使用在传输网关上终止的 Amazon Site-to-Site VPN 时，为什么无法连接到 VPC？

解决方法

• 确认在亚马逊云科技端和您的客户网关设备上，Amazon Site-to-Site VPN 连接的隧道均已开启。如果连接状态为“关闭”，则按照 IKE/第 1 阶段和 IKE/第 2 阶段故障的故障排除步骤来建立隧道。

• 检查在客户网关设备上配置的加密域是否足够广泛，可以覆盖本地和远程（亚马逊云科技）网络 CIDR。站点到站点 VPN 是一种基于路由的解决方案。也就是说，本地和远程网络 CIDR 会在亚马逊云科技端上被默认设置为任意/任意 (0.0.0.0/0 <==> 0.0.0.0/0)。但是，如果您在客户网关端使用基于策略的站点到站点 VPN，则使用特定的加密域来覆盖预期的流量。

  注意： 对于入站和出站 SA，亚马逊云科技将安全关联 (SA) 数量限制为一对。如果您使用基于策略的站点到站点 VPN，并且有多个可通过站点到站点 VPN 隧道进行访问的网络，则必须对加密域进行汇总。如果未对加密域进行汇总，则客户网关会提出多个 SA，从而可能会导致连接故障。

• 确认您的客户网关是否在 NAT 设备后。否则，对于站点到站点 VPN 端点与客户网关之间的连接，请确保允许 ESP-IP 协议 50。如果客户网关在 NAT 设备后，请检查 NAT-T 是否已开启。如果 NAT-T 已开启，请确保 NAT 设备和客户网关设备上允许 UDP 端口 4500。这是允许 ESP 流量流入的一项要求。

• 如果您使用的是加速站点到站点 VPN，请确保在客户网关端上已开启 NAT-T。

• 检查客户网关设备上的防火墙策略是否允许从本地网络到亚马逊云科技的出站流量。然后检查该策略是否允许从亚马逊云科技到本地网络的入站流量。

• 对于静态站点到站点 VPN，在与源 VPC 挂载关联的中转网关路由表上为本地网络 CIDR 定义静态路由。

• 对于动态站点到站点 VPN，请确保客户网关设备正在向站点到站点 VPN 端点通告本地路由。然后，确保客户网关设备正在从站点到站点 VPN 端点接收 VPC CIDR 的路由。检查设备的路由表中是否有 VPC CIDR 的路由，该路由指向亚马逊云科技对等项的虚拟隧道接口。



• 在与源 VPC 挂载关联的 TGW 路由表上，您可以开启从站点到站点 VPN 挂载进行的传播。然后，本地路由会被自动添加到与源 VPC 挂载关联的 TGW 路由表中。

• 对于静态站点到站点 VPN，您可能要使用基于路由的 VPN 实施。在此设置中，请检查客户网关设备是否有亚马逊云科技网络指向虚拟隧道接口的静态路由。或者，如果您使用基于策略的 VPN 实施，请确保您的策略与本地网络和亚马逊云科技网络相匹配。

• 对于静态站点到站点 VPN，请验证亚马逊云科技上的两条隧道是否具有主动/主动设置，也就是说两条隧道均已开启。确保您的客户网关设备支持非对称路由。如果不支持非对称路由，则亚马逊云科技会随机选择出口隧道。

• 对于动态站点到站点 VPN，请检查中转网关上是否已激活 VPN ECMP 支持。然后检查您是否具有主动/主动设置，其中客户网关会通告相同的前缀和 BGP 属性。如果您具有主动/主动设置，并且已激活 VPN ECMP 支持，则亚马逊云科技会对两个隧道的流量进行负载均衡。因此，必须在客户网关设备上支持和激活非对称路由。如果关闭 VPN ECMP 支持，则亚马逊云科技会随机选择出口隧道，从而导致形成非对称路由。

• 检查 VPC 路由表上的路由。虚拟私有网关允许您开启路由传播，以自动将站点到站点 VPN 路由传播到 VPC 路由表。但在使用中转网关时，您必须为本地 CIDR 定义指向中转网关的静态路由。

• 验证中转网关 VPC 挂载是否有与之关联的子网。此子网必须覆盖您的目标资源在 VPC 内所在的可用区 (AZ)。

• 验证与目标实例或资源关联的安全组上是否允许流量。

• 验证网络访问控制列表（网络 ACL）是否允许入站和出站流量。

  **注意：**网络 ACL 规则的应用方式不同。这取决于实例和中转网关 VPC 挂载弹性网络接口位于同一个子网中还是位于不同的子网中。

• 检查目标主机的操作系统级防火墙是否允许入站和出站流量。

• 检查在目标服务器上运行的应用程序是否正在侦听指定的端口和协议。运行以下命令：

  Windows PowerShell 或命令提示符：

  netstat -a

  Linux 终端：

  netstat -plantu

相关信息

配置站点到站点 VPN 连接以便让隧道 A 优先于隧道 B

使用 Amazon CloudWatch 监控 VPN 隧道