For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
AWS Site-to-Site VPN の IPsec/フェーズ 2 が接続を確立できないのはなぜですか?
所要時間1分
0
Amazon Virtual Private Cloud (Amazon VPC) で AWS Site-to-Site VPN 接続をセットアップしようとすると、構成の IPsec/フェーズ 2 で接続を確立できません。
解決策
Site-to-Site VPN Internet Protocol security (IPsec/フェーズ 2) で接続を確立できない場合は、次の手順を試して問題を解決してください。
- Site-to-Site VPN フェーズ 2 パラメータがカスタマーゲートウェイデバイスで正しく設定されていることを確認します。そのためには、サイト間 VPN コンソールからダウンロードした VPN 構成ファイルと設定を比較します。
- IKEv1 と IKEv2 でサポートされているフェーズ 2 パラメータが正しく設定されていることを確認します。
IKEv1 と IKEv2 のパラメータの例:
IKEv1 暗号化: AES-128、AES-256、AES128-GCM-16、AES256-GCM-16
IKEv1 データの整合性: SHA-1、SHA2-256、SHA2-384、SHA2-512
IKEv1 DH グループ: 2、5、14-24
有効期間: 3600 秒
Diffie-Hellman Perfect Forward Secrecy: 有効
**注:**IKEv1 と IKEv2 のフェーズ 2 と IKEv2 Child\ _SA パラメータの例では、Site-to-Site VPN 接続の最小要件を次のように指定しています。
AWS フェーズ 2 のパラメータ: AES128、SHA1、Diffie-Hellman グループ 2
AWS GovCloud (米国) フェーズ 2 のパラメーター: AES128、SHA2、Diffie-Hellman グループ 14 - Diffie-Hellman Perfect Forward Secrecy (PFS) がアクティブで、キー生成に Diffie-Hellman グループを使用していることを確認します。詳細については、「Diffie-Hellman Perfect Forward Secrecy を使用する」セクションを参照してください。
- AWS とカスタマーゲートウェイデバイスの間にセキュリティアソシエーションやトラフィックセレクターの不一致がないことを確認します。
- 構成されている Site-to-Site VPN 接続オプション (リモート IP アドレスとローカル IP アドレスを含む) が、カスタマーゲートウェイデバイスで指定されているセキュリティアソシエーションと一致しているかどうかを確認します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN間の接続問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。
- トラフィックが AWS へのインバウンドで開始されているかどうかを確認します。Site-to-Site VPN はデフォルトでレスポンダーモードで動作し、IKE ネゴシエーション、ピアタイムアウト設定、およびその他の構成設定を変更できます。詳細については、「Site-to-Site VPN トンネル開始オプション」を参照してください。
それでも問題が解決しない場合は、以下を試してください。
- Site-to-Site VPN ログをオンにします。
- IPSec デバッグログを調べて、「障害の原因とトラブルシューティングの手順」を確認してください。
関連情報
- 言語
- 日本語
AWS公式更新しました 3年前
コメントはありません
