疑難排解

本疑難排解指南可以協助您監控及解決 Cloud VPN 的常見問題。

如要中斷狀態訊息與 IKE 加密參考資料,請參閱參考資料一節。

查看記錄和指標

請參閱查看記錄和指標一文。

檢查錯誤訊息

  1. 前往 Google Cloud Platform 主控台的 VPN 頁面。
    前往 VPN 頁面
  2. 如果您看見圖示,請將滑鼠游標懸停在圖示上方,查看錯誤訊息

在大多數情況下,錯誤訊息都可以協助您找出問題。如果找不出問題,請到您的記錄中尋找詳細資訊。Google Cloud Platform 主控台的「通道詳細資料」頁面中也有詳細的狀態資訊。

查閱 VPN 記錄

Cloud VPN 記錄儲存在 Stackdriver Logging。Logging 會自動執行,您不需要啟用它。

針對您的內部部署閘道,請參閱產品說明文件,尋找有關查看連線另一端記錄的資訊。

在大多數情況下,閘道都會正確設定,但主機與閘道之間的內部部署網路有問題,或是內部部署閘道與 Cloud VPN 閘道之間的網路有問題。

前往 Stackdriver 的「Logging」(記錄) 頁面

請到記錄中查閱下列資訊:

  1. 確認 Cloud VPN 閘道的內部部署 IP 設定正確。
  2. 確認從內部部署主機流出的流量能夠到達內部部署閘道。
  3. 確認在兩個 VPN 閘道之間流動的流量是雙向的。在 VPN 記錄中,查閱另一個 VPN 閘道報告的訊息。
  4. 確認通道兩邊的 IKE 版本設定相同。
  5. 確認通道兩邊的共用密鑰相同。
  6. 如果您的內部部署 VPN 閘道位於一對一 NAT 的背後,請確認 NAT 裝置已正確設定為透過通訊埠 500 與 4500 將 UDP 流量轉送至您的內部部署 VPN 閘道。您的內部部署閘道必須設定為能夠使用 NAT 裝置的公開 IP 位址識別自己。詳情請參閱 NAT 背後的內部部署閘道一文。
  7. 如果 VPN 記錄顯示 no-proposal-chosen 錯誤,就表示 Cloud VPN 與您的內部部署 VPN 閘道無法同意同一組加密方式。對於 IKEv1,加密方式必須完全相同。對於 IKEv2,必須有至少一種由每個閘道提出的通用加密方式。請確認使用支援的加密方式設定內部部署 VPN 閘道。
  8. 確認您已設定內部部署與 GCP 路徑以及防火牆規則,讓流量能周遊通道。您可能需要向網路管理員尋求協助。

您也可以在記錄中搜尋以下字串,找出特定問題:

  1. 在 Google Cloud Platform 主控台中,前往「Logs viewer」(記錄檢視器)。
    前往「Logs viewer」(記錄檢視器)
  2. 在「Filter by label or text search」(按標籤或搜尋字詞篩選) 方塊中,按一下最右側的箭號,然後選取 [Convert to advanced filter] (轉換為進階篩選器)。
  3. 使用下列其中一個進階篩選器搜尋特定事件,並視需要調整時間範圍。
欲查看的事件 使用此 Stackdriver 搜尋
Cloud VPN 初始化階段 1 (IKE SA)

resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN 無法聯繫遠端對等閘道

resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
IKE (階段 1) 驗證事件

resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
IKE 驗證成功

resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
已建立階段 1 (IKE SA)

resource.type="vpn_gateway"
("IKE_SA" AND "established between")
所有階段 2 (子項 SA) 事件,包括更換密鑰事件

resource.type="vpn_gateway"
"CHILD_SA"
對等閘道要求階段 2 更換密鑰

resource.type="vpn_gateway"
detected rekeying of CHILD_SA
對等閘道要求終止階段 2 (子項 SA)

resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
Cloud VPN 要求終止階段 2 (子項 SA)

resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
Cloud VPN 關閉階段 2 (子項 SA),可能是為了回應對等閘道的要求

resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN 自行關閉了階段 2

resource.type="vpn_gateway" CHILD_SA closed
如果遠端流量選取器不相符

resource.type="vpn_gateway"
Remote traffic selectors narrowed
如果本機流量選取器不相符

resource.type="vpn_gateway"
Local traffic selectors narrowed

檢查連線

使用連線偵測 (ping) 確認內部部署系統與 GCP VM 之間的連線時,請考慮以下建議事項:

  • 確認 GCP 網路的防火牆規則允許傳入 ICMP 流量。除非您修改設定,否則默示允許輸出規則允許網路外送 ICMP 流量。同樣的,請確認您的內部部署防火牆設定也允許傳入與外送 ICMP 流量。

  • 使用 GCP VM 與內部部署系統的內部 IP 位址對這兩者進行連線偵測 (ping)。對 VPN 閘道的外部 IP 位址進行連線偵測 (ping) 並不會測試「通過」通道的連線。

  • 測試從內部部署到 GCP 的連線時,最好從網路上的系統啟動連線偵測 (ping),而不要從您的 VPN 閘道啟動。 如果您設定適當的來源介面,便可從閘道進行連線偵測 (ping),但從網路上的執行個體進行連線偵測 (ping) 則會增加測試防火牆設定的優勢。

  • 連線偵測 (ping) 測試不會確認 TCP 或 UDP 通訊埠是否確實開啟。當您建立的系統具有基本連線能力時,您應使用連線偵測 (ping) 執行其他測試。

常見問題及解決方案

通道會定期故障幾秒鐘的時間

根據預設,Cloud VPN 會在現有 SA 到期之前交涉替換 SA (又稱為「密鑰更換」)。您的內部部署 VPN 閘道可能沒有更換密鑰,而是只在刪除現有 SA 之後交涉新 SA,導致發生中斷情形。

如要檢查您的內部部署閘道是否更換密鑰,請查看 Cloud VPN 記錄。如果連線中斷,然後在 Received SA_DELETE 記錄訊息之後重新建立連線,即表示您的內部部署閘道沒有更換密鑰。

請使用支援的 IKE 加密方式文件確認通道設定。特別是,請確認階段 2 生命週期正確,而且 Diffie-Hellman (DH) 群組設定為其中一個建議的值。

您可以使用 Stackdriver 進階記錄篩選器在您的 Cloud VPN 通道中搜尋事件。例如,以下進階篩選器將會搜尋 DH 群組不相符的情形:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

NAT 背後的內部部署閘道

Cloud VPN 可與 NAT 背後的內部部署或對等互連 VPN 閘道搭配使用,這是因為有了 UDP 封裝與 NAT-T 才得以實現的,而且只支援一對一 NAT。

做為驗證程序的一部分,Cloud VPN 會檢查對等互連閘道的身分。Cloud VPN 預期每個對等互連閘道都使用 RFC 7815 指定的 ID_IPV4_ADDR 身分類型與針對 Cloud VPN 通道設定的公開 IP (對等互連閘道) 位址識別本身。

以下記錄訊息指出對等互連 VPN 閘道並未透過私人 IP 位址正確識別出本身。在此範例中,[PEER GATEWAY PRIVATE IP] 是對等互連 VPN 閘道與網際網路之間的 NAT 裝置私人 IP 位址,[PEER GATEWAY PUBLIC IP]則是公開 IP 位址。

authentication of '[PEER GATEWAY PRIVATE IP]' with pre-shared key successful
constraint check failed: identity '[PEER GATEWAY PUBLIC IP]' required
selected peer config 'vpn_[PEER GATEWAY PUBLIC IP]' inacceptable: constraint checking failed

使用一對一 NAT 時,您的內部部署 VPN 閘道必須使用 NAT 裝置的相同公開 IP 位址識別本身:

  • 身分類型必須是 ID_IPV4_ADDR (RFC 7815)。

  • 並非所有 Cisco 裝置都支援將裝置身分設定為與裝置正在使用的 IP 位址 (其內部位址) 不同的 IP 位址。例如,Cisco ASA 裝置不支援為其身分指派不同的 (外部) IP 位址。因此,Cisco ASA 裝置不可設定為與 Cloud VPN 一起使用一對一 NAT。

  • 針對 Juniper 裝置,您可以使用 set security ike gateway [NAME] local-identity inet [PUBLIC_IP] 設定裝置的身分,其中 [NAME] 是您的 VPN 閘道名稱,[PUBLIC_IP] 是您的公開 IP 位址。詳情請參閱此 Juniper TechLibrary 文章

某些 VM 的連線正常,但某些 VM 的連線不正常

如果只能透過 pingtraceroute 或其他傳送流量的方法正常將流量從某些 VM 傳送至您的內部部署系統,或者只能從某些內部部署系統傳送至某些 GCP VM,而且您確認 GCP 與內部部署防火牆規則都沒有封鎖您傳送的流量,即表示您的流量選取器可能排除了某些來源或目的地。

流量選取器定義了 VPN 通道的 IP 位址範圍。如果來源適合放進在本機流量選取器指定的 IP 範圍,而且目的地適合放進遠端流量選取器指定的 IP 範圍,則除了路徑以外,大多數 VPN 實作都只會透過通道傳送封包。您可在建立 Cloud VPN 通道時使用依據政策的轉送依據路徑的 VPN 指定流量選取器。您也可以在建立對應內部部署通道時指定流量選取器。

某些廠商使用例如「本機 Proxy」、「本機加密網域」或「左側網路」等術語做為「本機流量選取器」的同義詞。同樣的,「遠端 Proxy」、「遠端加密網域」或「右側網路」則是「遠端流量選取器」的同義詞。

如要變更 Cloud VPN 通道的流量選取器,您必須刪除重新建立通道。由於流量選取器是建立通道時不可或缺的一部分,而且無法日後編輯通道,因此需要先執行此動作。

定義流量選取器時,請遵守下列規定。

  • Cloud VPN 通道的本機流量選取器應包含虛擬私人雲端網路中的所有子網路,您與內部部署網路共用時需要這些子網路。
  • 內部部署網路的本機流量選取器應包含您與虛擬私人雲端網路共用時所需要的所有內部部署子網路。
  • 對於特定 VPN 通道而言,流量選取器具有下列關係:
    • Cloud VPN 本機流量選取器應與內部部署 VPN 閘道上通道的遠端流量選取器相符。
    • Cloud VPN 遠端流量選取器應與內部部署 VPN 閘道上通道的本機流量選取器相符。

疑難排解參考資料

本節包含狀態圖示、狀態訊息的清單,以及支援的 IKE 加密方式清單。

狀態圖示

Cloud VPN 在 Google Cloud Platform 主控台中使用下列狀態圖示:

圖示圖形 顏色 說明 適用訊息
綠色成功圖示
綠色 成功 已建立
黃色警告圖示
黃色 警告 正在配置資源、初次交握、正在等待完整設定、佈建中
紅色錯誤圖示
紅色 錯誤 其餘所有訊息

狀態訊息

Cloud VPN 使用下列狀態訊息來指示 VPN 閘道與通道狀態。VPN 通道會依據指示的狀態計費

訊息 說明 通道在此狀態下是否計費?
正在配置資源 正在配置用來設定通道的資源
佈建中 正在等待接收設定通道的所有設定
正在等待完整設定 已接收完整設定,但通道尚未建立完成
初次交握 正在建立通道
已建立 安全的通訊工作階段已經成功建立
網路錯誤
(已取代為「沒有任何連入封包」)
IPsec 授權無效
授權錯誤 交握失敗
交涉失敗 通道設定遭拒,可能是因為被列入黑名單的原因
正在取消佈建 通道正在關閉
沒有任何連入封包 閘道無法接收來自內部部署 VPN 的任何封包
已拒絕 通道設定遭拒,請與支援小組聯絡
已停止 通道已停止,未啟用。這可能是因為刪除了 VPN 通道的一或多個必要轉送規則所致。

IKE 加密方式

對於每個角色,目前在 Cloud VPN 中受到支援的最安全選項會以粗體列出
附註:Cloud VPN 在 IPSec ESP 通道模式下作業

IKEv2 支援的加密方式
階段 加密角色 加密方式
階段 1 加密 • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
在某些平台上,GCM 演算法可能會以位元數 (分別是 64、96、128) 指定其 ICV 參數八位元 (8, 12, 16)。
完整性 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
這些名稱會因平台而不同。例如,HMAC-SHA2-512-256 可能就是指 SHA-512,縮短截斷長度數目與其他無關資訊。
假隨機函式 (PRF) • PRF-MD5-96
• PRF-SHA1-96
• PRF-AES-XCBC-96, PRF-AES-CMAC-96
• PRF-SHA2-256, PRF-SHA2-384, PRF-SHA2-512
許多裝置都不需要明確的 PRF 設定。
Diffie-Hellman (DH) • 群組 2 (modp_1024)、群組 5 (modp_1536)、群組 14 (modp_2048)、群組 15 (modp_3072)、群組 16 (modp_4096)
• modp_1024s160, modp_2048s224, modp_2048s256
階段 1 生命週期 36,000 秒 (10 小時)
階段 2 加密 • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
在某些平台上,GCM 演算法可能會以位元數 (分別是 64、96、128) 指定其 ICV 參數八位元 (8, 12, 16)。
完整性 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
這些名稱會因平台而不同。例如,HMAC-SHA2-512-256 可能就是指 SHA-512,縮短截斷長度數目與其他無關資訊。
PFS 演算法 (必要) • 群組 2 (modp_1024)、群組 5 (modp_1536)、群組 14 (modp_2048)、群組 15 (modp_3072)、群組 16 (modp_4096)、群組 18 (modp_8192)
• modp_1024s160, modp_2048s224, modp_2048s256
Diffie-Hellman (DH) 某些裝置的階段 2 需要 DH 值。如果是,請使用您在階段 1 中使用的值。
階段 2 生命週期 10,800 秒 (3 小時)
IKEv1 支援的加密方式
階段 加密角色 加密方式
階段 1 加密 AES-CBC-128
完整性 HMAC-SHA1-96
PFS 演算法 (必要) 群組 2 (modp_1024)
假隨機函式 (PRF) PRF-SHA1-96
Diffie-Hellman (DH) 群組 2 (modp_1024)
階段 1 生命週期 36,600 秒 (10 小時 10 分鐘)
階段 2 加密 AES-CBC-128
完整性 HMAC-SHA1-96
Diffie-Hellman (DH) 某些裝置的階段 2 需要 DH 值。如果是,請使用您在階段 1 中使用的值。
階段 2 生命週期 10,800 秒 (3 小時)

後續步驟

疑難排解相關

  • 如要瞭解如何匯出記錄,以及使用記錄指標進行監控與提供快訊,請參閱 Logging 說明文件

VPN 相關

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud VPN