VPN-Authentifizierungsfehler werden in der Regel durch eine Nichtübereinstimmung der Konfiguration zwischen dem SDDC und lokalen VPN-Endpoints verursacht. In der Regel verhindern sie, dass das VPN bei der Erstellung aktiviert wird. Sie können jedoch auch zur Deaktivierung eines funktionierenden VPN führen, wenn einer der Endpoints neu konfiguriert wird.

Problem

Ein neues VPN kann nach seiner Erstellung nicht angezeigt werden, oder ein funktionierendes VPN schlägt fehl, nachdem einer der Endpoints aktualisiert oder neu konfiguriert wurde.

Ursache

Die IKE-Aushandlung weist zwei Phasen auf:
  • In Phase 1 richten die Peer-Endpoints eine IKE-Sicherheitsverbindung (Security Association, SA) ein, die einen sicheren Kanal für die Kommunikation zwischen den Endpoints bietet.
  • In Phase 2 verwenden die Endpoints die SA, um einen Schlüsselaustausch mithilfe des vorinstallierten Schlüssels auszuhandeln, den Sie beim Erstellen des VPN eingegeben haben.
Fehler in Phase 1 können auftreten, wenn die Werte der Remote-ID und der lokalen ID inkonsistent sind. Fehler in Phase 2 können auftreten, wenn die Peers mit unterschiedlichen vorinstallierten Schlüsseln konfiguriert sind.

Lösung

  1. Stellen Sie sicher, dass der vorinstallierte Schlüssel auf beiden Seiten genau identisch ist. Überprüfen Sie, ob an beiden Enden der Schlüsselzeichenfolge jeweils ein Leerzeichen vorhanden ist.
  2. Wenn Sie Sonderzeichen im vorinstallierten Schlüssel verwenden, versuchen Sie, einen vorinstallierten Schlüssel ohne Sonderzeichen zu verwenden, für den Fall, dass eine der Seiten diese nicht korrekt interpretiert.
  3. Stellen Sie sicher, dass die Remote-ID auf beiden Seiten mit der lokalen ID übereinstimmt, die vom Peer verwendet wird. Normalerweise ist dies die öffentliche IP-Adresse, aber wenn sich eine der Seiten hinter einem NAT-Router befindet, wird stattdessen möglicherweise ihre private IP-Adresse verwendet, die manuell als Remote-ID in der Peer-Konfiguration eingegeben werden muss. Diese ID ist ein Bestandteil der Authentifizierung, d. h., eine Nichtübereinstimmung führt zu einem Authentifizierungsfehler.
  4. Stellen Sie sicher, dass für beide Endpoints dieselbe IKE-Version konfiguriert ist. VMware Cloud on AWS-VPNs bieten auch eine IKE-FLEX-Version, die mit IKEv1 oder IKEv2 kompatibel sein sollte.
  5. Stellen Sie sicher, dass für beide Endpoints derselbe IKE-Modus konfiguriert ist. VMware Cloud on AWS-VPNs unterstützen den aggressiven IKE-Modus nicht.