我正在尝试在我们的 AWS 服务器和第三方网络之间建立 VPN 连接。VPN 隧道本身处于活动状态,但网络调用超时。
设置:
- 私有子网中的 EC2 实例的流量通过具有弹性 IP 的 NAT 网关(设置已可以访问互联网)
- 默认 VPC 路由表以目标 IP 地址的传输网关为目标,例如 1.2.3.4
- TGW 使用静态路由,并有一个路由表,其中有一条路由将所有流量转发到所连接的 VPN 连接
- EC2 安全组允许传入和传出流量,没有特定的 NACL
- 第三方网络的防火墙已将 NAT 网关的 EIP 的内部 IP 列入白名单
ping 和 curl 超时,而跟踪路由仅显示星号。在 TGW 流日志中,我看到 NAT 网关和目标 IP 1.2.3.4 之间通过 VPN TGW 连接成功传输数据包,但 VPN 隧道日志中除了 DPD 日志外什么也没有
此时,我怀疑有什么东西阻止数据包到达 VPN 隧道,因为我认为即使第三方网络的防火墙没有将相关 IP 列入白名单,我也会看到一些 VPN 隧道日志(如果我错了,请纠正我)。我该如何进一步排除故障?
答案1
问题是由于本地网络的 VPN 未在其接口中使用 AWS VPN 隧道的内部 IPv4 CIDR 范围而引起的,一旦使用隧道的外部 IP 地址和内部 IPv4 CIDR 范围建立连接,它就会运行正常
对于遇到类似问题(VPN 隧道启动时数据包丢失)的任何人,您还可以使用 AWS 的可达性分析器来验证实例的流量是否到达 VPN TGW 附件