为什么 AWS VPN 在使用 IKEv2 VPN 隧道协商时会失败?
上次更新日期:2022 年 11 月 4 日
在配置 AWS 站点到站点虚拟专用网络(VPN)时,IKEv2 隧道协商失败了。为什么我的 VPN 隧道在进行 IKE 时会失败?
解决方法
如果您的 VPN 隧道在进行 IKE 交换时失败,请检查以下设置:
注意:VPN 类别必须设置为 AWS VPN。IKEv2 不支持 AWS Classic VPN 连接。进行任何必要的更改以确保您的配置符合要求。
客户网关设置
- 使用预共享密钥或数字证书建立 IKE 安全关联。
- 以隧道模式建立 IPsec 安全关联。
- 启用 IKEv2 死亡对等体检测。
- 将隧道绑定到某个逻辑接口(仅适用于基于路由的 VPN,不适用于基于策略的 VPN)。
- 在加密前对 IP 数据包进行分片。
- 建立边界网关协议 (BGP) 对等连接(可选)。
- 允许在您的网络和 VPN 终端节点之间路由 ISAKMP(UDP 端口 500)和封装安全有效载荷(IP 协议 50)流量。如果您使用网络地址转换遍历 (NAT-T),则还需确保允许 UDP 端口 4500。
- Ping 您的 AWS VPN 终端节点。
- 使用正确的预共享密钥或数字证书。
IKE 配置文件设置
- 将生命周期设置为一个 AWS 侧配置的值,介于 900 秒和 28800 秒之间(默认值)。
- 将加密算法设置为 AES-128 或 AES-256。
- 将哈希算法设置为 SHA-1 或 SHA-2(256)。
- 将伪随机函数(PRF)设置为与哈希算法相同的算法。
- 启用以下任意一个 Diffie-Hellman 组:2、14-18、22、23 或 24。
IPsec 配置文件设置
- 将生命周期设置为一个 AWS 侧配置的值,介于 900 秒和 3600 秒之间(默认值),该值应小于第 1 阶段的生命周期。
- 将加密算法设置为 AES-128 或 AES-256。
- 将哈希算法设置为 SHA-1 或 SHA-2(256)。
- 使用以下任意一个 Diffie-Hellman 组启用完美前向保密(PFS):2、5、14-18、22、23 或 24。
有关更多信息,请参阅 Amazon Virtual Private Cloud 网络管理员指南。