Guía paso a paso para solucionar problemas: No se puede conectar a EC2 mediante SSH

Algunos usuarios nuevos en AWS pueden encontrar problemas al conectarse a una instancia EC2 Linux mediante SSH. ¡No te preocupes, este artículo te ayudará a solucionar las razones más comunes!

Razones por las que no se puede conectar a EC2 mediante SSH

Las razones comunes para no poder conectarse a EC2 a través de SSH generalmente se dividen en dos categorías: tiempo de espera de conexión y errores de permiso.

Tiempo de espera de conexión: Los mensajes de error suelen contener palabras clave como “connect”, por ejemplo "Connection Timed Out". Esto generalmente se debe a configuraciones de red incorrectas, requiriendo revisar la IP, el grupo de seguridad, la ACL, la tabla de rutas de subred y el entorno de red del usuario.

Errores de Permiso: Los mensajes de error generalmente contienen palabras clave como “permission” o “key”, como "Permission Denied" o advertencias sobre claves que no están registradas o no existen. Esto generalmente se debe a un uso incorrecto de claves o nombres de usuario.

Tiempo de conexión agotado

Descripción del problema

Ha creado e iniciado una instancia de Amazon EC2 Linux pero no puede conectarse a la instancia usando SSH o herramientas como PuTTY. Al conectarse a la instancia, encuentra un error de tiempo de espera de conexión, como "Error de red: Se agotó el tiempo de espera de la conexión" o "Error al conectarse a [instancia], razón: -> Se agotó el tiempo de espera de la conexión: connect". Este problema generalmente es causado por configuraciones incorrectas de componentes de red como grupos de seguridad, tablas de rutas y listas de control de acceso de red. Por favor siga los pasos de solución de problemas a continuación para verificar el entorno de red.

Solución de problemas

1. Verificar los grupos de seguridad

En el grupo de seguridad de la instancia EC2, asegúrate de que se permita el tráfico entrante para el protocolo SSH (puerto predeterminado 22).

Si estás en una red LAN de oficina, tu dirección IP puede no ser fija y puede cambiar cada vez que te conectas. En este caso, se recomienda establecer la fuente al rango de direcciones IP de tu red de oficina en lugar de a una única IP.

Nota: Por defecto, también está deshabilitado el ping a la instancia. Si desea pinguear esta instancia, necesita agregar una regla que permita el protocolo ICMP de manera similar.

• Abre la consola de Amazon EC2.

• En el panel de navegación, seleccione Instances.

• Encuentra la instancia EC2 a la que deseas conectarte a través de SSH.

• En la pestaña Description en la parte inferior de la pantalla, seleccione el grupo de seguridad de la instancia EC2 a la que desea conectarse.

• En la pestaña Inbound en el panel en la parte inferior de la pantalla, asegúrese de que haya una regla para permitir el acceso SSH desde su dirección IP pública actual Si la dirección IP utilizada por su dispositivo no está en la lista seleccione Edit y luego seleccione Add rule.

• Para Source, selecciona tu dirección IP actual. “0.0.0.0/0” significa que está abierto a todas las IPs.

• Selecciona Save.

2. Verifique si la Subred es una Subred Pública

Una subred pública es una subred que permite el acceso a Internet. Si tu EC2 está en una subred privada, Internet externo no podrá conectarse de forma activa y el SSH fallará.

• Abre la consola de Amazon VPC.

• En el panel de navegación, selecciona Route Tables, luego selecciona tu tabla de enrutamiento de VPC desde la lista.

• En la pestaña Routes , asegúrate de que haya una ruta predeterminada que apunte al gateway de Internet.

• Si no, selecciona Internet Gateways desde el panel de navegación y copia tu ID de puerta de enlace de Internet. Si no hay ninguna puerta de enlace de Internet, crea una y átala a tu VPC. Asegúrate de copiar el nuevo ID de puerta de enlace de Internet.

• Vuelve a Route Tables, luego selecciona la pestaña Routes.

• Edite y cree una ruta que dirija "0.0.0.0/0" a la ID de su pasarela de Internet.

• Guardar la tabla de rutas.

3. Verifique la lista de control de acceso a la red (ACL) de la subred

La ACL es un firewall a nivel de subred. La ACL de red predeterminada permite todo el tráfico entrante y saliente. Si no ha realizado ningún cambio en la ACL, omita este paso.

• Abre la consola de Amazon VPC.

• En el panel de navegación, seleccione Subnets, luego seleccione su subred.

• En la pestaña Description, encuentra Network ACL, luego selecciona su ID (acl-xxxxxxxx).

• Seleccione el ACL de red. Para Inbound Rules, verifique si las reglas permiten tráfico desde su computadora. Si no es así, elimine o modifique las reglas que bloquean el tráfico desde su computadora. Para Outbound Rules, verifique si las reglas permiten tráfico hacia su computadora. Si no es así, elimine o modifique las reglas que bloquean el tráfico hacia su computadora.

4. Confirma si la dirección IP ha cambiado

• En el panel de navegación, seleccione Instancias.

• Encuentra la instancia EC2 a la que deseas conectarte mediante SSH.

• En la pestaña Description en la parte inferior de la pantalla, verifica si la Public IP coincide con la dirección IP que estás utilizando. Si la dirección IP ha cambiado, usa la nueva dirección IP.

5. Verificar la AMI

Por favor, verifica si estás utilizando una AMI en el Quick Start o en el Marketplace. A menos que estés seguro de la seguridad de una AMI específica, evita usar imágenes comunitarias. Las imágenes comunitarias son publicadas por individuos y AWS no puede monitorearlas. Algunas imágenes comunitarias pueden tener controles de gestión de seguridad especiales que impiden el acceso directo SSH. En este caso, detén el servidor actual y inicia uno nuevo con una imagen oficial o del Marketplace.

6. Verificar la carga de la instancia

El servidor podría estar sobrecargado, lo que causa que el servicio sshd funcione mal y no acepte nuevas solicitudes SSH. Esto se puede confirmar observando las métricas de CloudWatch. La forma más simple en este punto es intentar reiniciar la instancia para ver si se resuelve el problema. Si no es así, use la herramienta Session Manager de System Manager para abrir una sesión y ejecutar comandos para terminar recursos innecesarios.

7. Otros Motivos

Si se han verificado todos los pasos anteriores y no hay problema, revise las siguientes razones:

• El puerto 22 está bloqueado: Si estás en una oficina o en el área de Wi-Fi público de un hotel, intenta otra red para verificar si la red pública ha bloqueado el puerto 22.

• Verifica si el firewall de tu computadora está bloqueando el puerto 22.

Problemas de Permiso

Descripción del Problema

Ha creado e iniciado una EC2, pero no puede conectarse a la instancia a través de SSH, con mensajes de error como "Host key not found in [directory]", "Permission denied (publickey)" o "Authentication failed, permission denied". Este problema generalmente es causado por claves o nombres de usuario incorrectos. A continuación se presentan métodos de solución de problemas específicos.

Solución de problemas

1. Verifica si la pareja de claves es correcta

Cada instancia EC2 tiene una clave cuando se lanza. Esta clave es la única manera de iniciar sesión en EC2 por primera vez y solo se puede descargar antes de lanzar la instancia. Primero, seleccione su instancia y revise el nombre del par de claves en la página de Description para asegurarse de que esté usando la clave correcta.

Si este elemento está vacío, no podrá conectarse a la instancia mediante SSH. Por favor, detenga la instancia, inicie una nueva instancia y recuerde descargar la clave.

2. Nombre de usuario incorrecto

Si estás usando una imagen oficial, los nombres de usuario correctos son los siguientes:

Si es una versión comunitaria de la AMI, no se puede garantizar el nombre de usuario. Por favor, contacte al creador de la AMI o cambie a una AMI oficial.

3. Verifica el formato de tu clave

Generalmente, la clave necesaria para SSH está en formato “pem”. Si estás utilizando una máquina Windows e iniciando sesión con PuTTY, necesitas convertir de formato “pem” a formato “ppk”.

4. Verificar Permisos de Clave

Si encuentra el error "bad permissions: ignore key: my_private_key.pem Permission denied (publickey)"

Esta situación surge porque los permisos de tu archivo de clave privada son demasiado altos, permitiendo que cualquier usuario lea y escriba. Para proteger tu archivo de clave privada, SSH ignora tu clave. La solución es cambiar los permisos de la clave usando el comando:

chmod 400 my_private_key.pem

5. known_host Errores Relacionados

Esta situación se ve generalmente al cambiar las EIP, por ejemplo, una EIP estaba montada en la máquina A con la llave A. Cuando la EIP se cambia a la máquina B con la llave B, el registro known_host para esta IP no coincide.

La solución es abrir el archivo known_host (Linux/mac address: ~/.ssh/known_host) y eliminar el registro correspondiente para esta IP.

Elija una solución de copia de seguridad EC2 segura

Vinchin Backup & Recovery admite copias de seguridad de AWS EC2, permitiendo a los usuarios agregar instancias con su ID de clave de acceso de AWS y configurar copias de seguridad completas, incrementales o diferenciales. Ofrece opciones de recuperación flexibles, incluyendo instancias completas, volúmenes individuales y archivos específicos, con recuperación directa a otras plataformas de virtualización. Al integrarse con Amazon S3 para archivado seguro, también permite migraciones V2V a plataformas como VMware, Hyper-V y Proxmox. La interfaz amigable simplifica la gestión y configuración de copias de seguridad.

Para hacer una copia de seguridad de la instancia EC2 con Vinchin Backup & Recovery, siga estos pasos:

1. Selecciona la instancia EC2 que se va a respaldar.

2. Selecciona el destino de la copia de seguridad.

3. Seleccione las estrategias de copia de seguridad.

4. Revisar y enviar el trabajo.

Inicia tu prueba gratuita de 60 días de Vinchin Backup & Recovery para experimentar sus soluciones de respaldo seguras y eficientes en recursos. O, contáctanos para un plan personalizado según tus necesidades de TI.

Conclusión

Abordando los posibles problemas con los pasos anteriores, puedes resolver rápidamente el problema y recuperar el acceso a tu instancia. Recuerda siempre poner en práctica buenos hábitos de seguridad, como restringir el acceso a direcciones IP de confianza y revisar regularmente tu grupo de seguridad y configuración de red.