문제 해결

이 문제 해결 가이드는 Cloud VPN와 관련된 일반적인 문제를 모니터링하고 해결하는 데 유용합니다.

상태 메시지와 IKE 암호화 참조를 해석하려면 참조 섹션을 참조하세요.

로깅 및 모니터링 정보를 찾으려면 로그 및 측정항목 보기를 참조하세요.

이 페이지에서 사용되는 용어의 정의를 보려면 Cloud VPN 키 용어를 참조하세요.

오류 메시지

오류 메시지를 확인하려면 다음 단계를 따르세요.

  1. Google Cloud Console에서 VPN 페이지로 이동합니다.

    VPN으로 이동

  2. 상태 아이콘이 표시되면 그 위로 마우스를 가져가서 오류 메시지를 확인합니다.

일반적으로 오류 메시지가 문제를 정확하게 파악하는 데 도움이 될 수 있습니다. 그렇지 않으면 로그에서 자세한 정보를 확인합니다. 터널 세부정보 페이지의 Cloud Console에서 자세한 상태 정보를 확인할 수 있습니다.

VPN 로그

Cloud VPN 로그는 Cloud Logging에 저장됩니다. 로깅은 자동으로 수행되므로 사용 설정할 필요가 없습니다.

연결의 피어 게이트웨이 측 로그 보기에 대한 자세한 내용은 제품 문서를 참조하세요.

게이트웨이가 올바르게 구성되지만 가끔 호스트와 게이트웨이 사이의 피어 네트워크 또는 피어 게이트웨이와 Cloud VPN 게이트웨이 사이의 네트워크에 문제가 있습니다.

로그를 확인하려면 다음 단계를 따르세요.

  1. Cloud Console에서 로그 탐색기 페이지로 이동합니다.

    로그 탐색기로 이동

  2. 로그에서 다음 정보를 확인합니다.

    1. Cloud VPN 게이트웨이에 구성된 원격 피어 IP 주소가 올바른지 확인합니다.
    2. 온프레미스 호스트의 트래픽이 피어 게이트웨이에 도달하는지 확인합니다.
    3. 트래픽이 VPN 게이트웨이 두 개 사이에서 양방향으로 이동하는지 확인합니다. VPN 로그에서 다른 VPN 게이트웨이에서 들어오는 것으로 보고된 메시지가 있는지 확인합니다.
    4. 구성된 IKE 버전이 터널 양측에서 동일한지 확인합니다.
    5. 공유 비밀번호가 터널 양측에서 동일한지 확인합니다.
    6. 피어 VPN 게이트웨이가 일대일 NAT 뒤에 있는 경우, UDP 트래픽을 포트 5004500의 피어 VPN 게이트웨이로 전달하도록 NAT 기기를 올바르게 설정했는지 확인하세요. NAT 기기의 외부 IP 주소를 사용하여 자신을 식별하도록 피어 게이트웨이를 구성합니다. 자세한 내용은 NAT 뒤의 온프레미스 게이트웨이를 참조하세요.
    7. VPN 로그에 no-proposal-chosen 오류가 표시된 경우 Cloud VPN과 피어 VPN 게이트웨이가 암호화 집합에 동의할 수 없음을 나타냅니다. IKEv1의 경우 암호 집합이 정확하게 일치해야 합니다. IKEv2의 경우에는 각 게이트웨이에서 제안된 공통 암호화가 최소 한 개 이상 있어야 합니다. 지원되는 암호화를 사용하여 피어 VPN 게이트웨이를 구성해야 합니다.
    8. 트래픽이 터널을 통과할 수 있도록 피어 및 Google Cloud 경로와 방화벽 규칙을 구성해야 합니다. 네트워크 관리자에게 도움을 요청해야 할 수 있습니다.
  3. 특정 문제를 찾으려면 로그에서 다음 문자열을 검색하면 됩니다.

    1. 쿼리 빌더 창에서 다음 표에 나열된 고급 쿼리 중 하나를 입력하여 특정 이벤트를 검색하고 쿼리 실행을 클릭합니다.
    2. 필요에 따라 히스토그램 창에서 기간을 조정한 후 창 내에서 실행을 클릭합니다. 쿼리에 로그 탐색기를 사용하는 방법은 로그 쿼리 빌드를 참조하세요.

      보기 로깅 검색을 사용하세요.
      Cloud VPN이 1단계(IKE SA)를 시작함
      
      resource.type="vpn_gateway"
      ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      Cloud VPN이 원격 피어에 연결할 수 없음
      
      resource.type="vpn_gateway"
      "establishing IKE_SA failed, peer not responding"
      IKE(1단계) 인증 이벤트
      
      resource.type="vpn_gateway"
      ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      IKE 인증 성공
      
      resource.type="vpn_gateway"
      ("authentication of" AND "with pre-shared key successful")
      1단계(IKE SA) 설정됨
      
      resource.type="vpn_gateway"
      ("IKE_SA" AND "established between")
      모든 2단계(하위 SA) 이벤트(키 갱신 이벤트 포함)
      
      resource.type="vpn_gateway"
      "CHILD_SA"
      피어가 2단계 키 갱신을 요청함
      
      resource.type="vpn_gateway"
      detected rekeying of CHILD_SA
      피어가 2단계(하위 SA) 종료를 요청함
      
      resource.type="vpn_gateway"
      received DELETE for ESP CHILD_SA
      Cloud VPN이 2단계(하위 SA) 종료를 요청함
      
      resource.type="vpn_gateway"
      sending DELETE for ESP CHILD_SA
      Cloud VPN이 피어에 대한 응답으로 2단계(하위 SA)를 종료함
      
      resource.type="vpn_gateway" closing CHILD_SA
      Cloud VPN이 2단계 자체를 종료함
      
      resource.type="vpn_gateway" CHILD_SA closed
      원격 트래픽 선택기가 일치하지 않는 경우
      
      resource.type="vpn_gateway"
      Remote traffic selectors narrowed
      로컬 트래픽 선택기가 일치하지 않는 경우
      
      resource.type="vpn_gateway"
      Local traffic selectors narrowed

연결

ping를 사용하여 온프레미스 시스템과 Google Cloud 가상 머신 (VM) 인스턴스 사이의 연결을 확인할 때는 다음 권장사항을 고려합니다.

  • Google Cloud 네트워크의 방화벽 규칙이 들어오는 ICMP 트래픽을 허용하는지 확인합니다. 묵시적인 송신 허용 규칙은 개발자가 트래픽을 재정의하지 않은 한 네트워크에서 나가는 ICMP 트래픽을 허용합니다. 마찬가지로 온프레미스 방화벽 규칙도 수신 및 발신 ICMP 트래픽을 허용하도록 구성되어 있는지 확인해야 합니다.

  • 내부 IP 주소를 사용하여 Google Cloud VM 및 온프레미스 시스템을 핑합니다. VPN 게이트웨이의 외부 IP 주소를 핑하면 터널을 통한 연결을 테스트할 수 없습니다.

  • 온프레미스에서 Google Cloud로의 연결을 테스트할 때는 VPN 게이트웨이가 아니라 개발자 네트워크에 있는 시스템에서 핑을 시작하는 것이 가장 좋습니다. 적합한 소스 인터페이스를 설정한 경우에는 게이트웨이에서 핑할 수 있지만 네트워크의 인스턴스에서 핑하면 방화벽 구성 테스트라는 추가 이점이 있습니다.

  • Ping 테스트는 TCP 또는 UDP 포트가 열려 있는지 확인하지 않습니다. 시스템의 기본 연결이 설정되면 ping를 사용하여 추가 테스트를 수행할 수 있습니다.

네트워크 처리량 계산

Google Cloud 내에서 온프레미스 또는 타사 클라우드 위치에 대한 네트워크 처리량을 계산할 수 있습니다. 이 리소스에는 결과를 분석하는 방법, 네트워크 성능에 영향을 미칠 수 있는 변수에 대한 설명, 문제 해결 팁이 포함되어 있습니다.

일반적인 문제 및 해결책

정기적으로 몇 초 동안 작동 중지되는 터널

기본적으로 Cloud VPN은 기존 연결이 만료되기 전에 대체 보안 연결(SA)을 협상합니다 (키 갱신이라고도 부름). 피어 VPN 게이트웨이는 키 갱신을 수행하지 않을 수 있습니다. 대신 기존 SA를 삭제한 후에만 새 SA를 협상할 수 있으므로 중단이 발생할 수 있습니다.

피어 게이트웨이가 키 갱신을 수행하는지 확인하려면 Cloud VPN 로그를 봅니다. Received SA_DELETE 로그 메시지 바로 다음에 연결이 삭제되었다가 다시 설정되면 온프레미스 게이트웨이가 키 갱신을 수행하지 않은 것입니다.

터널 설정을 확인하려면 지원되는 IKE 암호화 문서를 참조하세요. 특히 2단계 수명이 올바르고, Diffie-Hellman (DH) 그룹이 권장 값 중 하나로 설정되었는지 확인해야 합니다.

로깅 고급 로그 필터를 사용하여 Cloud VPN 터널의 이벤트를 검색할 수 있습니다. 예를 들어 다음 고급 필터는 DH 그룹 불일치를 검색합니다.

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

NAT 뒤의 온프레미스 게이트웨이

Cloud VPN은 NAT 뒤에 있는 온프레미스 또는 피어 VPN 게이트웨이로 작동할 수 있습니다. 이를 위해서는 UDP 캡슐화 및 NAT-T가 필요하며 일대일 NAT만 지원됩니다.

인증 과정 중에 Cloud VPN은 피어 게이트웨이의 ID를 확인합니다. Cloud VPN에서 모든 피어 게이트웨이는 Cloud VPN 터널에 대해 구성된 외부 IP (피어 게이트웨이) 주소로 RFC 7815에 지정된 대로 ID_IPV4_ADDR ID 유형을 사용하여 자신을 식별해야 합니다.

다음 로그 메시지는 피어 VPN 게이트웨이가 내부 IP 주소로 자신을 올바르지 않게 식별하고 있음을 나타냅니다. 이 예시에서 PEER_GATEWAY_INTERNAL_IP는 내부 IP 주소이고 PEER_GATEWAY_EXTERNAL_IP는 피어 VPN 게이트웨이와 인터넷 사이의 NAT 기기의 외부 IP 주소입니다.

authentication of PEER_GATEWAY_INTERNAL_IP with pre-shared key successful
constraint check failed: identity PEER_GATEWAY_EXTERNAL_IP required
selected peer config 'vpn_PEER_GATEWAY_EXTERNAL_IP' inacceptable: constraint checking failed

일대일 NAT를 사용할 때, 온프레미스 VPN 게이트웨이는 NAT 기기의 동일한 외부 IP 주소를 사용하여 자신을 식별해야 합니다.

  • ID 유형은 ID_IPV4_ADDR(RFC 7815)여야 합니다.

  • 모든 Cisco 기기에서 기기가 사용 중인 항목(내부 IP 주소)과 다른 IP 주소로 기기 ID를 설정하도록 지원되지는 않습니다. 예를 들어 Cisco ASA 기기는 해당 ID로 다른(외부) IP 주소 할당을 지원하지 않습니다. 따라서 Cisco ASA 기기는 Cloud VPN에 일대일 NAT를 사용하도록 구성될 수 없습니다.

  • Juniper 기기의 경우에는 set security ike gateway NAME local-identity inet EXTERNAL_IP를 사용하여 기기 ID를 설정할 수 있습니다. 여기서 NAME은 VPN 게이트웨이 이름이고 EXTERNAL_IP는 외부 IP 주소입니다. 자세한 내용은 Juniper TechLibrary 문서를 참조하세요.

일부 VM에서만 작동하고 다른 VM에서는 작동하지 않는 연결

ping, traceroute 또는 다른 트래픽 전송 방법이 일부 VM에서 온프레미스 시스템으로만 작동하거나 일부 온프레미스 시스템에서 일부 Google Cloud VM으로만 작동하는 경우 그리고 Google Cloud와 온프레미스 방화벽 규칙 모두 개발자가 전송 중인 트래픽을 차단하지 않는 것으로 확인된 경우 특정 소스나 대상을 제외하는 트래픽 선택기가 있을 수 있습니다.

트래픽 선택기는 VPN 터널의 IP 주소 범위를 정의합니다. 경로 외에도 대부분의 VPN 구현은 다음 조건이 둘 다 참인 경우에만 터널을 통해 패킷을 전달합니다.

  • 소스로컬 트래픽 선택기에 지정된 IP 범위 내에 있습니다.
  • 대상원격 트래픽 선택기에 지정된 IP 범위 내에 있습니다.

정책 기반 라우팅 또는 경로 기반 VPN을 사용하여 기본 VPN 터널을 만들 때 트래픽 선택기를 지정합니다. 또한 해당 피어 터널을 만들 때 트래픽 선택기를 지정합니다.

일부 공급업체는 로컬 프록시, 로컬 암호화 도메인 또는 좌측 네트워크와 같은 용어를 로컬 트래픽 선택기의 동의어로 사용합니다. 마찬가지로, 원격 프록시, 원격 암호화 도메인 또는 우측 네트워크원격 트래픽 선택기의 동의어입니다.

기본 VPN 터널의 트래픽 선택기를 변경하려면 터널을 삭제하고 다시 만들어야 합니다. 이러한 단계는 트래픽 선택기가 터널 만들기의 핵심 부분이고 터널을 나중에 편집할 수 없으므로 필요합니다.

트래픽 선택기를 정의할 때는 다음 안내를 따르세요.

  • Cloud VPN 터널의 로컬 트래픽 선택기는 피어 네트워크와 공유해야 하는 Virtual Private Cloud (VPC) 네트워크의 모든 서브넷을 다룹니다.
  • 피어 네트워크의 로컬 트래픽 선택기는 VPC 네트워크와 공유해야 하는 모든 온프레미스 서브넷을 다룹니다.
  • 특정 VPN 터널의 경우 트래픽 선택기는 다음 요건을 충족해야 합니다.
    • Cloud VPN 로컬 트래픽 선택기가 피어 VPN 게이트웨이에 있는 터널의 원격 트래픽 선택기와 일치해야 합니다.
    • Cloud VPN 원격 트래픽 선택기가 피어 VPN 게이트웨이에 있는 터널의 로컬 트래픽 선택기와 일치해야 합니다.

다른 리전의 VM 간 네트워크 지연 시간 문제

지연 시간이나 패킷 손실 문제가 있는지 확인하려면 전체 Google Cloud 네트워크의 성능을 모니터링하세요. Google Cloud 성능 뷰의 성능 대시보드에는 모든 Google Cloud의 패킷 손실과 지연 시간 측정항목이 표시됩니다. 이러한 측정항목은 프로젝트 성능 뷰에서 두드러진 문제가 프로젝트에 고유한지 파악하는 데 유용합니다. 자세한 내용은 성능 대시보드 사용을 참조하세요.

HA VPN 게이트웨이를 비-HA VPN 게이트웨이에 연결할 수 없음

Google Cloud는 HA VPN 게이트웨이와 Google Cloud에서 호스팅되는 HA가 아닌 VPN 게이트웨이 간의 터널 연결 생성을 지원하지 않습니다. 이 제한에는 Compute Engine VM에서 실행되는 기본 VPN 게이트웨이 및 타사 VPN 게이트웨이가 포함됩니다.

이를 시도하면 Google Cloud에서 다음과 같은 오류 메시지를 반환합니다.

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

이 오류를 방지하려면 HA VPN 게이트웨이를 다음 중 하나에 연결하는 VPN 터널을 만듭니다.

  • 다른 HA VPN 게이트웨이
  • Google Cloud에서 호스팅되지 않는 외부 VPN 게이트웨이

문제 해결 참조

이 섹션에는 상태 아이콘, 상태 메시지, 지원되는 IKE 암호화에 대한 정보가 포함되어 있습니다.

상태 아이콘

Cloud VPN은 Cloud Console에서 다음 상태 아이콘을 사용합니다.

아이콘 그래픽 색상 설명 적용 메시지
녹색 성공 아이콘
녹색 성공 ESTABLISHED
노란색 경고 아이콘
노란색 경고 ALLOCATING RESOURCES, FIRST HANDSHAKE, WAITING FOR FULL CONFIG, PROVISIONING
빨간색 오류 아이콘
빨간색 오류 남은 모든 메시지

상태 메시지

VPN 게이트웨이 및 터널 상태를 나타내기 위해 Cloud VPN은 다음과 같은 상태 메시지를 사용합니다. VPN 터널은 표시된 상태에 따라 청구됩니다.

Message 설명 이 상태에서의 터널 청구 여부
ALLOCATING RESOURCES 터널 설정을 위해 리소스 할당 중
PROVISIONING 터널 설정을 위해 모든 구성의 수신 대기 중 아니요
WAITING FOR FULL CONFIG 전체 구성이 수신되었지만, 터널이 아직 설정되지 않음
FIRST HANDSHAKE 터널 설정 중
ESTABLISHED 보안 통신 세션이 성공적으로 설정됨
NETWORK ERROR
(NO INCOMING PACKETS으로 대체)
잘못된 IPsec 승인
AUTHORIZATION ERROR 핸드셰이크 실패
NEGOTIATION FAILURE 터널 구성이 거부되었습니다. 거부 목록에 추가되었기 때문일 수 있습니다.
DEPROVISIONING 터널을 종료 중임 아니요
NO INCOMING PACKETS 게이트웨이가 온프레미스 VPN에서 패킷 수신 중이 아님
거부됨 터널 구성이 거부되었습니다. 지원 센터에 연락하세요.
STOPPED 터널이 중지되었고 활성 상태가 아님 VPN 터널에 필요한 하나 이상의 전달 규칙이 삭제되었기 때문일 수 있습니다.

IKE 암호화 참조

Cloud VPN은 피어 VPN 기기 또는 VPN 서비스를 위한 암호화 및 구성 매개변수를 지원합니다. 피어 측에서 지원되는 IKE 암호화 설정을 사용하면 Cloud VPN은 연결을 자동 협상합니다.

전체 IKE 암호화 참조는 지원되는 IKE 암호화를 참조하세요.

다음 단계

  • Cloud VPN의 기본 개념에 대해 알아보려면 Cloud VPN 개요를 참조하세요.
  • 고가용성, 높은 처리량 시나리오 또는 다중 서브넷 시나리오에 대한 자세한 내용은 고급 구성을 참조하세요.