


解決方法
-----------



檢查 AWS 虛擬私有網路 (AWS VPN) 組態以確認下列事項：


* 符合所有[客戶閘道要求](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#CGRequirements)。
* 對您的使用案例使用適當的 [IKE 版本](https://aws.amazon.com/about-aws/whats-new/2019/02/aws-site-to-site-vpn-now-supports-ikev2/) (AWS 支援 IKEv1 和 IKEv2)。
* 針對您的 IKE 版本使用適當的生命週期 (以秒為單位，階段 1)。若要根據您的要求設定通道選項，請參閱[站點間 VPN 連線的通道選項](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNTunnels.html)。
* 具有已設定正確的[預先共用金鑰 (PSK) 或有效憑證的客戶閘道裝置](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-tunnel-authentication-options.html#pre-shared-keys)。
* 可以從客戶閘道成功 ping AWS 虛擬私有網路 (AWS VPN) 端點。


如果 AWS Site-to-Site VPN 已開啟**加速**功能，請確定已為客戶閘道裝置開啟 **NAT 周遊**。


如果客戶閘道裝置位於網路位址轉譯 (NAT) 裝置後方，請確認下列事項：


* **連接埠 500** 上的 UDP 封包 (如果使用 NAT 周遊，則為**連接埠 4500**) 可在您的網路與 AWS VPN 端點之間傳遞。
* 中間網際網路服務供應商 (ISP) 不會阻止 UDP 連接埠 500 (如果使用 NAT 周遊，則為連接埠 4500)。


**注意：**如果您的客戶閘道不在連接埠位址轉譯 (PAT) 裝置後方，最佳實務就是關閉 NAT 周遊。





---




相關資訊
--------------------



[客戶閘道裝置疑難排解](https://docs.aws.amazon.com/vpc/latest/adminguide/Troubleshooting.html)


[客戶閘道裝置](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html)







在 Amazon Virtual Private Cloud (Amazon VPC) 中建立虛擬私有網路 (VPN) 時，我的組態的網際網路金鑰交換 (IKE) 階段會失敗。

對 VPN 通道第 1 階段 (IKE) 故障進行疑難排解

為什麼 Amazon VPC 中 IKE (我的 VPN 通道的第 1 階段) 失敗？

網路與內容交付

如何對 AWS VPN 端點與政策型 VPN 之間的連線問題進行疑難排解？

如何透過 VPN 疑難排解 BGP 連線問題？

為什麼 Amazon VPC 中 IKE (我的 VPN 通道的第 1 階段) 失敗？

解決方法

相關資訊

相關內容