为什么 AWS VPN 在使用 IKEv2 VPN 隧道协商时会失败？

如果您的 VPN 隧道在进行 IKE 交换时失败，请检查以下设置。

注意：VPN 类别必须设置为 AWS VPN。IKEv2 不支持 AWS Classic VPN 连接。进行任何必要的更改以确保您的配置符合要求。

客户网关设置

• 使用预共享密钥或数字证书建立 IKE 安全关联。
• 以隧道模式建立 IPsec 安全关联。
• 启用 IKEv2 死亡对等体检测。
• 将隧道绑定到某个逻辑接口（仅适用于基于路由的 VPN — 不适用于基于策略的 VPN）。
• 在加密前对 IP 数据包进行分片。
• 建立边界网关协议 (BGP) 对等连接（可选）。
• 允许在您的网络和 VPN 终端节点之间路由 ISAKMP（UDP 端口 500）和封装安全有效载荷（IP 协议 50）流量。如果您使用网络地址转换遍历 (NAT-T)，则还需确保允许 UDP 端口 4500。
• Ping 您的 AWS VPN 终端节点。
• 使用正确的预共享密钥或数字证书。

IKE 配置文件设置

• 将生命周期设置为一个 AWS 侧配置的值，介于 900 秒和 28800 秒之间（默认值）。
• 将加密算法设置为 AES-128 或 AES-256。
• 将哈希算法设置为 SHA-1 或 SHA-2(256)。
• 将伪随机函数 (PRF) 设置为与哈希算法相同的算法。
• 启用以下任意一个 Diffie-Hellman 组：2、14-18、22、23 或 24。

IPsec 配置文件设置

• 将生命周期设置为一个 AWS 侧配置的值，介于 900 秒和 3600 秒之间（默认值），该值应小于第 1 阶段的生命周期。
• 将加密算法设置为 AES-128 或 AES-256。
• 将哈希算法设置为 SHA-1 或 SHA-2(256)。
• 使用以下任意一个 Diffie-Hellman 组启用完美前向保密 (PFS)：2、5、14-18、22、23 或 24。

有关更多信息，请参阅 Amazon Virtual Private Cloud 网络管理员指南。