Soluciona problemas

En esta guía de solución de problemas, recibirás ayuda para supervisar y resolver problemas comunes de Cloud VPN.

Para interpretar los mensajes de estado y las referencias del algoritmo de cifrado IKE, consulta la sección Referencia.

Visualiza registros y métricas

Consulta Ver registros y métricas.

Comprueba mensajes de error

  1. Ve a la página de VPN en Google Cloud Console.
    Ir a la página de VPN
  2. Si ves un ícono, colocar el cursor sobre él para ver el mensaje de error.

En muchos casos, el mensaje de error puede ofrecer ayuda para detallar el problema. Si no es así, revisa los registros para obtener más información. También hay información de estado detallada en la página Detalles del túnel en Google Cloud Console.

Comprueba los registros de VPN

Los registros de Cloud VPN se almacenan en Cloud Logging. Logging es automático y no es necesario habilitarlo.

Para la puerta de enlace de intercambio de tráfico, consulta la documentación del producto a fin de obtener información sobre cómo ver los registros de ese lado de la conexión.

En muchos casos, las puertas de enlace están configuradas de forma correcta, pero hay un problema en la red de intercambio de tráfico entre los hosts y la puerta de enlace, o hay un problema con la red entre la puerta de enlace de intercambio de tráfico y la puerta de enlace de Cloud VPN.

Ir a la página Logging

Revisa los registros para ver la siguiente información:

  1. Verifica que la dirección IP de intercambio de tráfico remoto configurada en la puerta de enlace de Cloud VPN sea correcta.
  2. Verifica que el flujo de tráfico de los hosts locales llegue a la puerta de enlace de intercambio de tráfico.
  3. Verifica que el tráfico fluya entre las dos puertas de enlace de VPN en ambas direcciones. En los registros de VPN, verifica los mensajes entrantes que se informan desde la otra puerta de enlace de VPN.
  4. Verifica que las versiones de IKE configuradas sean las mismas en ambos lados del túnel.
  5. Comprueba que el secreto compartido sea el mismo en ambos lados del túnel.
  6. Si la puerta de enlace de VPN de intercambio de tráfico está detrás de NAT uno a uno, asegúrate de que el dispositivo NAT esté configurado de forma correcta para reenviar tráfico UDP a la puerta de enlace de VPN de intercambio de tráfico en los puertos 500 y 4500. La puerta de enlace de intercambio de tráfico se debe configurar para identificarse mediante la dirección IP pública del dispositivo NAT. Consulta la sección puertas de enlace locales detrás de NAT para obtener más detalles.
  7. Si en los registros de VPN se muestra un error no-proposal-chosen, esto indica que Cloud VPN y la puerta de enlace de VPN de intercambio de tráfico no pudieron acordar un conjunto de algoritmos de cifrado. Para IKEv1, el conjunto de algoritmos de cifrado debe coincidir por completo. Para IKEv2, debe haber al menos un algoritmo de cifrado común propuesto por cada puerta de enlace. Asegúrate de que la puerta de enlace de VPN de intercambio de tráfico esté configurada mediante algoritmos de cifrado admitidos.
  8. Verifica que las reglas de firewall y las rutas de intercambio de tráfico y de Google Cloud estén configuradas para que el tráfico pueda desviarse al túnel. Es posible que tengas que comunicarte con el administrador de red para obtener ayuda.

También puedes buscar en los registros las siguientes strings para encontrar problemas específicos:

  1. Ve al visor de registros en Google Cloud Console.
    Ir al visor de registros
  2. En el cuadro de búsqueda filtrar por etiqueta o texto, haz clic en el triángulo de divulgación que se encuentra en el extremo derecho y selecciona Convertir en filtro avanzado.
  3. Usa uno de los filtros avanzados que se mencionan a continuación para buscar un evento específico, y ajusta el período según sea necesario.
Para ver Usa esta búsqueda de Logging
Cloud VPN inicia la Fase 1 (SA de IKE)

resource.type="vpn_gateway"
    ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN no puede ponerse en contacto con un par remoto

resource.type="vpn_gateway"
    "establishing IKE_SA failed, peer not responding"
Eventos de autenticación (Fase 1) IKE

resource.type="vpn_gateway"
    ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
Autenticación IKE correcta

resource.type="vpn_gateway"
    ("authentication of" AND "with pre-shared key successful")
Fase 1 (IKE SA) establecida

resource.type="vpn_gateway"
    ("IKE_SA" AND "established between")
Todos los eventos de la Fase 2 (SA secundaria), incluidos los eventos de cambio de clave

resource.type="vpn_gateway"
    "CHILD_SA"
Par pide el cambio de clave de la Fase 2

resource.type="vpn_gateway"
    detected rekeying of CHILD_SA
Par pide terminar la Fase 2 (SA secundaria)

resource.type="vpn_gateway"
    received DELETE for ESP CHILD_SA
Cloud VPN solicita terminar la Fase 2 (SA secundaria)

resource.type="vpn_gateway"
    sending DELETE for ESP CHILD_SA
Cloud VPN cierra la Fase 2 (SA secundaria), tal vez en respuesta al par

resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN cerró la Fase 2 por sí solo

resource.type="vpn_gateway" CHILD_SA closed
Si los selectores de tráfico remotos no coinciden

resource.type="vpn_gateway"
    Remote traffic selectors narrowed
Si los selectores de tráfico locales no coinciden

resource.type="vpn_gateway"
    Local traffic selectors narrowed

Comprobación de la conectividad

Considera las siguientes sugerencias cuando verifiques la conectividad entre los sistemas locales y las VM de Google Cloud mediante ping:

  • Asegúrate de que las reglas de firewall de la red de Google Cloud permitan el tráfico de ICMP entrante. La regla de permiso de salida implícita permite el tráfico de ICMP saliente de la red, a menos que lo anules. Del mismo modo, asegúrate de que los firewalls locales también estén configurados para permitir el tráfico de ICMP entrante y saliente.

  • Haz ping en las VM de Google Cloud y en los sistemas locales mediante sus direcciones IP internas. Hacer ping en las direcciones IP externas de las puertas de enlace de VPN no prueba la conectividad a través del túnel.

  • Cuando pruebas la conectividad desde instalaciones locales a Google Cloud, es mejor iniciar un ping desde un sistema en la red, no desde la puerta de enlace de VPN. Hacer ping desde una puerta de enlace es posible si configuras la interfaz de origen adecuada, pero hacer ping desde una instancia en la red tiene el beneficio adicional de poder probar la configuración de firewall.

  • Las pruebas de ping no verifican que los puertos UDP o TCP estén abiertos en realidad. Debes realizar pruebas adicionales una vez que estableciste mediante ping que los sistemas tienen conectividad básica.

Calcula la capacidad de procesamiento de la red

Puedes calcular la capacidad de procesamiento de la red en Google Cloud y en las ubicaciones de nube locales o de terceros. El documento anterior incluye información sobre cómo analizar resultados, explicaciones de variables que pueden afectar el rendimiento de la red y sugerencias para la solución de problemas.

Problemas comunes y soluciones

Por lo general, el túnel se desconecta durante unos segundos

De forma predeterminada, Cloud VPN negocia una SA de reemplazo antes de que caduque la existente (lo que también se conoce como cambio de clave). Es posible que la puerta de enlace de VPN de intercambio de tráfico no esté cambiando la clave. En su lugar, podría negociar una SA nueva solo después de borrar la SA existente, lo que causará interrupciones.

Para verificar si la puerta de enlace de intercambio de tráfico cambia la clave, consulta los registros de Cloud VPN. Si la conexión se interrumpe y vuelve a establecerse justo después de un mensaje de registro Received SA_DELETE, la puerta de enlace local no cambió la clave.

Verifica la configuración del túnel mediante el documento Algoritmos de cifrado de IKE admitidos. En especial, asegúrate de que la duración de la fase 2 sea correcta, y de que un grupo de Diffie-Hellman (DH) esté configurado con uno de los valores recomendados.

Puedes usar un filtro de registro avanzado de Logging para buscar eventos en el túnel de Cloud VPN. Por ejemplo, mediante el siguiente filtro avanzado, se buscarán las faltas de coincidencias del grupo DH:

    resource.type="vpn_gateway"
    "Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"
    

Puertas de enlace locales detrás de NAT

Cloud VPN puede funcionar con puertas de enlace de VPN locales o de intercambio de tráfico que están detrás de NAT. Esto es posible gracias al encapsulamiento UDP y NAT-T, y solo se admite NAT uno a uno.

Como parte del proceso de autenticación, Cloud VPN verifica la identidad de la puerta de enlace de intercambio de tráfico. Cloud VPN espera que todas las puertas de enlace del par se identifiquen mediante el tipo de identidad ID_IPV4_ADDR según se especifica en RFC 7815 con la dirección IP pública (puerta de enlace de intercambio de tráfico) configurada para el túnel de Cloud VPN.

En los siguientes mensajes de registro, se indica que la puerta de enlace de VPN de intercambio de tráfico se identifica de forma incorrecta con una dirección IP privada. En este ejemplo, [PEER GATEWAY PRIVATE IP] es una dirección IP privada, y [PEER GATEWAY PUBLIC IP] es la dirección IP pública del dispositivo NAT entre la puerta de enlace de VPN de intercambio de tráfico y la Internet.

    authentication of '[PEER GATEWAY PRIVATE IP]' with pre-shared key successful
    constraint check failed: identity '[PEER GATEWAY PUBLIC IP]' required
    selected peer config 'vpn_[PEER GATEWAY PUBLIC IP]' inacceptable: constraint checking failed
    

Cuando se usa NAT uno a uno, la puerta de enlace de VPN local debe identificarse mediante la misma dirección IP pública del dispositivo NAT:

  • El tipo de identidad debe ser ID_IPV4_ADDR (RFC 7815).

  • No todos los dispositivos de Cisco admiten la configuración de una identidad de dispositivo para una dirección IP diferente de la que usa el dispositivo (su dirección interna). Por ejemplo, los dispositivos Cisco ASA no admiten la asignación de diferentes direcciones IP (externas) para sus identidades. Por lo tanto, los dispositivos Cisco ASA no pueden configurarse para usar NAT uno a uno con Cloud VPN.

  • Para los dispositivos Juniper, puedes establecer la identidad del dispositivo mediante set security ike gateway [NAME] local-identity inet [PUBLIC_IP], en el que [NAME] es el nombre de la puerta de enlace de VPN, y [PUBLIC_IP] es la dirección IP pública. Consulta este artículo de Juniper TechLibrary para obtener más detalles.

La conectividad funciona para algunas VM, pero no con otras

Si ping, traceroute o algún otro método de envío de tráfico funcionan solo desde algunas VM hasta tus sistemas locales, o desde solo algunos sistemas locales hasta algunas VM de Google Cloud, y ya verificaste que las reglas de firewall de Google Cloud y las locales no bloquean el tráfico que estás enviando, es posible que tengas selectores de tráfico que excluyen ciertas fuentes o destinos.

Los selectores de tráfico definen los rangos de direcciones IP para un túnel VPN. Además de las rutas, la mayoría de las implementaciones de VPN solo pasan paquetes a través de un túnel si sus fuentes se adaptan a los rangos de IP especificados en el selector de tráfico local, y si sus destinos se adaptan a los rangos de IP especificados en el selector de tráfico remoto. Especifica selectores de tráfico cuando creas un túnel de VPN clásica mediante el enrutamiento basado en políticas o una VPN basada en rutas. También puedes especificar selectores de tráfico cuando creas el túnel de intercambio de tráfico correspondiente.

Algunos proveedores usan términos como proxy local, dominio de encriptación local o red del lado izquierdo como sinónimos del selector de tráfico local. De manera similar, el proxy remoto, el dominio de encriptación remoto o la red del lado derecho son sinónimos del selector de tráfico remoto.

Para cambiar los selectores de tráfico de un túnel de VPN clásica, debes borrar y volver a crear el túnel. Esto es necesario porque los selectores de tráfico son una parte integral de la creación del túnel, y los túneles no se pueden editar más adelante.

Usa las siguientes pautas cuando definas los selectores de tráfico:

  • El selector de tráfico local del túnel de Cloud VPN debe abarcar todas las subredes de la red de VPC que necesitas compartir con la red de intercambio de tráfico.
  • El selector de tráfico local de la red de intercambio de tráfico debe abarcar todas las subredes locales que necesitas compartir con la red de VPC.
  • Para un túnel VPN específico, los selectores de tráfico tienen la siguiente relación:
    • El selector de tráfico local de Cloud VPN debe coincidir con el selector de tráfico remoto del túnel en la puerta de enlace de VPN de intercambio de tráfico.
    • El selector de tráfico remoto de Cloud VPN debe coincidir con el selector de tráfico local del túnel en la puerta de enlace de VPN de intercambio de tráfico.

Conecta las puertas de enlace de VPN clásica y de VPN con alta disponibilidad

Google Cloud no admite la creación de un túnel a partir de una puerta de enlace de VPN con alta disponibilidad que se conecte a una puerta de enlace de VPN clásica. Si intentas crear un recurso externalVpnGateway que tenga la dirección IP pública de una puerta de enlace de VPN clásica, Google Cloud mostrará el siguiente mensaje de error:

      You cannot provide an interface with an IP address owned by Google Cloud.
      You can only create tunnels from an HA gateway to an HA gateway
      or create tunnels from an HA gateway to an ExternalVpnGateway.
    

Se prevé que esto suceda. En su lugar, crea un túnel VPN que conecte una puerta de enlace de VPN con alta disponibilidad a otra puerta de enlace de VPN con alta disponibilidad.

Referencia de solución de problemas

En esta sección, se incluye una lista de íconos de estado, mensajes de estado y una lista de algoritmos de cifrado de IKE admitidos.

Íconos de estado

En Cloud VPN, se usan los siguientes íconos de estado en Google Cloud Console:

Gráfico del ícono Color Descripción Se aplica a los mensajes
Ícono de éxito color verde
Verde Listo ESTABLECIDO
Ícono de advertencia color amarillo
Amarillo Advertencia ASIGNACIÓN DE RECURSOS, PRIMER PROTOCOLO DE ENLACE, EN ESPERA DE CONFIGURACIÓN COMPLETA, APROVISIONAMIENTO
Ícono de error color rojo
Rojo Error Todos los mensajes restantes

Mensajes de estado

En Cloud VPN, se usan los siguientes mensajes de estado para indicar los estados del túnel y de la puerta de enlace de VPN. El túnel VPN se factura por los estados indicados.

Mensaje Descripción ¿El túnel se factura en este estado?
ASIGNANDO RECURSOS Asignación de recursos para configurar el túnel.
APROVISIONAMIENTO A la espera de recibir todas las configuraciones para configurar el túnel. No
ESPERANDO CONFIGURACIÓN COMPLETA Configuración completa recibida, pero aún no se establece un túnel.
PRIMER PROTOCOLO DE ENLACE Se establece el túnel.
ESTABLECIDO Se establece con éxito una sesión de comunicación segura.
ERROR DE RED
(reemplazado por SIN PAQUETES ENTRANTES)
Autorización incorrecta de IPsec.
ERROR DE AUTORIZACIÓN Falló el protocolo de enlace.
FALLA DE NEGOCIACIÓN Se rechazó la configuración del túnel; puede deberse a listas negras.
DESAPROVISIONAMIENTO El túnel se está cerrando. No
SIN PAQUETES ENTRANTES La puerta de enlace no recibe ningún paquete de la VPN local.
RECHAZADA Se rechazó la configuración del túnel, comunícate con el equipo de asistencia.
DETENIDO El túnel se detuvo y no está activo. Esto puede deberse a la eliminación de una o más reglas de reenvío requeridas para el túnel VPN.

Descripción general del algoritmo de cifrado IKE

Los siguientes algoritmos de cifrado IKE son compatibles con la VPN clásica y la VPN con alta disponibilidad. Hay dos secciones destinadas a IKEv2, una para algoritmos de cifrado en los que se usa la encriptación autenticada con datos asociados (AEAD), y otra para algoritmos de cifrado que no usan AEAD.

Algoritmos de cifrado IKEv2 que usan AEAD

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Integridad y encriptación
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
En esta lista, el primer número es el tamaño del parámetro ICV en bytes (octetos), y el segundo es la longitud de la clave en bits.

Algunos documentos pueden expresar el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128).
Función seudoaleatoria (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
Muchos dispositivos no requerirán una configuración PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en este orden. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.
Vida útil de la fase 1 36,000 segundos (10 horas) -

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Integridad y encriptación
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
La propuesta de Cloud VPN presenta los algoritmos en este orden. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.

Ten en cuenta que el primer número de cada algoritmo es el tamaño del parámetro ICV en bytes (octetos), y el segundo es la longitud de la clave en bits. En algunos documentos, podría expresarse el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128).
Algoritmo PFS (requerido)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en este orden. Cloud VPN acepta cualquier propuesta que tenga uno o más de estos algoritmos, en cualquier orden.
Diffie-Hellman (DH) Consulta la fase 1 Si la puerta de enlace de VPN requiere una configuración de DH para la fase 2, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas) -

Algoritmos de cifrado IKEv2 que no usan AEAD

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Encriptación
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
La propuesta de Cloud VPN presenta los algoritmos de encriptación simétrica en este orden. Cloud VPN acepta cualquier propuesta que use uno o más de estos algoritmos, en cualquier orden.
Integridad
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
La propuesta de Cloud VPN presenta los algoritmos HMAC en este orden. Cloud VPN acepta cualquier propuesta que tenga uno o más de estos algoritmos, en cualquier orden.

Es posible que en la documentación de la puerta de enlace de VPN local se use un nombre un poco diferente para el algoritmo. Por ejemplo, HMAC-SHA2-512-256 podría denominarse solo como SHA2-512 o SHA-512, lo que reduce el número de longitud de truncamiento y otra información innecesaria.
Función seudoaleatoria (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
Muchos dispositivos no requerirán una configuración PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en este orden. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Vida útil de la fase 1 36,000 segundos (10 horas) -

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Encriptación
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
La propuesta de Cloud VPN presenta los algoritmos de encriptación simétrica en este orden. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Integridad
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
La propuesta de Cloud VPN presenta los algoritmos HMAC en este orden. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.

Es posible que en la documentación de la puerta de enlace de VPN local se use un nombre un poco diferente para el algoritmo. Por ejemplo, HMAC-SHA2-512-256 podría denominarse solo como SHA2-512 o SHA-512, lo que reduce el número de longitud de truncamiento y otra información innecesaria.
Algoritmo PFS (requerido)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en este orden. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Diffie-Hellman (DH) Consulta la fase 1. Si la puerta de enlace de VPN requiere una configuración de DH para la fase 2, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas) -

Algoritmos de cifrado IKEv1

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado
Encriptación AES-CBC-128
Integridad HMAC-SHA1-96
Función seudoaleatoria (PRF) PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (Grupo 2)
Vida útil de la fase 1 36,600 segundos (10 horas, 10 minutos)

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado
Encriptación AES-CBC-128
Integridad HMAC-SHA1-96
Algoritmo PFS (requerido) modp_1024 (Grupo 2)
Diffie-Hellman (DH) Si necesitas especificar DH para la puerta de enlace de VPN, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas)

Próximos pasos

Solución de problemas relacionados

  • Consulta Documentación de Logging a fin de obtener más información, que incluye cómo exportar registros y usar métricas basadas en registros para supervisar y crear alertas.

Relacionado con VPN