obligatorio) El nombre del grupo de CloudWatch registros de Amazon configurado para el registro de AWS Site-to-Site VPN conexiones Valor permitido: `^[\.\-_/#A-Za-z0-9]{1,512}` + VpnConnectionId Tipo: cadena Descripción: (Obligatorio) El identificador de AWS Site-to-Site VPN conexión que se va a solucionar. Valor permitido: `^vpn-[0-9a-f]{8,17}$` + Túnel AIPAddress Tipo: cadena Descripción: (Obligatoria) La IPv4 dirección número 1 del túnel asociada a su AWS Site-to-Site VPN. Valor permitido: `^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$` + Túnel BIPAddress Tipo: cadena Descripción: (Opcional) La IPv4 dirección número 2 del túnel asociada a su AWS Site-to-Site VPN. Valor permitido: `^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$` + IKEVersion Tipo: cadena Descripción: (obligatorio) seleccione la versión de IKE que está utilizando. Valores permitidos: IKEv1, IKEv2 Valores válidos: `['IKEv1', 'IKEv2']` + StartTimeinEpoch Tipo: cadena Descripción: (opcional) hora de inicio para el análisis de registro. Puede utilizar StartTimeinEpoch/EndTimeinEpoch o LookBackPeriod para el análisis de registros Valor permitido: `^\d{10}|^$` + EndTimeinEpoch Tipo: cadena Descripción: (opcional) hora de finalización para el análisis de registro. Puede utilizar StartTimeinEpoch/EndTimeinEpoch o LookBackPeriod para el análisis de registros. Si se dan ambos StartTimeinEpoch/EndTimeinEpoch LookBackPeriod , entonces LookBackPeriod tiene prioridad Valor permitido: `^\d{10}|^$` + LookBackPeriod Tipo: cadena Descripción: (opcional) Tiempo de dos dígitos en horas para analizar el registro. Rango válido: 01 - 99. Este valor tiene prioridad si también se da y StartTimeinEpoch EndTime Valor permitido: `^(\d?[1-9]|[1-9]0)|^$` **Permisos de IAM necesarios** El parámetro `AutomationAssumeRole` requiere las siguientes acciones para utilizar el manual de procedimientos correctamente. + `logs:DescribeLogGroups` + `logs:GetQueryResults` + `logs:DescribeLogStreams` + `logs:StartQuery` + `ec2:DescribeVpnConnections` **Instrucciones** **Nota:** Esta automatización funciona en los grupos de CloudWatch registros que están configurados para el registro del túnel de la VPN, cuando el formato de salida del registro es JSON. Siga estos pasos para configurar la automatización: 1. Navegue hasta [AWSSupport-TroubleshootVPN](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootVPN/description)la AWS Systems Manager consola. 1. Para los parámetros de entrada, introduzca lo siguiente: + **AutomationAssumeRole (Opcional):** El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos. + **LogGroupName (Obligatorio):** El nombre del grupo de CloudWatch registros de Amazon que se va a validar. Debe ser el grupo de CloudWatch registros que está configurado para que la VPN envíe los registros. + **VpnConnectionId (Obligatorio):** El identificador de AWS Site-to-Site VPN conexión cuyo grupo de registros se ha rastreado para detectar un error de VPN. + **Túnel AIPAddress (obligatorio):** La dirección IP del túnel A asociada a su AWS Site-to-Site VPN conexión. + **Túnel BIPAddress (opcional):** La dirección IP del túnel B asociada a su AWS Site-to-Site VPN conexión. + **IKEVersion (Obligatorio):** Selecciona lo IKEversion que estás usando. Valores permitidos: IKEv1, IKEv2. + **StartTimeinEpoch (Opcional):** El comienzo del intervalo de tiempo para realizar la consulta en busca de errores. El rango es inclusivo, por lo que la hora de inicio especificada se incluye en la consulta. Se especifica como tiempo de época el número de segundos desde el 1 de enero de 1970 a las 00:00:00 UTC. + **EndTimeinEpoch (Opcional):** El final del intervalo de tiempo para buscar errores. El intervalo es inclusivo, por lo que la hora de finalización especificada se incluye en la consulta. Se especifica como tiempo de época el número de segundos desde el 1 de enero de 1970 a las 00:00:00 UTC. + **LookBackPeriod (Obligatorio):** Tiempo en horas para revisar la consulta en busca de errores. **Nota:** Configure un StartTimeinEpoch EndTimeinEpoch, o LookBackPeriod para fijar el intervalo de tiempo para el análisis de registros. Indique un número de dos dígitos en horas para comprobar si hay errores en el pasado desde la hora de inicio de la automatización. O bien, si el error se produjo en el pasado dentro de un intervalo de tiempo específico, incluya StartTimeinEpoch y EndTimeinEpoch, en lugar de LookBackPeriod. ![\[Input parameters form for AWS Site-to-Site VPN connection validation and log analysis.\]](http://docs.aws.amazon.com/es_es/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_input_parameters.png) 1. Seleccione **Ejecutar**. 1. Se inicia la automatización. 1. El manual de procedimientos de automatización realiza los siguientes pasos: + **parameterValidation:** Ejecuta una serie de validaciones de los parámetros de entrada incluidos en la automatización. + **branchOnValidationOfLogGroup:** Comprueba si el grupo de registro mencionado en el parámetro es válido. Si no es válido, detiene los siguientes pasos de la automatización. + **branchOnValidationOfLogStream:** Comprueba si el flujo de registros existe en el grupo de CloudWatch registros incluido. Si no es válido, detiene los siguientes pasos de la automatización. + **branchOnValidationOfVpnConnectionId:** Comprueba si el identificador de conexión VPN incluido en el parámetro es válido. Si no es válido, detiene los siguientes pasos de la automatización. + **branchOnValidationOfVpnIp:** Comprueba si la dirección IP del túnel mencionada en el parámetro es válida o no. Si no es válida, detiene la ejecución posterior de los pasos de automatización. + **traceError:** Realiza una llamada a la API de logs Insight en el grupo de registros incluido CloudWatch y busca el error relacionado con IKEv1/IKEv2 junto con una solución sugerida al respecto. 1. Una vez finalizada, consulte la sección de resultados para ver los resultados detallados de la ejecución. ![\[Output section showing parameter validation results and error messages for VPN tunnels.\]](http://docs.aws.amazon.com/es_es/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_outputs.png) **Referencias** Automatización de Systems Manager + [Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment) + [Ejecución de una automatización](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Configuración de Automatización](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Página de inicio de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/) AWS documentación de servicio + [Contenido de los registros de la Site-to-Site VPN](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html)