如何對 Amazon VPC 的 VPN 通道連線進行疑難排解？

2 分的閱讀內容

我在 Amazon Virtual Private Cloud (Amazon VPC) 中建立和維護與 AWS 基礎架構的 AWS Site-to-Site VPN 連線時遇到問題。

簡短描述

Amazon VPC 網路模型支援與 AWS 基礎架構的開放標準、加密的 IPsec 虛擬私有網路 (VPN) 連線。建立與 Amazon VPC 的 VPN 通道連線包括：

VPN 通道網際網路金鑰交換 (IKE) 組態
VPN 通道網際網路通訊協定安全性 (IPsec) 組態
網路存取控制清單 (NACL) 組態
Amazon VPC 安全群組規則組態
Amazon Elastic Compute Cloud (Amazon EC2) 執行個體網路路由表組態
Amazon EC2 執行個體防火牆組態
VPN 閘道組態，包括虛擬私有閘道或傳輸閘道

如果您從 Amazon VPC 建立或維護 Site-to-Site VPN 連線時遇到問題，請嘗試以下方法解決問題。

解決方法

如果無法建立 Site-to-Site VPN 通道

若要解決建立 Site-to-Site VPN 通道時發生的失敗，必須確定失敗發生在哪個階段：

如果網際網路金鑰交換 (IKE) 階段失敗，請執行為什麼 Amazon VPC 中 IKE (我的 VPN 通道的第 1 階段) 失敗？中的步驟。
如果網際網路通訊協定安全性 (IPsec/階段 2) 階段失敗，請執行為什麼 AWS Site-to-Site VPN 的 IPsec/第 2 階段連線失敗？中的步驟。

如果建立了 Site-to-Site VPN 通道

如果兩個 VPN 通道都已建立，請執行下列步驟：

開啟 Amazon EC2 主控台，然後檢視 Amazon VPC 中的網路存取控制清單 (NACL)。自訂 NACL 可能會影響連接的 VPN 建立網路連線的能力。如需詳細資訊，請參閱使用網路 ACL 。
請執行更新安全群組規則中的步驟來啟用傳入的 SSH、RDP 和 ICMP 存取。
驗證在 Amazon EC2 執行個體中指定的路由表是否正確。如需詳細資訊，請參閱使用路由表。
使用兩個通道都已啟用的主動/主動組態時：使用主動/主動時，AWS 會自動將其中一個作用中通道指定為偏好的 VPN 通道，以將流量從 AWS 傳送到內部部署網路。使用主動/主動組態時，客戶閘道必須在虛擬通道介面上啟動非對稱路由。如需詳細資訊，請參閱如何將 Site-to-Site VPN 連線設定為偏好通道 A 而非通道 B？
驗證 VPC 內部沒有防火牆封鎖到 Amazon EC2 執行個體的流量：

對於 Amazon EC2 Windows 執行個體：開啟命令提示字元，然後執行命令 WF.msc。
對於 Amazon EC2 Linux 執行個體：開啟終端，然後執行帶有適當引數的 iptables 命令。如需關於 iptables 命令的更多資訊，請從終端執行 man iptables 命令。
如果您的客戶閘道裝置實作以政策為基礎的 VPN：請注意，AWS 將安全關聯的數量限制為單一配對。單一配對包括一個傳入和一個傳出的安全性關聯。使用以政策為基礎的 VPN 時，最佳做法是將內部網路的來源位址設定為 0.0.0.0/0。然後，將目的地位址設定為 VPC 子網路 (例如： 192.168.0.0/16)。這些設定會將流量引導至 VPC 並穿越 VPN，而不會建立其他安全性關聯。如需詳細資訊，請參閱如何對 AWS VPN 端點與以政策為基礎的 VPN 之間的連線問題進行疑難排解？

如果從可能的根本原因中排除了執行個體連線和 VPC 組態

從 Linux 的終端工作階段執行 traceroute 公用程式。或者，從 Windows 的命令提示字元執行 tracert 公用程式。traceroute 和 tracert 都必須從您的內部網路執行到 VPN 連線的 VPC 中的 Amazon EC2 執行個體。

如果 traceroute 輸出停止於與內部網路相關聯的 IP 位址，請驗證 VPN 邊緣裝置的路由路徑是否正確。
如果 ** tracert ** 輸出停止於與內部網路相關聯的 IP 位址，請驗證 VPN 邊緣裝置的路由路徑是否正確。
如果確認內部網路的流量可到達您的客戶閘道裝置，但無法到達 EC2 執行個體：驗證 VPN 客戶閘道上的 VPN 組態、政策和 NAT 設定是否正確。接下來，驗證上游裝置 (如果有) 是否允許流量流。

對邊界閘道協定 (BGP) 的問題進行疑難排解

如果邊界閘道協定 (BGP) 失效，請確定您已定義了 BGP 自治系統編號 (ASN)。ASN 是您在建立客戶閘道時使用的編號。與客戶閘道關聯的 ASN 隨附於可下載的 VPN 組態屬性。如需詳細資訊，請參閱虛擬私有閘道。

您可以使用已指派至您網路的現有 ASN。如果 ASN 未指派，可以使用 64512-65534 範圍內的私有 ASN。設定的 ASN 必須與您在 AWS 中建立 VPN 時提供的 ASN 相符。請確定客戶閘道上的任何本機防火牆組態都允許 BGP 流量傳輸到 AWS。如需關於閘道連線疑難排解的詳細資訊，請參閱客戶閘道裝置疑難排解。