AZ700-CORE#113
Azure VPN Gateway で IKE フェーズ 2 失敗の典型的原因はどれですか?
解説
【正解: A】の理由
IKE フェーズ 2 (IPsec SA 確立) の失敗は、Azure 側とオンプレ機器側で暗号スイート (SA Proposal) が一致していない場合に発生します。フェーズ 1 (認証) は成功するがフェーズ 2 で失敗するため、PSK は正しくても通信が確立しないというパターン。
【IKE フェーズ 1 vs 2 失敗の典型原因】
| フェーズ | 典型的失敗原因 |
|---|---|
| フェーズ 1 (IKE SA) | PSK 不一致、IKE バージョン不一致 (IKEv1 vs IKEv2) |
| フェーズ 2 (IPsec SA) | 暗号スイート (AES-256 等)、PFS Group、ライフタイム 不一致 |
【トラブル シュート手順】
- VPN Diagnostic で IKE/IPsec ステータス確認
- SA 確立失敗の場合、Custom IPsec Policy を Azure 側で設定 (Default 値がオンプレ機器と非互換)
- オンプレ機器ベンダーの推奨設定を参照
- 両側で同一の Encryption + Integrity + DH Group + PFS + Lifetime を設定
【他選択肢が違う理由】
- B. Public IP 変更: Local Network Gateway の更新が必要だが、フェーズ 2 特定の問題ではない。
- C. Subnet サイズ: Gateway デプロイには影響、フェーズ 2 失敗には直接関連しない。
- D. ASN: BGP の問題、フェーズ 2 (IPsec) には直接関連しない。
【参考】
【VPN IPsec/IKE パラメータ詳細】
| パラメータ | 典型値 |
|---|---|
| IKEv2 Encryption | AES256 |
| IKEv2 Integrity | SHA384 |
| DH Group | DHGroup24 / ECP384 |
| IPsec Encryption | AES256 |
| IPsec Integrity | SHA256 |
| PFS Group | PFS24 |
| SA Lifetime | 3600 sec / 102400000 KB |
【ベンダー別推奨】
Cisco ASA、Palo Alto、Juniper SRX、Fortinet 等の主要 VPN 機器ベンダーごとに Microsoft 推奨設定が公開されています。
コメント