VPN网关：自主排查IPsec-VPN连接问题

错误码（控制台专用）

错误码

（API专用）

错误信息

日志关键字

排查方法

邻居不匹配

PeerMismatch

收到的协议报文与用户网关信息不匹配

received UNSUPPORTED_CRITICAL_PAYLOAD error

1. 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同，如果不相同，请操作修改以确保两端IP地址相同。

2. 如果对端网关设备配置了多个IP地址，请确保用户网关配置的IP地址为对端网关设备实际在用的IP地址。

算法不匹配

AlgorithmMismatch

加密算法或认证算法或DH分组参数不匹配

• HASH mismatched

• parsed INFORMATIONAL_V1 request

• packet lacks expected payload

• authentication failure

1. 请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的加密算法、认证算法、DH分组是否相同，如果不相同，请操作修改以确保两端配置相同。

2. 如果对端网关设备在IKE配置阶段和IPsec配置阶段配置了多种加密算法、认证算法或DH分组，则建议修改对端网关设备的配置，使对端网关设备的加密算法、认证算法以及DH分组的配置与IPsec连接的配置相同。

   说明

   在阿里云侧配置IPsec连接时，IKE配置阶段和IPsec配置阶段的加密算法、认证算法和DH分组均只支持指定一个值，不支持指定多个值。

加密算法不匹配

EncryptionAlgorithmMismatch

IPsec的加密算法不匹配

• invalid encryption algorithm

• trns_id mismatched

• rejected enctype

• authentication failure

1. 请排查IPsec连接及其对端网关设备在IPsec配置阶段配置的加密算法是否相同，如果不相同，请操作修改以确保两端配置相同。

2. 如果对端网关设备在IPsec配置阶段配置了多种加密算法，则建议修改对端网关设备的配置，使对端网关设备的加密算法与IPsec连接的加密算法相同。

认证算法不匹配

AuthenticationAlgorithmMismatch

IKE认证算法不匹配

• authtype mismatched

• rejected hashtype

• authentication failure

1. 请排查IPsec连接及其对端网关设备在IKE配置阶段配置的认证算法是否相同，如果不同，请操作修改以确保两端配置相同。

2. 如果对端网关设备在IKE配置阶段配置了多种认证算法，则建议修改对端网关设备的配置，使对端网关设备的认证算法与IPsec连接的认证算法相同。

DH分组不匹配

DhGroupMismatch

IKE一阶段DH分组参数不匹配

• received KE type 14,expected 2

• failed to compute dh value

• rejected dh_group

• proposal mismatch, transform type:4

1. 请排查IPsec连接及其对端网关设备在IKE配置阶段配置的DH分组是否相同，如果不同，请操作修改以确保两端配置相同。

2. 如果对端网关设备在IKE配置阶段配置了多种DH分组，则建议修改对端网关设备的配置，使对端网关设备的DH分组与IPsec连接的DH分组相同。

3. 如果您的使用场景中多个IPsec连接关联了同一个用户网关，则所有IPsec连接的IKE配置阶段的所有配置（包含版本、协商模式、加密算法、认证算法、DH分组、SA生存周期（秒））需保持相同。

   同时每个IPsec连接侧的LocalId需和IPsec连接对端网关设备的RemoteId相同；每个IPsec连接侧的RemoteId需和对端网关设备的LocalId相同。

预共享密钥不匹配

PskMismatch

预共享密钥参数不匹配

• Decryption failed! mismatch of preshared secrets

• mismatch of preshared secrets

• invalid HASH_V1 payload length, decryption failed

• could not decrypt payloads

• authentication failure

1. 请排查IPsec连接及其对端网关设备配置的预共享密钥是否相同，如果不同，请操作修改以确保两端配置相同。

   您也可以对IPsec连接及其对端网关设备的预共享密钥同时进行修改，此操作会触发IPsec协议重新协商，系统会再次检查两端的预共享密钥是否匹配。

2. 在IPsec连接及其对端网关设备预共享密钥相同的情况下，也请确保两端在IKE配置阶段和IPsec配置阶段配置的加密算法、认证算法、DH分组均相同。

3. 如果对端网关设备在IKE配置阶段和IPsec配置阶段配置了多种加密算法、认证算法或DH分组，则建议修改对端网关设备的配置，使对端网关设备的加密算法、认证算法以及DH分组的配置与IPsec连接的配置相同。

PeerID不匹配

PeerIdMismatch

LocalID或RemoteID不匹配或者不兼容

• does not match peers id

• message lacks IDr payload

• Expecting IP address type in main mode,but FQDN

• Unknow peer id

• Parse PEERID failed

• received ID_I(xxx) does not match peers id

1. 请排查IPsec连接侧的LocalId与对端网关设备的RemoteId是否相同；IPsec连接侧的RemoteId与对端网关设备的LocalId是否相同。如果不同，请操作修改。

   • 在IPsec连接绑定VPN网关实例的场景下，阿里云VPN网关默认将VPN网关的IP地址作为IPsec连接的LocalId，将用户网关的IP地址作为IPsec连接的RemoteId。

   • 在IPsec连接绑定转发路由器实例的场景下，阿里云VPN网关默认将IPsec连接的网关IP地址作为IPsec连接的LocalId，将用户网关的IP地址作为IPsec连接的RemoteId。

2. 如果IPsec连接的IKE版本为ikev1、协商模式为main，则LocalId和RemoteId仅支持IP地址格式，请确保LocalId和RemoteId的格式符合要求。

3. 请排查IPsec连接及其对端网关设备配置的协商模式是否相同，如果不相同，请操作修改以确保两端配置相同。

   推荐两端均配置为main（主模式），在main（主模式）下LocalId和RemoteId建议使用IP地址格式。

4. 如果IPsec连接的IKE版本为ikev2，且您已排查上述问题无误，请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的加密算法、认证算法、DH分组是否相同，如果不相同，请操作修改以确保两端配置相同。

DPD载荷顺序兼容

DpdHashNotifyCompatibility

DPD载荷顺序兼容

ignore information because the message has no hash payload

在IPsec连接开启DPD功能的场景下，IPsec连接的DPD载荷顺序默认为hash-notify，请排查对端网关设备的DPD载荷顺序是否也为hash-notify，如果不是，请将对端网关设备的DPD载荷顺序修改为hash-notify。

DPD超时

DpdTimeout

DPD报文超时

DPD: remote seems to be dead

1. 请排查IPsec连接及其对端网关设备是否均已开启DPD功能，请确保两端DPD功能的开启状态相同。

   说明

   DPD报文超时会导致IPsec协议重新协商。

2. 请排查IPsec连接及其对端网关设备配置之间的网络质量、路由配置，以确保IPsec连接及其对端网关设备配置之间是可以连通的。

IKE版本不匹配

IkeVersionMismatch

IKE版本号参数不匹配，或协商模式不匹配

unknown ikev2 peer

1. 请排查IPsec连接及其对端网关设备配置的IKE版本是否相同，如果不同，请操作修改以确保两端配置相同。

   • 如果对端网关设备支持自动选择IKE版本或者对端网关设备同时支持IKEv1和IKEv2两个版本，则建议为对端网关设备指定IKE版本，对端网关设备的IKE版本需和IPsec连接的IKE版本相同。

   • 推荐两端均使用为IKEv2版本。

2. 请排查IPsec连接及其对端网关设备配置的协商模式是否相同，如果不同，请操作修改以确保两端配置相同。

协商模式不匹配

NegotiationModeMismatch

协商模式不匹配

• in Identity not acceptable Aggressive mode

• not acceptable Identity Protection mode

1. 请排查IPsec连接及其对端网关设备配置的协商模式是否相同，如果不同，请操作修改以确保两端配置相同。

   推荐两端均使用main（主模式）。

2. 如果在两端均为main（主模式）的场景下IPsec连接依旧协商不成功（部分极端场景下会出现当前问题），请尝试将两端的协商模式修改为aggressive（野蛮模式）。

NAT-T不匹配

NatTMismatch

NAT穿越不匹配

ignore the packet, received unexpecting payload type 130

请排查IPsec连接及其对端网关设备的NAT穿越功能状态是否相同，如果不同，请操作修改以确保两端配置相同。

如果对端网关设备在NAT网关之后，则建议IPsec连接及其对端网关设备均开启NAT穿越功能。

SA生存周期时间不匹配

LifetimeMismatch

Lifetime参数不匹配

long lifetime proposed

请排查IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的SA生存周期（秒）是否相同，如果不同，请操作修改以确保两端配置相同。

IPsec连接及其对端网关设备配置的SA生存周期（秒）不强制要求相同，但由于不同网关设备所属厂商不同，为确保IPsec-VPN连接的稳定性，推荐两端配置相同的SA生存周期（秒）。

安全协议不匹配

SecurityProtocolMismatch

安全协议参数不匹配

proto_id mismatched

请排查对端网关设备使用的安全协议是否为ESP（Encapsulating Security Payload），如果不是，请修改为ESP。

对于IPsec-VPN连接使用的安全协议，阿里云VPN网关仅支持ESP，不支持AH（Authentication Header）。

封装模式不匹配

EncapsulationModeMismatch

封装模式不匹配

encmode mismatched

请排查对端网关设备使用的封装模式是否为隧道模式，如果不是，请修改为隧道模式。

对于IPsec-VPN连接使用的封装模式，阿里云VPN网关仅支持隧道模式，不支持传输模式。

算法兼容性

AlgorithmCompatibility

算法兼容性

无

IPsec连接及其对端网关设备在IKE配置阶段和IPsec配置阶段配置的认证算法不兼容，建议两端使用其他认证算法，例如md5。

感兴趣流不匹配

TrafficSelectorMismatch

感兴趣流网段参数不匹配

• traffic selector mismatch

• invalid-id-information

• traffic selector unacceptable

• can't find matching selector

• received INVALID_ID_INFORMATION error notify

• received Notify type TS_UNACCEPTABLE

1. 请根据IPsec连接使用的IKE版本排查感兴趣流的网段配置，确保符合以下原则：

   • 如果IPsec连接使用的IKE版本为ikev1，则感兴趣流仅支持配置单个网段。

   • 如果IPsec连接使用的IKE版本为ikev2，则感兴趣流支持配置多个网段。

     说明

     在IPsec连接配置多网段的场景下，由于IPsec连接与对端网关设备IPsec协议的协商机制不同，可能会导致部分网段通信正常，部分网段无法通信，您可以参见常见问题查看解决方案。

2. 请排查IPsec连接及其对端网关设备配置的感兴趣流是否相同，确保：

   • IPsec连接侧的本端网段与对端网关设备的对端网段相同。

   • IPsec连接侧对端网段与对端网关设备的本端网段相同。

PFS不匹配

PfsMismatch

IPsec二阶段DH分组参数不匹配

• pfs group mismatched

• message lacks KE payload

请排查IPsec连接及其对端网关设备IPsec配置阶段PFS功能的配置状态是否相同，如果不同，请操作修改以确保两端配置相同。

• 如果IPsec连接侧IPsec配置阶段DH分组配置为了disabled，则表示IPsec连接侧未开启PFS功能，则需要确保对端网关设备的PFS功能也关闭。

• 如果IPsec连接侧IPsec配置阶段DH分组配置为disabled以外的值，则表示IPsec连接侧开启了PFS功能，则需要确保对端网关设备的PFS功能也为开启状态。

推荐IPsec连接及其对端网关设备均开启PFS功能。

commit位不匹配

CommitMismatch

commit位不匹配

无

请排查对端网关设备的提交位（commit）是否为开启状态，如果是，请关闭提交位（commit）。

提交位（commit）是用于确保在发送被保护的数据之前完成IPsec协议的协商，阿里云VPN网关不支持配置提交位（commit）。

提议不匹配

ProposalMismatch

提议不匹配

• no proposal chosen

• received NO_PROPOSAL_CHOSEN

• no suitable proposal found

• failed to get valid proposal

• none of my proposal matched

• no matching proposal found, sending NO_PROPOSAL_CHOSEN

• proposal mismatch

• couldn't find configuaration

• ignore the packet,expecting the packet encrypted

1. 请排查IPsec连接及其对端网关设备配置的IKE版本是否相同，如果不相同，请操作修改以确保两端配置相同。

   推荐两端均使用IKEv2版本。

2. 请排查IPsec连接及其对端网关设备IKE配置阶段的所有配置是否相同，如果不相同，请操作修改以确保两端配置满足以下条件：

   • 关于版本、协商模式、加密算法、认证算法、DH分组、SA生存周期（秒）参数的配置，两端需保持相同。

   • IPsec连接侧的LocalId需和对端网关设备的RemoteId相同；IPsec连接侧的RemoteId需和对端网关设备的LocalId相同。

3. 请排查IPsec连接及其对端网关设备IPsec配置阶段的所有配置是否相同，如果不相同，请操作修改以确保两端配置相同（包含加密算法、认证算法、DH分组、SA生存周期（秒）、NAT穿越）。

   同时需确保IPsec连接及其对端网关设备配置的感兴趣流满足以下条件：

   • IPsec连接侧的本端网段与对端网关设备的对端网段相同。

   • IPsec连接侧对端网段与对端网关设备的本端网段相同。

4. 如果您的使用场景中多个IPsec连接关联了同一个用户网关，则所有IPsec连接的IKE配置阶段的所有配置（包含版本、协商模式、加密算法、认证算法、DH分组、SA生存周期（秒））需保持相同。

   同时每个IPsec连接侧的LocalId需和当前IPsec连接对端网关设备的RemoteId相同；每个IPsec连接侧的RemoteId需和当前IPsec连接对端网关设备的LocalId相同。

5. 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。

协商失败

NegotiationFailed

协议协商失败

phase2 negotiation failed due to time up waiting for phase1

请重置IPsec-VPN连接以触发IPsec协议重新协商，系统会再次进行检查。

一阶段协商超时

Phase1NegotiationTimeout

无法收到一阶段协议报文超时协商失败

• phase1 negotiation failed due to time up

• ignore information because ISAKMP-SA has not been established

1. 请排查对端网关设备是否可以正常接收或发送IPsec协议报文。

2. 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同，如果不相同，请操作修改以确保两端IP地址相同。

3. 请排查对端网关设备是否有异常（例如故障重启）。

4. 请排查对端网关设备和IPsec连接之间是否可以互相访问。

   尝试在对端网关设备上使用ping、mtr或traceroute命令访问VPN网关IP地址或IPsec连接的网关IP地址，确认两端可以互相访问。

5. 当前VPN网关不支持创建跨境的IPsec-VPN连接，如果您需要创建跨境连接，请使用云企业网产品。更多信息，请参见什么是云企业网。

6. 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。

二阶段协商超时

Phase2NegotiationTimeout

无法收到二阶段报文超时协商失败

无

1. 请排查IPsec连接及其对端网关设备IPsec配置阶段的参数配置是否相同（包含加密算法、认证算法、DH分组、SA生存周期（秒）），如果不相同，请操作修改以确保两端IPsec配置阶段的参数配置相同。

2. 请排查IPsec连接及其对端网关设备NAT穿越功能的状态是否相同。请确保两端的NAT穿越功能同时开启或者同时关闭。

3. 尝试修改IPsec连接及其对端网关设备使用的IKE版本，同时修改为IKEv1或同时修改为IKEv2。

无法收到对端协议应答报文

NoResponse

对端网关不响应

• sending retransmit 1 of request message ID 0, seq 1

• retransmission count exceeded the limit

1. 请排查对端网关设备是否可以正常接收或发送IPsec协议报文。

2. 请排查IPsec连接关联的用户网关的IP地址与IPsec连接对端网关设备的IP地址是否相同，如果不相同，请操作修改以确保两端IP地址相同。

3. 请排查对端网关设备是否有异常（例如故障重启）。

4. 请排查对端网关设备和IPsec连接之间是否可以互相访问。

   尝试在对端网关设备上使用ping、mtr或traceroute命令访问VPN网关IP地址或IPsec连接的网关IP地址，确认两端可以互相访问。

5. 请排查对端网关设备应用的访问控制策略，确认其是否满足以下条件：

   • 放开UDP协议500及4500端口。

   • 放行VPN网关实例的IP地址或IPsec连接网关IP地址。

6. 尝试对IPsec-VPN连接进行重置以触发IPsec协议重新协商。

收到对端的delete报文

ReceiveDeleteNotify

收到对端的delete报文

received DELETE IKE_SA

IPsec连接侧收到对端网关设备发送的delete notify报文，请在对端网关设备侧排查原因。

未诊断出协商异常原因

NoExceptionFound

未诊断出协商异常原因

无

当前结果有可能是IPsec-VPN连接并未开始协商导致的，请在阿里云侧或对端网络设备侧对IPsec-VPN连接进行重置。

在阿里云侧您可以修改IPsec连接下立即生效的值，保存后再将立即生效修改为原配置值，以此触发IPsec协议开始协商，然后刷新当前页面，查看检查结果。