Warum hat meine AWS-Site-to-Site-VPN-Verbindung den Status DOWN IPSEC UP, wenn das Kunden-Gateway UP ist?

Lesedauer: 4 Minute
0

Das Kunden-Gateway, das für mein AWS Site-to-Site VPN konfiguriert ist, hat den Status UP, aber die Site-to-Site-VPN-Konsole zeigt an, dass meine Verbindung DOWN ist.

Kurzbeschreibung

Die Site-to-Site VPN-Konsole zeigt möglicherweise an, dass der Status Ihrer Verbindung IPSEC UP lautet, der Tunnelstatus ist jedoch DOWN. Das bedeutet, dass die Internet Protocol Security (IPSec) eingerichtet wurde, das Border Gateway Protocol (BGP) jedoch nicht eingerichtet ist. Damit eine dynamische Site-to-Site-VPN-Verbindung auf der AWS-Seite als „IPSEC UP“ angezeigt wird, müssen sowohl IPSEC als auch BGP erfolgreich eingerichtet werden.

Lösung

Bestätigen, dass BGP im Kunden-Gateway unterstützt wird

  1. Vergewissern Sie sich, dass Ihr Kunden-Gateway BGP unterstützt und mit BGP konfiguriert ist.
  2. Stellen Sie sicher, dass die On-Premises-Seite Ihrer Verbindung dynamisches (BGP) oder statisches Routing (richtlinienbasiertes Site-to-Site-VPN oder statisches, routenbasiertes Site-to-Site-VPN) verwendet. Wenn die On-Premises-Seite statisches Routing verwendet, müssen Sie das Site-to-Site-VPN auf der AWS-Seite neu erstellen.

Wenn Sie mit AWS eine Site-to-Site-VPN-Verbindung herstellen, ist standardmäßig die dynamische Routing-Option ausgewählt. Wenn Sie eine Site-to-Site-VPN-Verbindung herstellen, ohne statisches Routing auszuwählen, wird ein dynamisches Site-to-Site-VPN erstellt. Sie können die Routing-Option für eine bestehende Site-to-Site-VPN-Verbindung nicht ändern. Sie müssen daher ein neues Site-to-Site-VPN erstellen, um statisches Routing verwenden zu können.

Wenn Sie eine Site-to-Site-VPN-Verbindung löschen und eine neue Verbindung herstellen, wird den Tunneln ein neues Paar öffentlicher IP-Adressen zugewiesen. Sie müssen das Kunden-Gateway-Gerät neu konfigurieren und die öffentlichen Peer-IPs entsprechend aktualisieren. Wenn Sie jedoch eine neue Verbindung herstellen, können Sie den Tunnel innerhalb der IP-Adressen und den Pre-Shared Secret Key Ihrer vorherigen Site-to-Site-VPN-Verbindung verwenden. Sie müssen die Details, die AWS automatisch generiert, nicht verwenden.

Die Verschlüsselungs-Domain und die Proxy-IDs überprüfen

  1. Vergewissern Sie sich, ob die Verschlüsselungs-Domain oder Proxy-ID, die sowohl auf AWS als auch auf Ihrem Kunden-Gateway-Gerät konfiguriert ist, 0.0.0.0/0 = 0.0.0.0/0 ist.
  2. Überprüfen Sie auf AWS-Ebene das lokale IPv4-Netzwerk-CIDR (lokales CIDR) und das Remote-IPv4-Netzwerk CIDR (AWS CIDR).
  3. Folgen Sie für das Kunden-Gateway den Richtlinien des Anbieters, um die Verschlüsselungs-Domain und die Proxy-ID zu überprüfen.
  4. Wenn Sie Site-to-Site VPN-Protokolle für Ihre Verbindung aktiviert haben, überprüfen Sie die Amazon CloudWatch-Protokollgruppe, die Ihre Site-to-Site VPN-Protokolle enthält. Wählen Sie den Protokollstream für den zugehörigen Site-to-Site VPN-Endpunkt aus. Wählen Sie dann AWS tunnel Phase 2 SA is established with SPI** (AWS-Tunnel Phase 2; SA wird mit SPI hergestellt) aus, um die Protokollstreams zu filtern. Sie können jetzt den vom Kunden-Gateway ausgehandelten Datenverkehr-Selektor einsehen, vorausgesetzt, die AWS-Seite hat den Standardwert 0.0.0.0/0 = 0.0.0.0/0.

Der Protokollstream hat ein ähnliches Format wie vpn-id-VPN_Peer_IP-IKE.log. Siehe folgende Beispielausgabe:

{
"event_timestamp": 1673252138,
"details": "AWS tunnel Phase 2 SA is established with
inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors:
(AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16",
"dpd_enabled": true,
"nat_t_detected": true,
"ike_phase1_state": "established",
"ike_phase2_state": "established"}

**Hinweis:**Wenn Sie eine dynamische Site-to-Site-VPN-Verbindung verwenden, muss der Datenverkehr-Selektor breit genug sein, um den gesamten Datenverkehr abzudecken. Dazu gehören APIPA-IP-Adressen, die für BGP-Peers verwendet werden. Im vorherigen Beispiel aktualisieren Sie die Verschlüsselungs-Domain auf Ihrem Kunden-Gateway-Gerät in 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0 (On-Premises).

Wenn auf der AWS-Seite Ihrer Verbindung eine bestimmte Verschlüsselungs-Domain definiert ist, ändern Sie die Site-to-Site VPN-Verbindungsoptionen. Stellen Sie sicher, dass sowohl das lokale IPv4-Netzwerk-CIDR als auch das Remote-IPv4-Netzwerk-CIDR auf 0.0.0.0/0 gesetzt sind.

NAT-Traversal (NAT-T) für beschleunigtes Site-to-Site-VPN aktivieren

Möglicherweise haben Sie ein Site-to-Site-VPN, das in einem Transit-Gateway endet, wobei die Beschleunigung aktiviert ist. Stellen Sie bei dieser Einrichtung sicher, dass NAT-T auf dem Kunden-Gateway-Gerät aktiviert ist.

Hinweis: NAT-T muss für ein beschleunigtes Site-to-Site-VPN aktiviert sein. Wenn NAT-T auf dem Kunden-Gateway-Gerät nicht aktiviert ist, wird IPSec eingerichtet, es fließt aber kein Datenverkehr über die Site-to-Site-VPN-Verbindung. Dazu gehört auch BGP-Datenverkehr. Weitere Informationen finden Sie in den Regeln und Einschränkungen für beschleunigtes Site-to-Site-VPN.

BGP-Fehler beheben

Wenn das Problem weiterhin besteht, lesen Sie die Schritte unter Wie behebe ich BGP-Verbindungsprobleme über VPN?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 9 Monaten