Wie behebe ich Probleme bei der VPN-Tunnel-Konnektivität mit einer Amazon VPC?

Lesedauer: 5 Minute

Ich habe Probleme bei Aufbau und Aufrechterhaltung einer Verbindung zu meiner AWS-Infrastruktur innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) über AWS Site-to-Site VPN.

Kurzbeschreibung

Das Netzwerkmodell von Amazon VPC unterstützt verschlüsselte IPsec-VPN-Verbindungen (Virtual Private Network) nach offenem Standard mit der AWS-Infrastruktur. Der Aufbau einer VPN-Tunnel-Verbindung zu einer Amazon VPC umfasst:

die Internet Key Exchange (IKE)-Konfiguration des VPN-Tunnels;
die Internet Protocol Security (IPsec)-Konfiguration des VPN-Tunnels;
die Konfiguration der Netzwerk-Zugriffskontrollliste (NACL);
die Konfiguration der Amazon-VPC-Sicherheitsgruppenregeln;
die Konfiguration der Netzwerk-Routingtabelle der Amazon Elastic Compute Cloud (Amazon EC2)-Instance;
die Firewall-Konfiguration der Amazon-EC2-Instance;
die VPN-Gateway-Konfiguration, einschließlich Virtual Private Gateway oder Transit Gateway.

Wenn Sie Schwierigkeiten beim Aufbau oder bei der Aufrechterhaltung einer Site-to-Site-VPN-Verbindung von Ihrer Amazon VPC aus haben, versuchen Sie Folgendes, um das Problem zu beheben.

Behebung

Wenn kein Site-to-Site-VPN-Tunnel aufgebaut werden kann

Um ein Fehlschlagen des Aufbaus eines Site-to-Site-VPN-Tunnels zu beheben, müssen Sie ermitteln, in welcher Phase der Fehler aufgetreten ist:

Wenn die Internet Key Exchange (IKE)-Phase fehlschlägt, folgen Sie den Schritten unter Warum schlägt IKE (Phase 1 meines VPN-Tunnels) in Amazon VPC fehl?
Wenn die Internet Protocol Security (IPsec/Phase 2)-Phase fehlschlägt, folgen Sie den Schritten unter Warum kann IPsec/Phase 2 für AWS Site-to-Site VPN keine Verbindung herstellen?

Wenn Site-to-Site-VPN-Tunnel aufgebaut sind

Wenn beide VPN-Tunnel aufgebaut sind, gehen Sie wie folgt vor:

Öffnen Sie die Amazon-EC2-Konsole und sehen Sie sich die Netzwerk-Zugriffskontrolllisten (NACLs) in Ihrer Amazon VPC an. Benutzerdefinierte NACLs können die Fähigkeit des angeschlossenen VPN beeinträchtigen, Netzwerkkonnektivität herzustellen. Weitere Informationen finden Sie unter Arbeiten mit Netzwerk-ACLs .
Folgen Sie den Schritten unter Aktualisierung der Sicherheitsgruppenregeln, um den eingehenden SSH-, RDP- und ICMP-Zugriff zu aktivieren.
Stellen Sie sicher, dass die in Ihren Amazon-EC2-Instances angegebenen Routing-Tabellen korrekt sind. Weitere Informationen finden Sie unter Arbeiten mit Routing-Tabellen.
Wenn Sie eine Aktiv/Aktiv-Konfiguration verwenden, bei der beide Tunnel aufgebaut sind: Bei Verwendung von Aktiv/Aktiv wählt AWS automatisch einen der aktiven Tunnel als bevorzugten VPN-Tunnel für das Senden von Datenverkehr von AWS an das On-Premises-Netzwerk aus. Wenn Sie eine Aktiv/Aktiv-Konfiguration verwenden, muss für das Kunden-Gateway Asymmetrisches Routing auf den virtuellen Tunnelschnittstellen aktiviert sein. Weitere Informationen finden Sie unter How do I configure my Site-to-Site VPN connection to prefer tunnel A over tunnel B?
Stellen Sie sicher, dass keine Firewalls den Datenverkehr zur Amazon-EC2-Instance innerhalb der VPC blockieren:

Für eine Amazon-EC2-Windows-Instance: Öffnen Sie eine Eingabeaufforderung und führen Sie den Befehl WF.msc aus.
Für eine Amazon-EC2-Linux-Instance: Öffnen Sie das Terminal und führen Sie den Befehl iptables mit den entsprechenden Argumenten aus. Weitere Informationen zum Befehl iptables erhalten Sie, indem Sie den Befehl man iptables vom Terminal aus ausführen.
Wenn Ihr Kunden-Gateway-Gerät ein richtlinienbasiertes VPN implementiert: Beachten Sie, dass AWS die Anzahl der Sicherheitszuordnungen auf ein einziges Paar begrenzt. Dieses Paar umfasst eine eingehende und eine ausgehende Sicherheitszuordnung. Wenn Sie ein richtlinienbasiertes VPN verwenden, ist es bewährte Praxis, 0.0.0.0/0 als Quelladresse aus Ihrem internen Netzwerk einzurichten. Legen Sie dann das VPC-Subnetz als Zieladresse fest (Beispiel: 192.168.0.0/16). Diese Einstellungen leiten den Datenverkehr zur VPC weiter und durchqueren das VPN, ohne zusätzliche Sicherheitszuordnungen zu erstellen. Weitere Informationen finden Sie unter Wie behebe ich Verbindungsprobleme zwischen einem AWS-VPN-Endpunkt und einem richtlinienbasierten VPN?

Wenn Instance-Konnektivität und VPC-Konfigurationen als mögliche Hauptursachen ausgeschlossen sind

Verwenden Sie unter Linux das Hilfsprogramm traceroute von einer Terminal-Sitzung aus. Oder führen Sie unter Windows das Hilfsprogramm tracert über eine Befehlszeilenschnittstelle aus. Sowohl traceroute als auch tracert müssen von Ihrem internen Netzwerk auf eine Amazon-EC2-Instance in der VPC ausgeführt werden, mit der das VPN verbunden ist.

Wenn die Ausgabe traceroute an einer IP-Adresse anhält, die Ihrem internen Netzwerk zugeordnet ist, überprüfen Sie, ob der Routingpfad zum VPN-Edge-Gerät korrekt ist.
Wenn die Ausgabe tracert an einer IP-Adresse anhält, die Ihrem internen Netzwerk zugeordnet ist, überprüfen Sie, ob der Routingpfad zum VPN-Edge-Gerät korrekt ist.
Wenn Sie feststellen, dass der Datenverkehr aus Ihrem internen Netzwerk Ihr Kunden-Gateway-Gerät erreicht, nicht aber die EC2-Instance: Vergewissern Sie sich, dass die VPN-Konfiguration, Richtlinien und NAT-Einstellungen auf Ihrem VPN-Kunden-Gateway korrekt sind. Stellen Sie als Nächstes sicher, dass gegebenenfalls vorhandene Upstream-Geräte Datenverkehr zulassen.

Beheben von Problemen mit dem Border Gateway Protocol (BGP)

Wenn das Border Gateway Protocol (BGP) ausgefallen ist, stellen Sie sicher, dass Sie die BGP Autonomous System Number (ASN) definiert haben. Die ASN ist die Nummer, die Sie bei der Erstellung des Kunden-Gateways verwendet haben. Die mit Ihrem Kunden-Gateway verknüpfte ASN ist in den Eigenschaften der herunterladbaren VPN-Konfiguration enthalten. Weitere Informationen finden Sie unter Virtual Private Gateway.

Sie können eine vorhandene ASN verwenden, die Ihrem Netzwerk bereits zugewiesen ist. Wenn keine ASN zugewiesen ist, können Sie eine private ASN im Bereich 64512–65534 verwenden. Die konfigurierte ASN muss mit derjenigen übereinstimmen, die Sie bei der Erstellung des VPN in AWS angegeben haben. Stellen Sie sicher, dass jede lokale Firewall-Konfiguration auf dem Kunden-Gateway BGP-Datenverkehr zu AWS durchlässt. Weitere Informationen zur Fehlerbehebung bei der Gateway-Konnektivität finden Sie unter Problembehandlung bei Ihrem Kunden-Gateway-Gerät.

Relevanter Inhalt

Wie behebe ich Probleme bei der Verbindung zwischen Transit Gateway und virtuellen Appliances von Drittanbietern, die in einer VPC ausgeführt werden?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich Verbindungsprobleme, die bei der Verwendung einer Amazon VPC auftreten?
AWS OFFICIALAktualisiert vor einem Jahr
Wie verwende ich VPC Reachability Analyzer, um Verbindungsprobleme mit einer Amazon-VPC-Ressource zu beheben?
AWS OFFICIALAktualisiert vor 7 Monaten
Wie behebe ich den Fehler „Endpunkt unterstützt die Availability Zone nicht“, wenn ich versuche, einen Amazon-VPC-Endpunkt zuzuordnen?
AWS OFFICIALAktualisiert vor 7 Monaten