All Products
Search

This Product

    VPN Gateway:Troubleshoot masalah koneksi IPsec-VPN

    Document Center

    VPN Gateway:Troubleshoot masalah koneksi IPsec-VPN

    Last Updated:Mar 27, 2026

    Untuk melakukan troubleshooting koneksi IPsec-VPN, gunakan kode kesalahan dari konsol VPN Gateway dan log koneksi IPsec.

    Latar Belakang

    Topik ini mencantumkan kesalahan umum pada koneksi IPsec-VPN beserta metode troubleshooting-nya. Gunakan kode kesalahan dari konsol VPN Gateway dan log koneksi IPsec untuk menemukan solusi yang sesuai dalam tabel ringkasan di bawah ini dan selesaikan masalah tersebut.

    Lihat kode kesalahan

    Catatan

    • Anda tidak dapat melihat kode kesalahan untuk koneksi IPsec-VPN jika koneksi tersebut terkait dengan gateway VPN yang dibuat sebelum 21 Maret 2019, kecuali gateway VPN tersebut telah di-upgrade. Untuk informasi selengkapnya, lihat Upgrade gateway VPN.

    • Kode kesalahan hanya tersedia dalam bahasa Tiongkok dan Inggris.

    • Konsol VPN Gateway menampilkan hasil pemeriksaan kesehatan untuk koneksi IPsec-VPN dari 3 menit terakhir. Sebelum melihat kode kesalahan, Anda dapat mereset koneksi IPsec-VPN di kedua ujung untuk memicu negosiasi IPsec baru. Kemudian, refresh halaman untuk melihat kode kesalahan terbaru.

      Di Alibaba Cloud, Anda dapat mengubah nilai Effective Immediately untuk koneksi IPsec, menyimpan perubahan tersebut, lalu mengembalikan nilai Effective Immediately ke nilai aslinya untuk memicu protokol IPsec memulai kembali negosiasi.

    Koneksi IPsec-VPN mode single-tunnel

    Jika koneksi IPsec-VPN Anda berada dalam mode single-tunnel, ikuti langkah-langkah berikut untuk melihat kode kesalahannya.

    1. Masuk ke konsol gateway VPN.

    2. Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.

    3. Di bilah navigasi atas, pilih wilayah tempat koneksi IPsec dideploy.

    4. Pada halaman IPsec-VPN connection, temukan koneksi IPsec target dan lihat kode kesalahannya di kolom Connection Status.

      查看错误码

      Anda dapat mengklik View Details di samping kode kesalahan untuk melihat pesan kesalahan detail dan solusinya di panel Error Details. Solusi yang disediakan di panel Error Details sama dengan solusi dalam tabel ringkasan topik ini.

    Koneksi IPsec-VPN mode dual-tunnel

    Jika koneksi IPsec-VPN Anda berada dalam mode dual-tunnel, ikuti langkah-langkah berikut untuk melihat kode kesalahan masing-masing saluran data.

    1. Masuk ke konsol gateway VPN.

    2. Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.

    3. Di bilah navigasi atas, pilih wilayah tempat koneksi IPsec dideploy.

    4. Pada halaman IPsec-VPN connection, temukan koneksi IPsec target dan klik ID-nya.

    5. Pada tab Tunnel, lihat kode kesalahan saluran data aktif atau cadangan di kolom Connection Status.查看隧道错误码.png

      Anda dapat mengklik View Details di samping kode kesalahan untuk melihat pesan kesalahan detail dan solusinya di panel Error Details. Solusi yang disediakan di panel Error Details sama dengan solusi dalam tabel ringkasan topik ini.

    Kesalahan umum dan troubleshooting

    Setelah mendapatkan kode kesalahan dan informasi log, temukan metode troubleshooting yang sesuai dalam tabel di bawah ini dengan mencocokkan kode kesalahan atau kata kunci log.

    Catatan

    Jika Anda telah mendiagnosis koneksi IPsec-VPN dengan memanggil operasi API DiagnoseVpnConnections, rujuk kolom API-based error code dalam tabel di bawah ini.

    Console error code

    API-based

    error code

    Error message

    Log keyword

    Troubleshooting

    Peer mismatch

    PeerMismatch

    Paket protokol yang diterima tidak sesuai dengan informasi gateway pelanggan.

    received UNSUPPORTED_CRITICAL_PAYLOAD error

    1. Pastikan alamat IP gateway pelanggan dalam konfigurasi koneksi IPsec sesuai dengan alamat IP perangkat gateway peer.

    2. Jika perangkat gateway peer dikonfigurasi dengan beberapa alamat IP, pastikan alamat IP yang dikonfigurasi untuk gateway pelanggan adalah alamat yang sedang digunakan oleh perangkat gateway peer.

    Algorithm mismatch

    AlgorithmMismatch

    Terjadi ketidaksesuaian pada parameter algoritma enkripsi, algoritma autentikasi, atau grup DH.

    • HASH mismatched

    • parsed INFORMATIONAL_V1 request

    • packet lacks expected payload

    • authentication failure

    1. Verifikasi bahwa Encryption Algorithm, Authentication Algorithm, dan DH Group (Perfect Forward Secrecy) dikonfigurasi identik untuk koneksi IPsec dan perangkat gateway peer pada fase IKE Configurations dan IPsec Configurations. Jika tidak identik, ubah pengaturannya agar sesuai.

    2. Jika perangkat gateway peer dikonfigurasi dengan beberapa opsi untuk Encryption Algorithm, Authentication Algorithm, atau DH Group (Perfect Forward Secrecy) pada fase IKE Configurations dan IPsec Configurations, kami menyarankan agar Anda mengonfigurasi perangkat gateway peer untuk menggunakan satu nilai yang sama untuk Encryption Algorithm, Authentication Algorithm, dan DH Group (Perfect Forward Secrecy) seperti pada koneksi IPsec.

      Catatan

      Di sisi Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk Encryption Algorithm, Authentication Algorithm, dan DH Group (Perfect Forward Secrecy) selama fase IKE Configurations dan IPsec Configurations.

    Encryption algorithm mismatch

    EncryptionAlgorithmMismatch

    Algoritma enkripsi IPsec tidak sesuai.

    • invalid encryption algorithm

    • trns_id mismatched

    • rejected enctype

    • authentication failure

    1. Verifikasi bahwa Encryption Algorithm yang dikonfigurasi dalam fase IPsec Configurations identik untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

    2. Jika, dalam fase IPsec Configurations, perangkat gateway peer dikonfigurasi dengan beberapa Encryption Algorithm, kami menyarankan agar Anda mengubah konfigurasi perangkat gateway peer sehingga Encryption Algorithm-nya sama dengan Encryption Algorithm koneksi IPsec.

    Authentication algorithm mismatch

    AuthenticationAlgorithmMismatch

    Algoritma autentikasi IKE tidak sesuai.

    • authtype mismatched

    • rejected hashtype

    • authentication failure

    1. Verifikasi bahwa Authentication Algorithm yang dikonfigurasi dalam fase IKE Configurations identik untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

    2. Jika perangkat gateway peer dikonfigurasi dengan beberapa Authentication Algorithm dalam fase IKE Configurations, kami menyarankan agar Anda mengubah konfigurasi perangkat gateway peer sehingga Authentication Algorithm perangkat gateway peer sama dengan Authentication Algorithm koneksi IPsec.

    DH group mismatch

    DhGroupMismatch

    Parameter grup DH Fase 1 IKE tidak sesuai.

    • received KE type 14,expected 2

    • failed to compute dh value

    • rejected dh_group

    • proposal mismatch, transform type:4

    1. Verifikasi bahwa DH Group (Perfect Forward Secrecy) yang dikonfigurasi dalam fase IKE Configurations identik untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

    2. Jika perangkat gateway peer dikonfigurasi dengan beberapa opsi DH Group (Perfect Forward Secrecy) dalam fase IKE Configurations, kami menyarankan agar Anda mengubah konfigurasi perangkat gateway peer untuk memastikan DH Group (Perfect Forward Secrecy)-nya sama dengan DH Group (Perfect Forward Secrecy) koneksi IPsec.

    3. Jika Anda memiliki beberapa koneksi IPsec yang terkait dengan gateway pelanggan yang sama, pastikan semua koneksi IPsec menggunakan pengaturan identik dalam fase IKE Configurations, termasuk Version, Negotiation Mode, Encryption Algorithm, Authentication Algorithm, DH Group (Perfect Forward Secrecy), dan SA Life Cycle (seconds).

      Selain itu, LocalId koneksi IPsec harus sesuai dengan RemoteId peer, dan RemoteId-nya harus sesuai dengan LocalId peer.

    Pre-shared key mismatch

    PskMismatch

    Parameter kunci pra-bersama tidak sesuai.

    • Decryption failed! mismatch of preshared secrets

    • mismatch of preshared secrets

    • invalid HASH_V1 payload length, decryption failed

    • could not decrypt payloads

    • authentication failure

    1. Verifikasi bahwa Pre-Shared Key identik untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah agar sesuai.

      Anda juga dapat mengubah Pre-Shared Key untuk koneksi IPsec dan perangkat gateway peernya secara bersamaan. Tindakan ini memicu renegosiasi protokol IPsec, dan sistem kemudian akan memeriksa kembali apakah Pre-Shared Key di kedua ujung sesuai.

    2. Meskipun Pre-Shared Key identik, pastikan bahwa Encryption Algorithm, Authentication Algorithm, dan DH Group (Perfect Forward Secrecy) juga identik dalam fase IKE Configurations dan IPsec Configurations.

    3. Jika perangkat gateway peer dikonfigurasi dengan beberapa Encryption Algorithm, Authentication Algorithm, atau DH Group (Perfect Forward Secrecy) selama fase IKE Configurations dan IPsec Configurations, kami menyarankan agar Anda mengubah konfigurasi perangkat gateway peer. Hal ini memastikan bahwa pengaturan Encryption Algorithm, Authentication Algorithm, dan DH Group (Perfect Forward Secrecy) pada perangkat gateway peer sama dengan pengaturan koneksi IPsec.

    Peer ID mismatch

    PeerIdMismatch

    LocalId atau RemoteId tidak sesuai atau tidak kompatibel.

    • does not match peers id

    • message lacks IDr payload

    • Expecting IP address type in main mode,but FQDN

    • Unknow peer id

    • Parse PEERID failed

    • received ID_I(xxx) does not match peers id

    • invalid-id-information

    • received INVALID_ID_INFORMATION error notify

    1. Verifikasi bahwa LocalId koneksi IPsec sesuai dengan RemoteId perangkat gateway peer, dan RemoteId koneksi IPsec sesuai dengan LocalId perangkat gateway peer. Jika tidak, ubah pengaturannya.

      • Saat koneksi IPsec terkait dengan gateway VPN, Alibaba Cloud VPN Gateway secara default menggunakan alamat IP gateway VPN sebagai LocalId dan alamat IP gateway pelanggan sebagai RemoteId.

      • Saat koneksi IPsec terkait dengan router transit, Alibaba Cloud VPN Gateway secara default menggunakan alamat IP gateway koneksi IPsec sebagai LocalId dan alamat IP gateway pelanggan sebagai RemoteId.

    2. Jika koneksi IPsec menggunakan ikev1 dan Negotiation Mode adalah main mode, LocalId dan RemoteId harus dalam format alamat IP. Pastikan format LocalId dan RemoteId benar.

    3. Verifikasi bahwa Negotiation Mode identik untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

      Kami menyarankan agar Anda mengatur kedua sisi ke main mode. Dalam main mode, kami menyarankan menggunakan format alamat IP untuk LocalId dan RemoteId.

    4. Jika koneksi IPsec menggunakan ikev2 dan Anda telah memastikan bahwa pengaturan di atas benar, verifikasi juga bahwa Encryption Algorithm, Authentication Algorithm, dan DH Group (Perfect Forward Secrecy) identik di kedua ujung selama fase IKE Configurations dan IPsec Configurations. Jika tidak, ubah pengaturannya agar sesuai.

    DPD payload order incompatibility

    DpdHashNotifyCompatibility

    Urutan muatan DPD tidak kompatibel.

    ignore information because the message has no hash payload

    Saat fitur Dead Peer Detection (DPD) diaktifkan untuk koneksi IPsec, urutan muatan DPD default adalah hash-notify. Verifikasi bahwa urutan muatan DPD perangkat gateway peer juga hash-notify. Jika tidak, ubah menjadi hash-notify.

    DPD timeout

    DpdTimeout

    Pesan DPD melebihi waktu tunggu.

    DPD: remote seems to be dead

    1. Verifikasi bahwa fitur Dead Peer Detection (DPD) diaktifkan di kedua sisi, baik pada koneksi IPsec maupun perangkat gateway peer. Pastikan status DPD sama di kedua sisi.

      Catatan

      Waktu tunggu pesan DPD akan menyebabkan protokol IPsec melakukan renegosiasi.

    2. Periksa kualitas jaringan dan pengaturan rute untuk memastikan koneksi IPsec dan perangkat gateway peer dapat dijangkau.

    IKE version mismatch

    IkeVersionMismatch

    Versi IKE atau mode negosiasi tidak sesuai.

    unknown ikev2 peer

    1. Verifikasi bahwa versi IKE identik untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

      • Jika perangkat gateway peer mendukung pemilihan versi IKE otomatis atau mendukung IKEv1 dan IKEv2, kami menyarankan agar Anda secara eksplisit menentukan versi IKE pada perangkat gateway peer yang sesuai dengan versi IKE koneksi IPsec.

      • Kami menyarankan menggunakan IKEv2 di kedua sisi.

    2. Verifikasi bahwa Negotiation Mode identik untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

    Negotiation mode mismatch

    NegotiationModeMismatch

    Mode negosiasi tidak sesuai.

    • in Identity not acceptable Aggressive mode

    • not acceptable Identity Protection mode

    1. Verifikasi bahwa Negotiation Mode identik untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

      Kami menyarankan menggunakan main mode di kedua sisi.

    2. Dalam beberapa kasus langka, negosiasi IPsec masih bisa gagal meskipun kedua sisi berada dalam main mode. Jika hal ini terjadi, coba ubah mode negosiasi di kedua sisi menjadi aggressive mode.

    NAT-T mismatch

    NatTMismatch

    NAT Traversal tidak sesuai.

    ignore the packet, received unexpecting payload type 130

    Verifikasi bahwa fitur NAT Traversal memiliki status yang sama (diaktifkan atau dinonaktifkan) di kedua sisi, baik pada koneksi IPsec maupun perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

    Jika perangkat gateway peer berada di belakang gateway NAT, kami menyarankan agar Anda mengaktifkan fitur NAT Traversal di kedua sisi, baik pada koneksi IPsec maupun perangkat gateway peer.

    SA lifecycle mismatch

    LifetimeMismatch

    Parameter Lifetime tidak sesuai.

    long lifetime proposed

    Verifikasi bahwa SA Life Cycle (seconds) yang dikonfigurasi dalam fase IKE Configurations dan IPsec Configurations identik untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

    Nilai SA Life Cycle (seconds) tidak wajib identik. Namun, untuk memastikan stabilitas koneksi di berbagai vendor gateway, kami menyarankan agar Anda mengonfigurasi SA Life Cycle (seconds) yang sama di kedua sisi.

    Security protocol mismatch

    SecurityProtocolMismatch

    Parameter protokol keamanan tidak sesuai.

    proto_id mismatched

    Verifikasi bahwa perangkat gateway peer menggunakan Encapsulating Security Payload (ESP) sebagai protokol keamanan. Jika tidak, ubah protokolnya menjadi ESP.

    Alibaba Cloud VPN Gateway hanya mendukung ESP untuk koneksi IPsec-VPN. Authentication Header (AH) tidak didukung.

    Encapsulation mode mismatch

    EncapsulationModeMismatch

    Mode enkapsulasi tidak sesuai.

    encmode mismatched

    Verifikasi bahwa perangkat gateway peer menggunakan mode tunnel sebagai mode enkapsulasi. Jika tidak, ubah mode menjadi mode tunnel.

    Alibaba Cloud VPN Gateway hanya mendukung mode tunnel untuk koneksi IPsec-VPN. Mode transport tidak didukung.

    Algorithm incompatibility

    AlgorithmCompatibility

    Algoritma tidak kompatibel.

    None

    Authentication Algorithm yang dikonfigurasi untuk koneksi IPsec dan perangkat gateway peer dalam fase IKE Configurations dan IPsec Configurations tidak kompatibel. Kami menyarankan agar Anda menggunakan Authentication Algorithm yang berbeda di kedua sisi, seperti md5.

    Traffic selector mismatch

    TrafficSelectorMismatch

    Parameter Blok CIDR traffic selector tidak sesuai.

    • traffic selector mismatch

    • traffic selector unacceptable

    • can't find matching selector

    • received Notify type TS_UNACCEPTABLE

    1. Periksa konfigurasi Blok CIDR traffic selector berdasarkan versi IKE yang digunakan oleh koneksi IPsec dan pastikan memenuhi persyaratan berikut:

      • Jika koneksi IPsec menggunakan ikev1, traffic selector hanya mendukung satu Blok CIDR.

      • Jika koneksi IPsec menggunakan ikev2, traffic selector mendukung beberapa Blok CIDR.

        Catatan

        Saat beberapa Blok CIDR dikonfigurasi untuk koneksi IPsec, perbedaan mekanisme negosiasi IPsec antara koneksi IPsec dan perangkat gateway peer dapat menyebabkan beberapa Blok CIDR memiliki konektivitas normal sementara yang lain gagal. Untuk solusinya, lihat FAQ.

    2. Verifikasi bahwa traffic selector untuk koneksi IPsec dan perangkat gateway peer dikonfigurasi secara simetris. Pastikan bahwa:

      • Blok CIDR lokal koneksi IPsec sesuai dengan Blok CIDR remote peer.

      • Blok CIDR remote koneksi IPsec sesuai dengan Blok CIDR lokal peer.

    PFS mismatch

    PfsMismatch

    Parameter grup DH Fase 2 IPsec tidak sesuai.

    • pfs group mismatched

    • message lacks KE payload

    Verifikasi bahwa status fitur Perfect Forward Secrecy (PFS) dalam fase IPsec Configurations sama untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

    • Jika DH Group (Perfect Forward Secrecy) dalam fase IPsec Configurations koneksi IPsec diatur ke disabled, artinya fitur PFS dinonaktifkan. Anda juga harus menonaktifkan fitur PFS pada perangkat gateway peer.

    • Jika DH Group (Perfect Forward Secrecy) dalam fase IPsec Configurations koneksi IPsec diatur ke nilai selain disabled, artinya fitur PFS diaktifkan. Anda juga harus mengaktifkan fitur PFS pada perangkat gateway peer.

    Kami menyarankan mengaktifkan fitur PFS di kedua sisi, baik pada koneksi IPsec maupun perangkat gateway peer.

    Commit bit mismatch

    CommitMismatch

    Commit bit tidak sesuai.

    None

    Periksa apakah commit bit diaktifkan pada perangkat gateway peer. Jika ya, nonaktifkan.

    Commit bit digunakan untuk memastikan bahwa negosiasi protokol IPsec selesai sebelum data terlindungi dikirim. Alibaba Cloud VPN Gateway tidak mendukung konfigurasi commit bit.

    Proposal mismatch

    ProposalMismatch

    Proposal tidak sesuai.

    • no proposal chosen

    • received NO_PROPOSAL_CHOSEN

    • no suitable proposal found

    • failed to get valid proposal

    • none of my proposal matched

    • no matching proposal found, sending NO_PROPOSAL_CHOSEN

    • proposal mismatch

    • couldn't find configuaration

    • ignore the packet,expecting the packet encrypted

    1. Verifikasi bahwa versi IKE identik untuk koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar sesuai.

      Kami menyarankan menggunakan IKEv2 di kedua sisi.

    2. Verifikasi bahwa semua pengaturan dalam fase IKE Configurations konsisten antara koneksi IPsec dan perangkat gateway peer. Jika tidak, ubah pengaturannya agar memenuhi persyaratan berikut:

      • Parameter Version, Negotiation Mode, Encryption Algorithm, Authentication Algorithm, DH Group (Perfect Forward Secrecy), dan SA Life Cycle (seconds) harus identik di kedua sisi.

      • LocalId koneksi IPsec harus sesuai dengan RemoteId perangkat gateway peer, dan RemoteId koneksi IPsec harus sesuai dengan LocalId perangkat gateway peer.

    3. Verifikasi bahwa semua pengaturan dalam fase IPsec Configurations identik untuk koneksi IPsec dan perangkat gateway peer, termasuk Encryption Algorithm, Authentication Algorithm, DH Group (Perfect Forward Secrecy), SA Life Cycle (seconds), dan NAT Traversal. Jika tidak, ubah pengaturannya agar sesuai.

      Juga, pastikan bahwa traffic selector dikonfigurasi secara simetris:

      • Blok CIDR lokal koneksi IPsec harus sesuai dengan Blok CIDR remote perangkat gateway peer.

      • Blok CIDR remote koneksi IPsec harus sesuai dengan Blok CIDR lokal perangkat gateway peer.

    4. Jika Anda memiliki beberapa koneksi IPsec yang terkait dengan gateway pelanggan yang sama, pastikan semua koneksi IPsec menggunakan pengaturan identik dalam fase IKE Configurations, termasuk Version, Negotiation Mode, Encryption Algorithm, Authentication Algorithm, DH Group (Perfect Forward Secrecy), dan SA Life Cycle (seconds).

      Selain itu, LocalId setiap koneksi IPsec harus sesuai dengan RemoteId perangkat gateway peer-nya, dan RemoteId-nya harus sesuai dengan LocalId peernya.

    5. Coba reset koneksi IPsec-VPN untuk memicu negosiasi IPsec baru.

    Negotiation failed

    NegotiationFailed

    Negosiasi protokol gagal.

    phase2 negotiation failed due to time up waiting for phase1

    Reset koneksi IPsec-VPN untuk memicu negosiasi IPsec baru. Sistem akan melakukan pemeriksaan ulang.

    Phase 1 negotiation timeout

    Phase1NegotiationTimeout

    Negosiasi gagal karena waktu tunggu habis saat menunggu paket protokol Fase 1.

    • phase1 negotiation failed due to time up

    • ignore information because ISAKMP-SA has not been established

    1. Verifikasi bahwa perangkat gateway peer dapat mengirim dan menerima paket protokol IPsec.

    2. Verifikasi bahwa alamat IP gateway pelanggan yang terkait dengan koneksi IPsec identik dengan alamat IP perangkat gateway peer. Jika tidak, ubah alamat IP agar identik.

    3. Periksa perangkat gateway peer untuk mengetahui adanya masalah, seperti reboot yang tidak terduga.

    4. Verifikasi bahwa perangkat gateway peer dan koneksi IPsec dapat saling dijangkau.

      Di perangkat gateway peer, gunakan perintah seperti ping, mtr, atau traceroute untuk mengakses alamat IP gateway VPN atau alamat IP gateway koneksi IPsec guna mengonfirmasi konektivitas.

    5. VPN Gateway tidak mendukung koneksi IPsec-VPN lintas batas. Jika Anda perlu membuat koneksi lintas batas, gunakan Cloud Enterprise Network (CEN). Untuk informasi selengkapnya, lihat Apa itu Cloud Enterprise Network (CEN)?

    6. Coba reset koneksi IPsec-VPN untuk memicu negosiasi IPsec baru.

    Phase 2 negotiation timeout

    Phase2NegotiationTimeout

    Negosiasi gagal karena waktu tunggu habis saat menunggu paket Fase 2.

    None

    1. Verifikasi bahwa parameter dalam fase IPsec Configurations identik untuk koneksi IPsec dan perangkat gateway peer, termasuk Encryption Algorithm, Authentication Algorithm, DH Group (Perfect Forward Secrecy), dan SA Life Cycle (seconds). Jika tidak, ubah parameter fase IPsec Configurations di kedua sisi agar sesuai.

    2. Verifikasi bahwa fitur NAT Traversal memiliki status yang sama di koneksi IPsec dan perangkat gateway peer. Pastikan fitur NAT Traversal diaktifkan di kedua sisi atau dinonaktifkan di kedua sisi.

    3. Coba ubah versi IKE di kedua sisi, baik pada koneksi IPsec maupun perangkat gateway peer, menjadi IKEv1 atau IKEv2.

    Cannot receive response packets from the peer

    NoResponse

    Gateway peer tidak merespons.

    • sending retransmit 1 of request message ID 0, seq 1

    • retransmission count exceeded the limit

    1. Verifikasi bahwa perangkat gateway peer dapat mengirim dan menerima paket protokol IPsec.

    2. Verifikasi bahwa alamat IP gateway pelanggan yang terkait dengan koneksi IPsec identik dengan alamat IP perangkat gateway peer. Jika tidak, ubah alamat IP agar identik.

    3. Periksa perangkat gateway peer untuk mengetahui adanya masalah, seperti reboot yang tidak terduga.

    4. Verifikasi bahwa perangkat gateway peer dan koneksi IPsec dapat saling dijangkau.

      Di perangkat gateway peer, gunakan perintah seperti ping, mtr, atau traceroute untuk mengakses alamat IP gateway VPN atau alamat IP gateway koneksi IPsec guna mengonfirmasi konektivitas.

    5. Periksa kebijakan kontrol akses yang diterapkan pada perangkat gateway peer dan pastikan memenuhi kondisi berikut:

      • Port UDP 500 dan 4500 diizinkan.

      • Traffic dari alamat IP gateway VPN atau gateway koneksi IPsec diizinkan.

    6. Coba reset koneksi IPsec-VPN untuk memicu negosiasi IPsec baru.

    Received delete message from peer

    ReceiveDeleteNotify

    Pesan hapus diterima dari peer.

    received DELETE IKE_SA

    Koneksi IPsec menerima pesan delete notify dari perangkat gateway peer. Periksa perangkat gateway peer untuk mengidentifikasi penyebabnya.

    Negotiation exception cause not diagnosed

    NoExceptionFound

    Penyebab pengecualian negosiasi tidak terdiagnosis.

    None

    Hasil ini dapat terjadi jika koneksi IPsec-VPN belum memulai negosiasi. Reset koneksi IPsec-VPN di sisi Alibaba Cloud atau perangkat jaringan peer.

    Di sisi Alibaba Cloud, Anda dapat mengubah nilai Effective Immediately untuk koneksi IPsec, menyimpan perubahan, lalu mengembalikan nilai Effective Immediately ke pengaturan awalnya untuk memicu negosiasi protokol IPsec. Kemudian, refresh halaman saat ini untuk melihat hasilnya.

    Operasi terkait

    Dokumen berikut menjelaskan operasi yang mungkin berguna saat Anda melakukan troubleshooting masalah koneksi IPsec-VPN:

    Catatan

    Untuk bantuan mengubah konfigurasi perangkat gateway peer, konsultasikan dengan vendor perangkat tersebut.

    Referensi

    DiagnoseVpnConnections: Diagnosis koneksi IPsec-VPN.