IKEv2 VPN トンネルネゴシエーションが AWS VPN で失敗する理由を教えてください。

最終更新日: 2019 年 9 月 11 日

AWS サイト間 VPN を設定すると、IKEv2 トンネルネゴシエーションが失敗します。VPN トンネルの IKE 交換が失敗するのはなぜですか?

解決方法

VPN トンネルの IKE 交換が失敗した場合は、次の設定を確認してください。

注意: VPN カテゴリを AWS VPN に設定する必要があります。IKEv2 は AWS Classic VPN 接続ではサポートされていません。必要な変更を行って、設定が要件を満たしていることを確認します。

カスタマーゲートウェイの設定

  • 事前共有キーまたはデジタル証明書を使用して、IKE セキュリティアソシエーションを確立します。
  • トンネルモードで IPsec セキュリティアソシエーションを確立します。
  • IKEv2 デッドピア検出を有効にします。
  • トンネルを論理インターフェイスにバインドします (ルートベースの VPN のみで、ポリシーベースの VPN には適用されません)。
  • 暗号化の前に IP パケットをフラグメント化します。
  • ボーダーゲートウェイプロトコル (BGP) ピアリングを確立します (オプション)。
  • ISAKMP (UDP ポート 500) およびカプセル化セキュリティペイロード (IP プロトコル 50) トラフィックがネットワークと VPN エンドポイント間をルーティングできるようにします。ネットワークアドレス変換トラバーサル (NAT-T) を使用している場合は、UDP ポート 4500 も許可してください。
  • AWS VPN エンドポイントを ping します。
  • 正しい事前共有キーまたはデジタル証明書を使用してください。

IKE プロファイル設定

  • ライフタイムを、AWS 側で 900〜28,800 (デフォルト) 秒の間での設定値にします。
  • 暗号化アルゴリズムを AES-128 または AES-256 に設定します。
  • ハッシュアルゴリズムを SHA-1 または SHA-2 (256) に設定します。
  • 疑似ランダム関数 (PRF) をハッシュアルゴリズムと同じアルゴリズムに設定します。
  • 次の Diffie-Hellman グループのいずれかを有効にします: 2、14-18、22、23、または 24。

IPsec プロファイル設定

  • 段階 1 未満のライフタイムを、AWS 側で 900〜3,600 (デフォルト) 秒の間での設定値にします。
  • 暗号化アルゴリズムを AES-128 または AES-256 に設定します。
  • ハッシュアルゴリズムを SHA-1 または SHA-2 (256) に設定します。
  • 次の Diffie-Hellman グループのいずれかを使用して、Perfect Forward Secrecy (PFS) を有効にします: 2、5、14-18、22、23、または 24。

詳細については、Amazon Virtual Private Cloud ネットワーク管理者ガイドを参照してください。


この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合