如何解决VPN网关中创建IPsec连接完成后IPsec连接状态显示为第二阶段协商未成功-阿里云帮助中心

问题描述

使用VPN网关的IPsec-VPN功能建立专有网络VPC到本地数据中心的VPN连接时，在配置完成后，IPsec连接状态显示为“第二阶段协商未成功”。

第二阶段协商失败的可能原因如下：

请参见查看IPsec连接日志，通过日志信息定位并解决IPsec连接过程中的故障。

日志信息问题原因解决方法

日志信息	问题原因	解决方法
选择的路由模式为感兴趣流模式，配置的本端网段和对端网段不一致时，日志显示类似如下：主模式 `received INVALID_ID_INFORMATION error notify` 野蛮模式 `received HASH payload does not match` `integrity check failed`	选择的路由模式为感兴趣流模式，配置的本端网段和对端网段不一致。	确认建立IPsec连接的两端网关的私网网段，并正确设置。
加密算法或认证算法不一致时返回的日志类似如下： `parsed INFORMATIONAL_V1 request xxxx [ HASH N(NO_PROP) ]` `received NO_PROPOSAL_CHOSEN error notify`	加密算法或认证算法不一致。	确认两端网关的加密、认证算法，并设置一致。
DH分组不一致时返回的日志类似如下： `ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1024/NO_EXT_SEQ` `ESP:AES_CBC_128/HMAC_SHA1_96/MODP_1024/NO_EXT_SEQ,` `ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ` `no matching proposal found, sending NO_PROPOSAL_CHOSEN`	DH分组不一致。	设置一致的DH组。注意：如果选择为非disabled的任何一个组，会默认开启PFS功能（完美向前加密），使得每次重协商都要更新密钥，因此，相应的客户端也要配置为PFS开启。对于不支持PFS的客户端请选择disabled。

选择的路由模式为感兴趣流模式，配置的本端网段和对端网段不一致时，日志显示类似如下：

选择的路由模式为感兴趣流模式，配置的本端网段和对端网段不一致。

确认建立IPsec连接的两端网关的私网网段，并正确设置。

加密算法或认证算法不一致时返回的日志类似如下：

加密算法或认证算法不一致。

确认两端网关的加密、认证算法，并设置一致。

DH分组不一致时返回的日志类似如下：

ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1024/NO_EXT_SEQ
ESP:AES_CBC_128/HMAC_SHA1_96/MODP_1024/NO_EXT_SEQ,
ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ
no matching proposal found, sending NO_PROPOSAL_CHOSEN

DH分组不一致。

设置一致的DH组。

注意：

如果选择为非disabled的任何一个组，会默认开启PFS功能（完美向前加密），使得每次重协商都要更新密钥，因此，相应的客户端也要配置为PFS开启。

对于不支持PFS的客户端请选择disabled。