1. IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 1 が失敗しました" となる場合、どうしたらいいですか。
もっとも多い最初のフェーズでのネゴシエーションエラーの原因は、パラメーター設定の不一致によるものです。 十分に注意し、Alibaba Cloud VPN Gateway の最初のフェーズの設定とローカル VPN ゲートウェイの間のパラメーター設定を行います。 最初のフェーズでのネゴシエーションエラーの可能性は以下のものがあります。
-
事前共有キーが一致しない。
-
IKE プロトコルのバージョンが一致しない。
-
ネゴシエーションモードが一致しない。
-
"LocalId" または "RemoteId" が一致しない。
-
暗号化アルゴリズムまたは認証アルゴリズムが一致しない。
-
DH グループが一致しない。 一部のデバイスでは、手動でパラメーターを設定する必要があります。
-
ローカルデータセンターの VPN ゲートウェイで NATトラバーサルが有効化されていない。
一部の極端な場合、パラメーターが完全に一致していてもネゴシエーションが失敗することがあります。 このような状況では、ネゴシエーションモードをアグレッシブモードに変更することを推奨します。
2. IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が失敗しました" となる場合、どうしたらいいですか。
2 番目のフェーズでのネゴシエーションエラーの可能性は以下のものがあります。
-
Alibaba Cloud VPN Gateway で設定されたローカルネットワーク または リモートネットワークが、ローカルデータセンターの VPN ゲートウェイで設定されたものと一致しない。 一部のローカル VPN ゲートウェイでは、ACL を使用してローカルネットワーク または リモートネットワークを設定できます。 この際、関連する操作マニュアルを参照する必要があります。
-
暗号化アルゴリズムまたは認証アルゴリズムが一致しない。
-
DH グループが一致しない。 一部のデバイスでは、手動でパラメーターを設定する必要があります。
3. IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が成功しました" となっても、VPC の ECS インスタンスがローカルデータセンターのサーバーにアクセスできないのはなぜですか。
ローカルデータセンターがプライベート IP としてパブリック IP を使用している場合、ローカルデータセンターの ECS インスタンスがインターネットにアクセスできます。 以下を参照し、ルート設定を確認できます。
-
VRouter のルート設定を確認します。
-
ローカルデータセンターの firewall/iptables 設定を確認し、VPC のプライベートネットワークからのアクセスが許可されていることを確認します。
4. IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が成功しました" となっても、ローカルデータセンターのサーバーは VPC の ECS インスタンスにアクセスできないのはなぜですか。
-
ローカルデータセンターのルートおよび ACL 設定で、VPC へ送信されるトラフィックが VPN トンネルに入ることが許可されているかどうか確認します。
-
ECS インスタンスのセキュリティグループルールが、ローカルデータセンターのプライベートネットワークからのアクセスが許可されているかどうか確認します。
5. IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が成功しました" となっても、マルチネットワークシナリオで、一部のネットワークが正常に接続され、一部のネットワークが正常に接続されないのはなぜですか。
マルチネットワークシナリオでは、IKE V2 プロトコルの利用を推奨します。
IKE V2 プロトコルを使用していても問題が継続する場合は、ローカルデータセンターの VPN ゲートウェイの SA (Security Association) ステータスを確認することを推奨します。 通常、SA は 1 つのみです。 たとえば、172.30.96.0/19 === 10.0.0.0/8 172.30.128.0/17 となります。
複数の SA がある場合、ローカルデータセンターの VPN ゲートウェイは標準 IKE V2 プロトコルではありません。 この場合、複数の IPsec 接続を使用したネットワーク接続のみ可能です。 たとえば、IPsec 接続 "172.30.96.0/19 <=> 10.0.0.0/8 172.30.128.0/17" を IPsec 接続 A: "172.30.96.0/19 <=> 10.0.0.0/8" および IPsec 接続 B: "172.30.96.0/19 <=> 172.30.128.0/17" に分割できます。