开发者社区> 问答> 正文

VPN网关连接中断/无法连接

已解决

VPN网关连接中断/无法连接

展开
收起
提个问题 2024-06-15 19:10:06 118 0
1 条回答
写回答
取消 提交回答
  • 开发者社区问答官方账号
    官方回答
    采纳回答
    VPN出现连接不上或中断时,首先需要排除跨境的原因

    如果通过VPN网关打通的是跨境网络,这种行为是不合规的,而且跨境的VPN链路也会受到公网质量影响,公网如果存在波动,延时也会随之变化,甚至导致访问不通,建议使用其他的方式来实现访问,比如全球加速服务GA,云企业网CEN。

    如果在非中国内地和 中国内地 都有服务器,且存在跨境的业务,可以先使用云企业网CEN将中国内地和非中国内地跨境的链路打通, 然后在中国内地建立IPsec VPN或者SSL VPN与本地办公网络打通, 这样的话,就可以在中国内地的本地办公网络访问新加坡地域的服务。具体实现可以参考https://help.aliyun.com/zh/vpn/use-cases/use-ipsec-vpn-and-cen-to-build-a-high-quality-global-network

    注意:需要确保上述链路的路由可达,这个链路才可以通讯。


    其次:根据VPN类型按照以下方法排查:
    一、IPSec VPN无法连接:
    1、确定无法互访的源目的ECS实例信息,安全组是否放行。确定ECS实例,私网地址,VPC实例,确定安全组规则内网入方向是否放行业务端口访问(比如icmp, tcp 22 ,tcp 80端口)。
    2、检查VPN网关状态和VPN隧道状态查询VPN是否欠费, VPN隧道是否正常建立协商成功。当VPN因为欠费而终止时,会造成隧道down,需要进行续费。如果隧道down状态,需要检查两边VPN设备的协商参数是否一致, 根据日志查看隧道建立失败的原因。
    3、检查VPC是否有IDC网段的IP路由检查VPN和客户的ECS是否为同一个VPC,查询ECS所在的VPC的路由是否完整,是否有对方IDC的私网地址的路由, 下一跳是否是VPN实例。
    4、检查VPN路由。进入VPN实例的子资源信息中,查看是否有策略路由或者目的路由下一跳指向ipsec连接。在目的地址相同的情况下,策略路由优先级比目的路由优先级更高。
    5、双向tracert检查丢包节点。需要进行双向的tracert或者mtr来确认丢包节点的位置。
    6、如果VPN涉及跨境,可以通过在本地IDC侧出口设备抓包查看isakmp报文的收发情况,查看是否有重传某个阶段的某个报文,当出现重传报文时再保证两端配置一致的前提下收不到对端的协商报文,说明是跨境封禁导致ipsec建立失败,这种情况建议考虑使用其他产品,例如cen或者专线产品。
    二、SSL VPN无法连接:
    SSL VPN连接失败,需要进行如下的检查
    1、确认客户端电脑的网卡网段与vpn下发的网段不能冲突。
    2、本端网段(即vpc内网段)和客户端网段不能冲突。
    3、保证vpn下发的网段够用,是否用户太多导致不够用了(请确保指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上)。
    4、重新下载证书,重新安装软件操作。
    5、重启本地客户端软件后重新发起连接。
    6、检查本地网卡配置,需要配置为自动获取IP。
    7、本地关闭其他ssl vpn连接客户端,只保留和阿里云建联的客户端,并重启客户端。
    8、查看SSLVPN的控制台是否是已经满了,如果是,同时您没有那么多客户端的登录,不排除您的SSL VPN正在被攻击,您可以通过更换协议号为TCP,同时更换SSL VPN使用的端口进行防御。使用该操作需要重新下载证书,并进行连接。

    2024-06-15 19:10:07
    赞同 3 展开评论 打赏
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
阿里云容器 AHAS Sentinel 网关流控揭秘 立即下载
阿里Tengine网关最佳实践 立即下载
《MSE 微服务网关》 立即下载