为什么 IKE(我的 VPN 隧道第 1 阶段)在 Amazon VPC 中失败?

上次更新时间:2019 年 6 月 18 日

在 Amazon Virtual Private Cloud (Amazon VPC) 中创建虚拟专用网络 (VPN) 时,我的 Internet 密钥交换 (IKE) 阶段的配置失败。为什么我的 VPN 隧道第 1 阶段在 Amazon VPC 中失败?

解决方法

检查下列 VPN 设置,并验证您:

  • 达到了所有客户网关要求
  • 使用适当的 IKE 版本
  • 将 IKE(第 1 阶段)生命周期设置为 28800 秒(480 分钟或 8 小时)。
  • 使用正确的预共享密钥 (PSK) 配置了客户网关设备。
  • 可以从您的客户网关 ping AWS VPN 终端节点。

如果客户网关设备终端节点位于网络地址转换 (NAT) 设备后面,请确保:

  • 离开您的本地网络的 IKE 流量源自您在 UDP 端口 500 上配置的客户网关 IP 地址。要测试此设置,在您的客户网关设备上禁用 NAT 遍历。
  • 允许在您的网络和 AWS VPN 终端节点之间传递端口 500(和端口 4500,如果您使用 NAT 遍历)上的UDP 数据包。
  • 您的 Internet 服务提供商 (ISP) 未阻止 UDP 端口 500 和 4500。

注意:某些 AWS VPN 功能,包括 NAT 遍历,不可用于 AWS Classic VPN。检查您的 VPN 类型,并将 AWS Classic VPN 迁移为 AWS 托管 VPN(如果适用)。VPN 迁移期间,您可能需要重新创建 VPC 的虚拟专用网关。如果您的客户网关不是位于端口地址转换 (PAT) 设备后面,最佳实践是禁用 NAT 遍历。


故障排除(特定于设备的客户网关说明)

AWS 托管 VPN连接

您的客户网关

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?