Bhavin vous aide à résoudre les problèmes liés
à IPsec (phase 2) lors de la configuration d'un VPC

Phase2IKE_thumbnail

Je tente de configurer un réseau privé virtuel (VPN) dans Amazon VPC, mais la phase 2 IPsec (Internet Protocol security) échoue.

L'objectif du protocole IPsec (phase 2) est de négocier et de mettre en place un tunnel sécurisé pour la transmission des données entre les pairs VPN. Si la négociation de la phase 2 échoue, l'envoi et la réception du trafic via le tunnel VPN sont impossibles. Pour identifier la cause exacte de l'échec de négociation de la phase 2, examinez les journaux de débogage IPsec. Voici cependant quelques étapes de dépannage que vous pouvez suivre.

Vérifiez les éléments suivants :

  • Le protocole ESP (Encapsulating Security Payload) 50 ne doit pas être bloqué ni en entrée, ni en sortie.
  • La durée de vie des associations de sécurité doit s'élever à 3 600 secondes (soit 60 minutes).
  • Aucune ACL de pare-feu ne doit interférer avec le trafic IPsec.
  • La phase 2 utilise l'algorithme de hachage SHA-1.
  • La phase 2 utilise AES-128as comme algorithme de chiffrement (voir ci-dessous).
  • La confidentialité persistante (PFS) doit être activée et vous devez utiliser le protocole de Diffie-Hellman (groupe 2) pour générer les clés.
  • Les points de terminaison AWS VPN améliorés prennent en charge certains algorithmes de hachage et de chiffrement avancés supplémentaires, tels que AES 256, SHA-2(256), et les groupes DH 5, 14 à 18, 22, 23 et 24 pour la phase 2. Si votre connexion VPN requiert l'une de ces fonctions supplémentaires, contactez AWS pour vérifier que vous utilisez les points de terminaison VPN améliorés. Vous devez généralement recréer la passerelle réseau privé virtuel (VGW) de votre VPC pour passer aux points de terminaison VPN améliorés.
  • Si vous utilisez un routage basé sur une stratégie, vérifiez que vous avez correctement défini les réseaux source et de destination dans votre domaine de chiffrement.  

Pour plus d'informations, consultez le Guide de l'administrateur réseau Amazon Virtual Private Cloud. Ce guide inclut des exemples de paramètres de configuration pour des périphériques spécifiques et la section Dépannage comporte des étapes de dépannage supplémentaires.

Amazon Virtual Private Cloud (VPC), tunnel VPN, phase 2, IPsec


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support.

Date de publication : 31/12/2014
Date de mise à jour : 24/08/2016