用戶在天翼云VPN產品使用過程中，通常會出現由于配置錯誤（天翼云側或用戶側協商策略、防火墻、路由表、域間策略、NAT配置、安全組等信息配置）而導致連接故障或無法PING通。

檢查VPN兩側協商信息

• 確認PSK共享密鑰是否一致。
• 確認IKE策略、IPsec策略協商參數是否一致。
• 確認兩側的本地子網和遠端子網配置是否互為鏡像。

檢查客戶防火墻ACL和云端安全組配置

• 確認放行去往天翼云VPC子網的數據流。
• 確認放行來自天翼云VPC子網的數據流。

檢查防火墻路由表

確認存在目標地址為天翼云VPC子網的路由信息：

• 確認配置去往天翼云目標網絡的路由信息，路由表或VPN路由表中存在路由信息。
• 確認路由轉發表狀態正常。

                    
注意
                    
路由易錯配置：
目的網段與天翼云VPC網段不一致，導致前往天翼云的流量無法路由到配置IPsec策略的公網口。
配置靜態路由時指定出接口，而非指定下一跳。在ethernet類型的網絡中，出接口會因為無法學習到對端的ARP信息而導致路由轉發失敗。
將路由的下一跳地址指定為天翼云端的VPN網關地址。部分友商設備會因為路由信息無法自動迭代而不可行；由于VPN流量是要從公網口發出的，因此下一跳地址必須是運營商提供的網關地址。


                    
                  
                  

檢查客戶防火墻域間策略

• trust到untrust：放行本地VPC到云上VPC子網訪問策略。
• untrust到trust：放行云上VPC到本地VPC子網訪問策略。

檢查防火墻NAT配置

確認本地VPN網關是否在NAT設備后（一般是邊界防火墻）進行部署，即VPN網關的出接口使用私有地址，然后在NAT設備上做公網地址轉換。

這種場景也被稱為IPsec NAT穿越。