为什么我的 Amazon Site-to-Site VPN 无法建立连接?
2 分钟阅读
0
我在 Amazon Virtual Private Cloud (Amazon VPC) 中的 Amazon Site-to-Site VPN 无法建立 IKE/第 1 阶段或 IPSec/第 2 阶段的连接。
解决方法
IKE/第 1 阶段故障
如果配置的 IKE 阶段失败,请检查 Site-to-Site VPN 配置,确认其是否符合下列要求:
- 客户网关要求。
- 为您的用例使用适当的 IKE 版本。**注意:**亚马逊云科技既支持 IKEv1,也支持 IKEv2。
- 为您的 IKE 版本的 IKE(第 1 阶段)使用相应的生命周期(以秒为单位)。要配置所需的隧道选项,请参阅您的 Site-to-Site VPN 连接的隧道选项。
- 具备配置了正确的预共享密钥 (PSK) 或有效证书的客户网关设备。
- 可以成功地从您的客户网关对 Site-to-Site VPN 端点执行 ping 命令。
如果为 Site-to-Site VPN 连接开启了加速,请确保为客户网关设备开启 NAT-Traversal。
如果客户网关设备在网络地址转换 (NAT) 设备后面,请确认以下事项:
- 是否允许端口 500(如果使用 NAT-Traversal,则为端口 4500)上的 UDP 数据包在您的网络和 Site-to-Site VPN 端点之间进行传输。
- 中间互联网服务提供商 (ISP) 没有屏蔽 UDP 端口 500(或者,如果使用 NAT-Traversal,则没有屏蔽端口 4500)。
**注意:**如果您的客户网关不在端口地址转换 (PAT) 设备后,则最好关闭 NAT-Traversal。
IKE/第 1 阶段为“已连接”而 IPsec/第 2 阶段出现故障
建立 Site-to-Site VPN 连接的 IKE/第 1 阶段后,客户网关会尝试建立 IPsec/第 2 阶段的连接。请注意,仅当第 1 阶段和第 2 阶段的状态都为“已连接”时,Site-to-Site VPN 的状态才为“已连接”。对于动态 Site-to-Site VPN,BGP 也必须处于“已连接”状态。如果 IKE/第 1 阶段的连接已建立,但您的 IPsec/第 2 阶段的连接处于“已断开”状态,则 Site-to-Site VPN 的状态也为 “已断开”。
如果您的 Site-to-Site VPN IPsec/第 2 阶段无法建立连接,请尝试执行下列步骤来解决问题:
- 将您的设置与 Site-to-Site VPN 配置文件进行对比,验证您的客户网关设备上是否正确配置了 Site-to-Site VPN 第 2 阶段的参数。您可以从 Site-to-Site VPN 控制台下载此文件。
- 验证支持的 IKEv1 和 IKEv2](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html#CGRequirements)第 2 阶段参数[是否已正确配置。请参阅以下 IKEv1 和 IKEv2 参数示例:
IKEv1 加密: AES-128、AES-256、AES128-GCM-16、AES256-GCM-16 IKEv1 数据完整性: SHA-1、SHA2-256、SHA2-384、SHA2-512 IKEv1 DH 组: 2、5 和 14-24 生命周期: 3600 秒 Diffie-Hellman 完美前向保密: 已开启 **注意:**示例 IKEv1 和 IKEv2 第 2 阶段参数以及 IKEv2 Child\ _SA 参数指定了 Site-to-Site VPN 连接的最低要求:
亚马逊云科技第 2 阶段参数: AES128、SHA1、Diffie-Hellman 组 2 Amazon GovCloud(美国)第 2 阶段参数: AES128、SHA2、Diffie-Hellman 组 14 - 验证 Diffie-Hellman 完美向前保密 (PFS)是否处于活动状态,并且使用 Diffie-Hellman 组来生成密钥。请参阅客户网关设备要求,并查看所提供表格中关于使用 Diffie-Hellman 完美前向保密的信息。
- 检查亚马逊云科技和客户网关设备之间是否存在安全关联或流量选择器不匹配。
- 检查配置的 Site-to-Site VPN 连接选项(包括远程和本地 IP 地址)是否与客户网关设备上指定的安全关联匹配。有关详细信息,请参阅如何解决 Amazon VPN 端点和基于策略的 VPN 之间的连接问题?
- 检查是否向亚马逊云科技发起了入站流量。默认情况下,Site-to-Site VPN 在响应方模式下运行,并允许对 IKE 协商、对等超时设置和其他配置设置进行配置更改。有关更多信息,请参阅 Site-to-Site VPN 隧道启动选项。
如果问题仍然存在,请尝试执行下列操作:
- 启用 Site-to-Site VPN 日志。
- 检查 IPsec 调试日志,了解失败的原因和故障排除步骤。
相关信息
AWS 官方已更新 1 年前
没有评论
相关内容
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
