トラブルシューティング

このトラブルシューティング ガイドは、Cloud VPN に関する一般的な問題のモニタリングと解決に役立ちます。

それぞれのステータス メッセージと IKE 暗号のリファレンスが示す意味については、リファレンス セクションをご覧ください。

ログと指標の表示

ログと指標の表示をご覧ください。

エラー メッセージの確認

  1. Google Cloud Platform Console で VPN ページに移動します。
    [VPN] ページに移動
  2. 表示されているアイコンにカーソルを合わせると、エラー メッセージが表示されます。

多くの場合、エラー メッセージを確認することで問題を特定できます。問題を特定できない場合は、ログで詳細を確認してください。Google Cloud Platform Console の [トンネルの詳細] ページにもステータスの詳細情報が表示されます。

VPN ログの確認

Cloud VPN のログは Stackdriver Logging に保存されます。ロギングは自動的に行われ、手動で有効にする必要はありません。

接続のオンプレミス ゲートウェイ側のログを表示するには、ご使用のプロダクトのドキュメントをご覧ください。

多くの場合、ゲートウェイは正しく構成されますが、ホストとゲートウェイ間のオンプレミス ネットワークに問題があるか、オンプレミス ゲートウェイと Cloud VPN ゲートウェイ間のネットワークに問題があります。

Stackdriver Logging のページに移動

ログでは次の情報を確認します。

  1. Cloud VPN ゲートウェイでオンプレミス IP が正しく構成されていることを確認します。
  2. オンプレミス ホストから送信されるトラフィックが、オンプレミス ゲートウェイに到達していることを確認します。
  3. 2 つの VPN ゲートウェイ間で双方向のトラフィックが適切に送信されていることを確認します。VPN のログで、相手側の VPN ゲートウェイからの受信メッセージが記録されていることを確認します。
  4. 構成されている IKE が、トンネルの両側で同じバージョンであることを確認します。
  5. 共有シークレットがトンネルの両側で同じであることを確認します。
  6. オンプレミス VPN ゲートウェイが 1 対 1 NAT の背後に置かれている場合は、NAT デバイスで UDP トラフィックがオンプレミス VPN ゲートウェイのポート 500 と 4500 に転送されるように適切に構成されていることを確認します。オンプレミス ゲートウェイは、NAT デバイスのパブリック IP アドレスを使用して自身を識別するように構成する必要があります。詳細については、オンプレミス ゲートウェイが NAT の背後にある場合をご覧ください。
  7. VPN ログに no-proposal-chosen エラーがある場合、Cloud VPN とオンプレミス VPN ゲートウェイの暗号セットがくい違っていたことを示します。IKEv1 では暗号セットが正確に一致していなければなりません。IKEv2 では、各ゲートウェイによって少なくとも 1 つの共通の暗号が提示される必要があります。オンプレミス VPN ゲートウェイがサポートされている暗号を使用して構成されていることを確認してください。
  8. トラフィックがトンネルを通過できるように、オンプレミスおよび GCP ルートとファイアウォール ルールが構成されていることを確認します。必要に応じてネットワーク管理者に相談してください。

特定の問題を確認する場合は、次のような文字列をログで検索します。

  1. Google Cloud Platform Console のログビューアに移動します。
    ログビューアに移動
  2. [ラベルまたはテキスト検索でフィルタ] 検索ボックスで、右端にある三角形をクリックして、[高度なフィルタに変換] を選択します。
  3. 下の高度なフィルタのいずれかを使用して、特定のイベントを検索し、必要に応じて期間を調整します。
確認内容 Stackdriver での検索
Cloud VPN がフェーズ 1(IKE SA)を開始

resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN がリモートピアに接続できない

resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
IKE(フェーズ 1)認証イベント

resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
IKE 認証の成功

resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
フェーズ 1(IKE SA)の確立

resource.type="vpn_gateway"
("IKE_SA" AND "established between")
すべてのフェーズ 2(子 SA)イベント(鍵交換イベントを含む)

resource.type="vpn_gateway"
"CHILD_SA"
ピアがフェーズ 2 の鍵交換を要求

resource.type="vpn_gateway"
detected rekeying of CHILD_SA
ピアがフェーズ 2(子 SA)の終了を要求

resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
Cloud VPN がフェーズ 2(子 SA)の終了を要求

resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
Cloud VPN がフェーズ 2(子 SA)を終了(ピアに対するレスポンスなどで)

resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN がフェーズ 2 を終了

resource.type="vpn_gateway" CHILD_SA closed
リモートのトラフィック セレクタが一致しない

resource.type="vpn_gateway"
Remote traffic selectors narrowed
ローカルのトラフィック セレクタが一致しない

resource.type="vpn_gateway"
Local traffic selectors narrowed

接続の確認

ping を使用してオンプレミス システムと GCP VM 間の接続を確認する場合は、次の推奨事項を検討してください。

  • GCP ネットワークのファイアウォール ルールで受信 ICMP トラフィックが許可されていることを確認します。暗黙の下り許可ルールでは、このルールがオーバーライドされていない限り、ご使用のネットワークからの送信 ICMP トラフィックが許可されます。同様に、オンプレミスのファイアウォールも、受信と送信の ICMP トラフィックを許可するように構成されていることを確認します。

  • GCP VM とオンプレミス システムに対し、それぞれの内部 IP アドレスを使用して ping を行います。VPN ゲートウェイの外部 IP アドレスの ping では、トンネルを通過する接続はテストされません。

  • オンプレミスから GCP への接続をテストする場合、VPN ゲートウェイからではなく、ご使用のネットワーク上のシステムから ping を開始することをおすすめします。適切なソース インターフェースが設定されていればゲートウェイからの ping も可能ですが、ご使用のネットワーク上のインスタンスから ping を行うと、ファイアウォール構成をテストする利点があります。

  • ping テストでは、TCP ポートや UDP ポートが実際に開いているかどうかは検証されません。ping を使用してシステムの基本的な接続が確立されたことを確認したら、追加のテストを実施してください。

一般的な問題と解決策

トンネルが定期的に数秒間停止する

デフォルトの場合、Cloud VPN では既存の SA が期限切れになる前に交換用の SA がネゴシエートされます(鍵交換とも言います)。オンプレミス VPN ゲートウェイでは鍵交換が行われない場合があります。その場合、既存の SA の削除後に初めて新しい SA がネゴシエートされるため、中断が起こります。

オンプレミス ゲートウェイで鍵交換が行われたかどうかを確認するには、Cloud VPN のログを表示します。接続が切断され、Received SA_DELETE ログメッセージの直後に再接続された場合、オンプレミス ゲートウェイでは鍵交換は行われていません。

トンネル設定の確認には、サポートされている IKE の暗号のドキュメントをご覧ください。特に、フェーズ 2 のライフタイムが正しいこと、Diffie-Hellman(DH)グループが推奨値のいずれかに設定されていることを確認してください。

Stackdriver の高度なログフィルタを使用すると、Cloud VPN トンネルで発生したイベントを検索できます。たとえば、次のような高度なフィルタでは、DH グループの不一致が検索されます。

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

オンプレミス ゲートウェイが NAT の背後にある場合

Cloud VPN は NAT の背後にあるオンプレミス(ピア)VPN ゲートウェイに対応できます。これを可能にするのが UDP のカプセル化と NAT-T です。この場合、サポートされるのは 1 対 1 NAT のみです。

認証プロセスの一環として Cloud VPN ではピア ゲートウェイの ID が確認されます。Cloud VPN では、すべてのピア ゲートウェイは RFC 7815 に規定された ID_IPV4_ADDR ID タイプを使用して、自身を識別する必要があります。この場合、Cloud VPN トンネル用に構成されたパブリック IP(ピア ゲートウェイ)アドレスを使用します。

次のログメッセージは、ピア VPN ゲートウェイが誤ってプライベート IP アドレスを使用して自身を識別したことを示しています。この例では、[PEER GATEWAY PRIVATE IP] はプライベート IP アドレスであり、[PEER GATEWAY PUBLIC IP] はピア VPN ゲートウェイとインターネット間で使用される NAT 端末のパブリック IP アドレスです。

authentication of '[PEER GATEWAY PRIVATE IP]' with pre-shared key successful
constraint check failed: identity '[PEER GATEWAY PUBLIC IP]' required
selected peer config 'vpn_[PEER GATEWAY PUBLIC IP]' inacceptable: constraint checking failed

1 対 1 NAT を使用する場合、オンプレミス VPN ゲートウェイは、NAT 端末と同じパブリック IP アドレスを使用して自身を識別する必要があります。

  • ID タイプは ID_IPV4_ADDR (RFC 7815)でなければなりません。

  • 一部の Cisco デバイスでは、そのデバイスが使用している IP アドレス(内部アドレス)と異なる IP アドレスをデバイス ID に設定できない場合があります。たとえば、Cisco ASA デバイスは、その ID に別の(外部)IP アドレスを割り当てることをサポートしていません。そのため、Cloud VPN で 1 対 1 NAT を使用するように Cisco ASA デバイスを構成できません。

  • Juniper デバイスでは、set security ike gateway [NAME] local-identity inet [PUBLIC_IP] を使用してデバイスの ID を設定できます。[NAME] は VPN ゲートウェイの名前、[PUBLIC_IP] はパブリック IP アドレスです。詳細については、こちらの Juniper TechLibrary の記事をご覧ください。

接続が機能する VM と機能しない VM がある

pingtraceroute などのトラフィック送信方法が、特定の VM からオンプレミス システムに送信するときや、特定のオンプレミス システムから特定の GCP VM に送信するときにだけ機能する場合、送信するトラフィックが GCP とオンプレミスのどちらのファイアウォール ルールでもブロックされていないことが確認されていれば、トラフィック セレクタによって特定の送信元または送信先が除外されている可能性があります。

トラフィック セレクタでは VPN トンネルの IP アドレスの範囲が定義されます。実装されているほとんどの VPN では、ルートが決められるだけでなく、パケットの送信元がローカル トラフィック セレクタで指定された IP 範囲に入っていて、パケットの送信先がリモート トラフィック セレクタで指定された IP 範囲に入っているという条件が該当した場合にだけ、パケットがトンネルを通って渡されます。トラフィック セレクタは、ポリシーベースのルーティングまたはルートベースの VPN を使用して Cloud VPN トンネルを作成するときに指定します。また、対応するオンプレミス トンネルの作成時にも指定します。

ベンダーによっては、ローカル トラフィック セレクタの類義語として、ローカル プロキシ、ローカル暗号化ドメイン、左側のネットワークなどを使用する場合があります。同様に、リモート トラフィック セレクタの類義語には、リモート プロキシ、リモート暗号化ドメイン、右側のネットワークがあります。

Cloud VPN トンネルのトラフィック セレクタを変更するには、トンネルをいったん削除してから、再作成する必要があります。こうした操作が必要なのは、トラフィック セレクタがトンネルの作成処理に組み込まれていて、トンネルを後から編集できないためです。

トラフィック セレクタを定義する場合は、次のガイドラインを参考にしてください。

  • オンプレミス ネットワークと共有する VPC ネットワーク内のすべてのサブネットを、Cloud VPN トンネルのローカル トラフィック セレクタの対象に含める必要があります。
  • VPC ネットワークと共有するすべてのオンプレミス サブネットを、オンプレミス ネットワークのローカル トラフィック セレクタの対象に含める必要があります。
  • 各 VPN トンネルでは、トラフィック セレクタに次の関係が存在します。
    • Cloud VPN ローカル トラフィック セレクタは、オンプレミス VPN ゲートウェイ上のトンネルのリモート トラフィック セレクタと一致する必要があります。
    • Cloud VPN リモート トラフィック セレクタは、オンプレミス VPN ゲートウェイ上のトンネルのローカル トラフィック セレクタと一致する必要があります。

トラブルシューティングのリファレンス

このセクションでは、ステータス アイコンとステータス メッセージの一覧と、サポートされている IKE 暗号の一覧を示します。

ステータス アイコン

Cloud VPN では、Google Cloud Platform Console で次のステータス アイコンが使用されます。

アイコンの画像 説明 適用されるメッセージ
緑の成功のアイコン
成功 確立済み
黄色の警告アイコン
警告 [リソースを割り当てています]、[最初の handshake]、[完全に設定されるまで待機しています]、[プロビジョニング]
赤のエラーアイコン
エラー その他すべてのメッセージ

ステータス メッセージ

Cloud VPN では、次のステータス メッセージで VPN ゲートウェイとトンネルの状態を表します。示された状態に応じて、VPN トンネルの使用料金が課金されます。

メッセージ 説明 この状態で課金されるかどうか
リソースを割り当てています トンネルを設定するためにリソースを割り当てています。
プロビジョニング トンネルを設定するためのすべての構成を受信するのを待機しています。 ×
完全に設定されるまで待機しています 構成はすべて受信しましたが、トンネルはまだ確立されていません。
最初の handshake トンネルを確立中です。
確立済み 安全な通信セッションが正常に確立されました。
ネットワーク エラー
([受信パケットがありません] に置き換えられています)
IPsec の承認が正しく行われませんでした。
承認エラー handshake に失敗しました。
ネゴシエーション エラー トンネルの構成が承認されませんでした。ブラックリストに含まれているためだと考えられます。
プロビジョニング解除 トンネルがシャットダウンされています。 ×
受信パケットがありません ゲートウェイがオンプレミス VPN からパケットを受信していません。
拒否 トンネルの構成が拒否されました。サポートにお問い合わせください。
停止 トンネルは停止しており、アクティブではありません。VPN トンネルに必要な転送ルールが 1 つ以上削除されている可能性があります。

IKE 暗号

それぞれの役割に対して、Cloud VPN で現在サポートされているセキュリティ オプションのうち、最も安全性の高いものが太字で示されています。
注: Cloud VPN は IPSec ESP トンネルモードで動作します。

サポートされている IKEv2 の暗号
フェーズ 暗号の役割 暗号
フェーズ 1 暗号化 • 3DES
• AES-CBC-128、AES-CBC-192、AES-CBC-256
• AES-GCM-128-8、AES-GCM-192-8、AES-GCM-256-8
• AES-GCM-128-12、AES-GCM-192-12、AES-GCM-256-12
• AES-GCM-128-16、AES-GCM-192-16、AES-GCM-256-16
プラットフォームによっては、GCM アルゴリズムの ICV パラメータのオクテット数(8、12、16)がビット数(それぞれ 64、96、128)で指定される場合があります。
整合性 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96、AES-CMAC-96
• HMAC-SHA2-256-128、HMAC-SHA2-384-192、HMAC-SHA2-512-256
名前はプラットフォームごとに異なります。たとえば、HMAC-SHA2-512-256 は、切り捨ての長さの数値やその他の余分な情報を除去して単に SHA-512 と呼ばれる場合があります。
擬似ランダム関数(PRF) • PRF-MD5-96
• PRF-SHA1-96
• PRF-AES-XCBC-96、PRF-AES-CMAC-96
• PRF-SHA2-256、PRF-SHA2-384、PRF-SHA2-512
多くの端末では、PRF を明示的に設定する必要はありません。
Diffie-Hellman(DH) • グループ 2(modp_1024)、グループ 5(modp_1536)、グループ 14(modp_2048)、グループ 15(modp_3072)、グループ 16(modp_4096)
• modp_1024s160、modp_2048s224、modp_2048s256
フェーズ 1 のライフタイム 36,000 秒(10 時間)
フェーズ 2 暗号化 • 3DES
• AES-CBC-128、AES-CBC-192、AES-CBC-256
• AES-GCM-128-8、AES-GCM-192-8、AES-GCM-256-8
• AES-GCM-128-12、AES-GCM-192-12、AES-GCM-256-12
• AES-GCM-128-16、AES-GCM-192-16、AES-GCM-256-16
プラットフォームによっては、GCM アルゴリズムの ICV パラメータのオクテット数(8、12、16)がビット数(それぞれ 64、96、128)で指定される場合があります。
整合性 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96、AES-CMAC-96
• HMAC-SHA2-256-128、HMAC-SHA2-384-192、HMAC-SHA2-512-256
名前はプラットフォームごとに異なります。たとえば、HMAC-SHA2-512-256 は、切り捨ての長さの数値やその他の余分な情報を除去して単に SHA-512 と呼ばれる場合があります。
PFS アルゴリズム(必須) • グループ 2(modp_1024)、グループ 5(modp_1536)、グループ 14(modp_2048)、グループ 15(modp_3072)、グループ 16(modp_4096)、グループ 18(modp_8192)
• modp_1024s160、modp_2048s224、modp_2048s256
Diffie-Hellman(DH) 端末によってはフェーズ 2 で DH 値が必須になる場合があります。その場合はフェーズ 1 で使用した値を使用してください。
フェーズ 2 のライフタイム 10,800 秒(3 時間)
サポートされている IKEv1 の暗号
フェーズ 暗号の役割 暗号
フェーズ 1 暗号化 AES-CBC-128
整合性 HMAC-SHA1-96
PFS アルゴリズム(必須) グループ 2(modp_1024)
擬似ランダム関数(PRF) PRF-SHA1-96
Diffie-Hellman(DH) グループ 2(modp_1024)
フェーズ 1 のライフタイム 36,600 秒(10 時間 10 分)
フェーズ 2 暗号化 AES-CBC-128
整合性 HMAC-SHA1-96
Diffie-Hellman(DH) 端末によってはフェーズ 2 で DH 値が必須になる場合があります。その場合はフェーズ 1 で使用した値を使用してください。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

次のステップ

トラブルシューティング関連

  • ログの活用方法については、Logging ドキュメントをご覧ください。ログのエクスポート方法や、モニタリングとアラートでログベースの指標を使用する方法を確認できます。

VPN 関連

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...