为什么 AWS Site-to-Site VPN 的 IPsec/阶段 2 无法建立连接?

1 分钟阅读
0

当我尝试在 Amazon Virtual Private Cloud(Amazon VPC)中设置 AWS Site-to-Site VPN 连接时,我的配置的 IPsec/阶段 2 无法建立连接。

解决方法

如果您的 Site-to-Site VPN 互联网协议安全(IPsec/阶段 2)无法建立连接,请尝试下列步骤来解决问题:

  • 验证您的客户网关设备上的 Site-to-Site VPN 阶段 2 参数是否配置正确。为此,请将您的设置与从 Site-to-Site VPN 控制台下载的 VPN 配置文件进行比较。
  • 验证 IKEv1 和 IKEv2 支持的](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html#CGRequirements)阶段 2 参数[是否配置正确:
    IKEv1 和 IKEv2 参数示例:
    IKEv1 加密: AES-128、AES-256、AES128-GCM-16、AES256-GCM-16
    IKEv1 数据完整性: SHA-1、SHA2-256、SHA2-384、SHA2-512
    IKEv1 DH 群组: 2、5 和 14-24
    生命周期: 3600 秒
    Diffie-Hellman 完美向前保密: 已启用
    **注意:**示例 IKEv1 和 IKEv2 阶段 2 以及 IKEv2 Child_SA 参数指定了 Site-to-Site VPN 连接的最低要求:
    AWS 阶段 2 参数: AES128、SHA1、Diffie-Hellman 组 2
    AWS GovCloud(美国)阶段 2 参数: AES128、SHA2、Diffie-Hellman 组 14
  • 验证 **Diffie-Hellman 完美向前保密(PFS)**是否处于活动状态并且正在使用 Diffie-Hellman 组生成密钥。有关详细信息,请参阅使用 Diffie-Hellman 完美向前保密部分。
  • 验证 AWS 和客户网关设备之间是否不存在安全关联或流量选择器不匹配。
  • 验证配置的 Site-to-Site VPN 连接选项(包括远程和本地 IP 地址)是否与客户网关设备上指定的安全关联匹配。有关详细信息,请参阅如何解决 AWS VPN 端点和基于策略的 VPN 之间的连接问题?
  • 验证是否向 AWS 发起了入站流量。默认情况下,Site-to-Site VPN 在响应方模式下运行,允许对 IKE 协商、对等超时设置和其他配置设置进行配置更改。有关详细信息,请参阅 Site-to-Site VPN 隧道启动选项

如果您的问题仍然存在,请尝试下列操作:


相关信息

动态路由(BGP)的客户网关设备配置示例

静态路由的客户网关设备配置示例

修改 Site-to-Site VPN 隧道选项

什么是 AWS Site-to-Site VPN?

AWS 官方
AWS 官方已更新 1 年前