我的本地网络与 AWS 之间有 AWS Site-to-Site VPN 连接,但我无法连接到我的本地资源。
解决方法
检查 Site-to-Site VPN 连接状态
验证 Site-to-Site VPN 连接是否处于可用状态,以及隧道是否正常运行。
1. 登录 AWS 管理控制台。
2. 在**虚拟专用网络(VPN)**下,选择 Site-to-Site VPN 连接。
3. 如果您的连接已关闭,请按照第 1 阶段故障和第 2 阶段故障的故障排查步骤来解决停机错误。
注意: 请注意,只有当 BGP 也正常运行时,基于边界网关协议(BGP)的 Site-to-Site VPN 才会正常运行。如果 BGP 关闭,则您的 Site-to-Site VPN 状态为关闭。
检查您的基于策略的 Site-to-Site VPN 是否有多对安全关联
确认客户网关是否使用基于策略的 Site-to-Site VPN 连接来连接到 Site-to-Site VPN 端点。AWS 只允许单对安全关联。单对包括一个入站和一个出站安全关联。如果基于策略的 Site-to-Site VPN 超过此限制,则在启动包含不同安全关联的新连接时,将会中断现有连接。实际上,新的 Site-to-Site VPN 连接会中断现有连接。
当您使用基于策略的 Site-to-Site VPN 时,最佳实践是将来自内部网络的源地址设置为 0.0.0.0/0。有关详细信息,请参阅如何解决 AWS VPN 端点和基于策略的 VPN 之间的连接问题?
检查加密域或流量选择器的覆盖范围
请确保您所使用的加密域或流量选择器同时覆盖源网络和目标网络。如果源网络和目标网络均未被覆盖,则流量会中断。
将您的 Amazon Elastic Compute Cloud(Amazon EC2)实例的路由表指向虚拟专用网关或中转网关
与您的 EC2 实例关联的路由表必须具有指向虚拟专用网关或中转网关的路由。如果您正使用虚拟专用网关,则可以启用传播。
您可能正在使用连接到中转网关的静态 Site-to-Site VPN。确保在中转网关表中向中转网关 Site-to-Site VPN 连接添加了静态路由。对于动态 Site-to-Site VPN,请确保已启用传播。当连接传播到中转网关路由表时,这些路由会安装在路由表中。
检查安全组和网络 ACL 设置
请确保实例的安全组和网络 ACL 允许您试图访问的端口上的传入流量。要检查这一点,请登录 Amazon Virtual Private Cloud(Amazon VPC)控制台。在导航窗格中选择安全组或网络 ACL,然后查看您的设置。
检查您是否正使用主动/主动配置
您可能正使用主动/主动配置。这意味着两条隧道都正常运行,并且您的 Site-to-Site VPN 将在 ECMP 关闭的情况下在虚拟专用网关或中转网关上终止。在此用例中,AWS 将一条活动隧道指定为首选 Site-to-Site VPN 隧道,用于将流量从 AWS 发送到本地网络。当您使用主动/主动配置时,客户网关必须在虚拟隧道接口上激活非对称路由。有关详细信息,请参阅如何将我的 Site-to-Site VPN 连接配置为优先使用隧道 A 而不是隧道 B?
其他故障排除
根据您使用的 Site-to-Site VPN 的类型,完成以下故障排除检查:
-
对于基于 BGP 的 Site-to-Site VPN,请确保您播发正确的本地前缀。
-
对于静态 Site-to-Site VPN,请确保为 Site-to-Site VPN 配置正确的静态路由。登录到 Site-to-Site VPN 控制台,然后在静态路由下检查您的 Site-to-Site VPN 的目标网络。
-
对于静态 Site-to-Site VPN,请检查您的客户网关设备,以确保您配置了指向目标 Amazon VPC CIDR 的静态路由。
-
对于加速 Site-to-Site VPN,请检查 NAT-T 是否已启用以及流量是否正在使用 UDP 4500。这是流量流动所必需的。如果未启用 NAT-T,则隧道会正常运行,但流量不会通过该隧道。
注意: 注意使用加速 Site-to-Site VPN 连接的规则。
相关信息
如何解决 AWS VPN 端点和基于策略的 VPN 之间的连接问题?