VPN 인증 오류는 일반적으로 SDDC와 온-프레미스 VPN 끝점 간의 구성 불일치로 인해 발생합니다. 이러한 오류는 일반적으로 VPN 생성 시 VPN의 작동을 방해하지만 끝점 중 하나가 재구성될 때 작동 중인 VPN이 종료되도록 할 수도 있습니다.

문제

새 VPN 생성 후 해당 VPN이 작동하지 않거나 끝점 중 하나가 업데이트 또는 재구성되면 작동 중인 VPN이 실패합니다.

원인

IKE 협상에는 두 단계가 있습니다.
  • 1단계에서, 피어 끝점은 끝점 간 통신을 위한 보안 채널을 제공하는 IKE SA(보안 연결)를 설정합니다.
  • 2단계에서, 끝점은 SA를 사용하여 VPN을 생성할 때 입력한 사전 공유 키를 사용하여 키 교환을 협상합니다.
원격 ID 및 로컬 ID 값이 일치하지 않는 경우 1단계 오류가 발생할 수 있습니다. 피어가 서로 다른 사전 공유 키로 구성된 경우 2단계 오류가 발생할 수 있습니다.

해결책

  1. 사전 공유 키가 양쪽에서 정확히 동일한지 확인합니다. 키 문자열의 양쪽 끝에 공백이 있는지 확인해야 합니다.
  2. 특수 문자가 포함되어 있는 사전 공유 키를 사용 중인 경우 한쪽이 특수 문자를 올바르게 해석하지 못한다면 특수 문자가 포함되지 않은 사전 공유 키를 사용해 봅니다.
  3. 각 측의 원격 ID가 피어에서 사용하는 로컬 ID와 일치하는지 확인합니다. 일반적으로 이것은 공용 IP 주소이지만 한쪽이 NAT 라우터 뒤에 있는 경우 피어 구성에서 원격 ID로 수동 입력해야 하는 개인 IP를 대신 사용할 수 있습니다. 이 ID는 인증의 일부를 구성하므로 일치하지 않으면 인증 오류가 발생합니다.
  4. 두 끝점에 대해 동일한 IKE 버전이 구성되어 있는지 확인합니다. VMware Cloud on AWS VPN은 IKEv1 또는 IKEv2와 호환되어야 하는 IKE FLEX 버전도 제공합니다.
  5. 두 끝점에 대해 동일한 IKE 모드가 구성되어 있는지 확인합니다. VMware Cloud on AWS VPN은 IKE 적극적 모드를 지원하지 않습니다.