Ventajas de los registros de Site-to-Site VPN Restricciones de tamaño de la política de recursos de Amazon CloudWatch Logs Site-to-Site Contenido del registro de la VPN Requisitos de IAM para publicar en Logs CloudWatch

AWS Site-to-Site VPN registros

AWS Site-to-Site VPN los registros le proporcionan una mayor visibilidad de sus despliegues de Site-to-Site VPN. Con esta función, tiene acceso a los registros de conexión Site-to-Site VPN que proporcionan detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones sobre el intercambio de claves de Internet (IKE) y los mensajes del protocolo de detección de pares muertos (DPD).

Site-to-Site Los registros de VPN se pueden publicar en Amazon CloudWatch Logs. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.

Temas

Ventajas de los registros de Site-to-Site VPN

Solución de problemas simplificada con la Site-to-Site VPN: los registros de la VPN le ayudan a detectar las discrepancias de configuración entre AWS el dispositivo de puerta de enlace del cliente y a solucionar los problemas iniciales de conectividad de la VPN. Las conexiones de VPN pueden cambiar de forma intermitente con el tiempo debido a ajustes mal configurados (como tiempos de espera mal ajustados), puede haber problemas en las redes de transporte subyacentes (como el tiempo de Internet) o los cambios de enrutamiento o los errores de ruta pueden provocar la interrupción de la conectividad a través de VPN. Esta característica le permite diagnosticar con precisión la causa de los errores de conexión intermitentes y ajustar la configuración del túnel de bajo nivel para lograr un funcionamiento fiable.
AWS Site-to-Site VPN Visibilidad centralizada: los registros de Site-to-Site VPN pueden proporcionar registros de actividad de túneles para todas las diferentes formas en que se conecta la Site-to-Site VPN: Virtual Gateway, Transit Gateway y CloudHub, tanto a través de Internet AWS Direct Connect como de transporte. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.
Seguridad y conformidad: los registros de Site-to-Site VPN se pueden enviar a Amazon CloudWatch Logs para un análisis retrospectivo del estado y la actividad de la conexión VPN a lo largo del tiempo. Esto puede ayudarle a cumplir con los requisitos reglamentarios y de conformidad.

Restricciones de tamaño de la política de recursos de Amazon CloudWatch Logs

CloudWatch Las políticas de recursos de Logs están limitadas a 5120 caracteres. Cuando CloudWatch Logs detecta que una política se acerca a este límite de tamaño, habilita automáticamente los grupos de registros que comiencen por. /aws/vendedlogs/ Cuando habilita el registro, la Site-to-Site VPN debe actualizar su política de recursos de CloudWatch registros con el grupo de registros que especifique. Para evitar alcanzar el límite de tamaño de la política de recursos de CloudWatch registros, añada el prefijo a los nombres de los grupos de registros. /aws/vendedlogs/

Site-to-Site Contenido del registro de la VPN

La siguiente información se incluye en el registro de actividad del túnel Site-to-Site VPN. El nombre del archivo de flujo de registro utiliza VpnConnection ID y TunnelOutsideIPAddress.

Campo	Descripción
VpnLogCreationTimestamp (`event_timestamp`)	Marca temporal de creación de registros en formato legible por humanos.
Túnel DPDEnabled (`dpd_enabled`)	Estado habilitado del protocolo de detección de pares muertos (verdadero/falso).
CGWNATTDetectionEstado del túnel (`nat_t_detected`)	NAT-T detectado en el dispositivo de puerta de enlace de cliente (verdadero/falso).
IKEPhase1Estado del túnel (`ike_phase1_state`)	Estado del protocolo de fase 1 de IKE (Establecido \| Cambio de clave \| Negociación \| Inactivo).
IKEPhase2Estado del túnel (`ike_phase2_state`)	Estado del protocolo de fase 2 de IKE (Establecido \| Cambio de clave \| Negociación \| Inactivo).
VpnLogDetail (`details`)	Mensajes detallados para IPsec los protocolos IKE y DPD.

IKEv1 Mensajes de error

Mensaje	Explicación
El par no responde: declarar muerto al par	El par no ha respondido a los mensajes de DPD, por lo que se ha impuesto la acción de tiempo de espera del DPD.
AWS El descifrado de la carga útil del túnel no se pudo realizar debido a que la clave previamente compartida no era válida	Se debe configurar la misma clave previamente compartida en ambos pares de IKE.
No se encontró ninguna propuesta que coincidiera AWS	El punto de conexión de AWS VPN no admite los atributos propuestos para la fase 1 (cifrado, hash y grupo DH), por ejemplo, `3DES`.
No se encontró ninguna coincidencia de propuesta. Notificación con la opción «No se ha elegido ninguna propuesta»	Los pares no intercambian ningún mensaje de error de propuesta elegida para informar de que se deben configurar las propuestas/políticas correctas para la fase 2 en pares de IKE.
AWS tunnel recibió DELETE para la SA de fase 2 con el SPI: xxxx	CGW ha enviado el mensaje Delete_SA para la fase 2.
AWS tunnel recibió el comando DELETE para IKE_SA de CGW	CGW ha enviado el mensaje Delete_SA para la fase 1.

IKEv2 Mensajes de error

Mensaje	Explicación
AWS Se agotó el tiempo de espera del DPD del túnel después de la retransmisión de {retry_count}	El par no ha respondido a los mensajes de DPD, por lo que se ha impuesto la acción de tiempo de espera del DPD.
AWS El túnel recibió el comando DELETE para IKE_SA de CGW	Peer ha enviado el mensaje Delete_SA para Parent/IKE_SA.
AWS tunnel recibió el comando DELETE para la SA de fase 2 con el SPI: xxxx	Peer envió el mensaje Delete_SA para CHILD_SA.
AWS El túnel detectó una colisión (CHILD_REKEY) como CHILD_DELETE	CGW ha enviado el mensaje Delete_SA para la SA activa, a la que se le está cambiando la clave.
AWS La SA redundante del túnel (CHILD_SA) se está eliminando debido a una colisión detectada	Debido a una colisión, si SAs se generan redundantes, Peers cerrará la SA redundante después de hacer coincidir los valores de nonce según la RFC.
AWS No se pudo establecer la fase 2 del túnel mientras se mantenía la fase 1	El par no pudo establecer CHILD_SA debido a un error de negociación, por ejemplo, a una propuesta incorrecta.
AWS: Selector de tráfico: TS_UNACCEPTABLE: recibido del agente de respuesta	El par ha propuesto selectores de tráfico o dominio de cifrado incorrectos. Los pares deben configurarse de forma idéntica y correcta CIDRs.
AWS el túnel envía AUTHENTICATION_FAILED como respuesta	El par no puede autenticar al par al verificar el contenido del mensaje IKE_AUTH
AWS tunnel detectó una falta de coincidencia de claves previamente compartidas con cgw: xxxx	Se debe configurar la misma clave previamente compartida en ambos pares de IKE.
AWS Tiempo de espera del túnel: eliminar el IKE_SA de fase 1 no establecido con cgw: xxxx	La eliminación de IKE_SA semiabierto como par no ha continuado con las negociaciones
No se encontró ninguna coincidencia de propuesta. Notificación con la opción «No se ha elegido ninguna propuesta»	Los pares no intercambian ningún mensaje de error de propuesta elegida para informar que las propuestas correctas se deben configurar en pares de IKE.
No se encontró ninguna propuesta que coincidiera AWS	AWS VPN Endpoint no admite los atributos propuestos para la fase 1 o la fase 2 (cifrado, hash y grupo DH), `3DES` por ejemplo.

IKEv2 Mensajes de negociación

Mensaje	Explicación
AWS solicitud procesada por túnel (id=xxx) para CREATE_CHILD_SA	AWS ha recibido la solicitud CREATE_CHILD_SA de CGW.
AWS tunnel está enviando una respuesta (id=xxx) para CREATE_CHILD_SA	AWS está enviando la respuesta CREATE_CHILD_SA a CGW.
AWS tunnel está enviando una solicitud (id=xxx) para CREATE_CHILD_SA	AWS está enviando la solicitud CREATE_CHILD_SA a CGW.
AWS respuesta procesada por túnel (id=xxx) para CREATE_CHILD_SA	AWS ha recibido la respuesta CREATE_CHILD_SA de CGW.

Requisitos de IAM para publicar en Logs CloudWatch

Para que la característica de registro funcione correctamente, la política de IAM asociada a la entidad principal de IAM que se está utilizando para configurar la característica debe incluir los siguientes permisos como mínimo. También puedes encontrar más información en la sección Habilitar el registro desde determinados AWS servicios de la Guía del usuario de Amazon CloudWatch Logs.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Supervise una conexión Site-to-Site VPN

Vea la configuración de los registros de la Site-to-Site VPN