IPsec-VPN故障排查

更新时间:
复制 MD 格式

IPsec-VPN配置完成后,若遇到网络不通等问题,可参考本文档进行处理。

1. 快速自检清单(5分钟排查)

在深入分析日志前,请先完成以下自检清单,排除最常见的配置错误。许多问题可以在此阶段解决。

  • 网络连通性: 本地网关设备能否ping通阿里云VPN网关的公网IP地址?

    • 操作: 在本地网关设备上执行ping <VPN网关公网IP>命令。如果失败,请检查互联网连接和中间网络防火墙。

  • 防火墙和安全策略: 是否已放行必要的端口?

    • 操作: 确保本地网关设备的防火墙和访问控制策略(以及阿里云安全组,如适用)在入方向和出方向均放行UDP 500端口UDP 4500端口(用于NAT穿越)。

  • 预共享密钥是否一致: 两端的预共享密钥是否完全相同?

    • 操作: 仔细核对IPsec连接配置和本地网关设备上的预共享密钥。复制粘贴时注意是否有隐藏空格。

  • 用户网关IP地址: IP地址是否正确,尤其是本地网关设备位于NAT后的场景?

    • 操作: 在阿里云控制台检查IPsec连接关联的用户网关IP地址。

      • 如果本地网关设备拥有公网IP,该值必须为该公网IP。

      • 如果本地网关设备位于NAT设备之后,该值必须为NAT设备的公网IP。 IP地址不正确是导致"无法收到对端协议应答报文"错误的常见原因。

  • 路由配置: 路由是否指向了VPN?

    • 操作:

      • 阿里云侧: 检查VPC路由表,确保目的地为本地数据中心网段的流量已路由至VPN网关。

      • 本地数据中心侧: 检查本地路由器,确保目的地为VPC网段的流量已路由至IPsec隧道。

2. 查看错误信息

如果快速自检未能解决问题,需要查看具体的错误码或日志信息来定位问题。

2.1 查看错误码

错误码可作为排查问题的直接线索。

要获取最新的错误状态,可以触发一次新的协商。简单方法是修改IPsec连接,切换立即生效的值,保存后再改回原值。
20190321日之前创建的VPN网关需要先升级才能查看错误码。

控制台

在目标隧道的连接状态列查看错误码。

单隧道模式:在目标IPsec连接的连接状态列查看错误码。

API

调用DiagnoseVpnConnections接口获取错误码。

2.2 查看日志

如需更详细的分析(尤其是未显示错误码时),可以查看最多180天的IPsec-VPN日志,支持按特定时间范围(最小10分钟)筛选。

控制台

单击目标隧道操作列中的查看日志

对于单隧道模式:单击目标 IPsec 连接的 操作列中的 查看日志

API

调用查询IPsec连接的日志获取日志。

3. 查找适合您场景的解决方案

根据以下分类找到您遇到的具体问题,参考对应的解决方案。

a. 第一阶段协商失败或超时

这是最常见的问题,表示阿里云VPN网关发送了协商请求,但未收到本地网关设备的响应。

可能原因

排查方法

1. 网络连通性故障

检查: 在本地网关设备上执行ping <VPN网关公网IP>traceroute <VPN网关公网IP>命令。

解决: 如果报文丢失,说明本地数据中心与阿里云之间存在网络问题。请检查互联网连接、ISP和中间防火墙。

VPN网关不支持创建跨境的IPsec-VPN连接。如果您需要创建跨境连接,请使用云企业网

2. 用户网关IP地址不正确

检查: 在阿里云控制台确认用户网关IP地址。

解决:IP必须为本地网关设备连接互联网时使用的公网IP。如果本地网关设备位于NAT之后,该IP必须为NAT设备的公网IP。

注意: 修改用户网关的IP地址需要创建新的用户网关并重新关联IPsec连接,此操作会造成业务中断。

3. 对端防火墙阻止了报文

检查: 检查本地网关设备及其上游防火墙的访问控制策略。

解决: 确保已放行往返阿里云VPN网关公网IPUDP 500端口(用于IKE)和UDP 4500端口(用于NAT穿越)。

4. IKE(第一阶段)策略不匹配

检查: 对比两端的IKE配置

解决: 确保以下参数完全相同:

- IKE版本ikev1ikev2),推荐使用IKEv2

- 协商模式mainaggressive),推荐使用main(主模式)。

- 加密算法(如aesaes192aes256)。

- 认证算法(如sha1md5sha256)。

- DH分组(如group2group5group14)。

- SA生存周期(秒),建议保持一致以避免不稳定。

5. 本地网关设备故障

检查: 检查本地网关设备的状态和日志,排查是否有错误或意外重启。

解决: 确保设备工作正常且IPsec服务已启动。配置示例请参见:本地网关设备配置示例

部分设备需要有数据流量才能触发IPsec协议协商,请联系设备厂商了解触发方式。

6. 其他

请参见附录:错误码和日志关键字

b. 第二阶段协商失败或超时

速查表:

一直协商失败?

可能原因

排查方法

1. IPsec(第二阶段)策略不匹配

检查: 对比两端的IPsec配置

解决: 确保以下参数完全相同:

- 加密算法(如aesaes192aes256)。

- 认证算法(如sha1md5sha256)。

- DH分组(完美向前加密 PFS):如果一端开启了PFS,另一端也必须开启且DH分组相同。如果一端设置为disabled,另一端也必须关闭。

2. 其他

请参见附录:错误码和日志关键字

之前为"第二阶段协商成功",现在一直显示"第二阶段协商失败"?

原因分类

原因

解决方案

网关异常

阿里云VPN网关实例欠费。

续费VPN网关实例。具体操作,请参见 续费VPN网关实例

本地网关设备异常。

排查对端的本地网关设备。具体操作,请咨询设备所属厂商。

本地网关设备应用的访问控制策略有变更。

请排查本地网关设备应用的访问控制策略,确保已允许本地数据中心与VPC之间流量互通。

IPsec-VPN配置变更

本地网关设备的IPsec-VPN配置被删除。

重新为本地网关设备添加IPsec-VPN配置,需确保本地网关设备的配置与IPsec连接的配置一致。部分示例见本地网关设备配置示例

本地网关设备的IPsec-VPN配置被修改,与IPsec连接的参数配置不一致。

请修改本地网关设备的配置使其与IPsec连接的配置一致。

本地网关设备的IPsec-VPN配置中,某个参数被指定了多个值。例如配置本地网关设备时,指定IKE配置阶段加密算法的值为aesaes192

在阿里云侧配置IPsec连接时,每个参数仅支持指定一个值。请排查本地网关设备的IPsec-VPN配置,确保每个参数也仅指定了一个值,且与IPsec连接的值相同。

IPsec连接的配置被修改,与本地网关设备不一致。

请排查IPsec连接的配置使其与本地网关设备的配置一致。具体操作,请参见IPsec连接

IPsec连接关联的VPC实例新配置了IPv4网关和网络ACL。

请排查VPC实例应用的IPv4网关、网络ACL的配置,使其允许本地数据中心与VPC实例之间流量互通。具体操作,请参见IPv4网关网络ACL

本地网关设备IP地址变更

本地网关设备用于建立IPsec-VPN连接的IP地址发生了变更,导致阿里云侧用户网关实例的IP地址与本地网关设备使用的IP地址不一致。

请确保本地网关设备用于建立IPsec-VPN连接的IP地址与阿里云侧用户网关实例配置的IP地址相同。

本地网关设备拥有多个IP地址,阿里云侧用户网关实例的IP地址与本地网关设备用于建立IPsec-VPN连接的IP地址不一致。

请确保本地网关设备用于建立IPsec-VPN连接的IP地址与阿里云侧用户网关实例配置的IP地址相同。

本地网关设备使用动态IP地址,阿里云侧用户网关实例的IP地址与本地网关设备用于建立IPsec-VPN连接的IP地址不一致。

本地网关设备需使用静态IP地址建立IPsec-VPN连接,并确保本地网关设备使用的静态IP地址与阿里云侧用户网关实例配置的IP地址相同。

协商状态间歇性变为失败?

原因分类

原因

解决方案

IPsec-VPN配置变更

IPsec连接及其本地网关设备在IPsec配置阶段DH分组参数(部分本地网关设备称为PFS)的配置不一致。

请排查IPsec连接或者本地网关设备在IPsec配置阶段的DH分组参数(PFS)的配置,使两端的DH分组参数(PFS)的值配置相同。配置方法详见IPsec连接

本地网关设备的IPsec-VPN配置中,某个参数被指定了多个值。例如配置本地网关设备时,指定IKE配置阶段加密算法的值为aesaes192

在阿里云侧配置IPsec连接时:

  • 针对传统型VPN网关:每个参数仅支持指定一个值。请排查本地网关设备的IPsec-VPN配置,确保每个参数也仅指定了一个值,且与阿里云侧IPsec连接的值相同。

  • 针对增强型VPN网关绑定TR的新特性IPsec连接(265月发布):支持配置多种加密算法,请确保本地网关设备和阿里云侧配置的IKE/IPsec协商参数保持一致

本地网关设备配置了基于流量的SA生存周期。

阿里云侧的IPsec连接不支持配置基于流量的SA生存周期,仅支持配置基于时间的SA生存周期。建议本地网关设备不配置基于流量的SA生存周期或者将基于流量的SA生存周期配置为0字节。

网络质量不佳

由于IPsec连接和本地网关设备之间的网络质量不佳,造成DPD协议报文、健康检查探测报文或IPsec协议报文丢失后超时,导致IPsec-VPN连接中断。

请排查IPsec-VPN连接中断时间点的网络连通性。

IPsec连接对端限制

IPsec连接对端厂商限制,需要有数据流量时才能触发IPsec协议协商。

请确认IPsec连接对端VPN网关是否存在此使用限制。如果存在此限制,请向对端厂商咨询如何触发IPsec协议协商。

在建立双隧道模式的IPsec-VPN连接时,阿里云侧IPsec连接使用了感兴趣流模式,两条隧道的感兴趣流默认相同,而IPsec连接本地网关设备可能存在相关限制(例如思科ASA防火墙设备),两条隧道感兴趣流相同的情况下仅一条隧道能协商成功,且两条隧道轮流协商成功。

请和相关厂商确认IPsec连接本地网关设备是否存在此限制。如果存在此限制,请参见本地网关设备配置示例修改IPsec连接本地网关设备的IPsec-VPN配置。

c. 第二阶段协商成功,但存在异常

速查表:

BGP路由协议的协商状态为"异常"?

原因分类

原因

解决方案

BGP配置不正确

本地网关设备未配置正确的BGP IP地址。

请排查IPsec连接及其本地网关设备的BGP配置,确保IPsec连接的BGP IP地址和本地网关设备的BGP IP地址在相同的网段内,且互不冲突。BGP IP地址所属网段需是一个位于169.254.0.0/16网段内、子网掩码长度为30的网段。

IPsec-VPN连接相关问题

由于IPsec-VPN连接的连通性异常,导致IPsec连接侧无法收到本地网关设备的BGP协议报文。

请排查IPsec-VPN连接的连通性,并确认IPsec连接侧是否有收到本地网关设备的BGP协议报文。您可以在IPsec连接下查看流量监控数据,如果当前系统并未监控到任何传入流量记录,则说明IPsec连接侧未收到本地网关设备的BGP协议报文。

IPsec连接协商状态有中断。

请根据IPsec连接的日志排查IPsec连接是否一直处于"第二阶段协商成功"的状态。如果IPsec连接协商状态不稳定,请根据错误码和日志关键字排查IPsec连接的问题。

VPC内的ECS实例无法访问本地数据中心内的服务器?

原因:VPC的路由配置、安全组规则或本地数据中心的路由配置、访问控制策略未允许VPC内的ECS实例访问本地数据中心内的服务器。

解决方案:请参见以下信息排查相关配置。

  • VPC

    • 排查VPC路由表中的路由配置。确保VPC路由表内已配置了相关路由使ECS实例可以访问本地数据中心的服务器。

    • 排查VPC应用的安全组规则。确保安全组规则允许ECS实例和服务器之间互相访问。

  • 本地数据中心

    • 排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以对ECS实例做出应答。

    • 排查本地数据中心的访问控制策略。确保本地数据中心允许ECS实例和服务器互相访问。

如果本地数据中心内存在将公网IP地址作为私有IP地址使用的情况,您需要将公网IP的网段设置为VPC用户网段,以确保VPC可以访问到该公网网段。

本地数据中心内的服务器无法访问VPC内的ECS实例?

原因:VPC的路由配置、安全组规则或本地数据中心的路由配置、访问控制策略未允许本地数据中心内的服务器访问VPC内的ECS实例。

解决方案:请参见以下信息排查相关配置。

  • VPC

    • 排查VPC路由表中的路由配置。确保VPC路由表内已配置了相关路由使ECS实例可以对服务器的访问做出应答。

    • 排查VPC应用的安全组规则。确保安全组规则允许ECS实例和服务器之间互相访问。

  • 本地数据中心

    • 排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以通过IPsec-VPN连接访问ECS实例。

    • 排查本地数据中心的访问控制策略。确保本地数据中心允许ECS实例和服务器互相访问。

多网段场景下部分网段通信正常,部分网段不通?

原因:在使用IPsec-VPN连接实现本地数据中心和VPC互通的场景中,如果VPN网关与思科、华三、华为等传统厂商的设备对接,在IPsec连接使用感兴趣流的路由模式且配置了多网段的情况下,仅一个网段可以互通,其余网段不通。

当前现象是阿里云VPN网关与思科、华三、华为等传统厂商的设备对接时,两端IPsec协议不兼容导致的。在IPsec连接配置多网段的情况下,阿里云VPN网关使用一个SA(Security Association)与对端的网关设备协商,而对端的网关设备在多网段的情况下会使用多SAVPN网关协商。

解决方案:请参见多网段配置方案推荐

ping通但业务访问不通或部分端口号访问不通?

原因:VPC应用的安全组规则或本地数据中心应用的访问控制策略未放行对应的IP地址、协议类型和端口号。

解决方案:请参见以下信息排查相关配置。

  • 排查VPC应用的安全组规则。确保安全组规则已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。

  • 排查本地数据中心应用的访问控制策略。确保访问控制策略已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。

    如果本地数据中心侧有业务策略、域名解析等配置建议一并排查。确保本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号已放行。

私网访问时出现丢包现象,且时通时不通?

原因分类

原因

解决方案

VPN网关规格问题

在流量互通过程中出现流量突发的情况超过了VPN网关实例的带宽规格。您可以在VPN网关管理控制台查看VPN网关实例的流量监控信息确认是否有流量突发的情况。

您可以对VPN网关实例进行升配或进行临时升配。具体操作,请参见变配和续费(仅传统型)

IPsec-VPN连接相关问题

IPsec连接协商状态有中断。

请根据IPsec连接的日志信息排查IPsec连接是否一直处于"第二阶段协商成功"的状态。如果IPsec连接协商状态不稳定,隧道频繁重新协商导致网络间歇性中断,请根据错误码和日志关键字排查IPsec连接的问题。

MTU相关问题

本地数据中心用户MTU配置超过1300字节(不包含1300字节)。

对于20210401日之前创建的VPN网关,如果配置本地数据中心的用户MTU大于1300字节(不包含1300字节),则可能存在IPsec-VPN连接不通的问题,建议您将VPN网关升级升级至最新版本以规避该问题。

在流量传输过程中,流量报文过大超过了传输路径中的MTU值,导致报文被分片传输。

VPN网关只支持传输已经分片的数据包,不支持对数据包分片及数据包分片重组。推荐用户MTU设置为1399字节。更多信息,请参见MTU配置说明

私网访问正常但转发延迟高?

原因分类

原因

解决方案

VPN网关规格问题

在流量互通过程中出现流量突发的情况超过了VPN网关实例的带宽规格。您可以在VPN网关管理控制台查看VPN网关实例的流量监控信息确认是否有流量突发的情况。

您可以对VPN网关实例进行升配或进行临时升配。具体操作,请参见变配和续费(仅传统型)

网络质量不佳

由于IPsec连接和本地网关设备之间的网络质量不佳,造成流量互通过程中网络延迟大以及丢包。

请使用pingmtr命令对VPN网关公网或私网网络进行探测排查。若探测到网络延迟高,可分段式探测快速缩小探查范围。若探测到公网链路质量不佳,建议使用高速通道

云上云下配置的感兴趣流不一样,IPsec-VPN连接也能协商成功?

原因:

如下图所示,本地网关设备配置的感兴趣流网段和IPsec连接配置的感兴趣流网段存在包含关系,且两端均使用IKEv2版本,则在进行IPsec协商时,阿里云VPN网关会认为两端的感兴趣流匹配,如果本地网关设备也支持包含关系(即认为存在包含关系的感兴趣流互相匹配),则会产生云上云下配置的感兴趣流不一样,但IPsec-VPN连接也能协商成功的现象。

例如本地网关设备1支持包含关系,本地网关设备1IPsec连接1、IPsec连接2进行协商时,本地网关设备1上的本端网段10.55.0.0/16包含IPsec连接1的对端网段10.55.193.0/24、IPsec连接2的对端网段10.55.0.0/16;本地网关设备1的对端网段10.66.88.0/22包含IPsec连接1的本端网段10.66.90.0/24、IPsec连接2的本端网段10.66.89.0/24,则本地网关设备1、阿里云VPN网关均会认为感兴趣流互相匹配,本地网关设备1IPsec连接1、IPsec连接2均能协商成功。

说明
  • 如果本地网关设备不支持包含关系(即认为存在包含关系的感兴趣流不互相匹配),则IPsec-VPN连接无法协商成功。请和本地网关设备所属厂商确认本地网关设备是否支持包含关系。

  • 如果本地网关设备和IPsec连接均使用IKEv1版本,则两端的感兴趣流必须完全一致(不能存在包含关系),IPsec-VPN连接才能协商成功。

感兴趣流不一致.png

可能的影响:

如上图所示,如果在一个VPN网关实例下存在多个IPsec连接,多个IPsec连接的感兴趣流网段存在包含关系,则可能会导致流量无法按照期望的路径转发。

对于配置了感兴趣流模式的IPsec连接,在IPsec连接创建完成后,系统默认会在VPN网关实例的策略路由表下添加相关路由,每条路由的策略优先级相同。上图场景中系统将在VPN网关实例的策略路由表下默认添加以下路由:

路由条目名称

源网段

目标网段

下一跳

权重

策略优先级

路由条目1

10.66.90.0/24

10.55.193.0/24

IPsec连接1

100

10

路由条目2

10.66.89.0/24

10.55.0.0/16

IPsec连接2

100

10

路由条目3

10.66.90.0/24

10.55.178.0/24

IPsec连接3

100

10

路由条目4

10.66.88.0/24

10.55.0.0/16

IPsec连接4

100

10

根据策略路由匹配规则,在策略优先级相同的场景下,系统会按照策略路由的顺序逐条匹配路由,一旦能够匹配到策略路由,立即按照当前策略路由转发流量。策略路由的顺序由策略路由被下发至系统的时间决定。通常是先配置的策略路由被优先下发至系统,但当前情况无法完全保证,因此有可能存在后配置的策略路由被优先下发至系统,造成后配置的策略路由的优先级高于先配置的策略路由的优先级。

按照上图场景,有可能会出现本地数据中心通过IPsec-VPN连接1VPC发送请求报文,VPC通过IPsec-VPN连接4向本地数据中心发送回复报文,因为路由条目4可能会被优先下发至系统,导致路由条目4的优先级高于路由条目1。

解决方案:

  • 避免为本地网关设备和IPsec连接添加存在包含关系的感兴趣流网段,推荐为两端添加完全匹配的感兴趣流网段,该方式可以提高IPsec-VPN连接的稳定性。

  • 创建IPsec连接时,尽量添加精确的感兴趣流网段,确保VPN网关实例下的多个IPsec连接的感兴趣流网段没有重叠。

  • 为每条策略路由配置不同的策略优先级和权重值以保证流量仅可匹配到一条策略路由。

    如果您的VPN网关实例不支持配置策略优先级,可对VPN网关实例进行升级,升级后的VPN网关实例默认支持为策略路由配置策略优先级。

健康检查失败(仅针对单隧道模式)?

原因分类

原因

解决方案

健康检查目标IP地址问题

健康检查目标IP地址无法访问。

请在目标IP地址关联的主机上使用目标IP地址通过ping命令或mtr命令访问健康检查源IP地址,测试目标IP地址的连通性。如果目标IP地址无法正常访问源IP地址,请确认目标IP地址是否配置正确。

健康检查目标IP地址关联的主机工作异常,无法及时响应IPsec连接发出的探测报文(ICMP报文)。

请排查目标IP地址关联的主机是否正常。具体操作,请咨询网关设备所属厂商。

健康检查目标IP地址关联的路由配置和安全策略有变更。比如安全策略未放行健康检查的源IP地址、目标IP地址或ICMP协议类型的报文。

请在本地网关设备侧排查目标IP地址关联的路由配置以及安全策略,确保:

  • 目标IP地址可以访问健康检查源IP地址。

  • 安全策略已放行健康检查的源IP地址、目标IP地址以及ICMP协议类型的报文。

健康检查目标IP地址并未从原路径(指目标IP地址接收探测报文的路径)对健康检查的探测报文做出响应。

请通过mtr命令查看目标IP地址访问健康检查源IP地址时,请求报文和响应报文的传输路径是否相同,如果不同,请排查本地网关设备侧的路由配置,确保请求报文和响应报文的传输路径相同。

IPsec-VPN连接相关问题

IPsec连接协商状态有中断。

请根据IPsec连接的日志排查IPsec连接是否一直处于"第二阶段协商成功"的状态。如果IPsec连接协商状态不稳定,请根据错误码和日志关键字排查IPsec连接的问题。

注意:IPsec连接健康检查失败后系统会重置IPsec隧道,在非主备IPsec-VPN连接的应用场景下,不推荐您为IPsec连接配置健康检查。

IPsec-VPN连接单向不通?

原因

IPsec连接的对端网关设备使用的是华为防火墙的情况下,如果对端网关设备的出接口配置了nat enable,将会导致从该接口发出的所有数据包的源IP地址都被转换为该接口的IP地址,导致IPsec-VPN连接单向不通。

解决方案

  1. 运行nat disable命令,关闭出接口的NAT功能。

  2. 配置NAT策略。

    nat-policy interzone trust untrust outbound
    policy 0
    action no-nat
    policy source 192.168.0.0 mask 24
    policy destination 192.168.1.0 mask 24
    policy 1 
    action source-nat
    policy source 192.168.0.0 mask 24
    easy-ip Dialer0

    其中:

    192.168.0.0:网关设备的私网网段。

    192.168.1.0:VPC的私网网段。

    Dialer0:网关设备的出接口。

附录:错误码和日志关键字

使用Ctrl+F(Windows)或Cmd+F(Mac)在下表中查找对应的错误码或匹配日志关键字,找到相应的排查方法。

错误码(控制台专用)

错误码(API专用)

错误信息

日志关键字

排查方法

邻居不匹配

PeerMismatch

收到的协议报文与用户网关信息不匹配

received UNSUPPORTED_CRITICAL_PAYLOAD error

  1. 请排查IPsec连接关联的用户网关的IP地址与IPsec连接本地网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。

  2. 如果本地网关设备配置了多个IP地址,请确保用户网关配置的IP地址为本地网关设备实际在用的IP地址。

算法不匹配

AlgorithmMismatch

加密算法或认证算法或DH分组参数不匹配

  • HASH mismatched

  • parsed INFORMATIONAL_V1 request

  • packet lacks expected payload

  • authentication failure

  1. 请排查IPsec连接及其本地网关设备在IKE配置阶段和IPsec配置阶段配置的加密算法认证算法DH分组(完美向前加密 PFS)是否相同,如果不相同,请操作修改以确保两端配置相同。

  2. 如果本地网关设备在IKE配置阶段和IPsec配置阶段配置了多种加密算法认证算法DH分组(完美向前加密 PFS),则建议修改本地网关设备的配置,使本地网关设备的加密算法认证算法以及DH分组(完美向前加密 PFS)的配置与IPsec连接的配置相同。

    说明:在阿里云侧配置传统型VPN网关的IPsec连接时,IKE配置阶段和IPsec配置阶段的加密算法认证算法DH分组均只支持指定一个值,不支持指定多个值。

加密算法不匹配

EncryptionAlgorithmMismatch

IPsec的加密算法不匹配

  • invalid encryption algorithm

  • trns_id mismatched

  • rejected enctype

  • authentication failure

  1. 请排查IPsec连接及其本地网关设备在IPsec配置阶段配置的加密算法是否相同,如果不相同,请操作修改以确保两端配置相同。

  2. 如果本地网关设备在IPsec配置阶段配置了多种加密算法,则建议修改本地网关设备的配置,使本地网关设备的加密算法IPsec连接的加密算法相同。

认证算法不匹配

AuthenticationAlgorithmMismatch

IKE认证算法不匹配

  • authtype mismatched

  • rejected hashtype

  • authentication failure

  1. 请排查IPsec连接及其本地网关设备在IKE配置阶段配置的认证算法是否相同,如果不同,请操作修改以确保两端配置相同。

  2. 如果本地网关设备在IKE配置阶段配置了多种认证算法,则建议修改本地网关设备的配置,使本地网关设备的认证算法IPsec连接的认证算法相同。

DH分组不匹配

DhGroupMismatch

IKE一阶段DH分组参数不匹配

  • received KE type 14,expected 2

  • failed to compute dh value

  • rejected dh_group

  • proposal mismatch, transform type:4

  1. 请排查IPsec连接及其本地网关设备在IKE配置阶段配置的DH分组(完美向前加密 PFS)是否相同,如果不同,请操作修改以确保两端配置相同。

  2. 如果本地网关设备在IKE配置阶段配置了多种DH分组(完美向前加密 PFS),则建议修改本地网关设备的配置,使本地网关设备的DH分组(完美向前加密 PFS)与IPsec连接的DH分组(完美向前加密 PFS)相同。

  3. 如果您的使用场景中多个IPsec连接关联了同一个用户网关,则所有IPsec连接的IKE配置阶段的所有配置(包含版本协商模式加密算法认证算法DH分组(完美向前加密 PFS)SA生存周期(秒))需保持相同。同时每个IPsec连接侧的LocalId需和IPsec连接本地网关设备的RemoteId相同;每个IPsec连接侧的RemoteId需和本地网关设备的LocalId相同。

预共享密钥不匹配

PskMismatch

预共享密钥参数不匹配

  • Decryption failed! mismatch of preshared secrets

  • mismatch of preshared secrets

  • invalid HASH_V1 payload length, decryption failed

  • could not decrypt payloads

  • authentication failure

  1. 请排查IPsec连接及其本地网关设备配置的预共享密钥是否相同,如果不同,请操作修改以确保两端配置相同。您也可以对IPsec连接及其本地网关设备的预共享密钥同时进行修改,此操作会触发IPsec协议重新协商,系统会再次检查两端的预共享密钥是否匹配。

  2. IPsec连接及其本地网关设备预共享密钥相同的情况下,也请确保两端在IKE配置阶段和IPsec配置阶段配置的加密算法认证算法DH分组(完美向前加密 PFS)均相同。

  3. 如果本地网关设备在IKE配置阶段和IPsec配置阶段配置了多种加密算法认证算法DH分组(完美向前加密 PFS),则建议修改本地网关设备的配置,使本地网关设备的加密算法认证算法以及**DH分组(完美向前加密 PFS)**的配置与IPsec连接的配置相同。

PeerID不匹配

PeerIdMismatch

LocalIDRemoteID不匹配或者不兼容

  • does not match peers id

  • message lacks IDr payload

  • Expecting IP address type in main mode,but FQDN

  • Unknow peer id

  • Parse PEERID failed

  • received ID_I(xxx) does not match peers id

  1. 请排查IPsec连接侧的LocalId与本地网关设备的RemoteId是否相同;IPsec连接侧的RemoteId与本地网关设备的LocalId是否相同。如果不同,请操作修改。- 在IPsec连接绑定VPN网关实例的场景下,阿里云VPN网关默认将VPN网关的IP地址作为IPsec连接的LocalId,将用户网关的IP地址作为IPsec连接的RemoteId。- 在IPsec连接绑定转发路由器实例的场景下,阿里云VPN网关默认将IPsec连接的网关IP地址作为IPsec连接的LocalId,将用户网关的IP地址作为IPsec连接的RemoteId

  2. 如果IPsec连接的IKE版本为ikev1协商模式main,则LocalIdRemoteId仅支持IP地址格式,请确保LocalIdRemoteId的格式符合要求。

  3. 请排查IPsec连接及其本地网关设备配置的协商模式是否相同,如果不相同,请操作修改以确保两端配置相同。推荐两端均配置为main(主模式),在main(主模式)下LocalIdRemoteId建议使用IP地址格式。

  4. 如果IPsec连接的IKE版本为ikev2,且您已排查上述问题无误,请排查IPsec连接及其本地网关设备在IKE配置阶段和IPsec配置阶段配置的加密算法认证算法、**DH分组(完美向前加密 PFS)**是否相同,如果不相同,请操作修改以确保两端配置相同。

DPD载荷顺序兼容

DpdHashNotifyCompatibility

DPD载荷顺序兼容

ignore information because the message has no hash payload

IPsec连接开启DPD功能的场景下,IPsec连接的DPD载荷顺序默认为hash-notify,请排查本地网关设备的DPD载荷顺序是否也为hash-notify,如果不是,请将本地网关设备的DPD载荷顺序修改为hash-notify

DPD超时

DpdTimeout

DPD报文超时

DPD: remote seems to be dead

  1. 请排查IPsec连接及其本地网关设备是否均已开启DPD功能,请确保两端DPD功能的开启状态相同。DPD报文超时会导致IPsec协议重新协商。

  2. 请排查IPsec连接及其本地网关设备配置之间的网络质量、路由配置,以确保IPsec连接及其本地网关设备配置之间是可以连通的。

IKE版本不匹配

IkeVersionMismatch

IKE版本号参数不匹配,或协商模式不匹配

unknown ikev2 peer

  1. 请排查IPsec连接及其本地网关设备配置的IKE版本是否相同,如果不同,请操作修改以确保两端配置相同。

    • 如果本地网关设备支持自动选择IKE版本或者本地网关设备同时支持IKEv1IKEv2两个版本,则建议为本地网关设备指定IKE版本,本地网关设备的IKE版本需和IPsec连接的IKE版本相同。

    • 推荐两端均使用IKEv2版本。

  2. 请排查IPsec连接及其本地网关设备配置的协商模式是否相同,如果不同,请操作修改以确保两端配置相同。

协商模式不匹配

NegotiationModeMismatch

协商模式不匹配

  • in Identity not acceptable Aggressive mode

  • not acceptable Identity Protection mode

  1. 请排查IPsec连接及其本地网关设备配置的协商模式是否相同,如果不同,请操作修改以确保两端配置相同。推荐两端均使用main(主模式)。

  2. 如果在两端均为main(主模式)的场景下IPsec连接依旧协商不成功(部分极端场景下会出现当前问题),请尝试将两端的协商模式修改为aggressive(野蛮模式)。

NAT-T不匹配

NatTMismatch

NAT穿越不匹配

ignore the packet, received unexpecting payload type 130

请排查IPsec连接及其本地网关设备的NAT穿越功能状态是否相同,如果不同,请操作修改以确保两端配置相同。如果本地网关设备在NAT网关之后,则建议IPsec连接及其本地网关设备均开启NAT穿越功能。

SA生存周期时间不匹配

LifetimeMismatch

Lifetime参数不匹配

long lifetime proposed

请排查IPsec连接及其本地网关设备在IKE配置阶段和IPsec配置阶段配置的SA生存周期(秒)是否相同,如果不同,请操作修改以确保两端配置相同。IPsec连接及其本地网关设备配置的SA生存周期(秒)不强制要求相同,但由于不同网关设备所属厂商不同,为确保IPsec-VPN连接的稳定性,推荐两端配置相同的SA生存周期(秒)

安全协议不匹配

SecurityProtocolMismatch

安全协议参数不匹配

proto_id mismatched

请排查本地网关设备使用的安全协议是否为ESP(Encapsulating Security Payload),如果不是,请修改为ESP。对于IPsec-VPN连接使用的安全协议,阿里云VPN网关仅支持ESP,不支持AH(Authentication Header)。

封装模式不匹配

EncapsulationModeMismatch

封装模式不匹配

encmode mismatched

请排查本地网关设备使用的封装模式是否为隧道模式,如果不是,请修改为隧道模式。对于IPsec-VPN连接使用的封装模式,阿里云VPN网关仅支持隧道模式,不支持传输模式。

算法兼容性

AlgorithmCompatibility

算法兼容性

IPsec连接及其本地网关设备在IKE配置阶段和IPsec配置阶段配置的认证算法不兼容,建议两端使用其他认证算法,例如md5

感兴趣流不匹配

TrafficSelectorMismatch

感兴趣流网段参数不匹配

  • traffic selector mismatch

  • invalid-id-information

  • traffic selector unacceptable

  • can't find matching selector

  • received INVALID_ID_INFORMATION error notify

  • received Notify type TS_UNACCEPTABLE

  1. 请根据IPsec连接使用的IKE版本排查感兴趣流的网段配置,确保符合以下原则:

    • 如果IPsec连接使用的IKE版本为ikev1,则感兴趣流仅支持配置单个网段。

    • 如果IPsec连接使用的IKE版本为ikev2,则感兴趣流支持配置多个网段。

    说明:IPsec连接配置多网段的场景下,由于IPsec连接与本地网关设备IPsec协议的协商机制不同,可能会导致部分网段通信正常,部分网段无法通信,您可以参见多网段场景下部分网段通信正常,部分网段不通?查看解决方案。

  2. 请排查IPsec连接及其本地网关设备配置的感兴趣流是否相同,确保:

    • IPsec连接侧的本端网段与本地网关设备的对端网段相同。

    • IPsec连接侧对端网段与本地网关设备的本端网段相同。

PFS不匹配

PfsMismatch

IPsec二阶段DH分组参数不匹配

  • pfs group mismatched

  • message lacks KE payload

请排查IPsec连接及其本地网关设备IPsec配置阶段PFS功能的配置状态是否相同,如果不同,请操作修改以确保两端配置相同。

  • 如果IPsec连接侧IPsec配置阶段DH分组(完美向前加密 PFS)配置为了disabled,则表示IPsec连接侧未开启PFS功能,则需要确保本地网关设备的PFS功能也关闭。

  • 如果IPsec连接侧IPsec配置阶段DH分组(完美向前加密 PFS)配置为disabled以外的值,则表示IPsec连接侧开启了PFS功能,则需要确保本地网关设备的PFS功能也为开启状态。推荐IPsec连接及其本地网关设备均开启PFS功能。

commit位不匹配

CommitMismatch

commit位不匹配

请排查本地网关设备的提交位(commit)是否为开启状态,如果是,请关闭提交位(commit)。提交位(commit)是用于确保在发送被保护的数据之前完成IPsec协议的协商,阿里云VPN网关不支持配置提交位(commit)。

提议不匹配

ProposalMismatch

提议不匹配

  • no proposal chosen

  • received NO_PROPOSAL_CHOSEN

  • no suitable proposal found

  • failed to get valid proposal

  • none of my proposal matched

  • no matching proposal found, sending NO_PROPOSAL_CHOSEN

  • proposal mismatch

  • couldn't find configuaration

  • ignore the packet,expecting the packet encrypted

  1. 请排查IPsec连接及其本地网关设备配置的IKE版本是否相同,如果不相同,请操作修改以确保两端配置相同。推荐两端均使用IKEv2版本。

  2. 请排查IPsec连接及其本地网关设备IKE配置阶段的所有配置是否相同,如果不相同,请操作修改以确保两端配置满足以下条件:

    • 关于版本协商模式加密算法认证算法DH分组(完美向前加密 PFS)SA生存周期(秒)参数的配置,两端需保持相同。

    • IPsec连接侧的LocalId需和本地网关设备的RemoteId相同;IPsec连接侧的RemoteId需和本地网关设备的LocalId相同。

  3. 请排查IPsec连接及其本地网关设备IPsec配置阶段的所有配置是否相同,如果不相同,请操作修改以确保两端配置相同(包含加密算法认证算法DH分组(完美向前加密 PFS)SA生存周期(秒)NAT穿越)。同时需确保IPsec连接及其本地网关设备配置的感兴趣流满足以下条件:

    • IPsec连接侧的本端网段与本地网关设备的对端网段相同。

    • IPsec连接侧对端网段与本地网关设备的本端网段相同。

  4. 如果您的使用场景中多个IPsec连接关联了同一个用户网关,则所有IPsec连接的IKE配置阶段的所有配置(包含版本协商模式加密算法认证算法DH分组(完美向前加密 PFS)SA生存周期(秒))需保持相同。同时每个IPsec连接侧的LocalId需和当前IPsec连接本地网关设备的RemoteId相同;每个IPsec连接侧的RemoteId需和当前IPsec连接本地网关设备的LocalId相同。

  5. 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。

协商失败

NegotiationFailed

协议协商失败

phase2 negotiation failed due to time up waiting for phase1

请重置IPsec-VPN连接以触发IPsec协议重新协商,系统会再次进行检查。

一阶段协商超时

Phase1NegotiationTimeout

无法收到一阶段协议报文超时协商失败

  • phase1 negotiation failed due to time up

  • ignore information because ISAKMP-SA has not been established

  1. 请排查本地网关设备是否可以正常接收或发送IPsec协议报文。

  2. 请排查IPsec连接关联的用户网关的IP地址与IPsec连接本地网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。

  3. 请排查本地网关设备是否有异常(例如故障重启)。

  4. 请排查本地网关设备和IPsec连接之间是否可以互相访问。尝试在本地网关设备上使用pingmtrtraceroute命令访问VPN网关IP地址或IPsec连接的网关IP地址,确认两端可以互相访问。

  5. 当前VPN网关不支持创建跨境的IPsec-VPN连接,如果您需要创建跨境连接,请使用云企业网

  6. 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。

二阶段协商超时

Phase2NegotiationTimeout

无法收到二阶段报文超时协商失败

  1. 请排查IPsec连接及其本地网关设备IPsec配置阶段的参数配置是否相同(包含加密算法认证算法DH分组(完美向前加密 PFS)SA生存周期(秒)),如果不相同,请操作修改以确保两端IPsec配置阶段的参数配置相同。

  2. 请排查IPsec连接及其本地网关设备NAT穿越功能的状态是否相同。请确保两端的NAT穿越功能同时开启或者同时关闭。

  3. 尝试修改IPsec连接及其本地网关设备使用的IKE版本,同时修改为IKEv1或同时修改为IKEv2。

无法收到对端协议应答报文

NoResponse

对端网关不响应

  • sending retransmit 1 of request message ID 0, seq 1

  • retransmission count exceeded the limit

  1. 请排查本地网关设备是否可以正常接收或发送IPsec协议报文。

  2. 请排查IPsec连接关联的用户网关的IP地址与IPsec连接本地网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。

  3. 请排查本地网关设备是否有异常(例如故障重启)。

  4. 请排查本地网关设备和IPsec连接之间是否可以互相访问。尝试在本地网关设备上使用pingmtrtraceroute命令访问VPN网关IP地址或IPsec连接的网关IP地址,确认两端可以互相访问。

  5. 请排查本地网关设备应用的访问控制策略,确认其是否满足以下条件:

    • 放开UDP协议5004500端口。

    • 放行VPN网关实例的IP地址或IPsec连接网关IP地址。

  6. 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。

收到对端的delete报文

ReceiveDeleteNotify

收到对端的delete报文

received DELETE IKE_SA

IPsec连接侧收到本地网关设备发送的delete notify报文,请在本地网关设备侧排查原因。

未诊断出协商异常原因

NoExceptionFound

未诊断出协商异常原因

当前结果有可能是IPsec-VPN连接并未开始协商导致的,请在阿里云侧或对端网络设备侧对IPsec-VPN连接进行重置。在阿里云侧您可以修改IPsec连接下立即生效的值,保存后再将立即生效修改为原配置值,以此触发IPsec协议开始协商,然后刷新当前页面,查看检查结果。