Amazon Virtual Private Cloud
网络管理员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

配置 Windows Server 2008 R2 作为客户网关

您可以配置 Windows Server 2008 R2,使其作为您的 VPC 客户网关。无论您是在 VPC 中的 EC2 实例上还是在自己的服务器上运行 Windows Server 2008 R2,都应执行以下过程。

配置 Windows Server

要将 Windows Server 配置为客户网关,请确保您自己的网络上或 VPC 中的 EC2 实例上有 Windows Server 2008 R2。如果使用从 Windows AMI 启动的 EC2 实例,请执行以下操作:

  • 禁用实例的源/目标检查:

    1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

    2. 选择您的 Windows Server 实例,然后依次选择 ActionsNetworkingChange Source/Dest.Check。选择 Yes, Disable

  • 更新适配器设置,以便您可以路由来自其他实例的流量:

    1. 连接到您的 Windows 实例。有关更多信息,请参阅连接到您的 Windows 实例

    2. 打开控制面板,启动设备管理器。

    3. 展开网络适配器节点。

    4. 打开 Citrix 或 AWS PV 网络适配器的上下文(右键单击)菜单,选择 Properties (属性)

    5. 高级选项卡中,禁用 IPv4 校验和卸载TCP 校验和卸载(IPv4)UDP 校验和卸载(IPv4) 属性,然后选择 确定

  • 将弹性 IP 地址与实例相关联:

    1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

    2. 在导航窗格中,选择 Elastic IPs。选择 Allocate new address。

    3. 选择弹性 IP 地址,然后依次选择 ActionsAssociate Address

    4. 对于 Instance,选择您的 Windows Server 实例。选择 Associate。

    请记下此地址 - 您在 VPC 中创建客户网关时将需要此地址。

  • 确保实例的安全组规则允许出站 IPsec 流量。默认情况下,安全组允许所有出站流量;不过,如果安全组的出站规则已修改为非原始状态,则必须针对 IPsec 流量创建以下出站自定义规则:IP 协议 50、IP 协议 51 和 UDP 500。

记下 Windows 服务器所在网络的 CIDR 范围,例如,172.31.0.0/16

步骤 1:创建 VPN 连接并配置您的 VPC

要从 VPC 创建 VPN 连接,您必须首先创建虚拟专用网关并将其附加到 VPC。然后您可以创建 VPN 连接和配置 VPC。您必须还要有 Windows 服务器所在网络的 CIDR 范围,例如 172.31.0.0/16

创建虚拟专用网关

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Virtual Private Gateways,然后选择 Create Virtual Private Gateway

  3. 您可选择为您的虚拟专用网关输入名称,然后选择 Yes, Create

  4. 选择您已创建的虚拟专用网关,然后选择 Attach to VPC

  5. Attach to VPC 对话框中,从列表中选择您的 VPC,然后选择 Yes, Attach

创建 VPN 连接

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 VPN Connections,然后选择 Create VPN Connection

  3. 从列表中选择虚拟专用网关。

  4. 对于 Customer Gateway,选择 New。对于 IP address,指定您的 Windows Server 的公有 IP 地址。

    注意

    IP 地址必须是静态的,可位于执行网络地址转换 (NAT) 任务的设备之后。为确保 NAT 遍历 (NAT-T) 能够正常工作,必须调整防火墙规则,使之开放 UDP 端口 4500。如果客户网关是 EC2 Windows Server 实例,请使用其弹性 IP 地址。

  5. 选择 Static 路由选项,用 CIDR 表示法输入网络的 Static IP Prefixes 值,然后选择 Yes, Create

配置您的 VPC

  • 在 VPC 中创建私有子网 (如果您还没有),以用于启动将与 Windows 服务器通信的实例。有关更多信息,请参阅向您的 VPC 添加子网

    注意

    私有子网是不路由到 Internet 网关的子网。下一个项目中描述了此子网的路由。

  • 更新您的 VPN 连接的路由表:

    • 向私有子网的路由表添加路由,以虚拟专用网关作为目标,以 Windows 服务器的网络 (CIDR 范围) 作为目的地。

    • 为虚拟专用网关启用路由传播。有关更多信息,请参阅 Amazon VPC 用户指南 中的路由表

  • 为您的实例创建安全组配置,以允许在 VPC 与您的网络之间进行通信:

    • 添加允许来自您的网络的入站 RDP 或 SSH 访问的规则。这样,您可以从您的网络连接到 VPC 中的实例。例如,要允许您的网络中的计算机访问您的 VPC 中的 Linux 实例,请创建一个 SSH 类型、源设置为您的网络的 CIDR 范围 (如 172.31.0.0/16) 的入站规则。有关更多信息,请参阅 Amazon VPC 用户指南 中的您的 VPC 的安全组

    • 添加允许来自您的网络的入站 ICMP 访问的规则。这样,通过从 Windows 服务器对 VPC 中的实例执行 ping 操作,可以测试您的 VPN 连接。

第 2 步:下载 VPN 连接的配置文件

您可以使用 Amazon VPC 控制台为您的 VPN 连接下载 Windows 服务器配置文件。

下载配置文件

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 VPN Connections

  3. 选择您的 VPN 连接,然后选择 Download Configuration (下载配置)

  4. 选择 Microsoft 作为供应商,Windows Server 作为平台,2008 R2 作为软件。选择 Yes, Download。您可以打开或保存文件。

配置文件中包含一部分与下方示例相似的信息。 您会看到此处显示的信息两次,每条隧道显示一次。配置 Windows Server 2008 R2 服务器时使用此信息。

vgw-1a2b3c4d Tunnel1 -------------------------------------------------------------------- Local Tunnel Endpoint:       203.0.113.1 Remote Tunnel Endpoint:      203.83.222.237 Endpoint 1:                  [Your_Static_Route_IP_Prefix] Endpoint 2:                  [Your_VPC_CIDR_Block] Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint

客户网关(此例中为您的 Windows 服务器)的 IP 地址,客户网关可终止您的网络端的 VPN 连接。如果客户网关是 Windows 服务器实例,这就是该实例的私有 IP 地址。

Remote Tunnel Endpoint

虚拟专用网关的两个 IP 地址之一,可终止 AWS 一端的 VPN 连接的。

Endpoint 1

在您创建 VPN 连接时,您指定作为静态路由的 IP 前缀。在您的网络中存在允许使用 VPN 连接访问您的 VPC 的 IP 地址。

Endpoint 2

连接虚拟专用网关的 VPC 的 IP 地址范围 (CIDR 块) (例如 10.0.0.0/16)。

Preshared key

用于建立 Local Tunnel EndpointRemote Tunnel Endpoint 之间的 IPsec VPN 连接的预共享密钥。

我们建议您将两条隧道配置为 VPN 连接的一部分。 每条隧道均连接到该 VPN 连接在 Amazon 一端的单独 VPN 集中器。尽管每次只可使用一条隧道,但第二条隧道会在第一条隧道出现故障时自动建立连接。 具有冗余隧道可确保在设备故障时连续可用。由于一次仅一条隧道可用,Amazon VPC 控制台指示一条隧道处于关闭状态。这是预期行为,因此无需您采取任何操作。

在配置完两条隧道后,如果 AWS 内出现设备故障,您的 VPN 连接会在几分钟之内自动故障转移到 AWS 虚拟专用网关的第二条隧道。在您配置客户网关时,务必配置两条隧道。

注意

AWS 会时常对虚拟专用网关执行例行维护。这项维护会在短时间内禁用您的 VPN 连接的两条隧道中的一条。当我们执行维护任务时,您的 VPN 连接会自动故障转移到第二条隧道。

有关 Internet 密钥交换 (IKE) 和 IPsec 安全关联 (SA) 的信息已发布在下载的配置文件中。  因为 VPC VPN 建议设置与 Windows Server 2008 R2 默认 IPsec 配置设置相同,因此您只需完成极少的工作。

MainModeSecMethods:         DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime:        480min,0sec QuickModeSecMethods:        ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS:               DHGroup2
MainModeSecMethods

IKE SA 的加密和身份验证算法。这些是 VPN 连接的推荐设置和 Windows Server 2008 R2 IPsec VPN 连接的默认设置。

MainModeKeyLifetime

IKE SA 密钥使用期限。  这是 VPN 连接的建议设置,也是 Windows Server 2008 R2 IPsec VPN 连接的默认设置。

QuickModeSecMethods

IPsec SA 的加密和身份验证算法。这些是 VPN 连接的推荐设置和 Windows Server 2008 R2 IPsec VPN 连接的默认设置。

QuickModePFS

我们建议对您的 IPsec 会话使用主密钥完美前向保密 (PFS)。

步骤 3:配置 Windows Server

在设置 VPN 隧道之前,您必须在 Windows 服务器上安装并配置路由和远程访问服务。这将允许远程用户访问您的网络上的资源。

在 Windows Server 2008 R2 上安装路由和远程访问服务

  1. 登录 Windows Server 2008 R2 服务器。

  2. 依次选择 Start (开始)All Programs (所有程序)Administrative Tools (管理工具)Server Manager (服务器管理器)

  3. 安装路由和远程访问服务:

    1. 在服务器管理器导航窗格中,选择 Roles (角色)

    2. Roles (角色) 窗格中,选择 Add Roles (添加角色)

    3. Before You Begin (在您开始之前) 页面中,确认您的服务器满足先决条件,然后选择 Next (下一步)

    4. Select Server Roles (选择服务器角色) 页面上,选择 Network Policy and Access Services (网络策略和访问服务)Next (下一步)

    5. 网络策略和访问服务 页面中,选择下一步

    6. Select Role Services (选择角色服务) 页面上,选择 Routing and Remote Access Services (路由和远程访问服务),选定 Remote Access Service (远程访问服务)Routing (路由),然后选择 Next (下一步)

      
								添加角色向导:选择角色服务
    7. Confirm Installation Selections (确认安装选择) 页面上,选择 Install (安装)

    8. 在向导完成时,选择 Close (关闭)

配置和启用路由和远程访问服务器。

  1. 在服务器管理器导航窗格中,选择 Roles (角色)Network Policy and Access (网络策略和访问)

  2. 打开 Routing and Remote Access Server (路由和远程访问服务器) 的上下文(右键单击)菜单,然后选择 Configure and Enable Routing and Remote Access (配置并启用路由和远程访问)

  3. Routing and Remote Access Setup Wizard (路由和远程访问设置向导) 中,在 Welcome (欢迎) 页面上,选择 Next (下一步)

  4. Configuration (配置) 页面上,选择 Custom Configuration (自定义配置)Next (下一步)

  5. 选择 LAN routing (LAN 路由)Next (下一步)

  6. 选择 Finish

  7. 当出现路由和远程访问对话框提示时,选择启动服务

第 4 步:设置 VPN 隧道

通过运行所下载的配置文件中的 netsh 脚本,或者使用 Windows Server 中的“新建连接安全规则向导”,可以配置 VPN 隧道。

重要

我们建议您在 IPsec 会话中使用主密钥完美前向保密 (PFS)。  但是,您不能使用 Windows Server 2008 R2 用户界面启用 PFS;而只能通过运行具有 qmpfs=dhgroup2 的 netsh 脚本。因此,在您确定选项之前,您应考虑您的要求。

选项 1:运行 netsh 脚本

复制已下载配置文件中的 Netsh 脚本,并更换变量。以下为示例脚本。

netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^ Profile=any Type=Static Mode=Tunnel LocalTunnelEndpoint=Windows_Server_Private_IP_address ^ RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix ^ Endpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^ Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^ QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name:您可以用自己选择的名称替换建议名称(VGW-1a2b3c4d Tunnel 1)

LocalTunnelEndpoint:输入您网络上的 Windows Server 的私有 IP 地址。

Endpoint1:Windows Server 所在网络的 CIDR 块,例如 172.31.0.0/16

Endpoint2:您的 VPC 或 VPC 中的子网的 CIDR 块,例如,10.0.0.0/16

在命令提示符窗口中运行已更新的脚本。(^可让您剪切和粘贴命令行中的折叠文本)。 要设置此 VPN 连接的第二条 VPN 隧道,请使用配置文件中的第二个 Netsh 脚本重复该过程。

完成后,请转到 2.4:配置 Windows 防火墙

有关 Netsh 参数的更多信息,请转到 Microsoft TechNet 库 中的 Netsh AdvFirewall Consec 命令部分。

选项 2:使用 Windows Server 用户界面

您还可以使用 Windows Server 用户界面以设置 VPN 隧道。此部分将引导您完成此步骤。

重要

您无法使用 Windows Server 2008 R2 用户界面启用主密钥完美前向保密 (PFS)。因此,如果您决定使用 PFS,您必须使用选项 1 中描述的 Netsh 脚本,而不是此选项中描述的用户界面。

2.1:为 VPN 隧道配置安全规则

在这部分中,将在 Windows 服务器上配置安全规则以创建 VPN 隧道。

为 VPN 隧道配置一个安全规则

  1. 在 Server Manager 导航窗格中,展开“Configuration”,然后展开“Windows Firewall with Advanced Security”。

  2. 打开 Connection Security Rules (连接安全规则) 的上下文(右键单击)菜单,然后选择 New Rule (新建规则)

  3. New Connection Security Rule (新建连接安全规则) 向导的 Rule Type (规则类型) 页面上,选择 Tunnel (隧道)Next (下一步)

  4. Tunnel Type (隧道类型) 页面中的 What type of tunnel would you like to create (您希望创建什么类型的隧道) 下,选择 Custom Configuration (自定义配置)。在 Would you like to exempt IPsec-protected connections from this tunnel (是否要免除此隧道的受 IPsec 保护的连接?) 下,保留选中默认值(No. Send all network traffic that matches this connection security rule through the tunnel (否。通过隧道发送与该连接安全规则匹配的所有网络流量)),然后选择 Next (下一步)

  5. 要求页面中,选择要求对入站连接进行身份验证。不要为出站连接建立隧道,然后选择下一步

    
									“Requirements (要求)”页面
  6. 隧道终结点页面中,在终结点 1 中的计算机选项下,选择添加。输入您的网络的 CIDR 范围(Windows 服务器客户网关之后),然后选择 OK (确定)。该范围可以包含您的客户网关的 IP 地址。

  7. 什么是本地隧道终结点(最接近终结点 1 中的计算机) 下,选择编辑。输入您的 Windows 服务器的私有 IP 地址,然后选择 OK (确定)

  8. 什么是远程隧道终结点(最接近终结点 2 中的计算机) 下,选择编辑。从配置文件中输入隧道 1 的虚拟专用网关的 IP 地址(参阅 Remote Tunnel Endpoint),然后选择 OK (确定)

    重要

    如果您正在对隧道 2 重复此步骤,请确保选择隧道 2 的终端节点。

  9. 终结点 2 中的计算机下,选择添加。输入您的 VPC 的 CIDR 块,然后选择 OK (确定)

    重要

    您必须在此对话框中进行滚动,直至您找到 Which computers are in Endpoint 2 (终端节点 2 中的计算机) 为止。在完成此步骤之前请勿单击下一步,否则您将无法连接到您的服务器。

    
									新连接安全规则向导:隧道终端节点
  10. 确认您指定的所有设置都正确无误,然后选择 Next (下一步)

  11. Authentication Method (身份验证方法) 页面上,选择 Advanced (高级)Customize (自定义)

  12. 第一身份验证方法下,选择添加

  13. 选择 Pre-Shared key (预共享密钥),输入配置文件中的预共享密钥值,然后选择 OK (确定)

    重要

    如果要对隧道 2 重复此步骤,请确保选择隧道 2 的预共享密钥。

    
									添加基本身份验证方法
  14. 确保未选中第一身份验证可选,然后选择确定

  15. Authentication Method (身份验证方法) 页面上,选择 Next (下一步)

  16. Profile (配置文件) 页面上,选中所有三个复选框:Domain (域)Private (私有)Public (公有)。选择 Next (下一步)

  17. Name (名称) 页面上,为您的连接规则输入名称,然后选择 Finish (完成)

    
									新连接安全规则向导

重复以上步骤,从配置文件中指定隧道 2 的数据。

完成后,您的 VPN 连接即配置了两条隧道。

2.3:确认隧道配置

确认隧道配置

  1. 在服务器管理器导航窗格中,展开 Configuration (配置) 节点,展开 Windows Firewall with Advanced Security (高级安全 Windows 防火墙),然后选择 Connection Security Rules (连接安全规则)

  2. 验证两条隧道的以下设置:

    • Enabled (已启用)Yes

    • Authentication mode (身份验证模式)Require inbound and clear outbound

    • Authentication method (身份验证方法)Custom

    • Endpoint 1 port (终端节点 1 端口)Any

    • Endpoint 2 port (终端节点 2 端口)Any

    • Protocol (协议)Any

  3. 双击第一条隧道的安全规则。

  4. 在“Computers”选项卡中,验证以下设置:

    • Endpoint 1中,CIDR 块范围显示匹配您的网络的 CIDR 块范围。

    • Endpoint 2中,CIDR 块范围显示匹配您的 VPC 的 CIDR 块范围。

  5. Authentication (身份验证) 选项卡上,在 Method (方法) 下,选择 Customize (自定义) 并确认 First authentication methods (基本身份验证方法) 包含隧道配置文件中的正确预共享密钥。选择 OK

  6. Advanced (高级) 选项卡中,验证 Domain (域)Private (私有)Public (公有) 都已被选定。

  7. IPsec 隧道下,选择自定义。验证以下 IPsec 隧道化设置。

    • Use IPsec tunneling (使用 IPsec 隧道) 已选定。

    • Local tunnel endpoint (closest to Endpoint 1) (本地隧道终端节点(最接近终端节点 1)) 中包含您的服务器的 IP 地址。如果客户网关是 Windows 服务器实例,这就是该实例的私有 IP 地址。

    • Remote tunnel endpoint (closest to Endpoint 2) (本地隧道终端节点 (最接近终端节点 2)) 中包含此隧道的虚拟专用网关的 IP 地址。

  8. 双击第二条隧道的安全规则。对此隧道重复第 4 步到第 7 步。

2.4:配置 Windows 防火墙

在您设置了服务器的安全规则之后,您需要配置一些基本 IPsec 设置以供虚拟专用网关使用。

配置 Windows 防火墙

  1. 在服务器管理器导航窗格中,打开 Windows Firewall with Advanced Security (高级安全 Windows 防火墙) 的上下文(右键单击)菜单,然后选择 Properties (属性)

  2. 选择 IPsec Settings (IPsec 设置)

  3. 在“IPsec exemptions”选项下,验证“Exempt ICMP from IPsec”为“No (默认值)”。验证“IPsec tunnel authorization”为“None”。

  4. IPsec 默认值下,选择自定义

  5. Customize IPsec Settings (自定义 IPsec 设置) 对话框中,在 Key exchange (Main Mode) (密钥交换 (主模式)) 下,选择 Advanced (高级),然后选择 Customize (自定义)

  6. Customize Advanced Key Exchange Settings (自定义高级密钥交换设置)Security methods (安全方式) 选项下,验证第一项条目使用的是这些默认值。

    • 完整性:SHA-1

    • 加密术:AES-CBC 128

    • 密钥交换算法:Diffie-Hellman Group 2

    • 在“Key lifetimes”选项下,验证“Minutes”为480,并且“Sessions”为0

    以下配置与配置文件中的条目对应:

    MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec
    
									自定义高级密钥交换设置
  7. 密钥交换选项下,选择将 Diffie-Hellman 用于增强的安全性,然后选择确定

  8. Data protection (Quick Mode) (数据保护 (快速模式)) 下,选择 Advanced (高级)Customize (自定义)

  9. 选择 Require encryption for all connection security rules that use these settings (要求所有使用这些设置的连接安全规则使用加密)

  10. Data integrity and encryption algorithms 选项下,保留默认值:

    • 协议:ESP

    • 完整性:SHA-1

    • 加密术:AES-CBC 128

    • 使用期限:60 分钟

    这些值与配置文件中的以下条目对应。

    QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb
  11. 要返回到 Customize IPsec Settings (自定义 IPsec 设置) 对话框,请选择 OK (确定)。选择 OK

第 5 步:启用失效网关检测

接下来,配置 TCP,以删除无法使用的网关。也可以修改注册表键以完成此操作:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters。在完成前面的部分之前,不要执行此步骤。在您更改注册密钥之后,您必须重新启动服务器。

启用失效网关检测

  1. 在服务器上,选择 Start (开始),然后键入 regedit 以启动注册表编辑器。

  2. 展开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

  3. 在另一个窗格中,打开 New (新建) 的上下文(右键单击)菜单,然后选择 DWORD (32-bit) Value (DWORD (32-位) 值)

  4. 输入名称EnableDeadGWDetect

  5. 打开 EnableDeadGWDetect 的上下文(右键单击)菜单,然后选择 Modify (修改)

  6. Value data (值数据) 中,输入 1 并选择 OK (确定)

  7. 关闭注册表编辑器,并重新启动服务器。

有关更多信息,请参阅 Microsoft TechNet 库 中的 EnableDeadGWDetect

步骤 6:测试 VPN 连接

要测试 VPN 连接是否正常工作,请在 VPC 中启动一个实例,并确保该实例没有 Internet 连接。启动实例后,从您的 Windows 服务器对该实例的私有 IP 地址执行 Ping 操作。当客户网关生成流量时,VPN 隧道会启动,因此 Ping 命令还会启动 VPN 连接。

在 VPC 中启动实例并获取其私有 IP 地址

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 选择 Launch Instance (启动实例)

  3. 选择 Amazon Linux AMI,然后选择实例类型。

  4. Step3: Configure Instance Details (步骤 3: 配置实例详细信息) 页面上,对于 Network (网络),选择您的 VPC。对于 Subnet (子网),选择一个子网。确保选择您在 步骤 1:创建 VPN 连接并配置您的 VPC中配置的私有子网。

  5. Auto-assign Public IP 列表中,确保该设置已设置为 Disable

  6. 选择 Next,直至到达 Step 6: Configure Security Group 页面。您可以选择在 步骤 1:创建 VPN 连接并配置您的 VPC中配置的现有安全组。或者,也可以创建新安全组并确保该组有规则允许来自您的 Windows 服务器的 IP 地址的所有 ICMP 流量。

  7. 完成向导中的其余步骤,然后启动实例。

  8. Instances (实例) 页面上,选择您的 实例。在详细信息窗格上的 Private IPs 字段中获取私有 IP 地址。

连接或登录您的 Windows 服务器,打开命令提示符,然后使用 ping 命令和实例的私有 IP 地址对实例执行 Ping 操作;例如:

ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data: Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

如果 ping 命令失败,请检查以下信息:

  • 确保您配置了安全组规则以允许 ICMP 流向您的 VPC 中的实例。如果您的 Windows 服务器是 EC2 实例,请确保其安全组出站规则允许 IPsec 流量。有关更多信息,请参阅 配置 Windows Server

  • 确保您向其发送 ping 命令的实例上的操作系统已配置为响应 ICMP。建议您使用一个 Amazon Linux AMI。

  • 如果您向其发送 ping 命令的实例是 Windows 实例,请登录实例,然后在 Windows 防火墙上启用入站 ICMPv4。

  • 确保为您的 VPC 或子网正确配置了路由表。有关更多信息,请参阅 步骤 1:创建 VPN 连接并配置您的 VPC

  • 如果客户网关是 Windows 服务器实例,请确保您已禁用该实例的源/目标检查。有关更多信息,请参阅配置 Windows Server

在 Amazon VPC 控制台的 VPN Connections 页面上,选择 VPC 连接。第一条隧道处于 UP 状态。第二条隧道应同时配置,但除非第一条隧道出现故障,否则第二条隧道将无法使用。稍候几分钟,以建立加密隧道。