为什么亚马逊云科技站点到站点 VPN 会出现问题?

1 分钟阅读
0

我想排查亚马逊云科技站点到站点 VPN 无法与本地网关成功建立连接的问题。

解决方法

当虚拟专用网络 (VPN) 隧道无法在客户网关设备或 Amazon Web Services 上建立连接时,请检查以下配置:

  • 您在客户网关设备上正确配置了远程对等 IP 地址。其必须对应 VPN 端点的外部公有 IP 地址。有关更多信息,请参阅修改站点到站点 VPN 隧道选项
  • 您在 Amazon Web Services 上正确配置了外部公有 IP 地址。其必须对应客户网关设备 WAN 接口的公有 IP 地址。如果您使用网络地址转换 (NAT) 设备,则 Amazon Web Services 上的外部公有 IP 地址必须对应设备的公有 IP 地址。
  • Amazon VPN 端点和客户网关设备之间存在连接。通过客户网关设备对 Amazon VPN 端点外部公有 IP 地址执行 Ping 操作。
  • 防火墙策略允许 UDP 端口 500 Amazon VPN 端点的出站和入站流量。如果客户网关在 NAT 设备后面,则此策略也适用于 UDP 4500 的出站和入站流量。
  • 如果您使用 NAT 遍历 (NAT-T),请确认中间互联网服务提供商 (ISP) 没有屏蔽 UDP 端口 500 或端口 4500。
  • 在亚马逊云科技终端和客户网关设备上,配置的 Internet 密钥交换 (IKE) 版本相同。
  • 与亚马逊云科技相比,客户网关上第 1 阶段和第 2 阶段的参数相匹配。有关更多信息,请参阅站点到站点 VPN 连接的隧道选项。从 Amazon Web Services Management Console 下载示例配置。选择 VPC,然后选择** VPN**。选择站点到站点 VPN 连接,然后选择下载配置
  • 查看亚马逊云科技站点到站点 VPN 日志
  • 如果 VPN 连接使用预共享密钥验证身份,则亚马逊云科技和客户网关设备上的共享密钥相同。
  • 如果 VPN 连接是基于证书的 VPN,则验证客户网关是否具有有效且正确的证书。证书必须包括私有证书、根 CA 证书和从属 CA 证书。
  • 启动操作设置为启动,并且具有基于证书的 VPN。确保客户网关在亚马逊云科技终端的客户网关构造中有确定的公有 IP 地址。
    **注意:**在此设置中,亚马逊云科技不会发起 IKE 协商或重新生成密钥。相反,客户网关会发起 IKE 协商和重新生成密钥。有关更多信息,请参阅规则和限制
  • 对于采用基于证书的身份验证的加速 VPN,确保您的客户网关支持 IKE 分段。原因是 Amazon Global Accelerator 对数据包分段的支持有限,导致 IKE 协商失败。
  • 对于动态 VPN,验证 IPsec 和边界网关协议 (BGP) 均处于运行状态。
  • 生成有趣的流量,形成 VPN 隧道。
AWS 官方
AWS 官方已更新 1 年前