通常、VPN 認証エラーは SDDC とオンプレミス VPN エンドポイント間の構成の不一致が原因で発生します。通常、これらのエラーにより作成時に VPN の起動が妨げられますが、いずれか 1 台のエンドポイントが再構成されたときに動作中の VPN を停止させる可能性もあります。
問題
作成後に新しい VPN が起動しない。またはいずれか 1 台のエンドポイントが更新または再構成された後に動作中の VPN が機能を停止する。
原因
IKE ネゴシエーションには、次の 2 つのフェーズがあります。
- フェーズ 1 では、ピア エンドポイントが IKE Security Association (SA) を確立し、エンドポイント間の通信にセキュアなチャネルを提供します。
- フェーズ 2 では、エンドポイントが SA を使用して、VPN の作成時に入力したプリシェアード キーを通じてキー交換をネゴシエートします。
解決方法
- 各側のプリシェアード キーが同一であることを確認します。キー文字列の両端に空白があることを確認します。
- プリシェアード キーで特殊文字を使用している場合は、(一方の側で特殊文字が正しく解釈されない場合に備えて)特殊文字を含まないプリシェアード キーを試してください。
- それぞれの側のリモート ID がピアで使用されるローカル ID と一致していることを確認します。通常、これはパブリック IP アドレスですが、一方の側が NAT ルーターの背後にある場合は、代わりにプライベート IP アドレスを使用できます。プライベート IP アドレスは、ピアの構成のリモート ID として手動で入力する必要があります。この ID は認証の一部を形成するため、一致しない場合は認証エラーが発生します。
- 両方のエンドポイントに同じ IKE バージョンが構成されていることを確認します。VMware Cloud on AWS VPN には、IKEv1 または IKEv2 と互換性のある [IKE FLEX] バージョンも用意されています。
- 両方のエンドポイントに同じ IKE モードが構成されていることを確認します。VMware Cloud on AWS VPN では IKE アグレッシブモードがサポートされていません。