使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

如何對 AWS VPN 端點與政策型 VPN 之間的連線問題進行疑難排解?

1 分的閱讀內容
0

我的基於政策的虛擬私有網路 (VPN) 無法連線到 Amazon Virtual Private Cloud (Amazon VPC) 中的 AWS VPN 端點。我想解決問題,例如封包遺失、間歇性連線或無連線,或者總體網路不穩定。

簡短說明

AWS VPN 一次支援一個傳入和一個傳出安全性關聯。如果連線到端點的客戶閘道裝置上的基於政策的 VPN 具有多對安全性關聯,則具有不同關聯的新連線會導致先前的連線中斷。

解決方法

若要對 VPN 端點與基於政策的 VPN 之間的連線問題進行疑難排解,請完成下列動作:

限制加密網域

  1. 檢閱目前存取 VPC 的加密網域。如需詳細資訊,請參閱修改 Site-to-Site VPN 連線選項
  2. 確認客戶閘道裝置上的每個加密網域只有一對傳入和傳出安全性關聯。如需詳細資訊,請參閱客戶閘道裝置

使用 AWS 管理主控台修改 VPN 連線

  1. 設定您的客戶閘道,將本機 IPv4 網路的無類別域間路由 (CIDR) 設定為:

    0.0.0.0/0
  2. 將遠端 IPv4 網路的 CIDR 設定為:

    0.0.0.0/0

與客戶閘道裝置上的組態相符

  1. 將本機子網路設定為:

    0.0.0.0/0
  2. 將遠端子網路設定為:

    0.0.0.0/0
  3. 如果不支援 0.0.0.0/0,請在連線兩端使用與您使用案例相對應的特定範圍。請參閱下列範例值:

    VPC

    10.34.0.0/16

    內部部署

    172.16.0.0/16

多個子網路的路由摘要

使用涵蓋客戶閘道上所有較小子網路的更廣泛子網路。

開啟流量篩選

  1. 設定安全群組以封鎖客戶閘道上不需要的流量。
  2. 定義網路存取控制清單 (network ACL) 以控制子網路的流量。
  3. 如果客戶閘道支援流量篩選器,請在裝置上設定篩選器,以僅允許往返 VPC 所需的流量。

相關資訊

為什麼 Amazon VPC 中 IKE (我的 VPN 通道的第 1 階段) 失敗?

為什麼 AWS Site-to-Site VPN 的 IPsec/第 2 階段連線失敗?

AWS 官方
AWS 官方已更新 4 個月前