Les erreurs d'authentification VPN sont généralement causées par une incompatibilité de configuration entre le SDDC et les points de terminaison VPN sur site. Bien que celles-ci empêchent généralement le VPN de fonctionner lors de la création, elles peuvent également arrêter un VPN opérationnel lors de la reconfiguration de l'un des points de terminaison.
Problème
Un nouveau VPN ne parvient pas à s'afficher après sa création ou un VPN opérationnel échoue après la mise à jour ou la reconfiguration de l'un des points de terminaison.
Cause
La négociation IKE comporte deux phases :
- Dans la phase 1, les points de terminaison homologues établissent une association de sécurité IKE (SA, Security Association) qui fournit un canal sécurisé pour la communication entre les points de terminaison.
- Dans la phase 2, les points de terminaison utilisent la SA pour négocier un échange de clés à l'aide de la clé prépartagée que vous avez entrée lorsque vous avez créé le VPN.
Solution
- Vérifiez que la clé prépartagée est exactement la même de chaque côté. Assurez-vous de vérifier la présence d'un espace à l'une des extrémités de la chaîne de clé.
- Si vous utilisez des caractères spéciaux dans la clé prépartagée, essayez d'utiliser une clé prépartagée qui ne contient pas de caractères spéciaux, au cas où l'un des côtés ne les interprète pas correctement.
- Assurez-vous que l'ID distant de chaque côté correspond à l'ID local utilisé par l'homologue. Normalement, il s'agit de l'adresse IP publique, mais lorsqu'un côté se trouve derrière un routeur NAT, il peut plutôt utiliser son adresse IP privée, qui doit être entrée manuellement comme ID distant sur la configuration de l'homologue. Cet ID fait partie de l'authentification, de sorte qu'une non-correspondance entraîne une erreur d'authentification.
- Assurez-vous que la même version IKE est configurée pour les deux points de terminaison. Les VPN VMware Cloud on AWS fournissent également une version IKE FLEX qui doit être compatible avec IKEv1 ou IKEv2.
- Assurez-vous que le même mode IKE est configuré pour les deux points de terminaison. Les VPN VMware Cloud on AWS ne prennent pas en charge le mode agressif IKE.