AWS Site-to-Site VPN の IPsec/フェーズ 2 が接続を確立できないのはなぜですか?

解決策

Site-to-Site VPN Internet Protocol security (IPsec/フェーズ 2) で接続を確立できない場合は、次の手順を試して問題を解決してください。

• Site-to-Site VPN フェーズ 2 パラメータがカスタマーゲートウェイデバイスで正しく設定されていることを確認します。そのためには、サイト間 VPN コンソールからダウンロードした VPN 構成ファイルと設定を比較します。
• IKEv1 と IKEv2 でサポートされているフェーズ 2 パラメータが正しく設定されていることを確認します。
  IKEv1 と IKEv2 のパラメータの例:
  IKEv1 暗号化: AES-128、AES-256、AES128-GCM-16、AES256-GCM-16
  IKEv1 データの整合性: SHA-1、SHA2-256、SHA2-384、SHA2-512
  IKEv1 DH グループ: 2、5、14-24
  有効期間: 3600 秒
  Diffie-Hellman Perfect Forward Secrecy: 有効
  **注:**IKEv1 と IKEv2 のフェーズ 2 と IKEv2 Child\ _SA パラメータの例では、Site-to-Site VPN 接続の最小要件を次のように指定しています。
  AWS フェーズ 2 のパラメータ: AES128、SHA1、Diffie-Hellman グループ 2
  AWS GovCloud (米国) フェーズ 2 のパラメーター: AES128、SHA2、Diffie-Hellman グループ 14
• Diffie-Hellman Perfect Forward Secrecy (PFS) がアクティブで、キー生成に Diffie-Hellman グループを使用していることを確認します。詳細については、「Diffie-Hellman Perfect Forward Secrecy を使用する」セクションを参照してください。
• AWS とカスタマーゲートウェイデバイスの間にセキュリティアソシエーションやトラフィックセレクターの不一致がないことを確認します。
• 構成されている Site-to-Site VPN 接続オプション (リモート IP アドレスとローカル IP アドレスを含む) が、カスタマーゲートウェイデバイスで指定されているセキュリティアソシエーションと一致しているかどうかを確認します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN間の接続問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。
• トラフィックが AWS へのインバウンドで開始されているかどうかを確認します。Site-to-Site VPN はデフォルトでレスポンダーモードで動作し、IKE ネゴシエーション、ピアタイムアウト設定、およびその他の構成設定を変更できます。詳細については、「Site-to-Site VPN トンネル開始オプション」を参照してください。

それでも問題が解決しない場合は、以下を試してください。

• Site-to-Site VPN ログをオンにします。
• IPSec デバッグログを調べて、「障害の原因とトラブルシューティングの手順」を確認してください。

---

関連情報

ダイナミックルーティング (BGP) のカスタマーゲートウェイデバイス構成の例

静的ルーティングのカスタマーゲートウェイデバイス構成の例

Site-to-Site VPN トンネルオプションの変更

AWS Site-to-Site VPN とは