本文汇总了建立IPsec-VPN连接时出现协商失败、流量不通现象的常见原因并提供了相应的解决方案。
常见问题快捷链接
IPsec-VPN连接协商问题
IPsec-VPN连接连通性问题
IPsec连接状态为“第一阶段协商失败”怎么办?
您可以根据VPN网关管理控制台提示的错误码或者IPsec连接的日志信息自主排查问题。具体操作,请参见自主排查IPsec-VPN连接问题。
下表为您罗列几个常见的IPsec连接对端网关设备导致“第一阶段协商失败”的原因,供您快速查阅。
原因 | 解决方案 |
IPsec连接对端网关设备工作异常。 | 请排查对端网关设备。具体操作,请咨询设备所属厂商。 |
IPsec连接对端网关设备尚未添加IPsec-VPN配置。 | 请为对端网关设备添加IPsec-VPN配置,需确保对端网关设备的配置与IPsec连接的配置一致。具体操作,请参见本地网关设备配置示例。 |
IPsec连接对端网关设备所应用的访问控制策略未放行UDP协议500及4500端口。 | 请排查对端网关设备应用的访问控制策略,确保其满足以下条件:
|
IPsec连接对端厂商限制,需要有数据流量时才能触发IPsec协议协商。 | 请确认IPsec连接对端VPN网关是否存在此使用限制。 如果存在此限制,请向对端厂商咨询如何触发IPsec协议协商。 |
IPsec连接状态为“第二阶段协商失败”怎么办?
您可以根据VPN网关管理控制台提示的错误码或者IPsec连接的日志信息自主排查问题。具体操作,请参见自主排查IPsec-VPN连接问题。
IPsec连接状态之前为“第二阶段协商成功”,但现在一直显示“第二阶段协商失败”怎么办?
产生当前问题的可能原因及解决方案请参见下表。
原因分类 | 原因 | 解决方案 |
网关设备异常 | 阿里云VPN网关实例欠费。 | 续费VPN网关实例。具体操作,请参见续费VPN网关实例。 |
IPsec连接对端网关设备异常。 | 排查对端网关设备。具体操作,请咨询设备所属厂商。 | |
对端网关设备应用的访问控制策略有变更。 | 请排查对端网关设备应用的访问控制策略,确保已允许本地数据中心与VPC之间流量互通。 | |
IPsec-VPN配置变更 | 对端网关设备的IPsec-VPN配置被删除。 | 重新为对端网关设备添加IPsec-VPN配置,需确保对端网关设备的配置与IPsec连接的配置一致。具体操作,请参见本地网关设备配置示例。 |
对端网关设备的IPsec-VPN配置被修改,与IPsec连接的参数配置不一致。 | 请修改对端网关设备的配置使其与IPsec连接的配置一致。 | |
对端网关设备的IPsec-VPN配置中,某个参数被指定了多个值。 例如配置对端网关设备时,指定IKE配置阶段加密算法的值为aes和aes192。 | 在阿里云侧配置IPsec连接时,每个参数仅支持指定一个值。请排查对端网关设备的IPsec-VPN配置,确保每个参数也仅指定了一个值,且与IPsec连接的值相同。 | |
IPsec连接的配置被修改,与对端网关设备不一致。 | 请排查IPsec连接的配置使其与对端网关设备的配置一致。具体操作,请参见修改IPsec连接。 | |
IPsec连接关联的VPC实例新配置了IPv4网关和网络ACL。 | 请排查VPC实例应用的IPv4网关、网络ACL的配置,使其允许本地数据中心与VPC实例之间流量互通。具体操作,请参见IPv4网关概述和网络ACL概述。 | |
对端网关设备IP地址变更 | 对端网关设备用于建立IPsec-VPN连接的IP地址发生了变更,导致阿里云侧用户网关实例的IP地址与对端网关设备使用的IP地址不一致。 | 请确保对端网关设备用于建立IPsec-VPN连接的IP地址与阿里云侧用户网关实例配置的IP地址相同。 |
对端网关设备拥有多个IP地址,阿里云侧用户网关实例的IP地址与对端网关设备用于建立IPsec-VPN连接的IP地址不一致。 | 请确保对端网关设备用于建立IPsec-VPN连接的IP地址与阿里云侧用户网关实例配置的IP地址相同。 | |
对端网关设备使用动态IP地址,阿里云侧用户网关实例的IP地址与对端网关设备用于建立IPsec-VPN连接的IP地址不一致。 | 请对端网关设备需使用静态IP地址建立IPsec-VPN连接,并确保对端网关设备使用的静态IP地址与阿里云侧用户网关实例配置的IP地址相同。 |
IPsec连接状态为“第二阶段协商成功”,但IPsec连接协商状态间歇性变为失败怎么办?
产生当前问题的可能原因及解决方案请参见下表。
原因分类 | 原因 | 解决方案 |
IPsec-VPN配置变更 | IPsec连接及其对端网关设备在IPsec配置阶段DH分组参数(部分本地网关设备称为PFS)的配置不一致。 | 请排查IPsec连接或者对端网关设备在IPsec配置阶段的DH分组参数(PFS)的配置,使两端的DH分组参数(PFS)的值配置相同。关于如何修改IPsec连接的配置,请参见修改IPsec连接。 |
对端网关设备的IPsec-VPN配置中,某个参数被指定了多个值。 例如配置对端网关设备时,指定IKE配置阶段加密算法的值为aes、aes192。 | 在阿里云侧配置IPsec连接时,每个参数仅支持指定一个值。请排查对端网关设备的IPsec-VPN配置,确保每个参数也仅指定了一个值,且与IPsec连接的值相同。 | |
对端网关设备配置了基于流量的SA生存周期。 | 阿里云侧的IPsec连接不支持配置基于流量的SA生存周期,仅支持配置基于时间的SA生存周期。建议对端网关设备不配置基于流量的SA生存周期或者将基于流量的SA生存周期配置为0字节。 | |
网络质量不佳 | 由于IPsec连接和对端网关设备之间的网络质量不佳,造成DPD协议报文、健康检查探测报文或IPsec协议报文丢失后超时,导致IPsec-VPN连接中断。 | 请排查IPsec-VPN连接中断时间点的网络连通性。 |
IPsec连接对端限制 | IPsec连接对端厂商限制,需要有数据流量时才能触发IPsec协议协商。 | 请确认IPsec连接对端VPN网关是否存在此使用限制。 如果存在此限制,请向对端厂商咨询如何触发IPsec协议协商。 |
在建立双隧道模式的IPsec-VPN连接时,阿里云侧IPsec连接使用了感兴趣流模式,两条隧道的感兴趣流默认相同,而IPsec连接对端网关设备可能存在相关限制(例如思科ASA防火墙设备),两条隧道感兴趣流相同的情况下仅一条隧道能协商成功,且两条隧道轮流协商成功。 | 请和相关厂商确认IPsec连接对端网关设备是否存在此限制。 如果存在此限制,请参见本地网关设备配置示例修改IPsec连接对端网关设备的IPsec-VPN配置。 |
IPsec连接状态为“第二阶段协商成功”,但BGP路由协议的协商状态为“异常”怎么办?
产生当前问题的可能原因及解决方案请参见下表。
原因分类 | 原因 | 解决方案 |
BGP配置不正确 | 对端网关设备未配置正确的BGP IP地址。 | 请排查IPsec连接及其对端网关设备的BGP配置,确保IPsec连接的BGP IP地址和对端网关设备的BGP IP地址在相同的网段内,且互不冲突。 BGP IP地址所属网段需是一个位于169.254.0.0/16网段内,子网掩码长度为30的网段。 |
IPsec-VPN连接相关问题 | 由于IPsec-VPN连接的连通性异常,导致IPsec连接侧无法收到对端网关设备的BGP协议报文。 | 请排查IPsec-VPN连接的连通性,并确认IPsec连接侧是否有收到对端网关设备的BGP协议报文。 您可以在IPsec连接下查看流量监控数据,如果当前系统并未监控到任何传入流量记录,则说明IPsec连接侧未收到对端网关设备的BGP协议报文。 |
IPsec连接协商状态有中断。 | 请根据IPsec连接的日志排查IPsec连接是否一直处于“第二阶段协商成功”的状态。 如果IPsec连接协商状态不稳定,请根据日志信息排查IPsec连接的问题。具体操作,请参见自主排查IPsec-VPN连接问题。 |
IPsec连接状态为“第二阶段协商成功”,但健康检查失败怎么办?
产生当前问题的可能原因及解决方案请参见下表。
原因分类 | 原因 | 解决方案 |
健康检查目标IP地址问题 | 健康检查目标IP地址无法访问。 | 请在目标IP地址关联的主机上使用目标IP地址通过 如果目标IP地址无法正常访问源IP地址,请确认目标IP地址是否配置正确。 |
健康检查目标IP地址关联的主机工作异常,无法及时响应IPsec连接发出的探测报文(ICMP报文)。 | 请排查目标IP地址关联的主机是否正常。具体操作,请咨询网关设备所属厂商。 | |
健康检查目标IP地址关联的路由配置和安全策略有变更。 比如安全策略未放行健康检查的源IP地址、目标IP地址或ICMP协议类型的报文。 | 请在对端网关设备侧排查目标IP地址关联的路由配置以及安全策略,确保:
| |
健康检查目标IP地址并未从原路径(指目标IP地址接收探测报文的路径)对健康检查的探测报文做出响应。 | 请通过 | |
IPsec-VPN连接相关问题 | IPsec连接协商状态有中断。 | 请根据IPsec连接的日志排查IPsec连接是否一直处于“第二阶段协商成功”的状态。 如果IPsec连接协商状态不稳定,请根据日志信息排查IPsec连接的问题。具体操作,请参见自主排查IPsec-VPN连接问题。 说明 IPsec连接健康检查失败后系统会重置IPsec隧道,在非主备IPsec-VPN连接的应用场景下,不推荐您为IPsec连接配置健康检查,您可以为IPsec连接开启DPD功能来探测对端的连通性。 关于主备IPsec-VPN连接的应用场景,请参见基于多个公网IP地址建立高可用的IPsec-VPN连接(主备链路)和高可用-双用户网关。 |
为什么IPsec连接状态为“第二阶段协商成功”,但VPC内的ECS实例无法访问本地数据中心内的服务器?
原因
VPC的路由配置、安全组规则或本地数据中心的路由配置、访问控制策略未允许VPC内的ECS实例访问本地数据中心内的服务器。
解决方案
请参见以下信息排查相关配置:
VPC
排查VPC路由表中的路由配置。确保VPC路由表内已配置了相关路由使ECS实例可以访问本地数据中心的服务器。
排查VPC应用的安全组规则。确保安全组规则允许ECS实例和服务器之间互相访问。
本地数据中心
排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以对ECS实例做出应答。
排查本地数据中心的访问控制策略。确保本地数据中心允许ECS实例和服务器互相访问。
如果本地数据中心内存在将公网IP地址作为私有IP地址使用的情况,您需要将公网IP的网段设置为VPC的用户网段,以确保VPC可以访问到该公网网段。关于用户网段的更多信息,请参见什么是用户网段?和如何配置用户网段?。
为什么IPsec连接状态为“第二阶段协商成功”,但本地数据中心内的服务器无法访问VPC内的ECS实例?
原因
VPC的路由配置、安全组规则或本地数据中心的路由配置、访问控制策略未允许本地数据中心内的服务器访问VPC内的ECS实例。
解决方案
请参见以下信息排查相关配置:
VPC
排查VPC路由表中的路由配置。确保VPC路由表内已配置了相关路由使ECS实例可以对服务器的访问做出应答。
排查VPC应用的安全组规则。确保安全组规则允许ECS实例和服务器之间互相访问。
本地数据中心
排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以通过IPsec-VPN连接访问ECS实例。
排查本地数据中心的访问控制策略。确保本地数据中心允许ECS实例和服务器互相访问。
为什么IPsec连接状态为“第二阶段协商成功”,但是多网段场景下部分网段通信正常,部分网段通信不正常?
原因
在使用IPsec-VPN连接实现本地数据中心和VPC(Virtual Private Cloud)互通的场景中,如果VPN网关与思科、华三、华为等传统厂商的设备对接,在IPsec连接使用感兴趣流的路由模式且配置了多网段的情况下,仅一个网段可以互通,其余网段不通。
当前现象是阿里云VPN网关与思科、华三、华为等传统厂商的设备对接时,两端IPsec协议不兼容导致的。在IPsec连接配置多网段的情况下,阿里云VPN网关使用一个SA(Security Association)与对端的网关设备协商,而对端的网关设备在多网段的情况下会使用多SA与VPN网关协商。
解决方案
请参见多网段配置方案推荐。
为什么IPsec连接状态为“第二阶段协商成功”,但IPsec-VPN连接单向不通?
原因
在IPsec连接的对端网关设备使用的是华为防火墙的情况下,如果对端网关设备的出接口配置了nat enable,将会导致从该接口发出的所有数据包的源IP地址都被转换为该接口的IP地址,导致IPsec-VPN连接单向不通。
解决方案
运行
nat disable命令,关闭出接口的NAT功能。配置NAT策略。
nat-policy interzone trust untrust outbound policy 0 action no-nat policy source 192.168.0.0 mask 24 policy destination 192.168.1.0 mask 24 policy 1 action source-nat policy source 192.168.0.0 mask 24 easy-ip Dialer0其中:
192.168.0.0:网关设备的私网网段。
192.168.1.0:VPC的私网网段。
Dialer0:网关设备的出接口。
为什么IPsec连接状态为“第二阶段协商成功”,可ping通但业务访问不通或部分端口号访问不通?
原因
VPC应用的安全组规则或本地数据中心应用的访问控制策略未放行对应的IP地址、协议类型和端口号。
解决方案
请参见以下信息排查相关配置:
排查VPC应用的安全组规则。确保安全组规则已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。
排查本地数据中心应用的访问控制策略。确保访问控制策略已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。
如果本地数据中心侧有业务策略、域名解析等配置建议一并排查。确保本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号已放行。
为什么IPsec连接状态为“第二阶段协商成功”,但私网访问时出现丢包现象,且时通时不通?
产生当前问题的可能原因及解决方案请参见下表。
原因分类 | 原因 | 解决方案 |
VPN网关规格问题 | 在流量互通过程中出现流量突发的情况超过了VPN网关实例的带宽规格。 您可以在VPN网关管理控制台查看VPN网关实例的流量监控信息确认是否有流量突发的情况。 | 您可以对VPN实例进行升配或进行临时升配。具体操作,请参见变配VPN网关实例。 |
IPsec-VPN连接相关问题 | IPsec连接协商状态有中断。 | 请根据IPsec连接的日志信息排查IPsec连接是否一直处于“第二阶段协商成功”的状态。 如果IPsec连接协商状态不稳定,隧道频繁重新协商导致网络间歇性中断,请根据日志信息排查IPsec连接的问题。具体操作,请参见自主排查IPsec-VPN连接问题。 |
MTU相关问题 | 本地数据中心用户MTU配置超过1300字节(不包含1300字节)。 | 对于2021年04月01日之前创建的VPN网关,如果配置本地数据中心的用户MTU大于1300字节(不包含1300字节),则可能存在IPsec-VPN连接不通的问题,建议您将VPN网关升级至最新版本以规避该问题。关于如何升级VPN网关,请参见升级VPN网关。 |
在流量传输过程中,流量报文过大超过了传输路径中的MTU值,导致报文被分片传输。 | VPN网关只支持传输已经分片的数据包,不支持对数据包分片及数据包分片重组。推荐用户MTU设置为1399字节。更多信息,请参见MTU配置说明。 |
为什么IPsec连接状态为“第二阶段协商成功”,私网访问正常但转发延迟高?
产生当前问题的可能原因及解决方案请参见下表。
原因分类 | 原因 | 解决方案 |
VPN网关规格问题 | 在流量互通过程中出现流量突发的情况超过了VPN网关实例的带宽规格。 您可以在VPN网关管理控制台查看VPN网关实例的流量监控信息确认是否有流量突发的情况。 | 您可以对VPN实例进行升配或进行临时升配。具体操作,请参见变配VPN网关实例。 |
网络质量不佳 | 由于IPsec连接和对端网关设备之间的网络质量不佳,造成流量互通过程中网络延迟大以及丢包。 | 请使用 若探测到网络延迟高,可分段式探测快速缩小探查范围。若探测到公网链路质量不佳,建议使用云企业网等其他云产品。 |
为什么云上云下配置的感兴趣流不一样,IPsec-VPN连接也能协商成功?
原因
如下图所示,本地网关设备配置的感兴趣流网段和IPsec连接配置的感兴趣流网段存在包含关系,且两端均使用IKEv2版本,则在进行IPsec协商时,阿里云VPN网关会认为两端的感兴趣流匹配,如果本地网关设备也支持包含关系(即认为存在包含关系的感兴趣流互相匹配),则会产生云上云下配置的感兴趣流不一样,但IPsec-VPN连接也能协商成功的现象。
例如本地网关设备1支持包含关系,本地网关设备1和IPsec连接1、IPsec连接2进行协商时,本地网关设备1上的本端网段10.55.0.0/16包含IPsec连接1的对端网段10.55.193.0/24、IPsec连接2的对端网段10.55.0.0/16;本地网关设备1的对端网段10.66.88.0/22包含IPsec连接1的本端网段10.66.90.0/24、IPsec连接2的本端网段10.66.89.0/24,则本地网关设备1、阿里云VPN网关均会认为感兴趣流互相匹配,本地网关设备1和IPsec连接1、IPsec连接2均能协商成功。
如果本地网关设备不支持包含关系(即认为存在包含关系的感兴趣流不互相匹配),则IPsec-VPN连接无法协商成功。请和本地网关设备所属厂商确认本地网关设备是否支持包含关系。
如果本地网关设备和IPsec连接均使用IKEv1版本,则两端的感兴趣流必须完全一致(不能存在包含关系),IPsec-VPN连接才能协商成功。
可能的影响
如上图所示,如果在一个VPN网关实例下存在多个IPsec连接,多个IPsec连接的感兴趣流网段存在包含关系,则可能会导致流量无法按照期望的路径转发。
对于配置了感兴趣流模式的IPsec连接,在IPsec连接创建完成后,系统默认会在VPN网关实例的策略路由表下添加相关路由,每条路由的策略优先级相同。上图场景中系统将在VPN网关实例的策略路由表下默认添加以下路由:
路由条目名称 | 源网段 | 目标网段 | 下一跳 | 权重 | 策略优先级 |
路由条目1 | 10.66.90.0/24 | 10.55.193.0/24 | IPsec连接1 | 100 | 10 |
路由条目2 | 10.66.89.0/24 | 10.55.0.0/16 | IPsec连接2 | 100 | 10 |
路由条目3 | 10.66.90.0/24 | 10.55.178.0/24 | IPsec连接3 | 100 | 10 |
路由条目4 | 10.66.88.0/24 | 10.55.0.0/16 | IPsec连接4 | 100 | 10 |
根据策略路由匹配规则,在策略优先级相同的场景下,系统会按照策略路由的顺序逐条匹配路由,一旦能够匹配到策略路由,立即按照当前策略路由转发流量。策略路由的顺序由策略路由被下发至系统的时间决定。通常是先配置的策略路由被优先下发至系统,但当前情况无法完全保证,因此有可能存在后配置的策略路由被优先下发至系统,造成后配置的策略路由的优先级高于先配置的策略路由的优先级。
按照上图场景,有可能会出现本地数据中心通过IPsec-VPN连接1向VPC发送请求报文,VPC通过IPsec-VPN连接4向本地数据中心发送回复报文,因为路由条目4可能会被优先下发至系统,导致路由条目4的优先级高于路由条目1。
解决方案
避免为本地网关设备和IPsec连接添加存在包含关系的感兴趣流网段,推荐为两端添加完全匹配的感兴趣流网段,该方式可以提高IPsec-VPN连接的稳定性。
创建IPsec连接时,尽量添加精确的感兴趣流网段,确保VPN网关实例下的多个IPsec连接的感兴趣流网段没有重叠。
为每条策略路由配置不同的策略优先级和权重值以保证流量仅可匹配到一条策略路由。
如果您的VPN网关实例不支持配置策略优先级,可对VPN网关实例进行升级,升级后的VPN网关实例默认支持为策略路由配置策略优先级。具体操作,请参见升级VPN网关。