我如何对与 Amazon VPC 的 VPN 隧道连接进行故障排除？

简短描述

Amazon VPC 网络模型支持与 AWS 基础设施的开放标准、加密的互联网协议安全 (IPsec) VPN 连接。要建立与 Amazon VPC 的 VPN 隧道连接，请检查以下资源的配置：

• VPN 隧道互联网密钥交换 (IKE)
• VPN 隧道 IPsec
• 网络访问控制列表（网络 ACL）
• Amazon VPC 安全组规则
• Amazon Elastic Compute Cloud (Amazon EC2) 实例网络路由表
• Amazon EC2 实例防火墙
• 虚拟专用网关和传输网关的 VPN 网关

解决方法

验证 AWS VPN 是否可以建立 Site-to-Site VPN 隧道

确保 IKE 可以建立连接。此外，请确保 IPsec 可以建立连接。

对常见的路由问题进行故障排除

完成以下步骤：

1. 打开 Amazon VPC 控制台。
2. 检查网络 ACL，以确保它们允许所需的流量。
   注意：自定义网络 ACL 可能会影响连接的 VPN 的网络连接。
3. 配置入站规则，使其包括允许特定目标端口和临时源端口 (1024-65535) 的源和目标 CIDR。
4. 验证您的 Amazon EC2 实例中的路由表是否正确。
5. 如果您使用主动/主动配置，请确保在虚拟隧道接口上激活非对称路由。有关详细信息，请参阅如何将我的 Site-to-Site VPN 连接配置为优先使用隧道 A 而不是隧道 B？
6. 确保没有防火墙阻止流向 VPC 内的 Amazon EC2 实例的流量。根据您的操作系统 (OS) 运行以下命令。
   Windows：
   打开命令提示符，然后运行 WF.msc 命令。有关详细信息，请参阅 Microsoft 网站上的使用高级安全性打开 Windows 防火墙。
   Linux：
   打开终端，然后运行 iptables 命令。有关详细信息，请参阅 Red Hat 网站上的 Sysadmin tools: How to use iptables（Sysadmin 工具：如何使用 iptables）。
7. 如果您使用基于策略的 VPN，请将内部网络的源地址设置为 0.0.0.0/0。然后，将目标地址设置为 VPC 子网。有关详细信息，请参阅如何解决 AWS VPN 端点和基于策略的 VPN 之间的连接问题？

确保来自您的网络的流量到达您的 EC2 实例

完成以下步骤：

1. 打开终端。
2. 运行以下命令以验证互联网控制消息协议 (ICMP) 是否具有连接：

   ping example_IP

   **注意：**将 example_IP 替换为服务器的 IP 地址。
   在安全组和网络 ACL 中添加 ICMP 规则。
3. 根据您的操作系统，将以下实用程序之一从您的内部网络运行到连接到 VPN 的 VPC 中的实例。
   Linux：

   traceroute example-destination-IP-address

   Windows：

   tracert example-destination-IP-address

   如果 traceroute 或 tracert 的输出在与您的内部网络关联的 IP 地址处停止，请验证路由路径是否正确。有关详细信息，请参阅如何读取 traceroute 并进行故障排除以解决 AWS Direct Connect 问题？

对客户网关设备的问题进行故障排除

如果来自您的内部网络的流量到达客户网关设备但未到达实例，请执行以下操作：

• 验证您是否已在客户网关设备上为 VPN 正确配置 VPN 配置、策略和网络地址转换设置。
• 确保上游设备允许流量。

**注意：**要验证客户网关设备上的配置和其他设置，请查看您的客户网关设备的供应商文档。

对 BGP 问题进行故障排除

要解决边界网关协议 (BGP) 连接问题，请参阅如何通过 VPN 解决连接问题？

相关信息

AWS Site-to-Site VPN 单一和多个 VPN 连接示例

AWS Site-to-Site VPN 的工作原理