Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risoluzione dei problemi AWS Client VPN: problemi di connettività del tunnel a un VPC
In caso di problemi di connettività con la AWS Client VPN connessione, segui questo approccio sistematico alla risoluzione dei problemi per identificare e risolvere il problema. Questa sezione fornisce step-by-step le procedure per diagnosticare i problemi più comuni di connettività Client VPN tra client remoti e risorse Amazon VPC.
**Topics**
+ [Prerequisiti di connettività di rete](#NetworkConnectivityPrerequisites)
+ [Verifica lo stato dell'endpoint Client VPN](#CheckClientVPNEndpointStatus)
+ [Verifica le connessioni dei client](#VerifyClientConnections)
+ [Verifica l'autenticazione del client](#ClientAuthentication)
+ [Controlla le regole di autorizzazione](#AuthorizationRules)
+ [Convalida i percorsi Client VPN](#ValidateClientVPNRoutes)
+ [Verifica i gruppi di sicurezza e la rete ACLs](#SecurityGroupNACLVerification)
+ [Verifica la connettività del client](#TestClientConnectivity)
+ [Diagnostica il dispositivo client](#ClientSideDiagnostics)
+ [Risoluzione dei problemi relativi alla risoluzione DNS](#DNSTroubleshooting)
+ [Risolvi i problemi relativi alle prestazioni](#PerformanceTroubleshooting)
+ [Monitora le metriche di Client VPN](#MonitorClientVPNMetrics)
+ [Controlla i log di Client VPN](#CheckClientVPNLogs)
+ [Problemi e soluzioni comuni](#CommonIssues)
## Prerequisiti di connettività di rete
Prima di risolvere i problemi di connettività Client VPN, verifica questi prerequisiti di rete:
+ Assicurati che la sottorete degli endpoint Client VPN disponga di connettività Internet (tramite Internet Gateway o NAT Gateway).
+ Verifica che l'endpoint Client VPN sia associato a sottoreti in diverse zone di disponibilità per un'elevata disponibilità.
+ Verifica che il VPC disponga di uno spazio di indirizzi IP sufficiente e che non sia in conflitto con i blocchi CIDR del client.
+ Verifica che le sottoreti di destinazione abbiano associazioni corrette tra le tabelle di routing.
## Verifica lo stato dell'endpoint Client VPN
Innanzitutto, verifica che l'endpoint Client VPN sia nello stato corretto:
1. Utilizza il AWS CLI per verificare lo stato dell'endpoint Client VPN:
```
aws ec2 describe-client-vpn-endpoints --region your-region
```
1. Cerca lo stato dell'endpoint nell'output. Lo stato dovrebbe essere`available`.
1. Verificare che all'endpoint siano associate reti di destinazione (sottoreti).
1. Se lo stato non lo è`available`, verifica la presenza di messaggi di errore o stati in sospeso che potrebbero indicare problemi di configurazione.
## Verifica le connessioni dei client
Controlla lo stato delle connessioni client al tuo endpoint Client VPN:
1. Controlla le connessioni client attive:
```
aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id cvpn-endpoint-id --region your-region
```
1. Controlla lo stato della connessione e gli eventuali messaggi di errore nell'output.
1. Controlla i registri di autenticazione del client per i tentativi di autenticazione non riusciti.
1. Verifica che i client ricevano gli indirizzi IP dal blocco CIDR del client configurato.
**Nota**
Se i client non riescono a connettersi, è probabile che il problema riguardi la configurazione dell'autenticazione, le regole di autorizzazione o la connettività di rete.
## Verifica l'autenticazione del client
I problemi di autenticazione sono cause comuni dei problemi di connettività Client VPN:
+ Per l'autenticazione reciproca, assicurati che i certificati client siano validi e non scaduti.
+ Per l'autenticazione Active Directory, verifica le credenziali utente e la connettività del dominio.
+ Per l'autenticazione federata basata su SAML, controlla la configurazione IdP e le autorizzazioni utente.
+ Controlla i log di autenticazione per informazioni dettagliate sugli errori. CloudWatch
+ Verifica che il metodo di autenticazione configurato sull'endpoint corrisponda alla configurazione del client.
## Controlla le regole di autorizzazione
Le regole di autorizzazione controllano a quali risorse di rete possono accedere i client:
1. Elenca le regole di autorizzazione correnti:
```
aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id cvpn-endpoint-id --region your-region
```
1. Verifica che esistano regole per le reti di destinazione a cui i client devono accedere.
1. Verifica che le regole specifichino i gruppi Active Directory corretti (se utilizzi l'autenticazione AD).
1. Assicurati che le regole di autorizzazione siano `active` valide.
## Convalida i percorsi Client VPN
Una corretta configurazione del routing è essenziale per la connettività Client VPN:
1. Controlla i percorsi degli endpoint Client VPN:
```
aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id cvpn-endpoint-id --region your-region
```
1. Verifica che esistano percorsi per le reti di destinazione a cui i client devono accedere.
1. Controlla le tabelle di routing di Amazon VPC per assicurarti che il traffico di ritorno possa raggiungere l'endpoint Client VPN:
```
aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-id" --region your-region
```
1. Verifica che le associazioni di rete di destinazione siano configurate correttamente.
## Verifica i gruppi di sicurezza e la rete ACLs
I gruppi di sicurezza e la rete ACLs possono bloccare il traffico Client VPN:
1. Controlla i gruppi di sicurezza per le EC2 istanze di destinazione:
```
aws ec2 describe-security-groups --group-ids sg-xxxxxxxxx --region your-region
```
1. Verifica che le regole in entrata consentano il traffico dal blocco CIDR di Client VPN:
+ SSH (porta 22) da Client VPN CIDR: `10.0.0.0/16`
+ HTTP (porta 80) da Client VPN CIDR: `10.0.0.0/16`
+ HTTPS (porta 443) da Client VPN CIDR: `10.0.0.0/16`
+ Porte applicative personalizzate in base alle esigenze
1. Per il gruppo di sicurezza degli endpoint Client VPN (se applicabile), assicurati che consenta:
+ Porta UDP 443 (OpenVPN) da 0.0.0.0/0
+ Tutto il traffico in uscita verso i blocchi CIDR VPC
1. Verifica che la rete non ACLs stia bloccando il traffico. ACLs Le reti sono prive di stato, quindi è necessario configurare sia le regole in entrata che quelle in uscita.
1. Verifica le regole in entrata e in uscita per il traffico specifico che stai tentando di inviare.
## Verifica la connettività del client
Verifica la connettività dai client Client VPN alle risorse Amazon VPC:
1. Da un client Client VPN connesso, verifica la connettività alle risorse Amazon VPC:
```
ping vpc-resource-ip
traceroute vpc-resource-ip
```
1. Verifica la connettività di applicazioni specifiche:
```
telnet vpc-resource-ip port
```
1. Verifica la risoluzione DNS se utilizzi nomi DNS privati:
```
nslookup private-dns-name
```
1. Verifica la connettività alle risorse Internet se lo split tunneling è abilitato.
## Diagnostica il dispositivo client
Esegui questi controlli sul dispositivo client:
1. Verifica che il file di configurazione del client (.ovpn) contenga le impostazioni corrette:
+ URL dell'endpoint del server corretto
+ Certificato client e chiave privata validi
+ Configurazione corretta del metodo di autenticazione
1. Controlla i log del client per verificare la presenza di errori di connessione:
+ Windows: Visualizzatore eventi → Registri applicazioni e servizi → OpenVPN
+ macOS: app per console, cerca «Tunnelblick» o «OpenVPN»
+ Linux: o systemd journal `/var/log/openvpn/`
1. Verifica la connettività di rete di base dal client:
```
ping 8.8.8.8
nslookup cvpn-endpoint-id.cvpn.region.amazonaws.com
```
## Risoluzione dei problemi relativi alla risoluzione DNS
I problemi DNS possono impedire l'accesso alle risorse utilizzando nomi DNS privati:
1. Controlla se i server DNS sono configurati nell'endpoint Client VPN:
```
aws ec2 describe-client-vpn-endpoints --client-vpn-endpoint-ids cvpn-endpoint-id --query 'ClientVpnEndpoints[0].DnsServers'
```
1. Verifica la risoluzione DNS del client:
```
nslookup private-resource.internal
dig private-resource.internal
```
1. Verifica le regole del Route 53 Resolver se utilizzi una risoluzione DNS personalizzata.
1. Verifica che i gruppi di sicurezza consentano il traffico DNS (porta UDP/TCP 53) dal CIDR Client VPN ai server DNS.
## Risolvi i problemi relativi alle prestazioni
Risolvi i problemi di prestazioni con le connessioni Client VPN:
+ Monitora l'utilizzo della larghezza di banda utilizzando le CloudWatch metriche per i byte. ingress/egress
+ Verifica la perdita di pacchetti utilizzando test ping continui dei client.
+ Verifica che l'endpoint Client VPN non stia raggiungendo i limiti di connessione.
+ Prendi in considerazione l'utilizzo di più endpoint Client VPN per la distribuzione del carico.
+ Esegui test con diverse sedi dei clienti per identificare i problemi di prestazioni regionali.
## Monitora le metriche di Client VPN
Monitora le metriche degli endpoint Client VPN utilizzando: CloudWatch
1. Controlla le metriche di connessione attive:
```
aws cloudwatch get-metric-statistics \
--namespace AWS/ClientVPN \
--metric-name ActiveConnectionsCount \
--dimensions Name=Endpoint,Value=cvpn-endpoint-id \
--start-time start-time \
--end-time end-time \
--period 300 \
--statistics Average
```
1. Rivedi le metriche relative agli errori di autenticazione:
```
aws cloudwatch get-metric-statistics \
--namespace AWS/ClientVPN \
--metric-name AuthenticationFailures \
--dimensions Name=Endpoint,Value=cvpn-endpoint-id \
--start-time start-time \
--end-time end-time \
--period 300 \
--statistics Sum
```
1. Esamina altre metriche disponibili come byte e pacchetti in ingresso e uscita.
## Controlla i log di Client VPN
I log delle connessioni Client VPN forniscono informazioni dettagliate sui tentativi e sugli errori di connessione:
+ Abilita la registrazione della connessione Client VPN se non è già configurata.
+ CloudWatch Esamina i log per verificare eventuali tentativi di connessione, errori di autenticazione ed errori di autorizzazione.
+ Cerca codici e messaggi di errore specifici che indicano la causa principale dei problemi di connettività.
+ Verifica la presenza di schemi nelle connessioni non riuscite che potrebbero indicare problemi di configurazione.
## Problemi e soluzioni comuni
Problemi comuni che possono influire sulla connettività Client VPN:
Authentication failures (Errori di autenticazione)
I certificati client sono scaduti o non validi oppure le credenziali di Active Directory non sono corrette. Verifica la configurazione dell'autenticazione e la validità delle credenziali.
Regole di autorizzazione mancanti
I client non possono accedere alle reti di destinazione a causa di regole di autorizzazione mancanti o errate. Aggiungere le regole di autorizzazione appropriate per le reti richieste.
Problemi relativi allo split tunneling
Instradamento del traffico errato a causa della configurazione dello split tunneling. Rivedi e modifica le impostazioni dello split tunneling secondo necessità.
Esaurimento del pool IP del client
Nessun indirizzo IP disponibile nel blocco CIDR del client. Espandi l'intervallo CIDR del client o disconnetti i client non utilizzati.
Problemi MTU
I pacchetti di grandi dimensioni vengono eliminati a causa delle limitazioni delle dimensioni dell'MTU. Prova a impostare l'MTU su 1436 byte o abilita Path MTU Discovery sui dispositivi client.
Problemi di risoluzione DNS
I client non possono risolvere nomi DNS privati. Verifica la configurazione del server DNS e assicurati che il traffico DNS sia consentito attraverso i gruppi di sicurezza.
Intervalli IP sovrapposti
Il CIDR del client blocca i conflitti con gli intervalli della rete locale. Verifica e risolvi eventuali intervalli di indirizzi IP sovrapposti tra il CIDR del client e le reti locali.
Errori di handshake TLS
La connessione non riesce durante la negoziazione TLS. Verifica la validità dei certificati, assicurati che le suite di crittografia siano corrette e verifica che i certificati client e server siano configurati correttamente.
Ritardi di propagazione delle rotte
Nuove rotte non immediatamente disponibili per i clienti. Attendi 1-2 minuti per la propagazione delle rotte dopo aver apportato modifiche alle rotte Client VPN.
Cadute/instabilità della connessione
Disconnessioni frequenti o connessioni instabili. Controlla la congestione della rete, le interferenze del firewall o le impostazioni di gestione dell'alimentazione sui dispositivi client.