Solução de problemas

Este guia de solução de problemas ajuda a monitorar e resolver problemas comuns do Cloud VPN.

Para interpretar mensagens de status e referências de criptografia IKE, consulte a seção Referência.

Para encontrar informações de geração de registros e monitoramento, consulte Como ver registros e métricas.

Para encontrar definições da terminologia usada nesta página, consulte Termos-chave do Cloud VPN.

Mensagens de erro

Para verificar as mensagens de erro, siga estas etapas:

  1. No Console do Google Cloud, acesse a página VPN.

    Acessar a VPN

  2. Se um ícone de status for exibido, passe o cursor sobre ele para ver a mensagem de erro.

Muitas vezes, a mensagem de erro pode ajudar você a identificar o problema. Se necessário, verifique seus registros para mais informações. Veja informações detalhadas sobre o status no Console do Cloud na página Detalhes do túnel.

Registros da VPN

Os registros do Cloud VPN são armazenados no Cloud Logging. A geração de registros é automática. Portanto, não é necessário ativá-la.

Para informações sobre como visualizar registros para o lado do gateway de peering da sua conexão, consulte a documentação do produto.

Em muitos casos, os gateways estão configurados corretamente, mas há um problema na rede de peering entre os hosts e o gateway ou há um problema com a rede entre o gateway de peering e o gateway do Cloud VPN.

Para verificar os registros, siga estas etapas:

  1. No Console do Cloud, acesse a página Explorador de registros.

    Acessar o Explorador de registros

  2. Verifique nos registros:

    1. Verifique se o endereço IP de peering remoto configurado no gateway do Cloud VPN está correto.
    2. Verifique se o tráfego que flui dos hosts no local está chegando ao gateway de peering.
    3. Verifique se o tráfego está fluindo entre os dois gateways da VPN em ambas as direções. Nos registros da VPN, verifique as mensagens recebidas do outro gateway da VPN;
    4. Verifique se as versões IKE configuradas são as mesmas nos dois lados do túnel.
    5. se a chave secreta compartilhada é o mesma nos dois lados do túnel;
    6. Se seu gateway de VPN de peering estiver atrás de NAT um para um, certifique-se de ter configurado corretamente o dispositivo NAT para encaminhar o tráfego UDP para seu gateway de VPN de peering nas portas 500 e 4500. Configure o gateway de peering para usar o endereço IP externo do dispositivo NAT para se identificar. Para ver detalhes, consulte Gateways locais por trás da NAT.
    7. Se os registros da VPN mostrarem um erro no-proposal-chosen, isso significa que o Cloud VPN e o gateway de VPN de peering não concordaram com um conjunto de criptografias. Para IKEv1, o conjunto de criptografias precisa corresponder exatamente. Para IKEv2, é preciso que haja pelo menos uma criptografia comum proposta por cada gateway. Certifique-se de usar criptografias compatíveis para configurar seu gateway de VPN de peering.
    8. Configure o peering e as rotas e regras de firewall do Google Cloud para que o tráfego possa atravessar o túnel. Talvez seja necessário entrar em contato com o administrador da rede para receber ajuda.
  3. Para encontrar problemas específicos, procure as seguintes strings nos seus registros:

    1. No painel Criador de consultas, insira uma das consultas avançadas listadas na tabela a seguir para procurar um determinado evento e clique em Executar consulta.
    2. Ajuste o período no painel Histograma conforme necessário e clique em Executar. Para mais detalhes sobre como usar o Explorador de registros para consultas, consulte Como criar consultas de registro.

      Para visualizar Use esta pesquisa de geração de registros
      O Cloud VPN inicia a fase 1 (IKE SA)
      
      resource.type="vpn_gateway"
      ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      O Cloud VPN não consegue entrar em contato com o par remoto
      
      resource.type="vpn_gateway"
      "establishing IKE_SA failed, peer not responding"
      Eventos de autenticação do IKE (fase 1)
      
      resource.type="vpn_gateway"
      ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      Autenticação do IKE
      
      resource.type="vpn_gateway"
      ("authentication of" AND "with pre-shared key successful")
      Fase 1 (IKE SA) estabelecida
      
      resource.type="vpn_gateway"
      ("IKE_SA" AND "established between")
      Todos os eventos da fase 2 (SA filho), incluindo eventos criação de nova chave
      
      resource.type="vpn_gateway"
      "CHILD_SA"
      O par solicita a criação de nova chave na fase 2
      
      resource.type="vpn_gateway"
      detected rekeying of CHILD_SA
      O par solicita o encerramento da fase 2 (SA filho)
      
      resource.type="vpn_gateway"
      received DELETE for ESP CHILD_SA
      O Cloud VPN solicita o encerramento da fase 2 (SA filho)
      
      resource.type="vpn_gateway"
      sending DELETE for ESP CHILD_SA
      O Cloud VPN encerra a fase 2 (SA filho), talvez em resposta ao par
      
      resource.type="vpn_gateway" closing CHILD_SA
      O Cloud VPN encerrou a fase 2 por conta própria
      
      resource.type="vpn_gateway" CHILD_SA closed
      Se os seletores de tráfego remoto não corresponderem
      
      resource.type="vpn_gateway"
      Remote traffic selectors narrowed
      Se os seletores de tráfego local não corresponderem
      
      resource.type="vpn_gateway"
      Local traffic selectors narrowed

Conectividade

Considere as seguintes sugestões ao usar ping para verificar a conectividade entre sistemas locais e instâncias de máquina virtual (VM) do Google Cloud:

  • Certifique-se de que as regras de firewall na sua rede do Google Cloud permitam tráfego ICMP de entrada. A regra implícita de permissão de saída permite o tráfego ICMP de saída da sua rede, a menos que ela seja modificada. Da mesma maneira, verifique se as regras de firewall local também estão configuradas para permitir tráfego ICMP de entrada e de saída.

  • Use endereços IP internos para dar um ping nas VMs do Google Cloud e nos sistemas locais. O ping de endereços IP externos de gateways da VPN não testa a conectividade pelo túnel.

  • Ao testar a conectividade do local com o Google Cloud, é melhor iniciar um ping de um sistema na sua rede, e não do gateway de VPN. É possível dar um ping de um gateway se você configurar a interface de origem apropriada, mas o ping de uma instância na sua rede tem a vantagem de testar a configuração do seu firewall.

  • Os testes Ping não verificam se as portas TCP ou UDP estão abertas. Depois de confirmar que os sistemas têm conectividade básica, é possível usar ping para realizar outros testes.

Cálculo da capacidade de rede

É possível calcular a capacidade da rede no Google Cloud e nos locais de nuvem terceirizados ou no local. Este recurso inclui informações sobre como analisar resultados, explicações sobre variáveis que podem afetar o desempenho da rede e dicas de solução de problemas.

Problemas comuns e soluções

O túnel fica inativo por alguns segundos com frequência

Por padrão, o Cloud VPN negocia uma associação de segurança (SA) substituta antes que a existente expire. Isso é conhecido como rekeying. Talvez seu gateway de VPN de peering não esteja fazendo rekeying. Em vez disso, ele pode negociar uma nova SA somente após excluir a existente, causando interrupções.

Para verificar se o rechaveamento do gateway de peering é possível, visualize os registros do Cloud VPN. Se a conexão cair e for restabelecida logo depois de uma mensagem de registro Received SA_DELETE, significa que não ocorreu o rechaveamento do gateway no local.

Para verificar as configurações do túnel, consulte o documento Criptografias IKE aceitas. Em particular, veja se a vida útil da Fase 2 está correta e se um grupo Diffie-Hellman (DH) está configurado com um dos valores recomendados.

Para pesquisar eventos no túnel do Cloud VPN, use um filtro de registro avançado do Logging. Por exemplo, o filtro avançado a seguir pesquisa incompatibilidades em grupos DH:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Gateways locais por trás da NAT

O Cloud VPN pode funcionar com gateways de VPN local ou de peering que estão por trás da NAT. Isso é possível graças ao encapsulamento UDP e à NAT-T. Somente a NAT de um para um é aceita.

Como parte do processo de autenticação, o Cloud VPN verifica a identidade do gateway do par. O Cloud VPN espera que cada gateway de peering se identifique usando o tipo de identidade ID_IPV4_ADDR, conforme especificado no RFC 7815, com o endereço IP externo (gateway de peering) configurado para o túnel do Cloud VPN.

As mensagens de registro a seguir indicam que o gateway da VPN de peering está se identificando incorretamente com um endereço IP interno. Neste exemplo, PEER_GATEWAY_INTERNAL_IP é um endereço IP interno e PEER_GATEWAY_EXTERNAL_IP é o endereço IP externo do dispositivo NAT entre o gateway da VPN de peering e a Internet.

authentication of PEER_GATEWAY_INTERNAL_IP with pre-shared key successful
constraint check failed: identity PEER_GATEWAY_EXTERNAL_IP required
selected peer config 'vpn_PEER_GATEWAY_EXTERNAL_IP' inacceptable: constraint checking failed

Ao usar a NAT de um para um, o gateway da VPN local precisa se identificar usando o mesmo endereço IP externo do dispositivo NAT:

  • O tipo de identidade precisa ser ID_IPV4_ADDR (RFC 7815).

  • Nem todos os dispositivos Cisco são compatíveis com a configuração de uma identidade de dispositivo para um endereço IP diferente daquele que o dispositivo está usando, isto é, o endereço IP interno dele. Por exemplo, os dispositivos Cisco ASA não são compatíveis com a atribuição de diferentes endereços IP (externos) como identidade. Portanto, não é possível que esses dispositivos sejam configurados para usar NAT de um para um com o Cloud VPN.

  • Para dispositivos Juniper, é possível definir a identidade do dispositivo usando set security ike gateway NAME local-identity inet EXTERNAL_IP, em que NAME é o nome do gateway de VPN e EXTERNAL_IP é o endereço IP externo dele. Para mais detalhes, consulte este artigo da Juniper TechLibrary.

A conectividade funciona em algumas VMs, mas não em outras

Se ping, traceroute ou outros métodos de enviar tráfego funcionarem somente de algumas VMs para seus sistemas locais ou apenas de alguns sistemas locais para algumas VMs do Google Cloud, e se você tiver verificado que o Google Cloud e as regras de firewall locais não estão bloqueando o tráfego que você está enviando, é possível que haja seletores de tráfego que excluem determinadas origens ou destinos.

Os seletores de tráfego definem os intervalos de endereços IP para um túnel da VPN. Além das rotas, a maioria das implementações de VPN só passa pacotes usando um túnel se ambas as afirmações a seguir forem verdadeiras:

  • As origens se encaixam nos intervalos de IP especificados no seletor de tráfego local.
  • Os destinos se encaixam nos intervalos de IP especificados no seletor de tráfego remoto.

Você especifica os seletores de tráfego quando cria um túnel de VPN clássica usando o roteamento baseado em política ou uma VPN baseada em rota. Você também especifica os seletores de tráfego ao criar o túnel de peering correspondente.

Alguns fornecedores usam termos como proxy local, domínio de criptografia local ou rede do lado esquerdo como sinônimos para seletor de tráfego local. Da mesma forma, proxy remoto, domínio de criptografia remota ou rede do lado direito são sinônimos para seletor de tráfego remoto.

Para alterar os seletores de tráfego de um túnel de VPN clássica, é necessário excluir e recriar o túnel. Essas etapas são necessárias porque os seletores de tráfego são parte integrante da criação do túnel, e não é possível editar os túneis posteriormente.

Siga as diretrizes a seguir ao definir seletores de tráfego:

  • O seletor de tráfego local do túnel do Cloud VPN precisa abranger todas as sub-redes da rede de nuvem privada virtual (VPC) que você precisa compartilhar com a rede de peering.
  • É necessário que o seletor de tráfego local da sua rede de peering abranja todas as sub-redes locais que você precisa compartilhar com sua rede VPC.
  • Para um determinado túnel de VPN, os seletores de tráfego têm o seguinte relacionamento:
    • É necessário que o seletor de tráfego local do Cloud VPN corresponda ao seletor de tráfego remoto do túnel no gateway de VPN de peering.
    • É necessário que o seletor de tráfego remoto do Cloud VPN corresponda ao seletor de tráfego local do túnel no gateway de VPN de peering.

Como conectar gateways de VPN clássica e de VPN de alta disponibilidade

O Google Cloud não é compatível com a criação de um túnel de um gateway de VPN de alta disponibilidade que se conecta a um gateway de VPN clássica. Se você tentar criar um recurso externalVpnGateway que tenha o endereço IP externo de um gateway de VPN clássica, o Google Cloud retornará a seguinte mensagem de erro:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

Este comportamento é esperado. Em vez disso, crie um túnel de VPN que conecte um gateway de VPN de alta disponibilidade a outro gateway de VPN de alta disponibilidade.

Referência de solução de problemas

Esta seção inclui informações sobre ícones de status, mensagens de status e criptografias IKE aceitas.

Ícones de status

O Cloud VPN usa os seguintes ícones de status no Console do Cloud.

Imagem do ícone Cor Descrição Aplica-se às mensagens
Ícone de sucesso verde
Verde Sucesso ESTABELECIDO
Ícone de aviso amarelo
Amarelo Aviso ALOCANDO RECURSOS, PRIMEIRO HANDSHAKE, AGUARDANDO A CONFIGURAÇÃO COMPLETA, PROVISIONANDO
Ícone de erro vermelho
Vermelho Erro Qualquer outra mensagem

Mensagens de status

Para indicar os estados do gateway e do túnel da VPN, o Cloud VPN usa as mensagens de status a seguir. O túnel de VPN é faturado nos estados indicados.

Mensagem Descrição Túnel faturado nesse estado?
ALOCANDO RECURSOS Alocando recursos para configurar o túnel. Sim
PROVISIONANDO Aguardando o recebimento de todas as configurações para configurar o túnel. Não
AGUARDANDO A CONFIGURAÇÃO COMPLETA A configuração completa foi recebida, mas o túnel ainda não foi estabelecido. Sim
PRIMEIRO HANDSHAKE Estabelecendo o túnel. Sim
ESTABELECIDO Uma sessão de comunicação segura foi estabelecida com sucesso. Sim
ERRO DE REDE
(substituído por NENHUM PACOTE DE ENTRADA)
Autorização de IPsec inválida. Sim
ERRO DE AUTORIZAÇÃO Falha no handshake. Sim
FALHA NA NEGOCIAÇÃO A configuração do túnel foi rejeitada. Talvez seja pelo fato de ter sido adicionada a uma lista de bloqueio. Sim
DESPROVISIONANDO O túnel está sendo desligado. Não
NENHUM PACOTE DE ENTRADA O gateway não está recebendo nenhum pacote da VPN local. Sim
REJEITADO A configuração do túnel foi rejeitada. Entre em contato com o Suporte. Sim
PARADO O túnel está parado e não está ativo. Isso pode ter acontecido por causa da exclusão de uma ou mais regras de encaminhamento necessárias para o túnel da VPN. Sim

Referência de criptografia IKE

O Cloud VPN aceita criptografias e parâmetros de configuração para dispositivos de VPN de peering ou serviços de VPN. O Cloud VPN negocia automaticamente a conexão se o lado do peering usar uma configuração de criptografia IKE compatível.

Para ver a referência completa da criptografia IKE, consulte Criptografias IKE aceitas.

A seguir