Por lo general, los errores de autenticación de VPN se deben a una falta de coincidencia de configuración entre el SDDC y los endpoints de VPN locales. Aunque normalmente impiden que la VPN llegue a crearse, también pueden desactivar una VPN en funcionamiento cuando se vuelve a configurar uno de los endpoints.

Problema

No se puede abrir una nueva VPN después de crearla o se produce un error en una VPN en funcionamiento después de que uno de los extremos se haya actualizado o reconfigurado.

Causa

La negociación de IKE tiene dos fases:
  • En la fase 1, los endpoints del mismo nivel establecen una asociación de seguridad (SA) de IKE, que proporciona un canal seguro para la comunicación entre los endpoints.
  • En la fase 2, los endpoints utilizan la SA para negociar un intercambio de claves mediante la clave precompartida que introdujo al crear la VPN.
Pueden surgir errores de fase 1 cuando los valores de Identificador remoto e Identificador local son incoherentes. Pueden surgir errores de fase 2 cuando los elementos del mismo nivel se configuran con diferentes claves previamente compartidas.

Solución

  1. Compruebe que la clave compartida previamente sea exactamente la misma en cada lado. Asegúrese de comprobar la presencia de espacios en blanco en ambos extremos de la cadena de clave.
  2. Si utiliza caracteres especiales en la clave precompartida, en caso de que un lado no los interprete correctamente, pruebe a usar una clave precompartida que no contenga caracteres especiales.
  3. Asegúrese de que el identificador remoto de cada lado coincide con el ID local utilizado por el elemento del mismo nivel. Normalmente, esta será la dirección IP pública, pero cuando un lado está detrás de un enrutador NAT, puede utilizar en su lugar su IP privada, que deberá introducirse manualmente como el ID remoto en la configuración del mismo nivel. Este identificador forma parte de la autenticación, por lo que un error de concordancia provocará un error de autenticación.
  4. Asegúrese de que la misma versión de IKE esté configurada para ambos endpoints. Las VPN de VMware Cloud on AWS también proporcionan una versión de IKE FLEX que debe ser compatible con IKEv1 o IKEv2.
  5. Asegúrese de que el mismo modo IKE esté configurado para ambos endpoints. Las VPN de VMware Cloud on AWS no admiten el modo agresivo de IKE.