IPsec VPN是一种广泛使用的虚拟专用网络技术,它通过在IP层上加密和认证数据包来保护网络通信。在使用IPsec VPN时,可能会遇到各种问题,以下是一些IPsec VPN连接常见的问题及其处理方法:
| 错误码 | 错误信息 | 日志关键字 | 排查方法 |
|---|---|---|---|
| PeerMismatch | 邻居不匹配 | received UNSUPPORTED_CRITICAL_PAYLOAD error |
1. 检查IPsec连接的用户网关IP与对端网关设备的IP是否匹配。2. 确保使用的是正确的IP地址。 |
| AlgorithmMismatch | 算法不匹配 | HASH mismatched, parsed INFORMATIONAL_V1 request, 等 |
1. 检查两端的加密算法、认证算法、DH分组参数是否一致。2. 确保对端配置与IPsec连接配置相同。 |
| EncryptionAlgorithmMismatch | 加密算法不匹配 | invalid encryption algorithm, 等 |
1. 检查IPsec配置阶段的加密算法是否匹配。2. 修改对端配置以匹配IPsec连接。 |
| AuthenticationAlgorithmMismatch | 认证算法不匹配 | authtype mismatched, 等 |
1. 检查IKE配置阶段的认证算法是否匹配。2. 修改对端配置以匹配IPsec连接。 |
| DhGroupMismatch | DH分组不匹配 | received KE type 14,expected 2, 等 |
1. 检查IKE配置阶段的DH分组是否匹配。2. 修改对端配置以匹配IPsec连接。 |
| PskMismatch | 预共享密钥不匹配 | Decryption failed! mismatch of preshared secrets, 等 |
1. 检查两端预共享密钥是否一致。2. 确保加密算法、认证算法、DH分组配置相同。 |
| PeerIdMismatch | PeerID不匹配 | does not match peers id, 等 |
1. 检查LocalId和RemoteId是否匹配。2. 确保协商模式和格式符合要求。 |
| DpdHashNotifyCompatibility | DPD载荷顺序兼容 | ignore information because the message has no hash payload |
检查对端设备的DPD载荷顺序是否为hash-notify。 |
| DpdTimeout | DPD超时 | DPD: remote seems to be dead |
1. 检查DPD功能是否开启。2. 检查网络质量与路由配置。 |
| IkeVersionMismatch | IKE版本不匹配 | unknown ikev2 peer |
1. 检查IKE版本是否一致。2. 推荐使用IKEv2。 |
| NegotiationModeMismatch | 协商模式不匹配 | in Identity not acceptable Aggressive mode, 等 |
1. 检查协商模式是否一致。2. 推荐使用main模式。 |
| NatTMismatch | NAT-T不匹配 | ignore the packet, received unexpecting payload type 130 |
检查NAT穿越功能状态是否一致。 |
| LifetimeMismatch | SA生存周期时间不匹配 | long lifetime proposed |
检查SA生存周期(秒)是否一致。 |
| SecurityProtocolMismatch | 安全协议不匹配 | proto_id mismatched |
确保使用的安全协议为ESP。 |
| EncapsulationModeMismatch | 封装模式不匹配 | encmode mismatched |
确保使用的封装模式为隧道模式。 |
| AlgorithmCompatibility | 算法兼容性 | 无 | 使用兼容的认证算法,例如md5。 |
| TrafficSelectorMismatch | 感兴趣流不匹配 | traffic selector mismatch, 等 |
1. 根据IKE版本检查感兴趣流网段配置。2. 确保两端感兴趣流配置相同。 |
| PfsMismatch | PFS不匹配 | pfs group mismatched, 等 |
检查PFS功能的配置状态是否一致。 |
| CommitMismatch | commit位不匹配 | 无 | 检查对端设备的提交位(commit)是否开启。 |
| ProposalMismatch | 提议不匹配 | no proposal chosen, 等 |
1. 检查IKE版本和配置参数是否一致。2. 确保两端配置相同。 |
| NegotiationFailed | 协商失败 | phase2 negotiation failed due to time up waiting for phase1 |
重置IPsec-VPN连接以重新协商。 |
| Phase1NegotiationTimeout | 一阶段协商超时 | phase1 negotiation failed due to time up, 等 |
1. 检查对端设备是否能接收或发送IPsec报文。2. 确保IP地址匹配和网络连通性。 |
| Phase2NegotiationTimeout | 二阶段协商超时 | 无 | 1. 检查IPsec配置阶段参数是否一致。2. 检查NAT穿越功能状态。 |
| NoResponse | 无法收到对端协议应答报文 | sending retransmit 1 of request message ID 0, seq 1, 等 |
1. 检查对端设备是否能接收或发送IPsec报文。2. 确保IP地址匹配和网络连通性。 |
| ReceiveDeleteNotify | 收到对端的delete报文 | received DELETE IKE_SA |
对端网关设备侧排查原因。 |
