Amazon VPC에서 IKE(VPN 터널의 단계 1)가 실패하는 이유는 무엇입니까?
최종 업데이트 날짜: 2020년 12월 21일
Amazon Virtual Private Cloud(Amazon VPC)에서 VPN(가상 프라이빗 네트워크)을 생성할 때 구성의 IKE(Internet Key Exchange) 단계가 실패합니다. Amazon VPC에서 VPN 터널 1단계가 실패하는 이유는 무엇입니까?
해결 방법
AWS Virtual Private Network(AWS VPN) 구성을 확인하여 다음 사항을 확인합니다.
- 모든 고객 게이트웨이 요구 사항을 충족합니다.
- 사용 사례에 적합한 IKE 버전을 사용합니다(AWS는 IKEv1과 IKEv2를 모두 지원합니다).
- IKE 버전에 대한 IKE(단계 1)의 적절한 수명 시간(초)을 사용합니다. 요구 사항에 따라 터널 옵션을 구성하려면 Site-to-Site VPN 연결에 대한 터널 옵션을 참조하세요.
- 올바른 미리 공유된 키(PSK) 또는 유효한 인증서로 구성된 고객 게이트웨이 디바이스가 있습니다.
- 고객 게이트웨이에서 AWS Virtual Private Network(AWS VPN) 엔드포인트를 성공적으로 ping할 수 있습니다.
AWS Site-to-Site VPN 연결에 대해 가속이 활성화된 경우 고객 게이트웨이 디바이스에서 NAT-탐색이 활성화되어 있는지 확인합니다.
고객 게이트웨이 디바이스가 NAT(Network Address Translation) 디바이스를 통해 연결되는 경우 다음을 확인하세요.
- 포트 500(및 NAT 탐색을 사용하는 경우 포트 4500)의 UDP 패킷이 네트워크와 AWS VPN 엔드포인트 사이를 통과할 수 있습니까?
- 중간 인터넷 서비스 공급자(ISP)는 UDP 포트 500(또는 NAT 탐색이 사용되는 경우 포트 4500)을 차단하지 않습니다.
고객 게이트웨이가 PAT(포트 주소 변환) 장치를 통해 연결되지 않은 경우 모범 사례는 NAT 탐색을 비활성화하는 것입니다.