如何解决 AWS VPN 终端节点与基于策略的 VPN 之间的连接问题?

上次更新日期:2021 年 3 月 22 日

我正在使用基于策略的虚拟专用网络 (VPN) 连接到 Amazon Virtual Private Cloud (Amazon VPC) 中的 AWS VPN 终端节点。我遇到了问题,例如数据包丢失,间歇性连接或无连接性以及一般网络不稳定问题。如何对这些问题进行故障排除?

简短描述

当您使用基于策略的 VPN 连接连接到 AWS VPN 终端节点时,AWS 会将安全关联的数量限制为一对。这一对包括一个入站和一个出站安全关联。

当具有不同安全关联的新连接启动时,拥有多对安全关联的基于策略的 VPN 会丢弃现有连接。此行为表明新 VPN 连接已中断现有 VPN 连接。

解决方法

限制可访问您的 VPC 的加密域(网络)的数量。如果 VPN 的客户网关后面有 1 个以上的加密域,请将它们配置为使用单个安全关联。要检查客户网关是否存在多个安全关联,请参阅客户网关设备故障排除

配置客户网关以允许客户网关 (0.0.0.0/0) 背后的任何网络(目的地是您的 VPC CIDR)通过 VPN 隧道。此配置使用单个安全关联,可提高隧道稳定性。它还允许未在策略中定义的网络访问 VPC。

如果可能,请在客户网关上实施流量过滤器,以阻止不必要的流量进入您的 VPC。配置安全组以指定可以到达实例的流量。还应配置网络访问控制列表(网络 ACL)以阻止不需要的子网流量。