IPsec VPN設定の問題のトラブルシューティング

次の表では、 IPsec VPN設定について比較的よく起こる問題と、そのトラブルシュートの方法について説明します。

問題 考えられるソリューション
表示されるエラー:IKEフェーズ1のネゴシエーションエラー。クラウド側とローカル側のIPsec IKEの設定を確認してください。

[再試行] をクリックし、より具体的なエラーメッセージが表示されないか確認します。例えば、より具体的なエラーメッセージとしては、アルゴリズムの不一致や不正な事前共有鍵に関するエラーメッセージが挙げられます。

セキュリティ上の理由から、IPsec VPN接続には次のような制限事項が適用されます。

  • IKEv1はRFC8247で非推奨とされています。これはセキュリティ上のリスクのためサポートされていません。IKEv2プロトコル接続のみがサポートされています。

  • 次の暗号化アルゴリズムは安全ではないとみなされており、サポートされていません。DESおよび3DES。

  • 次のハッシュアルゴリズムは安全ではないとみなされており、サポートされていません。SHA1およびMD5。

  • ディフィーヘルマン群数2は安全ではないとみなされており、サポートされていません。
ローカルサイトとクラウドサイト間の接続ステータスが [接続しています] のままになる。

次の項目を確認します。

  • UDPポート500が開いているか(ファイアウォールを使用する場合)。

  • ローカルサイトとクラウドサイト間の接続。

  • ローカルサイトのIPアドレスが正しいか。

ローカルサイトとクラウドサイト間の接続ステータスが [接続を待機中] のままになる。

クラウドサイトの [起動アクション][追加] に設定されている場合にこのステータスが表示されます。これは、クラウドサイトがローカルサイトからの接続が開始されるまで待機していることを意味します。

ローカルサイトから接続を開始します。
ローカルサイトとクラウドサイト間の接続ステータスが [トラフィックを待機中] のままになる。

クラウドサイトの [起動アクション][ルート] に設定されている場合にこのステータスが表示されます。

ローカルサイトからの接続が見込まれる場合は、次の内容を実施します。

  • ローカルサイトからクラウドサイトの仮想マシンに対してpingを試行します。これは、Cisco ASAなどのデバイスでトンネルを確立するために必要な標準動作です。(ルートモード)

  • ローカルサイトの [起動アクション][開始] に設定して、ローカルサイトでトンネルが確立されたか確認します。

ローカルサイトとクラウドサイト間の接続が確立されたが、1つ以上のネットワークポリシーのダウンが表示される。

この問題は、以下が原因である可能性があります。

  • クラウドIPsecサイトのネットワークマッピングがローカルサイトのネットワーキングと異なっている。

    ローカルサイトとクラウドサイトのネットワークマッピングとネットワークポリシーの順序が正確に一致しているか確認します。

  • ローカルサイトとクラウドサイト、またはそれらのいずれかの [起動アクション][ルート] に設定されている場合(例えばCisco ASAデバイス上)、このステータスに問題はなく、その時点ではトラフィックが発生していません。pingを試行して、トンネルが確立されていることを確認できます。pingが動作しない場合は、ローカルサイトとクラウドサイトのネットワークマッピングをチェックします。
特定のIPsec接続を再起動する。

特定のIPsec接続を再起動するには:

  1. [ディザスタリカバリ] > [接続] 画面で、IPsec接続をクリックします。

  2. [接続を無効化] をクリックします。

  3. IPsec接続を再度クリックします。

  4. [接続を有効化] をクリックします。