我的客户网关与我的虚拟私有网关之间已经启用了 VPN 隧道，但无法通过它传递流量。我该怎么办？

上次更新时间：2021 年 4 月 29 日

要排查对此问题，请确认您的 Amazon VPC、虚拟私有网关和客户网关配置正确。

1. 验证与 VPN 连接关联的虚拟私有网关是否已连接到您的 Amazon VPC。
2. 确认本地网络和 VPC 私有网络没有重叠，因为子网重叠可能会导致 VPN 隧道出现路由问题。
3. 对于基于静态路由的 VPN 连接，请检查 VPN 连接的 Static Routes（静态路由）选项卡，验证您是否已为本地私有网络配置了路由。
4. 对于基于 BGP 的 VPN 连接，请验证 BGP 会话是否已建立。另外，请通过检查 VPN 连接的 Tunnel Details（隧道详细信息）选项卡，验证虚拟私有网关是否正在从客户网关接收 BGP 路由。
5. 配置 VPC 路由表以包含指向本地私有网络的路由。将路由指向您的虚拟私有网关，以便 Amazon VPC 中的实例可以访问本地网络。您可以手动将这些路由添加到 VPC 路由表中，也可以使用路由传播来自动传播这些路由。
6. 确认 VPC 安全组和访问控制列表（ACL）已配置为允许所需的入站和出站流量（ICMP、RDP、SSH 等）进出本地子网。
7. 在位于不同可用区的多个 Amazon Elastic Compute Cloud（Amazon EC2）实例上执行抓包操作，以确认来自本地主机的流量正在到达您的 Amazon VPC。

1. 确认 VPN 设备上的 IPsec 配置满足客户网关的要求。
2. 验证来自客户网关的数据包是否已加密并通过 VPN 隧道发送。
3. 对于基于策略的配置，请检查 VPN 连接的 Details（详细信息），以验证流量选择器的配置是否正确。（本地 IPv4 网络 CIDR = 客户网关 CIDR 范围；远程 IPv4 网络 CIDR = AWS 侧 CIDR 范围）
4. 对于基于策略的配置，请确保将加密策略的数量限制为单个策略。
   注意：AWS 仅支持为每个 VPN 隧道使用一对第 2 阶段安全关联（SA）。
5. 如果 VPN 隧道是基于路由的，请确认您已正确配置到您的 VPC CIDR 的路由。
6. 确认通过隧道发送的流量未转换为 VPN 连接的客户网关 IP 地址。如果您对 VPN 流量的 NAT 路由有特定要求，请使用与客户网关 IP 地址不同的 IP 地址对其进行配置。
7. 如果您的客户网关不是位于 NAT 设备后面，最佳实践是禁用 NAT 遍历。
8. 确认没有防火墙策略或 ACL 干扰入站或出站 IPsec 流量。
9. 在客户网关设备的 WAN 接口上对 ESP 流量执行抓包，以确认其是在发送和接收加密的数据包。