本文介绍IPsec-VPN连接的常见问题。
常见问题快捷链接
IPsec-VPN连接协商问题
- IPsec连接状态为“第一阶段协商失败”怎么办?
- IPsec连接状态为“第二阶段协商失败”怎么办?
- IPsec连接状态之前为“第二阶段协商成功”,但现在一直显示“第二阶段协商失败”怎么办?
- IPsec连接状态为“第二阶段协商成功”,但IPsec连接协商状态间歇性变为失败怎么办?
- IPsec连接状态为“第二阶段协商成功”,但BGP路由协议的协商状态为“异常”怎么办?
- IPsec连接状态为“第二阶段协商成功”,但健康检查失败怎么办?
IPsec-VPN连接连通性问题
IPsec连接状态为“第一阶段协商失败”怎么办?
您可以根据VPN网关管理控制台提示的错误码或者IPsec连接的日志信息自主排查问题。具体操作,请参见自主排查IPsec-VPN连接问题。
下表为您罗列几个常见的IPsec连接对端网关设备导致“第一阶段协商失败”的原因,供您快速查阅。
| 原因 | 解决方案 |
|---|---|
| IPsec连接对端网关设备工作异常。 | 请排查对端网关设备。具体操作,请咨询设备所属厂商。 |
| IPsec连接对端网关设备尚未添加IPsec-VPN配置。 | 请为对端网关设备添加IPsec-VPN配置,需确保对端网关设备的配置与IPsec连接的配置一致。具体操作,请参见本地网关配置。 |
| IPsec连接对端网关设备所应用的访问控制策略未放行UDP协议500及4500端口。 | 请排查对端网关设备应用的访问控制策略,确保其满足以下条件:
|
| IPsec连接对端厂商限制,需要有数据流量时才能触发IPsec协议协商。 | 请确认IPsec连接对端VPN网关是否存在此使用限制。 如果存在此限制,请向对端厂商咨询如何触发IPsec协议协商。 |
IPsec连接状态为“第二阶段协商失败”怎么办?
您可以根据VPN网关管理控制台提示的错误码或者IPsec连接的日志信息自主排查问题。具体操作,请参见自主排查IPsec-VPN连接问题。
IPsec连接状态之前为“第二阶段协商成功”,但现在一直显示“第二阶段协商失败”怎么办?
产生当前问题的可能原因及解决方案请参见下表。| 原因分类 | 原因 | 解决方案 |
|---|---|---|
| 网关设备异常 | 阿里云VPN网关实例欠费。 | 请您及时向相关账号内充值或为账号添加新的支付方式。具体操作,请参见阿里云支付方式介绍。 |
| IPsec连接对端网关设备异常。 | 排查对端网关设备。具体操作,请咨询设备所属厂商。 | |
| 对端网关设备应用的访问控制策略有变更。 | 请排查对端网关设备应用的访问控制策略,确保已允许本地数据中心与VPC之间流量互通。 | |
| IPsec-VPN配置变更 | 对端网关设备的IPsec-VPN配置被删除。 | 重新为对端网关设备添加IPsec-VPN配置,需确保对端网关设备的配置与IPsec连接的配置一致。具体操作,请参见本地网关配置。 |
| 对端网关设备的IPsec-VPN配置被修改,与IPsec连接的参数配置不一致。 | 请修改对端网关设备的配置使其与IPsec连接的配置一致。 | |
| 对端网关设备的IPsec-VPN配置中,某个参数被指定了多个值。 例如配置对端网关设备时,指定IKE配置阶段加密算法的值为aes和aes192。 | 在阿里云侧配置IPsec连接时,每个参数仅支持指定一个值。请排查对端网关设备的IPsec-VPN配置,确保每个参数也仅指定了一个值,且与IPsec连接的值相同。 | |
| IPsec连接的配置被修改,与对端网关设备不一致。 | 请排查IPsec连接的配置使其与对端网关设备的配置一致。具体操作,请参见修改IPsec连接。 | |
| IPsec连接关联的VPC实例新配置了IPv4网关和网络ACL。 | 请排查VPC实例应用的IPv4网关、网络ACL的配置,使其允许本地数据中心与VPC实例之间流量互通。具体操作,请参见IPv4网关概述和网络ACL概述。 | |
| 对端网关设备IP地址变更 | 对端网关设备用于建立IPsec-VPN连接的IP地址发生了变更,导致阿里云侧用户网关实例的IP地址与对端网关设备使用的IP地址不一致。 | 请确保对端网关设备用于建立IPsec-VPN连接的IP地址与阿里云侧用户网关实例配置的IP地址相同。 |
| 对端网关设备拥有多个IP地址,阿里云侧用户网关实例的IP地址与对端网关设备用于建立IPsec-VPN连接的IP地址不一致。 | 请确保对端网关设备用于建立IPsec-VPN连接的IP地址与阿里云侧用户网关实例配置的IP地址相同。 | |
| 对端网关设备使用动态IP地址,阿里云侧用户网关实例的IP地址与对端网关设备用于建立IPsec-VPN连接的IP地址不一致。 | 请对端网关设备需使用静态IP地址建立IPsec-VPN连接,并确保对端网关设备使用的静态IP地址与阿里云侧用户网关实例配置的IP地址相同。 |
IPsec连接状态为“第二阶段协商成功”,但IPsec连接协商状态间歇性变为失败怎么办?
产生当前问题的可能原因及解决方案请参见下表。| 原因分类 | 原因 | 解决方案 |
|---|---|---|
| IPsec-VPN配置变更 | IPsec连接及其对端网关设备在IPsec配置阶段DH分组参数(部分本地网关设备称为PFS)的配置不一致。 | 请排查IPsec连接或者对端网关设备在IPsec配置阶段的DH分组参数(PFS)的配置,使两端的DH分组参数(PFS)的值配置相同。关于如何修改IPsec连接的配置,请参见修改IPsec连接。 |
| 对端网关设备的IPsec-VPN配置中,某个参数被指定了多个值。 例如配置对端网关设备时,指定IKE配置阶段加密算法的值为aes、aes192。 | 在阿里云侧配置IPsec连接时,每个参数仅支持指定一个值。请排查对端网关设备的IPsec-VPN配置,确保每个参数也仅指定了一个值,且与IPsec连接的值相同。 | |
| 对端网关设备配置了基于流量的SA生存周期。 | 阿里云侧的IPsec连接不支持配置基于流量的SA生存周期,仅支持配置基于时间的SA生存周期。建议对端网关设备不配置基于流量的SA生存周期或者将基于流量的SA生存周期配置为0字节。 | |
| 网络质量不佳 | 由于IPsec连接和对端网关设备之间的网络质量不佳,造成DPD协议报文、健康检查探测报文或IPsec协议报文丢失后超时,导致IPsec-VPN连接中断。 | 请排查IPsec-VPN连接中断时间点的网络连通性。 |
| IPsec连接对端限制 | IPsec连接对端厂商限制,需要有数据流量时才能触发IPsec协议协商。 | 请确认IPsec连接对端VPN网关是否存在此使用限制。 如果存在此限制,请向对端厂商咨询如何触发IPsec协议协商。 |
IPsec连接状态为“第二阶段协商成功”,但BGP路由协议的协商状态为“异常”怎么办?
产生当前问题的可能原因及解决方案请参见下表。| 原因分类 | 原因 | 解决方案 |
|---|---|---|
| BGP配置不正确 | 对端网关设备未配置正确的BGP IP地址。 | 请排查IPsec连接及其对端网关设备的BGP配置,确保IPsec连接的BGP IP地址和对端网关设备的BGP IP地址在相同的网段内,且互不冲突。 BGP IP地址所属网段需是一个位于169.254.0.0/16网段内,子网掩码长度为30的网段。 |
| IPsec-VPN连接相关问题 | 由于IPsec-VPN连接的连通性异常,导致IPsec连接侧无法收到对端网关设备的BGP协议报文。 | 请排查IPsec-VPN连接的连通性,并确认IPsec连接侧是否有收到对端网关设备的BGP协议报文。 您可以在IPsec连接下查看流量监控数据,如果当前系统并未监控到任何传入流量记录,则说明IPsec连接侧未收到对端网关设备的BGP协议报文。 |
| IPsec连接协商状态有中断。 | 请根据IPsec连接的日志排查IPsec连接是否一直处于“第二阶段协商成功”的状态。 如果IPsec连接协商状态不稳定,请根据日志信息排查IPsec连接的问题。具体操作,请参见自主排查IPsec-VPN连接问题。 |
IPsec连接状态为“第二阶段协商成功”,但健康检查失败怎么办?
产生当前问题的可能原因及解决方案请参见下表。| 原因分类 | 原因 | 解决方案 |
|---|---|---|
| 健康检查目标IP地址问题 | 健康检查目标IP地址无法访问。 | 请在目标IP地址关联的主机上使用目标IP地址通过ping命令或mtr命令访问健康检查源IP地址,测试目标IP地址的连通性。如果目标IP地址无法正常访问源IP地址,请确认目标IP地址是否配置正确。 |
| 健康检查目标IP地址关联的主机工作异常,无法及时响应IPsec连接发出的探测报文(ICMP报文)。 | 请排查目标IP地址关联的主机是否正常。具体操作,请咨询网关设备所属厂商。 | |
| 健康检查目标IP地址关联的路由配置和安全策略有变更。 比如安全策略未放行健康检查的源IP地址、目标IP地址或ICMP协议类型的报文。 | 请在对端网关设备侧排查目标IP地址关联的路由配置以及安全策略,确保:
| |
| 健康检查目标IP地址并未从原路径(指目标IP地址接收探测报文的路径)对健康检查的探测报文做出响应。 | 请通过mtr命令查看目标IP地址访问健康检查源IP地址时,请求报文和响应报文的传输路径是否相同,如果不同,请排查对端网关设备侧的路由配置,确保请求报文和响应报文的传输路径相同。 | |
| IPsec-VPN连接相关问题 | IPsec连接协商状态有中断。 | 请根据IPsec连接的日志排查IPsec连接是否一直处于“第二阶段协商成功”的状态。 如果IPsec连接协商状态不稳定,请根据日志信息排查IPsec连接的问题。具体操作,请参见自主排查IPsec-VPN连接问题。 说明 IPsec连接健康检查失败后系统会重置IPsec隧道,在非主备IPsec-VPN连接的应用场景下,不推荐您为IPsec连接配置健康检查,您可以为IPsec连接开启DPD功能来探测对端的连通性。 关于主备IPsec-VPN连接的应用场景,请参见基于多个公网IP地址建立高可用的IPsec-VPN连接(主备链路)和基于多个本地网关设备建立高可用的IPsec-VPN连接(主备链路)。 |
为什么IPsec连接状态为“第二阶段协商成功”,但VPC内的ECS实例无法访问本地数据中心内的服务器?
原因
VPC的路由配置、安全组规则或本地数据中心的路由配置、访问控制策略未允许VPC内的ECS实例访问本地数据中心内的服务器。
解决方案
请参见以下信息排查相关配置:
- VPC
- 排查VPC路由表中的路由配置。确保VPC路由表内已配置了相关路由使ECS实例可以访问本地数据中心的服务器。
- 排查VPC应用的安全组规则。确保安全组规则允许ECS实例和服务器之间互相访问。
- 本地数据中心
- 排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以对ECS实例做出应答。
- 排查本地数据中心的访问控制策略。确保本地数据中心允许ECS实例和服务器互相访问。
如果本地数据中心内存在将公网IP地址作为私有IP地址使用的情况,您需要将公网IP的网段设置为VPC的用户网段,以确保VPC可以访问到该公网网段。关于用户网段的更多信息,请参见什么是用户网段?和如何配置用户网段?。
为什么IPsec连接状态为“第二阶段协商成功”,但本地数据中心内的服务器无法访问VPC内的ECS实例?
原因
VPC的路由配置、安全组规则或本地数据中心的路由配置、访问控制策略未允许本地数据中心内的服务器访问VPC内的ECS实例。
解决方案
请参见以下信息排查相关配置:
- VPC
- 排查VPC路由表中的路由配置。确保VPC路由表内已配置了相关路由使ECS实例可以对服务器的访问做出应答。
- 排查VPC应用的安全组规则。确保安全组规则允许ECS实例和服务器之间互相访问。
- 本地数据中心
- 排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以通过IPsec-VPN连接访问ECS实例。
- 排查本地数据中心的访问控制策略。确保本地数据中心允许ECS实例和服务器互相访问。
为什么IPsec连接状态为“第二阶段协商成功”,但是多网段场景下部分网段通信正常,部分网段通信不正常?
原因
在使用IPsec-VPN连接实现本地数据中心和VPC(Virtual Private Cloud)互通的场景中,如果VPN网关与思科、华三、华为等传统厂商的设备对接,在IPsec连接使用感兴趣流的路由模式且配置了多网段的情况下,仅一个网段可以互通,其余网段不通。当前现象是阿里云VPN网关与思科、华三、华为等传统厂商的设备对接时,两端IPsec协议不兼容导致的。在IPsec连接配置多网段的情况下,阿里云VPN网关使用一个SA(Security Association)与对端的网关设备协商,而对端的网关设备在多网段的情况下会使用多SA与VPN网关协商。
解决方案
请参见多网段配置方案推荐。为什么IPsec连接状态为“第二阶段协商成功”,可ping通但业务访问不通或部分端口号访问不通?
原因
VPC应用的安全组规则或本地数据中心应用的访问控制策略未放行对应的IP地址、协议类型和端口号。
解决方案
请参见以下信息排查相关配置:
- 排查VPC应用的安全组规则。确保安全组规则已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。
- 排查本地数据中心应用的访问控制策略。确保访问控制策略已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。
如果本地数据中心侧有业务策略、域名解析等配置建议一并排查。确保本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号已放行。
为什么IPsec连接状态为“第二阶段协商成功”,但私网访问时出现丢包现象,且时通时不通?
产生当前问题的可能原因及解决方案请参见下表。| 原因分类 | 原因 | 解决方案 |
|---|---|---|
| IPsec-VPN连接相关问题 | IPsec连接协商状态有中断。 | 请根据IPsec连接的日志信息排查IPsec连接是否一直处于“第二阶段协商成功”的状态。 如果IPsec连接协商状态不稳定,隧道频繁重新协商导致网络间歇性中断,请根据日志信息排查IPsec连接的问题。具体操作,请参见自主排查IPsec-VPN连接问题。 |
| MTU相关问题 | 本地数据中心用户MTU配置超过1300字节(不包含1300字节)。 | 对于2021年04月01日之前创建的VPN网关,如果配置本地数据中心的用户MTU大于1300字节(不包含1300字节),则可能存在IPsec-VPN连接不通的问题,建议您将VPN网关升级至最新版本以规避该问题。关于如何升级VPN网关,请参见升级VPN网关。 |
| 在流量传输过程中,流量报文过大超过了传输路径中的MTU值,导致报文被分片传输。 | VPN网关只支持传输已经分片的数据包,不支持对数据包分片及数据包分片重组。推荐用户MTU设置为1399字节。更多信息,请参见MTU配置说明。 |
为什么IPsec连接状态为“第二阶段协商成功”,私网访问正常但转发延迟高?
产生当前问题的可能原因及解决方案请参见下表。| 原因分类 | 原因 | 解决方案 |
|---|---|---|
| 网络质量不佳 | 由于IPsec连接和对端网关设备之间的网络质量不佳,造成流量互通过程中网络延迟大以及丢包。 | 请使用ping和mtr命令对VPN网关公网或私网网络进行探测排查。若探测到网络延迟高,可分段式探测快速缩小探查范围。若探测到公网链路质量不佳,建议使用云企业网等其他云产品。 |