Pemecahan masalah

Panduan pemecahan masalah ini dapat membantu Anda memantau dan memecahkan masalah umum terkait Cloud VPN.

Untuk menafsirkan pesan status dan referensi cipher IKE, lihat bagian Referensi.

Untuk menemukan informasi logging dan pemantauan, baca bagian Melihat log dan metrik.

Untuk menemukan definisi untuk terminologi yang digunakan di halaman ini, lihat Istilah kunci Cloud VPN.

Pesan error

Untuk memeriksa pesan error, ikuti langkah-langkah berikut:

  1. Di Google Cloud Console, buka halaman VPN.

    Buka VPN

  2. Jika Anda melihat ikon status, arahkan kursor ke atasnya untuk melihat pesan error.

Sering kali, pesan error dapat membantu Anda menemukan masalahnya. Jika tidak, periksa log Anda untuk mengetahui informasi lebih lanjut. Anda dapat menemukan informasi status mendetail di Google Cloud Console pada halaman Detail tunnel.

Log VPN

Log Cloud VPN disimpan di Cloud Logging. Logging bersifat otomatis, sehingga Anda tidak perlu mengaktifkannya.

Untuk mengetahui informasi tentang cara melihat log untuk sisi gateway peer pada koneksi Anda, lihat dokumentasi produk Anda.

Seringkali, gateway dikonfigurasi dengan benar, tetapi ada masalah dalam jaringan peer antara host dan gateway, atau ada masalah dengan jaringan antara gateway peer dan gateway Cloud VPN.

Untuk memeriksa log, ikuti langkah-langkah berikut:

  1. Di Konsol Google Cloud, buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Periksa log untuk mengetahui informasi berikut:

    1. Pastikan alamat IP peer jarak jauh yang dikonfigurasi di gateway Cloud VPN sudah benar.
    2. Pastikan traffic yang mengalir dari host lokal Anda mencapai gateway peer.
    3. Pastikan traffic mengalir di antara dua gateway VPN di kedua arah. Di log VPN, periksa pesan masuk yang dilaporkan dari gateway VPN lainnya.
    4. Pastikan versi IKE yang dikonfigurasi sama di kedua sisi tunnel.
    5. Periksa apakah rahasia bersama di kedua sisi tunnel sama.
    6. Jika gateway VPN peer Anda berada di belakang NAT one-to-one, pastikan Anda telah mengonfigurasi perangkat NAT dengan benar untuk meneruskan traffic UDP ke gateway VPN peer di port 500 dan 4500.
    7. Jika log VPN menampilkan error no-proposal-chosen, error ini menunjukkan bahwa Cloud VPN dan gateway VPN peer Anda tidak dapat menyetujui serangkaian cipher. Untuk IKEv1, rangkaian penyandian harus sama persis. Untuk IKEv2, harus ada setidaknya satu cipher umum yang diusulkan oleh setiap gateway. Pastikan Anda menggunakan cipher yang didukung untuk mengonfigurasi gateway VPN peer Anda.
    8. Pastikan Anda mengonfigurasi rute peer dan Google Cloud serta aturan firewall sehingga traffic dapat melintasi tunnel. Anda mungkin perlu menghubungi administrator jaringan untuk meminta bantuan.

  3. Untuk menemukan masalah tertentu, Anda dapat menelusuri string berikut di log:

    1. Di panel Builder kueri, masukkan salah satu kueri lanjutan yang tercantum dalam tabel berikut untuk menelusuri peristiwa tertentu, lalu klik Jalankan Kueri.

    2. Sesuaikan jangka waktu di panel Histogram seperlunya, lalu klik Run dalam panel. Untuk mengetahui detail selengkapnya tentang cara menggunakan Logs Explorer untuk kueri, lihat Membuat kueri log.

      Untuk melihat Gunakan penelusuran Logging ini
      Cloud VPN memulai Tahap 1 (IKE SA) 
      
resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      Cloud VPN tidak dapat menghubungi peer jarak jauh 
      
resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
      Peristiwa autentikasi IKE (Tahap 1) 
      
resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      Autentikasi IKE berhasil 
      
resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
      Tahap 1 (IKE SA) ditetapkan 
      
resource.type="vpn_gateway"
("IKE_SA" AND "established between")
      Semua peristiwa Tahap 2 (Child SA), termasuk peristiwa kunci ulang 
      
resource.type="vpn_gateway"
"CHILD_SA"
      Rekan meminta kunci ulang Tahap 2 
      
resource.type="vpn_gateway"
detected rekeying of CHILD_SA
      Peer meminta untuk menghentikan Tahap 2 (SA Turunan) 
      
resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
      Cloud VPN meminta untuk menghentikan Tahap 2 (SA Turunan) 
      
resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
      Cloud VPN menutup Tahap 2 (SA Turunan), mungkin sebagai respons terhadap peer 
      
resource.type="vpn_gateway" closing CHILD_SA
      Cloud VPN menutup Tahap 2 sendiri 
      
resource.type="vpn_gateway" CHILD_SA closed
      Jika pemilih traffic jarak jauh tidak cocok 
      
resource.type="vpn_gateway"
Remote traffic selectors narrowed
      Jika pemilih traffic lokal tidak cocok 
      
resource.type="vpn_gateway"
Local traffic selectors narrowed

Konektivitas

Pertimbangkan saran berikut saat menggunakan ping untuk memverifikasi konektivitas antara sistem lokal dan instance mesin virtual (VM) Google Cloud:

  • Pastikan aturan firewall di jaringan Google Cloud Anda mengizinkan traffic ICMP yang masuk. Aturan izinkan traffic keluar yang tersirat mengizinkan traffic ICMP keluar dari jaringan Anda, kecuali jika Anda telah menggantinya. Demikian pula, pastikan aturan firewall lokal Anda juga dikonfigurasi untuk mengizinkan traffic ICMP yang masuk dan keluar.

  • Gunakan alamat IP internal untuk melakukan ping ke VM Google Cloud dan sistem lokal. Ping alamat IP eksternal gateway VPN tidak menguji konektivitas melalui tunnel.

  • Saat menguji konektivitas dari infrastruktur lokal ke Google Cloud, sebaiknya ping dari sistem di jaringan Anda, bukan dari gateway VPN. Ping dari gateway dapat dilakukan jika Anda menetapkan antarmuka sumber yang sesuai, tetapi melakukan ping dari instance di jaringan Anda memiliki manfaat tambahan berupa pengujian konfigurasi firewall.

  • Pengujian Ping tidak memverifikasi bahwa port TCP atau UDP terbuka. Setelah memastikan bahwa sistem memiliki konektivitas dasar, Anda dapat menggunakan ping untuk melakukan pengujian tambahan.

Menghitung throughput jaringan

Anda dapat menghitung throughput jaringan dalam Google Cloud dan ke lokasi cloud lokal atau pihak ketiga Anda. Referensi ini mencakup informasi tentang cara menganalisis hasil, penjelasan variabel yang dapat memengaruhi performa jaringan, dan tips pemecahan masalah.

Masalah dan solusi umum

Tunnel menurun secara teratur selama beberapa detik

Secara default, Cloud VPN menegosiasikan asosiasi keamanan pengganti (SA) sebelum masa berlaku yang sudah ada berakhir (juga dikenal sebagai mengunci ulang). Gateway VPN peer Anda mungkin tidak mengunci ulang. Sebaliknya, Cloud VPN mungkin menegosiasikan SA baru hanya setelah menghapus SA yang sudah ada, sehingga menyebabkan gangguan.

Untuk memeriksa apakah gateway peer Anda telah melakukan kunci ulang, lihat log Cloud VPN. Jika koneksi turun lalu terhubung kembali tepat setelah pesan log Received SA_DELETE, berarti gateway lokal Anda tidak melakukan kunci ulang.

Untuk memverifikasi setelan tunnel, lihat dokumen Cipher IKE yang didukung. Secara khusus, pastikan masa aktif Fase 2 sudah benar, dan grup Diffie-Hellman (DH) disetel ke salah satu nilai yang direkomendasikan.

Untuk menelusuri peristiwa di tunnel Cloud VPN, Anda dapat menggunakan filter log lanjutan Logging. Misalnya, penelusuran filter lanjutan berikut untuk ketidakcocokan grup DH:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Gateway lokal di belakang NAT

Cloud VPN dapat berfungsi dengan gateway VPN lokal atau peer yang berada di belakang NAT. Hal ini dimungkinkan oleh enkapsulasi UDP dan NAT-T. Hanya NAT one-to-one yang didukung.

Konektivitas berfungsi untuk beberapa VM, tetapi tidak untuk yang lainnya

Jika ping, traceroute, atau metode pengiriman traffic lainnya hanya berfungsi dari beberapa VM ke sistem lokal Anda, atau dari beberapa sistem lokal saja ke beberapa VM Google Cloud, dan Anda telah memverifikasi bahwa aturan firewall Google Cloud dan lokal tidak memblokir traffic yang Anda kirim, Anda mungkin memiliki pemilih traffic yang mengecualikan sumber atau tujuan tertentu.

Pemilih traffic menentukan rentang alamat IP untuk tunnel VPN. Selain rute, sebagian besar implementasi VPN hanya meneruskan paket melalui tunnel jika kedua hal berikut berlaku:

  • Sumbernya sesuai dengan rentang IP yang ditentukan dalam pemilih traffic lokal.
  • Tujuannya sesuai dengan rentang IP yang ditentukan pada pemilih traffic jarak jauh.

Anda menentukan pemilih traffic saat membuat tunnel VPN Klasik dengan menggunakan pemilihan rute berbasis kebijakan atau VPN berbasis rute. Anda juga menentukan pemilih traffic saat membuat tunnel peer yang sesuai.

Beberapa vendor menggunakan istilah seperti proxy lokal, domain enkripsi lokal, atau jaringan sisi kiri sebagai sinonim untuk pemilih traffic lokal . Demikian pula, proxy jarak jauh, domain enkripsi jarak jauh, atau jaringan sisi kanan adalah sinonim dari pemilih traffic jarak jauh.

Untuk mengubah pemilih traffic untuk tunnel VPN Klasik, Anda harus menghapus dan membuat ulang tunnel. Langkah-langkah ini diperlukan karena pemilih traffic adalah bagian integral dari pembuatan tunnel, dan tunnel tidak dapat diedit nanti.

Gunakan panduan berikut saat menentukan pemilih traffic:

  • Pemilih traffic lokal untuk tunnel Cloud VPN harus mencakup semua subnet di jaringan Virtual Private Cloud (VPC) yang perlu Anda bagikan dengan jaringan peer Anda.
  • Pemilih traffic lokal untuk jaringan peer Anda harus mencakup semua subnet lokal yang perlu dibagikan dengan jaringan VPC Anda.
  • Untuk tunnel VPN tertentu, pemilih traffic memiliki hubungan berikut:
    • Pemilih traffic lokal Cloud VPN harus cocok dengan pemilih traffic jarak jauh untuk tunnel di gateway VPN peer Anda.
    • Pemilih traffic jarak jauh Cloud VPN harus cocok dengan pemilih traffic lokal untuk tunnel di gateway VPN peer Anda.

Masalah latensi jaringan antara VM di region yang berbeda

Untuk menentukan apakah terdapat masalah latensi atau kehilangan paket, pantau performa seluruh jaringan Google Cloud. Dalam tampilan performa Google Cloud, Dasbor Performa menampilkan metrik latensi dan kehilangan paket di seluruh Google Cloud. Metrik ini dapat membantu Anda memahami apakah masalah yang muncul dalam tampilan performa project bersifat unik untuk project Anda. Untuk detail selengkapnya, lihat Menggunakan Dasbor Performa.

Tidak dapat menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke gateway VPN yang bukan dengan ketersediaan tinggi (non-HA)

Google Cloud tidak mendukung pembuatan koneksi tunnel antara gateway VPN dengan ketersediaan tinggi (HA) dan gateway VPN non-HA apa pun yang dihosting di Google Cloud. Batasan ini mencakup gateway VPN Klasik dan gateway VPN pihak ketiga yang berjalan di VM Compute Engine.

Jika Anda mencoba melakukannya, Google Cloud akan menampilkan pesan error berikut:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

Untuk menghindari error ini, buat tunnel VPN yang menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke salah satu dari berikut:

  • Gateway VPN dengan ketersediaan tinggi (HA) lainnya
  • Gateway VPN eksternal yang tidak dihosting di Google Cloud

Tidak dapat terhubung ke tujuan eksternal melalui VPN dengan ketersediaan tinggi (HA)

Saat Anda menggunakan gateway VPN dengan ketersediaan tinggi (HA), resource Google Cloud menggunakan tunnel VPN untuk terhubung hanya ke tujuan yang diiklankan oleh router peer.

Jika Anda tidak dapat terhubung ke tujuan jarak jauh, pastikan router peer mengiklankan rentang IP tujuan.

Traffic IPv6 tidak dirutekan

Jika Anda mengalami kesulitan untuk terhubung ke host IPv6, lakukan hal berikut:

  1. Verifikasi bahwa rute IPv4 diiklankan dengan benar. Jika rute IPv4 tidak diiklankan, lihat Memecahkan masalah rute dan pemilihan rute BGP.
  2. Periksa aturan firewall untuk memastikan bahwa Anda mengizinkan traffic IPv6.
  3. Pastikan Anda tidak memiliki rentang subnet IPv6 yang tumpang tindih di jaringan VPC dan jaringan lokal. Lihat Memeriksa rentang subnet yang tumpang-tindih.
  4. Menentukan apakah Anda telah melampaui kuota dan batas untuk rute yang dipelajari di Cloud Router. Jika Anda telah melampaui kuota untuk rute yang dipelajari, awalan IPv6 akan dihapus sebelum awalan IPv4. Lihat Memeriksa kuota dan batas.
  5. Pastikan semua komponen yang memerlukan konfigurasi IPv6 telah dikonfigurasi dengan benar.
    • Jaringan VPC telah mengaktifkan penggunaan alamat IPv6 internal dengan flag --enable-ula-internal-ipv6.
    • Subnet VPC dikonfigurasi untuk menggunakan jenis stack IPV4_IPV6.
    • Subnet VPC memiliki --ipv6-access-type yang disetel ke INTERNAL.
    • VM Compute Engine di subnet dikonfigurasi dengan alamat IPv6.
    • Gateway VPN dengan ketersediaan tinggi (HA) dikonfigurasi untuk menggunakan jenis stack IPV4_IPV6.
    • BGP peer telah mengaktifkan IPv6 dan alamat IPv6 next hop yang benar telah dikonfigurasi untuk sesi BGP.

Referensi pemecahan masalah

Bagian ini mencakup informasi tentang ikon status, pesan status, dan cipher IKE yang didukung.

Ikon status

Cloud VPN menggunakan ikon status berikut di Google Cloud Console.

Grafik ikon Color Deskripsi Berlaku untuk pesan
Ikon sukses berwarna hijau
 Hijau Berhasil TERBENTUK
Ikon peringatan kuning
 Kuning Peringatan MENGIRIMKAN SUMBER DAYA, HANDSHAKE PERTAMA, MENUNGGU KONFIGURASI LENGKAP, PENYEDIAAN
Ikon error merah.
 Merah Error Semua pesan yang tersisa

Pesan Status

Untuk menunjukkan status gateway dan tunnel VPN, Cloud VPN menggunakan pesan status berikut. Tunnel VPN ditagih untuk status yang ditunjukkan.

Pesan Deskripsi Tunnel yang ditagih dalam status ini?
MENGALOKASIKAN RESOURCE Mengalokasikan resource untuk menyiapkan tunnel. Ya
PENYEDIAAN Menunggu untuk menerima semua konfigurasi untuk menyiapkan tunnel. Tidak
MENUNGGU KONFIGURASI LENGKAP Konfigurasi lengkap diterima, tetapi tunnel belum dibuat. Ya
HANDSHAKE PERTAMA Membuat tunnel. Ya
TERBENTUK Sesi komunikasi yang aman berhasil dibuat. Ya
ERROR JARINGAN
(diganti dengan TIDAK ADA PAKET MASUK)		 Otorisasi IPsec buruk. Ya
ERROR OTORISASI Gagal handshake Ya
KEGAGALAN NEGOSIASI Konfigurasi tunnel ditolak; bisa disebabkan karena ditambahkan ke daftar tolak. Ya
PENCABUTAN AKSES Tunnel sedang ditutup. Tidak
TIDAK ADA PAKET MASUK Gateway tidak menerima paket apa pun dari VPN lokal. Ya
REJECTED Konfigurasi tunnel ditolak; hubungi Dukungan. Ya
DIHENTIKAN Tunnel dihentikan dan tidak aktif; dapat disebabkan oleh penghapusan satu atau beberapa aturan penerusan yang diperlukan untuk tunnel VPN. Ya

Referensi cipher IKE

Cloud VPN mendukung cipher dan parameter konfigurasi untuk perangkat VPN peer atau layanan VPN. Cloud VPN menegosiasikan koneksi secara otomatis selama sisi peer menggunakan setelan cipher IKE yang didukung.

Untuk referensi cipher IKE lengkap, lihat Cipher IKE yang didukung.

Langkah selanjutnya

  • Untuk mempelajari konsep dasar Cloud VPN, lihat ringkasan Cloud VPN.
  • Untuk mengetahui informasi tentang skenario ketersediaan tinggi, throughput tinggi, atau beberapa skenario subnet, baca bagian Konfigurasi lanjut.