如何對客戶閘道裝置上的 VPN 通道不活動或通道關閉進行疑難排解？

解決方法

AWS VPN 通道在客戶閘道裝置上不活動或不穩定的常見原因包括：

• 網際網路協定安全性 (IPsec) 無效對等偵測 (DPD) 監控的問題
• 由於 VPN 通道上流量低或供應商特定的客戶閘道組態問題而導致的閒置逾時
• 階段 1 或階段 2 的重設金鑰問題
• 客戶閘道裝置上政策型 VPN 連線造成間歇性連線問題

檢查 DPD 設定

如果 VPN 對等對三個連續的 DPD 沒有回應，則對等將視為無效，通道將關閉。

如果您的客戶閘道裝置已開啟 DPD，請確保符合下列條件：

• 它設定為接收和回應 DPD 訊息
• 它回應來自 AWS 對等裝置的 DPD 訊息並不太忙
• 它不會限制 DPD 訊息的速率，因為防火牆中已開啟 IPS 功能
• 它沒有網際網路傳輸問題

對閒置逾時進行疑難排解

如果您遇到因為 VPN 通道流量低引起的閒置逾時，請檢查下列項目：

• 確認您的本機網路與虛擬私有雲端 (VPC) 之間存在持續的雙向流量。如有必要，建立一台主機，每 5 秒將 ICMP 請求傳送至虛擬私有雲端 (VPC) 中的執行個體。
• 使用裝置供應商的資訊檢閱 VPN 裝置的閒置逾時設定。如果在供應商特定的 VPN 閒置時間內沒有通過 VPN 通道的流量，則 IPsec 工作階段將結束。查看您的特定裝置的供應商文件。

對階段 1 或階段 2 的重設金鑰問題進行疑難排解

如果您遇到 VPN 通道上的階段 1 或階段 2 不相符引起的重設金鑰問題，請檢查下列項目：

• 檢閱客戶閘道上的階段 1 或階段 2 生命週期欄位。請確定這些欄位與 AWS 參數相符。最佳實務是取消勾選 VPN 通道選項中的 VPN 連線客戶閘道不需要的參數。
• 確保客戶閘道裝置上已啟用完整轉寄密碼 (PFS)。依預設，PFS 會在 AWS 端的對等裝置上啟用。
• 確保客戶閘道上的 UDP 連接埠 500\ [IKE]、4500\ [NAT-T] 和 IP 50\ [ESP] 的傳入流量允許對 AWS 端點重設金鑰。

注意： IKEv2 生命週期值欄位獨立於對等裝置。因此，如果您設定較低的生命週期值，則對等裝置始終啟動重設金鑰。

如需詳細資訊，請參閱站點間 VPN 連線的通道選項和客戶閘道裝置。

對間歇性連線問題進行疑難排解

間歇性連線問題可能是由於客戶閘道裝置上政策型組態所造成。您也可能會遇到間歇性連線問題，因為您在使用多個加密網域或 Proxy ID。

• 限制可存取您的 VPC 的加密網域 (網路) 數量。如果您的 VPN 客戶閘道後面有多個加密網域，請將它們設定為使用單一安全關聯。若要檢查客戶閘道是否存在多個安全關聯，請參閱對客戶閘道裝置進行疑難排解。
• 設定您的客戶閘道裝置以允許具有 VPC 無類別域間路由 (CIDR) 目標的客戶閘道 (0.0.0.0/0) 後面的任何網路通過 VPN 通道。此組態使用單一安全關聯，可改善通道穩定性。此組態也允許未在政策中定義的網路存取 VPC。

如需詳細資訊，請參閱如何對 AWS VPN 端點與原則型 VPN 之間的連線問題進行疑難排解？

相關資訊

我的客戶閘道與虛擬私有閘道之間的 VPN 通道已啟動，但我無法通過它傳遞流量。我可以做什麼？