为什么我在使用 AWS Site-to-Site VPN 时,无法 ping 或 RDP 到我的 Windows 或 Linux 实例?
使用 AWS Site-to-Site VPN 连接时,我无法访问我的 Amazon Elastic Compute Cloud(Amazon EC2)实例。
解决方法
如果您有 Site-to-Site VPN 连接,但无法使用 SSH ping 到 Windows 或 Linux EC2 实例,请按照以下故障排除步骤进行操作:
-
请检查实例状态,确保您的实例正在运行。
-
使用 AWS VPN 控制台检查您的 Site-to-Site VPN 连接状态。确认隧道的状态为 UP(正常运行)。如果连接的状态为 DOWN(关闭),请查看第 1 阶段和第 2 阶段故障的故障排除步骤,以解决连接停机问题。
-
对于 Windows 实例,请确认您的 AWS 安全组、网络 ACL、操作系统防火墙和防病毒软件允许 RDP 端口 3389。对于 Linux 实例,请对 SSH 端口 22 确认相同事项。要激活入站 SSH、RDP 或 ICMP 访问权限,请参阅使用安全组控制资源的流量和使用网络 ACL 控制子网的流量。
-
验证您的实例中指定的路由表是否正确。确保您有通往目标 CIDR 或本地网络的返回路由。确认此返回路由指向中转网关(TGW)或虚拟专用网关(VGW)。确认此 TGW 或 VGW 已连接到您的 Site-to-Site VPN。
-
如果您的客户网关设备实施了基于策略的 VPN,请确保该设备协商单一安全关联(SA)。AWS 将安全关联的数量限制为一对。有关详细信息,请参阅如何解决 AWS VPN 端点和基于策略的 VPN 之间的连接问题?
-
您可能正在使用主动/主动配置。这意味着您的两条隧道都正常运行,并且您的 Site-to-Site VPN 在 VGW 或 TGW 上终止,而 ECMP 处于关闭状态。在此用例中,AWS 会将一个主动隧道指定为首选 VPN 隧道,用于将流量从 AWS 发送到本地网络。当您使用主动/主动配置时,客户网关必须在虚拟隧道接口上激活非对称路由。有关详细信息,请参阅如何将我的 Site-to-Site VPN 连接配置为优先使用隧道 A 而不是隧道 B?
-
确认操作系统级别上没有防火墙阻塞入站或出站流量。对于 Windows 实例,请打开命令提示符,然后运行 WF.msc 命令。对于 Linux 实例,请从终端运行带有相应参数的 iptables 命令。
-
如果使用基于动态的 VPN,请确保向 AWS 公布正确的本地前缀。
-
如果使用静态 VPN,请确保已为 Site-to-Site VPN 配置了正确的静态路由。登录 AWS VPN 控制台,然后在 static routes(静态路由)下,检查您的 Site-to-Site VPN 的目标网络。
-
如果使用静态 VPN,请检查您的客户网关设备。确保在设备上配置了指向目标 AWS Virtual Private Cloud(AWS VPC)CIDR 的静态路由。
-
如果使用加速 VPN,请检查 NAT 是否已启用以及流量是否正在使用 UDP 4500。这是流量流动所必需的。如果未启用 NAT,则隧道会正常运行,但流量不会通过该隧道。
注意: 注意使用加速 VPN 连接的规则。
相关信息
相关内容
- AWS 官方已更新 1 年前
- AWS 官方已更新 10 个月前
