VPN Gateway:IPsec-VPN接続の問題のトラブルシューティング

コンソールベースのエラーコード

APIベースのエラーコード

エラーメッセージ

ログエントリのキーワード

解決策

ピアが一致しません。

ピアミスマッチ

受信したパケットがカスタマーゲートウェイ情報と一致しません。

受信したUNSUPPORTED_CRITICAL_PAYLOADエラー

1. IPsec-VPN接続に関連付けられているカスタマーゲートウェイのIPアドレスがカスタマーゲートウェイデバイスのIPアドレスと同じであることを確認します。

2. カスタマーゲートウェイデバイスに複数のIPアドレスが割り当てられている場合は、カスタマーゲートウェイデバイスが使用するIPアドレスがカスタマーゲートウェイのIPアドレスとして指定されていることを確認してください。

アルゴリズムが一致しません。

アルゴリズムミスマッチ

暗号化アルゴリズム、認証アルゴリズム、またはDHグループパラメーターが一致しません。

• HASHミスマッチ

• 解析済みINFORMATIONAL_V1リクエスト

• パケットが予期されるペイロード

• 認証失敗

1. IPsec-VPN接続の設定が、カスタマーゲートウェイデバイスの設定と同じであることを確認します。IKE設定とIPsec設定の暗号化アルゴリズム、認証アルゴリズム、DHグループです。

2. カスタマーゲートウェイデバイスのIKE設定およびIPsec設定に複数の暗号化アルゴリズム、認証アルゴリズム、またはDHグループが指定されている場合、IPsec-VPN接続に指定されている暗号化アルゴリズム、認証アルゴリズム、またはDHグループを使用するようにカスタマーゲートウェイデバイスを設定することを推奨します。

   説明

   Alibaba Cloud側でIP-sec VPN接続を設定する場合、IKE設定とIPsec設定で暗号化アルゴリズム、認証アルゴリズム、DHグループを1つだけ指定します。

暗号化アルゴリズムが一致しません。

暗号化アルゴリズムミスマッチ

IPsec-VPN接続の暗号化アルゴリズムが一致しません。

• 無効な暗号化アルゴリズム

• trns_idの不一致

• 拒否されたenctype

• 認証失敗

1. IPsec-VPN接続のIPsec設定の暗号化アルゴリズムが、カスタマーゲートウェイデバイスの暗号化アルゴリズムと同じであることを確認します。

2. カスタマーゲートウェイデバイスのIPsec設定で複数の暗号化アルゴリズムが指定されている場合、IPsec-VPN接続に指定された暗号化アルゴリズムを使用するようにカスタマーゲートウェイデバイスを設定することを推奨します。

認証アルゴリズムが一致しません。

AuthenticationAlgorithmMismatch

IKEの認証アルゴリズムが一致しません。

• auttype不一致

• 拒否されたハッシュタイプ

• 認証失敗

1. IPsec-VPN接続のIKE設定の認証アルゴリズムがカスタマーゲートウェイデバイスと同じであることを確認してください。

2. カスタマーゲートウェイデバイスのIKE設定で複数の認証アルゴリズムが指定されている場合は、IPsec-VPN接続に指定された認証アルゴリズムを使用するようにカスタマーゲートウェイデバイスを設定することを推奨します。

DHグループが一致しません。

DhGroupMismatch

IKEのフェーズ1 DHグループパラメーターが一致しません。

• 受け取ったKEタイプ14、予想2

• dh値の計算に失敗しました

• 拒否されたdh_グループ

• 提案ミスマッチ、変換タイプ: 4

1. IPsec-VPN接続のIKE設定のDHグループがカスタマーゲートウェイデバイスと同じであることを確認してください。

2. カスタマーゲートウェイデバイスのIKE設定で複数のDHグループが指定されている場合は、IPsec-VPN接続に指定されたDHグループを使用するようにカスタマーゲートウェイデバイスを設定することを推奨します。

3. 複数のIPsec-VPN接続がカスタマーゲートウェイに関連付けられている場合、バージョン、ネゴシエーションモード、暗号化アルゴリズム、認証アルゴリズム、DHグループ、SAライフサイクル (秒) など、すべてのIPsec-VPN接続が同じIKE設定を使用していることを確認します。

   IPsec-VPN接続のLocalId値は、カスタマーゲートウェイデバイスのRemoteId値と同じである必要があります。 IPsec-VPN接続のRemoteId値は、カスタマーゲートウェイデバイスのLocalId値と同じである必要があります。

事前共有キーが一致しません。

PskMismatch

事前共有キーが一致しません。

• 解読に失敗しました! 事前共有された秘密の不一致

• 事前共有秘密の不一致

• 無効なHASH_V1ペイロード長、復号化失敗

• ペイロードを復号できませんでした

• 認証失敗

1. IPsec-VPN接続の事前共有キーがカスタマーゲートウェイデバイスのものと同じであることを確認してください。

   IPsec-VPN接続またはカスタマーゲートウェイデバイスの事前共有キーを変更して、IPsecネゴシエーションをトリガーできます。 システムは、両端の事前共有キーが同じかどうかを自動的にチェックします。

2. IPsec-VPN接続とカスタマーゲートウェイデバイスが同じ事前共有鍵を使用している場合は、IKE設定とIPsec設定で同じ暗号化アルゴリズム、認証アルゴリズム、DHグループを使用していることを確認してください。

3. カスタマーゲートウェイデバイスのIKE設定およびIPsec設定に複数の暗号化アルゴリズム、認証アルゴリズム、またはDHグループが指定されている場合、IPsec-VPN接続に指定されている暗号化アルゴリズム、認証アルゴリズム、またはDHグループを使用するようにカスタマーゲートウェイデバイスを設定することを推奨します。

PeerIDが一致しません。

PeerIdMismatch

LocalIDまたはRemoteIDパラメーターが一致しないか、互換性がありません。

• ピアidと一致しません

• メッセージにIDrペイロードがない

• メインモードではIPアドレスタイプを想定していますが、FQDN

• Unknow peer id

• PEERIDの解析に失敗しました

• 受信ID_I(xxx) がピアidと一致しない

1. IPsec-VPN接続のLocalId値がカスタマーゲートウェイデバイスのRemoteId値と同じであり、IPsec-VPN接続のRemoteId値がカスタマーゲートウェイデバイスのLocalId値と同じであることを確認します。 値が異なる場合は、値を変更します。

   • IPsec-VPN接続がVPNゲートウェイに関連付けられている場合、VPNゲートウェイのIPアドレスはIPsec-VPN接続のLocalId値として指定され、カスタマーゲートウェイのIPアドレスはデフォルトでRemoteId値として指定されます。

   • IPsec-VPN接続がトランジットルーターに関連付けられている場合、IPsec-VPN接続のゲートウェイIPアドレスはIPsec-VPN接続のLocalId値として指定され、カスタマーゲートウェイのIPアドレスはデフォルトでRemoteId値として指定されます。

2. IPsec-VPN接続のIKEバージョンとネゴシエーションモードがikev1とmainの場合、LocalIdとRemoteIdパラメーターはIPアドレスのみをサポートします。 LocalIdパラメーターとRemoteIdパラメーターの値が有効であることを確認します。

3. IPsec-VPN接続のネゴシエーションモードがカスタマーゲートウェイデバイスと同じであることを確認します。

   接続とカスタマーゲートウェイデバイスのネゴシエーションモードをmainに設定し、mainモードのLocalIdパラメーターとRemoteIdパラメーターをIPアドレスに設定することを推奨します。

4. IPsec-VPN接続のIKEバージョンがikev2で、上記の設定を確認している場合は、IPsec-VPN接続とカスタマーゲートウェイデバイスがIKE設定とIPsec設定で同じ暗号化アルゴリズム、認証アルゴリズム、DHグループを使用しているかどうかを確認してください。 設定が異なる場合は、設定を変更します。

DPDペイロードシーケンスは互換性がありません。

DpdHashNotifyCompatibility

DPDペイロードシーケンスは互換性がありません。

メッセージにハッシュペイロードがないため、情報を無視

Dead Peer Detection (DPD) 機能が有効になっているシナリオでは、デフォルトのペイロードシーケンスはhash-notifyです。 カスタマーゲートウェイデバイスのDPDペイロードシーケンスがhash-notifyであるかどうかを確認します。 そうでない場合は、ペイロードシーケンスをhash-notifyに変更します。

DPDがタイムアウトしました。

DpdTimeout

DPDパケットがタイムアウトしました。

DPD: リモートは死んでいるようです

1. IPsec-VPN接続とカスタマーゲートウェイデバイスの両方でDPDが有効になっていることを確認します。

   説明

   DPDパケットタイムアウトは、IPsecネゴシエーションをトリガし得る。

2. IPsec-VPN接続とカスタマーゲートウェイデバイスのネットワーク状態とルーティング設定を確認します。 IPsec-VPN接続とカスタマーゲートウェイデバイスの間で接続の問題が発生しないことを確認してください。

IKEバージョンが一致しません。

IkeVersionMismatch

IKEバージョンまたはネゴシエーションモードが一致しません。

unknown ikev2ピア

1. IPsec-VPN接続とカスタマーゲートウェイデバイスが同じIKEバージョンを使用していることを確認してください。

   • カスタマーゲートウェイデバイスがIKEバージョンの自動選択をサポートしている場合、またはIKEv1とIKEv2の両方をサポートしている場合は、カスタマーゲートウェイデバイスのIKEバージョンを手動で指定し、同じIKEバージョンを使用するようにIPsec-VPN接続を構成することをお勧めします。

   • IKEv2バージョンを選択することを推奨します。

2. IPsec-VPN接続とカスタマーゲートウェイデバイスが同じネゴシエーションモードを使用していることを確認します。

ネゴシエーションモードが一致しません。

NegotiationModeMismatch

ネゴシエーションモードが一致しません。

• でアイデンティティが受け入れられないアグレッシブモード

• 許容できないID保護モード

1. IPsec-VPN接続とカスタマーゲートウェイデバイスが同じネゴシエーションモードを使用していることを確認します。

   ネゴシエーションモードをmainに設定することを推奨します。

2. IPsec-VPN接続とカスタマーゲートウェイデバイスの両方がメインモードを使用しているときにIPsecネゴシエーションがまだ失敗した場合は、IPsec-VPN接続とカスタマーゲートウェイデバイスのネゴシエーションモードをアグレッシブに変更できます。 この問題は、いくつかのシナリオでのみ発生します。

NAT-Tは一致しません。

NatTMismatch

NATトラバーサルが一致しません。

パケットを無視し、受信した予期しないペイロードタイプ130

IPsec-VPN接続とカスタマーゲートウェイデバイスが同じNATトラバーサル設定を使用していることを確認します。

カスタマーゲートウェイデバイスがNATゲートウェイのバックエンドデバイスである場合、IPsec-VPN接続とカスタマーゲートウェイデバイスのNATトラバーサルを有効にすることを推奨します。

SA Lifetimeが一致しません。

LifetimeMismatch

Lifetimeパラメーターが一致しません。

長い寿命が提案された

IKE設定およびIPsec設定のIPsec-VPN接続のSAライフサイクル (秒) がカスタマーゲートウェイデバイスと同じであることを確認してください。

IPsec-VPN接続とカスタマーゲートウェイデバイスは、異なるSAライフサイクル (秒) 値を使用できます。 ただし、異なるメーカーのカスタマーゲートウェイデバイスを使用する場合にIPsec-VPN接続の安定性を確保するために、IPsec-VPN接続とカスタマーゲートウェイデバイスが同じSAライフサイクル (秒) 値を使用するように設定することを推奨します。

セキュリティプロトコルが一致しません。

SecurityProtocolMismatch

セキュリティプロトコルが一致しません。

proto_idの不一致

カスタマーゲートウェイデバイスがセキュリティプロトコルとしてEncapsulating Security Payload (ESP) を使用していることを確認します。

VPN Gatewayは、IPsec-VPN接続のESPプロトコルのみをサポートします。 認証ヘッダー (AH) はサポートされていません。

カプセル化モードが一致しません。

EncapsulationModeMismatch

カプセル化モードが一致しません。

encmode不一致

カスタマーゲートウェイデバイスのカプセル化モードがトンネリングに設定されていることを確認します。

VPN Gatewayは、IPsec-VPN接続のトンネリングモードのみをサポートします。 送信モードはサポートされていません。

アルゴリズムは互換性がありません。

アルゴリズムの互換性

アルゴリズムは互換性がありません。

非該当

IKE設定の認証アルゴリズムとIPsec-VPN接続とカスタマーゲートウェイデバイスのIPsec設定に互換性がない場合は、md5などの別の認証アルゴリズムを選択します。

保護されたデータフローが一致しません。

TrafficSelectorMismatch

Protected Data Flowsパラメーターが一致しません。

• トラフィックセレクターの不一致

• invalid-id-information

• トラフィックセレクターは受け入れられません

• 一致するセレクターが見つからない

• 受信INVALID_ID_INFORMATIONエラー通知

• 受け取った通知タイプTS_UNACCEPTABLE

1. IPsec-VPN接続のIKEバージョンに基づいて、保護されたデータフローのCIDRブロックを確認し、CIDRブロックが次の要件を満たしていることを確認します。

   • IPsec-VPN接続のIKEバージョンがikev1の場合、保護されたデータフローは1つのCIDRブロックのみをサポートします。

   • IPsec-VPN接続のIKEバージョンがikev2の場合、保護されたデータフローは複数のCIDRブロックをサポートします。

     説明

     IPsec-VPN接続に複数のCIDRブロックが設定されており、IPsec-VPN接続とカスタマーゲートウェイデバイスのIPsecネゴシエーション設定が異なる場合、一部のCIDRブロックにアクセスできない可能性があります。 この問題を解決する方法の詳細については、フェーズ2交渉は成功するが、通信は一部のCIDRブロック間でのみ成功することをシステムが促すのはなぜですか? 「IPsec-VPN接続に関するFAQ」トピックのセクション。

2. IPsec-VPN接続とカスタマーゲートウェイデバイスの保護されたデータフローのCIDRブロックが次の要件を満たしているかどうかを確認します。

   • IPsec-VPN接続の保護されたデータフローのローカルCIDRブロックは、カスタマーゲートウェイデバイスの保護されたデータフローのピアCIDRブロックと同じです。

   • IPsec-VPN接続の保護されたデータフローのピアCIDRブロックは、カスタマーゲートウェイデバイスの保護されたデータフローのローカルCIDRブロックと同じです。

PFSは一致しません。

PfsMismatch

フェーズ2 DHグループパラメーターが一致しません。

• pfsグループ不一致

• メッセージにKEペイロードがない

IPsec-VPN接続とカスタマーゲートウェイデバイスが、IPsec設定で同じPerfect Forward Secrecy (PFS) 設定を使用していることを確認します。

• IPsec-VPN接続のIPsec構成のDHグループ設定が無効に設定されている場合、接続のPFSは無効になります。 カスタマーゲートウェイデバイスのPFSを無効にする必要があります。

• IPsec-VPN接続のIPsec構成のDHグループ設定が無効以外の値に設定されている場合、接続に対してPFSが有効になります。 カスタマーゲートウェイデバイスのPFSを有効にする必要があります。

IPsec-VPN接続とカスタマーゲートウェイデバイスのPFSを有効にすることを推奨します。

コミットビットが一致しません。

コミットミスマッチ

コミットビットが一致しません。

非該当

カスタマーゲートウェイデバイスのコミットが無効になっていることを確認します。

コミットは、保護されたデータフローが送信される前にIPsecネゴシエーションが完了することを保証できる。 VPN Gatewayはコミットをサポートしていません。

提案は一致しません。

ProposalMismatch

提案は一致しません。

• 提案が選択されていない

• NO_PROPOSAL_CHOSENを受け取りました

• 適切な提案が見つかりません

• 有効な提案の取得に失敗しました

• none of my proposal match

• 一致する提案が見つかりませんでした。NO_PROPOSAL_CHOSENを送信

• 提案の不一致

• configuarationが見つかりませんでした

• 無視してパケットを暗号化

1. IPsec-VPN接続とカスタマーゲートウェイデバイスが同じIKEバージョンを使用していることを確認してください。

   IKEv2を選択することを推奨します。

2. IPsec-VPN接続とカスタマーゲートウェイデバイスが同じIKE設定を使用しているかどうかを確認します。 異なるIKE設定を使用する場合は、次の要件を満たすように設定を変更します。

   • IPsec-VPN接続とカスタマーゲートウェイデバイスは、同じバージョン、ネゴシエーションモード、暗号化アルゴリズム、認証アルゴリズム、DHグループ、SAライフサイクル (秒) を使用します。

   • IPsec-VPN接続のLocalId値は、カスタマーゲートウェイデバイスのRemoteId値と同じであり、IPsec-VPN接続のRemoteId値は、カスタマーゲートウェイデバイスのLocalId値と同じである。

3. IPsec-VPN接続とカスタマーゲートウェイデバイスが、暗号化アルゴリズム、認証アルゴリズム、DHグループ、SAライフサイクル (秒) 、NATトラバーサルなど、同じIPsec設定を使用しているかどうかを確認します。 異なるIPsec設定を使用する場合は、設定を変更します。

   IPsec-VPN接続とカスタマーゲートウェイデバイスの保護されたデータフローが次の要件を満たしていることを確認します。

   • IPsec-VPN接続の保護されたデータフローのローカルCIDRブロックは、カスタマーゲートウェイデバイスの保護されたデータフローのピアCIDRブロックと同じです。

   • IPsec-VPN接続の保護されたデータフローのピアCIDRブロックは、カスタマーゲートウェイデバイスの保護されたデータフローのローカルCIDRブロックと同じです。

4. 複数のIPsec-VPN接続がカスタマーゲートウェイに関連付けられている場合、バージョン、ネゴシエーションモード、暗号化アルゴリズム、認証アルゴリズム、DHグループ、SAライフサイクル (秒) など、すべてのIPsec-VPN接続が同じIKE設定を使用していることを確認します。

   各IPsec-VPN接続のLocalId値は、カスタマーゲートウェイデバイスのRemoteId値と同じである必要があります。 各IPsec-VPN接続のRemoteId値は、カスタマーゲートウェイデバイスのLocalId値と同じである必要があります。

5. IPsec-VPN接続をリセットして、IPsecネゴシエーションをトリガーします。

交渉は失敗した。

交渉失敗

交渉は失敗した。

phase2ネゴシエーションは、phase1のタイムアップ待機のため失敗しました

IPsec-VPN接続をリセットして、IPsecネゴシエーションをトリガーします。 システムはネゴシエーション設定を再度チェックします。

フェーズ1の交渉はタイムアウトしました。

Phase1NegotiationTimeout

フェーズ1のパケットは受信できず、ネゴシエーションはタイムアウトしました。

• phase1ネゴシエーションはタイムアップにより失敗しました

• 無視情報がISAKMP-SAされていないため

1. カスタマーゲートウェイデバイスが期待どおりにIPsecパケットを送受信できることを確認します。

2. IPsec-VPN接続に関連付けられているカスタマーゲートウェイのIPアドレスがカスタマーゲートウェイデバイスのIPアドレスと同じであることを確認します。

3. カスタマーゲートウェイデバイスの予期しない再起動などの異常を確認します。

4. IPsec-VPN接続とカスタマーゲートウェイデバイスが相互にアクセスできることを確認します。

   カスタマーゲートウェイデバイスでping、mtr、またはtracerouteコマンドを実行し、VPNゲートウェイのIPアドレスまたはIPsec-VPN接続のゲートウェイIPアドレスにアクセスできるかどうかを確認します。

5. VPN Gatewayは、クロスボーダーIPsec-VPN接続をサポートしていません。 クロスボーダーIPsec-VPN接続を作成する場合は、Cloud Enterprise Network (CEN) を使用します。 詳細については、「」をご参照ください。CENとは何ですか?

6. IPsec-VPN接続をリセットして、IPsecネゴシエーションをトリガーします。

フェーズ2の交渉はタイムアウトしました。

Phase2NegotiationTimeout

フェーズ2のパケットは受信できず、ネゴシエーションはタイムアウトしました。

非該当

1. IPsec-VPN接続とカスタマーゲートウェイデバイスが、暗号化アルゴリズム、認証アルゴリズム、DHグループ、SAライフサイクル (秒) など、同じIPsec設定を使用していることを確認します。

2. IPsec-VPN接続とカスタマーゲートウェイデバイスが同じNATトラバーサル設定を使用しているかどうかを確認します。 IPsec-VPN接続とカスタマーゲートウェイデバイスのNATトラバーサルが同時に有効または無効になっていることを確認します。

3. IPsec-VPN接続とカスタマーゲートウェイデバイスのIKEバージョンをIKEv1またはIKEv2に変更します。

ピアからの応答パケットを受信できません。

ノーレスポンス

ピアゲートウェイは応答しません。

• 送信要求メッセージID 0, seq 1の再送信1

• 再送信回数が制限を超えました

1. カスタマーゲートウェイデバイスが期待どおりにIPsecパケットを送受信できることを確認します。

2. IPsec-VPN接続に関連付けられているカスタマーゲートウェイのIPアドレスがカスタマーゲートウェイデバイスのIPアドレスと同じであることを確認します。

3. カスタマーゲートウェイデバイスの予期しない再起動などの異常を確認します。

4. IPsec-VPN接続とカスタマーゲートウェイデバイスが相互にアクセスできることを確認します。

   カスタマーゲートウェイデバイスでping、mtr、またはtracerouteコマンドを実行し、VPNゲートウェイのIPアドレスまたはIPsec-VPN接続のゲートウェイIPアドレスにアクセスできるかどうかを確認します。

5. カスタマーゲートウェイデバイスのアクセス制御ポリシーが次の要件を満たしていることを確認します。

   • UDPポート500と4500は開いています。

   • VPNゲートウェイのIPアドレスまたはIPsec-VPN接続のゲートウェイIPアドレスが許可されています。

6. IPsec-VPN接続をリセットして、IPsecネゴシエーションをトリガーします。

削除パケットは、ピアから受信される。

ReceiveDeleteNotify

ピアからの削除パケットが受信される。

DELETE IKE_SAを受け取った

IPsec-VPN接続がカスタマーゲートウェイデバイスからdelete notifyパケットを受信した場合、カスタマーゲートウェイデバイスの問題をトラブルシューティングします。

ネゴシエーション例外の理由は見つかりません。

NoExceptionFound

ネゴシエーション例外の理由は見つかりません。

非該当

IPsec − VPN接続は、IPsecネゴシエーションを開始していない可能性がある。 Alibaba Cloud側またはカスタマーゲートウェイデバイスのIPsec-VPN接続をリセットします。

Alibaba Cloud側では、IPsec-VPN接続の [有効な即時] パラメーターの値を変更して保存し、[有効な即時] パラメーターを元の値に設定してIPsecネゴシエーションをトリガーできます。 次に、ページを更新し、ネゴシエーション結果を確認します。