Dépannage

Ce guide de dépannage vous aide à surveiller l'utilisation de Cloud VPN et à résoudre les problèmes courants que vous pouvez rencontrer.

Pour interpréter les références aux messages d'état et aux algorithmes de chiffrement IKE, consultez la section Informations de référence relatives au dépannage.

Pour trouver des informations de journalisation et de surveillance, consultez la section Afficher les journaux et les métriques.

Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés Cloud VPN.

Messages d'erreur

Pour consulter les messages d'erreur, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page VPN.

    Accéder au VPN

  2. Si une icône d'état s'affiche, passez la souris dessus pour voir le message d'erreur correspondant.

Le message d'erreur peut souvent vous aider à identifier le problème. Si tel n'est pas le cas, consultez vos journaux pour obtenir davantage d'informations. Vous trouverez des informations détaillées sur l'état dans Cloud Console, sur la page Détails du tunnel.

Journaux VPN

Les journaux Cloud VPN sont stockés dans Cloud Logging. La journalisation étant automatique, vous n'avez pas besoin de l'activer.

Pour en savoir plus sur l'affichage des journaux concernant la passerelle de pairs de votre connexion, consultez la documentation de votre produit.

Souvent, bien que les passerelles soient configurées correctement, un problème survient au niveau du réseau de pairs entre les hôtes et la passerelle, ou bien sur le réseau reliant la passerelle de pairs et la passerelle Cloud VPN.

Pour vérifier les journaux, procédez comme suit :

  1. Dans Cloud Console, accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Recherchez les informations ci-dessous dans les journaux.

    1. Vérifiez que l'adresse IP du pair distant configurée sur la passerelle Cloud VPN est correcte.
    2. Vérifiez que le trafic provenant de vos hôtes sur site atteint la passerelle de pairs.
    3. Assurez-vous que le trafic est acheminé entre les deux passerelles VPN, dans les deux sens. Vérifiez si des messages entrants en provenance de l'autre passerelle VPN sont consignés dans les journaux VPN.
    4. Vérifiez que les versions IKE configurées sont identiques des deux côtés du tunnel.
    5. Vérifiez que la clé secrète partagée est identique des deux côtés du tunnel.
    6. Si votre passerelle VPN de pairs est protégée par la fonctionnalité NAT "un à un", assurez-vous d'avoir correctement configuré l'appareil NAT pour qu'il transfère le trafic UDP vers votre passerelle VPN de pairs via les ports 500 et 4500. Configurez votre passerelle de pairs pour qu'elle utilise l'adresse IP externe de l'appareil NAT pour s'identifier. Pour en savoir plus, consultez la section Passerelles sur site protégées par la fonctionnalité NAT.
    7. Si les journaux VPN indiquent l'erreur no-proposal-chosen, cela signifie que Cloud VPN et votre passerelle VPN de pairs n'ont pas pu se mettre d'accord sur le choix des algorithmes de chiffrement. Pour IKEv1, ces algorithmes doivent correspondre exactement. En revanche, IKEv2 requiert qu'au moins un algorithme de chiffrement commun soit proposé par chaque passerelle. Assurez-vous d'utiliser des algorithmes de chiffrement compatibles pour configurer votre passerelle VPN de pairs.
    8. Veillez à configurer vos routes et règles de pare-feu appairées et Google Cloud de sorte que le trafic puisse traverser le tunnel. Vous devrez peut-être demander de l'aide à votre administrateur réseau.
  3. Pour rechercher des problèmes spécifiques, vous pouvez rechercher dans vos journaux les chaînes suivantes :

    1. Dans le volet Générateur de requêtes, saisissez l'une des requêtes avancées répertoriées dans le tableau suivant pour rechercher un événement particulier, puis cliquez sur Exécuter la requête.
    2. Ajustez la période dans le volet Histogramme si nécessaire, puis cliquez sur Exécuter dans le volet. Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour les requêtes, consultez la page Créer des requêtes de journal.

      Pour consultation Utiliser cette recherche Logging
      Cloud VPN lance la phase 1 (association de sécurité IKE).
      
      resource.type="vpn_gateway"
      ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      Cloud VPN ne peut pas contacter le pair distant.
      
      resource.type="vpn_gateway"
      "establishing IKE_SA failed, peer not responding"
      Événements d'authentification IKE (phase 1)
      
      resource.type="vpn_gateway"
      ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      Authentification IKE réussie
      
      resource.type="vpn_gateway"
      ("authentication of" AND "with pre-shared key successful")
      Phase 1 (association de sécurité IKE) établie
      
      resource.type="vpn_gateway"
      ("IKE_SA" AND "established between")
      Tous les événements de la phase 2 (association de sécurité enfant), y compris les événements de régénération de clés
      
      resource.type="vpn_gateway"
      "CHILD_SA"
      Un pair demande une régénération de clé pour la phase 2.
      
      resource.type="vpn_gateway"
      detected rekeying of CHILD_SA
      Un pair demande l'arrêt de la phase 2 (association de sécurité enfant).
      
      resource.type="vpn_gateway"
      received DELETE for ESP CHILD_SA
      Cloud VPN demande l'arrêt de la phase 2 (association de sécurité enfant).
      
      resource.type="vpn_gateway"
      sending DELETE for ESP CHILD_SA
      Cloud VPN met fin à la phase 2 (association de sécurité enfant), peut-être en réponse au pair.
      
      resource.type="vpn_gateway" closing CHILD_SA
      Cloud VPN a mis fin lui-même à la phase 2.
      
      resource.type="vpn_gateway" CHILD_SA closed
      Les sélecteurs de trafic distants ne correspondent pas.
      
      resource.type="vpn_gateway"
      Remote traffic selectors narrowed
      Les sélecteurs de trafic locaux ne correspondent pas.
      
      resource.type="vpn_gateway"
      Local traffic selectors narrowed

Connectivité

Considérez les suggestions suivantes lorsque vous utilisez ping pour vérifier la connectivité entre les systèmes sur site et les instances de machine virtuelle (VM) Google Cloud :

  • Assurez-vous que les règles de pare-feu de votre réseau Google Cloud autorisent le trafic ICMP entrant. La règle implicite d'autorisation du trafic sortant permet au trafic ICMP de quitter votre réseau sauf si vous avez décidé de l'ignorer. De même, assurez-vous que vos règles de pare-feu sur site sont également configurées pour autoriser le trafic ICMP entrant et sortant.

  • Utilisez des adresses IP internes pour pinguer les VM Google Cloud et les systèmes sur site. L'exécution d'une commande ping sur les adresses IP externes des passerelles VPN ne permet pas de tester la connectivité disponible via le tunnel.

  • Lorsque vous testez la connectivité entre les systèmes sur site et Google Cloud, il est préférable d'exécuter une commande ping depuis un système de votre réseau, plutôt qu'à partir de votre passerelle VPN. Il est possible de pinguer depuis une passerelle si vous définissez l'interface source appropriée. Toutefois, l'exécution de cette commande depuis une instance de votre réseau permet en outre de tester la configuration de votre pare-feu.

  • Les tests Ping ne vérifient pas que les ports TCP ou UDP sont ouverts. Après avoir vérifié que les systèmes disposent d'une connectivité de base, vous pouvez effectuer des tests supplémentaires à l'aide de ping.

Calculer le débit du réseau

Vous pouvez calculer le débit du réseau au sein de Google Cloud et vers vos emplacements cloud tiers ou sur site. Cette ressource inclut des informations sur l'analyse des résultats, des explications sur les variables pouvant affecter les performances du réseau et des conseils de dépannage.

Problèmes courants et solutions

Le tunnel est régulièrement indisponible pendant quelques secondes

Par défaut, Cloud VPN négocie une association de sécurité de remplacement (SA) avant l'expiration de celle qui existe (également appelée regénération de clé). Il est possible que votre passerelle VPN de pairs ne regénère pas les clés. Au lieu de cela, elle doit attendre la suppression de l'association de sécurité existante pour pouvoir en négocier une nouvelle, ce qui provoque des interruptions.

Pour vérifier si votre passerelle de pairs regénère les clés, consultez les journaux Cloud VPN. Si la connexion est coupée, puis rétablie juste après l'envoi du message de journal Received SA_DELETE, cela signifie que votre passerelle sur site n'a pas regénéré la clé.

Pour vérifier les paramètres du tunnel, reportez-vous au document Algorithmes de chiffrement IKE compatibles. Assurez-vous tout particulièrement que la durée de vie de la phase 2 est correcte, et qu'un groupe Diffie-Hellman (DH) est défini sur l'une des valeurs recommandées.

Pour rechercher des événements dans votre tunnel Cloud VPN, vous pouvez utiliser un filtre de journal avancé Logging. Par exemple, le filtre avancé suivant permet de rechercher les incohérences au niveau des groupes DH :

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Passerelles sur site protégées par la fonctionnalité NAT

Cloud VPN peut être combiné à des passerelles VPN sur site ou de pairs qui sont protégées par la fonctionnalité NAT, grâce à l'encapsulation du protocole UDP et au mode NAT-T. Seule la fonctionnalité NAT "un à un" est compatible.

Dans le cadre du processus d'authentification, le service Cloud VPN vérifie l'identité de la passerelle du pair. Il requiert que chaque passerelle de pair s'identifie en utilisant le type d'identité ID_IPV4_ADDR spécifié dans la RFC 7815, avec l'adresse IP externe (passerelle du pair) qui est configurée pour le tunnel Cloud VPN.

Les messages de journal ci-dessous indiquent que la passerelle VPN du pair s'identifie de manière incorrecte avec une adresse IP interne. Dans cet exemple, PEER_GATEWAY_INTERNAL_IP correspond à une adresse IP interne et PEER_GATEWAY_EXTERNAL_IP correspond à l'adresse IP externe de l'appareil NAT entre la passerelle VPN de pairs et Internet.

authentication of PEER_GATEWAY_INTERNAL_IP with pre-shared key successful
constraint check failed: identity PEER_GATEWAY_EXTERNAL_IP required
selected peer config 'vpn_PEER_GATEWAY_EXTERNAL_IP' inacceptable: constraint checking failed

Lorsque vous utilisez la fonctionnalité NAT "un à un", votre passerelle VPN sur site doit s'identifier au moyen de l'adresse IP externe de l'appareil NAT :

  • Le type d'identité doit être ID_IPV4_ADDR (RFC 7815).

  • Certains appareils Cisco ne permettent pas de définir leur identité sur une adresse IP autre que celle qu'ils utilisent (adresse IP interne). Par exemple, il est impossible d'attribuer une autre adresse IP (externe) pour l'identité des appareils Cisco ASA. Ainsi, ces appareils ne peuvent pas être configurés pour utiliser la fonctionnalité NAT "un à un" avec Cloud VPN.

  • Vous pouvez définir l'identité des appareils Juniper à l'aide de set security ike gateway NAME local-identity inet EXTERNAL_IP, où NAME correspond au nom de votre passerelle VPN et EXTERNAL_IP à votre adresse IP externe. Pour en savoir plus, consultez cet article de la bibliothèque Juniper TechLibrary.

La connectivité fonctionne pour certaines VM, mais pas pour d'autres

Si ping, traceroute ou d'autres méthodes d'envoi du trafic ne fonctionnent qu'entre certaines VM et vos systèmes sur site (ou entre certains systèmes sur site et des VM Google Cloud spécifiques), et que vous avez vérifié que les règles de pare-feu Google Cloud et sur site ne bloquent pas le trafic envoyé, il est possible que des sélecteurs de trafic excluent certaines sources ou destinations.

Les sélecteurs de trafic définissent les plages d'adresses IP d'un tunnel VPN. Outre les routes, la plupart des mises en œuvre de VPN ne transmettent des paquets via un tunnel que si les deux conditions suivantes sont remplies :

  • Leurs sources correspondent aux plages d'adresses IP spécifiées dans le sélecteur de trafic local.
  • Leurs destinations correspondent aux plages d'adresses IP spécifiées dans le sélecteur de trafic distant.

Vous spécifiez les sélecteurs de trafic lorsque vous créez un tunnel VPN classique à l'aide du routage basé sur des règles ou d'un VPN basé sur des routes. Vous pouvez également les définir lors de la création du tunnel de pairs correspondant.

Certains fournisseurs utilisent des termes tels que proxy local, domaine de chiffrement local ou réseau de gauche comme synonymes de sélecteur de trafic local. De la même manière, proxy distant, domaine de chiffrement distant ou réseau de droite sont des synonymes de sélecteur de trafic distant.

Pour modifier les sélecteurs de trafic d'un tunnel VPN classique, vous devez supprimer, puis recréer le tunnel. Ces étapes sont obligatoires, car les sélecteurs de trafic font partie intégrante du processus de création des tunnels. Par ailleurs, les tunnels ne peuvent pas être modifiés par la suite.

Suivez les consignes ci-dessous lors de la définition des sélecteurs de trafic.

  • Le sélecteur de trafic local du tunnel Cloud VPN doit couvrir tous les sous-réseaux de votre réseau cloud privé virtuel (VPC) que vous avez besoin de partager avec votre réseau de pairs.
  • Le sélecteur de trafic local de votre réseau de pairs doit couvrir tous les sous-réseaux sur site que vous avez besoin de partager avec votre réseau VPC.
  • Pour un tunnel VPN donné, il existe les relations suivantes entre les sélecteurs de trafic :
    • Le sélecteur de trafic local Cloud VPN doit correspondre au sélecteur de trafic distant du tunnel sur votre passerelle VPN de pairs.
    • Le sélecteur de trafic distant Cloud VPN doit correspondre au sélecteur de trafic local du tunnel sur votre passerelle VPN de pairs.

Problèmes de latence du réseau entre les VM de différentes régions

Pour déterminer s'il existe des problèmes de latence ou de perte de paquets, surveillez les performances de l'ensemble du réseau Google Cloud. Dans la vue des performances de Google Cloud, Performance Dashboard affiche les métriques de perte de paquets et de latence pour l'ensemble de Google Cloud. Ces statistiques peuvent vous aider à déterminer si les problèmes évidents dans la vue des performances du projet sont propres à votre projet. Pour en savoir plus, consultez la page Utiliser le tableau de bord des performances.

Connecter des passerelles VPN classiques et hautes performances

Dans Google Cloud, la création d'un tunnel connectant une passerelle VPN haute disponibilité à une passerelle VPN classique n'est pas disponible. Si vous essayez de créer une ressource externalVpnGateway avec l'adresse IP externe d'une passerelle VPN classique, Google Cloud affiche le message d'erreur suivant :

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

Ce comportement est normal. À la place, créez un tunnel VPN connectant une passerelle VPN haute disponibilité à une autre passerelle VPN haute disponibilité.

Informations de référence relatives au dépannage

Cette section contient des informations sur les icônes d'état, les messages d'état et les algorithmes de chiffrement IKE compatibles.

Icônes d'état

Cloud VPN utilise les icônes d'état ci-dessous dans Cloud Console.

Icône Couleur Description Messages concernés
Icône verte d'opération réussie
Vert Réussite ÉTABLI
Icône jaune d'avertissement
Jaune Avertissement ALLOCATION DES RESSOURCES, PREMIER HANDSHAKE, EN ATTENTE DE CONFIGURATION COMPLÈTE, PROVISIONNEMENT
Icône rouge d'erreur
Red Erreur Tous les autres messages

Messages d'état

Pour indiquer l'état de la passerelle VPN et du tunnel, Cloud VPN utilise les messages d'état suivants. Le tunnel VPN est facturé en fonction des états indiqués.

Message Description Tunnel facturé dans cet état ?
ALLOCATION DES RESSOURCES Allocation de ressources pour la configuration du tunnel. Oui
PROVISIONNEMENT Attente de la réception de toutes les configurations pour l'établissement du tunnel. Non
EN ATTENTE DE LA CONFIGURATION COMPLÈTE Réception de la configuration complète. Toutefois, le tunnel n'est pas encore établi. Oui
PREMIER HANDSHAKE Établissement du tunnel. Oui
ÉTABLI Une session de communication sécurisée a été établie. Oui
ERREUR RÉSEAU
(remplacé par le message AUCUN PAQUET ENTRANT)
Autorisation IPsec incorrecte. Oui
ERREUR D'AUTORISATION Échec du handshake. Oui
ÉCHEC DE LA NÉGOCIATION La configuration du tunnel a été refusée. Il a peut-être été mis sur une liste d'interdiction. Oui
ANNULATION DU PROVISIONNEMENT Le tunnel est en cours d'arrêt. Non
AUCUN PAQUET ENTRANT La passerelle ne reçoit aucun paquet en provenance du VPN sur site. Oui
REFUS La configuration du tunnel a été refusée. Veuillez contacter le service d'assistance. Oui
ARRÊTÉ Le tunnel est arrêté et non actif ; peut être dû à la suppression d'une ou plusieurs règles de transfert requises pour le tunnel VPN. Oui

Documentation de référence sur l'algorithme de chiffrement IKE

Cloud VPN est compatible avec les algorithmes de chiffrement et les paramètres de configuration pour les appareils VPN pairs ou les services VPN. Il négocie automatiquement la connexion à condition que le côté pair utilise un paramètre d'algorithme de chiffrement IKE accepté.

Pour obtenir la documentation de référence complète sur les algorithmes de chiffrement IKE, consultez la page Algorithmes de chiffrement IKE compatibles.

Étape suivante

  • Pour en savoir plus sur les concepts de base de Cloud VPN, consultez la présentation de Cloud VPN.
  • Pour en savoir plus sur les scénarios à haute disponibilité, à haut débit ou à plusieurs sous-réseaux, consultez la section Configurations avancées.