Pourquoi la négociation du tunnel VPN IKEv2 échoue-t-elle avec AWS VPN ?

Lecture de 3 minute(s)

La négociation du tunnel IKEv2 échoue lors de la configuration du réseau privé virtuel (VPN) AWS Site-to-Site. Pourquoi l’IKE de mon tunnel VPN échoue-t-il ?

Solution

Vérifiez les paramètres suivants si l'échange IKE de votre tunnel VPN échoue.

Remarque : la catégorie VPN doit être définie sur AWS VPN. IKEv2 n'est pas pris en charge sur les connexions VPN AWS Classic. Effectuez toutes les modifications nécessaires pour vous assurer que votre configuration est conforme aux exigences.

Paramètres de passerelle client

Établissez une association de sécurité IKE à en utilisant des clés pré-partagées ou des certificats numériques.
Établissez des associations de sécurité IPsec en mode tunnel.
Activez la détection d'appairage mort IKEv2.
Liez le tunnel à une interface logique (uniquement pour les VPN basés sur une route - non pour les VPN basés sur une stratégie).
Fragmentez les paquets IP avant le chiffrement.
Établissez un appairage BGP (Border Gateway Protocol) (facultatif).
Autorisez le trafic ISAKMP (port UDP 500) et le protocole Encapsulating Security Payload (protocole IP 50) à cheminer entre votre réseau et les points de terminaison d'un VPN. Veillez également à autoriser le port UDP 4500 si vous utilisez Network Address Translation Traversal (NAT-T).
Effectuez un test ping de vos points de terminaison AWS VPN.
Utilisez la clé pré-partagée ou le certificat numérique approprié.

Paramètres de profil IKE

Définissez la durée de vie sur une valeur configurée côté AWS comprise entre 900 et 28 800 secondes (par défaut).
Définissez l'algorithme de chiffrement sur AES-128 ou AES-256.
Définissez l'algorithme de hachage sur SHA-1 ou SHA-2 (256).
Définissez la fonction pseudo-aléatoire (PRF) sur le même algorithme que l'algorithme de hachage.
Activez l'un des groupes Diffie-Hellman suivants : 2, 14-18, 22, 23 ou 24.

Paramètres de profil IPsec

Définissez la durée de vie sur une valeur configurée côté AWS comprise entre 900 et 3 600 secondes (par défaut), avec une durée de vie inférieure à la phase 1.
Définissez l'algorithme de chiffrement sur AES-128 ou AES-256.
Définissez l'algorithme de hachage sur SHA-1 ou SHA-2 (256).
Activez la confidentialité PFS (Perfect Forward Secrecy) à l'aide de l'un des groupes Diffie-Hellman suivants : 2, 5, 14-18, 22, 23 ou 24.

Pour plus d'informations, consultez le Guide de l'administrateur réseau Amazon Virtual Private Cloud.

Sujets

Réseaux et diffusion de contenu

Balises

Amazon VPC

Langue

Français

AWS OFFICIELA mis à jour il y a 5 mois

Aucun commentaire

Contenus pertinents

Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a un mois
DynamoDB metrics sur la quantité d'item
rePost-User-0177378
demandé il y a 3 mois
Problème avec mon instance Wordpress EC2 (crash)
rePost-User-5774152
demandé il y a 2 mois
Mon loadbalancer ne marche pas comme il devrait
zerros
demandé il y a 2 mois
Choix outils AWS worker haute charge
Benjamin BENOIT
demandé il y a 2 mois
Pourquoi IKE (phase 1 de mon tunnel VPN) échoue-t-il dans Amazon VPC ?
AWS OFFICIELA mis à jour il y a 5 mois
Comment puis-je vérifier le statut actuel du tunnel VPN ?
AWS OFFICIELA mis à jour il y a 9 mois
Comment résoudre les problèmes de stabilité du tunnel IKEv2 lors d'un changement de clé ?
AWS OFFICIELA mis à jour il y a 7 mois
Comment résoudre le problème de l'inactivité ou de l'instabilité du tunnel VPN ou de l'arrêt du tunnel sur le périphérique de ma passerelle client ?
AWS OFFICIELA mis à jour il y a 2 ans