Pourquoi la négociation du tunnel VPN IKEv2 échoue-t-elle avec AWS VPN ?

Date de la dernière mise à jour : 11/09/2019

La négociation du tunnel IKEv2 échoue lors de la configuration d'AWS Site-to-Site VPN. Pourquoi l'échange IKE de mon tunnel VPN échoue-t-il ?

Résolution

Vérifiez les paramètres suivants si l'échange IKE de votre tunnel VPN échoue.

Remarque : la catégorie VPN doit être définie sur AWS VPN. IKEv2 n'est pas pris en charge sur les connexions VPN AWS Classic. Effectuez toutes les modifications nécessaires pour vous assurer que votre configuration est conforme aux exigences.

Paramètres de passerelle client

  • Établissez une association de sécurité IKE à en utilisant des clés pré-partagées ou des certificats numériques.
  • Établissez des associations de sécurité IPsec en mode tunnel.
  • Activez la détection d'appairage mort IKEv2.
  • Liez le tunnel à une interface logique (uniquement pour les VPN basés sur une route - non applicable aux VPN basés sur une stratégie).
  • Fragmentez les paquets IP avant le chiffrement.
  • Établissez un appairage BGP (Border Gateway Protocol) (facultatif).
  • Autorisez le trafic ISAKMP (port UDP 500) et le protocole Encapsulating Security Payload (protocole IP 50) à cheminer entre votre réseau et les points de terminaison d'un VPN. Veillez également à autoriser le port UDP 4500 si vous utilisez Network Address Translation Traversal (NAT-T).
  • Effectuez un test ping de vos points de terminaison AWS VPN.
  • Utilisez la clé pré-partagée ou le certificat numérique approprié.

Paramètres de profil IKE

  • Définissez la durée de vie sur une valeur configurée côté AWS comprise entre 900 et 28 800 secondes (par défaut).
  • Définissez l'algorithme de chiffrement sur AES-128 ou AES-256.
  • Définissez l'algorithme de hachage sur SHA-1 ou SHA-2 (256).
  • Définissez la fonction pseudo-aléatoire (PRF) sur le même algorithme que l'algorithme de hachage.
  • Activez l'un des groupes Diffie-Hellman suivants : 2, 14-18, 22, 23 ou 24.

Paramètres de profil IPsec

  • Définissez la durée de vie sur une valeur configurée côté AWS comprise entre 900 et 3 600 secondes (par défaut), avec une durée de vie inférieure à la phase 1.
  • Définissez l'algorithme de chiffrement sur AES-128 ou AES-256.
  • Définissez l'algorithme de hachage sur SHA-1 ou SHA-2 (256).
  • Activez la confidentialité PFS (Perfect Forward Secrecy) à l'aide de l'un des groupes Diffie-Hellman suivants : 2, 5, 14-18, 22, 23 ou 24.

Pour plus d'informations, consultez le Guide de l'administrateur réseau Amazon Virtual Private Cloud.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?