VPN配置完成了,为什么连接一直处于未连接状态?
可能存在信息配置错误,请从以下方面进行排查:
确认两端的预共享密钥和协商信息一致,云上与用户侧数据中心的本端子网/对端子网、本端网关/对端网关互为镜像。
确认用户侧数据中心设备的路由、NAT和安全策略配置无误。
如何防止VPN连接出现中断情况?
VPN连接在正常的使用过程中会存在重协商情况,触发重协商的条件有IPsec SA的生命周期即将到期和VPN传输的流量超过20GB,重协商一般不造成连接中断。
大多数的连接中断都是因为两端的配置信息错误造成的,或公网异常导致重协商失败造成的。
常见的连接中断原因有:
两端的ACL不匹配;
SA生命周期不匹配;
用户侧数据中心未配置DPD;
VPN使用过程中修改了配置信息;
运营商网络抖动。
因此请在配置VPN时确保操作和配置,以进行连接状态保活:
两端的子网配置互为镜像;
SA生命周期信息一致;
用户侧数据中心网关开启DPD配置,探测次数不少于3次;
连接过程中修改参数两侧同步修改;
设置用户侧数据中心设备TCP MAX-MSS为1300;
确保用户侧数据中心出口有足够的带宽可被VPN使用;
确认VPN连接可被两端触发协商,开启用户侧数据中心设备的主动协商配置;
使用中IPsec VPN连接中断后如何快速恢复?
如果无法正常触发协商,请检查IPsec两侧公网IP的连通性,比如两个公网IP互Ping验证。VPN网关IP默认回应ICMP报文。
如果公网链路正常,需排查是否存在多出口的链路切换,即当前访问云网关IP流量未从协商端口流出。
如果无多出口或出口路径正常,可尝试IPsec隧道两端同时修改一次PSK,重新触发协商。
如果重新触发协商失败,请确认两端配置的协商策略是否一致、感兴趣流是否互为镜像(条目数、子网均相同)。
如果协商策略和感兴趣流配置无误,请关停云下设备的VPN连接,等待云端连接显示为“未连接”后,重启云下设备VPN连接,并进行数据流触发。
如果依然无法触发协商时,请执行以下操作:
记录VPN连接的协商策略、PSK、本端子网、对端网关、对端子网。
使用现有网关新建一条连接,协商策略、PSK、本端子网均与原连接相同,对端网关和对端子网先任意填写。
待新创建连接成功后,删除原连接,之后再修改新建连接的对端网关和对端子网与记录数据一致。
修改完成后重新触发协商。
VPN网关带宽到达限额时有什么影响?
VPN带宽限速限制的出VPC方向的带宽,如果您VPN的带宽超过限额使用时,会出现网络卡顿、部分子网间无法访问、甚至出现VPN连接中断现象(无法收到VPN的探测报文)。
因此在出现VPN带宽已达到上限时,建议您对VPN网关带宽进行扩容。
说明
VPN的带宽最大为1Gbit/s。
IPsec VPN是否会自动建立连接?
支持自动建立连接。
两个Region创建的VPN连接状态正常,为什么不能ping通对端ECS?
安全组默认放行了出方向的所有端口,入方向需要按照实际需要添加放行规则,确认接收ping报文的ECS安全组放行了入方向的ICMP。
IDC与云端对接,VPN连接正常,子网间业务无法互相访问?
连接状态正常,说明两端的协商参数没有问题,排查项如下:
用户侧数据中心设备子网路由是否从网关开始逐跳指向VPN出口设备。
VPN设备有安全设置放行了子网间的数据互访。
IDC子网访问云端数据不做NAT。
确保两侧公网IP(网关IP)间访问不被阻拦。
正在使用VPN出现了连接中断,提示数据流不匹配,如何排查?
这通常是由于云上与用户侧数据中心设备配置的ACL不匹配造成的。
首先确认两端VPN连接的子网信息是否配置一致,确保云端生成的ACL与用户侧数据中心ACL配置互为镜像
用户侧数据中心感兴趣流配置推荐使用“子网/掩码”的格式,避免使用网络地址对象模式,即address object模式,address object为非标模式,容易引起不兼容问题。
正在使用VPN出现了连接中断,提示DPD超时,如何排查?
出现DPD超时的连接中断是因为两端网络访问无数据,在SA老化后发送DPD未得到对端响应而删除连接。
解决方法
开启用户侧数据中心设备的DPD配置,测试两端的数据流均可触发连接建立;
在两端的主机中部署Ping shell脚本,也可在用户侧数据中心的子网的网关设备上配置保活数据,如NQA。
创建VPN连接后业务已通,但网页上的连接状态还是显示未连接?
管理控制台界面中VPN连接状态刷新存在一定的延迟,是正常现象。
如果数据面已正常(即业务访问已正常),则VPN连接已完成建立。
VPN连接中断后会通知我吗?
VPN连接的状态监控功能已上线,VPN连接创建后即会向云监控服务CES上报状态信息,但是并不会自动向用户发送告警通知,需要在服务列表中选择“管理与监管>云监控”创建告警规则。
VPN连接状态请在VPN连接“监控”列中单击进行查看。
如何解决VPN连接无法建立连接问题?
登录控制台,进入“VPN连接 > 企业版-VPN连接”页面。
在VPN连接列表中,单击目标VPN连接“操作”列的“修改策略配置”,查看该VPN连接对应的IKE策略和IPsec策略详情。
检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。
如果第一阶段IKE SA已经建立,第二阶段IPsec SA未建立,常见情况为IPsec策略与数据中心远端的配置不一致。
检查ACL是否配置正确。
假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,则你在数据中心或局域网中的ACL应对你的每一个数据中心子网配置允许VPC下的子网通信的规则,如下例:
rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255配置完成后检查VPN是否连接,从两侧测试ping是否正常。
VPN建立后您的数据中心或局域网无法访问弹性云主机?
我们提供的安全组默认不允许任何源访问,请确认您的安全组是否配置允许远端的子网地址访问。
为什么VPN创建成功后状态显示未连接?
VPN连接状态存在一定延迟,请等待大约2分钟后重新刷新VPN连接状态。
VPN是否启动了DPD检测机制?
是的。
VPN服务默认开启了DPD探测机制,用于探测用户侧数据中心IKE进程的存活状态。
3次探测失败后即认为用户侧数据中心IKE异常,此时云会删除本端隧道,以保持双方的隧道同步。
DPD协议本身并不要求对端也同步进行配置(但是要求对端可以应答DPD探测),为了保证协商双方隧道状态一致,避免出现单边隧道(一端存在隧道,而另一端已不存在),建议用户同时启动用户侧网关的DPD探测机制,用于探测云侧VPN服务的IKE状态。
说明
DPD探测失败后会删除隧道,不会导致业务不稳定。
DPD可以及时发现对方IKE进程异常,并通过重置隧道的方法来保持双方隧道同步。在删除隧道后,当有用户流量时,可以重新触发协商并建立隧道。
