Bhavin vous explique comment
résoudre des problèmes liés à IKE (phase 1)

Phase1IKE_thumbnail

J'essaie de configurer un réseau privé virtuel (VPN) dans Amazon VPC, mais la phase 1 IKE (IKE) échoue.

L'objectif de la phase 1 est de négocier un canal sécurisé via lequel acheminer les paramètres de la phase 2. Il n'est pas possible d'établir la phase 2 tant que la phase 1 n'a pas été correctement exécutée. Examinez les journaux de débogage IKE afin d'identifier la cause exacte de l'échec de négociation de la phase 1. Par ailleurs, voici quelques étapes de dépannage à suivre.

Vérifiez les éléments suivants :

  • Vous utilisez IKEv1 au lieu d'IKEv2 ; AWS prend uniquement en charge IKEv1.
  • L'algorithme Diffie-Hellman Group 2 est utilisé.
  • La durée de vie de la phase 1 est définie sur 28 800 secondes (soit 480 minutes ou 8 heures).
  • La phase 1 utilise l'algorithme de hachage SHA-1.
  • La phase 1 utilise AES-128 comme algorithme de chiffrement (voir ci-dessous).
  • Le périphérique de passerelle client est configuré avec la clé pré-partagée appropriée (PSK) spécifiée dans la configuration téléchargée par AWS VPN pour les tunnels.
  • Si le point de terminaison de la passerelle client se trouve derrière un périphérique NAT, assurez-vous que le trafic IKE qui quitte le réseau sur site du client provient de l'adresse IP de passerelle client configurée et du port UDP 500. De plus, effectuez un test en désactivant NAT Traversal sur le périphérique de passerelle client.
  • Les points de terminaison AWS VPN améliorés prennent en charge certains algorithmes de hachage et de chiffrement avancés supplémentaires, tels que AES 256, SHA-2(256), et les groupes DH 14 à 18, 22, 23 et 24 pour la phase 1. Ils prennent également en charge NAT Traversal. Si votre connexion VPN requiert l'une de ces fonctions supplémentaires, contactez AWS pour vérifier que vous utilisez les points de terminaison VPN améliorés. Vous devez généralement recréer la passerelle réseau privé virtuel (VGW) de votre VPC pour passer aux points de terminaison VPN améliorés. Dans ce cas, votre passerelle client peut se trouver derrière un périphérique exécutant une traduction d'adresses de port (PAT). Pour faire en sorte que NAT-T puisse fonctionner, vous devez ajuster vos règles de pare-feu afin d'autoriser le port UDP 4500. Si votre passerelle client ne se trouve pas derrière un périphérique PAT, nous vous recommandons de désactiver NAT Traversal.
  • Les paquets UDP sur le port 500 (et sur le port 4500 si NAT Traversal est utilisé) peuvent transiter entre votre réseau et les nœuds de terminaison AWS VPN. Assurez-vous qu'aucun périphérique susceptible de bloquer le port UDP 500 ne se trouve entre votre passerelle client (CGW) et la passerelle réseau privé virtuel (VGW) ; cela inclut également les fournisseurs de service Internet (ISP) qui pourraient bloquer le port UDP 500.
  • Effectuez un test ping sur vos nœuds de terminaison AWS VPN depuis votre passerelle client.

Pour plus d'informations, consultez le Guide de l'administrateur réseau Amazon Virtual Private Cloud. Ce guide inclut des exemples de paramètres de configuration pour des périphériques spécifiques et la section Dépannage comporte des étapes de dépannage supplémentaires.

Amazon Virtual Private Cloud (VPC), tunnel VPN, phase 1, IKE


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 31/12/2014
Date de mise à jour : 24/08/2016