Solución de problemas de VPN conexiones de AWS clientes con clientes basados en Linux - AWS Cliente VPN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de VPN conexiones de AWS clientes con clientes basados en Linux

En las siguientes secciones, se incluye información sobre el registro y los problemas que pueden surgir al utilizar los clientes basados en Linux Asegúrese de que esté ejecutando la versión más reciente de estos clientes.

AWS proporcionó los registros de eventos del cliente

El cliente AWS proporcionado almacena los archivos de registro y de configuración en la siguiente ubicación del sistema:

/home/username/.config/AWSVPNClient/

El proceso daemon del cliente AWS proporcionado almacena los archivos de registro en la siguiente ubicación del sistema:

/var/log/aws-vpn-client/

Por ejemplo, puede comprobar los siguientes archivos de registro para encontrar errores en los scripts de activación DNS o desactivación que provoquen un error en la conexión:

  • /var/log/aws-vpn-client/configure-dns-up.log

  • /var/log/aws-vpn-client/configure-dns-down.log

DNSlas consultas van a un servidor de nombres predeterminado

Problema

En algunas circunstancias, una vez establecida la VPN conexión, DNS las consultas seguirán dirigiéndose al servidor de nombres predeterminado del sistema, en lugar de a los servidores de nombres configurados para el punto final del cliente. VPN

Causa

El cliente interactúa con systemd-resolved, un servicio disponible en los sistemas Linux, que actúa como elemento central de la administración. DNS Se utiliza para configurar los DNS servidores que se envían desde el punto final del cliente. VPN El problema se debe a que systemd-resolved no establece la máxima prioridad para DNS los servidores proporcionados por el punto final del clienteVPN. En su lugar, agrega los servidores a la lista existente de DNS servidores que están configurados en el sistema local. Como resultado, es posible que los DNS servidores originales sigan teniendo la máxima prioridad y, por lo tanto, se utilicen para resolver DNS consultas.

Solución
  1. Agregue la siguiente directiva en la primera línea del archivo de VPN configuración de Open para asegurarse de que todas las DNS consultas se envíen al VPN túnel.

    dhcp-option DOMAIN-ROUTE .
  2. Utilice el solucionador stub que proporciona systemd-resolved. Para hacer esto, haga un enlace simbólico de /etc/resolv.conf a /run/systemd/resolve/stub-resolv.conf mediante la ejecución del siguiente comando en el sistema.

    sudo ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
  3. (Opcional) Si no quieres que las DNS consultas estén resueltas por systemd como proxy, sino que prefieres que las consultas se envíen directamente a los servidores de DNS nombres reales, haz un enlace simbólico a. /etc/resolv.conf /run/systemd/resolve/resolv.conf

    sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf

    Puede que desee realizar este procedimiento para omitir la configuración resuelta por el sistema, por ejemplo, para el almacenamiento en caché de las DNS respuestas, la configuración por interfaz, la aplicación, etc. DNS DNSSec Esta opción resulta especialmente útil cuando se necesita sustituir un DNS registro público por un registro privado al conectarse a él. VPN Por ejemplo, puede tener un DNS solucionador privado en su entorno privado VPC con un registro para www.example.com, que se resuelve en una IP privada. Esta opción podría utilizarse para anular el registro público de www.example.com, que se soluciona con una IP pública.

Abrir VPN (línea de comandos)

Problema

La conexión no funciona correctamente porque DNS la resolución no funciona.

Causa

El DNS servidor no está configurado en el VPN punto final del cliente o el software del cliente no lo acepta.

Solución

Siga los siguientes pasos para comprobar que el DNS servidor está configurado y funciona correctamente.

  1. Asegúrese de que DNS haya una entrada del servidor en los registros. En el siguiente ejemplo, el DNS servidor 192.168.0.2 (configurado en el VPN punto final del cliente) se devuelve en la última línea.

    Mon Apr 15 21:26:55 2019 us=274574 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) WRRMon Apr 15 21:26:55 2019 us=276082 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 192.168.0.2,route-gateway 10.0.0.97,topology subnet,ping 1,ping-restart 20,auth-token,ifconfig 10.0.0.98 255.255.255.224,peer-id 0

    Si no se ha especificado ningún DNS servidor, pida al VPN administrador del cliente que modifique el VPN punto final del cliente y se asegure de que se ha especificado un DNS VPC DNS servidor (por ejemplo, el servidor) para el VPN punto final del cliente. Para obtener más información, consulte los VPNpuntos finales del cliente en la Guía del AWS Client VPN administrador.

  2. Asegúrese de que el paquete resolvconf esté instalado; para ello, ejecute el siguiente comando.

    sudo apt list resolvconf

    La salida debe devolver lo siguiente.

    Listing... Done resolvconf/bionic-updates,now 1.79ubuntu10.18.04.3 all [installed]

    Si no está instalado, instálelo con el siguiente comando.

    sudo apt install resolvconf
  3. Abra el archivo de VPN configuración del cliente (el archivo.ovpn) en un editor de texto y añada las siguientes líneas.

    script-security 2 up /etc/openvpn/update-resolv-conf down /etc/openvpn/update-resolv-conf

    Compruebe los registros para comprobar que se haya invocado al script resolvconf. Los registros deben contener una línea similar a la siguiente.

    Mon Apr 15 21:33:52 2019 us=795388 /etc/openvpn/update-resolv-conf tun0 1500 1552 10.0.0.98 255.255.255.224 init dhcp-option DNS 192.168.0.2

Abrir VPN a través de Network Manager () GUI

Problema

Cuando se utiliza el VPN cliente Network Manager Open, la conexión falla y se produce el siguiente error.

Apr 15 17:11:07 OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep 5 2018 Apr 15 17:11:07 library versions: OpenSSL 1.1.0g 2 Nov 2017, LZO 2.08 Apr 15 17:11:07 RESOLVE: Cannot resolve host address: cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com:443 (Name or service not known) Apr 15 17:11:07 RESOLVE: Cannot resolve host Apr 15 17:11:07 Could not determine IPv4/IPv6 protocol
Causa

El indicador remote-random-hostname no se respeta y el cliente no puede establecer conexión mediante el paquete network-manager-gnome.

Solución

Consulte la solución para el caso de que no se pueda resolver el DNS nombre del VPN terminal del cliente en la Guía AWS Client VPN del administrador.