Panduan pemecahan masalah ini dapat membantu Anda memantau dan memecahkan masalah umum terkait Cloud VPN.
Untuk menafsirkan pesan status dan referensi cipher IKE, lihat bagian Referensi.
Untuk menemukan informasi logging dan pemantauan, baca bagian Melihat log dan metrik.
Untuk menemukan definisi untuk terminologi yang digunakan di halaman ini, lihat Istilah kunci Cloud VPN.
Pesan error
Untuk memeriksa pesan error, ikuti langkah-langkah berikut:
Di Google Cloud Console, buka halaman VPN.
Jika Anda melihat ikon status, arahkan kursor ke atasnya untuk melihat pesan error.
Sering kali, pesan error dapat membantu Anda menemukan masalahnya. Jika tidak, periksa log Anda untuk mengetahui informasi lebih lanjut. Anda dapat menemukan informasi status mendetail di Google Cloud Console pada halaman Detail tunnel.
Log VPN
Log Cloud VPN disimpan di Cloud Logging. Logging bersifat otomatis, sehingga Anda tidak perlu mengaktifkannya.
Untuk mengetahui informasi tentang cara melihat log untuk sisi gateway peer pada koneksi Anda, lihat dokumentasi produk Anda.
Seringkali, gateway dikonfigurasi dengan benar, tetapi ada masalah dalam jaringan peer antara host dan gateway, atau ada masalah dengan jaringan antara gateway peer dan gateway Cloud VPN.
Untuk memeriksa log, ikuti langkah-langkah berikut:
Di Konsol Google Cloud, buka halaman Logs Explorer.
Periksa log untuk mengetahui informasi berikut:
- Pastikan alamat IP peer jarak jauh yang dikonfigurasi di gateway Cloud VPN sudah benar.
- Pastikan traffic yang mengalir dari host lokal Anda mencapai gateway peer.
- Pastikan traffic mengalir di antara dua gateway VPN di kedua arah. Di log VPN, periksa pesan masuk yang dilaporkan dari gateway VPN lainnya.
- Pastikan versi IKE yang dikonfigurasi sama di kedua sisi tunnel.
- Periksa apakah rahasia bersama di kedua sisi tunnel sama.
- Jika gateway VPN peer Anda berada di belakang NAT one-to-one, pastikan Anda telah
mengonfigurasi perangkat NAT dengan benar untuk meneruskan traffic UDP ke
gateway VPN peer di port
500
dan4500
. - Jika log VPN menampilkan error
no-proposal-chosen
, error ini menunjukkan bahwa Cloud VPN dan gateway VPN peer Anda tidak dapat menyetujui serangkaian cipher. Untuk IKEv1, rangkaian penyandian harus sama persis. Untuk IKEv2, harus ada setidaknya satu cipher umum yang diusulkan oleh setiap gateway. Pastikan Anda menggunakan cipher yang didukung untuk mengonfigurasi gateway VPN peer Anda. - Pastikan Anda mengonfigurasi rute peer dan Google Cloud serta aturan firewall sehingga traffic dapat melintasi tunnel. Anda mungkin perlu menghubungi administrator jaringan untuk meminta bantuan.
Untuk menemukan masalah tertentu, Anda dapat menelusuri string berikut di log:
- Di panel Builder kueri, masukkan salah satu kueri lanjutan yang tercantum dalam tabel berikut untuk menelusuri peristiwa tertentu, lalu klik Jalankan Kueri.
Sesuaikan jangka waktu di panel Histogram seperlunya, lalu klik Run dalam panel. Untuk mengetahui detail selengkapnya tentang cara menggunakan Logs Explorer untuk kueri, lihat Membuat kueri log.
Untuk melihat Gunakan penelusuran Logging ini Cloud VPN memulai Tahap 1 (IKE SA) resource.type="vpn_gateway" ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN tidak dapat menghubungi peer jarak jauh resource.type="vpn_gateway" "establishing IKE_SA failed, peer not responding"
Peristiwa autentikasi IKE (Tahap 1) resource.type="vpn_gateway" ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
Autentikasi IKE berhasil resource.type="vpn_gateway" ("authentication of" AND "with pre-shared key successful")
Tahap 1 (IKE SA) ditetapkan resource.type="vpn_gateway" ("IKE_SA" AND "established between")
Semua peristiwa Tahap 2 (Child SA), termasuk peristiwa kunci ulang resource.type="vpn_gateway" "CHILD_SA"
Rekan meminta kunci ulang Tahap 2 resource.type="vpn_gateway" detected rekeying of CHILD_SA
Peer meminta untuk menghentikan Tahap 2 (SA Turunan) resource.type="vpn_gateway" received DELETE for ESP CHILD_SA
Cloud VPN meminta untuk menghentikan Tahap 2 (SA Turunan) resource.type="vpn_gateway" sending DELETE for ESP CHILD_SA
Cloud VPN menutup Tahap 2 (SA Turunan), mungkin sebagai respons terhadap peer resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN menutup Tahap 2 sendiri resource.type="vpn_gateway" CHILD_SA closed
Jika pemilih traffic jarak jauh tidak cocok resource.type="vpn_gateway" Remote traffic selectors narrowed
Jika pemilih traffic lokal tidak cocok resource.type="vpn_gateway" Local traffic selectors narrowed
Konektivitas
Pertimbangkan saran berikut saat menggunakan ping
untuk memverifikasi konektivitas
antara sistem lokal dan instance mesin virtual (VM) Google
Cloud:
Pastikan aturan firewall di jaringan Google Cloud Anda mengizinkan traffic ICMP yang masuk. Aturan izinkan traffic keluar yang tersirat mengizinkan traffic ICMP keluar dari jaringan Anda, kecuali jika Anda telah menggantinya. Demikian pula, pastikan aturan firewall lokal Anda juga dikonfigurasi untuk mengizinkan traffic ICMP yang masuk dan keluar.
Gunakan alamat IP internal untuk melakukan ping ke VM Google Cloud dan sistem lokal. Ping alamat IP eksternal gateway VPN tidak menguji konektivitas melalui tunnel.
Saat menguji konektivitas dari infrastruktur lokal ke Google Cloud, sebaiknya ping dari sistem di jaringan Anda, bukan dari gateway VPN. Ping dari gateway dapat dilakukan jika Anda menetapkan antarmuka sumber yang sesuai, tetapi melakukan ping dari instance di jaringan Anda memiliki manfaat tambahan berupa pengujian konfigurasi firewall.
Pengujian
Ping
tidak memverifikasi bahwa port TCP atau UDP terbuka. Setelah memastikan bahwa sistem memiliki konektivitas dasar, Anda dapat menggunakanping
untuk melakukan pengujian tambahan.
Menghitung throughput jaringan
Anda dapat menghitung throughput jaringan dalam Google Cloud dan ke lokasi cloud lokal atau pihak ketiga Anda. Referensi ini mencakup informasi tentang cara menganalisis hasil, penjelasan variabel yang dapat memengaruhi performa jaringan, dan tips pemecahan masalah.
Masalah dan solusi umum
Tunnel menurun secara teratur selama beberapa detik
Secara default, Cloud VPN menegosiasikan asosiasi keamanan pengganti (SA) sebelum masa berlaku yang sudah ada berakhir (juga dikenal sebagai mengunci ulang). Gateway VPN peer Anda mungkin tidak mengunci ulang. Sebaliknya, Cloud VPN mungkin menegosiasikan SA baru hanya setelah menghapus SA yang sudah ada, sehingga menyebabkan gangguan.
Untuk memeriksa apakah gateway peer Anda telah melakukan kunci ulang, lihat
log Cloud VPN. Jika koneksi turun lalu terhubung kembali
tepat setelah pesan log Received SA_DELETE
, berarti gateway lokal Anda tidak melakukan
kunci ulang.
Untuk memverifikasi setelan tunnel, lihat dokumen Cipher IKE yang didukung. Secara khusus, pastikan masa aktif Fase 2 sudah benar, dan grup Diffie-Hellman (DH) disetel ke salah satu nilai yang direkomendasikan.
Untuk menelusuri peristiwa di tunnel Cloud VPN, Anda dapat menggunakan filter log lanjutan Logging. Misalnya, penelusuran filter lanjutan berikut untuk ketidakcocokan grup DH:
resource.type="vpn_gateway" "Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"
Gateway lokal di belakang NAT
Cloud VPN dapat berfungsi dengan gateway VPN lokal atau peer yang berada di belakang NAT. Hal ini dimungkinkan oleh enkapsulasi UDP dan NAT-T. Hanya NAT one-to-one yang didukung.
Konektivitas berfungsi untuk beberapa VM, tetapi tidak untuk yang lainnya
Jika ping
, traceroute
, atau metode pengiriman traffic lainnya hanya berfungsi dari beberapa
VM ke sistem lokal Anda, atau dari beberapa sistem lokal saja ke beberapa
VM Google Cloud, dan Anda telah memverifikasi bahwa aturan firewall Google
Cloud dan lokal tidak memblokir traffic yang Anda kirim,
Anda mungkin memiliki pemilih traffic yang mengecualikan sumber atau tujuan tertentu.
Pemilih traffic menentukan rentang alamat IP untuk tunnel VPN. Selain rute, sebagian besar implementasi VPN hanya meneruskan paket melalui tunnel jika kedua hal berikut berlaku:
- Sumbernya sesuai dengan rentang IP yang ditentukan dalam pemilih traffic lokal.
- Tujuannya sesuai dengan rentang IP yang ditentukan pada pemilih traffic jarak jauh.
Anda menentukan pemilih traffic saat membuat tunnel VPN Klasik dengan menggunakan pemilihan rute berbasis kebijakan atau VPN berbasis rute. Anda juga menentukan pemilih traffic saat membuat tunnel peer yang sesuai.
Beberapa vendor menggunakan istilah seperti proxy lokal, domain enkripsi lokal, atau jaringan sisi kiri sebagai sinonim untuk pemilih traffic lokal . Demikian pula, proxy jarak jauh, domain enkripsi jarak jauh, atau jaringan sisi kanan adalah sinonim dari pemilih traffic jarak jauh.
Untuk mengubah pemilih traffic untuk tunnel VPN Klasik, Anda harus menghapus dan membuat ulang tunnel. Langkah-langkah ini diperlukan karena pemilih traffic adalah bagian integral dari pembuatan tunnel, dan tunnel tidak dapat diedit nanti.
Gunakan panduan berikut saat menentukan pemilih traffic:
- Pemilih traffic lokal untuk tunnel Cloud VPN harus mencakup semua subnet di jaringan Virtual Private Cloud (VPC) yang perlu Anda bagikan dengan jaringan peer Anda.
- Pemilih traffic lokal untuk jaringan peer Anda harus mencakup semua subnet lokal yang perlu dibagikan dengan jaringan VPC Anda.
- Untuk tunnel VPN tertentu, pemilih traffic memiliki hubungan berikut:
- Pemilih traffic lokal Cloud VPN harus cocok dengan pemilih traffic jarak jauh untuk tunnel di gateway VPN peer Anda.
- Pemilih traffic jarak jauh Cloud VPN harus cocok dengan pemilih traffic lokal untuk tunnel di gateway VPN peer Anda.
Masalah latensi jaringan antara VM di region yang berbeda
Untuk menentukan apakah terdapat masalah latensi atau kehilangan paket, pantau performa seluruh jaringan Google Cloud. Dalam tampilan performa Google Cloud, Dasbor Performa menampilkan metrik latensi dan kehilangan paket di seluruh Google Cloud. Metrik ini dapat membantu Anda memahami apakah masalah yang muncul dalam tampilan performa project bersifat unik untuk project Anda. Untuk detail selengkapnya, lihat Menggunakan Dasbor Performa.
Tidak dapat menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke gateway VPN yang bukan dengan ketersediaan tinggi (non-HA)
Google Cloud tidak mendukung pembuatan koneksi tunnel antara gateway VPN dengan ketersediaan tinggi (HA) dan gateway VPN non-HA apa pun yang dihosting di Google Cloud. Batasan ini mencakup gateway VPN Klasik dan gateway VPN pihak ketiga yang berjalan di VM Compute Engine.
Jika Anda mencoba melakukannya, Google Cloud akan menampilkan pesan error berikut:
You cannot provide an interface with an IP address owned by Google Cloud. You can only create tunnels from an HA gateway to an HA gateway or create tunnels from an HA gateway to an ExternalVpnGateway.
Untuk menghindari error ini, buat tunnel VPN yang menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke salah satu dari berikut:
- Gateway VPN dengan ketersediaan tinggi (HA) lainnya
- Gateway VPN eksternal yang tidak dihosting di Google Cloud
- Instance virtual machine (VM) Compute Engine
Tidak dapat terhubung ke tujuan eksternal melalui VPN dengan ketersediaan tinggi (HA)
Saat Anda menggunakan gateway VPN dengan ketersediaan tinggi (HA), resource Google Cloud menggunakan tunnel VPN untuk terhubung hanya ke tujuan yang diiklankan oleh router peer.
Jika Anda tidak dapat terhubung ke tujuan jarak jauh, pastikan router peer mengiklankan rentang IP tujuan.
Traffic IPv6 tidak dirutekan
Jika Anda mengalami kesulitan untuk terhubung ke host IPv6, lakukan hal berikut:
- Verifikasi bahwa rute IPv4 diiklankan dengan benar. Jika rute IPv4 tidak diiklankan, lihat Memecahkan masalah rute BGP dan pemilihan rute.
- Periksa aturan firewall untuk memastikan bahwa Anda mengizinkan traffic IPv6.
- Pastikan Anda tidak memiliki rentang subnet IPv6 yang tumpang tindih di jaringan VPC dan jaringan lokal. Lihat Memeriksa rentang subnet yang tumpang-tindih.
- Menentukan apakah Anda telah melampaui kuota dan batas untuk rute yang dipelajari di Cloud Router. Jika Anda telah melampaui kuota untuk rute yang dipelajari, awalan IPv6 akan dihapus sebelum awalan IPv4. Lihat Memeriksa kuota dan batas.
- Pastikan semua komponen yang memerlukan konfigurasi IPv6 telah dikonfigurasi
dengan benar.
- Jaringan VPC telah mengaktifkan penggunaan alamat IPv6 internal dengan flag
--enable-ula-internal-ipv6
. - Subnet VPC dikonfigurasi untuk menggunakan jenis stack
IPV4_IPV6
. - Subnet VPC memiliki
--ipv6-access-type
yang disetel keINTERNAL
. - VM Compute Engine di subnet dikonfigurasi dengan alamat IPv6.
- Gateway VPN dengan ketersediaan tinggi (HA) dikonfigurasi untuk menggunakan jenis stack
IPV4_IPV6
. - BGP peer telah mengaktifkan IPv6 dan alamat IPv6 next hop yang benar telah
dikonfigurasi untuk sesi BGP.
- Untuk melihat status dan rute Cloud Router, buka Melihat status dan rute Cloud Router.
- Untuk melihat konfigurasi sesi BGP, baca Melihat konfigurasi sesi BGP.
- Jaringan VPC telah mengaktifkan penggunaan alamat IPv6 internal dengan flag
Referensi pemecahan masalah
Bagian ini mencakup informasi tentang ikon status, pesan status, dan cipher IKE yang didukung.
Ikon status
Cloud VPN menggunakan ikon status berikut di Google Cloud Console.
Grafik ikon | Color | Deskripsi | Berlaku untuk pesan |
---|---|---|---|
Hijau | Berhasil | TERBENTUK | |
Kuning | Peringatan | MENGIRIMKAN SUMBER DAYA, HANDSHAKE PERTAMA, MENUNGGU KONFIGURASI LENGKAP, PENYEDIAAN | |
Merah | Error | Semua pesan yang tersisa |
Pesan Status
Untuk menunjukkan status gateway dan tunnel VPN, Cloud VPN menggunakan pesan status berikut. Tunnel VPN ditagih untuk status yang ditunjukkan.
Pesan | Deskripsi | Tunnel yang ditagih dalam status ini? |
---|---|---|
MENGALOKASIKAN RESOURCE | Mengalokasikan resource untuk menyiapkan tunnel. | Ya |
PENYEDIAAN | Menunggu untuk menerima semua konfigurasi untuk menyiapkan tunnel. | Tidak |
MENUNGGU KONFIGURASI LENGKAP | Konfigurasi lengkap diterima, tetapi tunnel belum dibuat. | Ya |
HANDSHAKE PERTAMA | Membuat tunnel. | Ya |
TERBENTUK | Sesi komunikasi yang aman berhasil dibuat. | Ya |
ERROR JARINGAN (diganti dengan TIDAK ADA PAKET MASUK) |
Otorisasi IPsec buruk. | Ya |
ERROR OTORISASI | Gagal handshake | Ya |
KEGAGALAN NEGOSIASI | Konfigurasi tunnel ditolak; bisa disebabkan karena ditambahkan ke daftar tolak. | Ya |
PENCABUTAN AKSES | Tunnel sedang ditutup. | Tidak |
TIDAK ADA PAKET MASUK | Gateway tidak menerima paket apa pun dari VPN lokal. | Ya |
REJECTED | Konfigurasi tunnel ditolak; hubungi Dukungan. | Ya |
DIHENTIKAN | Tunnel dihentikan dan tidak aktif; dapat disebabkan oleh penghapusan satu atau beberapa aturan penerusan yang diperlukan untuk tunnel VPN. | Ya |
Referensi cipher IKE
Cloud VPN mendukung cipher dan parameter konfigurasi untuk perangkat VPN peer atau layanan VPN. Cloud VPN menegosiasikan koneksi secara otomatis selama sisi peer menggunakan setelan cipher IKE yang didukung.
Untuk referensi cipher IKE lengkap, lihat Cipher IKE yang didukung.
Langkah selanjutnya
- Untuk mempelajari konsep dasar Cloud VPN, lihat ringkasan Cloud VPN.
- Untuk mengetahui informasi tentang skenario ketersediaan tinggi, throughput tinggi, atau beberapa skenario subnet, baca bagian Konfigurasi lanjut.