Der VPN-Tunnel zwischen meinem Kunden-Gateway und meinem virtuelle privaten Gateway ist aktiv, aber ich kann keinen Datenverkehr durch ihn leiten. Was kann ich tun?

Lösung

Um dieses Problem zu beheben, stellen Sie sicher, dass Ihre Amazon VPC, Ihr virtuelles privates Gateway und Ihr Kunden-Gateway korrekt konfiguriert sind.

Überprüfen der Konfiguration einer Amazon VPC und eines virtuellen privaten Gateways

1. Stellen Sie sicher, dass das mit der VPN-Verbindung verknüpfte virtuelle private Gateway Ihrer Amazon VPC zugeordnet ist.
2. Stellen Sie sicher, dass sich die lokalen und privaten VPC-Netzwerke nicht überschneiden, da sich überlappende Subnetze zu Problemen beim Routing über den VPN-Tunnel führen können.
3. Stellen Sie bei auf statischem Routing basierenden VPN-Verbindungen auf der Registerkarte für Statisches Routing Ihrer VPN-Verbindung sicher, dass das Routing für Ihre lokalen privaten Netzwerke konfiguriert ist.
4. Stellen Sie bei BGP-basierten VPN-Verbindungen sicher, dass die BGP-Sitzung eingerichtet ist. Stellen Sie darüber hinaus auf der Registerkarte Tunnel-Details Ihrer VPN-Verbindung sicher, dass das virtuelle private Gateway BGP-Routen von Ihrem Kunden-Gateway empfängt.
5. Konfigurieren Sie Ihre VPC-Routen-Tabelle so, dass die Routen zu Ihren lokalen privaten Netzwerken mit aufgenommen werden. Leiten Sie diese an Ihr virtuelles privates Gateway weiter, damit Instances in Ihrer Amazon VPC Ihre lokalen Netzwerke erreichen können. Sie können diese Routen manuell der VPC-Routen-Tabelle hinzufügen, aber auch die Routen-Propagierung verwenden, um diese Routen automatisch weiterzuleiten.
6. Vergewissern Sie sich, dass die VPC-Sicherheitsgruppen und Zugriffssteuerungslisten (ACLs) so konfiguriert sind, dass sie den erforderlichen Datenverkehr (ICMP, RDP, SSH) zu und von Ihren lokalen Subnetzen sowohl für eingehenden als auch für ausgehenden Datenverkehr zulassen.
7. Führen Sie Paketerfassungen auf mehreren Instances von Amazon Elastic Compute Cloud (Amazon EC2) in verschiedenen Availability Zones durch, um sicherzustellen, dass der Datenverkehr vom lokalen Host Ihre Amazon VPC erreicht.

Überprüfen eines Kunden-Gateways

1. Vergewissern Sie sich, dass die IPsec-Konfiguration auf Ihrem VPN-Gerät die Anforderungen für Ihr Kunden-Gateway erfüllt.
2. Stellen Sie sicher, dass die Pakete von Ihrem Kunden-Gateway verschlüsselt und über den VPN-Tunnel gesendet werden.
3. Überprüfen Sie bei richtlinienbasierten Konfigurationen die Details Ihrer VPN-Verbindung, um sicherzustellen, dass die Datenverkehr-Selektoren korrekt konfiguriert sind. (Cidr des lokalen IPv4-Netzwerks = CIDR-Bereich des Kunden-Gateways und Cidr des Remote-IPv4-Netzwerks = AWS-seitiger CIDR-Bereich)
4. Achten Sie bei richtlinienbasierten Konfigurationen darauf, dass Sie die Anzahl der Verschlüsselungsrichtlinien auf eine einzige Richtlinie beschränken. Hinweis: AWS unterstützt nur ein Paar von Phase-2-Sicherheitszuordnungen (SAs) pro VPN-Tunnel.
5. Wenn Ihre VPN-Tunnel routenbasiert sind, vergewissern Sie sich, dass Sie die Routen zu Ihrem VPC-CIDR korrekt konfiguriert haben.
6. Stellen Sie sicher, dass der über den Tunnel gesendete Datenverkehr nicht in die IP-Adresse des Kunden-Gateways der VPN-Verbindung übersetzt wird. Wenn Sie spezielle Anforderungen an NAT für Ihren VPN-Verkehr haben, konfigurieren Sie diesen mit einer anderen IP-Adresse als der IP-Adresse des Kunden-Gateways.
7. Wenn sich Ihr Kunden-Gateway nicht hinter einem NAT-Gerät befindet, empfiehlt es sich, NAT-Traversal zu deaktivieren.
8. Stellen Sie sicher, dass es keine Firewallrichtlinien oder ACLs gibt, die den eingehenden oder ausgehenden IPsec-Datenverkehr stören.
9. Führen Sie eine Paketerfassung für den ESP-Datenverkehr an der WAN-Schnittstelle Ihres Kunden-Gateway-Geräts durch, um sicherzustellen, dass sie verschlüsselte Pakete sendet und empfängt.

Ähnliche Informationen

Ihr Kunden-Gateway-Gerät