我正在使用 AWS Site-to-Site VPN 连接,而该连接在虚拟私有网关(VGW)上终止。然而我无法访问虚拟私有云(VPC)中的资源。
使用 AWS 管理控制台,检查 Site-to-Site VPN 连接的隧道状态是否为正常运行。如果连接的状态为关闭,请按照故障排除步骤解决第 1 阶段故障和第 2 阶段故障的连接停机问题。
验证在客户网关设备上配置的加密域是否足够广泛,足以覆盖本地(本地)和远程(AWS)网络 CIDR。Site-to-Site VPN 是一种基于路由的虚拟专用网络(VPN)解决方案,因此默认情况下,本地和远程网络 CIDR 设置为任意/任意(0.0.0.0/0)。AWS 将入站和出站安全关联的安全关联(SA)数量限制为一对。因此,如果定义了多个网络通过隧道进行通信,则会协商多个安全关联。此设置可能会导致网络连接故障。
对于主动/主动设置(两条隧道均处于正常运行状态),请确保在客户网关设备上支持并激活非对称路由。如果您尚未启用非对称路由,则 AWS 会随机选择出口隧道(AWS 到客户网关流量)。对于动态 VPN,请使用 AS PATH 前置或 MED BGP 属性通过单个隧道将流量从 VPC 返回到客户网关设备。
对于静态 VPN,请确保在 VPN 连接上定义远程本地网络路由。此外,请确保您已在客户网关设备上为 VPC CIDR 创建了相应的反向路由。此反向路由用于通过虚拟隧道接口(VTI)路由流量。
对于动态 VPN,请确保客户网关设备向 AWS 对等方播发本地路由。也请检查客户网关设备是否正在接收 VPC 网络 CIDR。
验证 VPC 路由表上的路由。最佳做法是启用 VGW 路由传播,以自动将 VPN 路由传播到 VPC 路由表。或者,如果路由传播已关闭,则可以为本地网络添加静态路由,以便通过 VGW 进行路由。
验证子网网络 ACL 和目标资源安全组上是否都允许流量。有关详细信息,请参阅使用安全组控制资源的流量和使用网络 ACL 控制子网的流量。
确认在目标主机或实例防火墙上允许流量(入站和出站)。在 Windows 操作系统上,检查 Windows 防火墙是否允许流量。对于 Linux 系统,验证 IP 表、防火墙和其他类似主机防火墙是否已允许相应的流量。
检查在目标服务器上运行的应用程序是否正在侦听预期的端口和协议(TCP/UDP)。运行以下命令:
Windows CMD:
> netstat -a
Linux 终端:
$ sudo netstat -plantu
Windows 文档中的如何确定哪个程序使用或阻止 Windows Server 2003 中的特定传输控制协议端口