Problembehandlung bei AWS VPN Client-Verbindungen mit Linux-basierten Clients - AWS Kunde VPN
AWS bereitgestellte Client-EreignisprotokolleDNSAbfragen werden an einen Standard-Nameserver gesendetÖffnen VPN (Befehlszeile)VPNÜber den Netzwerkmanager öffnen () GUI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Problembehandlung bei AWS VPN Client-Verbindungen mit Linux-basierten Clients

Die folgenden Abschnitte enthalten Informationen zu Protokollierung und Problemen, die bei der Verwendung von Linux-Clients auftreten können. Stellen Sie bitte sicher, dass Sie die neueste Version dieser Clients ausführen.

AWS bereitgestellte Client-Ereignisprotokolle

Der AWS bereitgestellte Client speichert Protokolldateien und Konfigurationsdateien am folgenden Speicherort auf Ihrem System:

/home/username/.config/AWSVPNClient/

Der AWS bereitgestellte Client-Daemon-Prozess speichert Protokolldateien am folgenden Ort auf Ihrem System:

/var/log/aws-vpn-client/

Sie können beispielsweise die folgenden Protokolldateien überprüfen, um Fehler in den DNS Up-/Down-Skripten zu finden, die dazu führen, dass die Verbindung fehlschlägt:

  • /var/log/aws-vpn-client/configure-dns-up.log

  • /var/log/aws-vpn-client/configure-dns-down.log

DNSAbfragen werden an einen Standard-Nameserver gesendet

Problem

Unter bestimmten Umständen werden DNS Abfragen nach dem Herstellen einer VPN Verbindung immer noch an den Standardsystem-Nameserver weitergeleitet, anstatt an die Nameserver, die für den Client-Endpunkt konfiguriert sind. VPN

Ursache

Der Client interagiert mit systemd-resolved, einem auf Linux-Systemen verfügbaren Dienst, der als zentrale Verwaltungseinheit dient. DNS Er wird verwendet, um DNS Server zu konfigurieren, die vom Client-Endpunkt aus per Push übertragen werden. VPN Das Problem tritt auf, weil systemd-resolved DNS Servern, die vom VPN Client-Endpunkt bereitgestellt werden, nicht die höchste Priorität einräumt. Stattdessen fügt es die Server an die bestehende Liste der DNS Server an, die auf dem lokalen System konfiguriert sind. Daher haben die ursprünglichen DNS Server möglicherweise immer noch die höchste Priorität und werden daher zur Lösung von DNS Abfragen verwendet.

Lösung

  1. Fügen Sie die folgende Direktive in der ersten Zeile der VPN Open-Konfigurationsdatei hinzu, um sicherzustellen, dass alle DNS Anfragen an den VPN Tunnel gesendet werden.

    dhcp-option DOMAIN-ROUTE .

  2. Verwenden Sie den Stub-Resolver, der von systemd-resolved bereitgestellt wird. Dafür müssen Sie symlink /etc/resolv.conf zu /run/systemd/resolve/stub-resolv.conf verwenden, indem Sie den folgenden Befehl auf dem System ausführen.

    sudo ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

  3. (Optional) Wenn Sie nicht möchten, dass Systemd in DNS Proxy-Abfragen aufgelöst wird, sondern die Abfragen stattdessen direkt an die echten DNS Nameserver gesendet werden sollen, verwenden Sie stattdessen einen Symlink zu. /etc/resolv.conf /run/systemd/resolve/resolv.conf

    sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf

    Möglicherweise möchten Sie dieses Verfahren durchführen, um die von Systemd aufgelöste Konfiguration zu umgehen, zum Beispiel für das Zwischenspeichern von DNS Antworten, die Konfiguration pro DNS Schnittstelle, die Durchsetzung usw. DNSSec Diese Option ist besonders nützlich, wenn Sie einen öffentlichen DNS Datensatz durch einen privaten Datensatz überschreiben müssen, wenn Sie mit diesem verbunden sind. VPN Sie könnten zum Beispiel einen privaten DNS Resolver VPC mit einem Eintrag für www.example.com haben, der in eine private IP aufgelöst wird. Diese Option kann verwendet werden, um den öffentlichen Datensatz von www.example.com zu überschreiben, der in eine öffentliche IP aufgelöst wird.

Öffnen VPN (Befehlszeile)

Problem

Die Verbindung funktioniert nicht richtig, da die DNS Auflösung nicht funktioniert.

Ursache

Der DNS Server ist auf dem VPN Client-Endpunkt nicht konfiguriert, oder er wird von der Client-Software nicht berücksichtigt.

Lösung

Verwenden Sie die folgenden Schritte, um zu überprüfen, ob der DNS Server konfiguriert ist und ordnungsgemäß funktioniert.

  1. Stellen Sie sicher, dass ein DNS Servereintrag in den Protokollen vorhanden ist. Im folgenden Beispiel wird der DNS Server 192.168.0.2 (konfiguriert im VPN Client-Endpunkt) in der letzten Zeile zurückgegeben.

    Mon Apr 15 21:26:55 2019 us=274574 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
WRRMon Apr 15 21:26:55 2019 us=276082 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 192.168.0.2,route-gateway 10.0.0.97,topology subnet,ping 1,ping-restart 20,auth-token,ifconfig 10.0.0.98 255.255.255.224,peer-id 0

    Wenn kein DNS Server angegeben ist, bitten Sie Ihren VPN Client-Administrator, den VPN Client-Endpunkt zu ändern und sicherzustellen, dass ein DNS Server (z. B. der VPC DNS Server) für den VPN Client-Endpunkt angegeben wurde. Weitere Informationen finden Sie im AWS Client VPN Administratorhandbuch unter VPNClient-Endpunkte.

  2. Stellen Sie sicher, dass das resolvconf-Paket installiert ist, indem Sie den folgenden Befehl ausführen.

    sudo apt list resolvconf

    Die Ausgabe sollte Folgendes zurückgeben.

    Listing... Done
resolvconf/bionic-updates,now 1.79ubuntu10.18.04.3 all [installed]

    Wenn es nicht installiert ist, installieren Sie es mit dem folgenden Befehl.

    sudo apt install resolvconf

  3. Öffnen Sie die VPN Client-Konfigurationsdatei (die .ovpn-Datei) in einem Texteditor und fügen Sie die folgenden Zeilen hinzu.

    script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

    Überprüfen Sie die Protokolle, um sicherzustellen, dass das resolvconf-Skript aufgerufen wurde. Die Protokolle sollten eine Zeile ähnlich der folgenden enthalten.

    Mon Apr 15 21:33:52 2019 us=795388 /etc/openvpn/update-resolv-conf tun0 1500 1552 10.0.0.98 255.255.255.224 init
dhcp-option DNS 192.168.0.2

VPNÜber den Netzwerkmanager öffnen () GUI

Problem

Bei Verwendung des Network Manager VPN Open-Clients schlägt die Verbindung mit dem folgenden Fehler fehl.

Apr 15 17:11:07  OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep  5 2018
Apr 15 17:11:07  library versions: OpenSSL 1.1.0g  2 Nov 2017, LZO 2.08
Apr 15 17:11:07  RESOLVE: Cannot resolve host address: cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com:443 (Name or service not known)
Apr 15 17:11:07  RESOLVE: Cannot resolve host
Apr 15 17:11:07  Could not determine IPv4/IPv6 protocol
Ursache

Das remote-random-hostname-Flag wird nicht beachtet. Der Client kann keine Verbindung mit dem network-manager-gnome-Paket herstellen.

Lösung

Informationen zur Lösung für den VPNDNSClient-Endpunktnamen konnte nicht aufgelöst werden finden Sie im AWS Client VPN Administratorhandbuch.