Dépannage

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Ce guide de dépannage vous aide à surveiller l'utilisation de Cloud VPN et à résoudre les problèmes courants que vous pouvez rencontrer.

Pour interpréter les références aux messages d'état et aux algorithmes de chiffrement IKE, consultez la section Informations de référence relatives au dépannage.

Pour trouver des informations de journalisation et de surveillance, consultez la section Afficher les journaux et les métriques.

Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés Cloud VPN.

Messages d'erreur

Pour consulter les messages d'erreur, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page VPN.

    Accéder au VPN

  2. Si une icône d'état s'affiche, passez la souris dessus pour voir le message d'erreur correspondant.

Le message d'erreur peut souvent vous aider à identifier le problème. Si tel n'est pas le cas, consultez vos journaux pour obtenir davantage d'informations. Vous trouverez des informations détaillées sur l'état dans Google Cloud Console, sur la page Détails du tunnel.

Journaux VPN

Les journaux Cloud VPN sont stockés dans Cloud Logging. La journalisation étant automatique, vous n'avez pas besoin de l'activer.

Pour en savoir plus sur l'affichage des journaux concernant la passerelle de pairs de votre connexion, consultez la documentation de votre produit.

Souvent, bien que les passerelles soient configurées correctement, un problème survient au niveau du réseau de pairs entre les hôtes et la passerelle, ou bien sur le réseau reliant la passerelle de pairs et la passerelle Cloud VPN.

Pour vérifier les journaux, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Recherchez les informations ci-dessous dans les journaux.

    1. Vérifiez que l'adresse IP du pair distant configurée sur la passerelle Cloud VPN est correcte.
    2. Vérifiez que le trafic provenant de vos hôtes sur site atteint la passerelle de pairs.
    3. Assurez-vous que le trafic est acheminé entre les deux passerelles VPN, dans les deux sens. Vérifiez si des messages entrants en provenance de l'autre passerelle VPN sont consignés dans les journaux VPN.
    4. Vérifiez que les versions IKE configurées sont identiques des deux côtés du tunnel.
    5. Vérifiez que la clé secrète partagée est identique des deux côtés du tunnel.
    6. Si votre passerelle VPN de pairs est protégée par la fonctionnalité NAT "un à un", assurez-vous d'avoir correctement configuré l'appareil NAT pour qu'il transfère le trafic UDP vers votre passerelle VPN de pairs via les ports 500 et 4500.
    7. Si les journaux VPN indiquent l'erreur no-proposal-chosen, cela signifie que Cloud VPN et votre passerelle VPN de pairs n'ont pas pu se mettre d'accord sur le choix des algorithmes de chiffrement. Pour IKEv1, ces algorithmes doivent correspondre exactement. En revanche, IKEv2 requiert qu'au moins un algorithme de chiffrement commun soit proposé par chaque passerelle. Assurez-vous d'utiliser des algorithmes de chiffrement compatibles pour configurer votre passerelle VPN de pairs.
    8. Veillez à configurer vos routes et règles de pare-feu appairées et Google Cloud de sorte que le trafic puisse traverser le tunnel. Vous devrez peut-être demander de l'aide à votre administrateur réseau.
  3. Pour rechercher des problèmes spécifiques, vous pouvez rechercher dans vos journaux les chaînes suivantes :

    1. Dans le volet Générateur de requêtes, saisissez l'une des requêtes avancées répertoriées dans le tableau suivant pour rechercher un événement particulier, puis cliquez sur Exécuter la requête.
    2. Ajustez la période sur le volet Histogramme si nécessaire, puis cliquez sur Exécuter sur le volet. Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour les requêtes, consultez la page Créer des requêtes de journal.

      Pour consultation Utiliser cette recherche Logging
      Cloud VPN lance la phase 1 (association de sécurité IKE).
      
      resource.type="vpn_gateway"
      ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      Cloud VPN ne peut pas contacter le pair distant.
      
      resource.type="vpn_gateway"
      "establishing IKE_SA failed, peer not responding"
      Événements d'authentification IKE (phase 1)
      
      resource.type="vpn_gateway"
      ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      Authentification IKE réussie
      
      resource.type="vpn_gateway"
      ("authentication of" AND "with pre-shared key successful")
      Phase 1 (association de sécurité IKE) établie
      
      resource.type="vpn_gateway"
      ("IKE_SA" AND "established between")
      Tous les événements de la phase 2 (association de sécurité enfant), y compris les événements de régénération de clés
      
      resource.type="vpn_gateway"
      "CHILD_SA"
      Un pair demande une régénération de clé pour la phase 2.
      
      resource.type="vpn_gateway"
      detected rekeying of CHILD_SA
      Un pair demande l'arrêt de la phase 2 (association de sécurité enfant).
      
      resource.type="vpn_gateway"
      received DELETE for ESP CHILD_SA
      Cloud VPN demande l'arrêt de la phase 2 (association de sécurité enfant).
      
      resource.type="vpn_gateway"
      sending DELETE for ESP CHILD_SA
      Cloud VPN met fin à la phase 2 (association de sécurité enfant), peut-être en réponse au pair.
      
      resource.type="vpn_gateway" closing CHILD_SA
      Cloud VPN a mis fin lui-même à la phase 2.
      
      resource.type="vpn_gateway" CHILD_SA closed
      Les sélecteurs de trafic distants ne correspondent pas.
      
      resource.type="vpn_gateway"
      Remote traffic selectors narrowed
      Les sélecteurs de trafic locaux ne correspondent pas.
      
      resource.type="vpn_gateway"
      Local traffic selectors narrowed

Connectivité

Considérez les suggestions suivantes lorsque vous utilisez ping pour vérifier la connectivité entre les systèmes sur site et les instances de machine virtuelle (VM) Google Cloud :

  • Assurez-vous que les règles de pare-feu de votre réseau Google Cloud autorisent le trafic ICMP entrant. La règle implicite d'autorisation du trafic sortant permet au trafic ICMP de quitter votre réseau sauf si vous avez décidé de l'ignorer. De même, assurez-vous que vos règles de pare-feu sur site sont également configurées pour autoriser le trafic ICMP entrant et sortant.

  • Utilisez des adresses IP internes pour pinguer les VM Google Cloud et les systèmes sur site. L'exécution d'une commande ping sur les adresses IP externes des passerelles VPN ne permet pas de tester la connectivité disponible via le tunnel.

  • Lorsque vous testez la connectivité entre les systèmes sur site et Google Cloud, il est préférable d'exécuter une commande ping depuis un système de votre réseau, plutôt qu'à partir de votre passerelle VPN. Il est possible de pinguer depuis une passerelle si vous définissez l'interface source appropriée. Toutefois, l'exécution de cette commande depuis une instance de votre réseau permet en outre de tester la configuration de votre pare-feu.

  • Les tests Ping ne vérifient pas que les ports TCP ou UDP sont ouverts. Après avoir vérifié que les systèmes disposent d'une connectivité de base, vous pouvez effectuer des tests supplémentaires à l'aide de ping.

Calculer le débit du réseau

Vous pouvez calculer le débit du réseau au sein de Google Cloud et vers vos emplacements cloud tiers ou sur site. Cette ressource inclut des informations sur l'analyse des résultats, des explications sur les variables pouvant affecter les performances du réseau et des conseils de dépannage.

Problèmes courants et solutions

Le tunnel est régulièrement indisponible pendant quelques secondes

Par défaut, Cloud VPN négocie une association de sécurité de remplacement (SA) avant l'expiration de celle qui existe (également appelée regénération de clé). Il est possible que votre passerelle VPN de pairs ne regénère pas les clés. Au lieu de cela, elle doit attendre la suppression de l'association de sécurité existante pour pouvoir en négocier une nouvelle, ce qui provoque des interruptions.

Pour vérifier si votre passerelle de pairs regénère les clés, consultez les journaux Cloud VPN. Si la connexion est coupée, puis rétablie juste après l'envoi du message de journal Received SA_DELETE, cela signifie que votre passerelle sur site n'a pas regénéré la clé.

Pour vérifier les paramètres du tunnel, reportez-vous au document Algorithmes de chiffrement IKE compatibles. Assurez-vous tout particulièrement que la durée de vie de la phase 2 est correcte, et qu'un groupe Diffie-Hellman (DH) est défini sur l'une des valeurs recommandées.

Pour rechercher des événements dans votre tunnel Cloud VPN, vous pouvez utiliser un filtre de journal avancé Logging. Par exemple, le filtre avancé suivant permet de rechercher les incohérences au niveau des groupes DH :

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Passerelles sur site protégées par la fonctionnalité NAT

Cloud VPN peut être combiné à des passerelles VPN sur site ou de pairs qui sont protégées par la fonctionnalité NAT, grâce à l'encapsulation du protocole UDP et au mode NAT-T. Seule la fonctionnalité NAT "un à un" est compatible.

La connectivité fonctionne pour certaines VM, mais pas pour d'autres

Si ping, traceroute ou d'autres méthodes d'envoi du trafic ne fonctionnent qu'entre certaines VM et vos systèmes sur site (ou entre certains systèmes sur site et des VM Google Cloud spécifiques), et que vous avez vérifié que les règles de pare-feu Google Cloud et sur site ne bloquent pas le trafic envoyé, il est possible que des sélecteurs de trafic excluent certaines sources ou destinations.

Les sélecteurs de trafic définissent les plages d'adresses IP d'un tunnel VPN. Outre les routes, la plupart des mises en œuvre de VPN ne transmettent des paquets via un tunnel que si les deux conditions suivantes sont remplies :

  • Leurs sources correspondent aux plages d'adresses IP spécifiées dans le sélecteur de trafic local.
  • Leurs destinations correspondent aux plages d'adresses IP spécifiées dans le sélecteur de trafic distant.

Vous spécifiez les sélecteurs de trafic lorsque vous créez un tunnel VPN classique à l'aide du routage basé sur des règles ou d'un VPN basé sur des routes. Vous pouvez également les définir lors de la création du tunnel de pairs correspondant.

Certains fournisseurs utilisent des termes tels que proxy local, domaine de chiffrement local ou réseau de gauche comme synonymes de sélecteur de trafic local. De la même manière, proxy distant, domaine de chiffrement distant ou réseau de droite sont des synonymes de sélecteur de trafic distant.

Pour modifier les sélecteurs de trafic d'un tunnel VPN classique, vous devez supprimer, puis recréer le tunnel. Ces étapes sont obligatoires, car les sélecteurs de trafic font partie intégrante du processus de création des tunnels. Par ailleurs, les tunnels ne peuvent pas être modifiés par la suite.

Suivez les consignes ci-dessous lors de la définition des sélecteurs de trafic.

  • Le sélecteur de trafic local du tunnel Cloud VPN doit couvrir tous les sous-réseaux de votre réseau cloud privé virtuel (VPC) que vous avez besoin de partager avec votre réseau de pairs.
  • Le sélecteur de trafic local de votre réseau de pairs doit couvrir tous les sous-réseaux sur site que vous avez besoin de partager avec votre réseau VPC.
  • Pour un tunnel VPN donné, il existe les relations suivantes entre les sélecteurs de trafic :
    • Le sélecteur de trafic local Cloud VPN doit correspondre au sélecteur de trafic distant du tunnel sur votre passerelle VPN de pairs.
    • Le sélecteur de trafic distant Cloud VPN doit correspondre au sélecteur de trafic local du tunnel sur votre passerelle VPN de pairs.

Problèmes de latence du réseau entre VM de différentes régions

Pour déterminer s'il existe des problèmes de latence ou de perte de paquets, surveillez les performances de l'ensemble du réseau Google Cloud. Dans la vue des performances de Google Cloud, Performance Dashboard affiche les métriques de perte de paquets et de latence pour l'ensemble de Google Cloud. Ces métriques peuvent vous aider à déterminer si les problèmes qui apparaissent dans la vue des performances du projet sont propres à votre projet. Pour en savoir plus, consultez la page Utiliser Performance Dashboard.

Impossible de connecter une passerelle VPN haute disponibilité à une passerelle VPN classique

Dans Google Cloud, la création de connexions par tunnel entre une passerelle VPN haute disponibilité et une passerelle VPN classique hébergée dans Google Cloud n'est pas prise en charge. Cette restriction inclut les passerelles VPN classiques et les passerelles VPN tierces qui s'exécutent sur des VM Compute Engine.

Si vous tentez de le faire, Google Cloud affiche le message d'erreur suivant :

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

Pour éviter cette erreur, créez un tunnel VPN qui connecte votre passerelle VPN haute disponibilité à l'un des éléments suivants :

  • Une autre passerelle VPN haute disponibilité
  • Une passerelle VPN externe non hébergée dans Google Cloud

Le trafic IPv6 n'est pas acheminé

La compatibilité des VPN haute disponibilité avec IPv6 est disponible en version bêta.

Si vous rencontrez des difficultés pour vous connecter à des hôtes IPv6, procédez comme suit :

  1. Vérifiez que les routes IPv4 sont correctement annoncées. Si les routes IPv4 ne sont pas annoncées, il peut y avoir des problèmes généraux de Cloud Router. Suivez les étapes générales de dépannage de Cloud Router répertoriées dans la documentation de dépannage de Cloud Router.
  2. Examinez les règles de pare-feu pour vous assurer que vous autorisez le trafic IPv6.
  3. Vérifiez qu'il n'existe pas de plages de sous-réseaux IPv6 qui se chevauchent dans votre réseau VPC et sur votre réseau sur site. Consultez la section Vérifier les plages de sous-réseaux qui se chevauchent.
  4. Déterminez si vous avez dépassé les quotas et les limites pour les routes apprises dans Cloud Router. Si vous avez dépassé votre quota pour les routes apprises, les préfixes IPv6 sont supprimés avant les préfixes IPv4. Consultez la page Vérifier les quotas et les limites.
  5. Vérifiez que tous les composants nécessitant une configuration IPv6 ont été correctement configurés.
    • Le réseau VPC a activé l'utilisation des adresses IPv6 internes avec l'option --enable-ula-internal-ipv6.
    • Le sous-réseau VPC est configuré pour utiliser le type de pile IPV4_IPV6.
    • Le sous-réseau VPC possède --ipv6-access-type défini sur INTERNAL.
    • Les VM Compute Engine du sous-réseau sont configurées avec des adresses IPv6.
    • La passerelle VPN haute disponibilité est configurée pour utiliser le type de pile IPV4_IPV6.
    • Le pair BGP a activé IPv6 et les adresses de saut suivant IPv6 correctes sont configurées pour la session BGP.

Informations de référence relatives au dépannage

Cette section contient des informations sur les icônes d'état, les messages d'état et les algorithmes de chiffrement IKE compatibles.

Icônes d'état

Cloud VPN utilise les icônes d'état ci-dessous dans Google Cloud Console.

Icône Couleur Description Messages concernés
Icône verte d'opération réussie
Vert Réussite ÉTABLI
Icône jaune d'avertissement
Jaune Avertissement ALLOCATION DES RESSOURCES, PREMIER HANDSHAKE, EN ATTENTE DE CONFIGURATION COMPLÈTE, PROVISIONNEMENT
Icône rouge d'erreur
Red Erreur Tous les autres messages

Messages d'état

Pour indiquer l'état de la passerelle VPN et du tunnel, Cloud VPN utilise les messages d'état suivants. Le tunnel VPN est facturé en fonction des états indiqués.

Message Description Tunnel facturé dans cet état ?
ALLOCATION DES RESSOURCES Allocation de ressources pour la configuration du tunnel. Oui
PROVISIONNEMENT Attente de la réception de toutes les configurations pour l'établissement du tunnel. Non
EN ATTENTE DE LA CONFIGURATION COMPLÈTE Réception de la configuration complète. Toutefois, le tunnel n'est pas encore établi. Oui
PREMIER HANDSHAKE Établissement du tunnel. Oui
ÉTABLI Une session de communication sécurisée a été établie. Oui
ERREUR RÉSEAU
(remplacé par le message AUCUN PAQUET ENTRANT)
Autorisation IPsec incorrecte. Oui
ERREUR D'AUTORISATION Échec du handshake. Oui
ÉCHEC DE LA NÉGOCIATION La configuration du tunnel a été refusée. Il a peut-être été mis sur une liste d'interdiction. Oui
ANNULATION DU PROVISIONNEMENT Le tunnel est en cours d'arrêt. Non
AUCUN PAQUET ENTRANT La passerelle ne reçoit aucun paquet en provenance du VPN sur site. Oui
REFUS La configuration du tunnel a été refusée. Veuillez contacter le service d'assistance. Oui
ARRÊTÉ Le tunnel est arrêté et non actif ; peut être dû à la suppression d'une ou plusieurs règles de transfert requises pour le tunnel VPN. Oui

Documentation de référence sur l'algorithme de chiffrement IKE

Cloud VPN est compatible avec les algorithmes de chiffrement et les paramètres de configuration pour les appareils VPN pairs ou les services VPN. Il négocie automatiquement la connexion à condition que le côté pair utilise un paramètre d'algorithme de chiffrement IKE accepté.

Pour obtenir la documentation de référence complète sur les algorithmes de chiffrement IKE, consultez la page Algorithmes de chiffrement IKE compatibles.

Étape suivante

  • Pour en savoir plus sur les concepts de base de Cloud VPN, consultez la présentation de Cloud VPN.
  • Pour en savoir plus sur les scénarios à haute disponibilité, à haut débit ou à plusieurs sous-réseaux, consultez la section Configurations avancées.