創建IPsec VPN連接需要帳戶名和密碼嗎？

天翼云的IPsec VPN在協商時使用預共享密鑰方式或證書方式進行認證。當使用預共享密鑰方式進行認證時，密鑰是配置在IPsec連接上的，在協商完成后即建立隧道進行通信。VPN隧道所保護的主機在通信時無需輸入帳戶名和密碼。

IPsec連接狀態為“第一階段協商失敗”怎么辦？

常見的IPsec連接對端網關設備導致“第一階段協商失敗”的原因如下表所示。

IPsec連接狀態為“第二階段協商成功”，但IPsec連接協商狀態間歇性變為失敗怎么辦？

產生當前問題的可能原因及解決方案如下表所示。

分類
可能原因
解決方案
IPsec VPN配置
IPsec連接及其對端網關設備在IPsec配置階段DH算法參數的配置不一致。
請排查IPsec連接或者對端網關設備在IPsec配置階段的DH算法參數的配置，使兩端的DH算法參數的值配置相同。
對端網關設備的IPsec VPN配置中，某個參數被指定了多個值。
如配置對端網關設備時，指定IKE配置階段加密算法的值為AES128、AES192。
在天翼云側配置IPsec連接時，每個參數僅支持指定一個值。請排查對端網關設備的IPsec VPN配置，確保每個參數也僅指定了一個值，且與云側VPN網關配置的IPsec連接的值相同。?
網絡質量不佳
由于IPsec連接和對端網關設備之間的網絡質量不佳，造成DPD協議報文、IPsec協議報文丟失后超時，導致IPsec VPN連接中斷。
排查底層互聯網網絡質量。
IPsec連接對端限制
IPsec連接對端廠商限制，需要有數據流量時才能觸發IPsec協議協商。
請確認IPsec連接對端VPN網關是否存在此限制。
如果存在此限制，請向對端廠商咨詢如何觸發IPsec協議協商。

為什么IPsec連接狀態為“第二階段協商成功”，但VPC內的云主機實例無法訪問本地數據中心內的服務器？

VPC的路由配置、安全組規則或本地數據中心的路由配置、訪問控制策略未允許VPC內的云主機實例訪問本地數據中心內的服務器。

為什么IPsec連接狀態為“第二階段協商成功”，但本地數據中心內的服務器無法訪問VPC內的云主機實例？

VPC的路由配置、安全組規則或本地數據中心的路由配置、訪問控制策略未允許本地數據中心內的服務器訪問VPC內的云主機實例。

為什么IPsec連接狀態為“第二階段協商成功”，但IPsec VPN連接單向不通？

原因：

在IPsec連接的對端網關設備使用的是華為防火墻的情況下，如果對端網關設備的出接口配置了nat enable，將會導致從該接口發出的所有數據包的源IP地址都被轉換為該接口的IP地址，導致IPsec VPN連接單向不通。

解決方案：

1. 運行nat disable命令，關閉出接口的NAT功能。
2. 設置NAT策略。

nat-policy interzone trust untrust outbound
policy 0
action no-nat
policy source 192.168.0.0 mask 24
policy destination 192.168.1.0 mask 24
policy 1 
action source-nat
policy source 192.168.0.0 mask 24
easy-ip Dialer0

其中：

192.168.0.0：網關設備的私網網段。

192.168.1.0：VPC的私網網段。

Dialer0：網關設備的出接口。

為什么IPsec連接狀態為“第二階段協商成功”，能ping通但業務訪問不通或部分端口號訪問不通？

原因：

VPC應用的安全組規則或本地數據中心應用的訪問控制策略未放行對應的IP地址、協議類型和端口號。

解決方案：

請按照以下操作排查相關配置：

• 排查VPC應用的安全組規則。確保安全組規則已放行本地數據中心和VPC之間需要互通的IP地址、協議類型和端口號。
• 排查本地數據中心應用的訪問控制策略。確保訪問控制策略已放行本地數據中心和VPC之間需要互通的IP地址、協議類型和端口號。

如果本地數據中心側有業務策略、域名解析等配置建議一并排查。確保本地數據中心和VPC之間需要互通的IP地址、協議類型和端口號已放行。

如何解決VPN連接無法建立連接的問題？

1. 檢查云上VPN連接中的IKE策略和IPsec策略是否與遠端配置一致。

• 如果第一階段IKE策略未建立，常見原因為云上IKE策略與數據中心遠端的配置不一致。
• 如果第一階段IKE策略已經建立，第二階段的IPsec策略未開啟，常見原因為云上IPsec策略與數據中心遠端的配置不一致。

2. 檢查ACL是否配置正確。

假設您的數據中心的子網為192.168.3.0/24和192.168.4.0/24，VPC下的子網為192.168.1.0/24和192.168.2.0/24，則您在數據中心或局域網中配置的ACL，應匹配數據中心子網和VPC內子網一一對應的通信規則，如下所示：

rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

3. 配置完成后檢查IPsec VPN是否可以連接，ping測試兩端內網是否正常通信。

如何理解IPsec VPN連接中的遠端網關和遠端子網？

遠端網關和遠端子網是個相對的概念。在建立IPsec VPN連接時，從天翼云的角度出發，天翼云中的VPC網絡就是本地子網，創建的VPN網關就是本地網關；與之對接的用戶側網絡就是遠端子網， 用戶側的網關就是遠端網關。遠端網關IP就是用戶側網關的公網IP，遠端子網指需要和天翼云VPC子網互聯的用戶側子網。

IPsec VPN連接遠端子網是否可以包含本端子網？

不可以。在建立IPsec VPN連接時，做好兩端的網段地址規劃是至關重要的。在IPsec VPN中，通常是通過路由的方式來實現子網之間的通信。如果網段地址存在重疊，將會導致網絡通信的混亂和安全問題的產生。因此，當您在建立IPsec VPN連接時，您需要確保連接的遠端子網和本端子網不能互相包含，請在創建IPsec VPN前做好兩端的網段地址規劃，避免地址重疊。