Resolução de problemas

Este guia de resolução de problemas pode ajudar a monitorizar e resolver problemas comuns com o Cloud VPN.

Para interpretar as mensagens de estado e as referências de cifragem IKE, consulte a secção Referência.

Para encontrar informações de registo e monitorização, consulte o artigo Ver registos e métricas.

Para encontrar definições da terminologia usada nesta página, consulte os termos-chave da VPN na nuvem.

Mensagens de erro

Para verificar as mensagens de erro, siga estes passos:

  1. Na Google Cloud consola, aceda à página VPN.

    Aceda à VPN

  2. Se vir um ícone de estado, passe o cursor do rato sobre ele para ver a mensagem de erro.

Muitas vezes, a mensagem de erro pode ajudar a identificar o problema. Caso contrário, consulte os registos para ver mais informações. Pode encontrar informações detalhadas sobre o estado na Google Cloud consola, na página Detalhes do túnel.

Registos da VPN

Os registos da VPN na nuvem são armazenados no Cloud Logging. O registo é automático, pelo que não precisa de o ativar.

Para informações sobre a visualização de registos do lado do gateway de pares da sua ligação, consulte a documentação do produto.

Muitas vezes, os gateways estão configurados corretamente, mas existe um problema na rede de pares entre os anfitriões e o gateway, ou existe um problema com a rede entre o gateway de pares e o gateway da Cloud VPN.

Para verificar os registos, siga estes passos:

  1. Na Google Cloud consola, aceda à página Explorador de registos.

    Aceda ao Explorador de registos

  2. Verifique os registos para ver as seguintes informações:

    1. Verifique se o endereço IP do par remoto configurado no gateway da Cloud VPN está correto.
    2. Verifique se o tráfego proveniente dos seus anfitriões no local está a chegar ao gateway de pares.
    3. Verifique se o tráfego flui entre os dois gateways de VPN em ambas as direções. Nos registos da VPN, verifique se existem mensagens recebidas comunicadas do outro gateway da VPN.
    4. Verifique se as versões IKE configuradas são as mesmas em ambos os lados do túnel.
    5. Verifique se o segredo partilhado é o mesmo em ambas as extremidades do túnel.
    6. Se o seu gateway de VPN de pares estiver atrás de um NAT individual, certifique-se de que configurou corretamente o dispositivo NAT para encaminhar o tráfego UDP para o seu gateway de VPN de pares nas portas 500 e 4500.
    7. Se os registos da VPN apresentarem um erro no-proposal-chosen, este erro indica que a VPN na nuvem e o seu gateway VPN de pares não conseguiram chegar a acordo sobre um conjunto de cifras. Para o IKEv1, o conjunto de cifras tem de corresponder exatamente. Para o IKEv2, tem de existir, pelo menos, uma cifra comum proposta por cada gateway. Certifique-se de que usa cifras suportadas para configurar o gateway de VPN de intercâmbio.
    8. Certifique-se de que configura o seu par e as Google Cloud rotas e regras de firewall para que o tráfego possa atravessar o túnel. Pode ter de contactar o administrador de rede para obter ajuda.

  3. Para encontrar problemas específicos, pode pesquisar as seguintes strings nos registos:

    1. No painel Criador de consultas, introduza uma das consultas avançadas indicadas na tabela seguinte para pesquisar um evento específico e clique em Executar consulta.

    2. Ajuste o período no painel Histograma conforme necessário e, de seguida, clique em Executar no painel. Para mais detalhes sobre a utilização do Explorador de registos para consultas, consulte o artigo Criar consultas de registos.

      Para ver Use esta pesquisa de registo
      A Cloud VPN inicia a Fase 1 (SA IKE) 
      resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      O Cloud VPN não consegue contactar o par remoto 
      resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
      Eventos de autenticação IKE (fase 1) 
      resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      Autenticação IKE bem-sucedida 
      resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
      Fase 1 (SA IKE) estabelecida 
      resource.type="vpn_gateway"
("IKE_SA" AND "established between")
      Todos os eventos da fase 2 (SA secundário), incluindo eventos de nova associação 
      resource.type="vpn_gateway"
"CHILD_SA"
      O par pede uma nova introdução de chaves da fase 2 
      resource.type="vpn_gateway"
detected rekeying of CHILD_SA
      O par pede para terminar a fase 2 (conteúdo sexual infantil) 
      resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
      A VPN na nuvem pede para terminar a fase 2 (SA secundário) 
      resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
      O Cloud VPN fecha a fase 2 (SA secundário), talvez em resposta ao par 
      resource.type="vpn_gateway" closing CHILD_SA
      O Cloud VPN fechou a fase 2 automaticamente 
      resource.type="vpn_gateway" CHILD_SA closed
      Se os seletores de tráfego remoto não corresponderem 
      resource.type="vpn_gateway"
Remote traffic selectors narrowed
      Se os seletores de tráfego local não corresponderem 
      resource.type="vpn_gateway"
Local traffic selectors narrowed

Conetividade

Considere as seguintes sugestões quando usar o comando ping para validar a conetividade entre sistemas no local e instâncias de máquinas virtuais (VM): Google Cloud

  • Certifique-se de que as regras de firewall na sua rede Google Cloud permitem o tráfego ICMP de entrada. A regra implied allow egress permite o tráfego ICMP de saída da sua rede, a menos que a tenha substituído. Da mesma forma, certifique-se de que as regras da firewall no local também estão configuradas para permitir o tráfego ICMP de entrada e saída.

  • Use endereços IP internos para enviar ping Google Cloud a VMs e sistemas no local. O envio de pings para endereços IP externos de gateways VPN não testa a conetividade através do túnel.

  • Ao testar a conetividade do local para a Google Cloud, é melhor iniciar um ping a partir de um sistema na sua rede e não a partir do gateway de VPN. É possível enviar um ping a partir de um gateway se definir a interface de origem adequada, mas enviar um ping a partir de uma instância na sua rede tem a vantagem adicional de testar a configuração da firewall.

  • Os testes Ping não verificam se as portas TCP ou UDP estão abertas. Depois de confirmar que os sistemas têm conetividade básica, pode usar ping para fazer testes adicionais.

Calcule o débito da rede

Pode calcular o débito da rede nas localizações locais ou na nuvem de terceiros e para estas. Google Cloud Este recurso inclui informações sobre como analisar os resultados, explicações das variáveis que podem afetar o desempenho da rede e sugestões de resolução de problemas.

Problemas e soluções comuns

O túnel fica regularmente inativo durante alguns segundos

Por predefinição, o Cloud VPN negoceia uma associação de segurança (SA) de substituição antes de a existente expirar (também conhecida como renovação de chaves). O gateway de VPN de pares pode não estar a gerar novas chaves. Em alternativa, pode negociar um novo SA apenas depois de eliminar o SA existente, o que causa interrupções.

Para verificar se o gateway de intercâmbio volta a gerar chaves, consulte os registos da Cloud VPN. Se a ligação for interrompida e, em seguida, restabelecida imediatamente após uma mensagem de registo Received SA_DELETE, significa que a sua gateway no local não gerou novas chaves.

Para validar as definições do túnel, consulte o documento Cifras IKE suportadas. Em particular, certifique-se de que o tempo de vida da fase 2 está correto e que um grupo Diffie-Hellman (DH) está definido para um dos valores recomendados.

Para pesquisar eventos no seu túnel de VPN na nuvem, pode usar um filtro de registos avançado do Logging. Por exemplo, o seguinte filtro avançado pesquisa por incompatibilidades de grupos de DH:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Gateways no local atrás de NAT

O Cloud VPN pode funcionar com gateways de VPN no local ou de pares que estejam atrás de NAT. Isto é possível através da encapsulagem UDP e do NAT-T. Apenas é suportado o NAT um-para-um.

A conetividade funciona para algumas VMs, mas não para outras

Se ping, traceroute ou outros métodos de envio de tráfego funcionarem apenas de algumas VMs para os seus sistemas no local, ou apenas de alguns sistemas no local para algumasGoogle Cloud VMs, e tiver verificado que as regras de firewall no local e Google Cloud não estão a bloquear o tráfego que está a enviar, pode ter seletores de tráfego que excluem determinadas origens ou destinos.

Os seletores de tráfego definem os intervalos de endereços IP para um túnel VPN. Além das rotas, a maioria das implementações de VPN só passa pacotes através de um túnel se ambas as seguintes afirmações forem verdadeiras:

  • As respetivas origens enquadram-se nos intervalos de IP especificados no seletor de tráfego local.
  • Os respetivos destinos enquadram-se nos intervalos de IP especificados no seletor de tráfego remoto.

Especifica os seletores de tráfego quando cria um túnel de VPN clássica através do encaminhamento baseado em políticas ou de uma VPN baseada em rotas. Também especifica os seletores de tráfego quando cria o túnel correspondente.

Alguns fornecedores usam termos como proxy local, domínio de encriptação local ou rede do lado esquerdo como sinónimos de seletor de tráfego local. Da mesma forma, proxy remoto, domínio de encriptação remoto ou rede do lado direito são sinónimos de seletor de tráfego remoto.

Para alterar os seletores de tráfego de um túnel VPN clássico, tem de eliminar e recriar o túnel. Estes passos são necessários porque os seletores de tráfego são parte integrante da criação de túneis e não é possível editar os túneis posteriormente.

Use as seguintes diretrizes quando definir seletores de tráfego:

  • O seletor de tráfego local para o túnel da VPN do Google Cloud deve abranger todas as sub-redes na sua rede da nuvem virtual privada (VPC) que precisa de partilhar com a sua rede de pares.
  • O seletor de tráfego local para a sua rede de pares deve abranger todas as sub-redes no local que precisa de partilhar com a sua rede de VPC.
  • Para um determinado túnel de VPN, os seletores de tráfego têm a seguinte relação:
    • O seletor de tráfego local da Cloud VPN deve corresponder ao seletor de tráfego remoto do túnel no gateway de VPN de pares.
    • O seletor de tráfego remoto da Cloud VPN deve corresponder ao seletor de tráfego local do túnel no gateway de VPN de pares.

Problemas de latência de rede entre VMs em diferentes regiões

Para determinar se existem problemas de latência ou perda de pacotes, monitorize o desempenho de toda a Google Cloud rede. Na Google Cloud vista de desempenho, o painel de controlo de desempenho mostra as métricas de perda de pacotes e latência em todos os Google Cloud. Estas métricas podem ajudar a compreender se os problemas evidentes na vista de desempenho do projeto são exclusivos do seu projeto. Para mais detalhes, consulte o artigo Usar o painel de controlo de desempenho.

Não é possível ligar um gateway de VPN de HA a um gateway de VPN clássica

Não pode ligar um gateway de VPN de HA a um gateway de VPN clássica. Se tentar criar esta associação, Google Cloud é apresentada a seguinte mensagem de erro:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

Para evitar este erro, crie um túnel de VPN que ligue o gateway de VPN de HA a um dos seguintes:

  • Outro gateway de HA VPN
  • Um gateway de VPN externo que não está alojado em Google Cloud
  • Instâncias de máquinas virtuais (VMs) do Compute Engine

Não é possível estabelecer ligação ao destino externo através da VPN de HA

Quando usa um gateway de VPN de HA, Google Cloud os recursos usam o túnel de VPN para estabelecer ligação apenas aos destinos anunciados pelo router de pares.

Se não conseguir estabelecer ligação a um destino remoto, certifique-se de que o router de pares está a anunciar o intervalo de IP do destino.

O tráfego IPv6 não está a ser encaminhado

Se tiver dificuldades em estabelecer ligação a anfitriões IPv6, faça o seguinte:

  1. Verifique se as rotas IPv4 estão a ser anunciadas corretamente. Se as rotas IPv4 não estiverem a ser anunciadas, consulte o artigo Resolva problemas de rotas BGP e seleção de rotas.
  2. Inspeccione as regras da firewall para garantir que está a permitir tráfego IPv6.
  3. Verifique se não tem intervalos de sub-redes IPv6 sobrepostos na sua rede de VPC e na sua rede no local. Consulte o artigo Verifique intervalos de sub-redes sobrepostos.
  4. Determine se excedeu alguma quota e limite para as suas rotas aprendidas no Cloud Router. Se excedeu a sua quota de rotas aprendidas, os prefixos IPv6 são ignorados antes dos prefixos IPv4. Consulte o artigo Verificar quotas e limites.
  5. Verifique se todos os componentes que requerem configuração IPv6 foram configurados corretamente.
    • A rede VPC ativou a utilização de endereços IPv6 internos com a flag --enable-ula-internal-ipv6.
    • A sub-rede da VPC está configurada para usar o tipo de pilha IPV4_IPV6.
    • A sub-rede da VPC tem o valor --ipv6-access-type definido como INTERNAL.
    • As VMs do Compute Engine na sub-rede estão configuradas com endereços IPv6.
    • O gateway de VPN de alta disponibilidade está configurado para usar o IPV4_IPV6 tipo de pilha.
    • O ponto de troca BGP ativou o IPv6 e os endereços de próximo salto IPv6 corretos estão configurados para a sessão BGP.

Referência de resolução de problemas

Esta secção inclui informações acerca dos ícones de estado, das mensagens de estado e das cifras IKE suportadas.

Ícones de estado

A VPN do Google Cloud usa os seguintes ícones de estado na Google Cloud consola.

Gráfico de ícones Cor Descrição Aplica-se a mensagens
Ícone de sucesso verde
 Verde Concluído ESTABLISHED
Ícone de aviso amarelo
 Amarelo Aviso ALLOCATING RESOURCES, FIRST HANDSHAKE, WAITING FOR FULL CONFIG, PROVISIONING
Ícone de erro vermelho
 Vermelho Erro Todas as mensagens restantes

Mensagens de estado

Para indicar os estados do túnel e da porta de entrada da VPN, a Cloud VPN usa as seguintes mensagens de estado. O túnel VPN é faturado para os estados indicados.

Mensagem Descrição O túnel é cobrado neste estado?
ATRIBUIR RECURSOS Atribuir recursos para configurar o túnel. Sim
APROVISIONAMENTO A aguardar a receção de todas as configurações para configurar o túnel. Não
WAITING FOR FULL CONFIG Configuração completa recebida, mas ainda não foi estabelecido um túnel. Sim
FIRST HANDSHAKE A estabelecer o túnel. Sim
ESTABLISHED Uma sessão de comunicação segura é estabelecida com êxito. Sim
ERRO DE REDE
(substituído por NO INCOMING PACKETS)		 Autorização de IPsec incorreta. Sim
ERRO DE AUTORIZAÇÃO Falha no handshake. Sim
FALHA DE NEGOCIAÇÃO A configuração do túnel foi rejeitada. Isto pode dever-se à adição a uma lista de negação. Sim
DESAPROVISIONAMENTO O túnel está a ser encerrado. Não
SEM PACOTES RECEBIDOS O gateway não está a receber pacotes da VPN no local. Sim
REJEITADO A configuração do túnel foi rejeitada. Contacte o apoio técnico. Sim
PARADO O túnel está parado e não está ativo. Isto pode dever-se à eliminação de uma ou mais regras de encaminhamento necessárias para o túnel VPN. Sim

Referência de cifra IKE

O Cloud VPN suporta cifras e parâmetros de configuração para dispositivos VPN pares ou serviços VPN. A VPN na nuvem negoceia automaticamente a ligação, desde que o lado do par use uma definição de cifra IKE suportada.

Para ver a referência completa da cifra IKE, consulte o artigo Cifras IKE suportadas.

O que se segue?

  • Para saber mais sobre os conceitos básicos da Cloud VPN, consulte a vista geral da Cloud VPN.
  • Para encontrar informações sobre cenários de elevada disponibilidade, elevado débito ou vários cenários de sub-redes, consulte as configurações avançadas.