Soluciona problemas

Esta guía de solución de problemas puede ayudarte a supervisar y a resolver problemas comunes con Cloud VPN.

Para interpretar los mensajes de estado y las referencias de cifrado IKE, consulta la sección Referencia.

Para encontrar información sobre el registro y la supervisión, consulta Visualiza registros y métricas.

Para encontrar definiciones de la terminología usada en esta página, consulta los términos de clave de Cloud VPN.

Mensajes de error

Para verificar los mensajes de error, sigue estos pasos:

  1. En Google Cloud Console, ve a la página VPN.

    Ir a VPN

  2. Si ves un ícono de estado, coloca el cursor sobre él para ver el mensaje de error.

A menudo, el mensaje de error puede ayudarte a detallar el problema. Si no es así, revisa tus registros para obtener más información. Puedes encontrar información detallada del estado en Cloud Console en la página Detalles del túnel.

Registros de VPN

Los registros de Cloud VPN se almacenan en Cloud Logging. El registro es automático, por lo que no necesitas habilitarlo.

Para obtener información sobre cómo ver los registros del lado de la puerta de enlace de intercambio de tráfico de tu conexión, consulta la documentación de tu producto.

A menudo, las puertas de enlace están configuradas de forma correcta, pero hay un problema en la red de intercambio de tráfico entre los hosts y la puerta de enlace, o hay un problema con la red entre la puerta de enlace de intercambio de tráfico y la puerta de enlace de Cloud VPN.

Para verificar los registros, sigue estos pasos:

  1. En Cloud Console, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Revisa los registros para ver la siguiente información:

    1. Verifica que la dirección IP de intercambio de tráfico remoto configurada en la puerta de enlace de Cloud VPN sea correcta.
    2. Verifica que el flujo de tráfico de los hosts locales llegue a la puerta de enlace de intercambio de tráfico.
    3. Verifica que el tráfico fluya entre las dos puertas de enlace de VPN en ambas direcciones. En los registros de VPN, verifica los mensajes entrantes informados desde la otra puerta de enlace VPN.
    4. Verifica que las versiones de IKE configuradas sean las mismas en ambos lados del túnel.
    5. Comprueba que el secreto compartido sea el mismo en ambos lados del túnel.
    6. Si tu puerta de enlace de VPN de intercambio de tráfico está detrás de NAT uno a uno, asegúrate de haber configurado correctamente el dispositivo NAT para reenviar tráfico UDP a tu puerta de enlace de VPN de intercambio de tráfico en los puertos 500 y 4500. Configura la puerta de enlace de intercambio de tráfico para usar la dirección IP externa del dispositivo NAT para identificarse. Para obtener más detalles, consulta la sección puertas de enlace locales detrás de NAT.
    7. Si en los registros de VPN se muestra un error no-proposal-chosen, esto indica que Cloud VPN y la puerta de enlace de VPN de intercambio de tráfico no pudieron acordar un conjunto de algoritmos de cifrado. Para IKEv1, el conjunto de cifrados debe coincidir exactamente. Para IKEv2, debe haber al menos un algoritmo de cifrado común propuesto por cada puerta de enlace. Asegúrate de usar algoritmos de cifrado admitidos para configurar tu puerta de enlace de VPN de intercambio de tráfico.
    8. Asegúrate de configurar las rutas de intercambio de tráfico y de Google Cloud, así como las reglas de firewall para que el tráfico pueda atravesar el túnel. Es posible que tengas que comunicarte con el administrador de tu red para obtener ayuda.
  3. Para encontrar problemas específicos, puedes buscar las siguientes strings en tus registros:

    1. En el panel Compilador de consultas, ingresa una de las consultas avanzadas que se enumeran en la siguiente tabla para buscar un evento en particular, y haz clic en Ejecutar consulta.
    2. Ajusta el período en el panel Histograma según sea necesario y, luego, haz clic en Ejecutar dentro del panel. Si deseas obtener más detalles sobre cómo usar el Explorador de registros para las consultas, visita la sección sobre Compila consultas de registro.

      Para ver Usa esta búsqueda de Logging
      Cloud VPN inicia la Fase 1 (IKE SA)
      
      resource.type="vpn_gateway"
      ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      Cloud VPN no puede ponerse en contacto con un par remoto
      
      resource.type="vpn_gateway"
      "establishing IKE_SA failed, peer not responding"
      Eventos de autenticación (Fase 1) IKE
      
      resource.type="vpn_gateway"
      ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      Autenticación IKE correcta
      
      resource.type="vpn_gateway"
      ("authentication of" AND "with pre-shared key successful")
      Fase 1 (IKE SA) establecida
      
      resource.type="vpn_gateway"
      ("IKE_SA" AND "established between")
      Todos los eventos de la Fase 2 (SA secundaria), incluidos los eventos de cambio de clave
      
      resource.type="vpn_gateway"
      "CHILD_SA"
      Par pide el cambio de clave de la Fase 2
      
      resource.type="vpn_gateway"
      detected rekeying of CHILD_SA
      Par pide terminar la Fase 2 (SA secundaria)
      
      resource.type="vpn_gateway"
      received DELETE for ESP CHILD_SA
      Cloud VPN solicita terminar la Fase 2 (SA secundaria)
      
      resource.type="vpn_gateway"
      sending DELETE for ESP CHILD_SA
      Cloud VPN cierra la Fase 2 (SA secundaria), tal vez en respuesta al par
      
      resource.type="vpn_gateway" closing CHILD_SA
      Cloud VPN cerró la Fase 2 por sí solo
      
      resource.type="vpn_gateway" CHILD_SA closed
      Si los selectores de tráfico remotos no coinciden
      
      resource.type="vpn_gateway"
      Remote traffic selectors narrowed
      Si los selectores de tráfico locales no coinciden
      
      resource.type="vpn_gateway"
      Local traffic selectors narrowed

Conectividad

Considera las siguientes sugerencias cuando uses ping para verificar la conectividad entre los sistemas locales y las instancias de máquina virtual (VM) de Google Cloud:

  • Asegúrate de que las reglas de firewall de la red de Google Cloud permitan el tráfico de ICMP entrante. La regla de permiso de salida implícita permite el tráfico ICMP saliente de tu red, a menos que lo hayas anulado. Del mismo modo, asegúrate de que las reglas de firewall locales también estén configuradas para permitir el tráfico de ICMP entrante y saliente.

  • Usa direcciones IP internas para hacer ping a las VM de Google Cloud y a los sistemas locales. Hacer ping a las direcciones IP externas de las puertas de enlace de VPN no prueba la conectividad a través del túnel.

  • Cuando pruebas la conectividad desde instalaciones locales a Google Cloud, es mejor iniciar un ping desde un sistema en la red, no desde la puerta de enlace de VPN. Hacer ping desde una puerta de enlace es posible si configuras la interfaz de origen adecuada, pero hacer ping desde una instancia en tu red tiene el beneficio adicional de probar tu configuración de firewall.

  • Las pruebas de Ping no verifican que los puertos TCP o UDP estén abiertos. Después de establecer que los sistemas tengan conectividad básica, puedes usar ping para realizar pruebas adicionales.

Calcula la capacidad de procesamiento de la red

Puedes calcular la capacidad de procesamiento de la red en Google Cloud y en las ubicaciones de nube locales o de terceros. En este recurso se incluye información sobre cómo analizar resultados, explicaciones de variables que pueden afectar el rendimiento de la red y sugerencias para la solución de problemas.

Problemas comunes y soluciones

El túnel normalmente se desconecta por unos segundos

De forma predeterminada, Cloud VPN negocia una asociación de seguridad (SA) de reemplazo antes de que caduque la existente (lo que también se conoce como cambio de clave). Es posible que la puerta de enlace de VPN de intercambio de tráfico no cambie la clave. En su lugar, podría negociar una SA nueva solo después de borrar la SA existente, lo que causa interrupciones.

Para verificar si la puerta de enlace de intercambio de tráfico cambia la clave, consulta los registros de Cloud VPN. Si la conexión se interrumpe y vuelve a establecerse justo después de un mensaje de registro Received SA_DELETE, la puerta de enlace local no cambió la clave.

Para verificar la configuración del túnel, consulta el documento Algoritmos de cifrado de IKE admitidos. En especial, asegúrate de que la duración de la fase 2 sea correcta y de que un grupo de Diffie-Hellman (DH) esté configurado con uno de los valores recomendados.

Para buscar eventos en tu túnel de Cloud VPN, puedes usar un filtro de registro avanzado de Logging. Por ejemplo, el siguiente filtro avanzado busca discrepancias en el grupo DH:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Puertas de enlace locales detrás de NAT

Cloud VPN puede funcionar con puertas de enlace de VPN locales o de intercambio de tráfico que están detrás de NAT. Esto es posible gracias al encapsulamiento UDP y NAT-T. Solo se admite NAT uno a uno.

Como parte del proceso de autenticación, Cloud VPN verifica la identidad de la puerta de enlace del par. Cloud VPN espera que todas las puertas de enlace de intercambio de tráfico se identifiquen con el tipo de identidad ID_IPV4_ADDR según se especifica en RFC 7815 con la dirección IP externa (puerta de enlace de intercambio de tráfico) configurada para el túnel de Cloud VPN.

Los siguientes mensajes de registro indican que la puerta de enlace de VPN de intercambio de tráfico se identifica de forma incorrecta con una dirección IP interna. En este ejemplo, PEER_GATEWAY_INTERNAL_IP es una dirección IP interna y PEER_GATEWAY_EXTERNAL_IP es la dirección IP externa del dispositivo NAT entre Internet y la puerta de enlace de VPN de intercambio de tráfico.

authentication of PEER_GATEWAY_INTERNAL_IP with pre-shared key successful
constraint check failed: identity PEER_GATEWAY_EXTERNAL_IP required
selected peer config 'vpn_PEER_GATEWAY_EXTERNAL_IP' inacceptable: constraint checking failed

Cuando se utiliza NAT uno a uno, tu puerta de enlace de VPN local debe identificarse usando la misma dirección IP externa del dispositivo NAT:

  • El tipo de identidad debe ser ID_IPV4_ADDR (RFC 7815).

  • No todos los dispositivos Cisco admiten la configuración de una identidad de dispositivo para una dirección IP diferente de la que usa el dispositivo (su dirección IP interna). Por ejemplo, los dispositivos Cisco ASA no admiten la asignación de diferentes direcciones IP (externas) para sus identidades. Por lo tanto, los dispositivos ASA de Cisco no pueden configurarse para usar NAT uno a uno con Cloud VPN.

  • Para los dispositivos Juniper, puedes configurar la identidad del dispositivo con set security ike gateway NAME local-identity inet EXTERNAL_IP, en el que NAME es el nombre de la puerta de enlace de VPN y EXTERNAL_IP es tu dirección IP externa. Para obtener más detalles, consulta este artículo de Juniper TechLibrary.

La conectividad funciona para algunas VM, pero no con otras

Si es ping, traceroute o algún otro método para enviar tráfico solo desde algunas VM a tus sistemas locales o desde solo algunos sistemas locales a algunas VM de Google Cloud y si verificaste que las reglas de firewall de Google Cloud y locales no bloquean el tráfico que envías, es posible que tengas selectores de tráfico que excluyan ciertos orígenes o destinos.

Los selectores de tráfico definen los rangos de direcciones IP para un túnel VPN. Además de las rutas, la mayoría de las implementaciones de VPN solo pasan paquetes a través de un túnel si se cumplen las siguientes condiciones:

  • Sus orígenes se ajustan a los rangos de IP especificados en el selector de tráfico local.
  • Sus destinos se ajustan a los rangos de IP especificados en el selector de tráfico remoto.

Especifica selectores de tráfico cuando crees un túnel VPN clásica mediante el enrutamiento basado en políticas o una VPN basada en rutas. También puedes especificar selectores de tráfico cuando creas el túnel de intercambio de tráfico correspondiente.

Algunos proveedores usan términos como proxy local, dominio de encriptación local o red del lado izquierdo como sinónimos del selector de tráfico local. De manera similar, el proxy remoto, el dominio de encriptación remoto o la red del lado derecho son sinónimos del selector de tráfico remoto.

Para cambiar los selectores de tráfico de un túnel de VPN clásica, debes borrar y volver a crear el túnel. Estos pasos son necesarios porque los selectores de tráfico son una parte integral de la creación del túnel, y los túneles no se pueden editar más adelante.

Sigue estos lineamientos cuando definas los selectores de tráfico:

  • El selector de tráfico local del túnel de Cloud VPN debe abarcar todas las subredes de la red de nube privada virtual (VPC) que necesitas compartir con tu red de intercambio de tráfico.
  • El selector de tráfico local de tu red de intercambio de tráfico debe abarcar todas las subredes locales que necesitas compartir con la red de VPC.
  • Para un túnel VPN específico, los selectores de tráfico tienen la siguiente relación:
    • El selector de tráfico local de Cloud VPN debe coincidir con el selector de tráfico remoto del túnel en la puerta de enlace de VPN de intercambio de tráfico.
    • El selector de tráfico remoto de Cloud VPN debe coincidir con el selector de tráfico local del túnel en la puerta de enlace de VPN de intercambio de tráfico.

Problemas de latencia de red entre VM de diferentes regiones

Para determinar si hay algún problema de latencia o de pérdida de paquetes, supervisa el rendimiento de toda la red de Google Cloud. En la vista de rendimiento de Google Cloud, el panel de rendimiento muestra las métricas de pérdida de paquetes y latencia en todo Google Cloud. Estas métricas pueden ayudarte a comprender si los problemas evidentes en la vista de rendimiento del proyecto son exclusivos de tu proyecto. Para obtener más detalles, consulta Usa el Panel de rendimiento.

No se puede conectar una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace de VPN sin alta disponibilidad

Google Cloud no admite la creación de conexiones de túnel entre una puerta de enlace de VPN con alta disponibilidad y cualquier puerta de enlace de VPN con alta disponibilidad alojada en Google Cloud. Esta restricción incluye las puertas de enlace de VPN clásica y las puertas de enlace de VPN de terceros que se ejecutan en las VM de Compute Engine.

Si intentas hacerlo, Google Cloud mostrará el siguiente mensaje de error:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

Para evitar este error, crea un túnel VPN que conecte tu puerta de enlace de VPN con alta disponibilidad a uno de los siguientes:

  • Otra puerta de enlace de VPN con alta disponibilidad
  • Una puerta de enlace de VPN externa que no está alojada en Google Cloud

Referencia de solución de problemas

En esta sección, se incluye información sobre íconos de estado, mensajes de estado y algoritmos de cifrado de IKE admitidos.

Íconos de estado

En Cloud VPN, se usan los siguientes íconos de estado en Cloud Console.

Gráfico del ícono Color Descripción Se aplica a los mensajes
Ícono de éxito verde
Verde Listo ESTABLECIDO
Ícono de advertencia amarillo
Amarillo Advertencia ASIGNACIÓN DE RECURSOS, PRIMER PROTOCOLO DE ENLACE, EN ESPERA DE CONFIGURACIÓN COMPLETA, APROVISIONAMIENTO
Ícono de error rojo
Rojo Error Todos los mensajes restantes

Mensajes de estado

Para indicar los estados de la puerta de enlace de VPN y del túnel, Cloud VPN utiliza los siguientes mensajes de estado. El túnel VPN se factura por los estados indicados.

Mensaje Descripción ¿El túnel se factura en este estado?
ASIGNANDO RECURSOS Asignación de recursos para configurar el túnel.
APROVISIONAMIENTO A la espera de recibir todas las configuraciones para configurar el túnel. No
ESPERANDO CONFIGURACIÓN COMPLETA Configuración completa recibida, pero aún no se establece un túnel.
PRIMER PROTOCOLO DE ENLACE Se establece el túnel.
ESTABLECIDO Se establece con éxito una sesión de comunicación segura.
ERROR DE RED
(reemplazado por SIN PAQUETES ENTRANTES)
Autorización incorrecta de IPsec.
ERROR DE AUTORIZACIÓN Falló el protocolo de enlace.
FALLA DE NEGOCIACIÓN Se rechazó la configuración del túnel; puede que esto se deba a que se agregó a una lista de bloqueo.
DESAPROVISIONAMIENTO El túnel se está cerrando. No
SIN PAQUETES ENTRANTES La puerta de enlace no recibe ningún paquete de la VPN local.
REJECTED Se rechazó la configuración del túnel. Comunícate con el equipo de asistencia.
DETENIDO El túnel se detuvo y no está activo. Puede deberse a la eliminación de una o más reglas de reenvío requeridas para el túnel VPN.

Referencia del algoritmo de cifrado IKE

Cloud VPN admite algoritmos de cifrado y parámetros de configuración para dispositivos de VPN de intercambio de tráfico o servicios de VPN. Cloud VPN negocia de forma automática la conexión siempre que el lado del intercambio de tráfico use una configuración de algoritmo de cifrado IKE admitido.

Para obtener la referencia completa del algoritmo de cifrado IKE, consulta Algoritmos de cifrado IKE admitidos.

¿Qué sigue?

  • Si quieres más información sobre los conceptos básicos de Cloud VPN, consulta Descripción general de Cloud VPN.
  • Para obtener más información sobre situaciones de alta disponibilidad, alta capacidad de procesamiento o varias situaciones de subredes, consulta Configuración avanzada.