当客户网关正常运行时,为什么我的 AWS Site-to-Site VPN 连接处于“关闭的 IPSEC 正常运行”状态?

2 分钟阅读
0

为我的 AWS Site-to-Site VPN 配置的客户网关正常运行,但 Site-to-Site VPN 控制台显示我的连接已关闭。

简短描述

Site-to-Site VPN 控制台可能会显示您的连接状态为 IPSEC 正常运行,但隧道状态为关闭。这意味着互联网协议安全(IPsec)已建立,但边界网关协议(BGP)尚未建立。要使动态 Site-to-Site VPN 连接在 AWS 端显示为“正常运行”,必须成功建立 IPSEC 和 BGP。

解决方法

确认客户网关支持 BGP

  1. 确认您的客户网关支持并配置了 BGP。
  2. 确认连接的本地端使用动态(BGP)还是静态(基于策略的 Site-to-Site VPN 或基于静态路由的 Site-to-Site VPN)。如果本地端使用静态路由,则必须在 AWS 端重新创建 Site-to-Site VPN。

当您使用 AWS 创建 Site-to-Site VPN 连接时,默认情况下会选择动态路由选项。如果您在不选择静态路由的情况下创建 Site-to-Site VPN 连接,则会创建动态 Site-to-Site VPN。您无法修改现有 Site-to-Site VPN 连接的路由选项,因此必须创建新的 Site-to-Site VPN 才能使用静态路由。

当您删除 Site-to-Site VPN 连接并创建新连接时,会为隧道分配一对新的公有 IP 地址。您必须重新配置客户网关设备,并相应地更新公共对等 IP。但是,当您创建新连接时,可以使用 IP 内部的隧道和之前的 Site-to-Site VPN 连接中的预共享密钥。您无需使用 AWS 自动生成的详细信息。

验证加密域和代理 ID

  1. 确认在 AWS 和您的客户网关设备上配置的加密域或代理 ID 是否为 0.0.0.0/0 = 0.0.0.0/0。
  2. 在 AWS 端,检查本地 IPV4 网络 CIDR(本地 CIDR)和远程 IPv4 网络 CIDR(AWS CIDR)。
  3. 在客户网关上,按照供应商提供的准则检查加密域和代理 ID。
  4. 如果您已为您的连接启用了 Site-to-Site VPN 日志,请查看包含您的 Site-to-Site VPN 日志的 Amazon CloudWatch 日志组。为关联的 Site-to-Site VPN 端点选择日志流。然后,选择 AWS 隧道阶段 2 SA 已使用 SPI 建立** 来筛选日志流。现在,您可以查看客户网关协商的流量选择器,假设 AWS 端的默认值为 0.0.0.0/0 = 0.0.0.0/0。

日志流的格式类似于 vpn-id-VPN_Peer_IP-IKE.log。请参阅以下示例输出:

{
"event_timestamp": 1673252138,
"details": "AWS tunnel Phase 2 SA is established with
inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors:
(AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16",
"dpd_enabled": true,
"nat_t_detected": true,
"ike_phase1_state": "established",
"ike_phase2_state": "established"}

**注意:**如果您使用的是动态 Site-to-Site VPN 连接,则流量选择器必须足够宽泛,以涵盖所有流量。这包括用于 BGP 对等体的 APIPA IP 地址。在前面的示例中,您将客户网关设备上的加密域更新为 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0(本地)。

如果您的连接的 AWS 端定义了特定加密域,请修改 Site-to-Site VPN 连接选项。确保本地 IPv4 网络 CIDR 和远程 IPv4 网络 CIDR 均设置为 0.0.0.0/0

为开启了加速的 Site-to-Site VPN 启用 NAT-T

当开启加速时,您的 Site-to-Site VPN 可能会在中转网关上终止。使用此设置,请确保在客户网关设备上激活 NAT-T。

**注意:**必须为开启了加速的 Site-to-Site VPN 启用 NAT-T。如果未在客户网关设备上激活 NAT-T 而建立了 IPsec,则不会有流量流经 Site-to-Site VPN 连接。这包括 BGP 流量。有关详细信息,请参阅开启了加速的 Site-to-Site VPN 的规则和限制

BGP 故障排除

如果问题仍然存在,请查看如何排查 VPN 上的 BGP 连接问题?中的步骤

AWS 官方
AWS 官方已更新 9 个月前