VPN网关中创建IPsec连接后IPsec连接状态显示为“第一阶段协商未成功”
更新时间:
问题描述
在您使用阿里云VPN网关的IPsec-VPN功能,建立专有网络VPC到本地数据中心的VPN连接时,完成所有配置后,IPsec连接状态显示为“第一阶段协商未成功”。
问题原因
第一阶段协商失败的可能原因如下:
- 预共享密钥不一致。
- IKE协议版本不一致。
- 协商模式不一致。
- LocalId或RemoteId不一致。
- 加密、认证算法不一致。
- DH分组不一致。
- 对端网关不响应。
- 创建用户网关时,设置错误的公网IP。
解决方案
在使用IPsec-VPN功能建立专有网络VPC到本地数据中心的VPN连接,当IPsec连接状态显示为“第一阶段协商未成功”时,请参见以下操作进行排查解决:
- 请确保满足以下条件,再进行下一步检查。
- 本地数据中心的网关设备必须支持IKEv1和IKEv2协议。
IPsec-VPN支持IKEv1和IKEv2协议。只要支持这两种协议的设备都可以和阿里云VPN网关互连,例如华三、华为、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。
- 本地数据中心的网关必须配置静态公网IP。
- 本地数据中心的网段和专有网络的网段不能重叠。
- 本地数据中心的网关设备必须支持IKEv1和IKEv2协议。
- 请参见查看IPsec连接日志,通过日志信息定位并解决IPsec连接过程中的故障。
日志信息 问题原因 解决方法 预共享密钥不一致的日志显示类似如下:
invalid HASH_V1 payload length, decryption failed? could not decrypt payloads message parsing failedcould not decrypt payloadsmessage parsing failed
预共享密钥不一致。 设置一致的预共享密钥。 IKE协议版本不一致的日志显示类似如下:
parsed IKE_SA_INIT response 0 [ N(NO_PROP) ] received NO_PROPOSAL_CHOSEN notify error received AUTHENTICATION_FAILED error notifyIKE协议版本不一致。 设置一致的IKE协议版本,如建立IPsec连接的两端网关都设置为IKEv1版本或IKEv2版本。 协商模式不一致的日志显示类似如下:
received AUTHENTICATION_FAILED error notifyed协商模式不一致。 设置一致的协商模式,如建立IPsec连接的两端网关都设置为main或aggressive。 LocalId或RemoteId不一致的日志显示类似如下:
[IKE] IDir xxxx does not match to xxxxLocalId或RemoteId不一致。
设置一致的LocalId或RemoteId。 说明:
- LocalId:作为IPsec VPN网关的标识,用于第一阶段的协商。
- RemoteId:作为用户网关的标识,用于第一阶段的协商。
无 加密、认证算法不一致。 确认两端网关的加密、认证算法,并设置一致。 无 DH分组不一致。 设置一致的DH组,如建立IPsec连接的两端网关都将DH组设置为group2。 对端网关不响应的日志显示类似如下:
[IKE] sending retransmit 1 of request message ID 0, seq 1sending packet: from X.X.X.X\[500\] to X.X.X.X\[500\] (224 bytes)
对端网关不响应。 确认对端网关是否异常。 注意:
- 本地数据中心的网关必须配置静态公网IP。
- 本地数据中心的网段和专有网络的网段不能重叠。
在创建用户网关公网IP设置错误时的日志显示类似如下:
received UNSUPPORTED_CRITICAL_PAYLOAD error创建用户网关时,设置错误的公网IP。 请检查设置的本地网关地址是否正确,创建用户网关时,应设置本地网关的公网IP。 - 部分极端情况下,参数完全一致也无法协商成功,此时建议将两端的协商模式改为野蛮模式(aggressive)后,再尝试重新连接。
注意:两端都要同时修改,否则会导致协商失败。
相关文档
适用于
- VPN网关
文档内容是否对您有帮助?