Esta guía de solución de problemas puede ayudarte a supervisar y a resolver problemas comunes con Cloud VPN.
Para interpretar los mensajes de estado y las referencias de cifrado IKE, consulta la sección Referencia.
Para encontrar información sobre el registro y la supervisión, consulta Visualiza registros y métricas.
Para encontrar definiciones de la terminología usada en esta página, consulta los términos de clave de Cloud VPN.
Mensajes de error
Para verificar los mensajes de error, sigue estos pasos:
En la consola de Google Cloud, ve a la página VPN.
Si ves un ícono de estado, coloca el cursor sobre él para ver el mensaje de error.
A menudo, el mensaje de error puede ayudarte a detallar el problema. Si no es así, revisa tus registros para obtener más información. Puedes encontrar información detallada del estado en la consola de Google Cloud en la página Detalles del túnel.
Registros de VPN
Los registros de Cloud VPN se almacenan en Cloud Logging. El registro es automático, por lo que no necesitas habilitarlo.
Para obtener información sobre cómo ver los registros del lado de la puerta de enlace de intercambio de tráfico de tu conexión, consulta la documentación de tu producto.
A menudo, las puertas de enlace están configuradas de forma correcta, pero hay un problema en la red de intercambio de tráfico entre los hosts y la puerta de enlace, o hay un problema con la red entre la puerta de enlace de intercambio de tráfico y la puerta de enlace de Cloud VPN.
Para verificar los registros, sigue estos pasos:
En la consola de Google Cloud, ve a la página Explorador de registros.
Revisa los registros para ver la siguiente información:
- Verifica que la dirección IP de intercambio de tráfico remoto configurada en la puerta de enlace de Cloud VPN sea correcta.
- Verifica que el flujo de tráfico de los hosts locales llegue a la puerta de enlace de intercambio de tráfico.
- Verifica que el tráfico fluya entre las dos puertas de enlace de VPN en ambas direcciones. En los registros de VPN, verifica los mensajes entrantes informados desde la otra puerta de enlace VPN.
- Verifica que las versiones de IKE configuradas sean las mismas en ambos lados del túnel.
- Comprueba que el secreto compartido sea el mismo en ambos lados del túnel.
- Si tu puerta de enlace de VPN de intercambio de tráfico está detrás de NAT uno a uno, asegúrate de haber configurado correctamente el dispositivo NAT para reenviar tráfico UDP a tu puerta de enlace de VPN de intercambio de tráfico en los puertos
500
y4500
. - Si en los registros de VPN se muestra un error
no-proposal-chosen
, esto indica que Cloud VPN y la puerta de enlace de VPN de intercambio de tráfico no pudieron acordar un conjunto de algoritmos de cifrado. Para IKEv1, el conjunto de cifrados debe coincidir exactamente. Para IKEv2, debe haber al menos un algoritmo de cifrado común propuesto por cada puerta de enlace. Asegúrate de usar algoritmos de cifrado admitidos para configurar tu puerta de enlace de VPN de intercambio de tráfico. - Asegúrate de configurar las rutas de intercambio de tráfico y de Google Cloud, así como las reglas de firewall para que el tráfico pueda atravesar el túnel. Es posible que tengas que comunicarte con el administrador de tu red para obtener ayuda.
Para encontrar problemas específicos, puedes buscar las siguientes strings en tus registros:
- En el panel Compilador de consultas, ingresa una de las consultas avanzadas que se enumeran en la siguiente tabla para buscar un evento en particular, y haz clic en Ejecutar consulta.
Ajusta el período en el panel Histograma según sea necesario y, luego, haz clic en Ejecutar dentro del panel. Si deseas obtener más detalles sobre cómo usar el Explorador de registros para las consultas, visita la sección sobre Compila consultas de registro.
Para ver Usa esta búsqueda de Logging Cloud VPN inicia la Fase 1 (IKE SA) resource.type="vpn_gateway" ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN no puede ponerse en contacto con un par remoto resource.type="vpn_gateway" "establishing IKE_SA failed, peer not responding"
Eventos de autenticación (Fase 1) IKE resource.type="vpn_gateway" ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
Autenticación IKE correcta resource.type="vpn_gateway" ("authentication of" AND "with pre-shared key successful")
Fase 1 (IKE SA) establecida resource.type="vpn_gateway" ("IKE_SA" AND "established between")
Todos los eventos de la Fase 2 (SA secundaria), incluidos los eventos de cambio de clave resource.type="vpn_gateway" "CHILD_SA"
Par pide el cambio de clave de la Fase 2 resource.type="vpn_gateway" detected rekeying of CHILD_SA
Par pide terminar la Fase 2 (SA secundaria) resource.type="vpn_gateway" received DELETE for ESP CHILD_SA
Cloud VPN solicita terminar la Fase 2 (SA secundaria) resource.type="vpn_gateway" sending DELETE for ESP CHILD_SA
Cloud VPN cierra la Fase 2 (SA secundaria), tal vez en respuesta al par resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN cerró la Fase 2 por sí solo resource.type="vpn_gateway" CHILD_SA closed
Si los selectores de tráfico remotos no coinciden resource.type="vpn_gateway" Remote traffic selectors narrowed
Si los selectores de tráfico locales no coinciden resource.type="vpn_gateway" Local traffic selectors narrowed
Conectividad
Considera las siguientes sugerencias cuando uses ping
para verificar la conectividad entre los sistemas locales y las instancias de máquina virtual (VM) de Google Cloud:
Asegúrate de que las reglas de firewall de la red de Google Cloud permitan el tráfico de ICMP entrante. La regla de permiso de salida implícita permite el tráfico ICMP saliente de tu red, a menos que lo hayas anulado. Del mismo modo, asegúrate de que las reglas de firewall locales también estén configuradas para permitir el tráfico de ICMP entrante y saliente.
Usa direcciones IP internas para hacer ping a las VM de Google Cloud y a los sistemas locales. Hacer ping a las direcciones IP externas de las puertas de enlace de VPN no prueba la conectividad a través del túnel.
Cuando pruebas la conectividad desde instalaciones locales a Google Cloud, es mejor iniciar un ping desde un sistema en la red, no desde la puerta de enlace de VPN. Hacer ping desde una puerta de enlace es posible si configuras la interfaz de origen adecuada, pero hacer ping desde una instancia en tu red tiene el beneficio adicional de probar tu configuración de firewall.
Las pruebas de
Ping
no verifican que los puertos TCP o UDP estén abiertos. Después de establecer que los sistemas tengan conectividad básica, puedes usarping
para realizar pruebas adicionales.
Calcula la capacidad de procesamiento de la red
Puedes calcular la capacidad de procesamiento de la red en Google Cloud y en las ubicaciones de nube locales o de terceros. En este recurso se incluye información sobre cómo analizar resultados, explicaciones de variables que pueden afectar el rendimiento de la red y sugerencias para la solución de problemas.
Problemas comunes y soluciones
El túnel normalmente se desconecta por unos segundos
De forma predeterminada, Cloud VPN negocia una asociación de seguridad (SA) de reemplazo antes de que caduque la existente (lo que también se conoce como cambio de clave). Es posible que la puerta de enlace de VPN de intercambio de tráfico no cambie la clave. En su lugar, podría negociar una SA nueva solo después de borrar la SA existente, lo que causa interrupciones.
Para verificar si la puerta de enlace de intercambio de tráfico cambia la clave, consulta los registros de Cloud VPN. Si la conexión se interrumpe y vuelve a establecerse justo después de un mensaje de registro Received SA_DELETE
, la puerta de enlace local no cambió la clave.
Para verificar la configuración del túnel, consulta el documento Algoritmos de cifrado de IKE admitidos. En especial, asegúrate de que la duración de la fase 2 sea correcta y de que un grupo de Diffie-Hellman (DH) esté configurado con uno de los valores recomendados.
Para buscar eventos en tu túnel de Cloud VPN, puedes usar un filtro de registro avanzado de Logging. Por ejemplo, el siguiente filtro avanzado busca discrepancias en el grupo DH:
resource.type="vpn_gateway" "Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"
Puertas de enlace locales detrás de NAT
Cloud VPN puede funcionar con puertas de enlace de VPN locales o de intercambio de tráfico que están detrás de NAT. Esto es posible gracias al encapsulamiento UDP y NAT-T. Solo se admite NAT uno a uno.
La conectividad funciona para algunas VM, pero no con otras
Si es ping
, traceroute
o algún otro método para enviar tráfico solo desde algunas VM a tus sistemas locales o desde solo algunos sistemas locales a algunas VM de Google Cloud y si verificaste que las reglas de firewall de Google Cloud y locales no bloquean el tráfico que envías, es posible que tengas selectores de tráfico que excluyan ciertos orígenes o destinos.
Los selectores de tráfico definen los rangos de direcciones IP para un túnel VPN. Además de las rutas, la mayoría de las implementaciones de VPN solo pasan paquetes a través de un túnel si se cumplen las siguientes condiciones:
- Sus orígenes se ajustan a los rangos de IP especificados en el selector de tráfico local.
- Sus destinos se ajustan a los rangos de IP especificados en el selector de tráfico remoto.
Especifica selectores de tráfico cuando crees un túnel VPN clásica mediante el enrutamiento basado en políticas o una VPN basada en rutas. También puedes especificar selectores de tráfico cuando creas el túnel de intercambio de tráfico correspondiente.
Algunos proveedores usan términos como proxy local, dominio de encriptación local o red del lado izquierdo como sinónimos del selector de tráfico local. De manera similar, el proxy remoto, el dominio de encriptación remoto o la red del lado derecho son sinónimos del selector de tráfico remoto.
Para cambiar los selectores de tráfico de un túnel de VPN clásica, debes borrar y volver a crear el túnel. Estos pasos son necesarios porque los selectores de tráfico son una parte integral de la creación del túnel, y los túneles no se pueden editar más adelante.
Sigue estos lineamientos cuando definas los selectores de tráfico:
- El selector de tráfico local del túnel de Cloud VPN debe abarcar todas las subredes de la red de nube privada virtual (VPC) que necesitas compartir con tu red de intercambio de tráfico.
- El selector de tráfico local de tu red de intercambio de tráfico debe abarcar todas las subredes locales que necesitas compartir con la red de VPC.
- Para un túnel VPN específico, los selectores de tráfico tienen la siguiente relación:
- El selector de tráfico local de Cloud VPN debe coincidir con el selector de tráfico remoto del túnel en la puerta de enlace de VPN de intercambio de tráfico.
- El selector de tráfico remoto de Cloud VPN debe coincidir con el selector de tráfico local del túnel en la puerta de enlace de VPN de intercambio de tráfico.
Problemas de latencia de red entre VM de diferentes regiones
Para determinar si hay algún problema de latencia o de pérdida de paquetes, supervisa el rendimiento de toda la red de Google Cloud. En la vista de rendimiento de Google Cloud, el panel de rendimiento muestra las métricas de pérdida de paquetes y latencia en todo Google Cloud. Estas métricas pueden ayudarte a comprender si los problemas evidentes en la vista de rendimiento del proyecto son exclusivos de tu proyecto. Para obtener más detalles, consulta Usa el Panel de rendimiento.
No se puede conectar una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN sin alta disponibilidad
Google Cloud no admite la creación de conexiones de túnel entre una puerta de enlace de VPN con alta disponibilidad y cualquier puerta de enlace de VPN con alta disponibilidad alojada en Google Cloud. Esta restricción incluye las puertas de enlace de VPN clásica y las puertas de enlace de VPN de terceros que se ejecutan en las VM de Compute Engine.
Si intentas hacerlo, Google Cloud mostrará el siguiente mensaje de error:
You cannot provide an interface with an IP address owned by Google Cloud. You can only create tunnels from an HA gateway to an HA gateway or create tunnels from an HA gateway to an ExternalVpnGateway.
Para evitar este error, crea un túnel VPN que conecte tu puerta de enlace de VPN con alta disponibilidad a una de las siguientes opciones:
- Otra puerta de enlace de VPN con alta disponibilidad
- Una puerta de enlace de VPN externa que no está alojada en Google Cloud
- Instancias de máquina virtual (VM) de Compute Engine
No se puede establecer una conexión con el destino externo a través de una VPN con alta disponibilidad
Cuando usas una puerta de enlace de VPN con alta disponibilidad, los recursos de Google Cloud usan el túnel VPN para conectarse solo a los destinos que anuncia el router de intercambio de tráfico.
Si no puedes conectarte a un destino remoto, asegúrate de que el router del par anuncie el rango de IP del destino.
El tráfico IPv6 no se enruta
Si tienes dificultades para conectarte a los hosts IPv6, haz lo siguiente:
- Verifica que las rutas IPv4 se anuncien correctamente. Si las rutas IPv4 no se anuncian, consulta Soluciona problemas de rutas de BGP y selección de rutas.
- Inspecciona las reglas de firewall para asegurarte de permitir el tráfico de IPv6.
- Verifica que no tengas rangos de subred IPv6 superpuestos en tu red de VPC y en tu red local. Consulta Verifica rangos de subred superpuestos.
- Determina si superaste las cuotas y los límites de tus rutas aprendidas en Cloud Router. Si superaste la cuota de las rutas aprendidas, los prefijos IPv6 se descartan antes de los prefijos IPv4. Consulta Verifica cuotas y límites.
- Verifica que todos los componentes que requieren configuración IPv6 se hayan configurado de forma correcta.
- La red de VPC habilitó el uso de direcciones IPv6 internas con la marca
--enable-ula-internal-ipv6
. - La subred de VPC está configurada para usar el tipo de pila
IPV4_IPV6
. - La subred de VPC tiene
--ipv6-access-type
configurado comoINTERNAL
. - Las VM de Compute Engine en la subred se configuran con direcciones IPv6.
- La puerta de enlace de VPN con alta disponibilidad está configurada para usar el tipo de pila
IPV4_IPV6
. - El par de BGP habilitó IPv6 y se configuraron las direcciones IPv6 de siguiente salto correctas para la sesión de BGP.
- Para ver el estado y las rutas de Cloud Router, consulta Visualiza el estado y las rutas del Cloud Router.
- Para ver la configuración de la sesión de BGP, consulta Visualiza la configuración de la sesión de BGP.
- La red de VPC habilitó el uso de direcciones IPv6 internas con la marca
Referencia de solución de problemas
En esta sección, se incluye información sobre íconos de estado, mensajes de estado y algoritmos de cifrado de IKE admitidos.
Íconos de estado
Cloud VPN usa los siguientes íconos de estado en la consola de Google Cloud.
Gráfico del ícono | Color | Descripción | Se aplica a los mensajes |
---|---|---|---|
Verde | Listo | ESTABLECIDO | |
Amarillo | Advertencia | ASIGNACIÓN DE RECURSOS, PRIMER PROTOCOLO DE ENLACE, EN ESPERA DE CONFIGURACIÓN COMPLETA, APROVISIONAMIENTO | |
Rojo | Error | Todos los mensajes restantes |
Mensajes de estado
Para indicar los estados de la puerta de enlace de VPN y del túnel, Cloud VPN utiliza los siguientes mensajes de estado. El túnel VPN se factura por los estados indicados.
Mensaje | Descripción | ¿El túnel se factura en este estado? |
---|---|---|
ASIGNANDO RECURSOS | Asignación de recursos para configurar el túnel. | Sí |
APROVISIONAMIENTO | A la espera de recibir todas las configuraciones para configurar el túnel. | No |
ESPERANDO CONFIGURACIÓN COMPLETA | Configuración completa recibida, pero aún no se establece un túnel. | Sí |
PRIMER PROTOCOLO DE ENLACE | Se establece el túnel. | Sí |
ESTABLECIDO | Se establece con éxito una sesión de comunicación segura. | Sí |
ERROR DE RED (reemplazado por SIN PAQUETES ENTRANTES) |
Autorización incorrecta de IPsec. | Sí |
ERROR DE AUTORIZACIÓN | Falló el protocolo de enlace. | Sí |
FALLA DE NEGOCIACIÓN | Se rechazó la configuración del túnel; puede que esto se deba a que se agregó a una lista de bloqueo. | Sí |
DESAPROVISIONAMIENTO | El túnel se está cerrando. | No |
SIN PAQUETES ENTRANTES | La puerta de enlace no recibe ningún paquete de la VPN local. | Sí |
RECHAZADA | Se rechazó la configuración del túnel. Comunícate con el equipo de asistencia. | Sí |
DETENIDO | El túnel se detuvo y no está activo. Puede deberse a la eliminación de una o más reglas de reenvío requeridas para el túnel VPN. | Sí |
Referencia del algoritmo de cifrado IKE
Cloud VPN admite algoritmos de cifrado y parámetros de configuración para dispositivos de VPN de intercambio de tráfico o servicios de VPN. Cloud VPN negocia de forma automática la conexión siempre que el lado del intercambio de tráfico use una configuración de algoritmo de cifrado IKE admitido.
Para obtener la referencia completa del algoritmo de cifrado IKE, consulta Algoritmos de cifrado IKE admitidos.
¿Qué sigue?
- Si quieres más información sobre los conceptos básicos de Cloud VPN, consulta Descripción general de Cloud VPN.
- Para obtener más información sobre situaciones de alta disponibilidad, alta capacidad de procesamiento o varias situaciones de subredes, consulta Configuración avanzada.