すべてのプロダクト
Search

このプロダクト

    VPN Gateway:IPsec 接続の問題のトラブルシューティング

    ドキュメントセンター

    VPN Gateway:IPsec 接続の問題のトラブルシューティング

    最終更新日:Mar 26, 2026

    IPsec 接続のトラブルシューティングを行うには、VPN Gateway コンソールからのエラーコードと IPsec 接続ログを使用します。

    背景情報

    このトピックでは、一般的な IPsec 接続のエラーとそのトラブルシューティング方法をリストアップします。VPN Gateway コンソールからのエラーコードと IPsec 接続ログを使用して、以下の概要表で対応するソリューションを見つけ、問題を解決してください。

    エラーコードの表示

    説明

    • 2019 年 3 月 21 日より前に作成された VPN Gateway に IPsec 接続が関連付けられている場合、その VPN Gateway がアップグレードされていない限り、エラーコードを表示することはできません。詳細については、「VPN ゲートウェイのアップグレード」をご参照ください。

    • エラーコードは中国語と英語でのみ利用可能です。

    • VPN Gateway コンソールには、過去 3 分間の IPsec 接続のヘルスチェック結果が表示されます。エラーコードを表示する前に、両端で IPsec 接続をリセットして新しい IPsec ネゴシエーションをトリガーできます。その後、ページを更新して最新のエラーコードを表示します。

      Alibaba Cloud では、IPsec 接続の 今すぐ有効化 の値を変更し、変更を保存してから、今すぐ有効化 を元の値に戻すことで、IPsec プロトコルのネゴシエーションを再開させることができます。

    シングル・トンネルモード IPsec 接続

    IPsec 接続がシングルトンネルモードの場合、次の手順に従ってエラーコードを表示します。

    1. VPN Gateway コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > IPsec 接続 を選択します。

    3. 上部のナビゲーションバーで、IPsec 接続がデプロイされているリージョンを選択します。

    4. IPsec-VPN 接続 ページで、対象の IPsec 接続を見つけ、接続ステータス 列でエラーコードを表示します。

      查看错误码

      エラーコードの横にある [詳細の表示] をクリックすると、[エラー詳細] パネルで詳細なエラーメッセージと解決策を表示できます。[エラー詳細] パネルで提供される解決策は、このトピックの概要表の解決策と同じです。

    デュアルトンネルモード IPsec 接続

    IPsec 接続がデュアルトンネルモードの場合、次の手順に従って各トンネルのエラーコードを表示します。

    1. VPN Gateway コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > IPsec 接続 を選択します。

    3. 上部のナビゲーションバーで、IPsec 接続がデプロイされているリージョンを選択します。

    4. IPsec-VPN 接続 ページで、対象の IPsec 接続を見つけ、その ID をクリックします。

    5. Tunnel タブで、接続ステータス 列のアクティブトンネルまたはスタンバイトンネルのエラーコードを表示します。查看隧道错误码.png

      エラーコードの横にある [詳細の表示] をクリックすると、[エラー詳細] パネルで詳細なエラーメッセージと解決策を表示できます。[エラー詳細] パネルで提供される解決策は、このトピックの概要表の解決策と同じです。

    一般的なエラーとトラブルシューティング

    エラーコードとログ情報を取得した後、エラーコードまたはログキーワードを照合して、以下の表で対応するトラブルシューティング方法を見つけます。

    説明

    DiagnoseVpnConnections API オペレーションを呼び出して IPsec 接続を診断した場合、以下の表の [API ベースのエラーコード] 列をご参照ください。

    コンソールエラーコード

    API ベースの

    エラーコード

    エラーメッセージ

    ログキーワード

    トラブルシューティング

    ピアの不一致

    PeerMismatch

    受信したプロトコルパケットがカスタマーゲートウェイ情報と一致しません。

    received UNSUPPORTED_CRITICAL_PAYLOAD error

    1. IPsec 接続設定のカスタマーゲートウェイの IP アドレスが、ピアゲートウェイデバイスの IP アドレスと一致していることを確認します。

    2. ピアゲートウェイデバイスに複数の IP アドレスが設定されている場合、カスタマーゲートウェイに設定されている IP アドレスが、ピアゲートウェイデバイスで現在使用されているものであることを確認します。

    アルゴリズムの不一致

    AlgorithmMismatch

    暗号化アルゴリズム、認証アルゴリズム、または DH グループパラメーターで不一致が発生しました。

    • HASH mismatched

    • parsed INFORMATIONAL_V1 request

    • packet lacks expected payload

    • authentication failure

    1. IKE 構成IPsec 構成 の両方のフェーズで、IPsec 接続とピアゲートウェイデバイスの 暗号化アルゴリズム認証アルゴリズムDH グループ (前方秘匿性 PFS) が同じように設定されていることを確認します。一致しない場合は、設定を変更して一致させます。

    2. IKE 構成IPsec 構成 のフェーズで、ピアゲートウェイデバイスに 暗号化アルゴリズム認証アルゴリズム、または DH グループ (前方秘匿性 PFS) の複数のオプションが設定されている場合は、ピアゲートウェイを、IPsec 接続と同じ単一の値の 暗号化アルゴリズム認証アルゴリズムDH グループ (前方秘匿性 PFS) を使用するように設定することを推奨します。

      説明

      Alibaba Cloud 側では、IKE 構成 および IPsec 構成 フェーズ中に、暗号化アルゴリズム認証アルゴリズム、および DH グループ (前方秘匿性 PFS) に 1 つの値しか指定できません。

    暗号化アルゴリズムの不一致

    EncryptionAlgorithmMismatch

    IPsec 暗号化アルゴリズムが一致しません。

    • invalid encryption algorithm

    • trns_id mismatched

    • rejected enctype

    • authentication failure

    1. IPsec 構成 フェーズで設定された 暗号化アルゴリズム が、IPsec 接続とピアゲートウェイデバイスで同一であることを確認します。そうでない場合は、設定を変更して一致させます。

    2. IPsec 構成 フェーズで、ピアゲートウェイデバイスに複数の 暗号化アルゴリズム が設定されている場合は、ピアゲートウェイデバイスの設定を変更して、その 暗号化アルゴリズム が IPsec 接続の 暗号化アルゴリズム と同じになるようにすることを推奨します。

    認証アルゴリズムの不一致

    AuthenticationAlgorithmMismatch

    IKE 認証アルゴリズムが一致しません。

    • authtype mismatched

    • rejected hashtype

    • authentication failure

    1. IKE 構成 フェーズで設定された 認証アルゴリズム が、IPsec 接続とピアゲートウェイデバイスで同一であることを確認します。そうでない場合は、設定を変更して一致させます。

    2. ピアゲートウェイデバイスに IKE 構成 フェーズで複数の 認証アルゴリズム が設定されている場合は、ピアゲートウェイデバイスの設定を変更して、ピアゲートウェイデバイスの 認証アルゴリズム が IPsec 接続の 認証アルゴリズム と同じになるようにすることを推奨します。

    DH グループの不一致

    DhGroupMismatch

    IKE フェーズ 1 の DH グループパラメーターが一致しません。

    • received KE type 14,expected 2

    • failed to compute dh value

    • rejected dh_group

    • proposal mismatch, transform type:4

    1. IKE 構成 フェーズで設定された DH グループ (前方秘匿性 PFS) が、IPsec 接続とピアゲートウェイデバイスで同一であることを確認します。そうでない場合は、設定を変更して一致させます。

    2. ピアゲートウェイデバイスに IKE 構成 フェーズで複数の DH グループ (前方秘匿性 PFS) オプションが設定されている場合は、ピアゲートウェイデバイスの設定を変更して、その DH グループ (前方秘匿性 PFS) が IPsec 接続の DH グループ (前方秘匿性 PFS) と同じになるようにすることを推奨します。

    3. 同じカスタマーゲートウェイに関連付けられた複数の IPsec 接続がある場合は、すべての IPsec 接続が IKE 構成 フェーズで同一の設定を使用していることを確認します。これには、バージョンネゴシエーションモード暗号化アルゴリズム認証アルゴリズムDH グループ (前方秘匿性 PFS)、および SA ライフサイクル (秒) が含まれます。

      さらに、IPsec 接続の LocalId はピアの RemoteId と一致する必要があり、その RemoteId はピアの LocalId と一致する必要があります。

    事前共有キーの不一致

    PskMismatch

    事前共有キーパラメーターが一致しません。

    • Decryption failed! mismatch of preshared secrets

    • mismatch of preshared secrets

    • invalid HASH_V1 payload length, decryption failed

    • could not decrypt payloads

    • authentication failure

    1. 事前共有鍵 が IPsec 接続とピアゲートウェイデバイスで同一であることを確認します。そうでない場合は、それらを変更して一致させます。

      IPsec 接続とそのピアゲートウェイデバイスの 事前共有鍵 を同時に変更することもできます。この操作により、IPsec プロトコルの再ネゴシエーションがトリガーされ、システムは両端の 事前共有鍵 が一致するかどうかを再度確認します。

    2. 事前共有鍵 が同一であっても、IKE 構成IPsec 構成 の両方のフェーズで、暗号化アルゴリズム認証アルゴリズムDH グループ (前方秘匿性 PFS) も同一であることを確認します。

    3. IKE 構成 および IPsec 構成 フェーズ中に、ピアゲートウェイデバイスに複数の 暗号化アルゴリズム認証アルゴリズム、または DH グループ (前方秘匿性 PFS) が設定されている場合は、ピアゲートウェイデバイスの設定を変更することを推奨します。これにより、ピアゲートウェイデバイスの 暗号化アルゴリズム認証アルゴリズム、および DH グループ (前方秘匿性 PFS) の設定が IPsec 接続の設定と同じになります。

    ピア ID の不一致

    PeerIdMismatch

    LocalId または RemoteId が一致しないか、互換性がありません。

    • does not match peers id

    • message lacks IDr payload

    • Expecting IP address type in main mode,but FQDN

    • Unknow peer id

    • Parse PEERID failed

    • received ID_I(xxx) does not match peers id

    • invalid-id-information

    • received INVALID_ID_INFORMATION error notify

    1. IPsec 接続の LocalId がピアゲートウェイデバイスの RemoteId と一致し、IPsec 接続の RemoteId がピアゲートウェイデバイスの LocalId と一致することを確認します。一致しない場合は、設定を変更します。

      • IPsec 接続が VPN Gateway に関連付けられている場合、Alibaba Cloud VPN Gateway はデフォルトで VPN Gateway の IP アドレスを LocalId として、カスタマーゲートウェイの IP アドレスを RemoteId として使用します。

      • IPsec 接続がトランジットルーターに関連付けられている場合、Alibaba Cloud VPN Gateway はデフォルトで IPsec 接続のゲートウェイ IP アドレスを LocalId として、カスタマーゲートウェイの IP アドレスを RemoteId として使用します。

    2. IPsec 接続が ikev1 を使用し、ネゴシエーションモードメインモード の場合、LocalIdRemoteId は IP アドレス形式である必要があります。LocalIdRemoteId の形式が正しいことを確認します。

    3. IPsec 接続とピアゲートウェイデバイスの ネゴシエーションモード が同一であることを確認します。そうでない場合は、設定を変更して一致させます。

      両側を メインモード に設定することを推奨します。メインモード では、LocalIdRemoteId に IP アドレス形式を使用することを推奨します。

    4. IPsec 接続が ikev2 を使用し、上記の設定が正しいことを確認した場合、IKE 構成IPsec 構成 のフェーズで、暗号化アルゴリズム認証アルゴリズムDH グループ (前方秘匿性 PFS) が両端で同一であることを確認します。そうでない場合は、設定を変更して一致させます。

    DPD ペイロード順序の非互換性

    DpdHashNotifyCompatibility

    DPD ペイロードの順序に互換性がありません。

    ignore information because the message has no hash payload

    IPsec 接続でピア生存確認 (DPD) 機能が有効になっている場合、デフォルトの DPD ペイロード順序は hash-notify です。ピアゲートウェイデバイスの DPD ペイロード順序も hash-notify であることを確認します。そうでない場合は、hash-notify に変更します。

    DPD タイムアウト

    DpdTimeout

    DPD メッセージがタイムアウトしました。

    DPD: remote seems to be dead

    1. ピア生存確認 (DPD) 機能が IPsec 接続とピアゲートウェイデバイスの両方で有効になっていることを確認します。DPD の状態が両側で同じであることを確認します。

      説明

      DPD メッセージのタイムアウトは、IPsec プロトコルの再ネゴシエーションを引き起こします。

    2. ネットワーク品質とルート設定を確認し、IPsec 接続とピアゲートウェイデバイスが到達可能であることを確認します。

    IKE バージョンの不一致

    IkeVersionMismatch

    IKE バージョンまたはネゴシエーションモードが一致しません。

    unknown ikev2 peer

    1. IPsec 接続とピアゲートウェイデバイスの IKE バージョンが同一であることを確認します。そうでない場合は、設定を変更して一致させます。

      • ピアゲートウェイデバイスが IKE バージョンの自動選択をサポートしているか、IKEv1 と IKEv2 の両方をサポートしている場合は、ピアゲートウェイデバイスで IPsec 接続の IKE バージョンと一致する IKE バージョンを明示的に指定することを推奨します。

      • 両端で IKEv2 を使用することを推奨します。

    2. IPsec 接続とピアゲートウェイデバイスの ネゴシエーションモード が同一であることを確認します。そうでない場合は、設定を変更して一致させます。

    ネゴシエーションモードの不一致

    NegotiationModeMismatch

    ネゴシエーションモードが一致しません。

    • in Identity not acceptable Aggressive mode

    • not acceptable Identity Protection mode

    1. IPsec 接続とピアゲートウェイデバイスの ネゴシエーションモード が同一であることを確認します。そうでない場合は、設定を変更して一致させます。

      両端で メインモード を使用することを推奨します。

    2. まれに、両端が メインモード であっても IPsec ネゴシエーションが失敗することがあります。この場合、両端のネゴシエーションモードを アグレッシブモード に変更してみてください。

    NAT-T の不一致

    NatTMismatch

    NAT トラバーサルが一致しません。

    ignore the packet, received unexpecting payload type 130

    NAT トラバーサル機能が IPsec 接続とピアゲートウェイデバイスの両方で同じ状態 (有効または無効) であることを確認します。そうでない場合は、設定を変更して一致させます。

    ピアゲートウェイデバイスが NAT ゲートウェイの背後にある場合は、IPsec 接続とピアゲートウェイデバイスの両方で NAT トラバーサル機能を有効にすることを推奨します。

    SA ライフサイクルの不一致

    LifetimeMismatch

    ライフタイムパラメーターが一致しません。

    long lifetime proposed

    IKE 構成 および IPsec 構成 フェーズで設定された SA ライフサイクル (秒) が、IPsec 接続とピアゲートウェイデバイスで同一であることを確認します。そうでない場合は、設定を変更して一致させます。

    SA ライフサイクル (秒) の値は同一である必要はありません。ただし、異なるゲートウェイベンダー間での接続の安定性を確保するために、両端で同じ SA ライフサイクル (秒) を設定することを推奨します。

    セキュリティプロトコルの不一致

    SecurityProtocolMismatch

    セキュリティプロトコルパラメーターが一致しません。

    proto_id mismatched

    ピアゲートウェイデバイスがセキュリティプロトコルとして Encapsulating Security Payload (ESP) を使用していることを確認します。そうでない場合は、プロトコルを ESP に変更します。

    Alibaba Cloud VPN Gateway は、IPsec 接続に対して ESP のみをサポートします。Authentication Header (AH) はサポートされていません。

    カプセル化モードの不一致

    EncapsulationModeMismatch

    カプセル化モードが一致しません。

    encmode mismatched

    ピアゲートウェイデバイスがカプセル化モードとしてトンネルモードを使用していることを確認します。そうでない場合は、モードをトンネルモードに変更します。

    Alibaba Cloud VPN Gateway は、IPsec 接続に対してトンネルモードのみをサポートします。トランスポートモードはサポートされていません。

    アルゴリズムの非互換性

    AlgorithmCompatibility

    アルゴリズムに互換性がありません。

    なし

    IKE 構成 および IPsec 構成 フェーズで IPsec 接続とピアゲートウェイデバイスに設定された 認証アルゴリズム には互換性がありません。両端で md5 などの異なる 認証アルゴリズム を使用することを推奨します。

    トラフィックセレクターの不一致

    TrafficSelectorMismatch

    トラフィックセレクターの CIDR ブロックパラメーターが一致しません。

    • traffic selector mismatch

    • traffic selector unacceptable

    • can't find matching selector

    • received Notify type TS_UNACCEPTABLE

    1. IPsec 接続で使用される IKE バージョンに基づいてトラフィックセレクターの CIDR ブロック設定を確認し、次の要件を満たしていることを確認します:

      • IPsec 接続が ikev1 を使用する場合、トラフィックセレクターは単一の CIDR ブロックのみをサポートします。

      • IPsec 接続が ikev2 を使用する場合、トラフィックセレクターは複数の CIDR ブロックをサポートします。

        説明

        IPsec 接続に複数の CIDR ブロックが設定されている場合、IPsec 接続とピアゲートウェイデバイス間の IPsec ネゴシエーションメカニズムの違いにより、一部の CIDR ブロックは正常に接続できても、他の CIDR ブロックは失敗することがあります。解決策については、「よくある質問」をご参照ください。

    2. IPsec 接続とピアゲートウェイデバイスのトラフィックセレクターが対称的に設定されていることを確認します。以下を確認してください:

      • IPsec 接続のローカル CIDR ブロックがピアのリモート CIDR ブロックと一致する。

      • IPsec 接続のリモート CIDR ブロックがピアのローカル CIDR ブロックと一致する。

    PFS の不一致

    PfsMismatch

    IPsec フェーズ 2 の DH グループパラメーターが一致しません。

    • pfs group mismatched

    • message lacks KE payload

    IPsec 構成 フェーズでの Perfect Forward Secrecy (PFS) 機能の状態が、IPsec 接続とピアゲートウェイデバイスで同じであることを確認します。そうでない場合は、設定を変更して一致させます。

    • IPsec 接続の IPsec 構成 フェーズの DH グループ (前方秘匿性 PFS)無効 に設定されている場合、PFS 機能は無効になっています。ピアゲートウェイデバイスでも PFS 機能を無効にする必要があります。

    • IPsec 接続の IPsec 構成 フェーズの DH グループ (前方秘匿性 PFS)無効 以外の値に設定されている場合、PFS 機能は有効になっています。ピアゲートウェイデバイスでも PFS 機能を有効にする必要があります。

    IPsec 接続とピアゲートウェイデバイスの両方で PFS 機能を有効にすることを推奨します。

    コミットビットの不一致

    CommitMismatch

    コミットビットが一致しません。

    なし

    ピアゲートウェイデバイスでコミットビットが有効になっているかどうかを確認します。有効になっている場合は、無効にします。

    コミットビットは、保護されたデータが送信される前に IPsec プロトコルのネゴシエーションが完了していることを保証するために使用されます。Alibaba Cloud VPN Gateway はコミットビットの設定をサポートしていません。

    プロポーザルの不一致

    ProposalMismatch

    プロポーザルが一致しません。

    • no proposal chosen

    • received NO_PROPOSAL_CHOSEN

    • no suitable proposal found

    • failed to get valid proposal

    • none of my proposal matched

    • no matching proposal found, sending NO_PROPOSAL_CHOSEN

    • proposal mismatch

    • couldn't find configuaration

    • ignore the packet,expecting the packet encrypted

    1. IPsec 接続とピアゲートウェイデバイスの IKE バージョンが同一であることを確認します。そうでない場合は、設定を変更して一致させます。

      両端で IKEv2 を使用することを推奨します。

    2. IKE 構成 フェーズのすべての設定が、IPsec 接続とピアゲートウェイデバイス間で一貫していることを確認します。そうでない場合は、次の要件を満たすように設定を変更します:

      • バージョンネゴシエーションモード暗号化アルゴリズム認証アルゴリズムDH グループ (前方秘匿性 PFS)、および SA ライフサイクル (秒) パラメーターは両端で同一である必要があります。

      • IPsec 接続の LocalId はピアゲートウェイデバイスの RemoteId と一致する必要があり、IPsec 接続の RemoteId はピアゲートウェイデバイスの LocalId と一致する必要があります。

    3. IPsec 構成 フェーズのすべての設定が、IPsec 接続とピアゲートウェイデバイスで同一であることを確認します。これには、暗号化アルゴリズム認証アルゴリズムDH グループ (前方秘匿性 PFS)SA ライフサイクル (秒)、および NAT トラバーサル が含まれます。そうでない場合は、設定を変更して一致させます。

      また、トラフィックセレクターが対称的に設定されていることを確認します:

      • IPsec 接続のローカル CIDR ブロックは、ピアゲートウェイデバイスのリモート CIDR ブロックと一致する必要があります。

      • IPsec 接続のリモート CIDR ブロックは、ピアゲートウェイデバイスのローカル CIDR ブロックと一致する必要があります。

    4. 同じカスタマーゲートウェイに関連付けられた複数の IPsec 接続がある場合は、すべての IPsec 接続が IKE 構成 フェーズで同一の設定を使用していることを確認します。これには、バージョンネゴシエーションモード暗号化アルゴリズム認証アルゴリズムDH グループ (前方秘匿性 PFS)、および SA ライフサイクル (秒) が含まれます。

      さらに、各 IPsec 接続の LocalId は、対応するピアゲートウェイデバイスの RemoteId と一致する必要があり、RemoteId はピアの LocalId と一致する必要があります。

    5. IPsec 接続をリセットして、新しい IPsec ネゴシエーションをトリガーしてみてください。

    ネゴシエーション失敗

    NegotiationFailed

    プロトコルのネゴシエーションに失敗しました。

    phase2 negotiation failed due to time up waiting for phase1

    IPsec 接続をリセットして、新しい IPsec ネゴシエーションをトリガーします。システムは再度チェックを実行します。

    フェーズ 1 ネゴシエーションタイムアウト

    Phase1NegotiationTimeout

    フェーズ 1 プロトコルパケットの待機中にタイムアウトしたため、ネゴシエーションに失敗しました。

    • phase1 negotiation failed due to time up

    • ignore information because ISAKMP-SA has not been established

    1. ピアゲートウェイデバイスが IPsec プロトコルパケットを送受信できることを確認します。

    2. IPsec 接続に関連付けられているカスタマーゲートウェイの IP アドレスが、ピアゲートウェイデバイスの IP アドレスと同一であることを確認します。そうでない場合は、IP アドレスを変更して同一にします。

    3. 予期しない再起動など、ピアゲートウェイデバイスに問題がないか確認します。

    4. ピアゲートウェイデバイスと IPsec 接続が相互に到達可能であることを確認します。

      ピアゲートウェイデバイスで、pingmtr、または traceroute などのコマンドを使用して、VPN Gateway の IP アドレスまたは IPsec 接続のゲートウェイ IP アドレスにアクセスし、接続性を確認します。

    5. VPN Gateway はクロスボーダー IPsec 接続をサポートしていません。クロスボーダー接続を確立する必要がある場合は、Cloud Enterprise Network (CEN) を使用します。詳細については、「Cloud Enterprise Network (CEN) とは」をご参照ください。

    6. IPsec 接続をリセットして、新しい IPsec ネゴシエーションをトリガーしてみてください。

    フェーズ 2 ネゴシエーションタイムアウト

    Phase2NegotiationTimeout

    フェーズ 2 パケットの待機中にタイムアウトしたため、ネゴシエーションに失敗しました。

    なし

    1. IPsec 構成 フェーズのパラメーターが、IPsec 接続とピアゲートウェイデバイスで同一であることを確認します。これには、暗号化アルゴリズム認証アルゴリズムDH グループ (前方秘匿性 PFS)、および SA ライフサイクル (秒) が含まれます。そうでない場合は、両端の IPsec 構成 フェーズのパラメーターを変更して一致させます。

    2. NAT トラバーサル機能が IPsec 接続とピアゲートウェイデバイスで同じ状態であることを確認します。NAT トラバーサル機能が両端で有効になっているか、両端で無効になっていることを確認します。

    3. IPsec 接続とピアゲートウェイデバイスの両方で IKE バージョンを IKEv1 または IKEv2 に変更してみてください。

    ピアからの応答パケットを受信できません

    NoResponse

    ピアゲートウェイが応答しません。

    • sending retransmit 1 of request message ID 0, seq 1

    • retransmission count exceeded the limit

    1. ピアゲートウェイデバイスが IPsec プロトコルパケットを送受信できることを確認します。

    2. IPsec 接続に関連付けられているカスタマーゲートウェイの IP アドレスが、ピアゲートウェイデバイスの IP アドレスと同一であることを確認します。そうでない場合は、IP アドレスを変更して同一にします。

    3. 予期しない再起動など、ピアゲートウェイデバイスに問題がないか確認します。

    4. ピアゲートウェイデバイスと IPsec 接続が相互に到達可能であることを確認します。

      ピアゲートウェイデバイスで、pingmtr、または traceroute などのコマンドを使用して、VPN Gateway の IP アドレスまたは IPsec 接続のゲートウェイ IP アドレスにアクセスし、接続性を確認します。

    5. ピアゲートウェイデバイスに適用されているアクセス制御ポリシーを確認し、次の条件を満たしていることを確認します:

      • UDP ポート 500 と 4500 が許可されている。

      • VPN Gateway または IPsec 接続ゲートウェイの IP アドレスからのトラフィックが許可されている。

    6. IPsec 接続をリセットして、新しい IPsec ネゴシエーションをトリガーしてみてください。

    ピアから削除メッセージを受信しました

    ReceiveDeleteNotify

    ピアから削除メッセージが受信されました。

    received DELETE IKE_SA

    IPsec 接続は、ピアゲートウェイデバイスから delete notify メッセージを受信しました。ピアゲートウェイデバイスをチェックして原因を特定します。

    ネゴシエーション例外の原因が診断されませんでした

    NoExceptionFound

    ネゴシエーション例外の原因は診断されませんでした。

    なし

    この結果は、IPsec 接続がネゴシエーションを開始していない場合に発生する可能性があります。Alibaba Cloud 側またはピアネットワークデバイスのいずれかで IPsec 接続をリセットします。

    Alibaba Cloud 側では、IPsec 接続の 今すぐ有効化 の値を変更し、変更を保存してから、今すぐ有効化 の値を元の設定に戻して IPsec プロトコルのネゴシエーションをトリガーできます。その後、現在のページを更新して結果を表示します。

    関連操作

    以下のドキュメントは、IPsec 接続の問題をトラブルシューティングする際に役立つ可能性のある操作について説明しています:

    説明

    ピアゲートウェイデバイスの設定変更については、デバイスのベンダーにお問い合わせください。

    参照

    DiagnoseVpnConnections:IPsec 接続を診断します。