故障现象

在“虚拟专用网络 >企业版-VPN连接”页面，VPN连接状态显示为“未连接”。

可能原因

• VPN连接两端的连接配置不正确。

• 安全组和客户设备侧ACL配置不正确。

处理步骤

• 检查VPN连接两端的连接配置

  • 确认两端配置的网关IP参数是否为镜像。

    • VPN网关的主/备EIP可以选择“虚拟专用网络 > 企业版-VPN网关”，在网关IP栏下查看。

    • 客户设备侧网关的公网IP可以选择“虚拟专用网络 > 企业版-对端网关”，在网关IP栏下查看。

  • 确认IKE策略、IPsec策略协商参数是否一致。

    • IKE策略、IPsec策略协商参数可以选择“虚拟专用网络 > 企业版-VPN连接”，单击“修改策略配置”查看。

  • 确认预共享密钥是否一致。

    • 预共享密钥无法在云上直接查看。如果不确认预共享密钥，建议根据客户设备侧的预共享密钥对VPN连接的预共享密钥进行重置。

      可以选择“虚拟专用网络 > 企业版-VPN连接”，选择“更多 > 重置密钥”进行重置。

  • 如果连接模式采用策略模式，请确认两端策略规则中的源网段和目的网段是否为镜像。

    策略规则可以选择“虚拟专用网络 > 企业版-VPN连接”，单击“修改连接信息”查看。

  • 如果连接模式采用静态路由模式且云侧开启了NQA功能，请确认客户设备侧是否已经正确配置Tunnel隧道的IP地址。

    • 是否开启NQA功能，可以选择“虚拟专用网络 > 企业版-VPN连接”，单击VPN连接名称，在“基本信息”页签查看“检测机制”。

    • 客户设备侧在VPN连接已设置的Tunnel隧道的IP地址，可以选择“虚拟专用网络 > 企业版-VPN连接”，单击“修改连接信息”，查看本端接口地址和对端接口地址。VPN连接的本端接口地址和对端接口地址需要和客户设备的本端接口地址和对端接口地址互为镜像配置。

  • 如果连接模式采用BGP路由模式，请确认两端的BGP ASN是否为镜像。

    • VPN网关的BGP ASN可以选择“虚拟专用网络 > 企业版-VPN网关”，单击VPN网关名称，在“基本信息”页签查看。

    • 客户设备侧网关的BGP ASN可以选择“虚拟专用网络 > 企业版-对端网关”，在BGP ASN栏下查看。

• 检查安全组和客户设备侧ACL配置

  • 确认default安全组已经放通客户设备侧公网IP的UDP协议端口500和4500。

    default安全组查看步骤如下：

    1. 选择“虚拟专用网络 > 企业版-VPN网关”，单击关联的VPC名称。

    2. 单击VPC对应的路由表。

    3. 单击路由表的名称。

    4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。

    5. 在“关联安全组”页签，检查端口放通情况。

  • 确认客户设备侧安全组已经放通VPN网关主备EIP的UDP协议端口500和4500。