IPsec连接协商成功但对端显示协商失败:
1、如果对端为其他云厂商或硬件厂商设备,请优先联系对端厂商技术工程师支持;
2、
排查方法参考:
(1) IPsec配置一致性:建议检查对端VPN网关工作状态是否正常、是否欠费,VPN网关及所在网络内是否有变更配置操作,检查IPsec连接配置参数的一致性;
(2) 对端显示第一阶段协商失败:建议检查阿里云侧DPD是否有开启,检查对端IPsec连接是否有DPD检测超时重置隧道的情况;
检查对端厂商的使用限制:部分厂商存在需要有数据流量才能正常协商,请查阅对端厂商资料或咨询对端厂商技术工程师;
(3) 对端显示第二阶段协商失败:建议检查对端VPN网关的IKE版本/算法/DH分组等参数是否可多选,因阿里云IPsec连接只支持一种参数,需要修改对端网关加密算法、认证算法以及DH分组的配置与阿里云IPsec连接的配置相同;
(4) 公网出口IP变化:对端VPN网关公网IP更换、使用动态公网IP或多公网出口IP,建议检查对端VPN网关实际使用的IP地址,是否与阿里云VPN用户网关配置的IP地址相同;
(5) 尝试重新协商:可以对两端的IPsec连接进行重置触发重新协商,阿里云侧可修改IPsec连接下立即生效的值,保存后再将立即生效修改为原配置值,以此触发IPsec协议重新开始协商。 若阿里云VPN网关管理控制台提示的错误码请参见
自主排查IPsec-VPN连接问题。
写回答
