VPN网关中创建IPsec连接完成后IPsec连接状态显示为“第二阶段协商未成功”

问题描述

使用VPN网关的IPsec-VPN功能建立专有网络VPC到本地数据中心的VPN连接时,在配置完成后,IPsec连接状态显示为“第二阶段协商未成功”。

问题原因

第二阶段协商失败的可能原因如下:

  • 选择的路由模式为感兴趣流模式,配置的本端网段和对端网段不一致。
    说明:感兴趣流模式是基于源IP和目的IP进行精确的路由转发。
  • 加密算法或认证算法不一致。
  • DH分组不一致。

解决方案

请参见查看IPsec连接日志,通过日志信息定位并解决IPsec连接过程中的故障。

日志信息 问题原因 解决方法

选择的路由模式为感兴趣流模式,配置的本端网段和对端网段不一致时,日志显示类似如下:

  • 主模式
    received INVALID_ID_INFORMATION error notify
  • 野蛮模式
    • received HASH payload does not match
    • integrity check failed

选择的路由模式为感兴趣流模式,配置的本端网段和对端网段不一致。

确认建立IPsec连接的两端网关的私网网段,并正确设置。

加密算法或认证算法不一致时返回的日志类似如下:

  • parsed INFORMATIONAL_V1 request xxxx [ HASH N(NO_PROP) ]
  • received NO_PROPOSAL_CHOSEN error notify
加密算法或认证算法不一致。 确认两端网关的加密、认证算法,并设置一致。

DH分组不一致时返回的日志类似如下:

  • ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1024/NO_EXT_SEQ
  • ESP:AES_CBC_128/HMAC_SHA1_96/MODP_1024/NO_EXT_SEQ,
  • ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ
  • no matching proposal found, sending NO_PROPOSAL_CHOSEN
DH分组不一致。

设置一致的DH组。

注意
  • 如果选择为非disabled的任何一个组,会默认开启PFS功能(完美向前加密),使得每次重协商都要更新密钥,因此,相应的客户端也要配置为PFS开启。
  • 对于不支持PFS的客户端请选择disabled

相关文档

适用于

  • VPN网关
阿里云首页 相关技术圈