我无法建立或维护与 Amazon Virtual Private Cloud (Amazon VPC) 的虚拟专用网 (VPN) 连接。

建立 VPN 连接时的问题可能由于配置以下内容而发生:

  • Internet 密钥交换 (IKE)
  • Internet 协议安全 (IPsec)

维护 VPN 连接时的问题可能由于配置以下内容而发生:

  • 网络访问控制列表(网络 ACL)​
  • VPC 安全组规则
  • Amazon Elastic Compute Cloud (Amazon EC2) 实例网络路由表
  • Amazon EC2 实例防火墙
  • 虚拟专用网关
  • VPN 隧道冗余

建立 VPN 连接时发生问题

维护 VPN 连接时发生问题

如果您成功建立了两个 VPN 隧道,但仍然遇到连接问题,则执行以下操作:

  1. 检查 VPC 中的网络 ACL 是否阻止了附加的 VPN 建立连接。
  2. 验证分配到 VPC 中的 EC2 实例的安全组是否允许相应访问。确保允许入站 SSH、RDP 和 ICMP 访问。有关更多信息,请参阅 Linux 实例的 Amazon EC2 安全组Windows 实例的 Amazon EC2 安全组
  3. 验证附加到 VPC 的路由表是否正确配置。
  4. 检查是否有阻止流向 VPC 内的 EC2 实例的流量的操作系统级 (OS-level) 防火墙。
    对于 EC2 Windows 实例,在命令提示符中运行 WF.msc。​
    对于 EC2 Linux 实例,使用合适的参数在终端会话中运行 iptables。有关更多详细信息,请运行 man iptables

注意:AWS 仅接受一对用于 VPN 连接的安全关联(一个入站关联和一个出站关联)。如果您的客户网关设备使用基于策略的 VPN,请将您的内部网络配置为源地址 (0.0.0.0/0),并将 VPC 子网配置为目标地址。此配置允许流向 VPC 的流量在不创建额外安全关联的情况下遍历 VPN。

当流量从 VPN 连接的客户网关端生成时,VPN 隧道将出现。虚拟专用网关端不是发起方。如果 VPN 连接经历一段空闲时间(通常为 10 秒,具体取决于客户网关),隧道可能会关闭。为防止发生此问题,请使用网络监控工具来生成 keepalive Ping。例如,对于 Cisco ASA 设备,请启用 SLA 监控。

如果您确定 VPC 配置和 EC2 实例连接不是可能的根本原因,则执行以下操作:

  1. 打开终端会话 (Linux) 或命令提示符 (Windows)。
  2. 运行 traceroute (Linux) 或 tracert (Windows) 实用程序(从您的内部网络到您的 VPN 附加到的 VPC 中的 EC2 实例)。
  3. 如果输出在与您的内部网络关联的 IP 地址停止,请验证您的 VPN 边缘设备的路由路径是否正确。
  4. 如果输出到达了您的客户网关设备,但未到达您的 EC2 实例,请检查您的 VPN 客户网关设备设置。验证您的 VPN 配置、策略和网络地址转换 (NAT) 设置是否正确。另请验证任何上游设备是否允许流量。

如果在 VPN 隧道中使用的边界网关协议 (BGP) 失败,则执行以下操作:

  1. 验证您在创建客户网关时是否定义了 BGP 自治系统编号 (ASN)。客户网关 ASN 包含在可下载 VPN 配置中。
  2. 如果需要,请使用正确的 ASN 更新客户网关。该 ASN 必须与您在 VPN 配置期间提供的 ASN 匹配。该 ASN 是分配到您的网络的现有 ASN,或者是 64512–65534 范围内的私有 ASN。
  3. 验证客户网关上的任何本地防火墙配置是否允许 BGP 流量通过 AWS。有关更多信息,请参阅特定于设备的故障排除指南。​

如有可能,请在监控活动中使用 AWS Trusted Advisor 的 VPN 隧道冗余检查:

  1. 登录 Trusted Advisor 控制台
  2. 在导航窗格的 Dashboard (控制面板) 下,选择 Fault Tolerance (容错能力)
  3. 在内容窗格中,从 Fault Tolerance Checks (容错能力检查) 中选择 VPN Tunnel Redundancy (VPN 隧道冗余)
  4. 选择下载图标以下载此检查的结果。

进一步排除故障

在执行进一步故障排除步骤之前,请确保收集以下信息:

  • 具有对您的本地网络设备和 VPC 资源的管理访问权限的联系人。
  • 要用于建立 VPN 连接的物理设备的构造和模型,包括固件版本。
  • 您的 VPC (vpc-XXXXXXXX)、虚拟专用网关 (vgw-XXXXXXXX) 和 VPN (vpn-XXXXXXXX) 的标识符。
  • 对 VPN 设备的当前配置和由 AWS 控制台在 VPN 隧道创建时创建的配置的访问权限。
  • 有关 VPN 的连接历史记录的详细信息
  • EC2 实例或 VPC 内用于测试目的的其他资源的 IP 地址。
  • 您尝试从中启动 VPN 连接的局域网 (LAN) 的源 IP 地址。

VPC 联网组件

有关创建和配置 VPC 的场景和示例


此页内容对您是否有帮助? |

返回 AWS Support 知识中心

需要帮助? 访问 AWS 支持中心

发布时间:2015 年 4 月 28 日

更新时间:2018 年 10 月 30 日