全部产品
Search

搜索本产品

    VPN Gateway:Memecahkan Masalah Koneksi IPsec-VPN

    文档中心

    VPN Gateway:Memecahkan Masalah Koneksi IPsec-VPN

    更新时间:Jul 06, 2025

    Anda dapat memecahkan masalah koneksi IPsec-VPN berdasarkan kode kesalahan dan data log koneksi IPsec-VPN yang ditampilkan di konsol VPN Gateway.

    Informasi Latar Belakang

    Tema ini menjelaskan masalah umum koneksi IPsec-VPN dan cara memecahkan masalah tersebut. Konsol VPN Gateway menampilkan kode kesalahan dan data log koneksi IPsec-VPN. Anda dapat mencari kode kesalahan atau data log yang sama di bagian Masalah dan solusi umum koneksi IPsec-VPN dari topik ini untuk menemukan solusi yang sesuai.

    • Untuk informasi lebih lanjut tentang cara melihat kode kesalahan koneksi IPsec-VPN, lihat bagian Lihat kode kesalahan dari topik ini.

    • Untuk informasi lebih lanjut tentang cara melihat log koneksi IPsec-VPN, lihat Lihat log koneksi IPsec-VPN.

    Lihat kode kesalahan

    Catatan

    • Jika koneksi IPsec-VPN Anda terkait dengan gateway VPN yang dibuat sebelum 21 Maret 2019 dan belum diperbarui, Anda tidak dapat melihat kode kesalahan koneksi IPsec-VPN. Untuk melihat kode kesalahan, Anda harus memperbarui gateway VPN ke versi terbaru. Untuk informasi lebih lanjut, lihat Tingkatkan gateway VPN.

    • Anda hanya dapat melihat kode kesalahan dalam bahasa Cina dan Inggris. Bahasa lainnya tidak didukung.

    • Konsol VPC Gateway menampilkan kode kesalahan masalah koneksi IPsec-VPN yang diidentifikasi dalam 3 menit terakhir. Untuk melihat kode kesalahan masalah koneksi IPsec-VPN terbaru, Anda dapat mereset koneksi IPsec-VPN pada peer IPsec untuk memicu negosiasi IPsec dan kemudian menyegarkan halaman.

      Di sisi Alibaba Cloud, Anda dapat mengubah nilai parameter Effective Immediately untuk koneksi IPsec-VPN, simpan perubahan, dan kemudian atur parameter Effective Immediately ke nilai aslinya untuk memicu negosiasi IPsec.

    Koneksi IPsec-VPN dalam mode single-tunnel

    Jika koneksi IPsec-VPN menggunakan mode single-tunnel, ikuti langkah-langkah berikut untuk melihat kode kesalahan.

    1. Masuk ke konsol gateway VPN.

    2. Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.

    3. Di bilah navigasi atas, pilih wilayah tempat koneksi IPsec-VPN dibuat.

    4. Di halaman IPsec-VPN connection, temukan koneksi IPsec-VPN yang ingin Anda kelola dan lihat kode kesalahan di kolom Connection Status.

      查看错误码

      Anda dapat mengklik View Details di sebelah kanan kode kesalahan dan kemudian periksa pesan kesalahan dan solusi yang ditampilkan di panel Error details. Solusi yang ditampilkan di panel Error details sama dengan yang dijelaskan di bagian Masalah dan solusi umum koneksi IPsec-VPN dari topik ini.

    Koneksi IPsec-VPN dalam mode dual-tunnel

    Jika koneksi IPsec-VPN menggunakan mode dual-tunnel, ikuti langkah-langkah berikut untuk melihat kode kesalahan.

    1. Masuk ke konsol gateway VPN.

    2. Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.

    3. Di bilah navigasi atas, pilih wilayah tempat koneksi IPsec-VPN dibuat.

    4. Di halaman IPsec-VPN connection, temukan koneksi IPsec-VPN dan klik ID-nya.

    5. Di kolom Connection Status tab Tunnel, lihat kode kesalahan terowongan aktif atau terowongan cadangan.查看隧道错误码.png

      Anda dapat mengklik View Details di sebelah kanan kode kesalahan dan kemudian periksa pesan kesalahan dan solusi yang ditampilkan di panel Error details. Solusi yang ditampilkan di panel Error details sama dengan yang dijelaskan di bagian Masalah dan solusi umum koneksi IPsec-VPN dari topik ini.

    Masalah dan solusi umum koneksi IPsec-VPN

    Setelah Anda mendapatkan kode kesalahan dan data log koneksi IPsec-VPN, Anda dapat mencari kode kesalahan yang sama atau kata kunci entri log di tabel berikut untuk menemukan solusi yang sesuai.

    Catatan

    Jika Anda memanggil operasi DiagnoseVpnConnections untuk memecahkan masalah koneksi IPsec-VPN, cari kode kesalahan di kolom Kode kesalahan berbasis API di tabel berikut.

    Kode kesalahan (konsol)

    Kode kesalahan (API)

    Pesan kesalahan

    Kata kunci

    Solusi

    Peer tidak cocok.

    PeerMismatch

    Paket yang diterima tidak cocok dengan informasi gateway pelanggan.

    received UNSUPPORTED_CRITICAL_PAYLOAD error

    1. Pastikan alamat IP gateway pelanggan yang terkait dengan koneksi IPsec-VPN sama dengan alamat IP perangkat gateway pelanggan.

    2. Jika perangkat gateway pelanggan memiliki beberapa alamat IP, pastikan alamat IP yang digunakan oleh perangkat gateway pelanggan ditentukan sebagai alamat IP gateway pelanggan.

    Algoritma tidak cocok.

    AlgorithmMismatch

    Algoritma enkripsi, algoritma autentikasi, atau parameter grup DH tidak cocok.

    • HASH mismatched

    • parsed INFORMATIONAL_V1 request

    • packet lacks expected payload

    • authentication failure

    1. Pastikan konfigurasi berikut dari koneksi IPsec-VPN sama dengan perangkat gateway pelanggan: encryption algorithm, authentication algorithm, dan DH group dalam IKE configuration dan IPsec configuration.

    2. Jika beberapa encryption algorithms, authentication algorithms, atau DH groups ditentukan dalam IKE configuration dan IPsec configuration perangkat gateway pelanggan, kami sarankan Anda mengonfigurasi perangkat gateway pelanggan untuk menggunakan encryption algorithm, authentication algorithm, atau DH group yang ditentukan untuk koneksi IPsec-VPN.

      Catatan

      Saat Anda mengonfigurasi koneksi IP-sec VPN di sisi Alibaba Cloud, tentukan hanya satu encryption algorithm, authentication algorithm, dan DH group dalam IKE configuration dan IPsec configuration.

    Algoritma enkripsi tidak cocok.

    EncryptionAlgorithmMismatch

    Algoritma enkripsi koneksi IPsec-VPN tidak cocok.

    • invalid encryption algorithm

    • trns_id mismatched

    • rejected enctype

    • authentication failure

    1. Pastikan encryption algorithm dalam IPsec configuration koneksi IPsec-VPN sama dengan perangkat gateway pelanggan.

    2. Jika beberapa encryption algorithms ditentukan dalam IPsec configuration perangkat gateway pelanggan, kami sarankan Anda mengonfigurasi perangkat gateway pelanggan untuk menggunakan encryption algorithm yang ditentukan untuk koneksi IPsec-VPN.

    Algoritma autentikasi tidak cocok.

    AuthenticationAlgorithmMismatch

    Algoritma autentikasi IKE tidak cocok.

    • authtype mismatched

    • rejected hashtype

    • authentication failure

    1. Pastikan authentication algorithm dalam IKE configuration koneksi IPsec-VPN sama dengan perangkat gateway pelanggan.

    2. Jika beberapa authentication algorithms ditentukan dalam IKE configuration perangkat gateway pelanggan, kami sarankan Anda mengonfigurasi perangkat gateway pelanggan untuk menggunakan authentication algorithm yang ditentukan untuk koneksi IPsec-VPN.

    Grup DH tidak cocok.

    DhGroupMismatch

    Parameter grup DH Fase 1 IKE tidak cocok.

    • Menerima tipe KE 14, diharapkan 2

    • failed to compute dh value

    • rejected dh_group

    • proposal mismatch, transform type:4

    1. Pastikan DH group dalam IKE configuration koneksi IPsec-VPN sama dengan perangkat gateway pelanggan.

    2. Jika beberapa DH groups ditentukan dalam IKE configuration perangkat gateway pelanggan, kami sarankan Anda mengonfigurasi perangkat gateway pelanggan untuk menggunakan DH group yang ditentukan untuk koneksi IPsec-VPN.

    3. Jika beberapa koneksi IPsec-VPN terkait dengan gateway pelanggan, pastikan semua koneksi IPsec-VPN menggunakan IKE configuration yang sama, termasuk version, negotiation mode, encryption algorithm, authentication algorithm, DH group, dan SA lifecycle (seconds).

      Nilai LocalId koneksi IPsec-VPN harus sama dengan nilai RemoteId perangkat gateway pelanggan. Nilai RemoteId koneksi IPsec-VPN harus sama dengan nilai LocalId perangkat gateway pelanggan.

    Kunci pre-shared tidak cocok.

    PskMismatch

    Kunci pre-shared tidak cocok.

    • Decryption failed! mismatch of preshared secrets

    • mismatch of preshared secrets

    • invalid HASH_V1 payload length, decryption failed

    • could not decrypt payloads

    • authentication failure

    1. Pastikan pre-shared key koneksi IPsec-VPN sama dengan perangkat gateway pelanggan.

      Anda dapat memodifikasi pre-shared key koneksi IPsec-VPN atau perangkat gateway pelanggan untuk memicu negosiasi IPsec. Sistem secara otomatis memeriksa apakah pre-shared keys di kedua ujung sama.

    2. Jika koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan pre-shared key yang sama, pastikan mereka juga menggunakan encryption algorithm, authentication algorithm, dan DH group yang sama dalam IKE configuration dan IPsec configuration.

    3. Jika beberapa encryption algorithms, authentication algorithms, atau DH groups ditentukan dalam IKE configuration dan IPsec configuration perangkat gateway pelanggan, kami sarankan Anda mengonfigurasi perangkat gateway pelanggan untuk menggunakan encryption algorithm, authentication algorithm, atau DH group yang ditentukan untuk koneksi IPsec-VPN.

    PeerID tidak cocok.

    PeerIdMismatch

    Parameter LocalID atau RemoteID tidak cocok atau tidak kompatibel.

    • does not match peers id

    • message lacks IDr payload

    • Expecting IP address type in main mode, but FQDN

    • Unknown peer id

    • Parse PEERID failed

    • received ID_I(xxx) does not match peers id

    • invalid-id-information

    • received INVALID_ID_INFORMATION error notify

    1. Pastikan nilai LocalId dari koneksi IPsec-VPN sama dengan nilai RemoteId pada perangkat gateway pelanggan, dan nilai RemoteId dari koneksi IPsec-VPN sama dengan nilai LocalId pada perangkat gateway pelanggan. Jika nilainya berbeda, sesuaikan nilainya.

      • Jika koneksi IPsec-VPN Anda terkait dengan gateway VPN, alamat IP gateway VPN ditentukan sebagai nilai LocalId koneksi IPsec-VPN dan alamat IP gateway pelanggan ditentukan sebagai nilai RemoteId secara default.

      • Jika koneksi IPsec-VPN Anda terkait dengan router transit, alamat IP gateway koneksi IPsec-VPN ditentukan sebagai nilai LocalId koneksi IPsec-VPN dan alamat IP gateway pelanggan ditentukan sebagai nilai RemoteId secara default.

    2. Jika versi IKE dan negotiation mode koneksi IPsec-VPN adalah ikev1 dan main, parameter LocalId dan RemoteId hanya mendukung alamat IP. Pastikan nilai parameter LocalId dan RemoteId valid.

    3. Pastikan negotiation mode koneksi IPsec-VPN sama dengan perangkat gateway pelanggan.

      Kami sarankan Anda mengatur mode negosiasi koneksi dan perangkat gateway pelanggan ke main dan menetapkan parameter LocalId dan RemoteId dalam mode main ke alamat IP.

    4. Jika versi IKE koneksi IPsec-VPN adalah ikev2 dan Anda telah memverifikasi konfigurasi sebelumnya, periksa apakah koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan encryption algorithm, authentication algorithm, dan DH group yang sama dalam IKE configuration dan IPsec configuration. Jika konfigurasinya berbeda, modifikasi konfigurasi tersebut.

    Urutan payload DPD tidak kompatibel.

    DpdHashNotifyCompatibility

    Urutan payload DPD tidak kompatibel.

    ignore information because the message has no hash payload

    Dalam skenario di mana fitur Dead Peer Detection (DPD) diaktifkan, urutan payload default adalah hash-notify. Periksa apakah urutan payload DPD perangkat gateway pelanggan adalah hash-notify. Jika tidak, ubah urutan payload menjadi hash-notify.

    DPD habis waktu.

    DpdTimeout

    Paket DPD habis waktu.

    DPD: remote seems to be dead

    1. Pastikan DPD diaktifkan untuk koneksi IPsec-VPN dan perangkat gateway pelanggan.

      Catatan

      Timeout paket DPD dapat memicu negosiasi IPsec.

    2. Periksa kondisi jaringan dan konfigurasi routing koneksi IPsec-VPN dan perangkat gateway pelanggan. Pastikan tidak ada masalah konektivitas antara koneksi IPsec-VPN dan perangkat gateway pelanggan.

    Versi IKE tidak cocok.

    IkeVersionMismatch

    Versi IKE atau mode negosiasi tidak cocok.

    unknown ikev2 peer

    1. Pastikan koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan versi IKE yang sama.

      • Jika perangkat gateway pelanggan mendukung pemilihan otomatis versi IKE atau mendukung baik IKEv1 maupun IKEv2, kami sarankan Anda secara manual menentukan versi IKE untuk perangkat gateway pelanggan dan mengonfigurasi koneksi IPsec-VPN untuk menggunakan versi IKE yang sama.

      • Kami sarankan Anda memilih versi IKEv2.

    2. Pastikan koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan negotiation mode yang sama.

    Mode negosiasi tidak cocok.

    NegotiationModeMismatch

    Mode negosiasi tidak cocok.

    • in Identity not acceptable Aggressive mode

    • not acceptable Identity Protection mode

    1. Pastikan koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan negotiation mode yang sama.

      Kami sarankan Anda mengatur mode negosiasi ke main.

    2. Jika negosiasi IPsec masih gagal ketika keduanya koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan mode main, Anda dapat mengubah mode negosiasi koneksi IPsec-VPN dan perangkat gateway pelanggan ke aggressive. Masalah ini hanya terjadi pada beberapa skenario.

    NAT-T tidak cocok.

    NatTMismatch

    Penelusuran NAT tidak cocok.

    ignore the packet, received unexpecting payload type 130

    Pastikan koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan pengaturan penelusuran NAT yang sama.

    Jika perangkat gateway pelanggan adalah perangkat backend dari gateway NAT, kami sarankan Anda mengaktifkan penelusuran NAT untuk koneksi IPsec-VPN dan perangkat gateway pelanggan.

    Siklus hidup SA tidak cocok.

    LifetimeMismatch

    Parameter Lifetime tidak cocok.

    long lifetime proposed

    Pastikan SA lifecycle (seconds) koneksi IPsec-VPN dalam IKE configuration dan IPsec configuration sama dengan perangkat gateway pelanggan.

    Koneksi IPsec-VPN dan perangkat gateway pelanggan dapat menggunakan nilai SA lifecycle (seconds) yang berbeda. Namun, untuk memastikan stabilitas koneksi IPsec-VPN ketika perangkat gateway pelanggan dari produsen yang berbeda digunakan, kami sarankan Anda mengonfigurasi koneksi IPsec-VPN dan perangkat gateway pelanggan untuk menggunakan nilai SA lifecycle (seconds) yang sama.

    Protokol keamanan tidak cocok.

    SecurityProtocolMismatch

    Protokol keamanan tidak cocok.

    proto_id mismatched

    Pastikan perangkat gateway pelanggan menggunakan Encapsulating Security Payload (ESP) sebagai protokol keamanan.

    VPN Gateway hanya mendukung protokol ESP untuk koneksi IPsec-VPN. Authentication Header (AH) tidak didukung.

    Mode enkapsulasi tidak cocok.

    EncapsulationModeMismatch

    Mode enkapsulasi tidak cocok.

    encmode mismatched

    Pastikan mode enkapsulasi perangkat gateway pelanggan diatur ke tunneling.

    VPN Gateway hanya mendukung mode tunneling untuk koneksi IPsec-VPN. Mode transmisi tidak didukung.

    Algoritma tidak kompatibel.

    AlgorithmCompatibility

    Algoritma tidak kompatibel.

    Tidak ada.

    Jika authentication algorithm dalam IKE configuration dan IPsec configuration koneksi IPsec-VPN dan perangkat gateway pelanggan tidak kompatibel, pilih authentication algorithm lain, seperti md5.

    Aliran Data Terproteksi tidak sesuai.

    TrafficSelectorMismatch

    Parameter Aliran Data Terproteksi tidak sesuai.

    • traffic selector mismatch

    • traffic selector unacceptable

    • can't find matching selector

    • received Notify type TS_UNACCEPTABLE

    1. Periksa blok CIDR dari aliran data terproteksi berdasarkan versi IKE koneksi IPsec-VPN, dan pastikan blok CIDR memenuhi persyaratan berikut:

      • Jika versi IKE koneksi IPsec-VPN adalah ikev1, aliran data yang terproteksi hanya mendukung satu blok CIDR.

      • Jika versi IKE koneksi IPsec-VPN adalah ikev2, aliran data terproteksi mendukung beberapa blok CIDR.

        Catatan

        Jika beberapa blok CIDR dikonfigurasi untuk koneksi IPsec-VPN dan konfigurasi negosiasi IPsec pada koneksi IPsec-VPN serta perangkat gateway pelanggan berbeda, beberapa blok CIDR mungkin tidak dapat diakses. Untuk informasi lebih lanjut tentang cara menyelesaikan masalah ini, lihat FAQ.

    2. Periksa apakah blok CIDR untuk aliran data terproteksi pada koneksi IPsec-VPN dan perangkat gateway pelanggan memenuhi persyaratan berikut:

      • Blok CIDR lokal untuk aliran data terproteksi pada koneksi IPsec-VPN sama dengan blok CIDR peer untuk aliran data terproteksi pada perangkat gateway pelanggan.

      • Blok CIDR peer dari aliran data terproteksi untuk koneksi IPsec-VPN sama dengan blok CIDR lokal dari aliran data terproteksi untuk perangkat gateway pelanggan.

    PFS tidak sesuai.

    PfsMismatch

    Parameter grup DH Fase 2 tidak sesuai.

    • pfs group mismatched

    • Pesan kekurangan payload KE

    Pastikan koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan pengaturan Perfect Forward Secrecy (PFS) yang sama dalam IPsec configuration.

    • Jika pengaturan DH group dalam IPsec configuration koneksi IPsec-VPN diatur ke disabled, PFS akan dinonaktifkan untuk koneksi tersebut. Pastikan untuk menonaktifkan PFS pada perangkat gateway pelanggan.

    • Jika pengaturan DH group dalam IPsec configuration koneksi IPsec-VPN diatur ke nilai selain disabled, PFS akan diaktifkan untuk koneksi tersebut. Pastikan untuk mengaktifkan PFS pada perangkat gateway pelanggan.

    Kami sarankan Anda mengaktifkan PFS untuk koneksi IPsec-VPN dan perangkat gateway pelanggan.

    Bit commit tidak sesuai.

    CommitMismatch

    Bit commit tidak sesuai.

    Tidak ada

    Pastikan commit dinonaktifkan pada perangkat gateway pelanggan.

    Fitur commit memastikan bahwa negosiasi IPsec selesai sebelum aliran data terproteksi dikirim. Namun, VPN Gateway tidak mendukung fitur commit.

    Proposal tidak cocok.

    ProposalMismatch

    Proposal tidak cocok.

    • no proposal chosen

    • received NO_PROPOSAL_CHOSEN

    • no suitable proposal found

    • failed to get valid proposal

    • none of my proposal matched

    • no matching proposal found, sending NO_PROPOSAL_CHOSEN

    • proposal mismatch

    • couldn't find configuaration

    • ignore the packet,expecting the packet encrypted

    1. Pastikan koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan versi IKE yang sama.

      Disarankan untuk memilih IKEv2.

    2. Periksa apakah koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan IKE configuration yang sama. Jika berbeda, sesuaikan konfigurasi untuk memenuhi persyaratan berikut:

      • Koneksi IPsec-VPN dan perangkat gateway pelanggan harus menggunakan version, negotiation mode, encryption algorithm, authentication algorithm, DH group, dan SA lifecycle (seconds) yang sama.

      • Nilai LocalId pada koneksi IPsec-VPN harus sama dengan nilai RemoteId perangkat gateway pelanggan, dan nilai RemoteId pada koneksi IPsec-VPN harus sama dengan nilai LocalId perangkat gateway pelanggan.

    3. Periksa apakah koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan IPsec configuration yang sama, termasuk encryption algorithm, authentication algorithm, DH group, SA lifecycle (seconds), dan NAT traversal. Jika berbeda, sesuaikan konfigurasi tersebut.

      Pastikan aliran data terproteksi koneksi IPsec-VPN dan perangkat gateway pelanggan memenuhi persyaratan berikut:

      • Blok CIDR lokal dari aliran data terproteksi untuk koneksi IPsec-VPN harus sama dengan blok CIDR peer dari aliran data terproteksi untuk perangkat gateway pelanggan.

      • Blok CIDR peer dari aliran data terproteksi untuk koneksi IPsec-VPN harus sama dengan blok CIDR lokal dari aliran data terproteksi untuk perangkat gateway pelanggan.

    4. Jika beberapa koneksi IPsec-VPN terkait dengan gateway pelanggan, pastikan semua koneksi IPsec-VPN menggunakan IKE configuration yang sama, termasuk version, negotiation mode, encryption algorithm, authentication algorithm, DH group, dan SA lifecycle (seconds).

      Nilai LocalId setiap koneksi IPsec-VPN harus sama dengan nilai RemoteId perangkat gateway pelanggan. Nilai RemoteId setiap koneksi IPsec-VPN harus sama dengan nilai LocalId perangkat gateway pelanggan.

    5. Reset koneksi IPsec-VPN untuk memicu negosiasi IPsec.

    Negosiasi tidak berhasil.

    NegotiationFailed

    Negosiasi gagal.

    phase2 negotiation failed due to time up waiting for phase1

    Reset koneksi IPsec-VPN untuk memicu negosiasi IPsec. Sistem akan memeriksa konfigurasi negosiasi lagi.

    Negosiasi Fase 1 telah habis waktu.

    Phase1NegotiationTimeout

    Paket Fase 1 ditolak, dan negosiasi telah habis waktu.

    • phase1 negotiation failed due to time up

    • Informasi diabaikan karena ISAKMP-SA belum ditetapkan

    1. Pastikan perangkat gateway pelanggan dapat menerima dan mengirim paket IPsec seperti yang diharapkan.

    2. Pastikan alamat IP gateway pelanggan yang terkait dengan koneksi IPsec-VPN sama dengan alamat IP perangkat gateway pelanggan.

    3. Periksa anomali, seperti restart yang tidak terduga, pada perangkat gateway pelanggan.

    4. Pastikan koneksi IPsec-VPN dan perangkat gateway pelanggan dapat saling mengakses.

      Jalankan perintah ping, mtr, atau traceroute pada perangkat gateway pelanggan untuk memeriksa apakah alamat IP gateway VPN atau alamat IP gateway koneksi IPsec-VPN dapat diakses.

    5. VPN Gateway tidak mendukung koneksi IPsec-VPN lintas batas. Jika Anda ingin membuat koneksi IPsec-VPN lintas batas, gunakan Cloud Enterprise Network (CEN). Untuk informasi lebih lanjut, lihat Apa itu CEN?

    6. Reset koneksi IPsec-VPN untuk memicu negosiasi IPsec.

    Negosiasi Fase 2 habis waktu.

    Phase2NegotiationTimeout

    Paket Fase 2 tidak dapat diterima dan negosiasi habis waktu.

    Tidak ada

    1. Pastikan koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan IPsec configuration yang sama, termasuk encryption algorithm, authentication algorithm, DH group, dan SA lifecycle (seconds).

    2. Periksa apakah koneksi IPsec-VPN dan perangkat gateway pelanggan menggunakan pengaturan penelusuran NAT yang sama. Pastikan koneksi IPsec-VPN dan perangkat gateway pelanggan memiliki penelusuran NAT diaktifkan atau dinonaktifkan secara bersamaan.

    3. Ubah versi IKE koneksi IPsec-VPN dan perangkat gateway pelanggan ke IKEv1 atau IKEv2.

    Paket respons tidak dapat diterima dari peer.

    NoResponse

    Gateway peer tidak merespons.

    • sending retransmit 1 of request message ID 0, seq 1

    • retransmission count exceeded the limit

    1. Pastikan perangkat gateway pelanggan dapat menerima dan mengirim paket IPsec seperti yang diharapkan.

    2. Pastikan alamat IP gateway pelanggan yang terkait dengan koneksi IPsec-VPN sama dengan alamat IP perangkat gateway pelanggan.

    3. Periksa anomali, seperti restart yang tidak terduga, pada perangkat gateway pelanggan.

    4. Pastikan koneksi IPsec-VPN dan perangkat gateway pelanggan dapat saling mengakses.

      Jalankan perintah ping, mtr, atau traceroute pada perangkat gateway pelanggan untuk memeriksa apakah alamat IP gateway VPN atau alamat IP gateway koneksi IPsec-VPN dapat diakses.

    5. Pastikan kebijakan kontrol akses perangkat gateway pelanggan memenuhi persyaratan berikut:

      • Port UDP 500 dan 4500 dibuka.

      • Alamat IP gateway VPN atau alamat IP gateway koneksi IPsec-VPN diizinkan.

    6. Reset koneksi IPsec-VPN untuk memicu negosiasi IPsec.

    Paket hapus dari peer diterima.

    ReceiveDeleteNotify

    Paket hapus dari peer diterima.

    received DELETE IKE_SA

    Jika koneksi IPsec-VPN menerima paket delete notify dari perangkat gateway pelanggan, pecahkan masalah tersebut pada perangkat gateway pelanggan.

    Penyebab pengecualian negosiasi tidak ditemukan.

    NoExceptionFound

    Penyebab pengecualian negosiasi tidak ditemukan.

    Tidak ada

    Koneksi IPsec-VPN mungkin belum memulai negosiasi IPsec. Reset koneksi IPsec-VPN di sisi Alibaba Cloud atau perangkat gateway pelanggan.

    Di sisi Alibaba Cloud, Anda dapat mengubah nilai parameter Effective Immediately untuk koneksi IPsec-VPN, simpan perubahan, dan kemudian atur parameter Effective Immediately ke nilai aslinya untuk memicu negosiasi IPsec. Kemudian, segarkan halaman dan periksa hasil negosiasi.

    Apa yang Harus Dilakukan Selanjutnya

    Berikut ini adalah referensi untuk operasi yang mungkin Anda lakukan saat memecahkan masalah koneksi IPsec-VPN.

    • Anda dapat memodifikasi konfigurasi koneksi IPsec-VPN. Untuk informasi lebih lanjut, lihat bagian Modifikasi konfigurasi koneksi IPsec-VPN dan Modifikasi konfigurasi terowongan dari topik "Buat dan kelola koneksi IPsec-VPN dalam mode dual-tunnel".

    • Anda hanya dapat memodifikasi nama dan deskripsi gateway pelanggan setelah gateway pelanggan dibuat. Jika Anda ingin memodifikasi konfigurasi gateway pelanggan saat memecahkan masalah koneksi IPsec-VPN, lakukan langkah-langkah berikut. Langkah-langkah ini mungkin bervariasi berdasarkan jenis sumber daya yang terkait dengan koneksi IPsec-VPN.

      • Gateway VPN terkait dengan koneksi IPsec-VPN

        1. Buat ulang gateway pelanggan untuk menggunakan konfigurasi yang dimodifikasi. Untuk informasi lebih lanjut, lihat bagian Buat gateway pelanggan dari topik "Buat dan kelola gateway pelanggan".

        2. Hapus koneksi IPsec-VPN. Untuk informasi lebih lanjut, lihat bagian Hapus koneksi IPsec-VPN dari topik "Buat dan kelola koneksi IPsec-VPN dalam mode single-tunnel".

        3. Buat ulang koneksi IPsec-VPN dan asosiasikan koneksi dengan gateway pelanggan yang baru dibuat. Untuk informasi lebih lanjut, lihat bagian Buat koneksi IPsec-VPN dari topik "Buat dan kelola koneksi IPsec-VPN dalam mode dual-tunnel".

        4. Hapus gateway pelanggan sebelumnya. Untuk informasi lebih lanjut, lihat bagian Hapus gateway pelanggan dari topik "Buat dan kelola gateway pelanggan".

      • Router transit terkait dengan koneksi IPsec-VPN atau tidak ada sumber daya yang terkait dengan koneksi

        1. Buat ulang gateway pelanggan untuk menggunakan konfigurasi yang dimodifikasi. Untuk informasi lebih lanjut, lihat bagian Buat gateway pelanggan dari topik "Buat dan kelola gateway pelanggan".

        2. Asosiasikan koneksi IPsec-VPN dengan gateway pelanggan yang baru dibuat. Untuk informasi lebih lanjut, lihat bagian Modifikasi koneksi IPsec-VPN dari topik "Buat dan kelola koneksi IPsec-VPN yang terkait dengan router transit".

        3. Hapus gateway pelanggan sebelumnya. Untuk informasi lebih lanjut, lihat bagian Hapus gateway pelanggan dari topik "Buat dan kelola gateway pelanggan".

    Catatan

    Jika Anda ingin memodifikasi konfigurasi perangkat gateway pelanggan saat memecahkan masalah koneksi IPsec-VPN, hubungi produsen perangkat gateway pelanggan.

    Referensi

    DiagnoseVpnConnections: Anda dapat memanggil operasi DiagnoseVpnConnections untuk memecahkan masalah koneksi IPsec-VPN.