AWS VPN에서 IKEv2 VPN 터널 핸드쉐이크가 실패하는 이유는 무엇입니까?

최종 업데이트 날짜: 2022년 11월 4일

VPN 터널의 IKE 교환이 실패하는 경우 다음 설정을 확인합니다.

참고: VPN 범주는 AWS VPN으로 설정되어야 합니다. IKEv2는 AWS Classic VPN 연결에서 지원되지 않습니다. 구성이 요구 사항을 충족하는지 확인하기 위해 필요한 사항을 변경합니다.

• 사전 공유 키 또는 디지털 인증서를 사용하여 IKE 보안 연결을 설정합니다.
• 터널 모드에서 IPsec 보안 연결을 설정합니다.
• IKEv2 데드 피어 감지를 켭니다.
• 터널을 논리적 인터페이스에 바인딩합니다(라우팅 기반 VPN에만 해당 – 정책 기반 VPN에는 해당되지 않음).
• 암호화 전에 IP 패킷을 조각화합니다.
• BGP(Border Gateway Protocol) 피어링을 설정합니다(선택 사항).
• ISAKMP(UDP 포트 500) 및 보안 페이로드 캡슐화(IP 프로토콜 50) 트래픽이 네트워크와 VPN 엔드포인트 간에 라우팅되도록 허용합니다. NAT-T(Network Address Translation Traversal)를 사용하는 경우 UDP 포트 4500도 허용해야 합니다.
• AWS VPN 엔드포인트를 ping합니다.
• 올바른 사전 공유 키 또는 디지털 인증서를 사용합니다.

• 수명을 900초에서 28,800초(기본값) 사이로 AWS 측에서 구성한 값으로 설정합니다.
• 암호화 알고리즘을 AES-128 또는 AES-256으로 설정합니다.
• 해시 알고리즘을 SHA-1 또는 SHA-2(256)로 설정합니다.
• PRF(Pseudo Random Function)를 해시 알고리즘과 동일한 알고리즘으로 설정합니다.
• 다음 Diffie-Hellman 그룹 2, 14-18, 22, 23 또는 24 중 하나를 켭니다.

• 수명 주기를 900초에서 3,600초(기본값) 사이로 AWS 측에서 구성한 값으로 설정합니다(1단계 수명 주기 미만).
• 암호화 알고리즘을 AES-128 또는 AES-256으로 설정합니다.
• 해시 알고리즘을 SHA-1 또는 SHA-2(256)로 설정합니다.
• 다음 Diffie-Hellman 그룹 2, 5, 14-18, 22, 23 또는 24 중 하나를 사용하여 PFS(perfect forward secrecy)를 켭니다.

자세한 내용은 Amazon Virtual Private Cloud 네트워크 관리 설명서를 참조하십시오.