Risoluzione dei problemi di VPN connessione dei AWS client con client basati su Linux - AWS Cliente VPN
AWS ha fornito i registri degli eventi del clientDNSle interrogazioni vanno a un nameserver predefinitoApri (riga di comando) VPNApri VPN tramite Network Manager () GUI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di VPN connessione dei AWS client con client basati su Linux

Le sezioni seguenti contengono informazioni sulla registrazione e sui problemi che potrebbero verificarsi durante l'utilizzo di client basati su Linux. Verifica di eseguire la versione più recente di questi client.

AWS ha fornito i registri degli eventi del client

Il client AWS fornito archivia i file di registro e i file di configurazione nella seguente posizione sul sistema:

/home/username/.config/AWSVPNClient/

Il processo daemon client AWS fornito archivia i file di registro nella seguente posizione sul sistema:

/var/log/aws-vpn-client/

Ad esempio, è possibile controllare i seguenti file di registro per trovare errori negli script DNS up/down che causano l'interruzione della connessione:

  • /var/log/aws-vpn-client/configure-dns-up.log

  • /var/log/aws-vpn-client/configure-dns-down.log

DNSle interrogazioni vanno a un nameserver predefinito

Problema

In alcune circostanze, dopo aver stabilito una VPN connessione, DNS le query continueranno ad andare al nameserver di sistema predefinito, anziché ai nameserver configurati per l'endpoint Client. VPN

Causa

Il client interagisce con systemd-resolved, un servizio disponibile sui sistemi Linux, che funge da elemento centrale di gestione. DNS Viene utilizzato per configurare i DNS server che vengono inviati dall'endpoint Client. VPN Il problema si verifica perché systemd-resolved non imposta la massima priorità ai DNS server forniti dall'endpoint Client. VPN Invece, aggiunge i server all'elenco esistente di DNS server configurati sul sistema locale. Di conseguenza, i DNS server originali potrebbero continuare ad avere la massima priorità e quindi essere utilizzati per risolvere le DNS interrogazioni.

Soluzione

  1. Aggiungi la seguente direttiva nella prima riga del file di VPN configurazione Open, per assicurarti che tutte le DNS query vengano inviate al tunnel. VPN

    dhcp-option DOMAIN-ROUTE .

  2. Utilizza il resolver stub fornito da systemd-resolved. Per far ciò, collegare simbolicamente /etc/resolv.conf a /run/systemd/resolve/stub-resolv.conf emettendo il seguente comando sul sistema.

    sudo ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

  3. (Facoltativo) Se non volete che systemd risolva le interrogazioni tramite proxy e desiderate invece che DNS le query vengano inviate direttamente ai DNS nameserver reali, utilizzate invece un collegamento simbolico a. /etc/resolv.conf /run/systemd/resolve/resolv.conf

    sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf

    Potresti voler eseguire questa procedura per aggirare la configurazione risolta da systemd, ad esempio per la memorizzazione nella cache delle DNS risposte, la configurazione per interfaccia, l'applicazione e così via. DNS DNSSec Questa opzione è particolarmente utile quando è necessario sostituire un DNS record pubblico con un record privato quando si è connessi a. VPN Ad esempio, potresti avere un DNS resolver privato in privato VPC con un record per www.example.com, che si risolve in un IP privato. Questa opzione può essere utilizzata per sovrascrivere il record pubblico di www.example.com, che si risolve in un IP pubblico.

Apri (riga di comando) VPN

Problema

La connessione non funziona correttamente perché DNS la risoluzione non funziona.

Causa

Il DNS server non è configurato sull'VPNendpoint Client o non viene rispettato dal software client.

Soluzione

Utilizza i seguenti passaggi per verificare che il DNS server sia configurato e funzioni correttamente.

  1. Assicuratevi che nei log sia presente una voce del DNS server. Nell'esempio seguente, il DNS server 192.168.0.2 (configurato nell'VPNendpoint Client) viene restituito nell'ultima riga.

    Mon Apr 15 21:26:55 2019 us=274574 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
WRRMon Apr 15 21:26:55 2019 us=276082 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 192.168.0.2,route-gateway 10.0.0.97,topology subnet,ping 1,ping-restart 20,auth-token,ifconfig 10.0.0.98 255.255.255.224,peer-id 0

    Se non è stato specificato alcun DNS server, chiedi all'VPNamministratore del client di modificare l'VPNendpoint Client e assicurati che sia stato specificato un DNS server (ad esempio, il VPC DNS server) per l'endpoint ClientVPN. Per ulteriori informazioni, consulta Client VPN Endpoints nella Guida per l'AWS Client VPN amministratore.

  2. Per accertarsi che il pacchetto resolvconf sia installato, eseguire il comando seguente.

    sudo apt list resolvconf

    Viene restituito l'output seguente.

    Listing... Done
resolvconf/bionic-updates,now 1.79ubuntu10.18.04.3 all [installed]

    Se non è installato, installarlo utilizzando il seguente comando.

    sudo apt install resolvconf

  3. Apri il file di VPN configurazione del client (il file.ovpn) in un editor di testo e aggiungi le seguenti righe.

    script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

    Controllare i log per verificare che lo script resolvconf sia stato richiamato. I log devono contenere una riga simile alla seguente.

    Mon Apr 15 21:33:52 2019 us=795388 /etc/openvpn/update-resolv-conf tun0 1500 1552 10.0.0.98 255.255.255.224 init
dhcp-option DNS 192.168.0.2

Apri VPN tramite Network Manager () GUI

Problema

Quando si utilizza il VPN client Network Manager Open, la connessione fallisce con il seguente errore.

Apr 15 17:11:07  OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep  5 2018
Apr 15 17:11:07  library versions: OpenSSL 1.1.0g  2 Nov 2017, LZO 2.08
Apr 15 17:11:07  RESOLVE: Cannot resolve host address: cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com:443 (Name or service not known)
Apr 15 17:11:07  RESOLVE: Cannot resolve host
Apr 15 17:11:07  Could not determine IPv4/IPv6 protocol
Causa

Il flag remote-random-hostname non è rispettato e il client non può connettersi utilizzando il pacchetto network-manager-gnome.

Soluzione

Vedi la soluzione per Unable to Resolve Client VPN Endpoint DNS Name nella Guida per l'AWS Client VPN amministratore.