我在 Amazon Virtual Private Cloud (Amazon VPC) 中建立和維護與 AWS 基礎架構的 AWS Site-to-Site VPN 連線時遇到問題。
簡短描述
Amazon VPC 網路模型支援與 AWS 基礎架構的開放標準、加密的 IPsec 虛擬私有網路 (VPN) 連線。建立與 Amazon VPC 的 VPN 通道連線包括:
- VPN 通道網際網路金鑰交換 (IKE) 組態
- VPN 通道網際網路通訊協定安全性 (IPsec) 組態
- 網路存取控制清單 (NACL) 組態
- Amazon VPC 安全群組規則組態
- Amazon Elastic Compute Cloud (Amazon EC2) 執行個體網路路由表組態
- Amazon EC2 執行個體防火牆組態
- VPN 閘道組態,包括虛擬私有閘道或傳輸閘道
如果您從 Amazon VPC 建立或維護 Site-to-Site VPN 連線時遇到問題,請嘗試以下方法解決問題。
解決方法
如果無法建立 Site-to-Site VPN 通道
若要解決建立 Site-to-Site VPN 通道時發生的失敗,必須確定失敗發生在哪個階段:
如果建立了 Site-to-Site VPN 通道
如果兩個 VPN 通道都已建立,請執行下列步驟:
- 開啟 Amazon EC2 主控台,然後檢視 Amazon VPC 中的網路存取控制清單 (NACL)。自訂 NACL 可能會影響連接的 VPN 建立網路連線的能力。如需詳細資訊,請參閱使用網路 ACL。
- 請執行更新安全群組規則中的步驟來啟用傳入的 SSH、RDP 和 ICMP 存取。
- 驗證在 Amazon EC2 執行個體中指定的路由表是否正確。如需詳細資訊,請參閱使用路由表。
- 使用兩個通道都已啟用的主動/主動組態時: 使用主動/主動時,AWS 會自動將其中一個作用中通道指定為偏好的 VPN 通道,以將流量從 AWS 傳送到內部部署網路。使用主動/主動組態時,客戶閘道必須在虛擬通道介面上啟動非對稱路由。如需詳細資訊,請參閱如何將 Site-to-Site VPN 連線設定為偏好通道 A 而非通道 B?
- 驗證 VPC 內部沒有防火牆封鎖到 Amazon EC2 執行個體的流量:
- 對於 Amazon EC2 Windows 執行個體: 開啟命令提示字元,然後執行命令 WF.msc。
- 對於 Amazon EC2 Linux 執行個體: 開啟終端,然後執行帶有適當引數的 iptables 命令。如需關於 iptables 命令的更多資訊,請從終端執行 man iptables 命令。
- 如果您的客戶閘道裝置實作以政策為基礎的 VPN: 請注意,AWS 將安全關聯的數量限制為單一配對。單一配對包括一個傳入和一個傳出的安全性關聯。使用以政策為基礎的 VPN 時,最佳做法是將內部網路的來源位址設定為 0.0.0.0/0。然後,將目的地位址設定為 VPC 子網路 (例如: 192.168.0.0/16)。這些設定會將流量引導至 VPC 並穿越 VPN,而不會建立其他安全性關聯。如需詳細資訊,請參閱如何對 AWS VPN 端點與以政策為基礎的 VPN 之間的連線問題進行疑難排解?
如果從可能的根本原因中排除了執行個體連線和 VPC 組態
從 Linux 的終端工作階段執行 traceroute 公用程式。或者,從 Windows 的命令提示字元執行 tracert 公用程式。traceroute 和 tracert 都必須從您的內部網路執行到 VPN 連線的 VPC 中的 Amazon EC2 執行個體。
- 如果 traceroute 輸出停止於與內部網路相關聯的 IP 位址,請驗證 VPN 邊緣裝置的路由路徑是否正確。
- 如果 ** tracert ** 輸出停止於與內部網路相關聯的 IP 位址,請驗證 VPN 邊緣裝置的路由路徑是否正確。
- 如果確認內部網路的流量可到達您的客戶閘道裝置,但無法到達 EC2 執行個體: 驗證 VPN 客戶閘道上的 VPN 組態、政策和 NAT 設定是否正確。接下來,驗證上游裝置 (如果有) 是否允許流量流。
對邊界閘道協定 (BGP) 的問題進行疑難排解
如果邊界閘道協定 (BGP) 失效,請確定您已定義了 BGP 自治系統編號 (ASN)。ASN 是您在建立客戶閘道時使用的編號。與客戶閘道關聯的 ASN 隨附於可下載的 VPN 組態屬性。如需詳細資訊,請參閱虛擬私有閘道。
您可以使用已指派至您網路的現有 ASN。如果 ASN 未指派,可以使用 64512-65534 範圍內的私有 ASN。設定的 ASN 必須與您在 AWS 中建立 VPN 時提供的 ASN 相符。請確定客戶閘道上的任何本機防火牆組態都允許 BGP 流量傳輸到 AWS。如需關於閘道連線疑難排解的詳細資訊,請參閱客戶閘道裝置疑難排解。
相關資訊
什麼是 AWS Site-to-Site VPN?
具有公有和私有子網路以及 AWS Site-to-Site VPN 存取的 VPC
僅具有私有子網路和 AWS Site-to-Site VPN 存取的 VPC
如何對透過 VPN 進行 BGP 連線的問題進行疑難排解?