Dépannage

Ce guide de dépannage vous aide à surveiller l'utilisation de Cloud VPN, et à résoudre les problèmes courants que vous pouvez rencontrer.

Pour interpréter les références aux messages d'état et aux algorithmes de chiffrement IKE, consultez la section Informations de référence relatives au dépannage.

Afficher les journaux et les métriques

Consultez la page Afficher les journaux et les métriques.

Vérifier les messages d'erreur

  1. Accédez à la page "VPN" dans la console Google Cloud Platform.
    Accéder à la page VPN
  2. Si une icône s'affiche, passez la souris dessus pour voir le message d'erreur correspondant.

Le message d'erreur vous aide généralement à identifier le problème. Si tel n'est pas le cas, consultez vos journaux pour obtenir davantage d'informations. Vous trouverez également des informations d'état détaillées sur la page Détails du tunnel de la console Google Cloud Platform.

Vérifier les journaux VPN

Les journaux Cloud VPN sont stockés dans Stackdriver Logging. La journalisation est automatique et n'a pas besoin d'être activée.

Pour la passerelle sur site, consultez la documentation de votre produit afin de savoir comment afficher les journaux pour ce côté de la connexion.

Dans de nombreux cas, bien que les passerelles soient configurées correctement, un problème survient au niveau du réseau sur site entre les hôtes et la passerelle, ou bien sur le réseau reliant la passerelle sur site et la passerelle Cloud VPN.

Accéder à la page Stackdriver Logging

Recherchez les informations ci-dessous dans les journaux.

  1. Vérifiez que l'adresse IP sur site configurée sur la passerelle Cloud VPN est correcte.
  2. Vérifiez que le trafic provenant de vos hôtes sur site atteint la passerelle sur site.
  3. Assurez-vous que le trafic est acheminé entre les deux passerelles VPN, dans les deux sens. Vérifiez si des messages entrants en provenance de l'autre passerelle VPN sont consignés dans les journaux VPN.
  4. Vérifiez que les versions IKE configurées sont identiques des deux côtés du tunnel.
  5. Vérifiez que la clé secrète partagée est identique des deux côtés du tunnel.
  6. Si votre passerelle VPN sur site est protégée par la fonctionnalité NAT "un à un", assurez-vous que l'appareil NAT a été correctement configuré pour transférer le trafic UDP vers votre passerelle VPN sur site via les ports 500 et 4500. Cette dernière doit être configurée pour s'identifier à l'aide de l'adresse IP publique de l'appareil NAT. Pour en savoir plus, consultez la section Passerelles sur site protégées par la fonctionnalité NAT.
  7. Si les journaux VPN indiquent l'erreur no-proposal-chosen, cela signifie que Cloud VPN et votre passerelle VPN sur site n'ont pas pu se mettre d'accord sur le choix des algorithmes de chiffrement. Pour IKEv1, ces algorithmes doivent correspondre exactement. En revanche, IKEv2 requiert qu'au moins un algorithme de chiffrement commun soit proposé par chaque passerelle. Assurez-vous que votre passerelle VPN sur site est configurée à l'aide des algorithmes de chiffrement compatibles.
  8. Vérifiez que vos routes et règles de pare-feu sur site et GCP sont configurées de sorte que le trafic puisse traverser le tunnel. Vous devrez peut-être demander de l'aide à votre administrateur réseau.

Vous pouvez également rechercher dans vos journaux les chaînes ci-dessous afin d'identifier des problèmes spécifiques.

  1. Accédez à la visionneuse de journaux dans la console Google Cloud Platform.
    Accéder à la visionneuse de journaux
  2. Dans le champ de recherche Filtrer par libellé ou texte recherché, cliquez sur le triangle d'expansion situé à l'extrême droite, puis sélectionnez Convertir en filtre avancé.
  3. Utilisez l'un des filtres avancés répertoriés ci-dessous pour rechercher un événement particulier et modifiez la période si nécessaire.
Événement à afficher Recherche à effectuer dans Stackdriver
Cloud VPN lance la phase 1 (association de sécurité IKE).

resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN ne peut pas contacter le pair distant.

resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
Événements d'authentification IKE (phase 1)

resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
Authentification IKE réussie

resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
Phase 1 (association de sécurité IKE) établie

resource.type="vpn_gateway"
("IKE_SA" AND "established between")
Tous les événements de la phase 2 (association de sécurité enfant), y compris les événements de régénération de clés

resource.type="vpn_gateway"
"CHILD_SA"
Un pair demande une régénération de clé pour la phase 2.

resource.type="vpn_gateway"
detected rekeying of CHILD_SA
Un pair demande l'arrêt de la phase 2 (association de sécurité enfant).

resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
Cloud VPN demande l'arrêt de la phase 2 (association de sécurité enfant).

resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
Cloud VPN met fin à la phase 2 (association de sécurité enfant), peut-être en réponse au pair.

resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN a mis fin lui-même à la phase 2.

resource.type="vpn_gateway" CHILD_SA closed
Les sélecteurs de trafic distants ne correspondent pas.

resource.type="vpn_gateway"
Remote traffic selectors narrowed
Les sélecteurs de trafic locaux ne correspondent pas.

resource.type="vpn_gateway"
Local traffic selectors narrowed

Vérifier la connectivité

Tenez compte des suggestions ci-dessous lorsque vous vérifiez la connectivité entre les systèmes sur site et les VM GCP à l'aide de la commande ping.

  • Assurez-vous que les règles de pare-feu de votre réseau GCP autorisent le trafic ICMP entrant. La règle implicite d'autorisation du trafic sortant permet au trafic ICMP de quitter votre réseau sauf si vous avez décidé de l'ignorer. De la même façon, assurez-vous que vos pare-feu sur site sont également configurés pour autoriser le trafic ICMP entrant et sortant.

  • Pinguez les VM GCP et les systèmes sur site en utilisant leur adresse IP interne. L'exécution d'une commande ping sur les adresses IP externes des passerelles VPN ne permet pas de tester la connectivité disponible via le tunnel.

  • Lorsque vous testez la connectivité entre les systèmes sur site et GCP, il est préférable d'exécuter une commande ping depuis un système de votre réseau, et non à partir de votre passerelle VPN. Il est possible de pinguer depuis une passerelle si vous définissez l'interface source appropriée. Toutefois, l'exécution de cette commande depuis une instance de votre réseau permet en outre de tester la configuration de votre pare-feu.

  • Les tests ping ne permettent pas de vérifier que les ports TCP ou UDP sont réellement ouverts. Vous devrez effectuer des tests supplémentaires après avoir vérifié à l'aide de la commande ping que les systèmes disposent d'une connectivité de base.

Problèmes courants et solutions

Le tunnel est régulièrement indisponible pendant quelques secondes

Par défaut, Cloud VPN négocie une association de sécurité de remplacement avant l'expiration de celle qui existe. Ce processus est également appelé regénération de clé. Il est possible que votre passerelle VPN sur site ne regénère pas les clés. Au lieu de cela, elle doit attendre la suppression de l'association de sécurité existante pour pouvoir en négocier une nouvelle, ce qui provoque des interruptions.

Pour vérifier si votre passerelle sur site regénère les clés, consultez les journaux Cloud VPN. Si la connexion est perdue, puis rétablie juste après le renvoi du message de journal Received SA_DELETE, cela signifie que votre passerelle sur site n'a pas regénéré la clé.

Vérifiez les paramètres du tunnel à l'aide du document Algorithmes de chiffrement IKE compatibles. Assurez-vous tout particulièrement que la durée de vie de la phase 2 est correcte, et qu'un groupe Diffie-Hellman (DH) est défini sur l'une des valeurs recommandées.

Vous pouvez utiliser un filtre de journal avancé Stackdriver pour rechercher des événements dans votre tunnel Cloud VPN. Par exemple, le filtre avancé suivant permet de rechercher les incohérences au niveau des groupes DH :

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Passerelles sur site protégées par la fonctionnalité NAT

Cloud VPN peut être combiné à des passerelles VPN sur site ou de pairs qui sont protégées par la fonctionnalité NAT, grâce à l'encapsulation du protocole UDP et au mode NAT-T. Seule la fonctionnalité NAT "un-à-un" est compatible.

Dans le cadre du processus d'authentification, le service Cloud VPN vérifie l'identité de la passerelle du pair. Il requiert que chaque passerelle de pair s'identifie en utilisant le type d'identité ID_IPV4_ADDR spécifié dans la RFC 7815, avec l'adresse IP publique (passerelle du pair) qui est configurée pour le tunnel Cloud VPN.

Les messages de journal ci-dessous indiquent que la passerelle VPN du pair s'identifie de manière incorrecte avec une adresse IP privée. Dans cet exemple, [PEER GATEWAY PRIVATE IP] correspond à une adresse IP privée, tandis que [PEER GATEWAY PUBLIC IP] représente l'adresse IP publique de l'appareil NAT situé entre la passerelle VPN du pair et Internet.

authentication of '[PEER GATEWAY PRIVATE IP]' with pre-shared key successful
constraint check failed: identity '[PEER GATEWAY PUBLIC IP]' required
selected peer config 'vpn_[PEER GATEWAY PUBLIC IP]' inacceptable: constraint checking failed

Lorsque vous utilisez la fonctionnalité NAT "un à un", votre passerelle VPN sur site doit s'identifier au moyen de l'adresse IP publique de l'appareil NAT.

  • Le type d'identité doit être ID_IPV4_ADDR (RFC 7815).

  • Certains appareils Cisco ne permettent pas de définir leur identité sur une adresse IP autre que celle qu'ils utilisent (adresse interne). Par exemple, il est impossible d'attribuer une autre adresse IP (externe) pour l'identité des appareils Cisco ASA. Ainsi, ces appareils ne peuvent pas être configurés pour utiliser la fonctionnalité NAT "un à un" avec Cloud VPN.

  • Vous pouvez définir l'identité des appareils Juniper à l'aide de set security ike gateway [NAME] local-identity inet [PUBLIC_IP], où [NAME] correspond au nom de votre passerelle VPN et [PUBLIC_IP] à votre adresse IP publique. Pour en savoir plus, consultez cet article de la bibliothèque Juniper TechLibrary.

La connectivité fonctionne pour certaines VM, mais pas pour d'autres

Si ping, traceroute ou d'autres méthodes d'envoi du trafic ne fonctionnent qu'entre certaines VM et vos systèmes sur site (ou entre certains systèmes sur site et des VM GCP spécifiques), et si vous avez vérifié que les règles de pare-feu GCP et sur site ne bloquent pas le trafic envoyé, il est possible que des sélecteurs de trafic excluent certaines sources ou destinations.

Les sélecteurs de trafic définissent les plages d'adresses IP d'un tunnel VPN. Parallèlement au routage, la plupart des mises en œuvre de VPN ne transmettent les paquets via un tunnel que si leur source se situe dans les plages d'adresses IP spécifiées dans le sélecteur de trafic local, et si leur destination se trouve dans les plages d'adresses IP indiquées dans le sélecteur de trafic distant. Vous spécifiez les sélecteurs de trafic lorsque vous créez un tunnel Cloud VPN à l'aide du routage basé sur des règles ou d'un VPN basé sur le routage. Vous pouvez également les définir lors de la création du tunnel sur site correspondant.

Certains fournisseurs utilisent des termes tels que proxy local, domaine de chiffrement local ou réseau de gauche comme synonymes de sélecteur de trafic local. De la même manière, proxy distant, domaine de chiffrement distant ou réseau de droite sont des synonymes de sélecteur de trafic distant.

Pour modifier les sélecteurs de trafic d'un tunnel Cloud VPN, vous devez supprimer, puis recréer le tunnel. Ces opérations sont nécessaires, car les sélecteurs de trafic font partie intégrante du processus de création des tunnels. Par ailleurs, les tunnels ne peuvent pas être modifiés par la suite.

Suivez les consignes ci-dessous lors de la définition des sélecteurs de trafic.

  • Le sélecteur de trafic local du tunnel Cloud VPN doit couvrir tous les sous-réseaux de votre réseau VPC que vous avez besoin de partager avec votre réseau sur site.
  • Le sélecteur de trafic local de votre réseau sur site doit couvrir tous les sous-réseaux sur site que vous avez besoin de partager avec votre réseau VPC.
  • Pour un tunnel VPN donné, il existe les relations suivantes entre les sélecteurs de trafic :
    • Le sélecteur de trafic local Cloud VPN doit correspondre au sélecteur de trafic distant du tunnel sur votre passerelle VPN sur site.
    • Le sélecteur de trafic distant Cloud VPN doit correspondre au sélecteur de trafic local du tunnel sur votre passerelle VPN sur site.

Informations de référence relatives au dépannage

Cette section présente la liste des icônes d'état, des messages d'état et des algorithmes de chiffrements IKE compatibles.

Icônes d'état

Cloud VPN utilise les icônes d'état ci-dessous dans la console Google Cloud Platform.

Icône Couleur Description Messages concernés
Icône verte d'opération réussie
Vert Réussite ÉTABLI
Icône jaune d'avertissement
Jaune Avertissement ALLOCATION DES RESSOURCES, PREMIER HANDSHAKE, EN ATTENTE DE LA CONFIGURATION COMPLÈTE, PROVISIONNEMENT
Icône rouge d'erreur
Rouge Erreur Tous les autres messages

Messages d'état

Cloud VPN utilise les messages ci-dessous pour indiquer l'état des passerelles et tunnels VPN. Le tunnel VPN est facturé en fonction des états indiqués.

Message Description Tunnel facturé dans cet état ?
ALLOCATION DES RESSOURCES Allocation de ressources pour la configuration du tunnel. Oui
PROVISIONNEMENT Attente de la réception de toutes les configurations pour l'établissement du tunnel. Non
EN ATTENTE DE LA CONFIGURATION COMPLÈTE Réception de la configuration complète. Toutefois, le tunnel n'est pas encore établi. Oui
PREMIER HANDSHAKE Établissement du tunnel. Oui
ÉTABLI Une session de communication sécurisée a été établie. Oui
ERREUR RÉSEAU
(remplacé par le message AUCUN PAQUET ENTRANT)
Autorisation IPsec incorrecte. Oui
ERREUR D'AUTORISATION Échec du handshake. Oui
ÉCHEC DE LA NÉGOCIATION La configuration du tunnel a été refusée. Il a peut-être été mis sur liste noire. Oui
ANNULATION DU PROVISIONNEMENT Le tunnel est en cours d'arrêt. Non
AUCUN PAQUET ENTRANT La passerelle ne reçoit aucun paquet en provenance du VPN sur site. Oui
REFUSÉ La configuration du tunnel a été refusée. Veuillez contacter le service d'assistance. Oui
ARRÊTÉ Le tunnel VPN est arrêté et non actif. Une ou plusieurs règles de transfert requises pour ce dernier ont peut-être été supprimées. Oui

Algorithmes de chiffrement IKE

Pour chaque rôle, l'option la plus sécurisée qui est actuellement disponible dans Cloud VPN est indiquée en gras.
Remarque : Cloud VPN fonctionne en mode tunnel ESP IPSec.

Algorithmes de chiffrement IKEv2 compatibles
Phase Rôle de l'algorithme de chiffrement Algorithme de chiffrement
Phase 1 Chiffrement • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
Sur certaines plates-formes, les octets de paramètres ICV (8, 12, 16) des algorithmes GCM peuvent être spécifiés en bits (64, 96 et 128, respectivement).
Intégrité • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
Ces noms varient en fonction de la plate-forme. Par exemple, HMAC-SHA2-512-256 peut être désigné simplement par SHA-512 (sans la longueur de troncature ni les autres informations superflues).
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function) • PRF-MD5-96
• PRF-SHA1-96
• PRF-AES-XCBC-96, PRF-AES-CMAC-96
• PRF-SHA2-256, PRF-SHA2-384, PRF-SHA2-512
De nombreux appareils ne requièrent pas de paramètre PRF explicite.
Diffie-Hellman (DH) • Groupe 2 (modp_1024), groupe 5 (modp_1536), groupe 14 (modp_2048), groupe 15 (modp_3072), groupe 16 (modp_4096)
• modp_1024s160, modp_2048s224, modp_2048s256
Durée de vie de la phase 1 36 000 secondes (10 heures)
Phase 2 Chiffrement • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
Sur certaines plates-formes, les octets de paramètres ICV (8, 12, 16) des algorithmes GCM peuvent être spécifiés en bits (64, 96 et 128, respectivement).
Intégrité • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
Ces noms varient en fonction de la plate-forme. Par exemple, HMAC-SHA2-512-256 peut être désigné simplement par SHA-512 (sans la longueur de troncature ni les autres informations superflues).
Algorithme PFS (obligatoire) • Groupe 2 (modp_1024), groupe 5 (modp_1536), groupe 14 (modp_2048), groupe 15 (modp_3072), groupe 16 (modp_4096), groupe 18 (modp_8192)
• modp_1024s160, modp_2048s224, modp_2048s256
Diffie-Hellman (DH) Certains appareils requièrent une valeur DH pour la phase 2. Si tel est le cas, utilisez la même valeur que pour la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)
Algorithmes de chiffrement IKEv1 compatibles
Phase Rôle de l'algorithme de chiffrement Algorithme de chiffrement
Phase 1 Chiffrement AES-CBC-128
Intégrité HMAC-SHA1-96
Algorithme PFS (obligatoire) Groupe 2 (modp_1024)
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function) PRF-SHA1-96
Diffie-Hellman (DH) Groupe 2 (modp_1024)
Durée de vie de la phase 1 36 600 secondes (10 heures, 10 minutes)
Phase 2 Chiffrement AES-CBC-128
Intégrité HMAC-SHA1-96
Diffie-Hellman (DH) Certains appareils requièrent une valeur DH pour la phase 2. Si tel est le cas, utilisez la même valeur que pour la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)

Étapes suivantes

Informations de dépannage

  • Pour en savoir plus, consultez la documentation Stackdriver Logging qui explique, entre autres, comment exporter des journaux et comment utiliser les métriques basées sur les journaux pour la surveillance et les alertes.

Informations relatives aux VPN

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…