当 VPN 断开并显示“对等体无响应 (Peer not responding)”消息时,可能是由网络中断、防火墙规则缺失或配置错误等各种根本原因所致。

问题

新 VPN 在创建后无法启动,或者正常运行的 VPN 在更新或重新配置其中一个端点或者更改路由表后出现故障。

原因

其他端点的可访问性可以使用 ping 等命令进行验证,与这些端点不同,您无法在 VPN 本身之外真正验证 VPN 连接。IPsec 使用 UDP,因此您要么会从对等体获得响应,要么得不到响应。Ping 可访问性取决于对等体是否启用了 Ping,而许多端点没有启用。

解决方案

  1. 确保在 VPN 中配置的远程 IP 地址与对等体正在侦听的 IP 相匹配。
  2. 确保远程(内部部署)站点上的任何防火墙均配置为允许流向 UDP 端口 500 的流量。如果远程端点已通过 NAT 转换,则远程站点上的防火墙必须允许流向 UDP 端口 4500 的流量。
  3. IPsec VPN 流量使用多种协议,必须允许所有这些协议通过防火墙。
    其中包括:
    • ESP(封装安全有效载荷)- IP 协议 50
    • AH(身份验证头)- IP 协议 51
    • ISAKMP(Internet 安全关联和密钥管理协议),该协议又使用 IKE 和 IKE v2(Internet 密钥交换)
  4. 确保为两个端点配置了相同的 IKE 版本。
  5. 确保为每一端设置了路由,以便能够相互访问。
    这可以使用 traceroute 进行验证,但端到端路径验证并非始终可行,因为许多端点不会响应标准 ICMP Echo(ping) 或 traceroute 请求。将 SDDC VPN 本地 IP 地址配置为“公用”时,VPN 流量将始终通过 SDDC Internet 网关传输。否则(当 VPN 本地 IP 地址为“专用”时),VPN 流量将通过 SDDC Intranet 上行链路传输。确保 VPN 的远程端通过同一路径发送回复流量。