如何解决 AWS VPN 终端节点与基于策略的 VPN 之间的连接问题?

1 分钟阅读
0

我正在使用基于策略的虚拟专用网络(VPN)连接到 Amazon Virtual Private Cloud(Amazon VPC)中的 AWS Virtual Private Network(AWS VPN)端点。我遇到了问题,例如数据包丢失、间歇性连接或没有连接以及一般网络不稳定问题,我想排查这些问题。

简短描述

当您使用基于策略的 VPN 连接连接到 AWS VPN 终端节点时,AWS 会将安全关联的数量限制为一对。这一对包括一个入站和一个出站安全关联。

当具有不同安全关联的新连接启动时,拥有多对安全关联的基于策略的 VPN 将会丢弃现有连接。此行为表明新 VPN 连接已中断现有 VPN 连接。

解决方法

限制可访问您的 VPC 的加密域(网络)的数量。如果 VPN 的客户网关后面有 1 个以上的加密域,请将它们配置为使用单个安全关联。要检查客户网关是否存在多个安全关联,请参阅客户网关设备故障排除

配置客户网关以允许客户网关(0.0.0.0/0)背后的任何网络 [目的地是您的 VPC 无类别域间路由(CIDR)] 通过 VPN 隧道。此配置使用单个安全关联,可提高隧道稳定性。此配置还允许未在策略中定义的网络访问 VPC。

如果可能,请在客户网关上实施流量过滤器,以阻止不必要的流量进入您的 VPC。配置安全组以指定可以到达实例的流量。还应配置网络访问控制列表(网络 ACL)以阻止不需要的子网流量。


相关信息

Amazon VPC 中的 IKE(VPN 隧道阶段 1)为什么失败?

为什么 AWS Site-to-Site VPN 的 IPsec/Phase 2 无法建立连接?

AWS 官方
AWS 官方已更新 2 年前