VPN连接状态显示“未连接”
故障现象
在页面,VPN连接状态显示为“未连接”。
可能原因
- VPN连接两端的连接配置不正确。
- 华为云安全组和客户设备侧ACL配置不正确。
- IPsec-VPN连接协商失败或连接断连。
处理步骤
- 检查VPN连接两端的连接配置。
- 确认两端配置的网关IP参数是否为镜像。
- VPN网关的主/备EIP可以选择“虚拟专用网络 > 企业版-VPN网关”,在网关IP栏下查看。
- 客户设备侧网关的公网IP可以选择“虚拟专用网络 > 企业版-对端网关”,在标识栏下查看。
- 确认IKE策略、IPsec策略协商参数是否一致。
- IKE策略、IPsec策略协商参数可以选择“虚拟专用网络 > 企业版-VPN连接”,单击“修改策略配置”查看。
- 确认预共享密钥是否一致。
- 如果连接模式采用策略模式,请确认两端策略规则中的源网段和目的网段是否为镜像。
- 如果连接模式采用静态路由模式且云侧开启了NQA功能,请确认客户设备侧是否已经正确配置Tunnel隧道的IP地址。
- 是否开启NQA功能,可以选择“虚拟专用网络 > 企业版-VPN连接”,单击VPN连接名称,在“基本信息”页签查看“检测机制”。
- 客户设备侧在华为云VPN连接已设置的Tunnel隧道的IP地址,可以选择“虚拟专用网络 > 企业版-VPN连接”,单击“修改连接信息”,查看本端接口地址和对端接口地址。华为云VPN连接的本端接口地址和对端接口地址需要和客户设备的本端接口地址和对端接口地址互为镜像配置。
- 如果连接模式采用BGP路由模式,请确认两端的BGP ASN是否为镜像。
- VPN网关的BGP ASN可以选择“虚拟专用网络 > 企业版-VPN网关”,单击VPN网关名称,在“基本信息”页签查看。
- 客户设备侧网关的BGP ASN可以选择“虚拟专用网络 > 企业版-对端网关”,在BGP ASN栏下查看。
- 确认两端配置的网关IP参数是否为镜像。
- 检查华为云安全组和客户设备侧ACL配置。
- 确认华为云default安全组已经放通客户设备侧公网IP的端口。
- 确认客户设备侧ACL已经放通VPN网关主备EIP的端口。
- 查看IPsec连接日志。
- 登录管理控制台。
- 在管理控制台左上角单击
图标,选择区域和项目。 - 在页面左上角单击
图标,选择。 - 在左侧导航栏,选择。
- 在“VPN连接”界面,找到目标VPN连接,选择,查看相关日志信息。
查看IPsec连接日志的过程中,您可以根据日志关键字对照表 VPN未连接的常见原因中的错误码自主排查问题。
表1 VPN未连接的常见原因 分类
错误码
描述
IPsec-VPN连接协商失败
phase1 proposal mismatch
两端IKE安全提议参数不匹配。
phase2 proposal or pfs mismatch
两端IPSec安全提议参数、PFS算法或Security ACL不匹配。
responder dh mismatch
响应方的DH算法不匹配。
initiator dh mismatch
发起方的DH算法不匹配。
encapsulation mode mismatch
封装模式不匹配。
flow mismatch
两端Security ACL不匹配。
version mismatch
两端IKE版本号不匹配。
peer address mismatch
两端的IKE Peer地址不匹配。
config ID mismatch
根据ID未找到匹配的IKE Peer。
exchange mode mismatch
两端的协商模式不匹配。
authentication fail
身份认证失败。
construct local ID fail
构造本端ID失败。
rekey no find old sa
重协商时找不到旧的SA。
rekey fail
重协商时旧的SA正在下线。
first packet limited
首包限速。
unsupported version
不支持的IKE版本号。
malformed message
畸形消息。
malformed payload
畸形载荷。
critical drop
未识别的critical载荷。
cookie mismatch
Cookie不匹配。
invalid cookie
无效Cookie。
invalid length
报文长度非法。
short packet
超短包。
unknown exchange type
未知的协商模式。
uncritical drop
未识别的非critical载荷。
route limit
路由注入的数目达到规格。
ip assigned fail
IP地址分配失败。
eap authentication timeout
EAP认证超时。
eap authentication fail
EAP认证失败。
xauth authentication fail
XAUTH认证失败。
xauth authentication timeout
XAUTH认证超时。
license or specification limited
License限制。
local address mismatch
IKE协商时的本端IP地址和接口IP地址不匹配。
dynamic peers number reaches limitation
IKE对等体数达到规格。
ipsec tunnel number reaches limitation
IPSec隧道数达到规格。
netmask mismatch
开启IPSec掩码过滤功能后,掩码不匹配。
flow confict
数据流冲突。
proposal mismatch or use sm in ikev2
IPSec安全提议不匹配或者IKEv2使用SM算法。
ikev2 not support sm in ipsec proposal ikev2
IKEv2不支持IPSec安全提议的SM算法。
no policy applied on interface
没有策略应用到接口上。
nat detection fail
NAT探测失败。
fragment packet limit
分片报文超规格。
fragment packet reassemble timeout
分片报文重组超时。
peer cert is expired
对端证书过期。
peer cert is revoked by CRL
对端证书被吊销。
sa with same user exists
相同用户已存在sa。
max transmit reached
重传报文达到最大次数。
IPsec-VPN连接断连
dpd timeout
DPD探测超时。
peer request
对端发送删除消息。
config modify or manual offline
修改配置导致SA被删除或者手动清除SA。
phase1 hard expiry
第一阶段硬超时(没有新的SA协商成功)。
phase2 hard expiry
第二阶段硬超时。
heartbeat timeout
heartbeat探测超时。
peer address switch
对端地址变化。
re-auth timeout
重认证超时导致SA被删除。
aaa cut user
AAA模块强制用户下线导致SA被删除。
ip address syn failed
IP地址同步失败。
hard expiry triggered by port mismatch
NAT端口不匹配导致硬超时。
kick old sa with same flow
相同的流接入时删除老的SA。
cpu table updated
插拔SPU板时删除非本CPU的SA。
flow overlap
加密流中的IP地址与对端的IP地址冲突。
spi conflict
SPI冲突。
admin down
VPN隧道的管理down。
forward down
fwd群组down。
sa with same user exists
相同用户已存在sa。
reset sa by ike user
用户重置sa下线。
phase1 sa replace
新IKE SA替换老的IKE SA。
phase2 sa replace
新IPSec SA替换老的IPSec SA。
manual offline
手动下线。
nhrp notify
NHRP通知删除SA。
receive backup delete info
备机收到主机的SA备份删除消息。
eap delete old sa
对端设备重复进行EAP认证时本端设备删除老的SA。
receive invalid spi notify
收到无效SPI通知。
dns resolution status change
DNS解析状态发生改变。
ikev1 phase1-phase2 sa dependent offline
设备删除IKEv1 SA时删除其关联的IPSec SA。
exchange timeout
报文交互超时。
hash gene adjusted
Hash因子调整导致IPSec隧道被删除。
如果上述场景均正确且异常仍然存在,请提交工单联系华为工程师。
