为什么 AWS VPN 在使用 IKEv2 VPN 隧道协商时会失败?

上次更新时间:2019 年 9 月 11 日

在配置 AWS 站点到站点 VPN 时,IKEv2 隧道协商失败了。为什么我的 VPN 隧道在进行 IKE 交换时会失败?

解决方法

如果您的 VPN 隧道在进行 IKE 交换时失败,请检查以下设置。

注意:VPN 类别必须设置为 AWS VPN。IKEv2 不支持 AWS Classic VPN 连接。进行任何必要的更改以确保您的配置符合要求。

客户网关设置

  • 使用预共享密钥或数字证书建立 IKE 安全关联。
  • 以隧道模式建立 IPsec 安全关联。
  • 启用 IKEv2 死亡对等体检测。
  • 将隧道绑定到某个逻辑接口(仅适用于基于路由的 VPN — 不适用于基于策略的 VPN)。
  • 在加密前对 IP 数据包进行分片。
  • 建立边界网关协议 (BGP) 对等连接(可选)。
  • 允许在您的网络和 VPN 终端节点之间路由 ISAKMP(UDP 端口 500)和封装安全有效载荷(IP 协议 50)流量。如果您使用网络地址转换遍历 (NAT-T),则还需确保允许 UDP 端口 4500。
  • Ping 您的 AWS VPN 终端节点。
  • 使用正确的预共享密钥或数字证书。

IKE 配置文件设置

  • 将生命周期设置为一个 AWS 侧配置的值,介于 900 秒和 28800 秒之间(默认值)。
  • 将加密算法设置为 AES-128 或 AES-256。
  • 将哈希算法设置为 SHA-1 或 SHA-2(256)。
  • 将伪随机函数 (PRF) 设置为与哈希算法相同的算法。
  • 启用以下任意一个 Diffie-Hellman 组:2、14-18、22、23 或 24。

IPsec 配置文件设置

  • 将生命周期设置为一个 AWS 侧配置的值,介于 900 秒和 3600 秒之间(默认值),该值应小于第 1 阶段的生命周期。
  • 将加密算法设置为 AES-128 或 AES-256。
  • 将哈希算法设置为 SHA-1 或 SHA-2(256)。
  • 使用以下任意一个 Diffie-Hellman 组启用完美前向保密 (PFS):2、5、14-18、22、23 或 24。

有关更多信息,请参阅 Amazon Virtual Private Cloud 网络管理员指南


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助吗?