Motivos para descartar paquetes de prueba

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Las pruebas de conectividad pueden descartar un paquete de prueba por cualquiera de los siguientes motivos.

Para obtener una lista completa de los motivos posibles, consulta Estados de análisis de configuración.

Descartado debido a una regla de firewall

El análisis de configuración determinó que el paquete se descartó debido a una regla de firewall, a menos que el paquete esté permitido debido al seguimiento de conexión.

Causa probable

Las pruebas de conectividad pueden denegar un paquete de prueba porque el paquete coincide con una regla de firewall de bloqueo o una política de firewall. Sin embargo, el plano de datos real puede permitir el paquete debido al seguimiento de conexiones de la regla de firewall. El seguimiento de conexiones permite que los paquetes de una conexión existente se muestren a pesar de la regla de firewall.

Cada red de VPC tiene dos reglas de firewall implícitas que permiten el tráfico de salida a todas partes y bloquean el tráfico entrante desde cualquier lugar.

Sin embargo, si tienes una regla de firewall de salida de denegación de mayor prioridad, se aplica.

Para que la conectividad sea exitosa, necesitas una regla de firewall de salida en la fuente que permita el acceso al extremo de destino y una regla de firewall de entrada en el destino a fin de permitir esta conexión.

Las reglas de firewall de VPC son reglas con estado. Si el extremo de destino especificado suele ser el lado que inicia la comunicación, el tráfico de respuesta se permite de forma automática con el seguimiento de conexiones y no se necesita una regla de firewall de entrada.

Recomendaciones

Borra la regla de denegación o crea una regla de permiso según los detalles en los resultados de las pruebas de conectividad. Para obtener más información, consulta Usa reglas de firewall.

Tráfico privado a Internet

Se envió un paquete con una dirección de destino interna a una puerta de enlace de Internet.

Causa probable

La dirección IP de destino es una dirección IP privada, a la que no se puede acceder a través de Internet. El paquete sale de la VM de origen, pero no hay una ruta interna para llegar al extremo de destino y sigue la ruta de acceso a la puerta de enlace de Internet.

Recomendaciones

Si deseas acceder a la dirección IP de destino a través de Internet, asegúrate de que tu VM tenga conectividad a Internet y puedas usar la dirección IP pública del extremo de destino.

Si deseas acceder a la VM mediante su dirección IP privada, debes establecer la conectividad entre las redes. Puedes hacerlo de cualquiera de las siguientes maneras:

  1. Si tu extremo de destino está dentro de una red local, usa una solución de conectividad híbrida como Cloud VPN o Cloud Interconnect.
  2. Si el extremo de destino se encuentra dentro de Google Cloud, sigue estos pasos:
    1. Configura el Intercambio de tráfico entre redes de VPC entre las redes de VPC. Esta es una solución recomendada si los rangos de direcciones IP de la red no se superponen entre tus redes.
    2. Configura Cloud VPN entre redes de VPC.

  3. Si ya tienes una conexión a la red de destino:

    1. La red del extremo de origen no tiene una ruta a través de esta conexión o usa la ruta predeterminada que pasa por la puerta de enlace de Internet. Asegúrate de que las rutas se anuncien correctamente en ambos lados de la conexión.

    Si pruebas la conectividad a una red local desde una red de intercambio de tráfico, consulta este ejemplo para ver anuncios personalizados, modo de enrutamiento de red e intercambio de rutas personalizadas.

    No se admite el intercambio de tráfico entre redes de VPC transitivo. Puedes usar una VPN o el intercambio de tráfico para estas dos redes de VPC.

Las reglas de reenvío no coinciden

Los puertos y el protocolo de la regla de reenvío no coinciden con el encabezado del paquete.

Causa probable

Los puertos y el protocolo de la regla de reenvío no coinciden con el encabezado del paquete, o el paquete no se origina en la misma región ni está dirigido a la misma región que el balanceador de cargas regional.

Recomendaciones

Confirma el protocolo y el puerto de la regla de reenvío de destino.

Además, según el balanceador de cargas y su nivel, la regla de reenvío puede ser global o regional. Para obtener más información, consulta la tabla de tipos de balanceadores de cargas.

Si la regla de reenvío es regional, el cliente (por ejemplo, la VM o el conector de VPC) debe estar en la misma región que el balanceador de cargas.

Mientras te conectes desde una red local, asegúrate de que el cliente acceda al balanceador de cargas a través de túneles de Cloud VPN o adjuntos de VLAN que se encuentren en la misma región que el balanceador de cargas. Para obtener más detalles, consulta Balanceo de cargas HTTP(S) interno y redes conectadas.

Puedes habilitar el acceso global en un balanceador de cargas de TCP/UDP interno para acceder desde clientes de cualquier región. No es posible habilitar el acceso global a un balanceador de cargas HTTP(S) interno.

Se descartó debido a la ausencia de una ruta

Se descartó debido a la ausencia de rutas.

Causa probable

No hay una ruta aplicable para alcanzar el extremo de destino. En la consola de Google Cloud, ve a la página Redes de VPC. Haz clic en Rutas. Filtra las rutas para la red de VPC en la que existe la VM de origen y confirma que no hay una ruta que incluya la dirección IP de destino.

Recomendaciones

Si intentas acceder al extremo de destino mediante su dirección IP privada, asegúrate de que las redes de origen y destino estén conectadas.

Si ya tienes conectividad entre las redes, asegúrate de que las rutas se anuncien correctamente en ambos lados de la conexión. Si pruebas la conectividad a una red local desde una red de intercambio de tráfico, consulta este ejemplo para ver anuncios personalizados, modo de enrutamiento de red e intercambio de rutas personalizadas.

No se admite el intercambio de tráfico transitorio de VPC. Considera usar una VPN o intercambiar tráfico entre estas dos redes de VPC.

Si intentas acceder al extremo de destino a través de Internet, asegúrate de tener una ruta para este destino a través de la puerta de enlace de Internet predeterminada.

No hay direcciones externas disponibles

Una instancia de VM con solo una dirección IP interna intentó acceder a hosts externos a través de una ruta cuyo siguiente salto es la puerta de enlace de Internet predeterminada. Esto es esperable cuando Cloud NAT no está habilitado en la subred o cuando no hay otra ruta predeterminada cuyo siguiente salto sea de un tipo diferente (como una VM de proxy).

Causa probable

Una instancia con solo una dirección IP interna intentó acceder a un host externo, pero no tenía una dirección IP externa o Cloud NAT no estaba habilitado en la subred.

Recomendaciones

Si deseas acceder a extremos externos, puedes asignar una dirección IP externa a tu instancia. De manera alternativa, puedes habilitar Cloud NAT en su subred, a menos que la conexión pase por una instancia de proxy que otorgue acceso a Internet.

Regla de reenvío sin instancias

La regla de reenvío no tiene backends configurados.

Causa probable

La regla de reenvío a la que intentas acceder no tiene ningún backend configurado.

Recomendaciones

Verifica la configuración del balanceador de cargas y asegúrate de que el servicio de backend del balanceador de cargas tenga backends configurados.

El tipo de tráfico está bloqueado

El tipo de tráfico está bloqueado y no puedes configurar una regla de firewall para habilitarlo. Para ver más detalles, consulta Tráfico que siempre está bloqueado.

Causa probable

Este tipo de tráfico está bloqueado de forma predeterminada y no se puede habilitar mediante la creación de reglas de firewall. Los casos comunes son los siguientes:

  1. Enviar tráfico de salida a un destino externo con el puerto TCP 25 (SMTP). Para ver más detalles, consulta Tráfico que siempre está bloqueado.
  2. Enviar tráfico a un puerto no compatible en una instancia de Cloud SQL. Por ejemplo, el envío de tráfico al puerto TCP 3310 a una instancia de Cloud SQL de MySQL con el puerto 3306 abierto.
  3. Enviar tráfico de salida desde una versión del entorno estándar de App Engine, una función de Cloud Functions o una revisión de Cloud Run que usa un protocolo que no sea TCP o UDP

Recomendaciones

Para el tráfico de salida de SMTP (tráfico de salida a un destino externo con puerto TCP 25), consulta Envía correos electrónicos desde una instancia.

Para el protocolo DHCP, incluidos los paquetes IPv4 de UDP al puerto de destino 68 (respuestas de DHCPv4) y los paquetes IPv6 de UDP al puerto de destino 546 (respuestas de DHCPv6), solo se permite el tráfico de DHCP desde el servidor de metadatos (169.254.169.254).

Para la conectividad de Cloud SQL, asegúrate de que el puerto que se usa sea correcto.

El conector de Acceso a VPC sin servidores no está configurado

El paquete se descartó porque la versión del entorno estándar de App Engine, la función de Cloud Functions o la revisión de Cloud Run no tienen configurado un conector de Acceso a VPC sin servidores.

Causa probable

La dirección IP de destino es una dirección IP privada, a la que no se puede acceder a través de Internet. El paquete sale de la fuente, pero no hay un conector de acceso a VPC sin servidores configurado para la versión del entorno estándar de App Engine, la función de Cloud Functions o la revisión de Cloud Run.

Recomendaciones

Si intentas acceder al extremo de destino mediante su dirección IP privada, asegúrate de haber configurado un conector de Acceso a VPC sin servidores para la versión del entorno estándar de App Engine, la función de Cloud Functions o la revisión de Cloud Run.

El conector de Acceso a VPC sin servidores no está en ejecución

El paquete se descartó porque el conector de Acceso a VPC sin servidores no está en ejecución.

Causa probable

El paquete se descartó porque todas las instancias del conector de acceso a VPC sin servidores están detenidas.

Recomendaciones

Para obtener una lista de pasos de solución de problemas, consulta Solución de problemas.

No se acepta la conexión a Private Service Connect

El paquete se descartó porque no se aceptó la conexión de Private Service Connect.

Causa probable

El extremo de Private Service Connect se encuentra en un proyecto que no está aprobado para conectarse al servicio. Para obtener más información, consulta Ver detalles del extremo.

Recomendaciones

Asegúrate de que el extremo de Private Service Connect esté en un proyecto aprobado para conectarse al servicio administrado.