Bhavin が フェーズ 1 IKE の問題の
トラブルシューティングを手順を追って説明する

vpn-tunnel-phase-1-ike-ipsec-bhavin

Amazon VPC 内の仮想プライベートネットワーク (VPN) のセットアップを試みていますが、インターネット鍵交換のフェーズ (フェーズ 1) で失敗します。

フェーズ 1 の目的は、フェーズ 2 パラメーターを渡すセキュアチャネルをネゴシエートすることです。フェーズ 1 の確立に成功しなかった場合、フェーズ 2 を確立することはできません。IKE のデバッグログを調べればフェーズ 1 のネゴシエーション障害の原因を正確に診断することができますが、ここではあなたが実施できる一般的なトラブルシューティングの手順について紹介します。

以下を確認してください。

  • IKEv2 ではなく IKEv1 を使用している (AWS がサポートしているのは IKEv1 のみ)
  • Diffie-Hellman グループ 2 を使用している
  • フェーズ 1 生存時間に 28800 秒 (480 分または 8 時間) を設定している
  • フェーズ 1 は SHA-1 ハッシングアルゴリズムを使用している
  • フェーズ 1 は暗号化アルゴリズムとして AES-128 を使用している (ただし、下記参照)
  • カスタマーゲートウェイデバイスには、トンネル用に AWS VPN からダウンロードした構成で指定されている、正しい事前共有鍵 (PSK) が構成されている
  • カスタマーゲートウェイのエンドポイントが NAT デバイスの背後にある場合、カスタマーのオンプレミスネットワークから送信される IKE トラフィックの送信元は構成されているカスタマーゲートウェイの IP アドレスであり、UDP ポート 500 上にあることを確認するまた、カスタマーゲートウェイデバイスのNAT トラバーサルを無効にしてテストする
  • 拡張 AWS VPN エンドポイントが、フェーズ 1 のために、AES 256、SHA-2(256)、DH グループ 14–18、22、23、24 など、高度な暗号化およびハッシングアルゴリズムをサポートしているこれも NAT トラバーサルをサポートしています。あなたの VPN 接続でこれらの追加機能が必要な場合、AWS に連絡して、あなたが拡張 VPN エンドポイントを使用しているのかどうかを確認してください。拡張 VPN エンドポイントに移行する場合、通常、VPC の仮想プライベートゲートウェイ (VGW) は作成し直す必要があります。この場合、カスタマーゲートウェイはポートアドレス変換 (PAT) を行うデバイスの背後に配置することができます。ネットワークアドレス変換トラバーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 を許可するようにファイアウォールのルールを調整する必要があります。カスタマーゲートウェイが PAT デバイスの背後ではない場合、NAT トラバーサルは無効にしておくことをお勧めします。
  • ポート 500 上の UDP パケットにはあなたのネットワークと AWS VPN エンドポイントとの間でのデータの受け渡しが許可されています (NAT トラバーサルを使用している場合、ポート 4500 も同様)。カスタマーゲートウェイ (CGW) と仮想プライベートゲートウェイ (VGW) の間には、UDP ポート 500 のブロッキングの原因となる、いかなるデバイスも配置されていないことを確認します。これには、UDP ポート 500 をブロッキングするインターネットサービスプロバイダー (ISP) のチェックも含まれます。
  • カスタマーゲートウェイから AWS 仮想プライベートネットワーク (VPN) エンドポイントに ping が通ることを確認します。

詳細については、「Amazon Virtual Private Cloud ネットワーク管理者ガイド」を参照してください。このガイドには、特定のハードウェアデバイスの構成設定例が含まれています。またトラブルシューティングセクションでは追加のトラブルシューティング手順が紹介されています。


このページは役に立ちましたか? はい | いいえ

AWS サポートナレッジセンターに戻る

サポートが必要ですか?AWS サポートセンターをご覧ください。

公開日: 2014 年 12 月 31 日
更新: 2016 年 8 月 24 日