为什么亚马逊云科技站点到站点 VPN 会出现问题？

解决方法

当虚拟专用网络 (VPN) 隧道无法在客户网关设备或 Amazon Web Services 上建立连接时，请检查以下配置：

• 您在客户网关设备上正确配置了远程对等 IP 地址。其必须对应 VPN 端点的外部公有 IP 地址。有关更多信息，请参阅修改站点到站点 VPN 隧道选项。
• 您在 Amazon Web Services 上正确配置了外部公有 IP 地址。其必须对应客户网关设备 WAN 接口的公有 IP 地址。如果您使用网络地址转换 (NAT) 设备，则 Amazon Web Services 上的外部公有 IP 地址必须对应设备的公有 IP 地址。
• Amazon VPN 端点和客户网关设备之间存在连接。通过客户网关设备对 Amazon VPN 端点外部公有 IP 地址执行 Ping 操作。
• 防火墙策略允许 UDP 端口 500 Amazon VPN 端点的出站和入站流量。如果客户网关在 NAT 设备后面，则此策略也适用于 UDP 4500 的出站和入站流量。
• 如果您使用 NAT 遍历 (NAT-T)，请确认中间互联网服务提供商 (ISP) 没有屏蔽 UDP 端口 500 或端口 4500。
• 在亚马逊云科技终端和客户网关设备上，配置的 Internet 密钥交换 (IKE) 版本相同。
• 与亚马逊云科技相比，客户网关上第 1 阶段和第 2 阶段的参数相匹配。有关更多信息，请参阅站点到站点 VPN 连接的隧道选项。从 Amazon Web Services Management Console 下载示例配置。选择 VPC，然后选择** VPN**。选择站点到站点 VPN 连接，然后选择下载配置。
• 查看亚马逊云科技站点到站点 VPN 日志。
• 如果 VPN 连接使用预共享密钥验证身份，则亚马逊云科技和客户网关设备上的共享密钥相同。
• 如果 VPN 连接是基于证书的 VPN，则验证客户网关是否具有有效且正确的证书。证书必须包括私有证书、根 CA 证书和从属 CA 证书。
• 启动操作设置为启动，并且具有基于证书的 VPN。确保客户网关在亚马逊云科技终端的客户网关构造中有确定的公有 IP 地址。
  **注意：**在此设置中，亚马逊云科技不会发起 IKE 协商或重新生成密钥。相反，客户网关会发起 IKE 协商和重新生成密钥。有关更多信息，请参阅规则和限制。
• 对于采用基于证书的身份验证的加速 VPN，确保您的客户网关支持 IKE 分段。原因是 Amazon Global Accelerator 对数据包分段的支持有限，导致 IKE 协商失败。
• 对于动态 VPN，验证 IPsec 和边界网关协议 (BGP) 均处于运行状态。
• 生成有趣的流量，形成 VPN 隧道。