Solução de problemas de VPN conexões de AWS clientes com clientes baseados em Linux - AWS Cliente VPN
AWS registros de eventos do cliente fornecidosDNSas consultas vão para um servidor de nomes padrãoAbrir VPN (linha de comando)Abra VPN por meio do Network Manager (GUI)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas de VPN conexões de AWS clientes com clientes baseados em Linux

As seções a seguir contêm informações sobre registro em log e sobre problemas que você pode ter ao usar clientes baseados em Linux. Certifique-se de que esteja executando a versão mais recente desses clientes.

AWS registros de eventos do cliente fornecidos

O cliente AWS fornecido armazena arquivos de log e arquivos de configuração no seguinte local em seu sistema:

/home/username/.config/AWSVPNClient/

O processo daemon do cliente AWS fornecido armazena arquivos de log no seguinte local em seu sistema:

/var/log/aws-vpn-client/

Por exemplo, você pode verificar os seguintes arquivos de log para encontrar erros nos scripts DNS ativos/inativos que causam a falha na conexão:

  • /var/log/aws-vpn-client/configure-dns-up.log

  • /var/log/aws-vpn-client/configure-dns-down.log

DNSas consultas vão para um servidor de nomes padrão

Problema

Em algumas circunstâncias, após o estabelecimento de uma VPN conexão, DNS as consultas ainda serão direcionadas para o servidor de nomes padrão do sistema, em vez dos servidores de nomes configurados para o endpoint do cliente. VPN

Causa

O cliente interage com o systemd-solved, um serviço disponível em sistemas Linux, que serve como uma peça central de gerenciamento. DNS Ele é usado para configurar DNS servidores que são enviados do VPN endpoint do cliente. O problema ocorre porque o systemd-solved não define a prioridade mais alta para DNS os servidores fornecidos pelo endpoint do ClienteVPN. Em vez disso, ele anexa os servidores à lista existente de DNS servidores que estão configurados no sistema local. Como resultado, os DNS servidores originais ainda podem ter a prioridade mais alta e, portanto, ser usados para resolver DNS consultas.

Solução

  1. Adicione a seguinte diretiva na primeira linha do arquivo de VPN configuração Open, para garantir que todas as DNS consultas sejam enviadas para o VPN túnel.

    dhcp-option DOMAIN-ROUTE .

  2. Use o resolvedor de stub fornecido por systemd-resolve. Para fazer isso, symlink /etc/resolv.conf para /run/systemd/resolve/stub-resolv.conf executando o seguinte comando no sistema.

    sudo ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

  3. (Opcional) Se você não quiser que o systemd resolva DNS consultas de proxy e, em vez disso, gostaria que as consultas fossem enviadas diretamente aos servidores de DNS nomes reais, crie um link simbólico para. /etc/resolv.conf /run/systemd/resolve/resolv.conf

    sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf

    Talvez você queira fazer esse procedimento para ignorar a configuração resolvida pelo systemd, por exemplo, para armazenamento em cache de DNS respostas, configuração por interface, imposição e assim por DNS diante. DNSSec Essa opção é especialmente útil quando você precisa substituir um DNS registro público por um registro privado quando conectado a. VPN Por exemplo, você pode ter um DNS resolvedor privado em sua conta privada VPC com um registro para www.exemplo.com, que resolve para um IP privado. Esta opção pode ser usada para substituir o registro público de www.example.com, que resolve para um IP público.

Abrir VPN (linha de comando)

Problema

A conexão não funciona corretamente porque a DNS resolução não está funcionando.

Causa

O DNS servidor não está configurado no VPN endpoint do cliente ou não está sendo atendido pelo software cliente.

Solução

Use as etapas a seguir para verificar se o DNS servidor está configurado e funcionando corretamente.

  1. Certifique-se de que uma entrada DNS do servidor esteja presente nos registros. No exemplo a seguir, o DNS servidor 192.168.0.2 (configurado no VPN endpoint do cliente) é retornado na última linha.

    Mon Apr 15 21:26:55 2019 us=274574 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
WRRMon Apr 15 21:26:55 2019 us=276082 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 192.168.0.2,route-gateway 10.0.0.97,topology subnet,ping 1,ping-restart 20,auth-token,ifconfig 10.0.0.98 255.255.255.224,peer-id 0

    Se não houver nenhum DNS servidor especificado, peça ao VPN administrador do cliente que modifique o VPN endpoint do cliente e garanta que um DNS servidor (por exemplo, o VPC DNS servidor) tenha sido especificado para o VPN endpoint do cliente. Para obter mais informações, consulte Client VPN Endpoints no Guia do AWS Client VPN administrador.

  2. Certifique-se de que o pacote resolvconf esteja instalado executando o comando a seguir.

    sudo apt list resolvconf

    A saída deve retornar o seguinte:

    Listing... Done
resolvconf/bionic-updates,now 1.79ubuntu10.18.04.3 all [installed]

    Se não estiver instalado, instale-o usando o comando a seguir.

    sudo apt install resolvconf

  3. Abra o arquivo de VPN configuração do cliente (o arquivo.ovpn) em um editor de texto e adicione as linhas a seguir.

    script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

    Confira os logs para verificar se o script resolvconf foi chamado. Os logs devem conter uma linha semelhante à seguinte:

    Mon Apr 15 21:33:52 2019 us=795388 /etc/openvpn/update-resolv-conf tun0 1500 1552 10.0.0.98 255.255.255.224 init
dhcp-option DNS 192.168.0.2

Abra VPN por meio do Network Manager (GUI)

Problema

Ao usar o VPN cliente Network Manager Open, a conexão falha com o seguinte erro.

Apr 15 17:11:07  OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep  5 2018
Apr 15 17:11:07  library versions: OpenSSL 1.1.0g  2 Nov 2017, LZO 2.08
Apr 15 17:11:07  RESOLVE: Cannot resolve host address: cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com:443 (Name or service not known)
Apr 15 17:11:07  RESOLVE: Cannot resolve host
Apr 15 17:11:07  Could not determine IPv4/IPv6 protocol
Causa

O sinalizador remote-random-hostname não é honrado e o cliente não consegue se conectar usando o pacote network-manager-gnome.

Solução

Consulte a solução para Não foi possível resolver o DNS nome do VPN endpoint do cliente no Guia do AWS Client VPN administrador.