當 VPN 斷開並顯示「對等無回應」訊息時,可能是由網路中斷、防火牆規則缺失或設定錯誤等各種根本原因所致。

問題

新 VPN 在建立後無法啟動,或者正常運作的 VPN 在更新或重新設定其中一個端點或者變更路由表後出現故障。

原因

其他端點的連線性可以使用 ping 等命令進行驗證,與這些端點不同,您無法在 VPN 本身之外真正驗證 VPN 連線。IPsec 使用 UDP,因此您將從對等取得回應,或者無法取得回應。Ping 連線性取決於對等是否已啟用 Ping,而許多端點沒有啟用。

解決方案

  1. 確保在 VPN 中設定的遠端 IP 位址與對等正在接聽的 IP 相符。
  2. 確保遠端 (內部部署) 站台上的任何防火牆均設定為允許流向 UDP 連接埠 500 的流量。如果遠端端點已透過 NAT 進行轉換,則遠端站台上的防火牆必須允許流向 UDP 連接埠 4500 的流量。
  3. IPsec VPN 流量使用多個通訊協定,必須允許所有這些通訊協定通過防火牆。
    其中包括:
    • ESP (封裝安全性裝載) - IP 通訊協定 50
    • AH (驗證標頭) - IP 通訊協定 51
    • ISAKMP (網際網路安全性關聯及金鑰管理通訊協定),該通訊協定又使用 IKE 和 IKE v2 (網際網路金鑰交換)
  4. 確保已為兩個端點設定相同的 IKE 版本。
  5. 確保已為每一端設定路由,以便能夠彼此連線。
    這可以使用 traceroute 進行驗證,但端對端路徑驗證並非始終可行,因為許多端點不會回應標準 ICMP Echo (ping) 或 traceroute 請求。將 SDDC VPN 本機 IP 位址設定為 [公用] 時,VPN 流量將始終透過 SDDC 網際網路閘道傳輸。否則 (當 VPN 本機 IP 位址為 [私人] 時),VPN 流量將透過 SDDC 內部網路上行傳輸。確保 VPN 的遠端透過同一路徑傳送回覆流量。