基于策略的虚拟专用网络(VPN)无法连接到 Amazon Virtual Private Cloud(Amazon VPC)中的 AWS VPN 端点。我想解决数据包丢失、连接时断时续甚至无连接或网络普遍不稳定等问题。
简短描述
AWS VPN 一次支持一个入站和一个出站安全关联。如果连接到端点的客户网关设备上基于策略的 VPN 具有多对安全关联,则具有不同关联的新连接会导致先前的连接中断。
解决方法
要解决 VPN 端点和基于策略的 VPN 之间的连接问题,请完成以下操作:
限制加密域
- 查看当前访问 VPC 的加密域。有关更多信息,请参阅修改站点到站点 VPN 连接选项。
- 确认客户网关设备上的每个加密域只有一对入站和出站安全关联。有关更多信息,请参阅客户网关设备。
使用 AWS 管理控制台修改 VPN 连接
-
配置客户网关,将本地 IPv4 网络的无类别域间路由(CIDR)设置为:
0.0.0.0/0
-
将远程 IPv4 网络的 CIDR 设置为:
0.0.0.0/0
匹配客户网关设备上的配置
-
将本地子网设置为:
0.0.0.0/0
-
将远程子网设置为:
0.0.0.0/0
-
如果不支持 0.0.0.0/0,则在连接两端使用与用例相对应的特定范围。请参见以下值:
VPC
10.34.0.0/16
本地
172.16.0.0/16
多个子网的路由汇总
用一个大子网囊括客户网关上所有较小的子网。
开启流量过滤器
- 配置安全组以阻止客户网关上的多余流量。
- 定义网络访问控制列表(网络 ACL)以控制流向子网的流量。
- 如果客户网关支持流量过滤器,则在设备上设置过滤器,仅允许所需的流量进出 VPC。
相关信息
Amazon VPC 中的 IKE(VPN 隧道阶段 1)为什么失败?
为什么 AWS Site-to-Site VPN 的 IPsec/阶段 2 无法建立连接?