AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Wie behebe ich Probleme bei der VPN-Tunnel-Konnektivität mit einer Amazon VPC?

Lesedauer: 4 Minute

Mein AWS Site-to-Site VPN (Site-to-Site VPN) kann keine Verbindung zu meiner Amazon Virtual Private Cloud (Amazon VPC) herstellen oder aufrechterhalten.

Kurzbeschreibung

Das Amazon VPC-Netzwerkmodell unterstützt offene, verschlüsselte IPSec-VPN-Verbindungen (Internet Protocol Security) zur AWS-Infrastruktur. Um eine VPN-Tunnelverbindung zu einer Amazon VPC herzustellen, überprüfe die Konfiguration für die folgenden Ressourcen:

Internet Key Exchange (IKE) des VPN-Tunnels
VPN-Tunnel IPSec
Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACLs)
Regeln für Amazon VPC-Sicherheitsgruppen
Netzwerk-Routingtabelle der Amazon Elastic Compute Cloud (Amazon EC2)-Instance
Amazon EC2-Instance-Firewall
VPN-Gateways für virtuelle private Gateways und Transit-Gateways

Lösung

Stelle sicher, dass AWS VPN einen Site-to-Site-VPN-Tunnel einrichten kann

Stelle sicher, dass IKE eine Verbindung herstellen kann. Stelle außerdem sicher, dass IPSec eine Verbindung herstellen kann.

Beheben häufig auftretender Routing-Probleme

Führe die folgenden Schritte aus:

Öffne die Amazon-VPC-Konsole.
Überprüfe die Netzwerk-ACLs, um sicherzustellen, dass sie den erforderlichen Datenverkehr zulassen.
Hinweis: Benutzerdefinierte Netzwerk-ACLs können sich auf die Netzwerkkonnektivität des angeschlossenen VPN auswirken.
Konfiguriere eingehende Regeln so, dass sie Quell- und Ziel-CIDRs enthalten, die bestimmte Zielports und kurzlebige Quellports zulassen (1024-65535).
Stelle sicher, dass die Routing-Tabellen in deinen Amazon-EC2-Instances korrekt sind.
Wenn du eine Active/Active-Konfiguration verwendest, stelle sicher, dass du das asymmetrische Routing auf deinen virtuellen Tunnelschnittstellen aktivierst. Weitere Informationen findest du unter Wie konfiguriere ich meine Site-to-Site VPN-Verbindung so, dass Tunnel A Tunnel B vorzuziehen ist?
Stelle sicher, dass keine Firewalls den Datenverkehr zur Amazon EC2-Instance innerhalb der VPC blockieren. Führe je nach Betriebssystem die folgenden Befehle aus.
Windows:
Öffne eine Eingabeaufforderung und führe den Befehl WF.msc aus. Weitere Informationen findest du unter Öffnen der Windows-Firewall mit erweiterter Sicherheit auf der Microsoft-Website.
Linux:
Öffne das Terminal und führe dann den Befehl iptables aus. Weitere Informationen findest du unter Sysadmin-Tools: So verwendest du iptables auf der Red Hat-Website.
Wenn du ein richtlinienbasiertes VPN verwendest, richte die Quelladresse aus deinem internen Netzwerk als 0.0.0.0/0 ein. Lege dann das VPC-Subnetz als Zieladresse fest. Weitere Konfigurationsschritte findest du unter Wie behebe ich Verbindungsprobleme zwischen einem AWS-VPN-Endpunkt und einem richtlinienbasierten VPN?

Stelle sicher, dass der Datenverkehr aus deinem Netzwerk deine EC2-Instance erreicht

Führe die folgenden Schritte aus:

Öffne das Terminal.
Führe den folgenden Befehl aus, um zu überprüfen, ob das Internet Control Message Protocol (ICMP) über Konnektivität verfügt:
```
ping example_IP
```
Hinweis: Ersetze example_IP durch die IP-Adresse deines Servers.
Füge die ICMP-Regel in Sicherheitsgruppen und Netzwerk-ACLs hinzu.
Führe je nach Betriebssystem eines der folgenden Dienstprogramme von deinem internen Netzwerk aus auf einer Instance in der VPC aus, die eine Verbindung zum VPN herstellt.
Linux:
```
traceroute example-destination-IP-address
```
Windows:
```
tracert example-destination-IP-address
```
Wenn die Ausgabe für Traceroute oder Tracert an einer IP-Adresse endet, die deinem internen Netzwerk zugeordnet ist, überprüfe, ob der Routingpfad korrekt ist. Weitere Informationen findest du unter Wie lese und prüfe ich meine Traceroute, um Probleme mit AWS Direct Connect zu lösen?

Probleme mit dem Kunden-Gateway-Gerät beheben

Wenn der Datenverkehr aus deinem internen Netzwerk das Kunden-Gateway-Gerät erreicht, die Instance jedoch nicht erreicht, ergreife die folgenden Maßnahmen:

Stelle sicher, dass du die VPN-Konfiguration, die Richtlinien und die Einstellungen für die Netzwerkadressübersetzung auf dem Kunden-Gateway-Gerät für dein VPN richtig konfiguriert hast.
Stelle sicher, dass Upstream-Geräte Datenverkehr zulassen.

Hinweis: Informationen zur Überprüfung der Konfigurationen und anderer Einstellungen auf dem Kunden-Gateway-Gerät findest du in der Herstellerdokumentation für dein Kunden-Gateway-Gerät.

Probleme mit dem BGP beheben

Informationen zur Behebung von Verbindungsproblemen mit dem Border Gateway Protocol (BGP) findest du unter Wie behebe ich Verbindungsprobleme über VPN?

Relevanter Inhalt

Wie behebe ich Probleme bei der Netzwerkkonnektivität meiner Notebook-Instance für Amazon SageMaker, bei der der direkte Internetzugang deaktiviert ist?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich Probleme bei der VPC-zu-VPC-Konnektivität über ein Transit-Gateway?
AWS OFFICIALAktualisiert vor 3 Monaten
Wie behebe ich Probleme bei der Konnektivität zwischen On-Premises-Ressourcen und VPC über Transit Gateway?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich Probleme bei der Network-Manager-Registrierung und Ereignisüberwachung?
AWS OFFICIALAktualisiert vor 4 Jahren