用户在天翼云VPN产品使用过程中，通常会出现由于配置错误（天翼云侧或用户侧协商策略、防火墙、路由表、域间策略、NAT配置、安全组等信息配置）而导致连接故障或无法PING通。

检查VPN两侧协商信息

• 确认PSK共享密钥是否一致。
• 确认IKE策略、IPsec策略协商参数是否一致。
• 确认两侧的本地子网和远端子网配置是否互为镜像。

检查客户防火墙ACL和云端安全组配置

• 确认放行去往天翼云VPC子网的数据流。
• 确认放行来自天翼云VPC子网的数据流。

检查防火墙路由表

确认存在目标地址为天翼云VPC子网的路由信息：

• 确认配置去往天翼云目标网络的路由信息，路由表或VPN路由表中存在路由信息。
• 确认路由转发表状态正常。

                    
注意
                    
路由易错配置：
目的网段与天翼云VPC网段不一致，导致前往天翼云的流量无法路由到配置IPsec策略的公网口。
配置静态路由时指定出接口，而非指定下一跳。在ethernet类型的网络中，出接口会因为无法学习到对端的ARP信息而导致路由转发失败。
将路由的下一跳地址指定为天翼云端的VPN网关地址。部分友商设备会因为路由信息无法自动迭代而不可行；由于VPN流量是要从公网口发出的，因此下一跳地址必须是运营商提供的网关地址。


                    
                  
                  

检查客户防火墙域间策略

• trust到untrust：放行本地VPC到云上VPC子网访问策略。
• untrust到trust：放行云上VPC到本地VPC子网访问策略。

检查防火墙NAT配置

确认本地VPN网关是否在NAT设备后（一般是边界防火墙）进行部署，即VPN网关的出接口使用私有地址，然后在NAT设备上做公网地址转换。

这种场景也被称为IPsec NAT穿越。