我想使用终止于中转网关的 AWS Site-to-Site VPN 来连接 Amazon Virtual Private Cloud (Amazon VPC) 中的资源。
解决方法
要对导致终止于中转网关的 Site-to-Site VPN 无法连接到 Amazon VPC 资源的错误进行故障排除,请采取以下操作:
对 Site-to-Site VPN 连接进行故障排除
验证 Site-to-Site VPN 连接的隧道是否已启动。如果连接已关闭,则对互联网密钥交换 (IKE) /第 1 阶段和 IKE/第 2 阶段故障进行故障排除。有关更多信息,请参阅如何对客户网关设备上的 AWS VPN 隧道不活动或隧道关闭问题进行故障排除?
对中转网关连接进行故障排除
使用 Amazon VPC 控制台来激活传播,然后定义静态路由。确保关联的子网覆盖包含目的地资源的可用区 (AZ)。
激活传播
在中转网关路由表上,激活 Site-to-Site VPN 连接和源 Amazon VPC 连接的传播。要传播路由,请完成以下步骤:
- 在导航窗格中,选择 Transit Gateway Route Tables(中转网关路由表)。
- 选择与源 Amazon VPC 连接关联的路由表。
- 选择 Actions(操作),Create propagation(创建传播)。
- 在 Create propagation(创建传播)页面上,选择 Site-to-Site VPN 连接。
- 选择 Create propagation(创建传播)。
**注意:**创建传播后,中转网关会自动将本地路由添加到与源连接关联的路由表中。
- 在导航窗格中,选择 Transit Gateway Route Tables(中转网关路由表)。
- 选择与 Site-to-Site VPN 连接关联的路由表,然后对源 Amazon VPC 连接重复步骤 3 到 5。
- 验证中转网关 VPC 连接是否有与之关联的子网。
定义静态路由
在 Amazon VPC 路由表上,为指向您的中转网关的本地 CIDR 定义静态路由。要更新 VPC 路由表的路由,请完成以下步骤:
- 在导航窗格中,选择 Route tables(路由表),然后选择路由表。
- 选择 Actions(操作),Edit routes(编辑路由)。
- 要添加路由,请选择 Add route(添加路由)。对于 Destination(目的地),输入目的地本地 CIDR 块、单个 IP 地址或前缀列表的 ID。
要修改路由,对于 Destination(目的地),替换目的地本地 CIDR 块或单个 IP 地址。对于 Target(目标),选择目标网关。
要删除路由,请选择 Remove(移除)。
- 选择 Save changes(保存更改)。
检查关联的子网
使用 Amazon VPC 控制台来验证关联的子网是否覆盖包含目的地资源的 VPC 中的可用区。如果子网未覆盖必要的可用区,请完成以下步骤:
- 在导航窗格上,选择 Transit Gateway Attachments(中转网关连接)。
- 选择 VPC 连接,然后选择 Actions(操作)。
- 选择 Modify transit gateway attachment(修改中转网关连接)。
- 要在连接中添加或删除子网,请在必须要添加或删除的子网旁边选择或清除 子网 ID。
验证 VPC 的安全组和子网网络访问控制列表 (ACL) 是否允许必要的流量。然后,验证中转网关连接的子网网络 ACL 是否允许必要的流量。
**注意:**为 Amazon Elastic Compute Cloud (Amazon EC2) 实例应用角色,与 VPC 使用相同子网或不同子网相对应。
对路由连接错误进行故障排除
**重要事项:**最佳实践是使用动态路由(也称为边界网关协议 (BGP)),而不是静态路由。如果客户网关设备支持动态路由,请确保在 Site-to-Site VPN 连接上配置 BGP。
根据连接使用的路由类型完成以下操作。
动态路由
使用 Amazon VPC 中转网关流程日志来检查流量的路由是否正确。如果路由不正确,请验证以下配置:
- 客户网关设备使用主动/主动设置进行配置。
- 在客户网关设备上播发并在 Site-to-Site VPN 上配置的前缀和 BGP 属性相匹配。
- 非对称路由在客户网关设备上处于活动状态。
- 客户网关设备将本地路由播发到 Site-to-Site VPN 端点。
- 客户网关设备接收来自与 Amazon VPC CIDR 关联的 Site-to-Site VPN 端点的路由。
- 客户网关设备的路由表包含与 Amazon VPC CIDR 关联的路由,指向 AWS 对等方的虚拟隧道接口。
- 等价多路径路由 (ECMP) 支持在中转网关上处于活动状态。
静态路由
验证客户网关设备是否有 AWS 网络指向虚拟隧道接口的静态路由。如果您使用基于策略的 Site-to-Site VPN,请验证 AWS 和本地网络上的策略是否匹配。
对主机上的连接错误进行故障排除
在托管 Amazon VPC 的 Amazon Elastic Compute Cloud (Amazon EC2) 实例上,完成以下步骤:
- 验证目标 Amazon EC2 实例的操作系统级防火墙是否允许入站和出站流量。
- 确保在目标服务器上运行的应用程序是否正在侦听指定的端口和协议:
Windows PowerShell 或命令提示符
netstat -a
Linux 终端
netstat -plantu
相关信息
如何将我的 Site-to-Site VPN 连接配置为优先使用隧道 A 而不是隧道 B?
使用 Amazon CloudWatch 监控 AWS Site-to-Site VPN 隧道
如何对经由 VPN 的 BGP 连接问题进行故障排除?
AWS Site-to-Site VPN 客户网关设备