Amazon VPC 中的 IKE(VPN 隧道阶段 1)为什么失败?
上次更新时间:2020 年 12 月 21 日
在 Amazon Virtual Private Cloud (Amazon VPC) 中创建虚拟专用网络 (VPN) 时,我的 Internet 密钥交换 (IKE) 阶段的配置失败。为什么我的 VPN 隧道第 1 阶段在 Amazon VPC 中失败?
解决方法
检查 AWS 虚拟专用网络 (AWS VPN) 配置以确认它:
- 达到了所有客户网关要求。
- 使用适合您的使用案例的 IKE 版本(AWS 同时支持 IKEv1 和 IKEv2)。
- 使用适合您的 IKE 版本的生命周期(阶段 1,以秒为单位)。要根据您的要求配置隧道选项,请参阅站点到站点 VPN 连接的隧道选项。
- 具有配置了正确的预共享密钥 (PSK) 或有效证书的客户网关设备。
- 可以从您的客户网关成功 ping AWS 虚拟专用网络 (AWS VPN) 终端节点。
如果已为 AWS 站点到站点 VPN 连接启用 加速,则请确保已在客户网关设备上启用 NAT 遍历。
如果客户网关设备位于网络地址转换 (NAT) 设备后面,请确保:
- 允许在您的网络和 AWS VPN 终端节点之间传递端口 500(和端口 4500,如果使用 NAT 遍历)上的 UDP 数据包。
- 中间 Internet 服务提供商 (ISP) 未阻止 UDP 端口 500(或端口 4500,如果使用 NAT 遍历)。
如果您的客户网关不是位于端口地址转换 (PAT) 设备后面,则最佳实践是禁用 NAT 遍历。