用户在华为云VPN产品使用过程中,通常会出现由于配置错误(华为云侧或用户侧协商策略、防火墙、路由表、域间策略、NAT配置、安全组等信息配置)而导致连接故障或无法PING通。
通常可使用以下方式排除故障:
检查VPN两侧协商信息
- 确认PSK共享密钥是否一致。
- 确认IKE策略、IPsec策略协商参数是否一致。
- 确认两侧的本地子网和远端子网配置是否互为镜像。
检查客户防火墙ACL和云端安全组配置
- 确认放行去往华为云VPC子网的数据流。
- 确认放行来自华为云VPC子网的数据流。
检查防火墙路由表
确认存在目标地址为华为云VPC子网的路由信息:
- 确认配置去往华为云目标网络的路由信息,路由表或VPN路由表中存在路由信息。
- 确认路由转发表状态正常。
路由易错配置:
- 目的网段与华为云VPC网段不一致,导致前往华为云的流量无法路由到配置IPsec策略的公网口。
- 配置静态路由时指定出接口,而非指定下一跳。
在ethernet类型的网络中,出接口会因为无法学习到对端的ARP信息而导致路由转发失败。
- 将路由的下一跳地址指定为华为云端的VPN网关地址。
部分友商设备会因为路由信息无法自动迭代而不可行;由于VPN流量是要从公网口发出的,因此下一跳地址必须是运营商提供的网关地址。
检查客户防火墙域间策略
- trust到untrust:放行本地VPC到云上VPC子网访问策略。
- untrust到trust:放行云上VPC到本地VPC子网访问策略。
检查防火墙NAT配置
确认本地VPN网关是否在NAT设备后(一般是边界防火墙)进行部署,即VPN网关的出接口使用私有地址,然后在NAT设备上做公网地址转换。
这种场景也被称为IPsec nat穿越。
