トラブルシューティング

このトラブルシューティング ガイドは、Cloud VPN に関する一般的な問題のモニタリングと解決に役立ちます。

それぞれのステータス メッセージと IKE 暗号のリファレンスが示す意味については、リファレンス セクションをご覧ください。

ログと指標の表示

ログと指標の表示をご覧ください。

エラー メッセージの確認

  1. Google Cloud Console の [VPN] ページに移動します。
    [VPN] ページに移動
  2. 表示されているアイコンにカーソルを合わせると、エラー メッセージが表示されます。

多くの場合、エラー メッセージを確認することで問題を特定できます。問題を特定できない場合は、ログで詳細を確認してください。また、Google Cloud Console の [トンネルの詳細] ページにも詳しいステータス情報が記載されています。

VPN ログの確認

Cloud VPN ログは Cloud Logging に保存されます。 ロギングは自動的に行われ、手動で有効にする必要はありません。

ピア ゲートウェイ側の接続のログの表示に関する情報については、プロダクトのドキュメントをご覧ください。

多くの場合、ゲートウェイは正しく構成されますが、ホストとゲートウェイ間のピア ネットワークか、ピア ゲートウェイと Cloud VPN ゲートウェイ間のネットワークに問題があります。

[Logging] ページに移動

ログでは次の情報を確認します。

  1. Cloud VPN ゲートウェイに構成されているリモートピア IP アドレスが正しいことを確認します。
  2. オンプレミス ホストからのトラフィックがピア ゲートウェイに到達していることを確認します。
  3. 2 つの VPN ゲートウェイ間で双方向のトラフィックが適切に送信されていることを確認します。VPN のログで、相手側の VPN ゲートウェイからの受信メッセージが記録されていることを確認します。
  4. 構成されている IKE が、トンネルの両側で同じバージョンであることを確認します。
  5. 共有シークレットがトンネルの両側で同じであることを確認します。
  6. ピア VPN ゲートウェイが 1 対 1 の NAT の背後に置かれている場合、NAT デバイスで UDP トラフィックがピア VPN ゲートウェイのポート 500 と 4500 に転送されるように適切に構成されていることを確認します。ピア ゲートウェイは、NAT デバイスの外部 IP アドレスを使用して自身を識別するように構成される必要があります。詳細については、オンプレミス ゲートウェイが NAT の背後にある場合をご覧ください。
  7. VPN ログに no-proposal-chosen エラーが表示される場合、これは Cloud VPN とピア VPN ゲートウェイの暗号セットがくい違っていたことを示します。IKEv1 では暗号セットが正確に一致していなければなりません。IKEv2 では、各ゲートウェイによって少なくとも 1 つの共通の暗号が提示される必要があります。 ピア VPN ゲートウェイがサポートされている暗号を使用して構成されていることを確認してください。
  8. トラフィックがトンネルを通過できるように、ピアおよび Google Cloud ルートとファイアウォール ルールが構成されていることを確認します。必要に応じてネットワーク管理者に相談してください。

特定の問題を確認する場合は、次のような文字列をログで検索します。

  1. Google Cloud Console のログビューアに移動します。
    ログビューアに移動
  2. [ラベルまたはテキスト検索でフィルタ] 検索ボックスで、右端にある三角形をクリックして、[高度なフィルタに変換] を選択します。
  3. 下の高度なフィルタのいずれかを使用して、特定のイベントを検索し、必要に応じて期間を調整します。
確認内容 Logging での検索
Cloud VPN がフェーズ 1(IKE SA)を開始

resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN がリモートピアに接続できない

resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
IKE(フェーズ 1)認証イベント

resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
IKE 認証の成功

resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
フェーズ 1(IKE SA)の確立

resource.type="vpn_gateway"
("IKE_SA" AND "established between")
すべてのフェーズ 2(子 SA)イベント(鍵交換イベントを含む)

resource.type="vpn_gateway"
"CHILD_SA"
ピアがフェーズ 2 の鍵交換を要求

resource.type="vpn_gateway"
detected rekeying of CHILD_SA
ピアがフェーズ 2(子 SA)の終了を要求

resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
Cloud VPN がフェーズ 2(子 SA)の終了を要求

resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
Cloud VPN がフェーズ 2(子 SA)を終了(ピアに対するレスポンスなどで)

resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN がフェーズ 2 を終了

resource.type="vpn_gateway" CHILD_SA closed
リモートのトラフィック セレクタが一致しない

resource.type="vpn_gateway"
Remote traffic selectors narrowed
ローカルのトラフィック セレクタが一致しない

resource.type="vpn_gateway"
Local traffic selectors narrowed

接続の確認

ping を使用してオンプレミス システムと Google Cloud VM 間の接続を確認する場合は、次の点を考慮してください。

  • Google Cloud ネットワークのファイアウォール ルールで ICMP トラフィックの受信が許可されていることを確認します。暗黙の下り許可ルールでは、このルールがオーバーライドされていない限り、ご使用のネットワークからの送信 ICMP トラフィックが許可されます。同様に、オンプレミスのファイアウォールも、受信と送信の ICMP トラフィックを許可するように構成されていることを確認します。

  • 内部 IP アドレスを使用して Google Cloud VM とオンプレミス システムに ping を実行します。VPN ゲートウェイの外部 IP アドレスの ping では、トンネルを通過する接続はテストされません。

  • オンプレミスから Google Cloud への接続をテストする場合は、VPN ゲートウェイではなくネットワーク上のシステムから ping を開始することをおすすめします。適切なソース インターフェースが設定されていればゲートウェイからの ping も可能ですが、ご使用のネットワーク上のインスタンスから ping を行うと、ファイアウォール構成をテストできるという利点があります。

  • ping テストでは、TCP ポートや UDP ポートが実際に開いているかどうかは検証されません。ping を使用してシステムの基本的な接続が確立されたことを確認したら、追加のテストを実施してください。

ネットワーク スループットの計算

Google Cloud 内およびオンプレミスまたはサードパーティのクラウド ロケーションへのネットワーク スループットの計算ができます。上記のドキュメントには、結果の分析方法、ネットワーク パフォーマンスに影響する変数についての説明、トラブルシューティングのヒントなどが記載されています。

一般的な問題と解決策

トンネルが定期的に数秒間停止する

デフォルトの場合、Cloud VPN では既存の SA が期限切れになる前に交換用の SA がネゴシエートされます(鍵交換とも言います)。ピア VPN ゲートウェイでは鍵交換が行われない場合があります。その場合、既存の SA の削除後に初めて新しい SA がネゴシエートされるため、中断が起こります。

ピア ゲートウェイで鍵交換が行われたかどうかを確認するには、Cloud VPN のログを表示します。接続が切断され、Received SA_DELETE ログメッセージの直後に再確立された場合、オンプレミス ゲートウェイでは鍵交換は行われていません。

トンネル設定の確認には、サポートされている IKE の暗号のドキュメントをご覧ください。特に、フェーズ 2 のライフタイムが正しいこと、Diffie-Hellman(DH)グループが推奨値のいずれかに設定されていることを確認してください。

Cloud VPN トンネル内のイベントを検索するには、Logging 高度なログフィルタを使用します。たとえば、次のような高度なフィルタでは、DH グループの不一致が検索されます。

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

オンプレミス ゲートウェイが NAT の背後にある場合

Cloud VPN は NAT の背後にあるオンプレミス(ピア)VPN ゲートウェイに対応できます。これを可能にするのが UDP のカプセル化と NAT-T です。この場合、サポートされるのは 1 対 1 NAT のみです。

認証プロセスの一環として Cloud VPN ではピア ゲートウェイの ID が確認されます。Cloud VPN では、すべてのピア ゲートウェイは RFC 7815 に規定された ID_IPV4_ADDR ID タイプを使用して、自身を識別する必要があります。この場合、Cloud VPN トンネル用に構成されたパブリック IP(ピア ゲートウェイ)アドレスを使用します。

次のログメッセージは、ピア VPN ゲートウェイが誤ってプライベート IP アドレスを使用して自身を識別したことを示しています。この例では、[PEER GATEWAY PRIVATE IP] はプライベート IP アドレスで、[PEER GATEWAY PUBLIC IP] はピア VPN ゲートウェイとインターネット間の NAT デバイスの外部 IP アドレスです。

authentication of '[PEER GATEWAY PRIVATE IP]' with pre-shared key successful
constraint check failed: identity '[PEER GATEWAY PUBLIC IP]' required
selected peer config 'vpn_[PEER GATEWAY PUBLIC IP]' inacceptable: constraint checking failed

1 対 1 の NAT を使用する場合、オンプレミス VPN ゲートウェイは、NAT デバイスと同じ外部 IP アドレスを使用して自身を識別する必要があります。

  • ID タイプは ID_IPV4_ADDR(RFC 7815)でなければなりません。

  • 一部の Cisco デバイスでは、そのデバイスが使用している IP アドレス(内部アドレス)と異なる IP アドレスをデバイス ID に設定できない場合があります。たとえば、Cisco ASA デバイスは、その ID に別の(外部)IP アドレスを割り当てることをサポートしていません。そのため、Cloud VPN で 1 対 1 NAT を使用するように Cisco ASA デバイスを構成できません。

  • Juniper デバイスの場合、set security ike gateway [NAME] local-identity inet [PUBLIC_IP] を使用してデバイスの ID を設定できます。[NAME] は VPN ゲートウェイ名、[PUBLIC_IP] は外部 IP アドレスです。詳細については、Juniper TechLibrary のこちらの記事をご覧ください。

接続が機能する VM と機能しない VM がある

pingtraceroute などのトラフィック送信方法が、特定の VM からオンプレミス システムに送信するときや、特定のオンプレミス システムから特定の Google Cloud VM に送信するときにだけ機能する場合、送信するトラフィックが Google Cloud とオンプレミスのどちらのファイアウォール ルールでもブロックされていないことが確認されていれば、トラフィック セレクタによって特定の送信元または送信先が除外されている可能性があります。

トラフィック セレクタでは VPN トンネルの IP アドレスの範囲が定義されます。実装されているほとんどの VPN では、ルートが決められるだけでなく、パケットの送信元がローカル トラフィック セレクタで指定された IP 範囲に入っていて、パケットの送信先がリモート トラフィック セレクタで指定された IP 範囲に入っているという条件が該当した場合にだけ、パケットがトンネルを通って渡されます。トラフィック セレクタは、ポリシーベースのルーティングまたはルートベースの VPN を使用して Classic VPN トンネルを作成するときに指定します。また、対応するピア トンネルの作成時にもトラフィック セレクタを指定します。

ベンダーによっては、ローカル トラフィック セレクタの類義語として、ローカル プロキシ、ローカル暗号化ドメイン、左側のネットワークなどを使用する場合があります。同様に、リモート トラフィック セレクタの類義語には、リモート プロキシ、リモート暗号化ドメイン、右側のネットワークがあります。

Classic VPN トンネルのトラフィック セレクタを変更するには、トンネルを削除して、再作成する必要があります。こうした操作が必要なのは、トラフィック セレクタがトンネルの作成処理に組み込まれていて、トンネルを後から編集できないためです。

トラフィック セレクタを定義する場合は、次のガイドラインを参考にしてください。

  • ピア ネットワークと共有する必要がある VPC ネットワーク内のすべてのサブネットを、Cloud VPN トンネルのローカル トラフィック セレクタの対象に含める必要があります。
  • VPC ネットワークと共有する必要があるすべてのオンプレミス サブネットを、ピア ネットワークのローカル トラフィック セレクタの対象に含める必要があります。
  • 各 VPN トンネルでは、トラフィック セレクタに次の関係が存在します。
    • Cloud VPN ローカル トラフィック セレクタは、ピア VPN ゲートウェイのトンネルのリモート トラフィック セレクタと一致する必要があります。
    • Cloud VPN リモート トラフィック セレクタは、ピア VPN ゲートウェイ上のトンネルのローカル トラフィック セレクタと一致する必要があります。

Classic VPN と HA VPN ゲートウェイの接続

Google Cloud では、Classic VPN ゲートウェイに接続する HA VPN ゲートウェイからのトンネルの作成はサポートされていません。従来の VPN ゲートウェイの外部 IP アドレスを持つ externalVpnGateway リソースを作成しようとすると、Google Cloud は次のエラー メッセージが返されます。

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

これは想定されている動作です。代わりに、HA VPN ゲートウェイを別の HA VPN ゲートウェイに接続する VPN トンネルを作成します。

トラブルシューティングのリファレンス

このセクションでは、ステータス アイコンとステータス メッセージの一覧と、サポートされている IKE 暗号の一覧を示します。

ステータス アイコン

Cloud VPN では、Google Cloud Console で次のステータス アイコンが使用されます。

アイコンの画像 説明 適用されるメッセージ
緑の成功のアイコン
成功 確立済み
黄色の警告アイコン
警告 [リソースを割り当てています]、[最初の handshake]、[完全に構成されるまで待機しています]、[プロビジョニング]
赤のエラーアイコン
エラー その他すべてのメッセージ

ステータス メッセージ

Cloud VPN では、次のステータス メッセージで VPN ゲートウェイとトンネルの状態を表します。示された状態に応じて、VPN トンネルの使用料金が課金されます。

メッセージ 説明 この状態で課金されるかどうか
リソースを割り当てています トンネルを設定するためにリソースを割り当てています。
プロビジョニング トンネルを設定するためのすべての構成を受信するのを待機しています。 ×
完全に設定されるまで待機しています 構成はすべて受信しましたが、トンネルはまだ確立されていません。
最初の handshake トンネルを確立中です。
確立済み 安全な通信セッションが正常に確立されました。
ネットワーク エラー
([受信パケットがありません] に置き換えられています)
IPsec の承認が正しく行われませんでした。
承認エラー handshake に失敗しました。
ネゴシエーション エラー トンネルの構成が承認されませんでした。ブラックリストに含まれている可能性があります。
プロビジョニング解除 トンネルがシャットダウンされています。 ×
受信パケットがありません ゲートウェイがオンプレミス VPN からパケットを受信していません。
拒否 トンネルの構成が拒否されました。サポートにお問い合わせください。
停止 トンネルは停止しており、アクティブではありません。VPN トンネルに必要な転送ルールが 1 つ以上削除されている可能性があります。

IKE 暗号の概要

次の IKE 暗号は、Classic VPN と HA VPN でサポートされています。IKEv2 には 2 つのセクションがあります。1 つは関連データによる認証付き暗号(AEAD)を使用する暗号で、もう 1 つは AEAD を使用しない暗号です。

AEAD を使用する IKEv2 暗号

フェーズ 1

暗号の役割 暗号
暗号化と整合性
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
このリストで、最初の数値は ICV パラメータのサイズのバイト(オクテット)数で、2 番目の数値はキー長のビット数です。

一部のドキュメントでは、ICV パラメータ(最初の数値)はバイトの代わりにビットで表されます(8 は 64、12 は 96、16 は 128 になります)。
擬似ランダム関数(PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
多くのデバイスでは、PRF を明示的に設定する必要はありません。
Diffie-Hellman(DH)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
フェーズ 1 のライフタイム 36,000 秒(10 時間)

フェーズ 2

暗号の役割 暗号
暗号化と整合性
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
Cloud VPN のプロポーザルでは、これらのアルゴリズムを表示された順序で提示します。 Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。

各アルゴリズムの最初の数は、ICV パラメータのサイズのバイト(オクテット)数で、2 番目の数値はキー長のビット数です。一部のドキュメントでは、ICV パラメータ(最初の数値)はバイトの代わりにビットで表されます(8 は 64、12 は 96、16 は 128 になります)。
PFS アルゴリズム(必須)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を持つプロポーザルを任意の順序で受け入れます。
Diffie-Hellman(DH) フェーズ 1 を参照 VPN ゲートウェイがフェーズ 2 で DH 設定が必要な場合は、フェーズ 1 と同じ設定を使用します。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

AEAD を使用しない IKEv2 暗号

フェーズ 1

暗号の役割 暗号
暗号化
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
Cloud VPN のプロポーザルでは、これらの対称暗号化アルゴリズムを表示された順序で提示されます。Cloud VPN は、これらのアルゴリズム 1 つ以上を使用するプロポーザルを任意の順序で受け入れます。
整合性
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
Cloud VPN のプロポーザルでは、これらの HMAC アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上持つプロポーザルを任意の順序で受け入れます。

オンプレミス VPN ゲートウェイのドキュメントでは、アルゴリズムの名前が若干異なる場合があります。たとえば、HMAC-SHA2-512-256 は、切り捨てた長さの数値やその他余分な情報を除いて、単に SHA2-512 または SHA-512 と呼ばれる場合があります。
擬似ランダム関数(PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
多くのデバイスでは、PRF を明示的に設定する必要はありません。
Diffie-Hellman(DH)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
フェーズ 1 のライフタイム 36,000 秒(10 時間)

フェーズ 2

暗号の役割 暗号
暗号化
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Cloud VPN のプロポーザルでは、これらの対称暗号化アルゴリズムが表示された順序で提示されます。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
整合性
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
Cloud VPN のプロポーザルは、これらの HMAC アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。

オンプレミス VPN ゲートウェイのドキュメントでは、アルゴリズムの名前が若干異なる場合があります。たとえば、HMAC-SHA2-512-256 は、切り捨てた長さの数値やその他余分な情報を除いて、単に SHA2-512 または SHA-512 と呼ばれる場合があります。
PFS アルゴリズム(必須)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
Diffie-Hellman(DH) フェーズ 1 を参照。 VPN ゲートウェイがフェーズ 2 で DH 設定が必要な場合は、フェーズ 1 と同じ設定を使用します。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

IKEv1 暗号

フェーズ 1

暗号の役割 暗号
暗号化 AES-CBC-128
整合性 HMAC-SHA1-96
擬似ランダム関数(PRF) PRF-SHA1-96
Diffie-Hellman(DH) modp_1024(グループ 2)
フェーズ 1 のライフタイム 36,600 秒(10 時間 10 分)

フェーズ 2

暗号の役割 暗号
暗号化 AES-CBC-128
整合性 HMAC-SHA1-96
PFS アルゴリズム(必須) modp_1024(グループ 2)
Diffie-Hellman(DH) VPN ゲートウェイの DH を指定する場合は、フェーズ 1 と同じ設定を使用します。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

次のステップ

トラブルシューティング関連

  • ログの活用方法については、Logging ドキュメントをご覧ください。ログのエクスポート方法や、モニタリングとアラートでログベースの指標を使用する方法を確認できます。

VPN 関連