Solução de problemas

Este guia de solução de problemas pode ajudar você a monitorar e resolver problemas comuns com o Cloud VPN.

Para interpretar mensagens de status e referências de criptografia IKE, consulte a seção Referência.

Como visualizar registros e métricas

Consulte Como visualizar registros e métricas.

Como verificar mensagens de erro

  1. Acesse a página VPN no Console do Google Cloud Platform.
    Acesse a página VPN
  2. Quando um ícone for exibido, passe o mouse sobre ele para ver a mensagem de erro.

Em muitos casos, a mensagem de erro pode ajudar você a identificar o problema. Se necessário, verifique seus registros para mais informações. Também há informações detalhadas sobre status na página Detalhes do túnel no Console do Google Cloud Platform.

Como verificar os registros de VPN

Os registros do Cloud VPN são armazenados no Stackdriver Logging. A geração de registros é automática e não precisa ser ativada.

Para seu gateway local, consulte a documentação do produto para informações sobre como visualizar registros desse lado da conexão.

Em muitos casos, os gateways estão configurados corretamente, mas há um problema na rede local entre os hosts e o gateway ou um problema com a rede entre o gateway local e o do Cloud VPN.

Acessar a página do Stackdriver Logging

Verifique nos registros:

  1. se o IP local configurado no gateway do Cloud VPN está correto;
  2. se o fluxo de tráfego dos hosts locais está chegando ao gateway local;
  3. se o fluxo do tráfego entre os dois gateways da VPN está ocorrendo em ambas as direções. Nos registros da VPN, verifique as mensagens recebidas do outro gateway da VPN;
  4. se as versões IKE configuradas são as mesmas nos dois lados do túnel;
  5. se a chave secreta compartilhada é o mesma nos dois lados do túnel;
  6. se o dispositivo NAT foi configurado corretamente para encaminhar o tráfego UDP para o gateway da VPN local nas portas 500 e 4500, caso o gateway da VPN local esteja atrasado em relação à NAT de um para um. É preciso configurar o gateway local para que ele se identifique usando o endereço IP público do dispositivo NAT. Consulte gateways locais por trás da NAT para ver mais detalhes;
  7. se os registros da VPN mostram um erro no-proposal-chosen. Isso indica que o Cloud VPN e seu gateway da VPN local não conseguiram chegar a um acordo sobre um conjunto de criptografias. Para IKEv1, o conjunto de criptografias precisa corresponder exatamente. Para IKEv2, é preciso que haja pelo menos uma criptografia comum proposta por cada gateway. Certifique-se de que o gateway da VPN local esteja configurado com criptografias compatíveis;
  8. se as regras de firewall e as rotas locais e do GCP estão configuradas para que o tráfego possa atravessar o túnel. Talvez seja necessário entrar em contato com o administrador da rede para receber ajuda.

Pesquise também seus registros pelas strings a seguir para encontrar problemas específicos:

  1. Acesse o Visualizador de registros no Console do Google Cloud Platform.
    Acesse o Visualizador de registros
  2. Na caixa de pesquisa filtrar por rótulo ou texto, clique no triângulo de abertura à direita e selecione Converter em filtro avançado.
  3. Use um dos filtros avançados listados abaixo para pesquisar um evento específico e ajuste o prazo conforme necessário.
Para ver: Use esta pesquisa do Stackdriver
O Cloud VPN inicia a fase 1 (IKE SA)

resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
O Cloud VPN não consegue entrar em contato com o par remoto

resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
Eventos de autenticação do IKE (fase 1)

resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
Autenticação do IKE bem-sucedida

resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
Fase 1 (IKE SA) estabelecida

resource.type="vpn_gateway"
("IKE_SA" AND "established between")
Todos os eventos da fase 2 (SA filho), incluindo eventos criação de nova chave

resource.type="vpn_gateway"
"CHILD_SA"
O par solicita a criação de nova chave na fase 2

resource.type="vpn_gateway"
detected rekeying of CHILD_SA
O par solicita o encerramento da fase 2 (SA filho)

resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
O Cloud VPN solicita o encerramento da fase 2 (SA filho)

resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
O Cloud VPN encerra a fase 2 (SA filho), talvez em resposta ao par

resource.type="vpn_gateway" closing CHILD_SA
O Cloud VPN encerrou a fase 2 por conta própria

resource.type="vpn_gateway" CHILD_SA closed
Se os seletores de tráfego remoto não corresponderem

resource.type="vpn_gateway"
Remote traffic selectors narrowed
Se os seletores de tráfego local não corresponderem

resource.type="vpn_gateway"
Local traffic selectors narrowed

Como verificar a conectividade

Veja a seguir algumas sugestões para verificar a conectividade entre os sistemas locais e as VMs do GCP usando ping:

  • Certifique-se de que as regras de firewall na sua rede do GCP permitem o tráfego ICMP de entrada. A regra implícita de permissão de saída permite o tráfego ICMP de saída da sua rede, a menos que ela seja modificada. Certifique-se também de que os firewalls locais estejam configurados para permitir tráfego ICMP de entrada e saída.

  • Dê um ping nas VMs do GCP e nos sistemas locais usando os respectivos endereços IP internos. O ping de endereços IP externos de gateways da VPN não testa a conectividade pelo túnel.

  • Ao testar a conectividade do local para o GCP, é melhor iniciar um ping a partir de um sistema na sua rede, e não a partir do gateway da VPN. É possível dar um ping a partir de um gateway quando você configura a interface de origem apropriada, mas o ping de uma instância na sua rede tem a vantagem de testar a configuração do seu firewall.

  • Os testes de ping não verificam se as portas TCP ou UDP estão realmente abertas. É preciso realizar mais testes após determinar que os sistemas têm conectividade básica usando o ping.

Problemas e soluções comuns

O túnel fica inativo por alguns segundos com frequência

Por padrão, o Cloud VPN negocia uma SA de substituição antes que a existente expire. Isso é conhecido como rekeying. Pode ser que o gateway da VPN local não esteja fazendo isso. Em vez disso, ele pode negociar uma nova SA somente após excluir a existente, causando interrupções.

Para verificar se o gateway local está fazendo o rekeying, veja os registros do Cloud VPN. Se a conexão cair e for restabelecida em seguida logo após uma mensagem de registro Received SA_DELETE, o gateway não fez o rekeying.

Confira as configurações do túnel no documento Criptografias IKE aceitas. Veja se a vida útil da Fase 2 está correta e que um grupo Diffie-Hellman (DH) esteja configurado com um dos valores recomendados.

Você pode usar um filtro de registro avançado do Stackdriver para pesquisar eventos no túnel do Cloud VPN. Por exemplo, o filtro avançado a seguir pesquisa incompatibilidades em grupos DH:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Gateways locais por trás da NAT

O Cloud VPN funciona com gateways da VPN do terminal ou local que estão por trás da NAT. Isso é possível graças ao encapsulamento UDP e à NAT-T, e somente a NAT de um para um é aceita.

Como parte do processo de autenticação, o Cloud VPN verifica a identidade do gateway do par. O Cloud VPN espera que cada gateway do par se identifique usando o tipo de identidade ID_IPV4_ADDR, conforme especificado no RFC 7815, com o endereço IP público (gateway do par) configurado para o túnel do Cloud VPN.

As mensagens de registro a seguir indicam que o gateway da VPN do par está se identificando incorretamente com um endereço IP privado. Neste exemplo, [PEER GATEWAY PRIVATE IP] é um endereço IP privado e [PEER GATEWAY PUBLIC IP] é o endereço IP público do dispositivo NAT entre o gateway da VPN do terminal e a Internet.

authentication of '[PEER GATEWAY PRIVATE IP]' with pre-shared key successful
constraint check failed: identity '[PEER GATEWAY PUBLIC IP]' required
selected peer config 'vpn_[PEER GATEWAY PUBLIC IP]' inacceptable: constraint checking failed

Ao usar a NAT de um para um, o gateway da VPN local precisa se identificar usando o mesmo endereço IP público do dispositivo NAT:

  • O tipo de identidade precisa ser ID_IPV4_ADDR (RFC 7815).

  • Nem todos os dispositivos Cisco são compatíveis com a configuração de uma identidade de dispositivo para um endereço IP diferente daquele que o dispositivo está usando, isto é, o endereço interno dele. Por exemplo, os dispositivos Cisco ASA não são compatíveis com a atribuição de diferentes endereços IP (externos) como identidade. Portanto, não é possível que esses dispositivos sejam configurados para usar NAT de um para um com o Cloud VPN.

  • Para dispositivos Juniper, é possível configurar a identidade do dispositivo usando set security ike gateway [NAME] local-identity inet [PUBLIC_IP], em que [NAME] é o nome do gateway da VPN e [PUBLIC_IP] é seu endereço IP público. Para mais detalhes, consulte este artigo da Juniper TechLibrary.

A conectividade funciona em algumas VMs, mas não em outras

Se ping, traceroute ou outros métodos de envio de tráfego funcionam apenas de algumas VMs para os sistemas locais ou apenas de alguns sistemas locais para algumas VMs do GCP e você verificar que as regras de firewall do GCP e locais não estão bloqueando o tráfego que está sendo enviado, é possível que haja seletores de tráfego que excluem determinadas origens ou destinos.

Os seletores de tráfego definem os intervalos de endereços IP para um túnel da VPN. Além das rotas, a maioria das implementações de VPN só passa pacotes por meio de um túnel se as origens couberem nos intervalos de IPs especificados no seletor de tráfego local e se os destinos couberem nos intervalos de IPs especificados no seletor de tráfego remoto. Especifique os seletores de tráfego ao criar um túnel do Cloud VPN usando o roteamento baseado em políticas ou uma VPN baseada em rotas. Também é possível especificar seletores de tráfego ao criar o túnel local correspondente.

Alguns fornecedores usam termos como proxy local, domínio de criptografia local ou rede do lado esquerdo como sinônimos para o seletor de tráfego local. Da mesma forma, proxy remoto, domínio de criptografia remota ou rede do lado direito são sinônimos para o seletor de tráfego remoto.

Para alterar os seletores de tráfego de um túnel do Cloud VPN, é preciso excluir e recriar o túnel. Isso é necessário porque os seletores de tráfego são parte integrante da criação do túnel, e os túneis não podem ser editados posteriormente.

Siga as diretrizes a seguir ao definir seletores de tráfego:

  • O seletor de tráfego local do túnel do Cloud VPN precisa abranger todas as sub-redes da rede VPC que você precisa compartilhar com a rede local.
  • O seletor de tráfego local da rede local precisa abranger todas as sub-redes locais que você precisa compartilhar com a rede VPC.
  • Para um determinado túnel da VPN, os seletores de tráfego têm o seguinte relacionamento:
    • O seletor de tráfego local do Cloud VPN precisa corresponder ao seletor de tráfego remoto do túnel no gateway da VPN local.
    • O seletor de tráfego remoto do Cloud VPN precisa corresponder ao seletor de tráfego local do túnel no gateway da VPN local.

Referência de solução de problemas

Esta seção inclui uma lista de ícones e mensagens de status e uma lista de criptografias IKE compatíveis.

Ícones de status

O Cloud VPN usa os seguintes ícones de status no Console do Google Cloud Platform:

Imagem do ícone Cor Descrição Aplica-se às mensagens
Ícone verde de sucesso
Verde Sucesso ESTABELECIDO
Ícone de aviso amarelo
Amarelo Aviso ALOCANDO RECURSOS, PRIMEIRO HANDSHAKE, AGUARDANDO A CONFIGURAÇÃO COMPLETA, PROVISIONAMENTO
Ícone de erro vermelho
Vermelho Erro Qualquer outra mensagem

Mensagens de status

O Cloud VPN usa as mensagens de status abaixo para indicar o gateway da VPN e os estados do túnel. O túnel VPN é faturado para os estados indicados.

Message Descrição Túnel faturado nesse estado?
ALOCANDO RECURSOS Alocando recursos para configurar o túnel Sim
PROVISIONANDO Aguardando o recebimento de todas as configurações para configurar o túnel Não
AGUARDANDO A CONFIGURAÇÃO COMPLETA A configuração completa foi recebida, mas o túnel ainda não foi estabelecido Sim
PRIMEIRO HANDSHAKE Estabelecendo o túnel Sim
ESTABELECIDO Uma sessão de comunicação segura foi estabelecida com sucesso Sim
ERRO NA REDE
(substituído por NENHUM PACOTE DE ENTRADA)
Autorização de IPsec inválida Sim
ERRO DE AUTORIZAÇÃO Falha no handshake Sim
FALHA NA NEGOCIAÇÃO A configuração do túnel foi rejeitada, talvez devido à lista negra Sim
DESPROVISIONANDO O túnel está sendo desativado Não
NENHUM PACOTE DE ENTRADA O gateway não está recebendo nenhum pacote da VPN local Sim
REJEITADO A configuração do túnel foi rejeitada. Entre em contato com o Suporte. Sim
PARADO O túnel está parado e não está ativo. Provavelmente devido à exclusão de uma ou mais regras de encaminhamento necessárias para o túnel VPN. Sim

Criptografias IKE

Para cada papel, a opção mais segura atualmente compatível com o Cloud VPN está em negrito
Observação: o Cloud VPN opera no modo de túnel IPSec ESP

Criptografias IKEv2 aceitas
Fase Papel do código Código
Fase 1 Criptografia • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
Em algumas plataformas, os algoritmos GCM podem ter os octetos de parâmetros ICV (8, 12 e 16) especificados em bits (64, 96 e 128, respectivamente).
Integridade • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
Esses nomes variam dependendo da plataforma. Por exemplo, o HMAC-SHA2-512-256 pode ser citado apenas como SHA-512, descartando o número de comprimento do truncamento e outras informações irrelevantes.
Função pseudo-aleatória (PRF) • PRF-MD5-96
• PRF-SHA1-96
• PRF-AES-XCBC-96, PRF-AES-CMAC-96
• PRF-SHA2-256, PRF-SHA2-384, PRF-SHA2-512
Muitos dispositivos não exigem uma configuração de PRF explícita.
Diffie-Hellman (DH) • Grupo 2 (modp_1024), Grupo 5 (modp_1536), Grupo 14 (modp_2048), Grupo 15 (modp_3072), Grupo 16 (modp_4096)
• modp_1024s160, modp_2048s224, modp_2048s256
Ciclo de vida da Fase 1 36.000 segundos (10 horas)
Fase 2 Criptografia • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
Em algumas plataformas, os algoritmos GCM podem ter os octetos de parâmetros ICV (8, 12 e 16) especificados em bits (64, 96 e 128, respectivamente).
Integridade • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
Esses nomes variam dependendo da plataforma. Por exemplo, o HMAC-SHA2-512-256 pode ser citado apenas como SHA-512, descartando o número de comprimento do truncamento e outras informações irrelevantes.
Algoritmo PFS (obrigatório) • Grupo 2 (modp_1024), Grupo 5 (modp_1536), Grupo 14 (modp_2048), Grupo 15 (modp_3072), Grupo 16 (modp_4096), Grupo 18 (modp_8192)
• modp_1024s160, modp_2048s224, modp_2048s256
Diffie-Hellman (DH) Alguns dispositivos exigem um valor de DH para a Fase 2. Nesse caso, use o valor usado na Fase 1.
Ciclo de vida da Fase 2 10.800 segundos (3 horas)
Códigos IKEv1 aceitos
Fase Papel do código Código
Fase 1 Criptografia AES-CBC-128
Integridade HMAC-SHA1-96
Algoritmo PFS (obrigatório) Grupo 2 (modp_1024)
Função pseudo-aleatória (PRF) PRF-SHA1-96
Diffie-Hellman (DH) Grupo 2 (modp_1024)
Ciclo de vida da Fase 1 36.600 segundos (10 horas, 10 minutos)
Fase 2 Criptografia AES-CBC-128
Integridade HMAC-SHA1-96
Diffie-Hellman (DH) Alguns dispositivos exigem um valor de DH para a Fase 2. Nesse caso, use o valor usado na Fase 1.
Ciclo de vida da Fase 2 10.800 segundos (3 horas)

A seguir

Solução de problemas relacionados

  • Consulte a documentação do Stackdriver Logging para ver mais informações, incluindo como exportar registros e usar métricas baseadas em registros para monitoramento e recebimento de alertas.

Relacionado à VPN

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…