Questa guida alla risoluzione dei problemi può aiutarti a monitorare e risolvere i problemi comuni di Cloud VPN.
Per interpretare i messaggi di stato e i riferimenti alle chiavi IKE, consulta la sezione Riferimento.
Per trovare informazioni sul logging e sul monitoraggio, consulta Visualizzare i log e le metriche.
Per trovare le definizioni della terminologia utilizzata in questa pagina, consulta Termini chiave di Cloud VPN.
Messaggi di errore
Per controllare i messaggi di errore:
Nella console Google Cloud, vai alla pagina VPN.
Se noti un'icona di stato, passaci il mouse sopra per visualizzare l'errore .
Spesso il messaggio di errore può aiutarti a individuare il problema. In caso contrario, controlla i log per ulteriori informazioni. Puoi trovare informazioni dettagliate sullo stato Nella console Google Cloud, nella pagina Dettagli tunnel.
Log VPN
I log di Cloud VPN vengono archiviati in Cloud Logging. Il logging è automatico, quindi non è necessario attivarlo.
Per informazioni su come visualizzare i log per il lato del gateway peer della connessione, consulta la documentazione del prodotto.
Spesso i gateway sono configurati correttamente, ma si verifica un problema nella rete peer tra gli host e il gateway oppure nella rete tra il gateway peer e il gateway Cloud VPN.
Per controllare i log:
Nella console Google Cloud, vai alla pagina Esplora log.
Controlla nei log le seguenti informazioni:
- Verifica che l'indirizzo IP del peer remoto configurato sul gateway VPN Cloud sia corretto.
- Verifica che il traffico che fluisce dagli host on-premise raggiunga la un gateway peer.
- Verifica che il traffico fluisca tra i due gateway VPN in entrambe le direzioni. Nei log VPN, controlla se sono stati registrati messaggi in arrivo dall'altro gateway VPN.
- Verifica che le versioni IKE configurate siano le stesse su entrambi i lati della tunnel.
- Verifica che la chiave segreta condivisa sia la stessa su entrambi i lati del tunnel.
- Se il gateway VPN peer è protetto da NAT one-to-one, assicurati di avere
configurato correttamente il dispositivo NAT per inoltrare il traffico UDP al
gateway VPN peer sulle porte
500e4500. - Se nei log della VPN viene visualizzato un errore
no-proposal-chosen, questo errore indica che Cloud VPN e il gateway VPN peer non sono stati d'accordo su un insieme di crittografie. Per IKEv1, il set di crittografie deve corrispondere esattamente. Per IKEv2, deve esserci almeno una crittografia comune proposta da ogni gateway VPN ad alta disponibilità. Assicurati di utilizzare crittografia supportate e configurare il gateway VPN peer. - Assicurati di configurare le route e le regole del firewall del peer e di Google Cloud in modo che il traffico possa attraversare il tunnel. Potresti dover contattare l'amministratore di rete per ricevere assistenza.
Per trovare problemi specifici, puoi cercare nei log le seguenti stringhe:
- Nel riquadro Query Builder, inserisci una delle query avanzate elencate nella tabella seguente per cercare un determinato evento e fare clic su Esegui query.
Modifica il periodo di tempo nel riquadro Istogramma in base alle tue esigenze e poi fai clic su Esegui nel riquadro. Per maggiori dettagli sull'utilizzo di Esplora log per le query, consulta Creazione di query sui log.
Per visualizzare Utilizza questa ricerca di Logging Cloud VPN avvia la fase 1 (IKE SA) resource.type="vpn_gateway" ("initiating IKE_SA" OR "generating IKE_SA_INIT request")Cloud VPN non può contattare il peer remoto resource.type="vpn_gateway" "establishing IKE_SA failed, peer not responding"
Eventi di autenticazione IKE (fase 1) resource.type="vpn_gateway" ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")Autenticazione IKE riuscita resource.type="vpn_gateway" ("authentication of" AND "with pre-shared key successful")Fase 1 (IKE SA) stabilita resource.type="vpn_gateway" ("IKE_SA" AND "established between")Tutti gli eventi della Fase 2 (SA secondario), inclusi gli eventi di ricreazione della chiave resource.type="vpn_gateway" "CHILD_SA"
Il peer richiede la nuova chiave della fase 2 resource.type="vpn_gateway" detected rekeying of CHILD_SA
Il peer chiede di terminare la Fase 2 (account secondario bambino) resource.type="vpn_gateway" received DELETE for ESP CHILD_SA
Cloud VPN chiede di terminare la fase 2 (SA secondario) resource.type="vpn_gateway" sending DELETE for ESP CHILD_SA
Cloud VPN chiude la fase 2 (SA secondario), forse in risposta al peer resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN ha chiuso la Fase 2 resource.type="vpn_gateway" CHILD_SA closed
Se i selettori del traffico da remoto non corrispondono resource.type="vpn_gateway" Remote traffic selectors narrowed
Se i selettori del traffico locale non corrispondono resource.type="vpn_gateway" Local traffic selectors narrowed
Connettività
Valuta i seguenti suggerimenti quando utilizzi ping per verificare la connettività tra i sistemi on-premise e le istanze di macchine virtuali (VM) Google Cloud:
Assicurati che le regole firewall nella tua rete Google Cloud consentano e il traffico ICMP in entrata. Il valore implicito che consente il traffico regola ICMP in uscita dalla rete, a meno che tu non ne abbia eseguito l'override. Analogamente, assicurati che le regole del firewall on-premise siano configurate anche per consentire il traffico ICMP in entrata e in uscita.
Utilizza gli indirizzi IP interni per eseguire ping alle VM Google Cloud e ai sistemi on-premise. L'invio di ping agli indirizzi IP esterni dei gateway VPN non testa la connettività tramite il tunnel.
Quando si testa la connettività da on-premise a Google Cloud, avviare un ping da un sistema sulla tua rete, non dal gateway VPN. Il ping da un gateway è possibile se imposti l'origine appropriata ma il ping da un'istanza sulla tua rete ha il vantaggio aggiuntivo di testare la configurazione del firewall.
I test di
Pingnon verificano che le porte TCP o UDP siano aperte. Dopo ha stabilito che i sistemi hanno la connettività di base, puoi utilizzarepingper eseguire ulteriori test.
Calcolare la velocità effettiva di rete
Puoi calcolare il throughput della rete all'interno di Google Cloud e nelle tue sedi on-premise o cloud di terze parti. Questa risorsa include informazioni su come analizzare i risultati, spiegazioni delle variabili che possono influire sulle prestazioni di rete; suggerimenti per la risoluzione dei problemi.
Problemi e soluzioni comuni
Il tunnel si disconnette regolarmente per alcuni secondi
Per impostazione predefinita, Cloud VPN negozia un'associazione di sicurezza (SA) sostitutiva prima della scadenza di quella esistente (noto anche come cambio della chiave). La tua VPN peer il gateway potrebbe non essere effettuato con il rekeying. Potrebbe invece negoziare un nuovo SA solo dopo l'eliminazione dell'account di servizio esistente, causando interruzioni.
Per verificare se il gateway peer esegue la ricodificazione, visualizza i log Cloud VPN. Se la connessione si interrompe e si ricollega subito dopo un messaggio di log Received SA_DELETE, il gateway on-premise non ha eseguito la reimpostazione della chiave.
Per verificare le impostazioni del tunnel, consulta la documentazione IKE supportato crittografie. In particolare, verificare che la durata della Fase 2 sia corretta e che un impianto Diffie-Hellman (DH) sia impostato su uno dei valori consigliati.
Per cercare eventi nel tunnel Cloud VPN, puoi utilizzare un Filtro log avanzato di Logging. Ad esempio, le seguenti ricerche di filtri avanzati includono le corrispondenze errate dei gruppi DH:
resource.type="vpn_gateway" "Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"
Gateway on-premise dietro NAT
Cloud VPN può funzionare con gateway VPN on-premise o peer che dietro NAT. Ciò è reso possibile dall'incapsulamento UDP e da NAT-T. È supportato solo il NAT 1:1.
La connettività funziona per alcune VM, ma non per altre
Se ping, traceroute o altri metodi di invio del traffico funzionano solo da alcuni
delle VM ai tuoi sistemi on-premise o solo da alcuni sistemi on-premise ad alcuni
VM Google Cloud e hai verificato che Google Cloud e
le regole firewall on-premise non bloccano il traffico che stai inviando,
potresti avere selettori del traffico che escludono determinate sorgenti o destinazioni.
I selettori del traffico definiscono gli intervalli di indirizzi IP per un tunnel VPN. Nella oltre alle route, la maggior parte delle implementazioni VPN passa solo attraverso un tunnel se entrambe le seguenti condizioni sono vere:
- Le relative origini rientrano negli intervalli IP specificati nel selettore del traffico locale.
- Le relative destinazioni rientrano negli intervalli IP specificati nel selettore del traffico da remoto.
Puoi specificare i selettori del traffico quando crei un tunnel VPN classica utilizzando instradamento basato su criteri o su una VPN basata su route. Specifichi anche i selettori di traffico quando crei il tunnel peer corrispondente.
Alcuni fornitori utilizzano termini quali proxy locale, dominio di crittografia locale o network lato sinistro come sinonimi per selettore del traffico locale. Analogamente, i telecomandi proxy, dominio di crittografia remota o rete lato destro sono sinonimi di selettore del traffico da remoto.
Per modificare i selettori del traffico per un tunnel VPN classica, devi elimina e ricrea il tunnel. Questi passaggi sono obbligatori perché i selettori di traffico sono parte integrante della creazione dei tunnel e i tunnel non possono essere modificati in un secondo momento.
Attieniti alle linee guida che seguono quando definisci i selettori del traffico:
- Il selettore del traffico locale per il tunnel Cloud VPN deve coprire tutte le sottoreti della rete Virtual Private Cloud (VPC) che devi condividere con la rete peer.
- Il selettore del traffico locale per la rete peer dovrebbe riguardare tutti e subnet on-premise, che devi condividere con il tuo VPC in ogni rete.
- Per un determinato tunnel VPN, i selettori del traffico hanno la seguente relazione:
- Il selettore del traffico locale di Cloud VPN deve corrispondere al selettore selettore di traffico per il tunnel sul gateway VPN peer.
- Il selettore di traffico remoto Cloud VPN deve corrispondere al selettore di traffico locale per il tunnel sul gateway VPN peer.
Problemi di latenza di rete tra VM in regioni diverse
Per determinare se ci sono problemi di latenza o perdita di pacchetti, monitora il delle prestazioni dell'intera rete Google Cloud. Nella Visualizzazione prestazioni di Google Cloud, Performance Dashboard mostra il pacchetto e le metriche di perdita e latenza in tutto Google Cloud. Queste metriche possono aiutarti a capire se i problemi evidenti nel Performance Max sono specifiche per il tuo progetto. Per ulteriori dettagli, vedi Utilizzo di Performance Dashboard.
Impossibile connettere un gateway VPN ad alta disponibilità a un gateway VPN non ad alta disponibilità
Google Cloud non supporta la creazione di connessioni tunnel tra un gateway VPN ad alta disponibilità un gateway VPN ad alta disponibilità ospitato su Google Cloud. Questa limitazione include i gateway VPN classica e i gateway Gateway VPN in esecuzione sulle VM di Compute Engine.
Se tenti di farlo, Google Cloud restituisce il seguente messaggio di errore:
You cannot provide an interface with an IP address owned by Google Cloud. You can only create tunnels from an HA gateway to an HA gateway or create tunnels from an HA gateway to an ExternalVpnGateway.
Per evitare questo errore, crea un tunnel VPN che connetti Gateway VPN ad alta disponibilità connesso a uno dei seguenti servizi:
- Un altro gateway VPN ad alta disponibilità
- Un gateway VPN esterno non ospitato in Google Cloud.
Impossibile connettersi alla destinazione esterna tramite VPN ad alta disponibilità
Quando utilizzi un gateway VPN ad alta disponibilità, le risorse Google Cloud utilizzano il tunnel VPN per connettersi solo alle destinazioni annunciate dal router peer.
Se non riesci a connetterti a una destinazione remota, assicurati che il router peer stia pubblicizzando l'intervallo IP della destinazione.
Il traffico IPv6 non viene instradato
Se hai difficoltà a connetterti agli host IPv6, procedi nel seguente modo:
- Verifica che le route IPv4 vengano annunciate correttamente. Se le route IPv4 sono non sono annunciati, consulta Risolvere i problemi relativi alle route BGP e alla selezione delle route.
- Controlla le regole firewall per assicurarti di consentire il traffico IPv6.
- Verifica che nel tuo VPC non siano presenti intervalli di subnet IPv6 sovrapposti sulla tua rete on-premise e sulla tua rete on-premise. Vedi Verificare gli intervalli di subnet sovrapposti.
- Determina se hai superato le quote e i limiti per le route apprese nel router Cloud. Se hai superato la quota di route apprese, i prefissi IPv6 vengono eliminati prima dei prefissi IPv4. Consulta Controllare quote e limiti.
- Verifica che tutti i componenti che richiedono la configurazione IPv6 siano stati configurati
in modo corretto.
- La rete VPC ha attivato l'utilizzo di indirizzi IPv6 interni con il flag
--enable-ula-internal-ipv6. - La subnet VPC è configurata per utilizzare il tipo di stack
IPV4_IPV6. - La subnet VPC ha
--ipv6-access-typeimpostato suINTERNAL. - Le VM di Compute Engine nella subnet sono configurate con indirizzi IPv6.
- Il gateway VPN ad alta disponibilità è configurato per utilizzare il tipo di stack
IPV4_IPV6. - Il peer BGP ha attivato IPv6 e gli indirizzi IPv6 successivi corretti sono configurati per la sessione BGP.
- Per visualizzare lo stato e le route del router Cloud, consulta Visualizzare lo stato e le route del router Cloud.
- Per visualizzare la configurazione della sessione BGP, vedi Visualizzare la configurazione delle sessioni BGP.
- La rete VPC ha attivato l'utilizzo di indirizzi IPv6 interni con il flag
Risoluzione dei problemi
Questa sezione include informazioni su icone di stato, messaggi di stato e crittografie IKE supportate.
Icone di stato
Cloud VPN utilizza le seguenti icone di stato nella console Google Cloud.
| Immagine icona | Colore | Descrizione | Si applica ai messaggi |
|---|---|---|---|
 |
Verde | Operazione riuscita | COSTITUITA |
 |
Giallo | Avviso | ALLOCAZIONE DELLE RISORSE, PRIMA CHIAMATA, IN ATTESA DI CONFIGURAZIONE COMPLETA, PROVISIONING |
 |
Rosso | Errore | Tutti i messaggi rimanenti |
Messaggi di stato
Per indicare gli stati del gateway e del tunnel VPN, Cloud VPN utilizza i seguenti messaggi di stato. Il tunnel VPN viene fatturato per gli stati indicati.
| Messaggio | Descrizione | Tunnel fatturato in questo stato? |
|---|---|---|
| ALLOCAZIONE DELLE RISORSE | Allocazione delle risorse per configurare il tunnel. | Sì |
| PROVISIONING | In attesa di ricevere tutte le configurazioni per configurare il tunnel. | No |
| IN ATTESA DI CONFIGURAZIONE COMPLETA | Configurazione completa ricevuta, ma non è ancora stato stabilito un tunnel. | Sì |
| PRIMA STRUTTURA DI MANO | Creazione del tunnel. | Sì |
| COSTITUITA | Viene stabilita una sessione di comunicazione sicura. | Sì |
| ERRORE DI RETE (sostituito da NESSUN PACCHETTO IN ENTRATA) |
Autorizzazione IPsec non valida. | Sì |
| ERRORE DI AUTORIZZAZIONE | Stretta di mano non riuscita. | Sì |
| ERRORE DI NEGOZIAZIONE | La configurazione del tunnel è stata rifiutata. a causa dell'aggiunta a una lista bloccata. | Sì |
| DEPROVISIONING IN CORSO... | Il tunnel è in fase di arresto. | No |
| NESSUN PACCHETTO IN ARRIVO | Il gateway non riceve pacchetti dalla VPN on-premise. | Sì |
| RIFIUTATO | La configurazione del tunnel è stata rifiutata. contatta l'assistenza. | Sì |
| INTERROTTA | Il tunnel è fermo e non attivo. Può essere dovuto all'eliminazione di una o più regole di inoltro richieste per il tunnel VPN. | Sì |
Riferimento alla crittografia IKE
Cloud VPN supporta le crittografie e i parametri di configurazione per i dispositivi VPN peer o i servizi VPN. Cloud VPN negozia automaticamente la connessione se il lato peer utilizza un'impostazione di crittografia IKE supportata.
Per informazioni complete sulla crittografia IKE, consulta Crittografia IKE supportata.
Passaggi successivi
- Per conoscere i concetti base di Cloud VPN, consulta Panoramica di Cloud VPN.
- Per informazioni su scenari di alta disponibilità, ad alto throughput o con più sottoreti, consulta Configurazioni avanzate.