我的客户网关与我的虚拟私有网关之间已经启用了 VPN 隧道,但无法通过它传递流量。我该怎么办?
上次更新日期:2022 年 8 月 15 日
我在我的客户网关和虚拟私有网关之间建立了 VPN 连接,但流量没有通过它传递。如何排查此问题?
解决方法
要排查对此问题,请确认您的 Amazon VPC、虚拟私有网关和客户网关配置正确。
检查您的 Amazon VPC 和虚拟私有网关配置
- 验证与 VPN 连接关联的虚拟私有网关是否已连接到您的 Amazon VPC。
- 确认本地网络和 VPC 私有网络没有重叠,因为子网重叠可能会导致 VPN 隧道出现路由问题。
- 对于基于静态路由的 VPN 连接,请检查 VPN 连接的静态路由选项卡,验证是否已为本地私有网络配置了路由。
- 对于基于 BGP 的 VPN 连接,请验证 BGP 会话是否已建立。另外,请通过检查 VPN 连接的 Tunnel Details(隧道详细信息)选项卡,验证虚拟私有网关是否正在从客户网关接收 BGP 路由。
- 配置 VPC 路由表以包含指向本地私有网络的路由。将路由指向您的虚拟私有网关,以便 Amazon VPC 中的实例可以访问本地网络。您可以手动将这些路由添加到 VPC 路由表中,也可以使用路由传播来自动传播这些路由。
- 确认 VPC 安全组和访问控制列表(ACL)已配置为允许所需的入站和出站流量(ICMP、RDP、SSH)进出本地子网。
- 在位于不同可用区的多个 Amazon Elastic Compute Cloud(Amazon EC2)实例上执行抓包操作,以确认来自本地主机的流量正在到达您的 Amazon VPC。
检查您的客户网关
- 确认 VPN 设备上的 IPsec 配置满足客户网关的要求。
- 验证来自客户网关的数据包是否已加密并通过 VPN 隧道发送。
- 对于基于策略的配置,请检查 VPN 连接的 Details(详细信息),以验证流量选择器的配置是否正确。(本地 IPv4 网络 CIDR = 客户网关 CIDR 范围;远程 IPv4 网络 CIDR = AWS 侧 CIDR 范围)
- 对于基于策略的配置,请确保将加密策略的数量限制为单个策略。
注意:AWS 仅支持为每个 VPN 隧道使用一对第 2 阶段安全关联(SA)。 - 如果 VPN 隧道是基于路由的,请确认您已正确配置到您的 VPC CIDR 的路由。
- 确认通过隧道发送的流量未转换为 VPN 连接的客户网关 IP 地址。如果您对 VPN 流量的 NAT 路由有特定要求,请使用与客户网关 IP 地址不同的 IP 地址对其进行配置。
- 如果您的客户网关不是位于 NAT 设备后面,最佳实践是关闭 NAT 遍历。
- 确认没有防火墙策略或 ACL 干扰入站或出站 IPsec 流量。
- 在客户网关设备的 WAN 接口上对 ESP 流量执行抓包,以确认其是在发送和接收加密的数据包。