Solución de problemas

Esta guía de solución de problemas puede ayudarte a monitorizar y resolver problemas habituales con Cloud VPN.

Para interpretar los mensajes de estado y las referencias de cifrado IKE, consulta la sección Referencia.

Para obtener información sobre los registros y la monitorización, consulta Ver registros y métricas.

Para consultar las definiciones de los términos que se usan en esta página, consulta Términos clave de Cloud VPN.

Mensajes de error

Para consultar los mensajes de error, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página VPN.

    Ir a VPN

  2. Si ves un icono de estado, coloca el cursor sobre él para ver el mensaje de error.

A menudo, el mensaje de error puede ayudarte a identificar el problema. Si no es así, consulta los registros para obtener más información. Puedes encontrar información detallada sobre el estado en la Google Cloud consola, en la página Detalles del túnel.

Registros de VPN

Los registros de Cloud VPN se almacenan en Cloud Logging. El registro es automático, por lo que no es necesario que lo habilites.

Para obtener información sobre cómo ver los registros del lado de la pasarela peer de tu conexión, consulta la documentación del producto.

A menudo, las pasarelas están configuradas correctamente, pero hay un problema en la red de la otra organización entre los hosts y la pasarela, o bien hay un problema con la red entre la pasarela de la otra organización y la pasarela de Cloud VPN.

Para consultar los registros, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Explorador de registros.

    Ir a Explorador de registros

  2. Consulta los registros para obtener la siguiente información:

    1. Verifica que la dirección IP del par remoto configurada en la pasarela de Cloud VPN sea correcta.
    2. Verifica que el tráfico que fluye de tus hosts locales llega a la pasarela de peer.
    3. Verifica que el tráfico fluya entre las dos pasarelas VPN en ambas direcciones. En los registros de la VPN, busca los mensajes entrantes notificados de la otra pasarela VPN.
    4. Comprueba que las versiones de IKE configuradas sean las mismas en ambos extremos del túnel.
    5. Comprueba que el secreto compartido sea el mismo en ambos extremos del túnel.
    6. Si tu pasarela de VPN de par está detrás de una NAT de uno a uno, asegúrate de haber configurado correctamente el dispositivo NAT para reenviar el tráfico UDP a tu pasarela de VPN de par en los puertos 500 y 4500.
    7. Si los registros de la VPN muestran un error no-proposal-chosen, significa que Cloud VPN y tu pasarela VPN de par no han podido acordar un conjunto de cifrados. En IKEv1, el conjunto de cifrados debe coincidir exactamente. En el caso de IKEv2, debe haber al menos un cifrado común propuesto por cada gateway. Asegúrate de usar cifrados compatibles para configurar tu pasarela de VPN de par.
    8. Asegúrate de configurar las rutas y el cortafuegos de tu peer para que el tráfico pueda atravesar el túnel. Google Cloud Es posible que tengas que ponerte en contacto con el administrador de tu red para obtener ayuda.

  3. Para encontrar problemas específicos, puedes buscar las siguientes cadenas en tus registros:

    1. En el panel Generador de consultas, introduce una de las consultas avanzadas que se indican en la siguiente tabla para buscar un evento concreto y haz clic en Ejecutar consulta.

    2. Ajusta el periodo en el panel Histograma según sea necesario y, a continuación, haz clic en Ejecutar en el panel. Para obtener más información sobre cómo usar el Explorador de registros para hacer consultas, consulta el artículo Crear consultas de registro.

      Para ver Usar esta búsqueda de Logging
      Cloud VPN inicia la fase 1 (SA de IKE) 
      resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      Cloud VPN no puede ponerse en contacto con el peer remoto 
      resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
      Eventos de autenticación IKE (fase 1) 
      resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      Autenticación IKE correcta 
      resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
      Fase 1 (SA de IKE) establecida 
      resource.type="vpn_gateway"
("IKE_SA" AND "established between")
      Todos los eventos de la fase 2 (SA secundario), incluidos los eventos de cambio de clave 
      resource.type="vpn_gateway"
"CHILD_SA"
      El otro participante pide que se vuelva a generar la clave de la fase 2 
      resource.type="vpn_gateway"
detected rekeying of CHILD_SA
      Peer asks to terminate Phase 2 (Child SA) 
      resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
      Cloud VPN pide que se termine la fase 2 (SA secundario) 
      resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
      Cloud VPN cierra la fase 2 (SA secundario), quizás en respuesta al peer 
      resource.type="vpn_gateway" closing CHILD_SA
      Cloud VPN ha cerrado la fase 2 por sí misma 
      resource.type="vpn_gateway" CHILD_SA closed
      Si los selectores de tráfico remotos no coinciden 
      resource.type="vpn_gateway"
Remote traffic selectors narrowed
      Si los selectores de tráfico local no coinciden 
      resource.type="vpn_gateway"
Local traffic selectors narrowed

Conectividad

Ten en cuenta las siguientes sugerencias al usar ping para verificar la conectividad entre los sistemas locales y las instancias de Google Cloud máquina virtual (VM):

  • Asegúrate de que las reglas del cortafuegos de tu Google Cloud red permitan el tráfico ICMP entrante. La regla de salida implícita permitir permite el tráfico ICMP saliente de tu red, a menos que la hayas anulado. Del mismo modo, asegúrate de que las reglas de tu cortafuegos local también estén configuradas para permitir el tráfico ICMP entrante y saliente.

  • Usa direcciones IP internas para hacer ping a las Google Cloud máquinas virtuales y los sistemas locales. Hacer ping a las direcciones IP externas de las pasarelas VPN no prueba la conectividad a través del túnel.

  • Cuando pruebes la conectividad desde las instalaciones locales a Google Cloud, lo mejor es iniciar un ping desde un sistema de tu red, no desde tu puerta de enlace VPN. Puedes hacer ping desde una pasarela si configuras la interfaz de origen adecuada, pero hacer ping desde una instancia de tu red tiene la ventaja adicional de probar la configuración del cortafuegos.

  • Las pruebas Ping no verifican que los puertos TCP o UDP estén abiertos. Una vez que hayas comprobado que los sistemas tienen conectividad básica, puedes usar ping para hacer pruebas adicionales.

Calcular el rendimiento de la red

Puedes calcular el rendimiento de la red en Google Cloud y en tus ubicaciones locales o en la nube de terceros. Este recurso incluye información sobre cómo analizar los resultados, explicaciones de las variables que pueden afectar al rendimiento de la red y consejos para solucionar problemas.

Problemas y soluciones comunes

El túnel se cae con regularidad durante unos segundos

De forma predeterminada, Cloud VPN negocia una asociación de seguridad (SA) de sustitución antes de que caduque la actual (también conocida como cambio de clave). Es posible que la puerta de enlace de tu VPN de punto a punto no esté cambiando las claves. En su lugar, podría negociar un nuevo SA solo después de eliminar el SA actual, lo que provocaría interrupciones.

Para comprobar si tu pasarela de par cambia las claves, consulta los registros de Cloud VPN. Si la conexión se interrumpe y se restablece justo después de un mensaje de registro Received SA_DELETE, significa que tu pasarela local no ha cambiado la clave.

Para verificar la configuración del túnel, consulta el documento Cifrados IKE admitidos. En concreto, asegúrate de que el tiempo de vida de la fase 2 sea correcto y de que el grupo Diffie-Hellman (DH) tenga uno de los valores recomendados.

Para buscar eventos en tu túnel de Cloud VPN, puedes usar un filtro de registro avanzado de Logging. Por ejemplo, el siguiente filtro avanzado busca las discrepancias de grupos de DH:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Pasarelas on-premise detrás de NAT

Cloud VPN puede funcionar con pasarelas VPN locales o de pares que estén detrás de NAT. Esto es posible gracias a la encapsulación UDP y a NAT-T. Solo se admite NAT de uno a uno.

La conectividad funciona en algunas máquinas virtuales, pero no en otras

Si ping, traceroute u otros métodos de envío de tráfico solo funcionan desde algunas máquinas virtuales a tus sistemas on-premise, o solo desde algunos sistemas on-premise a algunas máquinas virtualesGoogle Cloud , y has verificado que las reglas de firewall Google Cloud y on-premise no bloquean el tráfico que envías, es posible que tengas selectores de tráfico que excluyan determinadas fuentes o destinos.

Los selectores de tráfico definen los intervalos de direcciones IP de un túnel VPN. Además de las rutas, la mayoría de las implementaciones de VPN solo transfieren paquetes a través de un túnel si se cumplen estas dos condiciones:

  • Sus fuentes se ajustan a los intervalos de IP especificados en el selector de tráfico local.
  • Sus destinos se encuentran dentro de los intervalos de IP especificados en el selector de tráfico remoto.

Los selectores de tráfico se especifican al crear un túnel de VPN clásica mediante enrutamiento basado en políticas o una VPN basada en rutas. También puedes especificar selectores de tráfico al crear el túnel entre pares correspondiente.

Algunos proveedores usan términos como proxy local, dominio de cifrado local o red del lado izquierdo como sinónimos de selector de tráfico local. Del mismo modo, remote proxy, remote encryption domain o right side network son sinónimos de remote traffic selector.

Para cambiar los selectores de tráfico de un túnel de VPN clásica, debes eliminar y volver a crear el túnel. Estos pasos son obligatorios porque los selectores de tráfico son una parte fundamental de la creación de túneles y los túneles no se pueden editar más adelante.

Sigue estas directrices al definir selectores de tráfico:

  • El selector de tráfico local del túnel de VPN de Cloud debe cubrir todas las subredes de tu red de nube privada virtual (VPC) que necesites compartir con tu red de emparejamiento.
  • El selector de tráfico local de tu red de peer debe cubrir todas las subredes locales que necesites compartir con tu red de VPC.
  • En un túnel VPN determinado, los selectores de tráfico tienen la siguiente relación:
    • El selector de tráfico local de Cloud VPN debe coincidir con el selector de tráfico remoto del túnel de tu pasarela VPN de par.
    • El selector de tráfico remoto de Cloud VPN debe coincidir con el selector de tráfico local del túnel de tu pasarela VPN de par.

Problemas de latencia de red entre máquinas virtuales de diferentes regiones

Para determinar si hay problemas de latencia o pérdida de paquetes, monitoriza el rendimiento de toda la Google Cloud red. En la Google Cloud vista de rendimiento, el panel de rendimiento muestra las métricas de pérdida de paquetes y latencia de todos los Google Cloud. Estas métricas pueden ayudarte a determinar si los problemas que se observan en la vista de rendimiento del proyecto son exclusivos de tu proyecto. Para obtener más información, consulta el artículo Usar el panel de control de rendimiento.

No se puede conectar una pasarela de VPN de alta disponibilidad a una pasarela de VPN clásica

No puedes conectar una pasarela de VPN de alta disponibilidad a una pasarela de VPN clásica. Si intentas crear esta conexión,Google Cloud devuelve el siguiente mensaje de error:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

Para evitar este error, crea un túnel VPN que conecte tu pasarela de VPN de alta disponibilidad con una de las siguientes opciones:

  • Otra pasarela de VPN de alta disponibilidad
  • Una pasarela de VPN externa que no esté alojada en Google Cloud
  • Instancias de máquina virtual (VM) de Compute Engine

No se puede conectar con un destino externo a través de una VPN de alta disponibilidad

Cuando usas una pasarela de VPN de alta disponibilidad, Google Cloud los recursos utilizan el túnel VPN para conectarse solo a los destinos que anuncia el router de emparejamiento.

Si no puedes conectarte a un destino remoto, asegúrate de que el router peer esté anunciando el intervalo de direcciones IP del destino.

No se está enrutando el tráfico IPv6

Si tienes problemas para conectarte a hosts IPv6, haz lo siguiente:

  1. Verifica que las rutas IPv4 se anuncian correctamente. Si no se anuncian las rutas IPv4, consulta el artículo Solucionar problemas de rutas BGP y selección de rutas.
  2. Inspecciona las reglas de cortafuegos para asegurarte de que permites el tráfico IPv6.
  3. Comprueba que no haya intervalos de subredes IPv6 superpuestos en tu red de VPC y en tu red local. Consulta Comprobar intervalos de subredes superpuestos.
  4. Determina si has superado alguna cuota o límite de las rutas aprendidas en Cloud Router. Si has superado tu cuota de rutas aprendidas, los prefijos IPv6 se descartarán antes que los prefijos IPv4. Consulta Comprobar cuotas y límites.
  5. Comprueba que todos los componentes que requieren configuración IPv6 se han configurado correctamente.
    • La red de VPC ha habilitado el uso de direcciones IPv6 internas con la marca --enable-ula-internal-ipv6.
    • La subred de VPC está configurada para usar el tipo de pila IPV4_IPV6.
    • La subred de VPC tiene el valor --ipv6-access-type en INTERNAL.
    • Las VMs de Compute Engine de la subred están configuradas con direcciones IPv6.
    • La pasarela de VPN de alta disponibilidad está configurada para usar el tipo de pila IPV4_IPV6.
    • El peer de BGP ha habilitado IPv6 y se han configurado las direcciones IPv6 correctas del siguiente salto para la sesión de BGP.

Referencia para solucionar problemas

Esta sección incluye información sobre los iconos de estado, los mensajes de estado y los cifrados IKE admitidos.

Iconos de estado

Cloud VPN usa los siguientes iconos de estado en la consola de Google Cloud .

Icono Color Descripción Se aplica a los mensajes
Icono de éxito verde
 Verde Correcto ESTABLECIDA
Icono de advertencia amarillo
 Amarillo Advertencia ALLOCATING RESOURCES, FIRST HANDSHAKE, WAITING FOR FULL CONFIG, PROVISIONING
Icono de error rojo
 Rojo Error Todos los mensajes restantes

Mensajes de estado

Para indicar los estados de las pasarelas y los túneles VPN, Cloud VPN usa los siguientes mensajes de estado. El túnel VPN se factura según los estados indicados.

Mensaje Descripción ¿Se factura el túnel en este estado?
ASIGNAR RECURSOS Asignando recursos para configurar el túnel.
APROVISIONAR Esperando recibir todas las configuraciones para configurar el túnel. No
WAITING FOR FULL CONFIG Se ha recibido la configuración completa, pero aún no se ha establecido un túnel.
PRIMER HANDSHAKE Estableciendo el túnel.
ESTABLECIDA Se ha establecido correctamente una sesión de comunicación segura.
ERROR DE RED
(sustituido por NO INCOMING PACKETS)		 Autorización IPsec incorrecta.
ERROR DE AUTORIZACIÓN Error de handshake.
NEGOTIATION_FAILURE Se ha rechazado la configuración de túnel. Puede deberse a que se ha añadido a una lista de denegación.
DEPROVISIONING El túnel se está cerrando. No
NO INCOMING PACKETS La pasarela no recibe ningún paquete de la VPN on-premise.
RECHAZADO Se ha rechazado la configuración de túnel. Ponte en contacto con el equipo de Asistencia.
DETENIDA El túnel se ha detenido y no está activo. Esto puede deberse a que se han eliminado una o varias reglas de reenvío obligatorias para el túnel VPN.

Referencia de cifrado IKE

Cloud VPN admite cifrados y parámetros de configuración para dispositivos VPN de la misma red o servicios de VPN. Cloud VPN negocia automáticamente la conexión siempre que el otro extremo use un ajuste de cifrado IKE compatible.

Para consultar la referencia completa de los algoritmos de cifrado IKE, consulta Algoritmos de cifrado IKE compatibles.

Siguientes pasos