| 邻居不匹配 | 收到的协议报文与用户网关信息不匹配 | received UNSUPPORTED_CRITICAL_PAYLOAD error | - 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。
- 如果对端网关设备配置了多个IP地址,请确保用户网关配置的IP地址为对端网关设备实际在用的IP地址。
|
| 算法不匹配 | 加密算法或认证算法或DH分组参数不匹配 | HASH mismatchedparsed INFORMATIONAL_V1 requestpacket lacks expected payloadauthentication failure
| - 请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的加密算法、认证算法、DH分组是否相同,如果不相同,请操作修改以确保两端配置相同。
- 如果对端网关设备在IKE配置阶段和IPsec配置阶段配置了多种加密算法、认证算法或DH分组,则建议修改对端网关设备的配置,使对端网关设备的加密算法、认证算法以及DH分组的配置与IPsec连接的配置相同。
说明 在阿里云侧配置IPsec连接时,IKE配置阶段和IPsec配置阶段的加密算法、认证算法和DH分组均只支持指定一个值,不支持指定多个值。
|
| 加密算法不匹配 | IPsec的加密算法不匹配 | invalid encryption algorithmtrns_id mismatchedrejected enctype
| - 请排查IPsec连接及其对端网关设备在IPsec配置阶段配置的加密算法是否相同,如果不相同,请操作修改以确保两端配置相同。
- 如果对端网关设备在IPsec配置阶段配置了多种加密算法,则建议修改对端网关设备的配置,使对端网关设备的加密算法与IPsec连接的加密算法相同。
|
| 认证算法不匹配 | IKE认证算法不匹配 | authtype mismatchedrejected hashtype
| - 请排查IPsec连接及其对端网关设备在IKE配置阶段配置的认证算法是否相同,如果不同,请操作修改以确保两端配置相同。
- 如果对端网关设备在IKE配置阶段配置了多种认证算法,则建议修改对端网关设备的配置,使对端网关设备的认证算法与IPsec连接的认证算法相同。
|
| DH分组不匹配 | IKE一阶段DH分组参数不匹配 | received KE type 14,expected 2failed to compute dh valuerejected dh_groupproposal mismatch, transform type:4
| - 请排查IPsec连接及其对端网关设备在IKE配置阶段配置的DH分组是否相同,如果不同,请操作修改以确保两端配置相同。
- 如果对端网关设备在IKE配置阶段配置了多种DH分组,则建议修改对端网关设备的配置,使对端网关设备的DH分组与IPsec连接的DH分组相同。
- 如果您的使用场景中多个IPsec连接关联了同一个用户网关,则所有IPsec连接的IKE配置阶段的所有配置(包含版本、协商模式、加密算法、认证算法、DH分组、SA生存周期(秒))需保持相同。
同时每个IPsec连接侧的LocalId需和IPsec连接对端网关设备的RemoteId相同;每个IPsec连接侧的RemoteId需和对端网关设备的LocalId相同。
|
| 预共享密钥不匹配 | 预共享密钥参数不匹配 | Decryption failed! mismatch of preshared secretsmismatch of preshared secretsinvalid HASH_V1 payload length, decryption failedcould not decrypt payloads
| - 请排查IPsec连接及其对端网关设备配置的预共享密钥是否相同,如果不同,请操作修改以确保两端配置相同。
您也可以对IPsec连接及其对端网关设备的预共享密钥同时进行修改,此操作会触发IPsec协议重新协商,系统会再次检查两端的预共享密钥是否匹配。 - 在IPsec连接及其对端网关设备预共享密钥相同的情况下,也请确保两端在IKE配置阶段和IPsec配置阶段配置的加密算法、认证算法、DH分组均相同。
- 如果对端网关设备在IKE配置阶段和IPsec配置阶段配置了多种加密算法、认证算法或DH分组,则建议修改对端网关设备的配置,使对端网关设备的加密算法、认证算法以及DH分组的配置与IPsec连接的配置相同。
|
| PeerID不匹配 | LocalID或RemoteID不匹配或者不兼容 | does not match peers idmessage lacks IDr payloadExpecting IP address type in main mode,but FQDNUnknow peer idParse PEERID failedreceived ID_I(xxx) does not match peers id
| - 请排查IPsec连接侧的LocalId与对端网关设备的RemoteId是否相同;IPsec连接侧的RemoteId与对端网关设备的LocalId是否相同。如果不同,请操作修改。
- 在IPsec连接绑定VPN网关实例的场景下,阿里云VPN网关默认将VPN网关的IP地址作为IPsec连接的LocalId,将用户网关的IP地址作为IPsec连接的RemoteId。
- 在IPsec连接绑定转发路由器实例的场景下,阿里云VPN网关默认将IPsec连接的网关IP地址作为IPsec连接的LocalId,将用户网关的IP地址作为IPsec连接的RemoteId。
- 如果IPsec连接的IKE版本为ikev1、协商模式为main,则LocalId和RemoteId仅支持IP地址格式,请确保LocalId和RemoteId的格式符合要求。
- 请排查IPsec连接及其对端网关设备配置的协商模式是否相同,如果不相同,请操作修改以确保两端配置相同。
推荐两端均配置为main(主模式),在main(主模式)下LocalId和RemoteId建议使用IP地址格式。 - 如果IPsec连接的IKE版本为ikev2,且您已排查上述问题无误,请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的加密算法、认证算法、DH分组是否相同,如果不相同,请操作修改以确保两端配置相同。
|
| DPD载荷顺序兼容 | DPD载荷顺序兼容 | ignore information because the message has no hash payload | 在IPsec连接开启DPD功能的场景下,IPsec连接的DPD载荷顺序默认为hash-notify,请排查对端网关设备的DPD载荷顺序是否也为hash-notify,如果不是,请将对端网关设备的DPD载荷顺序修改为hash-notify。 |
| DPD超时 | DPD报文超时 | DPD: remote seems to be dead | - 请排查IPsec连接及其对端网关设备是否均已开启DPD功能,请确保两端DPD功能的开启状态相同。
说明 DPD报文超时会导致IPsec协议重新协商。 - 请排查IPsec连接及其对端网关设备配置之间的网络质量、路由配置,以确保IPsec连接及其对端网关设备配置之间是可以连通的。
|
| IKE版本不匹配 | IKE版本号参数不匹配,或协商模式不匹配 | unknown ikev2 peer | - 请排查IPsec连接及其对端网关设备配置的IKE版本是否相同,如果不同,请操作修改以确保两端配置相同。
- 如果对端网关设备支持自动选择IKE版本或者对端网关设备同时支持IKEv1和IKEv2两个版本,则建议为对端网关设备指定IKE版本,对端网关设备的IKE版本需和IPsec连接的IKE版本相同。
- 推荐两端均使用为IKEv2版本。
- 请排查IPsec连接及其对端网关设备配置的协商模式是否相同,如果不同,请操作修改以确保两端配置相同。
|
| 协商模式不匹配 | 协商模式不匹配 | in Identity not acceptable Aggressive modenot acceptable Identity Protection mode
| - 请排查IPsec连接及其对端网关设备配置的协商模式是否相同,如果不同,请操作修改以确保两端配置相同。
推荐两端均使用main(主模式)。 - 如果在两端均为main(主模式)的场景下IPsec连接依旧协商不成功(部分极端场景下会出现当前问题),请尝试将两端的协商模式修改为aggressive(野蛮模式)。
|
| NAT-T不匹配 | NAT穿越不匹配 | ignore the packet, received unexpecting payload type 130 | 请排查IPsec连接及其对端网关设备的NAT穿越功能状态是否相同,如果不同,请操作修改以确保两端配置相同。 如果对端网关设备在NAT网关之后,则建议IPsec连接及其对端网关设备均开启NAT穿越功能。 |
| SA生存周期时间不匹配 | Lifetime参数不匹配 | long lifetime proposed | 请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的SA生存周期(秒)是否相同,如果不同,请操作修改以确保两端配置相同。 IPsec连接及其对端网关设备配置的SA生存周期(秒)不强制要求相同,但由于不同网关设备所属厂商不同,为确保IPsec-VPN连接的稳定性,推荐两端配置相同的SA生存周期(秒)。 |
| 安全协议不匹配 | 安全协议参数不匹配 | proto_id mismatched | 请排查对端网关设备使用的安全协议是否为ESP(Encapsulating Security Payload),如果不是,请修改为ESP。 对于IPsec-VPN连接使用的安全协议,阿里云VPN网关仅支持ESP,不支持AH(Authentication Header)。 |
| 封装模式不匹配 | 封装模式不匹配 | encmode mismatched | 请排查对端网关设备使用的封装模式是否为隧道模式,如果不是,请修改为隧道模式。 对于IPsec-VPN连接使用的封装模式,阿里云VPN网关仅支持隧道模式,不支持传输模式。 |
| 算法兼容性 | 算法兼容性 | 无 | IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的认证算法不兼容,建议两端使用其他认证算法,例如md5。 |
| 感兴趣流不匹配 | 感兴趣流网段参数不匹配 | traffic selector mismatchinvalid-id-informationtraffic selector unacceptablecan't find matching selectorreceived INVALID_ID_INFORMATION error notifyreceived Notify type TS_UNACCEPTABLE
| - 请根据IPsec连接使用的IKE版本排查感兴趣流的网段配置,确保符合以下原则:
- 如果IPsec连接使用的IKE版本为ikev1,则感兴趣流仅支持配置单个网段。
- 如果IPsec连接使用的IKE版本为ikev2,则感兴趣流支持配置多个网段。
说明 在IPsec连接配置多网段的场景下,由于IPsec连接与对端网关设备IPsec协议的协商机制不同,可能会导致部分网段通信正常,部分网段无法通信,您可以参见 常见问题查看解决方案。
- 请排查IPsec连接及其对端网关设备配置的感兴趣流是否相同,确保:
- IPsec连接侧的本端网段与对端网关设备的对端网段相同。
- IPsec连接侧对端网段与对端网关设备的本端网段相同。
|
| PFS不匹配 | IPsec二阶段DH分组参数不匹配 | pfs group mismatchedmessage lacks KE payload
| 请排查IPsec连接及其对端网关设备IPsec配置阶段PFS功能的配置状态是否相同,如果不同,请操作修改以确保两端配置相同。- 如果IPsec连接侧IPsec配置阶段DH分组配置为了disabled,则表示IPsec连接侧未开启PFS功能,则需要确保对端网关设备的PFS功能也关闭。
- 如果IPsec连接侧IPsec配置阶段DH分组配置为disabled以外的值,则表示IPsec连接侧开启了PFS功能,则需要确保对端网关设备的PFS功能也为开启状态。
推荐IPsec连接及其对端网关设备均开启PFS功能。 |
| commit位不匹配 | commit位不匹配 | 无 | 请排查对端网关设备的提交位(commit)是否为开启状态,如果是,请关闭提交位(commit)。 提交位(commit)是用于确保在发送被保护的数据之前完成IPsec协议的协商,阿里云VPN网关不支持配置提交位(commit)。 |
| 提议不匹配 | 提议不匹配 | no proposal chosenreceived NO_PROPOSAL_CHOSENno suitable proposal foundfailed to get valid proposalnone of my proposal matchedno matching proposal found, sending NO_PROPOSAL_CHOSENproposal mismatchcouldn't find configuarationignore the packet,expecting the packet encrypted
| - 请排查IPsec连接及其对端网关设备配置的IKE版本是否相同,如果不相同,请操作修改以确保两端配置相同。
推荐两端均使用IKEv2版本。 - 请排查IPsec连接及其对端网关设备IKE配置阶段的所有配置是否相同,如果不相同,请操作修改以确保两端配置满足以下条件:
- 关于版本、协商模式、加密算法、认证算法、DH分组、SA生存周期(秒)参数的配置,两端需保持相同。
- IPsec连接侧的LocalId需和对端网关设备的RemoteId相同;IPsec连接侧的RemoteId需和对端网关设备的LocalId相同。
- 请排查IPsec连接及其对端网关设备IPsec配置阶段的所有配置是否相同,如果不相同,请操作修改以确保两端配置相同(包含加密算法、认证算法、DH分组、SA生存周期(秒)、NAT穿越)。
同时需确保IPsec连接及其对端网关设备配置的感兴趣流满足以下条件: - IPsec连接侧的本端网段与对端网关设备的对端网段相同。
- IPsec连接侧对端网段与对端网关设备的本端网段相同。
- 如果您的使用场景中多个IPsec连接关联了同一个用户网关,则所有IPsec连接的IKE配置阶段的所有配置(包含版本、协商模式、加密算法、认证算法、DH分组、SA生存周期(秒))需保持相同。
同时每个IPsec连接侧的LocalId需和当前IPsec连接对端网关设备的RemoteId相同;每个IPsec连接侧的RemoteId需和当前IPsec连接对端网关设备的LocalId相同。 - 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。
|
| 协商失败 | 协议协商失败 | phase2 negotiation failed due to time up waiting for phase1 | 请重置IPsec-VPN连接以触发IPsec协议重新协商,系统会再次进行检查。 |
| 一阶段协商超时 | 无法收到一阶段协议报文超时协商失败 | phase1 negotiation failed due to time upignore information because ISAKMP-SA has not been established
| - 请排查对端网关设备是否可以正常接收或发送IPsec协议报文。
- 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。
- 请排查对端网关设备是否有异常(例如故障重启)。
- 请排查对端网关设备和IPsec连接之间是否可以互相访问。
尝试在对端网关设备上使用ping、mtr或traceroute命令访问VPN网关IP地址或IPsec连接的网关IP地址,确认两端可以互相访问。 - 当前VPN网关不支持创建跨境的IPsec-VPN连接,如果您需要创建跨境连接,请使用云企业网产品。更多信息,请参见什么是云企业网。
- 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。
|
| 二阶段协商超时 | 无法收到二阶段报文超时协商失败 | 无 | - 请排查IPsec连接及其对端网关设备IPsec配置阶段的参数配置是否相同(包含加密算法、认证算法、DH分组、SA生存周期(秒)),如果不相同,请操作修改以确保两端IPsec配置阶段的参数配置相同。
- 请排查IPsec连接及其对端网关设备NAT穿越功能的状态是否相同。请确保两端的NAT穿越功能同时开启或者同时关闭。
- 尝试修改IPsec连接及其对端网关设备使用的IKE版本,同时修改为IKEv1或同时修改为IKEv2。
|
| 无法收到对端协议应答报文 | 对端网关不响应 | sending retransmit 1 of request message ID 0, seq 1 | - 请排查对端网关设备是否可以正常接收或发送IPsec协议报文。
- 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同,如果不相同,请操作修改以确保两端IP地址相同。
- 请排查对端网关设备是否有异常(例如故障重启)。
- 请排查对端网关设备和IPsec连接之间是否可以互相访问。
尝试在对端网关设备上使用ping、mtr或traceroute命令访问VPN网关IP地址或IPsec连接的网关IP地址,确认两端可以互相访问。 - 请排查对端网关设备应用的访问控制策略,确认其是否满足以下条件:
- 放开UDP协议500及4500端口。
- 放行VPN网关实例的IP地址或IPsec连接网关IP地址。
- 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。
|
| 收到对端的delete报文 | 收到对端的delete报文 | received DELETE IKE_SA | IPsec连接侧收到对端网关设备发送的delete notify报文,请在对端网关设备侧排查原因。 |
| 未发现异常 | 未发现异常 | 无 | 当前结果有可能是IPsec-VPN连接并未开始协商导致的,请在阿里云侧或对端网络设备侧对IPsec-VPN连接进行重置。 在阿里云侧您可以修改IPsec连接下立即生效的值,保存后再将立即生效修改为原配置值,以此触发IPsec协议开始协商,然后刷新当前页面,查看检查结果。 |
