VPN Gateway：自主排查IPsec-VPN串連問題

錯誤碼（控制台專用）

錯誤碼

（API專用）

錯誤資訊

日誌關鍵字

排查方法

鄰居不匹配

PeerMismatch

收到的協議報文與使用者網關資訊不匹配

received UNSUPPORTED_CRITICAL_PAYLOAD error

1. 請排查IPsec串連關聯的使用者網關的IP地址與IPsec串連對端網關裝置的IP地址是否相同，如果不相同，請操作修改以確保兩端IP地址相同。

2. 如果對端網關裝置配置了多個IP地址，請確保使用者網關配置的IP地址為對端網關裝置實際在用的IP地址。

演算法不匹配

AlgorithmMismatch

密碼編譯演算法或認證演算法或DH分組參數不匹配

• HASH mismatched

• parsed INFORMATIONAL_V1 request

• packet lacks expected payload

• authentication failure

1. 請排查IPsec串連及其對端網關裝置在IKE配置階段和IPsec配置階段配置的密碼編譯演算法、認證演算法、DH分組（完美向前加密 PFS）是否相同，如果不相同，請操作修改以確保兩端配置相同。

2. 如果對端網關裝置在IKE配置階段和IPsec配置階段配置了多種密碼編譯演算法、認證演算法或DH分組（完美向前加密 PFS），則建議修改對端網關裝置的配置，使對端網關裝置的密碼編譯演算法、認證演算法以及DH分組（完美向前加密 PFS）的配置與IPsec串連的配置相同。

   說明

   在阿里雲側配置IPsec串連時，IKE配置階段和IPsec配置階段的密碼編譯演算法、認證演算法和DH分組（完美向前加密 PFS）均只支援指定一個值，不支援指定多個值。

密碼編譯演算法不匹配

EncryptionAlgorithmMismatch

IPsec的密碼編譯演算法不匹配

• invalid encryption algorithm

• trns_id mismatched

• rejected enctype

• authentication failure

1. 請排查IPsec串連及其對端網關裝置在IPsec配置階段配置的密碼編譯演算法是否相同，如果不相同，請操作修改以確保兩端配置相同。

2. 如果對端網關裝置在IPsec配置階段配置了多種密碼編譯演算法，則建議修改對端網關裝置的配置，使對端網關裝置的密碼編譯演算法與IPsec串連的密碼編譯演算法相同。

認證演算法不匹配

AuthenticationAlgorithmMismatch

IKE認證演算法不匹配

• authtype mismatched

• rejected hashtype

• authentication failure

1. 請排查IPsec串連及其對端網關裝置在IKE配置階段配置的認證演算法是否相同，如果不同，請操作修改以確保兩端配置相同。

2. 如果對端網關裝置在IKE配置階段配置了多種認證演算法，則建議修改對端網關裝置的配置，使對端網關裝置的認證演算法與IPsec串連的認證演算法相同。

DH分組不匹配

DhGroupMismatch

IKE一階段DH分組參數不匹配

• received KE type 14,expected 2

• failed to compute dh value

• rejected dh_group

• proposal mismatch, transform type:4

1. 請排查IPsec串連及其對端網關裝置在IKE配置階段配置的DH分組（完美向前加密 PFS）是否相同，如果不同，請操作修改以確保兩端配置相同。

2. 如果對端網關裝置在IKE配置階段配置了多種DH分組（完美向前加密 PFS），則建議修改對端網關裝置的配置，使對端網關裝置的DH分組（完美向前加密 PFS）與IPsec串連的DH分組（完美向前加密 PFS）相同。

3. 如果您的使用情境中多個IPsec串連關聯了同一個使用者網關，則所有IPsec串連的IKE配置階段的所有配置（包含版本、協商模式、密碼編譯演算法、認證演算法、DH分組（完美向前加密 PFS）、SA生存周期（秒））需保持相同。

   同時每個IPsec串連側的LocalId需和IPsec串連對端網關裝置的RemoteId相同；每個IPsec串連側的RemoteId需和對端網關裝置的LocalId相同。

預先共用金鑰不匹配

PskMismatch

預先共用金鑰參數不匹配

• Decryption failed! mismatch of preshared secrets

• mismatch of preshared secrets

• invalid HASH_V1 payload length, decryption failed

• could not decrypt payloads

• authentication failure

1. 請排查IPsec串連及其對端網關裝置配置的預先共用金鑰是否相同，如果不同，請操作修改以確保兩端配置相同。

   您也可以對IPsec串連及其對端網關裝置的預先共用金鑰同時進行修改，此操作會觸發IPsec協議重新協商，系統會再次檢查兩端的預先共用金鑰是否匹配。

2. 在IPsec串連及其對端網關裝置預先共用金鑰相同的情況下，也請確保兩端在IKE配置階段和IPsec配置階段配置的密碼編譯演算法、認證演算法、DH分組（完美向前加密 PFS）均相同。

3. 如果對端網關裝置在IKE配置階段和IPsec配置階段配置了多種密碼編譯演算法、認證演算法或DH分組（完美向前加密 PFS），則建議修改對端網關裝置的配置，使對端網關裝置的密碼編譯演算法、認證演算法以及DH分組（完美向前加密 PFS）的配置與IPsec串連的配置相同。

PeerID不匹配

PeerIdMismatch

LocalID或RemoteID不匹配或者不相容

• does not match peers id

• message lacks IDr payload

• Expecting IP address type in main mode,but FQDN

• Unknow peer id

• Parse PEERID failed

• received ID_I(xxx) does not match peers id

• invalid-id-information

• received INVALID_ID_INFORMATION error notify

1. 請排查IPsec串連側的LocalId與對端網關裝置的RemoteId是否相同；IPsec串連側的RemoteId與對端網關裝置的LocalId是否相同。如果不同，請操作修改。

   • 在IPsec串連綁定VPN網關執行個體的情境下，阿里雲VPN網關預設將VPN網關的IP地址作為IPsec串連的LocalId，將使用者網關的IP地址作為IPsec串連的RemoteId。

   • 在IPsec串連綁定轉寄路由器執行個體的情境下，阿里雲VPN網關預設將IPsec串連的網關IP地址作為IPsec串連的LocalId，將使用者網關的IP地址作為IPsec串連的RemoteId。

2. 如果IPsec串連的IKE版本為ikev1、協商模式為main，則LocalId和RemoteId僅支援IP地址格式，請確保LocalId和RemoteId的格式符合要求。

3. 請排查IPsec串連及其對端網關裝置配置的協商模式是否相同，如果不相同，請操作修改以確保兩端配置相同。

   推薦兩端均配置為main（主模式），在main（主模式）下LocalId和RemoteId建議使用IP地址格式。

4. 如果IPsec串連的IKE版本為ikev2，且您已排查上述問題無誤，請排查IPsec串連及其對端網關裝置在IKE配置階段和IPsec配置階段配置的密碼編譯演算法、認證演算法、DH分組（完美向前加密 PFS）是否相同，如果不相同，請操作修改以確保兩端配置相同。

DPD載荷順序相容

DpdHashNotifyCompatibility

DPD載荷順序相容

ignore information because the message has no hash payload

在IPsec串連開啟DPD功能的情境下，IPsec串連的DPD載荷順序預設為hash-notify，請排查對端網關裝置的DPD載荷順序是否也為hash-notify，如果不是，請將對端網關裝置的DPD載荷順序修改為hash-notify。

DPD逾時

DpdTimeout

DPD報文逾時

DPD: remote seems to be dead

1. 請排查IPsec串連及其對端網關裝置是否均已開啟DPD功能，請確保兩端DPD功能的開啟狀態相同。

   說明

   DPD報文逾時會導致IPsec協議重新協商。

2. 請排查IPsec串連及其對端網關裝置配置之間的網路品質、路由配置，以確保IPsec串連及其對端網關裝置配置之間是可以連通的。

IKE版本不匹配

IkeVersionMismatch

IKE版本號碼參數不匹配，或協商模式不匹配

unknown ikev2 peer

1. 請排查IPsec串連及其對端網關裝置配置的IKE版本是否相同，如果不同，請操作修改以確保兩端配置相同。

   • 如果對端網關裝置支援自動選擇IKE版本或者對端網關裝置同時支援IKEv1和IKEv2兩個版本，則建議為對端網關裝置指定IKE版本，對端網關裝置的IKE版本需和IPsec串連的IKE版本相同。

   • 推薦兩端均使用為IKEv2版本。

2. 請排查IPsec串連及其對端網關裝置配置的協商模式是否相同，如果不同，請操作修改以確保兩端配置相同。

協商模式不匹配

NegotiationModeMismatch

協商模式不匹配

• in Identity not acceptable Aggressive mode

• not acceptable Identity Protection mode

1. 請排查IPsec串連及其對端網關裝置配置的協商模式是否相同，如果不同，請操作修改以確保兩端配置相同。

   推薦兩端均使用main（主模式）。

2. 如果在兩端均為main（主模式）的情境下IPsec串連依舊協商不成功（部分極端情境下會出現當前問題），請嘗試將兩端的協商模式修改為aggressive（野蠻模式）。

NAT-T不匹配

NatTMismatch

NAT穿越不匹配

ignore the packet, received unexpecting payload type 130

請排查IPsec串連及其對端網關裝置的NAT穿越功能狀態是否相同，如果不同，請操作修改以確保兩端配置相同。

如果對端網關裝置在NAT Gateway之後，則建議IPsec串連及其對端網關裝置均開啟NAT穿越功能。

SA生存周期時間不匹配

LifetimeMismatch

Lifetime參數不匹配

long lifetime proposed

請排查IPsec串連及其對端網關裝置在IKE配置階段和IPsec配置階段配置的SA生存周期（秒）是否相同，如果不同，請操作修改以確保兩端配置相同。

IPsec串連及其對端網關裝置配置的SA生存周期（秒）不強制要求相同，但由於不同網關裝置所屬廠商不同，為確保IPsec-VPN串連的穩定性，推薦兩端配置相同的SA生存周期（秒）。

安全性通訊協定不匹配

SecurityProtocolMismatch

安全性通訊協定參數不匹配

proto_id mismatched

請排查對端網關裝置使用的安全性通訊協定是否為ESP（Encapsulating Security Payload），如果不是，請修改為ESP。

對於IPsec-VPN串連使用的安全性通訊協定，阿里雲VPN網關僅支援ESP，不支援AH（Authentication Header）。

封裝模式不匹配

EncapsulationModeMismatch

封裝模式不匹配

encmode mismatched

請排查對端網關裝置使用的封裝模式是否為隧道模式，如果不是，請修改為隧道模式。

對於IPsec-VPN串連使用的封裝模式，阿里雲VPN網關僅支援隧道模式，不支援傳輸模式。

演算法相容性

AlgorithmCompatibility

演算法相容性

無

IPsec串連及其對端網關裝置在IKE配置階段和IPsec配置階段配置的認證演算法不相容，建議兩端使用其他認證演算法，例如md5。

感興趣流不匹配

TrafficSelectorMismatch

感興趣流網段參數不匹配

• traffic selector mismatch

• traffic selector unacceptable

• can't find matching selector

• received Notify type TS_UNACCEPTABLE

1. 請根據IPsec串連使用的IKE版本排查感興趣流的網段配置，確保符合以下原則：

   • 如果IPsec串連使用的IKE版本為ikev1，則感興趣流僅支援配置單個網段。

   • 如果IPsec串連使用的IKE版本為ikev2，則感興趣流支援配置多個網段。

     說明

     在IPsec串連配置多網段的情境下，由於IPsec串連與對端網關裝置IPsec協議的協商機制不同，可能會導致部分網段通訊正常，部分網段無法通訊，您可以參見常見問題查看解決方案。

2. 請排查IPsec串連及其對端網關裝置配置的感興趣流是否相同，確保：

   • IPsec串連側的本端網段與對端網關裝置的對端網段相同。

   • IPsec串連側對端網段與對端網關裝置的本端網段相同。

PFS不匹配

PfsMismatch

IPsec二階段DH分組參數不匹配

• pfs group mismatched

• message lacks KE payload

請排查IPsec串連及其對端網關裝置IPsec配置階段PFS功能的配置狀態是否相同，如果不同，請操作修改以確保兩端配置相同。

• 如果IPsec串連側IPsec配置階段DH分組（完美向前加密 PFS）配置為了disabled，則表示IPsec串連側未開啟PFS功能，則需要確保對端網關裝置的PFS功能也關閉。

• 如果IPsec串連側IPsec配置階段DH分組（完美向前加密 PFS）配置為disabled以外的值，則表示IPsec串連側開啟了PFS功能，則需要確保對端網關裝置的PFS功能也為開啟狀態。

推薦IPsec串連及其對端網關裝置均開啟PFS功能。

commit位不匹配

CommitMismatch

commit位不匹配

無

請排查對端網關裝置的提交位（commit）是否為開啟狀態，如果是，請關閉提交位（commit）。

提交位（commit）是用於確保在發送被保護的資料之前完成IPsec協議的協商，阿里雲VPN網關不支援配置提交位（commit）。

提議不匹配

ProposalMismatch

提議不匹配

• no proposal chosen

• received NO_PROPOSAL_CHOSEN

• no suitable proposal found

• failed to get valid proposal

• none of my proposal matched

• no matching proposal found, sending NO_PROPOSAL_CHOSEN

• proposal mismatch

• couldn't find configuaration

• ignore the packet,expecting the packet encrypted

1. 請排查IPsec串連及其對端網關裝置配置的IKE版本是否相同，如果不相同，請操作修改以確保兩端配置相同。

   推薦兩端均使用IKEv2版本。

2. 請排查IPsec串連及其對端網關裝置IKE配置階段的所有配置是否相同，如果不相同，請操作修改以確保兩端配置滿足以下條件：

   • 關於版本、協商模式、密碼編譯演算法、認證演算法、DH分組（完美向前加密 PFS）、SA生存周期（秒）參數的配置，兩端需保持相同。

   • IPsec串連側的LocalId需和對端網關裝置的RemoteId相同；IPsec串連側的RemoteId需和對端網關裝置的LocalId相同。

3. 請排查IPsec串連及其對端網關裝置IPsec配置階段的所有配置是否相同，如果不相同，請操作修改以確保兩端配置相同（包含密碼編譯演算法、認證演算法、DH分組（完美向前加密 PFS）、SA生存周期（秒）、NAT穿越）。

   同時需確保IPsec串連及其對端網關裝置配置的感興趣流滿足以下條件：

   • IPsec串連側的本端網段與對端網關裝置的對端網段相同。

   • IPsec串連側對端網段與對端網關裝置的本端網段相同。

4. 如果您的使用情境中多個IPsec串連關聯了同一個使用者網關，則所有IPsec串連的IKE配置階段的所有配置（包含版本、協商模式、密碼編譯演算法、認證演算法、DH分組（完美向前加密 PFS）、SA生存周期（秒））需保持相同。

   同時每個IPsec串連側的LocalId需和當前IPsec串連對端網關裝置的RemoteId相同；每個IPsec串連側的RemoteId需和當前IPsec串連對端網關裝置的LocalId相同。

5. 嘗試對IPsec-VPN串連進行重設以觸發IPsec協議重新協商。

協商失敗

NegotiationFailed

協議協商失敗

phase2 negotiation failed due to time up waiting for phase1

請重設IPsec-VPN串連以觸發IPsec協議重新協商，系統會再次進行檢查。

一階段協商逾時

Phase1NegotiationTimeout

無法收到一階段協議報文逾時協商失敗

• phase1 negotiation failed due to time up

• ignore information because ISAKMP-SA has not been established

1. 請排查對端網關裝置是否可以正常接收或發送IPsec協議報文。

2. 請排查IPsec串連關聯的使用者網關的IP地址與IPsec串連對端網關裝置的IP地址是否相同，如果不相同，請操作修改以確保兩端IP地址相同。

3. 請排查對端網關裝置是否有異常（例如故障重啟）。

4. 請排查對端網關裝置和IPsec串連之間是否可以互相訪問。

   嘗試在對端網關裝置上使用ping、mtr或traceroute命令訪問VPN網關IP地址或IPsec串連的網關IP地址，確認兩端可以互相訪問。

5. 當前VPN網關不支援建立跨境的IPsec-VPN串連，如果您需要建立跨境串連，請使用雲企業網產品。更多資訊，請參見什麼是雲企業網。

6. 嘗試對IPsec-VPN串連進行重設以觸發IPsec協議重新協商。

二階段協商逾時

Phase2NegotiationTimeout

無法收到二階段報文逾時協商失敗

無

1. 請排查IPsec串連及其對端網關裝置IPsec配置階段的參數配置是否相同（包含密碼編譯演算法、認證演算法、DH分組（完美向前加密 PFS）、SA生存周期（秒）），如果不相同，請操作修改以確保兩端IPsec配置階段的參數配置相同。

2. 請排查IPsec串連及其對端網關裝置NAT穿越功能的狀態是否相同。請確保兩端的NAT穿越功能同時開啟或者同時關閉。

3. 嘗試修改IPsec串連及其對端網關裝置使用的IKE版本，同時修改為IKEv1或同時修改為IKEv2。

無法收到對端協議應答報文

NoResponse

對端網關不響應

• sending retransmit 1 of request message ID 0, seq 1

• retransmission count exceeded the limit

1. 請排查對端網關裝置是否可以正常接收或發送IPsec協議報文。

2. 請排查IPsec串連關聯的使用者網關的IP地址與IPsec串連對端網關裝置的IP地址是否相同，如果不相同，請操作修改以確保兩端IP地址相同。

3. 請排查對端網關裝置是否有異常（例如故障重啟）。

4. 請排查對端網關裝置和IPsec串連之間是否可以互相訪問。

   嘗試在對端網關裝置上使用ping、mtr或traceroute命令訪問VPN網關IP地址或IPsec串連的網關IP地址，確認兩端可以互相訪問。

5. 請排查對端網關裝置應用的存取控制策略，確認其是否滿足以下條件：

   • 放開UDP協議500及4500連接埠。

   • 允許存取VPN網關執行個體的IP地址或IPsec串連網關IP地址。

6. 嘗試對IPsec-VPN串連進行重設以觸發IPsec協議重新協商。

收到對端的delete報文

ReceiveDeleteNotify

收到對端的delete報文

received DELETE IKE_SA

IPsec串連側收到對端網關裝置發送的delete notify報文，請在對端網關裝置側排查原因。

未診斷出協商異常原因

NoExceptionFound

未診斷出協商異常原因

無

當前結果有可能是IPsec-VPN串連並未開始協商導致的，請在阿里雲側或對端網路裝置側對IPsec-VPN串連進行重設。

在阿里雲側您可以修改IPsec串連下立即生效的值，儲存後再將立即生效修改為原配置值，以此觸發IPsec協議開始協商，然後重新整理當前頁面，查看檢查結果。