使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

我的客戶閘道與虛擬私有閘道之間的 VPN 通道是 UP,但我無法通過它傳遞流量。我可以做什麼?

1 分的閱讀內容
0

我在客戶閘道和虛擬私有閘道之間建立了 VPN 連線,但流量並未通過它。如何對此問題進行疑難排解?

解決方法

若要對此問題進行疑難排解,請確認您的 Amazon VPC、虛擬私有閘道和客戶閘道設定正確。

檢閱 Amazon VPC 和虛擬私有閘道的組態

  1. 確認與 VPN 連線相關聯的虛擬私有閘道已連接至您的 Amazon VPC。
  2. 確認內部部署和 VPC 私有網路不重疊,因為重疊的子網路可能會造成 VPN 通道上的路由問題。
  3. 對於靜態路由型 VPN 連線,請檢查 VPN 連線靜態路由標籤,確認已設定內部部署私有網路的路由。
  4. 對於基於 BGP 的 VPN 連線,請確認已建立 BGP 工作階段。此外,請檢查 VPN 連線的通道詳細資料標籤,確認虛擬私有閘道是否從客戶閘道接收 BGP 路由。
  5. 設定 VPC 路由表,以包含前往內部部署私有網路的路由。將它們導向您的虛擬私有閘道,以便 Amazon VPC 中的執行個體可以連線到您的內部部署網路。您可以手動將這些路由新增至 VPC 路由表,或使用路由傳播自動傳播這些路由。
  6. 確認已將 VPC 安全群組和存取控制清單 (ACL) 設定為允許傳入和傳出流量進出內部部署子網路的必要流量 (ICMP、RDP、SSH)。
  7. 在不同可用區域的多個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上執行封包擷取,以確認來自內部部署主機的流量已到達您的 Amazon VPC。

檢閱您的客戶閘道

  1. 確認 VPN 裝置上的 IPsec 組態符合客戶閘道的需求
  2. 確認來自客戶閘道的封包已經過加密,並透過 VPN 通道傳送。
  3. 對於基於政策的組態,請檢查 VPN 連線的詳細資料,以確認流量選擇器已正確設定。(本機 IPv4 網路 CIDR = 客戶閘道 CIDR 範圍和遠端 IPv4 網路 CIDR = AWS 端 CIDR 範圍)
  4. 對於基於政策的組態,請務必將加密政策的數目限制為單一政策。**注意:**AWS Support 針對每個 VPN 通道僅支援一對第 2 階段安全關聯 (SA)。
  5. 如果您的 VPN 通道以路由為基礎,請確認您已正確設定至 VPC CIDR 的路由。
  6. 確認透過通道傳送的流量未轉譯為 VPN 連線的客戶閘道 IP 地址。如果您對 VPN 流量有特定 NAT 需求,請使用與客戶閘道 IP 地址不同的 IP 地址進行設定。
  7. 如果您的客戶閘道不在 NAT 裝置後面,則最佳實務是關閉 NAT-Traversal。
  8. 確認沒有防火牆政策或 ACL 會干擾傳入或傳出 IPsec 流量。
  9. 在客戶閘道裝置的 WAN 介面上執行 ESP 流量的封包擷取,以確認其正在傳送和接收加密封包。

相關資訊

客戶閘道裝置

AWS 官方
AWS 官方已更新 2 年前