Bhavin が VPC のセットアップ中のフェーズ 2
IPsec の問題のトラブルシューティングについて説明する

Amazon VPC 内の仮想プライベートネットワーク (VPN) のセットアップを試みていますが、インターネットプロトコルセキュリティ (IPsec) のフェーズ (フェーズ 2) で失敗します。

IPsec (フェーズ 2) の目的は、VPN ピア間のデータ伝送のためのセキュアなトンネルをネゴシエートして確立することです。フェーズ 2 のネゴシエーションに成功しなければ、VPN トンネル上でトラフィックの送受信を行うことができません。IPsec のデバッグログを調べればフェーズ 2 障害の原因を正確に理解することができますが、ここではあなたが実施できる一般的なトラブルシューティングの手順について紹介します。

以下を確認してください。

  • 暗号化ペイロード (ESP) プロトコル 50 がインバウンドまたはアウトバウンドをブロックしていない
  • セキュリティアソシエーション生存時間は 3600 秒 (60 分)
  • IPsec トラフィックに干渉するファイアウォール ACL がない
  • フェーズ 2 は SHA-1 ハッシングアルゴリズムを使用している
  • フェーズ 2 は暗号化アルゴリズムとして AES-128 を使用している (ただし、下記参照)
  • 完全前方秘匿性 (PFS) が有効になっており、鍵の生成に Diffie-Hellman グループ 2 を使用している
  • 拡張 AWS VPN エンドポイントが、フェーズ 2 のために、AES 256、SHA-2(256)、DH グループ 5、14–18、22、23、24 など、高度な暗号化およびハッシングアルゴリズムをサポートしているあなたの VPN 接続でこれらの追加機能が必要な場合、AWS に連絡して、あなたが拡張 VPN エンドポイントを使用しているのかどうかを確認してください。拡張 VPN エンドポイントに移行する場合、通常、VPC の仮想プライベートゲートウェイ (VGW) は作成し直す必要があります。
  • ポリシーベースのルーティングを使用している場合、暗号化ドメイン内に送信元ネットワークと宛先ネットワークを正しく定義していることを確認してください。 

詳細については、「Amazon Virtual Private Cloud ネットワーク管理者ガイド」を参照してください。このガイドには、特定のハードウェアデバイスの構成設定例が含まれています。またトラブルシューティングセクションでは追加のトラブルシューティング手順が紹介されています。


このページは役に立ちましたか? はい | いいえ

AWS サポートナレッジセンターに戻る

サポートが必要ですか?AWS サポートセンターをご覧ください。

公開日: 2014 年 12 月 31 日

更新: 2016 年 8 月 24 日