IKE (VPN トンネルのフェーズ 1) が Amazon VPC で失敗するのはなぜですか?

所要時間1分

Amazon Virtual Private Cloud (Amazon VPC) で仮想プライベートネットワーク (VPN) を作成するときに Internet Key Exchange (IKE) のフェーズで、設定が失敗します。

解決方法

AWS Virtual Private Network (AWS VPN) の設定で次を確認します。

カスタマーゲートウェイの要件をすべて満たしている。
ユースケースに適した IKE バージョンを使用している (AWS は IKEv1 と IKEv2 の両方をサポートしています)。
使用している IKE バージョンについて IKE (フェーズ 1) の適切なライフタイムを秒単位で使用している。要件に基づいてトンネルオプションを設定するには、サイト間 VPN 接続のトンネルオプションをご参照ください。
正しい事前共有キー (PSK) または有効な証明書で設定されたカスタマーゲートウェイデバイスがある。
カスタマーゲートウェイから AWS Virtual Private Network (AWS VPN) エンドポイントに ping を正常に送信できる。

AWS Site-to-Site VPN 接続でアクセラレーションがオンになっている場合は、カスタマーゲートウェイデバイスのために NAT トラバーサルがオンになっていることを確認してください。

カスタマーゲートウェイデバイスがネットワークアドレス変換 (NAT) デバイスの背後にある場合は、次の点を確認してください。

ポート 500 (NAT トラバーサルが使用されている場合、ポート 4500) の UDP パケットが、お客様のネットワークと AWS VPN エンドポイント間を通過するのを許可されている。
中間インターネットサービスプロバイダー (ISP) が UDP ポート 500 (または NAT トラバーサルが使用されている場合、ポート 4500) をブロックしていない。

注: カスタマーゲートウェイがポートアドレス変換 (PAT) デバイスの背後にない場合は、NAT トラバーサルをオフにするのがベストプラクティスです。