Solução de problemas

Este guia de solução de problemas pode ajudar você a monitorar e resolver problemas comuns com o Cloud VPN.

Para interpretar mensagens de status e referências de criptografia IKE, consulte a seção Referência.

Para encontrar informações de geração de registros e monitoramento, consulte Como ver registros e métricas.

Para encontrar definições da terminologia usada nesta página, consulte Termos-chave do Cloud VPN.

Mensagens de erro

Para verificar as mensagens de erro, siga estas etapas:

  1. No Console do Google Cloud, acesse a página VPN.

    Acessar a VPN

  2. Se um ícone de status for exibido, passe o cursor sobre ele para ver a mensagem de erro.

Muitas vezes, a mensagem de erro pode ajudar você a identificar o problema. Se necessário, verifique seus registros para mais informações. Veja informações detalhadas sobre o status no Console do Google Cloud na página Detalhes do túnel.

Registros da VPN

Os registros do Cloud VPN são armazenados no Cloud Logging. A geração de registros é automática. Portanto, não é necessário ativá-la.

Para informações sobre como visualizar registros para o lado do gateway de peering da sua conexão, consulte a documentação do produto.

Em muitos casos, os gateways estão configurados corretamente, mas há um problema na rede de peering entre os hosts e o gateway ou há um problema com a rede entre o gateway de peering e o gateway do Cloud VPN.

Para verificar os registros, siga estas etapas:

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Verifique nos registros:

    1. Verifique se o endereço IP de peering remoto configurado no gateway do Cloud VPN está correto.
    2. Verifique se o tráfego que flui dos hosts no local está chegando ao gateway de peering.
    3. Verifique se o tráfego está fluindo entre os dois gateways da VPN em ambas as direções. Nos registros da VPN, verifique as mensagens recebidas do outro gateway da VPN.
    4. Verifique se as versões IKE configuradas são as mesmas nos dois lados do túnel.
    5. Se a chave secreta compartilhada é a mesma nos dois lados do túnel.
    6. Se seu gateway de VPN de peering estiver atrás de NAT um para um, certifique-se de ter configurado corretamente o dispositivo NAT para encaminhar o tráfego UDP para seu gateway de VPN de peering nas portas 500 e 4500.
    7. Se os registros da VPN mostrarem um erro no-proposal-chosen, isso significa que o Cloud VPN e o gateway de VPN de peering não concordaram com um conjunto de criptografias. Para IKEv1, o conjunto de criptografias precisa corresponder exatamente. Para IKEv2, é preciso que haja pelo menos uma criptografia comum proposta por cada gateway. Certifique-se de usar criptografias compatíveis para configurar seu gateway de VPN de peering.
    8. Configure o peering e as rotas e regras de firewall do Google Cloud para que o tráfego possa atravessar o túnel. Talvez seja necessário entrar em contato com o administrador da rede para receber ajuda.
  3. Para encontrar problemas específicos, procure as seguintes strings nos seus registros:

    1. No painel Criador de consultas, insira uma das consultas avançadas listadas na tabela a seguir para procurar um determinado evento e clique em Executar consulta.
    2. Ajuste o período no painel Histograma conforme necessário e clique em Executar. Para mais detalhes sobre como usar o Explorador de registros para consultas, consulte Como criar consultas de registro.

      Para visualizar Use esta pesquisa de geração de registros
      O Cloud VPN inicia a fase 1 (IKE SA)
      resource.type="vpn_gateway"
      ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      O Cloud VPN não consegue entrar em contato com o par remoto
      resource.type="vpn_gateway"
      "establishing IKE_SA failed, peer not responding"
      Eventos de autenticação do IKE (fase 1)
      resource.type="vpn_gateway"
      ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      Autenticação do IKE
      resource.type="vpn_gateway"
      ("authentication of" AND "with pre-shared key successful")
      Fase 1 (IKE SA) estabelecida
      resource.type="vpn_gateway"
      ("IKE_SA" AND "established between")
      Todos os eventos da fase 2 (SA filho), incluindo eventos criação de nova chave
      resource.type="vpn_gateway"
      "CHILD_SA"
      O par solicita a criação de nova chave na fase 2
      resource.type="vpn_gateway"
      detected rekeying of CHILD_SA
      O par solicita o encerramento da fase 2 (SA filho)
      resource.type="vpn_gateway"
      received DELETE for ESP CHILD_SA
      O Cloud VPN solicita o encerramento da fase 2 (SA filho)
      resource.type="vpn_gateway"
      sending DELETE for ESP CHILD_SA
      O Cloud VPN encerra a fase 2 (SA filho), talvez em resposta ao par
      resource.type="vpn_gateway" closing CHILD_SA
      O Cloud VPN encerrou a fase 2 por conta própria
      resource.type="vpn_gateway" CHILD_SA closed
      Se os seletores de tráfego remoto não corresponderem
      resource.type="vpn_gateway"
      Remote traffic selectors narrowed
      Se os seletores de tráfego local não corresponderem
      resource.type="vpn_gateway"
      Local traffic selectors narrowed

Conectividade

Considere as seguintes sugestões ao usar ping para verificar a conectividade entre sistemas locais e instâncias de máquina virtual (VM) do Google Cloud:

  • Certifique-se de que as regras de firewall na sua rede do Google Cloud permitam tráfego ICMP de entrada. A regra implícita de permissão de saída permite o tráfego ICMP de saída da sua rede, a menos que ela seja modificada. Da mesma maneira, verifique se as regras de firewall local também estão configuradas para permitir tráfego ICMP de entrada e de saída.

  • Use endereços IP internos para dar um ping nas VMs do Google Cloud e nos sistemas locais. O ping de endereços IP externos de gateways da VPN não testa a conectividade pelo túnel.

  • Ao testar a conectividade do local com o Google Cloud, é melhor iniciar um ping de um sistema na sua rede, e não do gateway de VPN. É possível dar um ping de um gateway se você configurar a interface de origem apropriada, mas o ping de uma instância na sua rede tem a vantagem de testar a configuração do seu firewall.

  • Os testes Ping não verificam se as portas TCP ou UDP estão abertas. Depois de confirmar que os sistemas têm conectividade básica, é possível usar ping para realizar outros testes.

Calcule a capacidade da rede

É possível calcular a capacidade da rede no Google Cloud e nos locais de nuvem terceirizados ou no local. Este recurso inclui informações sobre como analisar resultados, explicações sobre variáveis que podem afetar o desempenho da rede e dicas de solução de problemas.

Problemas comuns e soluções

O túnel fica inativo por alguns segundos com frequência

Por padrão, o Cloud VPN negocia uma associação de segurança (SA) substituta antes que a existente expire. Isso é conhecido como rekeying. Talvez seu gateway de VPN de peering não esteja fazendo rekeying. Em vez disso, ele pode negociar uma nova SA somente após excluir a existente, causando interrupções.

Para verificar se o rechaveamento do gateway de peering é possível, visualize os registros do Cloud VPN. Se a conexão cair e for restabelecida logo depois de uma mensagem de registro Received SA_DELETE, significa que não ocorreu o rechaveamento do gateway no local.

Para verificar as configurações do túnel, consulte o documento Criptografias IKE aceitas. Em particular, veja se a vida útil da Fase 2 está correta e se um grupo Diffie-Hellman (DH) está configurado com um dos valores recomendados.

Para pesquisar eventos no túnel do Cloud VPN, use um filtro de registro avançado do Logging. Por exemplo, o filtro avançado a seguir pesquisa incompatibilidades em grupos DH:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Gateways locais por trás da NAT

O Cloud VPN pode funcionar com gateways de VPN local ou de peering que estão por trás da NAT. Isso é possível graças ao encapsulamento UDP e à NAT-T. Somente a NAT de um para um é aceita.

A conectividade funciona em algumas VMs, mas não em outras

Se ping, traceroute ou outros métodos de enviar tráfego funcionarem somente de algumas VMs para seus sistemas locais ou apenas de alguns sistemas locais para algumas VMs do Google Cloud, e se você tiver verificado que o Google Cloud e as regras de firewall locais não estão bloqueando o tráfego que você está enviando, é possível que haja seletores de tráfego que excluem determinadas origens ou destinos.

Os seletores de tráfego definem os intervalos de endereços IP para um túnel da VPN. Além das rotas, a maioria das implementações de VPN só passa pacotes usando um túnel se ambas as afirmações a seguir forem verdadeiras:

  • As origens se encaixam nos intervalos de IP especificados no seletor de tráfego local.
  • Os destinos se encaixam nos intervalos de IP especificados no seletor de tráfego remoto.

Você especifica os seletores de tráfego quando cria um túnel de VPN clássica usando o roteamento baseado em política ou uma VPN baseada em rota. Você também especifica os seletores de tráfego ao criar o túnel de peering correspondente.

Alguns fornecedores usam termos como proxy local, domínio de criptografia local ou rede do lado esquerdo como sinônimos para seletor de tráfego local. Da mesma forma, proxy remoto, domínio de criptografia remota ou rede do lado direito são sinônimos para seletor de tráfego remoto.

Para alterar os seletores de tráfego de um túnel de VPN clássica, é necessário excluir e recriar o túnel. Essas etapas são necessárias porque os seletores de tráfego são parte integrante da criação do túnel, e não é possível editar os túneis posteriormente.

Siga as diretrizes a seguir ao definir seletores de tráfego:

  • O seletor de tráfego local do túnel do Cloud VPN precisa abranger todas as sub-redes da rede de nuvem privada virtual (VPC) que você precisa compartilhar com a rede de peering.
  • É necessário que o seletor de tráfego local da sua rede de peering abranja todas as sub-redes locais que você precisa compartilhar com sua rede VPC.
  • Para um determinado túnel de VPN, os seletores de tráfego têm o seguinte relacionamento:
    • É necessário que o seletor de tráfego local do Cloud VPN corresponda ao seletor de tráfego remoto do túnel no gateway de VPN de peering.
    • É necessário que o seletor de tráfego remoto do Cloud VPN corresponda ao seletor de tráfego local do túnel no gateway de VPN de peering.

Problemas de latência de rede entre VMs em regiões diferentes

Para determinar se há problemas de latência ou perda de pacotes, monitore o desempenho de toda a rede do Google Cloud. Na visualização de desempenho do Google Cloud, o painel de desempenho mostra as métricas de latência e perda de pacotes em todo o Google Cloud. Essas métricas podem ajudar você a entender se os problemas evidentes na visualização de desempenho do projeto são exclusivos dele. Para mais detalhes, consulte Como usar o painel de desempenho.

Não é possível conectar um gateway de VPN de alta disponibilidade a um gateway de VPN que não seja de alta disponibilidade

O Google Cloud não aceita a criação de conexões de túnel entre um gateway de VPN de alta disponibilidade e qualquer gateway de VPN que não seja de alta disponibilidade hospedado no Google Cloud. Essa restrição inclui gateways da VPN clássica e gateways de VPN de terceiros em execução nas VMs do Compute Engine.

Se você tentar fazer isso, o Google Cloud retornará a seguinte mensagem de erro:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

Para evitar esse erro, crie um túnel de VPN que conecte o gateway de VPN de alta disponibilidade a um dos seguintes itens:

  • Outro gateway de VPN de alta disponibilidade
  • Um gateway de VPN externo não hospedado no Google Cloud
  • Instâncias de máquina virtual (VM) do Compute Engine

Não foi possível conectar ao destino externo por uma VPN de alta disponibilidade

Quando você usa um gateway de VPN de alta disponibilidade, os recursos do Google Cloud usam o túnel de VPN para se conectar somente aos destinos divulgados pelo roteador de peering.

Se não for possível se conectar a um destino remoto, verifique se o roteador de peering está divulgando o intervalo de IPs do destino.

O tráfego IPv6 não está sendo roteado

Se você estiver com dificuldade para se conectar a hosts IPv6, faça o seguinte:

  1. Verifique se as rotas IPv4 estão sendo anunciadas corretamente. Se as rotas IPv4 não estiverem sendo divulgadas, consulte Resolver problemas de rotas do BGP e seleção de rota.
  2. Inspecione as regras de firewall para garantir a permissão de tráfego IPv6.
  3. Verifique se não há intervalos de sub-rede IPv6 sobrepostos na rede VPC e na rede local. Consulte Verificar a sobreposição de intervalos de sub-redes.
  4. Determine se você excedeu as cotas e os limites das rotas aprendidas no Cloud Router. Se você exceder a cota das rotas aprendidas, os prefixos IPv6 serão descartados antes dos prefixos IPv4. Consulte Verificar cotas e limites.
  5. Verifique se todos os componentes que exigem a configuração do IPv6 foram configurados corretamente.
    • A rede VPC permitiu o uso de endereços IPv6 internos com a sinalização --enable-ula-internal-ipv6.
    • A sub-rede VPC é configurada para usar o tipo de pilha IPV4_IPV6.
    • A sub-rede VPC tem --ipv6-access-type definido como INTERNAL.
    • As VMs do Compute Engine na sub-rede são configuradas com endereços IPv6.
    • O gateway da VPN de alta disponibilidade está configurado para usar o tipo de pilha IPV4_IPV6.
    • O peering do BGP ativou o IPv6 e os endereços corretos do próximo salto do IPv6 estão configurados para a sessão do BGP.

Referência de solução de problemas

Esta seção inclui informações sobre ícones de status, mensagens de status e criptografias IKE aceitas.

Ícones de status

O Cloud VPN usa os seguintes ícones de status no console do Google Cloud.

Imagem do ícone Cor Descrição Aplica-se às mensagens
Ícone de sucesso verde
Verde Sucesso ESTABELECIDO
Ícone de aviso amarelo
Amarelo Aviso ALOCANDO RECURSOS, PRIMEIRO HANDSHAKE, AGUARDANDO A CONFIGURAÇÃO COMPLETA, PROVISIONANDO
Ícone de erro vermelho
Vermelho Erro Qualquer outra mensagem

Mensagens de status

Para indicar os estados do gateway e do túnel da VPN, o Cloud VPN usa as mensagens de status a seguir. O túnel de VPN é faturado nos estados indicados.

Mensagem Descrição Túnel faturado nesse estado?
ALOCANDO RECURSOS Alocando recursos para configurar o túnel. Sim
PROVISIONANDO Aguardando o recebimento de todas as configurações para configurar o túnel. Não
AGUARDANDO A CONFIGURAÇÃO COMPLETA A configuração completa foi recebida, mas o túnel ainda não foi estabelecido. Sim
PRIMEIRO HANDSHAKE Estabelecendo o túnel. Sim
ESTABELECIDO Uma sessão de comunicação segura foi estabelecida com sucesso. Sim
ERRO DE REDE
(substituído por NENHUM PACOTE DE ENTRADA)
Autorização de IPsec inválida. Sim
ERRO DE AUTORIZAÇÃO Falha no handshake. Sim
FALHA NA NEGOCIAÇÃO A configuração do túnel foi rejeitada. Talvez seja pelo fato de ter sido adicionada a uma lista de bloqueio. Sim
DESPROVISIONANDO O túnel está sendo desligado. Não
NENHUM PACOTE DE ENTRADA O gateway não está recebendo nenhum pacote da VPN local. Sim
REJEITADO A configuração do túnel foi rejeitada. Entre em contato com o Suporte. Sim
PARADO O túnel está parado e não está ativo. Isso pode ter acontecido por causa da exclusão de uma ou mais regras de encaminhamento necessárias para o túnel da VPN. Sim

Referência de criptografia IKE

O Cloud VPN aceita criptografias e parâmetros de configuração para dispositivos de VPN de peering ou serviços de VPN. O Cloud VPN negocia automaticamente a conexão se o lado do peering usar uma configuração de criptografia IKE compatível.

Para ver a referência completa da criptografia IKE, consulte Criptografias IKE aceitas.

A seguir