通常、VPN 認証エラーは SDDC とオンプレミス VPN エンドポイント間の構成の不一致が原因で発生します。通常、これらのエラーにより作成時に VPN の起動が妨げられますが、いずれか 1 台のエンドポイントが再構成されたときに動作中の VPN を停止させる可能性もあります。

問題

作成後に新しい VPN が起動しない。またはいずれか 1 台のエンドポイントが更新または再構成された後に動作中の VPN が機能を停止する。

原因

IKE ネゴシエーションには、次の 2 つのフェーズがあります。
  • フェーズ 1 では、ピア エンドポイントが IKE Security Association (SA) を確立し、エンドポイント間の通信にセキュアなチャネルを提供します。
  • フェーズ 2 では、エンドポイントが SA を使用して、VPN の作成時に入力したプリシェアード キーを通じてキー交換をネゴシエートします。
フェーズ 1 のエラーは、リモート ID とローカル ID の値に一貫性がない場合に発生する可能性があります。フェーズ 2 のエラーは、異なるプリシェアード キーがピアに構成されている場合に発生する可能性があります。

解決方法

  1. 各側のプリシェアード キーが同一であることを確認します。キー文字列の両端に空白があることを確認します。
  2. プリシェアード キーで特殊文字を使用している場合は、(一方の側で特殊文字が正しく解釈されない場合に備えて)特殊文字を含まないプリシェアード キーを試してください。
  3. それぞれの側のリモート ID がピアで使用されるローカル ID と一致していることを確認します。通常、これはパブリック IP アドレスですが、一方の側が NAT ルーターの背後にある場合は、代わりにプライベート IP アドレスを使用できます。プライベート IP アドレスは、ピアの構成のリモート ID として手動で入力する必要があります。この ID は認証の一部を形成するため、一致しない場合は認証エラーが発生します。
  4. 両方のエンドポイントに同じ IKE バージョンが構成されていることを確認します。VMware Cloud on AWS VPN には、IKEv1 または IKEv2 と互換性のある [IKE FLEX] バージョンも用意されています。
  5. 両方のエンドポイントに同じ IKE モードが構成されていることを確認します。VMware Cloud on AWS VPN では IKE アグレッシブモードがサポートされていません。