當客戶閘道為啟動時，為什麼我的 AWS Site-to-Site VPN 連線會處於 DOWN IPSEC UP 狀態？

2 分的閱讀內容

為 AWS Site-to-Site VPN 設定的客戶閘道為啟動，但是 Site-to-Site VPN 主控台卻顯示我的連線已關閉。

簡短描述

Site-to-Site VPN 主控台可能會顯示您的連線狀態為 IPSEC UP，但通道狀態為 DOWN。這表示已建立網際網路通訊協定安全性 (IPsec)，但未建立邊界閘道協定 (BGP)。若要讓動態 Site-to-Site VPN 連線在 AWS 端顯示為 UP，必須同時成功建立 IPSEC 和 BGP。

解決方法

確認客戶閘道支援 BGP

確認您的客戶閘道支援並使用 BGP 進行設定。
確認連線的內部部署端是否使用動態 (BGP) 或靜態 (以原則為基礎的 Site-to-Site VPN 或以靜態路由為基礎的 Site-to-Site VPN)。如果內部部署端使用靜態路由，則必須在 AWS 端重新建立 Site-to-Site VPN。

使用 AWS 建立 Site-to-Site VPN 連線時，預設會選取動態路由選項。如果您在未選擇靜態路由的情況下建立 Site-to-Site VPN 連線，則會建立動態 Site-to-Site VPN。您無法修改現有 Site-to-Site VPN 連線的路由選項，因此您必須建立新的 Site-to-Site VPN，才能使用靜態路由。

當您刪除 Site-to-Site VPN 連線並建立新連線時，會將新的公用 IP 地址配對指派給通道。您必須重新設定客戶閘道裝置，並相應地更新公用配對 IP。但是，當您建立新連線時，可以使用 IP 內部的通道以及先前 Site-to-Site VPN 連線的預先共用密鑰。您不需要使用 AWS 自動產生的詳細資料。

驗證加密網域和代理識別碼

確認 AWS 和客戶閘道裝置上設定的加密網域或代理識別碼是否為 0.0.0.0/0 = 0.0.0.0/0。
在 AWS 結束時，檢查本地 IPV4 網路 CIDR (內部部署 CIDR) 和遠端 IPv4 網路 CIDR (AWS CIDR)。
在客戶閘道上，遵循廠商提供的指導方針來檢查加密網域和代理識別碼。
如果您已為連線開啟 Site-to-Site VPN 日誌，請檢閱包含您 Site-to-Site 日誌的 Amazon CloudWatch 日誌群組。選擇關聯 Site-to-Site VPN 端點的日誌串流。然後，選擇已使用 SPI 建立 AWS 通道階段 2 SA** 以篩選日誌串流。您現在可以檢視由客戶閘道協商的流量選擇器，假設 AWS 端的預設值為 0.0.0.0/0 = 0.0.0.0/0。

日志串流的格式與 vpn-id-VPN_Peer_IP-IKE.log 相似。請參閱以下範例輸出：

{
"event_timestamp": 1673252138,
"details": "AWS tunnel Phase 2 SA is established with
inbound SPI: 0xcbf7f2e3: outbound SPI: 0xc9be76cd: traffic selectors:
(AWS-side) 172.31.0.0/16 <=> (CGW-side) 10.0.0.0/16",
"dpd_enabled": true,
"nat_t_detected": true,
"ike_phase1_state": "established",
"ike_phase2_state": "established"}

**注意：**如果您使用動態 Site-to-Site VPN 連線，則流量選擇器必須足夠廣泛以涵蓋所有流量。這包括用於 BGP 配對的 APIPA IP 地址。在上一個範例中，您將客戶閘道裝置上的加密網域更新為 0.0.0.0/0 (AWS) <==> **0.0.0.0/**0 (內部部署)。

如果連線的 AWS 端已定義特定的加密網域，請修改 Site-to-Site VPN 連線選項。請確定本機 IPv4 網路 CIDR 和遠端 IPv4 網路 CIDR 都設定為 0.0.0.0/0。