AWS VPN에서 IKEv2 VPN 터널 핸드쉐이크가 실패하는 이유는 무엇입니까?

최종 업데이트 날짜: 2019년 9월 11일

AWS Site-to-Site VPN을 구성할 때 IKEv2 터널 핸드쉐이크에 실패합니다. VPN 터널의 IKE 교환이 실패하는 이유는 무엇입니까?

​해결 방법

VPN 터널의 IKE 교환이 실패하는 경우 다음 설정을 확인하십시오.

참고: VPN 범주는 AWS VPN으로 설정되어야 합니다. IKEv2는 AWS Classic VPN 연결에서 지원되지 않습니다. 구성이 요구 사항을 충족하는지 확인하기 위해 필요한 사항을 변경합니다.

고객 게이트웨이 설정

  • 사전 공유 키 또는 디지털 인증서를 사용하여 IKE 보안 연결을 설정합니다.
  • 터널 모드에서 IPsec 보안 연결을 설정합니다.
  • IKEv2 데드 피어 감지를 활성화합니다.
  • 터널을 논리적 인터페이스에 바인딩합니다(라우팅 기반 VPN에만 해당 – 정책 기반 VPN에는 해당되지 않음).
  • 암호화 전에 IP 패킷을 조각화합니다.
  • BGP(Border Gateway Protocol) 피어링을 설정합니다(선택 사항).
  • ISAKMP(UDP 포트 500) 및 보안 페이로드 캡슐화(IP 프로토콜 50) 트래픽이 네트워크와 VPN 엔드포인트 간에 라우팅되도록 허용합니다. NAT-T(Network Address Translation Traversal)를 사용하는 경우 UDP 포트 4500도 허용해야 합니다.
  • AWS VPN 엔드포인트를 ping합니다.
  • 올바른 사전 공유 키 또는 디지털 인증서를 사용합니다.

IKE 프로필 설정

  • 수명을 900초에서 28,800초(기본값) 사이로 AWS 측에서 구성한 값으로 설정합니다.
  • 암호화 알고리즘을 AES-128 또는 AES-256으로 설정합니다.
  • 해시 알고리즘을 SHA-1 또는 SHA-2(256)로 설정합니다.
  • PRF(Pseudo Random Function)를 해시 알고리즘과 동일한 알고리즘으로 설정합니다.
  • 다음 Diffie-Hellman 그룹 2, 14-18, 22, 23 또는 24 중 하나를 활성화합니다.

IPsec 프로필 설정

  • 수명 주기를 900초에서 3,600초(기본값) 사이로 AWS 측에서 구성한 값으로 설정합니다(1단계 수명 주기 미만).
  • 암호화 알고리즘을 AES-128 또는 AES-256으로 설정합니다.
  • 해시 알고리즘을 SHA-1 또는 SHA-2(256)로 설정합니다.
  • 다음 Diffie-Hellman 그룹 2, 5, 14-18, 22, 23 또는 24 중 하나를 사용하여 PFS(perfect forward secrecy)를 활성화합니다.

자세한 내용은 Amazon Virtual Private Cloud 네트워크 관리 설명서를 참조하십시오.


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?