IPsec VPN第二阶段协商成功但无法正常通信
更新时间:
问题描述
IPsec VPN连接状态为“第二阶段协商成功”,但是无法正常通信。
解决方案
VPC内的ECS实例无法访问本地IDC内的服务器
如果本地IDC内存在将公网IP作为私有IP使用的情况,且ECS实例可以访问公网,需要提交工单进行相关配置。否则请参考以下信息检查路由等相关配置:
- 检查线下IDC网段是否是标准私网网段。
- 检查VPC路由器上的路由配置,确认去往IDC的网段路由指向到VPN网关。
- 检查本地IDC内的防火墙、iptables、安全软件等相关的设置,确认是否允许VPC的私网网段访问。
- 请参见MTR工具使用说明与结果分析,通过抓包分析排查问题。
本地IDC内的服务器无法访问VPC内的ECS实例
请参见以下信息检查配置:
- 请检查ECS实例运行是否正常,网络是否正常。
- 检查本地IDC内的路由和ACL配置是否允许访问VPC的流量进入VPN隧道。
- 检查ECS实例的安全组规则、安全软件等是否允许本地IDC中的私网网段访问。
- 请参见MTR工具使用说明与结果分析,通过抓包分析排查问题。
多网段场景下部分网段通信不正常
多网段场景下,建议使用IKE V2协议。如果已经使用了IKE V2协议但问题仍然存在,建议检查本地IDC的VPN网关的SA状态,正常情况下只有一个SA,例如172.30.96.0/19 === 10.0.0.0/8 172.30.128.0/17。
注意:线上线下需要同时修改,否则会导致协商失败。
如果存在多个SA,则说明本地IDC的VPN网关使用非标准的IKE V2协议,此时只能使用多个IPsec连接将各个网段连接起来。例如可以将IPsec连接(172.30.96.0/19 <=> 10.0.0.0/8 172.30.128.0/17)拆分为IPsec连接A(172.30.96.0/19 <=> 10.0.0.0/8)和IPsec连接B(172.30.96.0/19 <=> 172.30.128.0/17)。
说明:拆分IPsec连接后,由于两个IPsec连接需要共享第一阶段SA,所以两个IPsec连接的第一阶段协商参数需保持一致。
适用于
- VPN网关
文档内容是否对您有帮助?