As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Solução de problemas de VPN conexões de AWS clientes com clientes baseados em Linux
As seções a seguir contêm informações sobre registro em log e sobre problemas que você pode ter ao usar clientes baseados em Linux. Certifique-se de que esteja executando a versão mais recente desses clientes.
Tópicos
AWS registros de eventos do cliente fornecidos
O cliente AWS fornecido armazena arquivos de log e arquivos de configuração no seguinte local em seu sistema:
/home/username
/.config/AWSVPNClient/
O processo daemon do cliente AWS fornecido armazena arquivos de log no seguinte local em seu sistema:
/var/log/aws-vpn-client/
Por exemplo, você pode verificar os seguintes arquivos de log para encontrar erros nos scripts DNS ativos/inativos que causam a falha na conexão:
/var/log/aws-vpn-client/configure-dns-up.log
/var/log/aws-vpn-client/configure-dns-down.log
DNSas consultas vão para um servidor de nomes padrão
Problema
Em algumas circunstâncias, após o estabelecimento de uma VPN conexão, DNS as consultas ainda serão direcionadas para o servidor de nomes padrão do sistema, em vez dos servidores de nomes configurados para o endpoint do cliente. VPN
Causa
O cliente interage com o systemd-solved, um serviço disponível em sistemas Linux, que serve como uma peça central de gerenciamento. DNS Ele é usado para configurar DNS servidores que são enviados do VPN endpoint do cliente. O problema ocorre porque o systemd-solved não define a prioridade mais alta para DNS os servidores fornecidos pelo endpoint do ClienteVPN. Em vez disso, ele anexa os servidores à lista existente de DNS servidores que estão configurados no sistema local. Como resultado, os DNS servidores originais ainda podem ter a prioridade mais alta e, portanto, ser usados para resolver DNS consultas.
Solução
-
Adicione a seguinte diretiva na primeira linha do arquivo de VPN configuração Open, para garantir que todas as DNS consultas sejam enviadas para o VPN túnel.
dhcp-option DOMAIN-ROUTE .
-
Use o resolvedor de stub fornecido por systemd-resolve. Para fazer isso, symlink
/etc/resolv.conf
para/run/systemd/resolve/stub-resolv.conf
executando o seguinte comando no sistema.sudo ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
-
(Opcional) Se você não quiser que o systemd resolva DNS consultas de proxy e, em vez disso, gostaria que as consultas fossem enviadas diretamente aos servidores de DNS nomes reais, crie um link simbólico para.
/etc/resolv.conf
/run/systemd/resolve/resolv.conf
sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf
Talvez você queira fazer esse procedimento para ignorar a configuração resolvida pelo systemd, por exemplo, para armazenamento em cache de DNS respostas, configuração por interface, imposição e assim por DNS diante. DNSSec Essa opção é especialmente útil quando você precisa substituir um DNS registro público por um registro privado quando conectado a. VPN Por exemplo, você pode ter um DNS resolvedor privado em sua conta privada VPC com um registro para www.exemplo.com, que resolve para um IP privado. Esta opção pode ser usada para substituir o registro público de www.example.com, que resolve para um IP público.
Abrir VPN (linha de comando)
Problema
A conexão não funciona corretamente porque a DNS resolução não está funcionando.
Causa
O DNS servidor não está configurado no VPN endpoint do cliente ou não está sendo atendido pelo software cliente.
Solução
Use as etapas a seguir para verificar se o DNS servidor está configurado e funcionando corretamente.
-
Certifique-se de que uma entrada DNS do servidor esteja presente nos registros. No exemplo a seguir, o DNS servidor
192.168.0.2
(configurado no VPN endpoint do cliente) é retornado na última linha.Mon Apr 15 21:26:55 2019 us=274574 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) WRRMon Apr 15 21:26:55 2019 us=276082 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 192.168.0.2,route-gateway 10.0.0.97,topology subnet,ping 1,ping-restart 20,auth-token,ifconfig 10.0.0.98 255.255.255.224,peer-id 0
Se não houver nenhum DNS servidor especificado, peça ao VPN administrador do cliente que modifique o VPN endpoint do cliente e garanta que um DNS servidor (por exemplo, o VPC DNS servidor) tenha sido especificado para o VPN endpoint do cliente. Para obter mais informações, consulte Client VPN Endpoints no Guia do AWS Client VPN administrador.
-
Certifique-se de que o pacote
resolvconf
esteja instalado executando o comando a seguir.sudo apt list resolvconf
A saída deve retornar o seguinte:
Listing... Done resolvconf/bionic-updates,now 1.79ubuntu10.18.04.3 all [installed]
Se não estiver instalado, instale-o usando o comando a seguir.
sudo apt install resolvconf
-
Abra o arquivo de VPN configuração do cliente (o arquivo.ovpn) em um editor de texto e adicione as linhas a seguir.
script-security 2 up /etc/openvpn/update-resolv-conf down /etc/openvpn/update-resolv-conf
Confira os logs para verificar se o script
resolvconf
foi chamado. Os logs devem conter uma linha semelhante à seguinte:Mon Apr 15 21:33:52 2019 us=795388 /etc/openvpn/update-resolv-conf tun0 1500 1552 10.0.0.98 255.255.255.224 init dhcp-option DNS 192.168.0.2
Abra VPN por meio do Network Manager (GUI)
Problema
Ao usar o VPN cliente Network Manager Open, a conexão falha com o seguinte erro.
Apr 15 17:11:07 OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep 5 2018
Apr 15 17:11:07 library versions: OpenSSL 1.1.0g 2 Nov 2017, LZO 2.08
Apr 15 17:11:07 RESOLVE: Cannot resolve host address: cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com:443 (Name or service not known)
Apr 15 17:11:07 RESOLVE: Cannot resolve host
Apr 15 17:11:07 Could not determine IPv4/IPv6 protocol
Causa
O sinalizador remote-random-hostname
não é honrado e o cliente não consegue se conectar usando o pacote network-manager-gnome
.
Solução
Consulte a solução para Não foi possível resolver o DNS nome do VPN endpoint do cliente no Guia do AWS Client VPN administrador.