As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Cisco ASA Customer Gateway
<a name="Cisco_ASA_Troubleshooting"></a>

Ao solucionar problemas de conectividade de um dispositivo Cisco Customer Gateway, considere o IKE e o roteamento. IPsec É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.

**Importante**  
Alguns Cisco suportam ASAs apenas o Active/Standby modo. Quando você usa esses Cisco ASAs, você pode ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo somente se o primeiro túnel ficar indisponível. O túnel em espera pode gerar o seguinte erro nos arquivos de log, o qual pode ser ignorado: `Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside`.

## IKE
<a name="ASA_IKE"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.

```
ciscoasa# show crypto isakmp sa
```

```
   Active SA: 2
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: AWS_ENDPOINT_1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE
```

Você deve ver uma ou mais linhas contendo um valor de `src` do gateway remoto especificado nos túneis. O valor de `state` deve ser `MM_ACTIVE` e o `status` deve ser `ACTIVE`. A ausência de uma entrada, ou de qualquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log que fornecem informações de diagnóstico.

```
router# term mon
router# debug crypto isakmp
```

Para desativar a depuração, use o comando a seguir.

```
router# no debug crypto isakmp
```

## IPsec
<a name="ASA_IPsec"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.

```
ciscoasa# show crypto ipsec sa
```

```
interface: outside
    Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

      access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
      current_peer: integ-ppe1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 6D9F8D3B
      current inbound spi : 48B456A6

    inbound esp sas:
      spi: 0x48B456A6 (1219778214)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x6D9F8D3B (1839172923)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001
```

Para a interface de cada túnel, você deve ver `inbound esp sas` e `outbound esp sas`. Isso pressupõe que uma SA esteja listada (por exemplo,`spi: 0x48B456A6`) e que IPsec esteja configurada corretamente.

No Cisco ASA, o IPsec só aparece após o envio de tráfego interessante (tráfego que deve ser criptografado). Para manter sempre o IPsec ativo, recomendamos configurar um monitor de SLA. O monitor de SLA continua enviando tráfego interessante, mantendo o IPsec ativo.

Você também pode usar o seguinte comando ping para forçá-lo IPsec a iniciar a negociação e subir.

```
ping ec2_instance_ip_address
```

```
Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```

Para solucionar outros problemas, use o comando a seguir para ativar a depuração.

```
router# debug crypto ipsec
```

Para desativar a depuração, use o comando a seguir.

```
router# no debug crypto ipsec
```

## Roteamento
<a name="ASA_Tunnel"></a>

Execute ping na outra extremidade do túnel. Se isso estiver funcionando, você IPsec deve estar estabelecido. Se isso não estiver funcionando, verifique suas listas de acesso e consulte a IPsec seção anterior.

Se não conseguir acessar as instâncias, verifique as seguintes informações:

1. Verifique se a lista de acesso está configurada para permitir tráfego associado ao mapa de criptografia.

   É possível fazer isso usando o comando a seguir.

   ```
   ciscoasa# show run crypto
   ```

   ```
   crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
   crypto map VPN_crypto_map_name 1 match address access-list-name
   crypto map VPN_crypto_map_name 1 set pfs
   crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
   crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
   crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600
   ```

1. Verifique a lista de acesso usando o comando a seguir.

   ```
   ciscoasa# show run access-list access-list-name
   ```

   ```
   access-list access-list-name extended permit ip any vpc_subnet subnet_mask
   ```

1. Verifique se a lista de acesso está correta. A lista de acesso de exemplo a seguir permite todo o tráfego interno para a sub-rede 10.0.0.0/16 da VPC.

   ```
   access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0
   ```

1. Execute um traceroute a partir do dispositivo Cisco ASA para ver se ele alcança os roteadores Amazon (por exemplo,/). *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*

   Se conseguir acessar o roteador da Amazon, verifique as rotas estáticas adicionadas no console da Amazon VPC e os grupos de segurança para instâncias específicas.

1. Para solucionar outros problemas, revise a configuração.

## Desabilitar e reabilitar a interface do túnel
<a name="ASA_Tunnel-bounce"></a>

Se o túnel parecer ativo, mas o tráfego não estiver fluindo adequadamente, desabilitar e reabilitar a interface do túnel geralmente pode resolver problemas de conectividade. Para desabilitar e reabilitar a interface do túnel em um Cisco ASA:

1. Execute o seguinte:

   ```
   ciscoasa# conf t
   ciscoasa(config)# interface tunnel X  (where X is your tunnel ID)
   ciscoasa(config-if)# shutdown
   ciscoasa(config-if)# no shutdown
   ciscoasa(config-if)# end
   ```

   Como alternativa, você pode usar um comando de linha única: 

   ```
   ciscoasa# conf t ; interface tunnel X ; shutdown ; no shutdown ; end
   ```

1. Depois de desabilitar e reabilitar a interface, verifique se a conexão VPN foi restabelecida e se o tráfego agora está fluindo corretamente.