创建IPsec VPN连接需要帐户名和密码吗?
天翼云的IPsec VPN在协商时使用预共享密钥方式或证书方式进行认证。当使用预共享密钥方式进行认证时,密钥是配置在IPsec连接上的,在协商完成后即建立隧道进行通信。VPN隧道所保护的主机在通信时无需输入帐户名和密码。
IPsec连接状态为“第一阶段协商失败”怎么办?
常见的IPsec连接对端网关设备导致“第一阶段协商失败”的原因如下表所示。
| 原因 | 解决方案 |
|---|---|
| IPsec连接对端网关设备工作异常。 | 请排查对端网关设备。具体操作,请咨询设备所属厂商。 |
| IPsec连接对端网关设备尚未添加IPsec VPN配置。 | 请为对端网关设备添加IPsec VPN配置,需确保对端网关设备的配置与IPsec连接的配置一致。 |
| IPsec连接对端网关设备所应用的访问控制策略未放行UDP协议500及4500端口。 | 请排查对端网关设备应用的访问控制策略,确保其满足以下条件: 出方向和入方向均放开UDP协议500及4500端口。 出方向和入方向均放行VPN网关实例的IP地址和用户网关的IP地址。 |
| IPsec连接对端厂商限制,需要有数据流量时才能触发IPsec协议协商。 | 请确认IPsec连接对端VPN网关是否存在此使用限制。如果存在此限制,请向对端厂商咨询如何触发IPsec协议协商。 |
IPsec连接状态为“第二阶段协商成功”,但IPsec连接协商状态间歇性变为失败怎么办?
产生当前问题的可能原因及解决方案如下表所示。
分类 可能原因 解决方案 IPsec VPN配置
IPsec连接及其对端网关设备在IPsec配置阶段DH算法参数的配置不一致。
请排查IPsec连接或者对端网关设备在IPsec配置阶段的DH算法参数的配置,使两端的DH算法参数的值配置相同。
对端网关设备的IPsec VPN配置中,某个参数被指定了多个值。
如配置对端网关设备时,指定IKE配置阶段加密算法的值为AES128、AES192。
在天翼云侧配置IPsec连接时,每个参数仅支持指定一个值。请排查对端网关设备的IPsec VPN配置,确保每个参数也仅指定了一个值,且与云侧VPN网关配置的IPsec连接的值相同。
网络质量不佳
由于IPsec连接和对端网关设备之间的网络质量不佳,造成DPD协议报文、IPsec协议报文丢失后超时,导致IPsec VPN连接中断。
排查底层互联网网络质量。
IPsec连接对端限制
IPsec连接对端厂商限制,需要有数据流量时才能触发IPsec协议协商。 请确认IPsec连接对端VPN网关是否存在此限制。
如果存在此限制,请向对端厂商咨询如何触发IPsec协议协商。
为什么IPsec连接状态为“第二阶段协商成功”,但VPC内的云主机实例无法访问本地数据中心内的服务器?
VPC的路由配置、安全组规则或本地数据中心的路由配置、访问控制策略未允许VPC内的云主机实例访问本地数据中心内的服务器。
| 分类 | 解决方案 |
|---|---|
| VPC | 排查VPC路由表中的路由配置。确保VPC路由表内已存在相关路由使云主机实例可以通过IPsec VPN连接访问本地数据中心的服务器。 排查VPC应用的安全组规则。确保安全组规则允许云主机实例和服务器之间互相访问。 |
| 本地数据中心 | 排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以对云主机实例做出应答。 排查本地数据中心的访问控制策略。确保本地数据中心允许云主机实例和服务器互相访问。 |
为什么IPsec连接状态为“第二阶段协商成功”,但本地数据中心内的服务器无法访问VPC内的云主机实例?
VPC的路由配置、安全组规则或本地数据中心的路由配置、访问控制策略未允许本地数据中心内的服务器访问VPC内的云主机实例。
| 分类 | 解决方案 |
|---|---|
| VPC | 排查VPC路由表中的路由配置。确保VPC路由表内已存在相关路由使云主机实例可以对服务器的访问做出应答。 排查VPC应用的安全组规则。确保安全组规则允许云主机实例和服务器之间互相访问。 |
| 本地数据中心 | 排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以通过IPsec VPN连接访问云主机实例。 排查本地数据中心的访问控制策略。确保本地数据中心允许云主机实例和服务器互相访问。 |
为什么IPsec连接状态为“第二阶段协商成功”,但IPsec VPN连接单向不通?
原因:
在IPsec连接的对端网关设备使用的是华为防火墙的情况下,如果对端网关设备的出接口配置了nat enable,将会导致从该接口发出的所有数据包的源IP地址都被转换为该接口的IP地址,导致IPsec VPN连接单向不通。
解决方案:
- 运行nat disable命令,关闭出接口的NAT功能。
- 设置NAT策略。
nat-policy interzone trust untrust outbound
policy 0
action no-nat
policy source 192.168.0.0 mask 24
policy destination 192.168.1.0 mask 24
policy 1
action source-nat
policy source 192.168.0.0 mask 24
easy-ip Dialer0
其中:
192.168.0.0:网关设备的私网网段。
192.168.1.0:VPC的私网网段。
Dialer0:网关设备的出接口。
为什么IPsec连接状态为“第二阶段协商成功”,能ping通但业务访问不通或部分端口号访问不通?
原因:
VPC应用的安全组规则或本地数据中心应用的访问控制策略未放行对应的IP地址、协议类型和端口号。
解决方案:
请按照以下操作排查相关配置:
- 排查VPC应用的安全组规则。确保安全组规则已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。
- 排查本地数据中心应用的访问控制策略。确保访问控制策略已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。
如果本地数据中心侧有业务策略、域名解析等配置建议一并排查。确保本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号已放行。
如何解决VPN连接无法建立连接的问题?
- 检查云上VPN连接中的IKE策略和IPsec策略是否与远端配置一致。
- 如果第一阶段IKE策略未建立,常见原因为云上IKE策略与数据中心远端的配置不一致。
- 如果第一阶段IKE策略已经建立,第二阶段的IPsec策略未开启,常见原因为云上IPsec策略与数据中心远端的配置不一致。
- 检查ACL是否配置正确。
假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,则您在数据中心或局域网中配置的ACL,应匹配数据中心子网和VPC内子网一一对应的通信规则,如下所示:
rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
- 配置完成后检查IPsec VPN是否可以连接,ping测试两端内网是否正常通信。
如何理解IPsec VPN连接中的远端网关和远端子网?
远端网关和远端子网是个相对的概念。在建立IPsec VPN连接时,从天翼云的角度出发,天翼云中的VPC网络就是本地子网,创建的VPN网关就是本地网关;与之对接的用户侧网络就是远端子网, 用户侧的网关就是远端网关。远端网关IP就是用户侧网关的公网IP,远端子网指需要和天翼云VPC子网互联的用户侧子网。
IPsec VPN连接远端子网是否可以包含本端子网?
不可以。在建立IPsec VPN连接时,做好两端的网段地址规划是至关重要的。在IPsec VPN中,通常是通过路由的方式来实现子网之间的通信。如果网段地址存在重叠,将会导致网络通信的混乱和安全问题的产生。因此,当您在建立IPsec VPN连接时,您需要确保连接的远端子网和本端子网不能互相包含,请在创建IPsec VPN前做好两端的网段地址规划,避免地址重叠。
