IPsec VPN连接FAQ

• 什么是IPsec连接？

• IPsec连接隧道是否会自动建立连接？

• IPsec通道建立成功后还需要多长时间可用VPN连接功能？

• IPsec连接的协商参数有哪些？

• 使用IPsec连接有什么注意事项？

• 使用IPsec连接必须配置VPN网关路由么？

• 成功建立IPsec通信隧道，为什么本地数据中心仍无法访问私有网络内的云服务器？

• 如何使用NAT穿越功能？

• 如何开启DPD功能？

• 使用DPD功能，对端VPN网关需要满足什么条件？

• 是否支持配置两个除RemoteID不同其他信息均相同的IPsec连接？

• 若对端为非固定出口IP，是否支持发起IPsec连接？

• 如何查看TR类型IPsec连接的公网IP地址？

• IPsec连接配置了健康检查后，如何查看健康检查事件信息？

什么是IPsec连接？

IPsec连接是指用户网关和VPN网关之间，建立连接形成的通信隧道。用户侧和云上私有网络通过IPsec连接隧道，进行加密通信。

IPsec连接隧道是否会自动建立连接？

您可在创建IPsec连接时，通过配置参数“立即发起协商”来控制是否立即建立连接。

• 立即发起协商配置为“是”：IPsec连接创建完成后系统立即主动发起协商。
• 立即发起协商配置为“否”：IPsec连接创建后不会立即建立连接，只有在对端（本地IDC、其他VPC）主动发起SA、执行Ping命令访问云上VPC或者有数据通过时，隧道才被触发建立连接。

IPsec连接通道建立成功后还需要多长时间可用VPN连接功能？

VPN连接功能即开即用，在IPsec通信隧道建立成功后，无需等待，您可立即使用VPN连接功能进行数据传输。

IPsec连接的协商参数有哪些？

• IKE配置

  配置项	取值	默认
  版本	支持ikev1、ikev2。	ikev2
  协商模式	支持main 、aggressive，仅ikev1模式下支持配置此参数。	main
  认证算法	支持sha1、md5、sha256、sha384、sha512。	sha1
  加密算法	支持aes、aes192、aes256、des、3des。	aes
  DH算法	支持group1、group2、group5、group14。	group2
  生命周期	取值范围900～86400，单位：秒。	86400

• IPsec配置

  配置项	取值	默认
  认证算法	支持sha1、md5、sha256、sha384、sha512。	sha1
  加密算法	支持aes、aes192、aes256、des、3des。	aes
  DH算法	支持disable（不配置）、group1、group2、group5、group14。	group2
  生命周期	取值范围900～86400，单位：秒。	86400

使用IPsec连接有什么注意事项？

1. 需确保IPsec连接的两端IKE配置和IPsec配置的加密算法、认证算法一致。
2. IKE密钥交换协议版本推荐使用ikev2，如果必须使用ikev1，需确保IPsec连接的两端IKE配置的生命周期一致。

   说明

   如果使用ikev1，但IKE配置的生命周期配置不同，会出现断流后无法重新建立连接IPsec连接隧道。

使用IPsec连接必须配置VPN网关路由么？

必须配置。
当您创建IPsec连接后，您需要手动添加VPN网关路由条目，实现VPN网关到本地数据中心或其他私有网络的网络互通。路由配置可参见添加VPN网关路由。

成功建立IPsec通信隧道，为什么本地数据中心仍无法访问私有网络内的云服务器？

在此情景下，请查看如下配置：

• 查看本地数据中心的路由和ACL，确认已允许访问私有网络的流量进入IPsec通信隧道。
• 查看被访问云服务器所属的安全组，确认安全组中的安全组规则已放通本地数据中心的私网网段。

更多IPsec连接协商问题排查，请参见IPsec连接问题排查及解决方案。

如何使用NAT穿越功能？

当前NAT穿越功能默认不开启。如有需要，您可在创建IPsec连接时，打开NAT穿越（NAT Traversal）开关开启此功能，并且本地IDC侧的VPN网关设备上需同步开启NAT穿越功能。

如何开启DPD功能？

创建IPsec连接时DPD功能为默认开启状态。如果您手动关闭DPD功能后想要再次开启DPD功能，您可在“修改IPsec连接”页面打开DPD按钮，以开启DPD功能。

使用DPD功能，对端VPN网关需要满足什么条件？

DPD本身不要求对端VPN网关具备DPD能力，但是要能做出DPD VendorID应答。如果对端VPN网关无法应答，则会一直触发DPD超时。
因此，使用DPD功能前，请确认对端VPN网关具备DPD VendorID应答的能力。

是否支持配置两个除RemoteID不同其他信息均相同的IPsec连接？

• ikev2类型：支持。
• ikev1类型：不支持。如果配置两个除RemoteID不同，其他配置信息完全相同的ikev1类型的IPsec连接，会引起这两个IPsec连接分别反复删除、重连，导致两条IPsec连接通道均无法使用。

若对端为非固定出口IP，是否支持发起IPsec连接？

支持。如果您对端网关出口IP是非固定的IP，您在配置VPN连接时需特别注意以下几点：

1. 创建用户网关时，IP地址配置为0.0.0.0。
2. 创建IPsec连接时，不支持选择是否立即发起协商，固定为“否”。
   • IKE 版本配置为ikev1。
   • IKE 协商模式配置为aggressive。
3. 全部配置完成后，需要从对端向火山引擎侧发起协商请求。
   由于对端IP不固定，因此火山引擎侧无法主动发起协商请求，即使存在从火山引擎侧到对端的流量，火山引擎侧也无法发起协商。
4. IPsec连接中断后，如需重新发起连接，请重新从对端发起协商请求。
5. 若对端有多个非固定出口IP需要发起协商，请分别创建多条IPsec连接，以避免抢占。详细操作请参考搭建云上VPC与云下数据中心互通（单个非固定出口IP场景）、搭建云上VPC与云下数据中心互通（多个非固定出口IP场景）。

如何查看TR类型IPsec连接的公网IP地址？

IPsec连接绑定中转路由器（TR）场景下，在完成IPsec连接的创建后，平台会自动为该IPsec连接分配一个公网IP作为火山引擎侧的出口IP。

获取方法

1. 登录IPsec连接控制台，选择目标IPsec连接所在地域和项目。
2. 在IPsec连接列表中，单击目标IPsec连接名称，进入IPsec连接详情页面，然后在“概览”页签下查看分配的公网IP。
   

IPsec连接配置了健康检查后，如何查看健康检查事件信息？

若您为IPsec连接配置了健康检查，您可在云监控控制台 > 云产品事件中查看健康检查的事件信息，具体操作可参考查看云产品事件。