更新时间:2024-11-29 GMT+08:00
常见配置问题及解决方案
- PSK不一致:单独更新预共享密钥会在下一次IKE协商时生效,最长等待一个IKE的生命周期,须确认两端更新密钥一致。
- 协商策略不一致:请仔细排查IKE中的认证算法、加密算法、版本、DH组、协商模式和IPsec中的认证算法、加密算法、封装格式、PFS算法,特别注意PFS和云下配置一致,部分设备默认关闭了PFS配置。
- 感兴趣流:两端ACL配置不互为镜像,特别注意云下的ACL配置不能采用地址组名称,要使用真实的IP地址+掩码。
- NAT配置:云下子网访问云上子网配置为NONAT,云下公网IP不能被二次NAT为设备的接口IP。
- 安全策略:放行云下子网访问云上子网的所有协议,放行两个公网IP间的ESP、AH及UDP的500和4500端口。
- 路由配置:添加访问云上子网的出接口路由为隧道接口或IPsec协商出口,注意出接口的下一跳ARP解析要可达。
更多故障排除案例请详细查看连接故障或无法PING通。
父主题: 站点入云VPN经典版