为什么 IKE(我的 VPN 隧道第 1 阶段)在 Amazon VPC 中失败?
上次更新时间:2019 年 6 月 18 日
在 Amazon Virtual Private Cloud (Amazon VPC) 中创建虚拟专用网络 (VPN) 时,我的 Internet 密钥交换 (IKE) 阶段的配置失败。为什么我的 VPN 隧道第 1 阶段在 Amazon VPC 中失败?
解决方法
检查下列 VPN 设置,并验证您:
- 达到了所有客户网关要求。
- 使用适当的 IKE 版本。
- 将 IKE(第 1 阶段)生命周期设置为 28800 秒(480 分钟或 8 小时)。
- 使用正确的预共享密钥 (PSK) 配置了客户网关设备。
- 可以从您的客户网关 ping AWS VPN 终端节点。
如果客户网关设备终端节点位于网络地址转换 (NAT) 设备后面,请确保:
- 离开您的本地网络的 IKE 流量源自您在 UDP 端口 500 上配置的客户网关 IP 地址。要测试此设置,在您的客户网关设备上禁用 NAT 遍历。
- 允许在您的网络和 AWS VPN 终端节点之间传递端口 500(和端口 4500,如果您使用 NAT 遍历)上的UDP 数据包。
- 您的 Internet 服务提供商 (ISP) 未阻止 UDP 端口 500 和 4500。
注意:某些 AWS VPN 功能,包括 NAT 遍历,不可用于 AWS Classic VPN。检查您的 VPN 类型,并将 AWS Classic VPN 迁移为 AWS 托管 VPN(如果适用)。VPN 迁移期间,您可能需要重新创建 VPC 的虚拟专用网关。如果您的客户网关不是位于端口地址转换 (PAT) 设备后面,最佳实践是禁用 NAT 遍历。