错误码 | 错误信息 | 日志关键字 | 排查方法 |
邻居不匹配 | 收到的协议报文与用户网关信息不匹配 | received UNSUPPORTED_CRITICAL_PAYLOAD error
| 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。 如果对端网关设备配置了多个IP地址,请确保用户网关配置的IP地址为对端网关设备实际在用的IP地址。
|
算法不匹配 | 加密算法或认证算法或DH分组参数不匹配 | | 请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的加密算法、认证算法、DH分组是否相同,如果不相同,请操作修改以确保两端配置相同。 如果对端网关设备在IKE配置阶段和IPsec配置阶段配置了多种加密算法、认证算法或DH分组,则建议修改对端网关设备的配置,使对端网关设备的加密算法、认证算法以及DH分组的配置与IPsec连接的配置相同。
说明 在阿里云侧配置IPsec连接时,IKE配置阶段和IPsec配置阶段的加密算法、认证算法和DH分组均只支持指定一个值,不支持指定多个值。
|
加密算法不匹配 | IPsec的加密算法不匹配 | | 请排查IPsec连接及其对端网关设备在IPsec配置阶段配置的加密算法是否相同,如果不相同,请操作修改以确保两端配置相同。 如果对端网关设备在IPsec配置阶段配置了多种加密算法,则建议修改对端网关设备的配置,使对端网关设备的加密算法与IPsec连接的加密算法相同。
|
认证算法不匹配 | IKE认证算法不匹配 | authtype mismatched
rejected hashtype
authentication failure
| 请排查IPsec连接及其对端网关设备在IKE配置阶段配置的认证算法是否相同,如果不同,请操作修改以确保两端配置相同。 如果对端网关设备在IKE配置阶段配置了多种认证算法,则建议修改对端网关设备的配置,使对端网关设备的认证算法与IPsec连接的认证算法相同。
|
DH分组不匹配 | IKE一阶段DH分组参数不匹配 | received KE type 14,expected 2
failed to compute dh value
rejected dh_group
proposal mismatch, transform type:4
| 请排查IPsec连接及其对端网关设备在IKE配置阶段配置的DH分组是否相同,如果不同,请操作修改以确保两端配置相同。 如果对端网关设备在IKE配置阶段配置了多种DH分组,则建议修改对端网关设备的配置,使对端网关设备的DH分组与IPsec连接的DH分组相同。 如果您的使用场景中多个IPsec连接关联了同一个用户网关,则所有IPsec连接的IKE配置阶段的所有配置(包含版本、协商模式、加密算法、认证算法、DH分组、SA生存周期(秒))需保持相同。 同时每个IPsec连接侧的LocalId需和IPsec连接对端网关设备的RemoteId相同;每个IPsec连接侧的RemoteId需和对端网关设备的LocalId相同。
|
预共享密钥不匹配 | 预共享密钥参数不匹配 | Decryption failed! mismatch of preshared secrets
mismatch of preshared secrets
invalid HASH_V1 payload length, decryption failed
could not decrypt payloads
authentication failure
| 请排查IPsec连接及其对端网关设备配置的预共享密钥是否相同,如果不同,请操作修改以确保两端配置相同。 您也可以对IPsec连接及其对端网关设备的预共享密钥同时进行修改,此操作会触发IPsec协议重新协商,系统会再次检查两端的预共享密钥是否匹配。 在IPsec连接及其对端网关设备预共享密钥相同的情况下,也请确保两端在IKE配置阶段和IPsec配置阶段配置的加密算法、认证算法、DH分组均相同。 如果对端网关设备在IKE配置阶段和IPsec配置阶段配置了多种加密算法、认证算法或DH分组,则建议修改对端网关设备的配置,使对端网关设备的加密算法、认证算法以及DH分组的配置与IPsec连接的配置相同。
|
PeerID不匹配 | LocalID或RemoteID不匹配或者不兼容 | does not match peers id
message lacks IDr payload
Expecting IP address type in main mode,but FQDN
Unknow peer id
Parse PEERID failed
received ID_I(xxx) does not match peers id
| 请排查IPsec连接侧的LocalId与对端网关设备的RemoteId是否相同;IPsec连接侧的RemoteId与对端网关设备的LocalId是否相同。如果不同,请操作修改。 如果IPsec连接的IKE版本为ikev1、协商模式为main,则LocalId和RemoteId仅支持IP地址格式,请确保LocalId和RemoteId的格式符合要求。 请排查IPsec连接及其对端网关设备配置的协商模式是否相同,如果不相同,请操作修改以确保两端配置相同。 推荐两端均配置为main(主模式),在main(主模式)下LocalId和RemoteId建议使用IP地址格式。 如果IPsec连接的IKE版本为ikev2,且您已排查上述问题无误,请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的加密算法、认证算法、DH分组是否相同,如果不相同,请操作修改以确保两端配置相同。
|
DPD载荷顺序兼容 | DPD载荷顺序兼容 | ignore information because the message has no hash payload
| 在IPsec连接开启DPD功能的场景下,IPsec连接的DPD载荷顺序默认为hash-notify ,请排查对端网关设备的DPD载荷顺序是否也为hash-notify ,如果不是,请将对端网关设备的DPD载荷顺序修改为hash-notify 。 |
DPD超时 | DPD报文超时 | DPD: remote seems to be dead
| 请排查IPsec连接及其对端网关设备是否均已开启DPD功能,请确保两端DPD功能的开启状态相同。
说明 DPD报文超时会导致IPsec协议重新协商。 请排查IPsec连接及其对端网关设备配置之间的网络质量、路由配置,以确保IPsec连接及其对端网关设备配置之间是可以连通的。
|
IKE版本不匹配 | IKE版本号参数不匹配,或协商模式不匹配 | unknown ikev2 peer
| 请排查IPsec连接及其对端网关设备配置的IKE版本是否相同,如果不同,请操作修改以确保两端配置相同。 请排查IPsec连接及其对端网关设备配置的协商模式是否相同,如果不同,请操作修改以确保两端配置相同。
|
协商模式不匹配 | 协商模式不匹配 | | 请排查IPsec连接及其对端网关设备配置的协商模式是否相同,如果不同,请操作修改以确保两端配置相同。 推荐两端均使用main(主模式)。 如果在两端均为main(主模式)的场景下IPsec连接依旧协商不成功(部分极端场景下会出现当前问题),请尝试将两端的协商模式修改为aggressive(野蛮模式)。
|
NAT-T不匹配 | NAT穿越不匹配 | ignore the packet, received unexpecting payload type 130
| 请排查IPsec连接及其对端网关设备的NAT穿越功能状态是否相同,如果不同,请操作修改以确保两端配置相同。 如果对端网关设备在NAT网关之后,则建议IPsec连接及其对端网关设备均开启NAT穿越功能。 |
SA生存周期时间不匹配 | Lifetime参数不匹配 | long lifetime proposed
| 请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的SA生存周期(秒)是否相同,如果不同,请操作修改以确保两端配置相同。 IPsec连接及其对端网关设备配置的SA生存周期(秒)不强制要求相同,但由于不同网关设备所属厂商不同,为确保IPsec-VPN连接的稳定性,推荐两端配置相同的SA生存周期(秒)。 |
安全协议不匹配 | 安全协议参数不匹配 | proto_id mismatched
| 请排查对端网关设备使用的安全协议是否为ESP(Encapsulating Security Payload),如果不是,请修改为ESP。 对于IPsec-VPN连接使用的安全协议,阿里云VPN网关仅支持ESP,不支持AH(Authentication Header)。 |
封装模式不匹配 | 封装模式不匹配 | encmode mismatched
| 请排查对端网关设备使用的封装模式是否为隧道模式,如果不是,请修改为隧道模式。 对于IPsec-VPN连接使用的封装模式,阿里云VPN网关仅支持隧道模式,不支持传输模式。 |
算法兼容性 | 算法兼容性 | 无 | IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的认证算法不兼容,建议两端使用其他认证算法,例如md5。 |
感兴趣流不匹配 | 感兴趣流网段参数不匹配 | traffic selector mismatch
invalid-id-information
traffic selector unacceptable
can't find matching selector
received INVALID_ID_INFORMATION error notify
received Notify type TS_UNACCEPTABLE
| 请根据IPsec连接使用的IKE版本排查感兴趣流的网段配置,确保符合以下原则: 请排查IPsec连接及其对端网关设备配置的感兴趣流是否相同,确保:
|
PFS不匹配 | IPsec二阶段DH分组参数不匹配 | pfs group mismatched
message lacks KE payload
| 请排查IPsec连接及其对端网关设备IPsec配置阶段PFS功能的配置状态是否相同,如果不同,请操作修改以确保两端配置相同。 推荐IPsec连接及其对端网关设备均开启PFS功能。 |
commit位不匹配 | commit位不匹配 | 无 | 请排查对端网关设备的提交位(commit)是否为开启状态,如果是,请关闭提交位(commit)。 提交位(commit)是用于确保在发送被保护的数据之前完成IPsec协议的协商,阿里云VPN网关不支持配置提交位(commit)。 |
提议不匹配 | 提议不匹配 | no proposal chosen
received NO_PROPOSAL_CHOSEN
no suitable proposal found
failed to get valid proposal
none of my proposal matched
no matching proposal found, sending NO_PROPOSAL_CHOSEN
proposal mismatch
couldn't find configuaration
ignore the packet,expecting the packet encrypted
| 请排查IPsec连接及其对端网关设备配置的IKE版本是否相同,如果不相同,请操作修改以确保两端配置相同。 推荐两端均使用IKEv2版本。 请排查IPsec连接及其对端网关设备IKE配置阶段的所有配置是否相同,如果不相同,请操作修改以确保两端配置满足以下条件: 请排查IPsec连接及其对端网关设备IPsec配置阶段的所有配置是否相同,如果不相同,请操作修改以确保两端配置相同(包含加密算法、认证算法、DH分组、SA生存周期(秒)、NAT穿越)。 同时需确保IPsec连接及其对端网关设备配置的感兴趣流满足以下条件: 如果您的使用场景中多个IPsec连接关联了同一个用户网关,则所有IPsec连接的IKE配置阶段的所有配置(包含版本、协商模式、加密算法、认证算法、DH分组、SA生存周期(秒))需保持相同。 同时每个IPsec连接侧的LocalId需和当前IPsec连接对端网关设备的RemoteId相同;每个IPsec连接侧的RemoteId需和当前IPsec连接对端网关设备的LocalId相同。 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。
|
协商失败 | 协议协商失败 | phase2 negotiation failed due to time up waiting for phase1
| 请重置IPsec-VPN连接以触发IPsec协议重新协商,系统会再次进行检查。 |
一阶段协商超时 | 无法收到一阶段协议报文超时协商失败 | | 请排查对端网关设备是否可以正常接收或发送IPsec协议报文。 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。 请排查对端网关设备是否有异常(例如故障重启)。 请排查对端网关设备和IPsec连接之间是否可以互相访问。 尝试在对端网关设备上使用ping 、mtr 或traceroute 命令访问VPN网关IP地址或IPsec连接的网关IP地址,确认两端可以互相访问。 当前VPN网关不支持创建跨境的IPsec-VPN连接,如果您需要创建跨境连接,请使用云企业网产品。更多信息,请参见什么是云企业网。 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。
|
二阶段协商超时 | 无法收到二阶段报文超时协商失败 | 无 | 请排查IPsec连接及其对端网关设备IPsec配置阶段的参数配置是否相同(包含加密算法、认证算法、DH分组、SA生存周期(秒)),如果不相同,请操作修改以确保两端IPsec配置阶段的参数配置相同。 请排查IPsec连接及其对端网关设备NAT穿越功能的状态是否相同。请确保两端的NAT穿越功能同时开启或者同时关闭。 尝试修改IPsec连接及其对端网关设备使用的IKE版本,同时修改为IKEv1或同时修改为IKEv2。
|
无法收到对端协议应答报文 | 对端网关不响应 | | 请排查对端网关设备是否可以正常接收或发送IPsec协议报文。 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。 请排查对端网关设备是否有异常(例如故障重启)。 请排查对端网关设备和IPsec连接之间是否可以互相访问。 尝试在对端网关设备上使用ping 、mtr 或traceroute 命令访问VPN网关IP地址或IPsec连接的网关IP地址,确认两端可以互相访问。 请排查对端网关设备应用的访问控制策略,确认其是否满足以下条件: 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。
|
收到对端的delete报文 | 收到对端的delete报文 | received DELETE IKE_SA
| IPsec连接侧收到对端网关设备发送的delete notify 报文,请在对端网关设备侧排查原因。 |
未发现异常 | 未发现异常 | 无 | 当前结果有可能是IPsec-VPN连接并未开始协商导致的,请在阿里云侧或对端网络设备侧对IPsec-VPN连接进行重置。 在阿里云侧您可以修改IPsec连接下立即生效的值,保存后再将立即生效修改为原配置值,以此触发IPsec协议开始协商,然后刷新当前页面,查看检查结果。 |