AWS Transit Gateway VPN 路由仍处于黑洞状态答案

【问题标题】：AWS TransitGateway VPN Routes Remain in Blackhole StateAWS Transit Gateway VPN 路由仍处于黑洞状态
【发布时间】：2019-05-20 16:46:16
【问题描述】：

这里有人成功地使用 AWS TransitGateway 服务实施 AWS VPN 连接吗？

我已经创建并配置了我的中转网关和 VPN 类型的附件，其中包含中转网关路由表和关联。我已经下载了生成的带有静态路由配置的 vpn 连接并配置了我的本地路由器，并且我的隧道已启动。

但是：

当我查看相应的中转网关路由表时，我可以看到所有 VPN 路由都处于blackhole 状态。如果我将它们设置为活动状态，但它们仍会返回blackhole 状态。在这种blackhole 状态下，TransitGateway 会静默丢弃数据包...

有什么帮助吗？

【问题讨论】：

您的 TG 路由表和 VPC 路由表中是否都有路由？例如，您的 VPC 路由表中是否有指向您的 TG 的路由 (CIDR)，然后在您的 TG 路由表中有指向 VPN 的相同 CIDR？
是的@progrmmerj，这是最少要做的，所以是的，我已经完成了所有事情
而且我还可以注意到 vpn tgw 路由随机从 active 变为 blackhole
当我创建 VPN tgw 附件时，它隐式创建了一个 vpn 连接，但我无法向该 vpn 连接添加静态路由，因为我的客户网关使用静态路由。尝试将静态路由添加到我的 vpn 连接时出现此错误：Edit Static Routes Editing Static RoutesFailed Hide details API error message Static routes for vpn-XXXXXXXXXXXXXX must be added through the Transit Gateway API.

【解决方案1】：

我还在与附加到相关 aws VPC 的VPC attachement（不是VPN attachement）关联的中转网关路由中添加了到本地网络 10.0.0.0/8 的路由，现在我可以到达通过来自 aws 的 TGW 的本地网络。

我认为数据包首先离开它们所属的 VPC，并且需要一个路由才能到达 VPN，这个路由是 VPN 附件（我添加到 tgw VPN 附件路由表的路由，有VPN attachment作为目标），然后从 VPN 连接，其余的流由VPN attachment 通过 VPN 连接处理。

总而言之，为了让您的 AWS TGW 实现 VPN 连接，您需要一个 VPN 附件来建立 VPN 连接，以及一个与您要连接到本地网络的 AWS VPC 关联的 VPC 附件，然后路由到本地网络在 VPN 和 VPC 连接相关的中转网关路由表中。

上述配置是在您不使用中转网关默认路由表的情况下，并为每个附件制作特定的中转网关路由表

【讨论】：