更新时间:2024-09-27 GMT+08:00
分享

常规检查项

用户在华为云VPN产品使用过程中,通常会出现由于配置错误(华为云侧或用户侧协商策略、防火墙、路由表、域间策略、NAT配置、安全组等信息配置)而导致连接故障或无法PING通。

通常可使用以下方式排除故障:

检查VPN两侧协商信息

  • 确认PSK共享密钥是否一致。
  • 确认IKE策略、IPsec策略协商参数是否一致。
  • 确认两侧的本地子网和远端子网配置是否互为镜像。

检查客户防火墙ACL和云端安全组配置

  • 确认放行去往华为云VPC子网的数据流。
  • 确认放行来自华为云VPC子网的数据流。

检查防火墙路由表

确认存在目标地址为华为云VPC子网的路由信息:

  • 确认配置去往华为云目标网络的路由信息,路由表或VPN路由表中存在路由信息。
  • 确认路由转发表状态正常。

    路由易错配置:

    1. 目的网段与华为云VPC网段不一致,导致前往华为云的流量无法路由到配置IPsec策略的公网口。
    2. 配置静态路由时指定出接口,而非指定下一跳。

      在ethernet类型的网络中,出接口会因为无法学习到对端的ARP信息而导致路由转发失败。

    3. 将路由的下一跳地址指定为华为云端的VPN网关地址。

      部分友商设备会因为路由信息无法自动迭代而不可行;由于VPN流量是要从公网口发出的,因此下一跳地址必须是运营商提供的网关地址。

检查客户防火墙域间策略

  • trust到untrust:放行本地VPC到云上VPC子网访问策略。
  • untrust到trust:放行云上VPC到本地VPC子网访问策略。

检查防火墙NAT配置

确认本地VPN网关是否在NAT设备后(一般是边界防火墙)进行部署,即VPN网关的出接口使用私有地址,然后在NAT设备上做公网地址转换。

这种场景也被称为IPsec nat穿越。

相关文档