如何對 Amazon VPC 的 VPN 通道連線進行疑難排解？

簡短描述

Amazon VPC 網路模型支援與 AWS 基礎結構的開放標準、加密的網際網路通訊協定安全 (IPsec) VPN 連線。若要建立與 Amazon VPC 的 VPN 通道連線，請檢查下列資源的組態：

• VPN 通道網際網路金鑰交換 (IKE)
• VPN 通道 IPsec
• 網路存取控制清單 (網路 ACL)
• Amazon VPC 安全群組規則
• Amazon Elastic Compute Cloud (Amazon EC2) 執行個體網路路由表
• Amazon EC2 執行個體防火牆
• 虛擬私有閘道和傳輸閘道的 VPN 閘道

解決方法

確認 AWS VPN 是否可以建立 Site-to-Site VPN 通道

確保 IKE 可以建立連線。此外，請確保 IPsec 可以建立連線。

對常見路由問題進行疑難排解

請完成下列步驟：

1. 開啟 Amazon VPC console (Amazon VPC 主控台)。
2. 檢查網路 ACL，以確保其允許必要流量。
   注意：自訂網路 ACL 可能會影響所連線 VPN 的網路連線。
3. 設定傳入規則以包含允許特定目的地連接埠和臨時來源連接埠 (1024-65535) 的來源 CIDR 和目的地 CIDR。
4. 確認 Amazon EC2 執行個體中的路由表是否正確。
5. 如果您使用主動/主動組態，請確保在虛擬通道介面上啟動非對稱路由。如需詳細資訊，請參閱如何將 Site-to-Site VPN 連線設定為優先使用通道 A 而非通道 B？
6. 確保沒有防火牆阻止到 VPC 內部 Amazon EC2 執行個體的流量。根據您的作業系統 (OS) 執行以下命令。
   Windows：
   開啟命令提示字元，然後執行 WF.msc 命令。如需詳細資訊，請參閱 Microsoft 網站上的開啟具有進階安全性的 Windows 防火牆。
   Linux：
   開啟終端，然後執行 iptables 命令。如需詳細資訊，請參閱 Red Hat 網站上的系統管理員工具： 如何使用 iptables。
7. 如果您使用政策型 VPN，請將內部網路的來源位址設定為 0.0.0.0/0。然後，將目的地位址設定為 VPC 子網路。如需更多設定步驟，請參閱如何對 AWS VPN 端點與政策型 VPN 之間的連線問題進行疑難排解？

確保來自您網路的流量到達您的 EC2 執行個體

請完成下列步驟：

1. 打開終端。
2. 執行下列命令來確認網際網路控制訊息通訊協定 (ICMP) 是否具有連線：

   ping example_IP

   **注意：**將 example_IP 替換為您伺服器的 IP 位址。
   在安全群組和網路 ACL 中新增 ICMP 規則。
3. 根據您的作業系統，從內部網路執行下列其中一個公用程式，以連線至透過 VPN 連接至 VPC 的執行個體。
   Linux：

   traceroute example-destination-IP-address

   Windows：

   tracert example-destination-IP-address

   如果 traceroute 或 tracert 的輸出在與您的內部網路關聯的 IP 位址處停止，請確認路由路徑是否正確。如需詳細資訊，請參閱如何讀取 traceroute 並進行疑難排解，以解決 AWS Direct Connect 問題？

對客戶閘道裝置的問題進行疑難排解

如果來自內部網路的流量到達客戶閘道裝置但未到達執行個體，請執行下列動作：

• 確認您是否在客戶閘道裝置上為 VPN 正確設定了 VPN 設定、政策和網路位址轉換設定。
• 確保上游裝置允許流量。

**注意：**若要確認客戶閘道裝置上的組態和其他設定，請查看客戶閘道裝置的供應商文件。

對 BGP 問題進行疑難排解

若要解決邊界閘道協定 (BGP) 連線問題，請參閱如何對 VPN 連線問題進行疑難排解？

相關資訊

AWS Site-to-Site VPN 單 VPN 和多 VPN 連線範例

AWS Site-to-Site VPN 的運作方式