VPN Gateway:IPsec 接続

1. IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 1 が失敗しました" となる場合、どうしたらいいですか。

もっとも多い最初のフェーズでのネゴシエーションエラーの原因は、パラメーター設定の不一致によるものです。 十分に注意し、Alibaba Cloud VPN Gateway の最初のフェーズの設定とローカル VPN ゲートウェイの間のパラメーター設定を行います。 最初のフェーズでのネゴシエーションエラーの可能性は以下のものがあります。

• 事前共有キーが一致しない。

• IKE プロトコルのバージョンが一致しない。

• ネゴシエーションモードが一致しない。

• "LocalId" または "RemoteId" が一致しない。

• 暗号化アルゴリズムまたは認証アルゴリズムが一致しない。

• DH グループが一致しない。 一部のデバイスでは、手動でパラメーターを設定する必要があります。

• ローカルデータセンターの VPN ゲートウェイで NATトラバーサルが有効化されていない。

一部の極端な場合、パラメーターが完全に一致していてもネゴシエーションが失敗することがあります。 このような状況では、ネゴシエーションモードをアグレッシブモードに変更することを推奨します。

2. IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が失敗しました" となる場合、どうしたらいいですか。

2 番目のフェーズでのネゴシエーションエラーの可能性は以下のものがあります。

• Alibaba Cloud VPN Gateway で設定されたローカルネットワーク または リモートネットワークが、ローカルデータセンターの VPN ゲートウェイで設定されたものと一致しない。 一部のローカル VPN ゲートウェイでは、ACL を使用してローカルネットワーク または リモートネットワークを設定できます。 この際、関連する操作マニュアルを参照する必要があります。

• 暗号化アルゴリズムまたは認証アルゴリズムが一致しない。

• DH グループが一致しない。 一部のデバイスでは、手動でパラメーターを設定する必要があります。

3. IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が成功しました" となっても、VPC の ECS インスタンスがローカルデータセンターのサーバーにアクセスできないのはなぜですか。

ローカルデータセンターがプライベート IP としてパブリック IP を使用している場合、ローカルデータセンターの ECS インスタンスがインターネットにアクセスできます。 以下を参照し、ルート設定を確認できます。

• VRouter のルート設定を確認します。

• ローカルデータセンターの firewall/iptables 設定を確認し、VPC のプライベートネットワークからのアクセスが許可されていることを確認します。

4. IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が成功しました" となっても、ローカルデータセンターのサーバーは VPC の ECS インスタンスにアクセスできないのはなぜですか。

5. IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が成功しました" となっても、マルチネットワークシナリオで、一部のネットワークが正常に接続され、一部のネットワークが正常に接続されないのはなぜですか。

マルチネットワークシナリオでは、IKE V2 プロトコルの利用を推奨します。

IKE V2 プロトコルを使用していても問題が継続する場合は、ローカルデータセンターの VPN ゲートウェイの SA (Security Association) ステータスを確認することを推奨します。 通常、SA は 1 つのみです。 たとえば、172.30.96.0/19 === 10.0.0.0/8 172.30.128.0/17 となります。

複数の SA がある場合、ローカルデータセンターの VPN ゲートウェイは標準 IKE V2 プロトコルではありません。 この場合、複数の IPsec 接続を使用したネットワーク接続のみ可能です。 たとえば、IPsec 接続 "172.30.96.0/19 <=> 10.0.0.0/8 172.30.128.0/17" を IPsec 接続 A: "172.30.96.0/19 <=> 10.0.0.0/8" および IPsec 接続 B: "172.30.96.0/19 <=> 172.30.128.0/17" に分割できます。