使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何對客戶閘道裝置上的 Site-to-Site VPN 通道不活動、通道翻動或通道關閉進行疑難排解?

2 分的閱讀內容
0

我想解決客戶閘道裝置上 AWS Site-to-Site VPN 通道的連線問題。

解決方法

客戶閘道裝置上的下列常見錯誤可能會導致 Site-to-Site VPN 的通道不活動、不穩定、翻轉或通道關閉:

  • Internet Key Exchange (IKE)/第 1 階段或網際網路通訊協定安全性 (IPsec)/第 2 階段失敗會導致通道中斷。
  • IPsec 無效對等偵測 (DPD) 監控的問題。
  • 由於 Site-to-Site VPN 通道的流量低或供應商特定的客戶閘道組態問題,而導致閒置逾時。
  • 重新解決 Site-to-Site VPN 通道的第 1 階段或第 2 階段的問題。
  • 客戶閘道裝置上的原則型 Site-to-Site VPN 連線會導致間歇連線。
  • 靜態路由會導致間歇連線。
  • 客戶閘道裝置未正確設定。

使用通道活動記錄來監控 Site-to-Site VPN 通道,並收集有關通道中斷和其他通道問題的資訊。然後,請執行下列動作:

排除導致通道中斷的 IKE/第 1 階段或 IPSec/第 2 階段故障

確認 Site-to-Site VPN 連線的通道是否已開啟。如果連線關閉,則對 IKE/第 1 階段IPsec/第 2 階段進行疑難排解。

疑難排解 DPD 監控的問題

當您遇到 DPD 逾時時,日誌會顯示下列訊息: 「對等無法回應,宣告對等無效。」 依預設,網站對站 VPN 會每 10 秒向客戶閘道傳送「DPD R\ _U\ _THERE」訊息。在連續三則訊息沒有回應後,Site-to-Site VPN 將對等視為無效對等。然後,Site-to-Site VPN 將關閉連接。

如果 DPD 在您的客戶閘道裝置上處於作用中狀態,請檢查下列項目:

  • 您的客戶閘道裝置已設定為接收和回應 DPD 訊息。
  • 您的客戶閘道裝置可以回應來自 AWS 對等的 DPD 訊息。
  • 如果防火牆中啟用入侵防護系統功能,請確認您的客戶閘道裝置是否允許 DPD 訊息而不受速率限制。
  • 您的客戶閘道裝置具有穩定可靠的網際網路連線。

如果 Site-to-Site VPN 在 DPD 逾時不得採取任何動作,請將 DPD 逾時動作變更

對閒置逾時進行疑難排解

確認您的本機網路與虛擬私有雲端 (VPC) 之間存在持續的雙向流量。若要確認流量,請建立一台主機,每 5 秒將網際網路控制訊息通訊協定要求傳送至 VPC 中的執行個體。

使用裝置供應商的資訊檢閱 VPN 裝置的閒置逾時設定。如果在供應商特定的 VPN 空閒時間內流量未通過 Site-to-Site VPN 通道,則 IPsec 工作階段將結束。

對第 1 階段或第 2 階段的重設金鑰問題進行疑難排解

檢閱客戶閘道上的第 1 階段或第 2 階段生命週期欄位。請確定這些欄位與 AWS 參數相符。最好的做法是只選擇必要的 Site-to-Site VPN 通道選項

確保您在客戶閘道裝置上啟動完整轉寄密碼 (PFS)。根據預設,PFS 會在 AWS 端啟用。

注意: IKEv2 生命週期值欄位獨立於對等裝置。如果您設定較低的生命週期值,則對等啟動重設金鑰。最好的做法是設定一個對等來啟動重新金鑰。

針對策略型 VPN 的連線問題進行疑難排解

請確定客戶閘道裝置覆蓋網站對站 VPN 連線的 IPv4IPv6 CIDR 範圍。預設範圍為 0.0.0.0/0

如果客戶閘道端的網站對站 VPN 是以原則為基礎,請指定涵蓋 預期流量的加密網域。

**注意:**Site-to-Site VPN 僅支援一個加密網域。如果 VPN 包含多個網路,則匯總客戶閘道裝置上的加密域以僅維護一對安全性關聯。

使用靜態路由疑難排解連線問題

**重要:**最佳做法是使用動態路由而不是靜態路由。如需詳細資訊,請參閱 AWS Site-to-Site VPN 中的靜態和動態路由

使用靜態路由且採用主動/作用中設定的 AWS Site-to-Site VPN 通道可能會遇到連線問題。確定您的客戶閘道裝置支援動態路由。如果客戶閘道裝置不支援動態路由,請設定靜態 VPN 以避免非對稱路由

由於客戶閘道組態造成的連線問題

請完成下列步驟:

  1. 檢查客戶閘道是否位於 NAT 裝置後面。或者,確認 Site-to-Site VPN 連線的加速是否已開啟。然後,確定客戶閘道裝置上已啟用 NAT 穿越 (NAT-T)。確認 UDP 封包可以在連接埠 4500 上的網路與 VPN 端點之間傳輸。
  2. 如果客戶閘道不在 NAT 裝置後面,請確認連接埠 50 是否允許 UDP 封包在網路與 VPN 端點之間傳遞。
  3. 確認客戶閘道裝置的防火牆規則是否允許內部部署網路與 AWS 之間的流量。
  4. 疑難排解與您的特定客戶閘道裝置相關的連線問題

相關資訊

我的客戶閘道與虛擬私有閘道之間的 VPN 通道已開啟,但我無法透過它傳遞流量。我可以做什麼?

如何將 Site-to-Site VPN 連線設定為偏好通道 A 而非通道 B?

主題
網路與內容交付
標籤
AWS Virtual Private Network (VPN)
語言
中文 (繁體)
AWS 官方
AWS 官方已更新 5 個月前
沒有評論

相關內容