Soluciona problemas

Esta guía de solución de problemas puede ayudarte a supervisar y a resolver problemas comunes con Cloud VPN.

Para interpretar los mensajes de estado y las referencias de cifrado IKE, consulta la sección Referencia.

Visualiza registros y métricas

Consulta Visualiza registros y métricas.

Comprueba los mensajes de error

  1. Ve a la página VPN en Google Cloud Console.
    Ir a la página VPN
  2. Si ves un ícono, desplázate sobre él para ver el mensaje de error.

En muchos casos, el mensaje de error puede ayudarte a detallar el problema. Si no es así, revisa tus registros para obtener más información. También puedes encontrar información de estado detallada en la página Detalles del túnel en Google Cloud Console.

Comprueba los registros de VPN

Los registros de Cloud VPN se almacenan en Cloud Logging. Logging es automático y no es necesario habilitarlo.

Para la puerta de enlace de intercambio de tráfico, consulta la documentación del producto a fin de obtener información sobre cómo ver los registros de ese lado de la conexión.

En muchos casos, las puertas de enlace están configuradas de forma correcta, pero hay un problema en la red de intercambio de tráfico entre los hosts y la puerta de enlace, o hay un problema con la red entre la puerta de enlace de intercambio de tráfico y la puerta de enlace de Cloud VPN.

Ir a la página Logging

Revisa los registros para ver la siguiente información:

  1. Verifica que la dirección IP de intercambio de tráfico remoto configurada en la puerta de enlace de Cloud VPN sea correcta.
  2. Verifica que el flujo de tráfico de los hosts locales llegue a la puerta de enlace de intercambio de tráfico.
  3. Verifica que el tráfico fluya entre las dos puertas de enlace de VPN en ambas direcciones. En los registros de VPN, verifica los mensajes entrantes informados desde la otra puerta de enlace VPN.
  4. Verifica que las versiones de IKE configuradas sean las mismas en ambos lados del túnel.
  5. Comprueba que el secreto compartido sea el mismo en ambos lados del túnel.
  6. Si la puerta de enlace de VPN de intercambio de tráfico está detrás de NAT uno a uno, asegúrate de que el dispositivo NAT esté configurado de forma correcta para reenviar tráfico UDP a la puerta de enlace de VPN de intercambio de tráfico en los puertos 500 y 4500. La puerta de enlace de intercambio de tráfico se debe configurar para identificarse mediante la dirección IP externa del dispositivo NAT. Consulta Puertas de enlace locales detrás de NAT para obtener más detalles.
  7. Si en los registros de VPN se muestra un error no-proposal-chosen, esto indica que Cloud VPN y la puerta de enlace de VPN de intercambio de tráfico no pudieron acordar un conjunto de algoritmos de cifrado. Para IKEv1, el conjunto de cifrados debe coincidir con exactitud. Para IKEv2, debe haber al menos un cifrado común propuesto por cada puerta de enlace. Asegúrate de que la puerta de enlace de VPN de intercambio de tráfico esté configurada mediante algoritmos de cifrado admitidos.
  8. Verifica que las reglas de firewall y las rutas de intercambio de tráfico y de Google Cloud estén configuradas para que el tráfico pueda desviarse al túnel. Es posible que tengas que comunicarte con el administrador de tu red para obtener ayuda.

También puedes buscar en tus registros las siguientes strings para encontrar problemas específicos:

  1. Ve a Visor de registros en Google Cloud Console.
    Ir Visor de registros
  2. En el cuadro de búsqueda Filtrar por etiqueta o texto, haz clic en el triángulo de divulgación en el extremo derecho y selecciona Convertir en filtro avanzado.
  3. Usa uno de los filtros avanzados que se enumeran a continuación para buscar un evento específico y ajusta el período según sea necesario.
Para ver Usa esta búsqueda de Logging
Cloud VPN inicia la Fase 1 (SA de IKE)

resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN no puede ponerse en contacto con un par remoto

resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
Eventos de autenticación (Fase 1) IKE

resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
Autenticación IKE correcta

resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
Fase 1 (IKE SA) establecida

resource.type="vpn_gateway"
("IKE_SA" AND "established between")
Todos los eventos de la Fase 2 (SA secundaria), incluidos los eventos de cambio de clave

resource.type="vpn_gateway"
"CHILD_SA"
Par pide el cambio de clave de la Fase 2

resource.type="vpn_gateway"
detected rekeying of CHILD_SA
Par pide terminar la Fase 2 (SA secundaria)

resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
Cloud VPN solicita terminar la Fase 2 (SA secundaria)

resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
Cloud VPN cierra la Fase 2 (SA secundaria), tal vez en respuesta al par

resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN cerró la Fase 2 por sí solo

resource.type="vpn_gateway" CHILD_SA closed
Si los selectores de tráfico remotos no coinciden

resource.type="vpn_gateway"
Remote traffic selectors narrowed
Si los selectores de tráfico locales no coinciden

resource.type="vpn_gateway"
Local traffic selectors narrowed

Verifica la conectividad

Considera las siguientes sugerencias cuando verifiques la conectividad entre los sistemas locales y las VM de Google Cloud mediante ping:

  • Asegúrate de que las reglas de firewall de la red de Google Cloud permitan el tráfico de ICMP entrante. La regla de permiso de salida implícita permite el tráfico ICMP saliente de tu red, a menos que lo hayas anulado. Del mismo modo, asegúrate de que tus firewalls locales también estén configurados para permitir el tráfico ICMP entrante y saliente.

  • Haz ping en las VM de Google Cloud y en los sistemas locales mediante sus direcciones IP internas. Hacer ping a las direcciones IP externas de las puertas de enlace de VPN no prueba la conectividad a través del túnel.

  • Cuando pruebas la conectividad desde instalaciones locales a Google Cloud, es mejor iniciar un ping desde un sistema en la red, no desde la puerta de enlace de VPN. Hacer ping desde una puerta de enlace es posible si configuras la interfaz de origen adecuada, pero hacer ping desde una instancia en tu red tiene el beneficio adicional de probar tu configuración de firewall.

  • Las pruebas de ping no verifican que los puertos TCP o UDP estén realmente abiertos. Debes realizar pruebas adicionales una vez que hayas establecido que los sistemas tienen conectividad básica mediante ping.

Calcula la capacidad de procesamiento de la red

Puedes calcular la capacidad de procesamiento de la red en Google Cloud y en las ubicaciones de nube locales o de terceros. El documento anterior incluye información sobre cómo analizar resultados, explicaciones de variables que pueden afectar el rendimiento de la red y sugerencias para la solución de problemas.

Problemas comunes y soluciones

El túnel normalmente se desconecta por unos segundos

De forma predeterminada, Cloud VPN negocia una AS de reemplazo antes de que caduque la existente (lo que también se conoce como cambio de clave). Es posible que la puerta de enlace de VPN de intercambio de tráfico no cambie la clave. En su lugar, podría negociar una AS nueva solo después de borrar la AS existente, lo que causa interrupciones.

Para verificar si la puerta de enlace de intercambio de tráfico cambia la clave, consulta los registros de Cloud VPN. Si la conexión se interrumpe y vuelve a establecerse justo después de un mensaje de registro Received SA_DELETE, la puerta de enlace local no cambió la clave.

Verifica la configuración del túnel con el documento Cifrados de IKE admitidos. En especial, asegúrate de que la duración de la Fase 2 sea correcta y de que un grupo Diffie-Hellman (DH) esté configurado en uno de los valores recomendados.

Puedes usar un filtro de registro avanzado de Logging para buscar eventos en el túnel de Cloud VPN. Por ejemplo, el siguiente filtro avanzado buscará las discrepancias del grupo DH:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Puertas de enlace locales detrás de NAT

Cloud VPN puede funcionar con puertas de enlace de VPN locales o de intercambio de tráfico que están detrás de NAT. Esto es posible gracias al encapsulamiento UDP y NAT-T, y solo se admite NAT uno a uno.

Como parte del proceso de autenticación, Cloud VPN verifica la identidad de la puerta de enlace de intercambio de tráfico. Cloud VPN espera que todas las puertas de enlace de intercambio de tráfico se identifiquen mediante el tipo de identidad ID_IPV4_ADDR según se especifica en RFC 7815 con la dirección IP pública (puerta de enlace de intercambio de tráfico) configurada para el túnel de Cloud VPN.

En los siguientes mensajes de registro, se indica que la puerta de enlace de VPN de intercambio de tráfico se identifica de forma incorrecta con una dirección IP privada. En este ejemplo, [PEER GATEWAY PRIVATE IP] es una dirección IP privada, y [PEER GATEWAY PUBLIC IP] es la dirección IP pública del dispositivo NAT entre la puerta de enlace de VPN de intercambio de tráfico y la Internet.

authentication of '[PEER GATEWAY PRIVATE IP]' with pre-shared key successful
constraint check failed: identity '[PEER GATEWAY PUBLIC IP]' required
selected peer config 'vpn_[PEER GATEWAY PUBLIC IP]' inacceptable: constraint checking failed

Cuando se usa NAT uno a uno, la puerta de enlace de VPN local debe identificarse mediante la misma dirección IP externa del dispositivo NAT:

  • El tipo de identidad debe ser ID_IPV4_ADDR (RFC 7815).

  • No todos los dispositivos Cisco admiten la configuración de una identidad de dispositivo para una dirección IP diferente de la que usa el dispositivo (su dirección interna). Por ejemplo, los dispositivos Cisco ASA no admiten la asignación de diferentes direcciones IP (externas) para sus identidades. Por lo tanto, los dispositivos ASA de Cisco no pueden configurarse para usar NAT uno a uno con Cloud VPN.

  • Para los dispositivos Juniper, puedes establecer la identidad del dispositivo mediante set security ike gateway [NAME] local-identity inet [PUBLIC_IP], en el que [NAME] es el nombre de la puerta de enlace de VPN, y [PUBLIC_IP] es la dirección IP externa. Consulta este artículo de Juniper TechLibrary para obtener más detalles.

La conectividad funciona para algunas VM, pero no con otras

Si ping, traceroute o algún otro método de envío de tráfico funcionan solo desde algunas VM hasta tus sistemas locales, o solo desde algunos sistemas locales hasta algunas VM de Google Cloud, y ya verificaste que las reglas de firewall de Google Cloud y las locales no bloquean el tráfico que estás enviando, es posible que tengas selectores de tráfico que excluyan ciertos orígenes o destinos.

Los selectores de tráfico definen los rangos de direcciones IP para un túnel VPN. Además de las rutas, la mayoría de las implementaciones de VPN solo pasan paquetes a través de un túnel si sus orígenes se ajustan dentro de los rangos de IP especificados en el selector de tráfico local y si sus destinos se ajustan dentro de los rangos de IP especificados en el selector de tráfico remoto. Especifica selectores de tráfico cuando creas un túnel de VPN clásica mediante el enrutamiento basado en políticas o una VPN basada en rutas. También puedes especificar selectores de tráfico cuando creas el túnel de intercambio de tráfico correspondiente.

Algunos proveedores usan términos como proxy local, dominio de encriptación local o red del lado izquierdo como sinónimos del selector de tráfico local. De manera similar, el proxy remoto, el dominio de encriptación remoto o la red del lado derecho son sinónimos del selector de tráfico remoto.

Para cambiar los selectores de tráfico de un túnel de VPN clásica, debes borrar y volver a crear el túnel. Estos pasos son necesarios porque los selectores de tráfico son una parte integral de la creación del túnel, y los túneles no se pueden editar más adelante.

Sigue estos lineamientos cuando definas los selectores de tráfico:

  • El selector de tráfico local del túnel de Cloud VPN debe abarcar todas las subredes de la red de VPC que necesitas compartir con la red de intercambio de tráfico.
  • El selector de tráfico local de la red de intercambio de tráfico debe abarcar todas las subredes locales que necesitas compartir con la red de VPC.
  • Para un túnel VPN específico, los selectores de tráfico tienen la siguiente relación:
    • El selector de tráfico local de Cloud VPN debe coincidir con el selector de tráfico remoto del túnel en la puerta de enlace de VPN de intercambio de tráfico.
    • El selector de tráfico remoto de Cloud VPN debe coincidir con el selector de tráfico local del túnel en la puerta de enlace de VPN de intercambio de tráfico.

Conecta las puertas de enlace de VPN clásica y de VPN con alta disponibilidad

Google Cloud no admite la creación de un túnel a partir de una puerta de enlace de VPN con alta disponibilidad que se conecte a una puerta de enlace de VPN clásica. Si intentas crear un recurso externalVpnGateway que tenga la dirección IP externa de una puerta de enlace de VPN clásica, Google Cloud mostrará el siguiente mensaje de error:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

Esto es lo que suele suceder. En su lugar, crea un túnel VPN que conecte una puerta de enlace de VPN con alta disponibilidad a otra puerta de enlace de VPN con alta disponibilidad.

Referencia de solución de problemas

En esta sección, se incluye una lista de íconos de estado, mensajes de estado y una lista de cifrados de IKE admitidos.

Íconos de estado

Cloud VPN usa los siguientes íconos de estado en Google Cloud Console:

Imagen del ícono Color Descripción Mensajes a los que se aplica
Ícono de éxito verde
Verde Listo ESTABLECIDO
Ícono de advertencia amarillo
Amarillo Advertencia ASIGNANDO RECURSOS, PRIMER PROTOCOLO DE ENLACE, EN ESPERA DE ARCHIVO DE CONFIGURACIÓN COMPLETO, APROVISIONANDO
Ícono de error rojo
Rojo Error Todos los mensajes restantes

Mensajes de estado

Cloud VPN usa los siguientes mensajes de estado para indicar los estados de la puerta de enlace de VPN y del túnel. El túnel VPN se factura por los estados indicados.

Mensaje Descripción ¿El túnel se factura en este estado?
ASIGNANDO RECURSOS Asignación de recursos para configurar el túnel.
APROVISIONAMIENTO A la espera de recibir todas las configuraciones para configurar el túnel. No
ESPERANDO CONFIGURACIÓN COMPLETA Configuración completa recibida, pero aún no se establece un túnel.
PRIMER PROTOCOLO DE ENLACE Se establece el túnel.
ESTABLECIDO Se establece con éxito una sesión de comunicación segura.
ERROR DE RED
(reemplazado por SIN PAQUETES ENTRANTES)
Autorización incorrecta de IPsec.
ERROR DE AUTORIZACIÓN Falló el protocolo de enlace.
FALLA DE NEGOCIACIÓN Se rechazó la configuración del túnel; puede que esto se deba a que se agregó a una lista de denegación.
DESAPROVISIONAMIENTO El túnel se está cerrando. No
SIN PAQUETES ENTRANTES La puerta de enlace no recibe ningún paquete de la VPN local.
RECHAZADA Se rechazó la configuración del túnel, comunícate con el equipo de asistencia.
DETENIDO El túnel se detuvo y no está activo. Esto puede deberse a la eliminación de una o más reglas de reenvío requeridas para el túnel VPN.

Descripción general del algoritmo de cifrado IKE

Los siguientes algoritmos de cifrado IKE son compatibles con la VPN clásica y la VPN con alta disponibilidad.

Hay dos secciones destinadas a IKEv2, una para algoritmos de cifrado en los que se usa la encriptación autenticada con datos asociados (AEAD), y otra para algoritmos de cifrado que no usan AEAD.

Algoritmos de cifrado IKEv2 que usan AEAD

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Integridad y encriptación
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
En esta lista, el primer número es el tamaño del parámetro ICV en bytes (octetos), y el segundo es la longitud de la clave en bits.

Algunos documentos pueden expresar el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128).
Función seudoaleatoria (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
Muchos dispositivos no requerirán una configuración PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en este orden. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.
Vida útil de la fase 1 36,000 segundos (10 horas) -

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Integridad y encriptación
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
La propuesta de Cloud VPN presenta los algoritmos en este orden. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.

Ten en cuenta que el primer número de cada algoritmo es el tamaño del parámetro ICV en bytes (octetos), y el segundo es la longitud de la clave en bits. En algunos documentos, podría expresarse el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128).
Algoritmo PFS (requerido)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en este orden. Cloud VPN acepta cualquier propuesta que tenga uno o más de estos algoritmos, en cualquier orden.
Diffie-Hellman (DH) Consulta la fase 1. Si la puerta de enlace de VPN requiere una configuración de DH para la fase 2, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas) -

Algoritmos de cifrado IKEv2 que no usan AEAD

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Encriptación
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
La propuesta de Cloud VPN presenta los algoritmos de encriptación simétrica en este orden. Cloud VPN acepta cualquier propuesta que use uno o más de estos algoritmos, en cualquier orden.
Integridad
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
La propuesta de Cloud VPN presenta los algoritmos HMAC en este orden. Cloud VPN acepta cualquier propuesta que tenga uno o más de estos algoritmos, en cualquier orden.

Es posible que en la documentación de la puerta de enlace de VPN local se use un nombre un poco diferente para el algoritmo. Por ejemplo, HMAC-SHA2-512-256 podría denominarse solo como SHA2-512 o SHA-512, lo que reduce el número de longitud de truncamiento y otra información innecesaria.
Función seudoaleatoria (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
Muchos dispositivos no requerirán una configuración PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en este orden. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Vida útil de la fase 1 36,000 segundos (10 horas) -

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Encriptación
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
La propuesta de Cloud VPN presenta los algoritmos de encriptación simétrica en este orden. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Integridad
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
La propuesta de Cloud VPN presenta los algoritmos HMAC en este orden. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.

Es posible que en la documentación de la puerta de enlace de VPN local se use un nombre un poco diferente para el algoritmo. Por ejemplo, HMAC-SHA2-512-256 podría denominarse solo como SHA2-512 o SHA-512, lo que reduce el número de longitud de truncamiento y otra información innecesaria.
Algoritmo PFS (requerido)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en este orden. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Diffie-Hellman (DH) Consulta la fase 1. Si la puerta de enlace de VPN requiere una configuración de DH para la fase 2, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas) -

Algoritmos de cifrado IKEv1

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado
Encriptación AES-CBC-128
Integridad HMAC-SHA1-96
Función seudoaleatoria (PRF)* PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (Grupo 2)
Vida útil de la fase 1 36,600 segundos (10 horas, 10 minutos)

* Para obtener más información sobre PRF en IKEv1, consulta RFC 2409.

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado
Encriptación AES-CBC-128
Integridad HMAC-SHA1-96
Algoritmo PFS (requerido) modp_1024 (Grupo 2)
Diffie-Hellman (DH) Si necesitas especificar DH para la puerta de enlace de VPN, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas)

Próximos pasos

Solución de problemas relacionados

  • Consulta la Documentación de Logging para obtener más información, que incluye cómo exportar registros y cómo usar métricas basadas en registros para supervisar y crear alertas.

Relacionado con VPN