Sei que estou esquecendo algo simples, talvez vocês possam ajudar.
Não consigo fazer minha VPN funcionar, mostrarei meu lado da rede se estiver interessado: https://redd.it/3sfigk
Do lado da AWS
Tenho uma VPC nova 172.31.0.0/16, com 4 sub-redes.
Criei o Customer Gateway, Virtual Private Gateway e a conexão VPN com rotas estáticas de volta para minhas 2 sub-redes LAN. A VPN conecta na primeira Túnel, mas não consigo enviar nenhum tráfego de volta para minha LAN.
O ASA não mostra nada de Rx no túnel VPN.
Verifiquei a tabela de rotas e o VPG está propagando as rotas, e vejo elas na tabela de rotas.
Verifiquei o grupo de segurança e estou permitindo todo o tráfego para ambas as minhas sub-redes LAN e para o próprio SG. Saída está totalmente liberada, e os ACLs de rede também estão liberados. Posso fazer ping entre hosts nas sub-redes da AWS.
Alguém pode apontar o passo óbvio que tenho perdido?
você adicionou rotas estáticas na sua conexão VPN, mas adicionou as rotas para suas sub-redes locais na tabela de rotas da VPC com um “Target” do VGW? Além disso, verifique seus ACLs na AWS.
Ativei a propagação de rotas na tabela de rotas do VGW, e elas aparecem na tabela. Os ACLs de rede estão todos liberados 0/0 para entrada e saída.
Tive problemas de roteamento com o esquema de dois túneis que eles querem que você configure. Eu simplesmente eliminei a configuração do segundo túnel e começou a funcionar. Seu caso pode variar.
Você fez uma captura de pacote na instância que está recebendo para verificar se os pacotes estão sendo recebidos lá?
Na configuração linkada não vejo a isenção NAT, então é possível que o tráfego esteja atingindo a instância com seu IP público, e o tráfego de retorno esteja sendo roteado de volta pelo IGW ao invés do VGW.
EDIÇÃO: Exemplo de isenção NAT no ASA:
!------------------- ! #5: Isenção NAT
! Se estiver realizando NAT no ASA, será necessário adicionar uma regra de isenção NAT.
! Isso varia dependendo de como o NAT está configurado. Deve ser configurado mais ou menos assim:
! objeto rede obj-SrcNet
! sub-rede 0.0.0.0 0.0.0.0
! objeto rede obj-amzn
! sub-rede vpc_subnet vpc_subnet_mascara
! nat (inside,outside) 1 origem estática obj-SrcNet obj-SrcNet destino estática obj-amzn obj-amzn
! Se estiver usando a versão 8.2 ou anterior, essa entrada precisaria ser algo assim:
! nat (inside) 0 lista de controle de acesso acl-amzn
! Ou, a mesma regra em acl-amzn deve estar incluída em uma ACL sem NAT existente.
Ótimo conselho. aws_n00b, após confirmar que sua rota de rede privada no local aponta para seu vgw, configure uma captura no ASA para verificar se o tráfego chega ao firewall. Isso deve ajudar rapidamente a determinar se o problema está em um ACL ou uma regra NAT.
Dependendo da versão do ASA, pode ser necessário uma rota estática no seu firewall apontando o tráfego para o CIDR da VPC na sua interface externa. Você certamente precisará de rotas na sua LAN para enviar o tráfego VPC ao seu ASA.
Consegue fazer ping de um IP VPC na interface externa do seu ASA?
Se fizer um tracert de uma de suas instâncias para um nó na sua LAN local, onde ele falha?
Removi um dos grupos de túnel e não houve mudança. Obrigado pela sugestão. Ainda tentei adicionar algumas rotas estáticas no ASA e não funcionou.
Sim, a tabela de rotas inclui minhas sub-redes LAN. Estou recebendo pacotes descartados na porta 4500, então estou verificando problemas de NAT-T. Também tentei várias declarações de NAT.
Tentei com e sem rotas estáticas, e o restante da rede já aponta para o ASA como rota padrão.
Não consigo fazer ping para nenhum IP da VPC a partir da interface externa.