VPN 閘道的已知問題

已知問題是在發行前未修復的已識別錯誤或意料之外的行為，但還未嚴重到需要延遲發行。 這些問題會傳達給您，通常會附有解決方案，並由開發團隊優先在近期內解決。

網站到網站 VPN 閘道的已知問題如下：

• VPC 的 VPN 閘道僅接受使用 UDP 封裝 IPsec ESP 封包 的 VPN 封包。 不接受 封裝安全有效負載(ESP)。 請確定已在內部部署 VPN 裝置上啟用 NAT-T 特性。 此外，請確定 IBM VPC NACL 和對等網路都允許 UDP 連接埠 500 和 4500。

  NAT-T 透過在 UDP 中封裝 IPsec 封包，允許 VPN 流量通過 NAT 裝置。 如果沒有 NAT-T，IPsec 封包可能會被 NAT 裝置丟棄，因為它們無法正確處理 ESP 流量。 若要跨 NAT 裝置達到可靠的 VPN 連線，必須在 VPN 閘道上啟用 NAT-T。

• 當多個網路及/或子網路與 IBM Cloud VPN 閘道或內部部署裝置相關聯時，請避免混合原則型及路由型 VPN。 原則型 VPN 會為每一個目標網路範圍建立通道。 不過，路由型 VPN 會透過單一通道將所有內容遞送至同層級裝置。 因此，當配置多個網路範圍時，只能建立與單一網路範圍相關聯的單一通道。 將連續子網路結合成單一超集 CIDR 是此限制的有效暫行解決方法。

• VPN 閘道連線的同層級子網路不能重疊。

• 當您連接政策型 VPN 與路由型對等網路 (或靜態、路由型 VPN 與政策型對等網路) 時，雙方只能使用單一網路範圍。 原則型 VPN 會針對每一個相關聯的網路使用一個通道。 不過，路由型 VPN 只需要單一通道。 因此，與任一端多個網路範圍相關聯的不同類型 VPN 之間的連線，可能會導致只適用於單一網路範圍的連線。

  

  如果可能的話，請在 VPN 配置中將連續子網路結合至單一網路範圍。 例如，在 VPN 或遞送配置中，子網路 192.168.0.0/24 及 192.168.1.0/24 可以定義為 192.168.0.0/23。

• IBM Cloud 原則型 VPN 閘道位於與您在佈建期間選取的子網路相關聯的區域中。 VPN 閘道僅為 VPC 相同區域中的虛擬伺服器實例提供服務。 因此，其他區域的實體無法使用 VPN 閘道與內部專用網路通訊。 針對區域容錯，您必須為每個區域部署一個 VPN 閘道。

• IBM Cloud 路由型 VPN 閘道位於與您在佈建期間所選取子網路相關聯的區域中。 建議 VPN 閘道僅在 VPC 的相同區域中提供虛擬伺服器實例。 其他區域的實體可以使用路由式 VPN 閘道與內部專用網路通訊，但不建議使用此設定。 針對區域容錯，您必須為每個區域部署一個 VPN 閘道。

• 當您配置及最佳化站台對站台 IPsec VPN 連線時，可能會遇到網路效能問題，其中一個與「最大傳輸單位 (MTU)」及「區段大小上限 (MSS) 夾」相關。 如需相關資訊，請參閱 IBM 網站對網站 VPN 最大傳輸單位(MTU)夾持。

• 路由使用 VPN 閘道連線作為下一跳時，必須出現在與 VPC 子網路相關聯的出口路由表中。 此外，當 VPN 閘道器將流量轉送至 VPN 通道時，它會檢查此流量的來源 IP 是否在該路由表所連接的子網路內。 如果來源 IP 位於該子網路之外，則流量不會加密，也不會透過 VPN 通道傳送至對等閘道。 例如，如果 VPN 閘道接收到透過入口路由表路由的流量，該流量不會被轉送至 VPN 通道，因為來源 IP 位於連接至路由表的子網路之外。

  不支援在入口路由表中建立以 VPN 閘道連線為下一跳的路由。

• 當您建立 VPN 閘道時，可選擇設定本端與對等 IKE 身分，例如位址、FQDN 或主機名稱。 但是，如果您之後更新對等位址或 FQDN，則必須考慮此變更會如何影響 VPN 連線：

  • 如果您在建立 VPN 閘道時沒有指定本機和對等 IKE 身分，閘道會自動使用預設值：VPN 閘道的公用 IP 會用作本機 IKE 身分，對等閘道的公用 IP 會用作對等 IKE 身分。 即使對等位址變更，此預設設定也有助於維持穩定的 VPN 連線。
  • 如果您在建立 VPN 閘道時明確設定本端和對等 IKE 身分，您就鎖定了特定值。 在這種情況下，更新對等位址或 FQDN 需要您刪除並重 新建立 VPN 連線，以避免連線中斷。