自主排查IPsec-VPN连接问题

在您使用IPsec-VPN连接过程中,如果IPsec-VPN连接异常,您可以根据VPN网关管理控制台提示的错误码和IPsec连接的日志信息自主排查问题。

背景信息

本文汇总了IPsec-VPN连接常见错误及排查方法,您可以通过VPN网关管理控制台提示的错误码和IPsec连接的日志信息,对照本文的汇总表自主排查,帮助您快速解决问题。

查看错误码

说明
  • 在IPsec连接绑定VPN网关实例的场景下,如果VPN网关实例是在2019年03月21日之前创建的,且VPN网关实例未进行过升级,则当前IPsec-VPN连接不支持查看错误码。您可以将VPN网关实例升级到最新的版本再查看错误码。具体操作,请参见升级VPN网关

  • 错误码当前仅支持中文和英文,暂不支持其他语言。

  • VPN网关管理控制台展示的错误码是系统在最近3分钟内对IPsec-VPN连接的检查结果。在您查看错误码前,您可以在IPsec-VPN连接两端对IPsec-VPN连接进行重置以触发IPsec协议重新协商,然后刷新页面,查看最新的错误码。

    在阿里云侧您可以修改IPsec连接下立即生效的值,保存后再将立即生效修改为原配置值,以此触发IPsec协议重新开始协商。

单隧道模式IPsec-VPN连接

如果您创建的是单隧道模式的IPsec-VPN连接,请按照以下步骤查看IPsec-VPN连接的错误码。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。

  4. IPsec连接页面,找到目标IPsec连接,在连接状态列查看错误码。

    查看错误码

    您可以在错误码后单击查看详情,然后在错误详情面板,查看具体的错误信息和解决方法。错误详情面板中提供的解决方法与本文汇总表中的排查方法相同。

双隧道模式IPsec-VPN连接

如果您创建的是双隧道模式的IPsec-VPN连接,请按照以下步骤查看错误码,支持查看不同隧道的错误码。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。

  4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。

  5. Tunnel页签的连接状态列,查看主隧道或备隧道的错误码。查看隧道错误码.png

    您可以在错误码后单击查看详情,然后在错误详情面板,查看具体的错误信息和解决方法。错误详情面板中提供的解决方法与本文汇总表中的排查方法相同。

IPsec-VPN连接常见错误及排查方法汇总

在您获取IPsec-VPN连接的错误码以及日志信息后,您可以在下表中查找对应的错误码或在下表中匹配日志关键字,然后查看对应的排查方法。

说明

如果您通过调用DiagnoseVpnConnections接口对IPsec-VPN连接进行了诊断,则错误码请参见下表的错误码(API专用)列。

错误码(控制台专用)

错误码

(API专用)

错误信息

日志关键字

排查方法

邻居不匹配

PeerMismatch

收到的协议报文与用户网关信息不匹配

received UNSUPPORTED_CRITICAL_PAYLOAD error

  1. 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。

  2. 如果对端网关设备配置了多个IP地址,请确保用户网关配置的IP地址为对端网关设备实际在用的IP地址。

算法不匹配

AlgorithmMismatch

加密算法或认证算法或DH分组参数不匹配

  • HASH mismatched

  • parsed INFORMATIONAL_V1 request

  • packet lacks expected payload

  • authentication failure

  1. 请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的加密算法认证算法DH分组是否相同,如果不相同,请操作修改以确保两端配置相同。

  2. 如果对端网关设备在IKE配置阶段和IPsec配置阶段配置了多种加密算法认证算法DH分组,则建议修改对端网关设备的配置,使对端网关设备的加密算法认证算法以及DH分组的配置与IPsec连接的配置相同。

    说明

    在阿里云侧配置IPsec连接时,IKE配置阶段和IPsec配置阶段的加密算法认证算法DH分组均只支持指定一个值,不支持指定多个值。

加密算法不匹配

EncryptionAlgorithmMismatch

IPsec的加密算法不匹配

  • invalid encryption algorithm

  • trns_id mismatched

  • rejected enctype

  • authentication failure

  1. 请排查IPsec连接及其对端网关设备在IPsec配置阶段配置的加密算法是否相同,如果不相同,请操作修改以确保两端配置相同。

  2. 如果对端网关设备在IPsec配置阶段配置了多种加密算法,则建议修改对端网关设备的配置,使对端网关设备的加密算法与IPsec连接的加密算法相同。

认证算法不匹配

AuthenticationAlgorithmMismatch

IKE认证算法不匹配

  • authtype mismatched

  • rejected hashtype

  • authentication failure

  1. 请排查IPsec连接及其对端网关设备在IKE配置阶段配置的认证算法是否相同,如果不同,请操作修改以确保两端配置相同。

  2. 如果对端网关设备在IKE配置阶段配置了多种认证算法,则建议修改对端网关设备的配置,使对端网关设备的认证算法与IPsec连接的认证算法相同。

DH分组不匹配

DhGroupMismatch

IKE一阶段DH分组参数不匹配

  • received KE type 14,expected 2

  • failed to compute dh value

  • rejected dh_group

  • proposal mismatch, transform type:4

  1. 请排查IPsec连接及其对端网关设备在IKE配置阶段配置的DH分组是否相同,如果不同,请操作修改以确保两端配置相同。

  2. 如果对端网关设备在IKE配置阶段配置了多种DH分组,则建议修改对端网关设备的配置,使对端网关设备的DH分组与IPsec连接的DH分组相同。

  3. 如果您的使用场景中多个IPsec连接关联了同一个用户网关,则所有IPsec连接的IKE配置阶段的所有配置(包含版本协商模式加密算法认证算法DH分组SA生存周期(秒))需保持相同。

    同时每个IPsec连接侧的LocalId需和IPsec连接对端网关设备的RemoteId相同;每个IPsec连接侧的RemoteId需和对端网关设备的LocalId相同。

预共享密钥不匹配

PskMismatch

预共享密钥参数不匹配

  • Decryption failed! mismatch of preshared secrets

  • mismatch of preshared secrets

  • invalid HASH_V1 payload length, decryption failed

  • could not decrypt payloads

  • authentication failure

  1. 请排查IPsec连接及其对端网关设备配置的预共享密钥是否相同,如果不同,请操作修改以确保两端配置相同。

    您也可以对IPsec连接及其对端网关设备的预共享密钥同时进行修改,此操作会触发IPsec协议重新协商,系统会再次检查两端的预共享密钥是否匹配。

  2. 在IPsec连接及其对端网关设备预共享密钥相同的情况下,也请确保两端在IKE配置阶段和IPsec配置阶段配置的加密算法认证算法DH分组均相同。

  3. 如果对端网关设备在IKE配置阶段和IPsec配置阶段配置了多种加密算法认证算法DH分组,则建议修改对端网关设备的配置,使对端网关设备的加密算法认证算法以及DH分组的配置与IPsec连接的配置相同。

PeerID不匹配

PeerIdMismatch

LocalID或RemoteID不匹配或者不兼容

  • does not match peers id

  • message lacks IDr payload

  • Expecting IP address type in main mode,but FQDN

  • Unknow peer id

  • Parse PEERID failed

  • received ID_I(xxx) does not match peers id

  1. 请排查IPsec连接侧的LocalId与对端网关设备的RemoteId是否相同;IPsec连接侧的RemoteId与对端网关设备的LocalId是否相同。如果不同,请操作修改。

    • 在IPsec连接绑定VPN网关实例的场景下,阿里云VPN网关默认将VPN网关的IP地址作为IPsec连接的LocalId,将用户网关的IP地址作为IPsec连接的RemoteId

    • 在IPsec连接绑定转发路由器实例的场景下,阿里云VPN网关默认将IPsec连接的网关IP地址作为IPsec连接的LocalId,将用户网关的IP地址作为IPsec连接的RemoteId

  2. 如果IPsec连接的IKE版本为ikev1协商模式main,则LocalIdRemoteId仅支持IP地址格式,请确保LocalIdRemoteId的格式符合要求。

  3. 请排查IPsec连接及其对端网关设备配置的协商模式是否相同,如果不相同,请操作修改以确保两端配置相同。

    推荐两端均配置为main(主模式),在main(主模式)下LocalIdRemoteId建议使用IP地址格式。

  4. 如果IPsec连接的IKE版本为ikev2,且您已排查上述问题无误,请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的加密算法认证算法DH分组是否相同,如果不相同,请操作修改以确保两端配置相同。

DPD载荷顺序兼容

DpdHashNotifyCompatibility

DPD载荷顺序兼容

ignore information because the message has no hash payload

在IPsec连接开启DPD功能的场景下,IPsec连接的DPD载荷顺序默认为hash-notify,请排查对端网关设备的DPD载荷顺序是否也为hash-notify,如果不是,请将对端网关设备的DPD载荷顺序修改为hash-notify

DPD超时

DpdTimeout

DPD报文超时

DPD: remote seems to be dead

  1. 请排查IPsec连接及其对端网关设备是否均已开启DPD功能,请确保两端DPD功能的开启状态相同。

    说明

    DPD报文超时会导致IPsec协议重新协商。

  2. 请排查IPsec连接及其对端网关设备配置之间的网络质量、路由配置,以确保IPsec连接及其对端网关设备配置之间是可以连通的。

IKE版本不匹配

IkeVersionMismatch

IKE版本号参数不匹配,或协商模式不匹配

unknown ikev2 peer

  1. 请排查IPsec连接及其对端网关设备配置的IKE版本是否相同,如果不同,请操作修改以确保两端配置相同。

    • 如果对端网关设备支持自动选择IKE版本或者对端网关设备同时支持IKEv1和IKEv2两个版本,则建议为对端网关设备指定IKE版本,对端网关设备的IKE版本需和IPsec连接的IKE版本相同。

    • 推荐两端均使用为IKEv2版本。

  2. 请排查IPsec连接及其对端网关设备配置的协商模式是否相同,如果不同,请操作修改以确保两端配置相同。

协商模式不匹配

NegotiationModeMismatch

协商模式不匹配

  • in Identity not acceptable Aggressive mode

  • not acceptable Identity Protection mode

  1. 请排查IPsec连接及其对端网关设备配置的协商模式是否相同,如果不同,请操作修改以确保两端配置相同。

    推荐两端均使用main(主模式)。

  2. 如果在两端均为main(主模式)的场景下IPsec连接依旧协商不成功(部分极端场景下会出现当前问题),请尝试将两端的协商模式修改为aggressive(野蛮模式)。

NAT-T不匹配

NatTMismatch

NAT穿越不匹配

ignore the packet, received unexpecting payload type 130

请排查IPsec连接及其对端网关设备的NAT穿越功能状态是否相同,如果不同,请操作修改以确保两端配置相同。

如果对端网关设备在NAT网关之后,则建议IPsec连接及其对端网关设备均开启NAT穿越功能。

SA生存周期时间不匹配

LifetimeMismatch

Lifetime参数不匹配

long lifetime proposed

请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的SA生存周期(秒)是否相同,如果不同,请操作修改以确保两端配置相同。

IPsec连接及其对端网关设备配置的SA生存周期(秒)不强制要求相同,但由于不同网关设备所属厂商不同,为确保IPsec-VPN连接的稳定性,推荐两端配置相同的SA生存周期(秒)

安全协议不匹配

SecurityProtocolMismatch

安全协议参数不匹配

proto_id mismatched

请排查对端网关设备使用的安全协议是否为ESP(Encapsulating Security Payload),如果不是,请修改为ESP。

对于IPsec-VPN连接使用的安全协议,阿里云VPN网关仅支持ESP,不支持AH(Authentication Header)。

封装模式不匹配

EncapsulationModeMismatch

封装模式不匹配

encmode mismatched

请排查对端网关设备使用的封装模式是否为隧道模式,如果不是,请修改为隧道模式。

对于IPsec-VPN连接使用的封装模式,阿里云VPN网关仅支持隧道模式,不支持传输模式。

算法兼容性

AlgorithmCompatibility

算法兼容性

IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的认证算法不兼容,建议两端使用其他认证算法,例如md5

感兴趣流不匹配

TrafficSelectorMismatch

感兴趣流网段参数不匹配

  • traffic selector mismatch

  • invalid-id-information

  • traffic selector unacceptable

  • can't find matching selector

  • received INVALID_ID_INFORMATION error notify

  • received Notify type TS_UNACCEPTABLE

  1. 请根据IPsec连接使用的IKE版本排查感兴趣流的网段配置,确保符合以下原则:

    • 如果IPsec连接使用的IKE版本为ikev1,则感兴趣流仅支持配置单个网段。

    • 如果IPsec连接使用的IKE版本为ikev2,则感兴趣流支持配置多个网段。

      说明

      在IPsec连接配置多网段的场景下,由于IPsec连接与对端网关设备IPsec协议的协商机制不同,可能会导致部分网段通信正常,部分网段无法通信,您可以参见常见问题查看解决方案。

  2. 请排查IPsec连接及其对端网关设备配置的感兴趣流是否相同,确保:

    • IPsec连接侧的本端网段与对端网关设备的对端网段相同。

    • IPsec连接侧对端网段与对端网关设备的本端网段相同。

PFS不匹配

PfsMismatch

IPsec二阶段DH分组参数不匹配

  • pfs group mismatched

  • message lacks KE payload

请排查IPsec连接及其对端网关设备IPsec配置阶段PFS功能的配置状态是否相同,如果不同,请操作修改以确保两端配置相同。

  • 如果IPsec连接侧IPsec配置阶段DH分组配置为了disabled,则表示IPsec连接侧未开启PFS功能,则需要确保对端网关设备的PFS功能也关闭。

  • 如果IPsec连接侧IPsec配置阶段DH分组配置为disabled以外的值,则表示IPsec连接侧开启了PFS功能,则需要确保对端网关设备的PFS功能也为开启状态。

推荐IPsec连接及其对端网关设备均开启PFS功能。

commit位不匹配

CommitMismatch

commit位不匹配

请排查对端网关设备的提交位(commit)是否为开启状态,如果是,请关闭提交位(commit)。

提交位(commit)是用于确保在发送被保护的数据之前完成IPsec协议的协商,阿里云VPN网关不支持配置提交位(commit)。

提议不匹配

ProposalMismatch

提议不匹配

  • no proposal chosen

  • received NO_PROPOSAL_CHOSEN

  • no suitable proposal found

  • failed to get valid proposal

  • none of my proposal matched

  • no matching proposal found, sending NO_PROPOSAL_CHOSEN

  • proposal mismatch

  • couldn't find configuaration

  • ignore the packet,expecting the packet encrypted

  1. 请排查IPsec连接及其对端网关设备配置的IKE版本是否相同,如果不相同,请操作修改以确保两端配置相同。

    推荐两端均使用IKEv2版本。

  2. 请排查IPsec连接及其对端网关设备IKE配置阶段的所有配置是否相同,如果不相同,请操作修改以确保两端配置满足以下条件:

    • 关于版本协商模式加密算法认证算法DH分组SA生存周期(秒)参数的配置,两端需保持相同。

    • IPsec连接侧的LocalId需和对端网关设备的RemoteId相同;IPsec连接侧的RemoteId需和对端网关设备的LocalId相同。

  3. 请排查IPsec连接及其对端网关设备IPsec配置阶段的所有配置是否相同,如果不相同,请操作修改以确保两端配置相同(包含加密算法认证算法DH分组SA生存周期(秒)NAT穿越)。

    同时需确保IPsec连接及其对端网关设备配置的感兴趣流满足以下条件:

    • IPsec连接侧的本端网段与对端网关设备的对端网段相同。

    • IPsec连接侧对端网段与对端网关设备的本端网段相同。

  4. 如果您的使用场景中多个IPsec连接关联了同一个用户网关,则所有IPsec连接的IKE配置阶段的所有配置(包含版本协商模式加密算法认证算法DH分组SA生存周期(秒))需保持相同。

    同时每个IPsec连接侧的LocalId需和当前IPsec连接对端网关设备的RemoteId相同;每个IPsec连接侧的RemoteId需和当前IPsec连接对端网关设备的LocalId相同。

  5. 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。

协商失败

NegotiationFailed

协议协商失败

phase2 negotiation failed due to time up waiting for phase1

请重置IPsec-VPN连接以触发IPsec协议重新协商,系统会再次进行检查。

一阶段协商超时

Phase1NegotiationTimeout

无法收到一阶段协议报文超时协商失败

  • phase1 negotiation failed due to time up

  • ignore information because ISAKMP-SA has not been established

  1. 请排查对端网关设备是否可以正常接收或发送IPsec协议报文。

  2. 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。

  3. 请排查对端网关设备是否有异常(例如故障重启)。

  4. 请排查对端网关设备和IPsec连接之间是否可以互相访问。

    尝试在对端网关设备上使用pingmtrtraceroute命令访问VPN网关IP地址或IPsec连接的网关IP地址,确认两端可以互相访问。

  5. 当前VPN网关不支持创建跨境的IPsec-VPN连接,如果您需要创建跨境连接,请使用云企业网产品。更多信息,请参见什么是云企业网

  6. 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。

二阶段协商超时

Phase2NegotiationTimeout

无法收到二阶段报文超时协商失败

  1. 请排查IPsec连接及其对端网关设备IPsec配置阶段的参数配置是否相同(包含加密算法认证算法DH分组SA生存周期(秒)),如果不相同,请操作修改以确保两端IPsec配置阶段的参数配置相同。

  2. 请排查IPsec连接及其对端网关设备NAT穿越功能的状态是否相同。请确保两端的NAT穿越功能同时开启或者同时关闭。

  3. 尝试修改IPsec连接及其对端网关设备使用的IKE版本,同时修改为IKEv1或同时修改为IKEv2。

无法收到对端协议应答报文

NoResponse

对端网关不响应

  • sending retransmit 1 of request message ID 0, seq 1

  • retransmission count exceeded the limit

  1. 请排查对端网关设备是否可以正常接收或发送IPsec协议报文。

  2. 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。

  3. 请排查对端网关设备是否有异常(例如故障重启)。

  4. 请排查对端网关设备和IPsec连接之间是否可以互相访问。

    尝试在对端网关设备上使用pingmtrtraceroute命令访问VPN网关IP地址或IPsec连接的网关IP地址,确认两端可以互相访问。

  5. 请排查对端网关设备应用的访问控制策略,确认其是否满足以下条件:

    • 放开UDP协议500及4500端口。

    • 放行VPN网关实例的IP地址或IPsec连接网关IP地址。

  6. 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。

收到对端的delete报文

ReceiveDeleteNotify

收到对端的delete报文

received DELETE IKE_SA

IPsec连接侧收到对端网关设备发送的delete notify报文,请在对端网关设备侧排查原因。

未诊断出协商异常原因

NoExceptionFound

未诊断出协商异常原因

当前结果有可能是IPsec-VPN连接并未开始协商导致的,请在阿里云侧或对端网络设备侧对IPsec-VPN连接进行重置。

在阿里云侧您可以修改IPsec连接下立即生效的值,保存后再将立即生效修改为原配置值,以此触发IPsec协议开始协商,然后刷新当前页面,查看检查结果。

相关操作说明

以下为您提供排查IPsec-VPN连接问题时可能会用到的操作文档及相关说明:

  • 修改IPsec连接配置,请参见修改IPsec连接的配置修改隧道的配置

  • 由于用户网关创建后仅支持修改名称和描述信息,因此在排查IPsec-VPN连接问题过程中,如果您需要修改IPsec连接关联的用户网关的配置,请参见以下步骤。根据IPsec连接绑定资源的类型,操作步骤会有所不同。

    • IPsec连接绑定了VPN网关

      1. 新创建一个用户网关,确保新创建的用户网关的配置信息为修改后的信息。具体操作,请参见创建用户网关

      2. 删除IPsec连接。具体操作,请参见删除IPsec连接

      3. 重新创建IPsec连接,使新创建的IPsec连接关联新的用户网关。具体操作,请参见创建IPsec连接

      4. 删除之前的用户网关。具体操作,请参见删除用户网关

    • IPsec连接绑定了转发路由器实例或IPsec连接未绑定任何资源

      1. 新创建一个用户网关,确保新创建的用户网关的配置信息为修改后的信息。具体操作,请参见创建用户网关

      2. 修改IPsec连接关联的用户网关为您新创建的用户网关。具体操作,请参见修改IPsec连接

      3. 删除之前的用户网关。具体操作,请参见删除用户网关

说明

在排查IPsec-VPN连接问题的过程中,如果您需要修改对端网关设备的配置,请咨询网关设备所属厂商。

相关文档

DiagnoseVpnConnections:诊断IPsec-VPN连接。