Questa guida alla risoluzione dei problemi può aiutarti a monitorare e risolvere i problemi comuni relativi a Cloud VPN.
Per interpretare i messaggi di stato e i riferimenti alla crittografia IKE, consulta la sezione Riferimento.
Per trovare informazioni su logging e monitoraggio, consulta Visualizzare log e metriche.
Per trovare le definizioni della terminologia utilizzata in questa pagina, consulta i termini chiave di Cloud VPN.
Messaggi di errore
Per controllare i messaggi di errore:
Nella console Google Cloud, vai alla pagina VPN.
Se vedi un'icona di stato, passaci il mouse sopra per vedere il messaggio di errore.
Spesso, il messaggio di errore può aiutarti a individuare il problema. In caso contrario, controlla i log per avere ulteriori informazioni. Puoi trovare informazioni dettagliate sullo stato nella pagina Dettagli tunnel della console Google Cloud.
Log VPN
I log di Cloud VPN vengono archiviati in Cloud Logging. Il logging è automatico, quindi non è necessario abilitarlo.
Per informazioni sulla visualizzazione dei log per il lato gateway peer della connessione, consulta la documentazione del prodotto.
Spesso i gateway sono configurati correttamente, ma si verifica un problema nella rete peer tra gli host e il gateway o la rete tra il gateway peer e il gateway Cloud VPN.
Per controllare i log:
Nella console Google Cloud, vai alla pagina Esplora log.
Controlla i log per verificare le seguenti informazioni:
- Verifica che l'indirizzo IP del peer remoto configurato sul gateway Cloud VPN sia corretto.
- Verifica che il traffico che passa dai tuoi host on-premise raggiunga il gateway peer.
- Verifica che il traffico passi tra i due gateway VPN in entrambe le direzioni. Nei log della VPN, controlla se sono presenti messaggi in arrivo segnalati dall'altro gateway VPN.
- Verifica che le versioni IKE configurate siano le stesse in entrambi i lati del tunnel.
- Verifica che il secret condiviso sia lo stesso su entrambi i lati del tunnel.
- Se il gateway VPN peer è protetto da NAT one-to-one, assicurati di aver configurato correttamente il dispositivo NAT per inoltrare il traffico UDP al tuo gateway VPN peer sulle porte
500
e4500
. - Se i log della VPN mostrano un errore
no-proposal-chosen
, questo errore indica che Cloud VPN e il tuo gateway VPN peer non sono riusciti a concordare un insieme di crittografie. Per IKEv1, l'insieme di crittografie deve corrispondere esattamente. Per IKEv2, ogni gateway deve esistere almeno una crittografia comune. Assicurati di utilizzare crittografia supportate per configurare il gateway VPN peer. - Assicurati di configurare le route e le regole firewall in peering e Google Cloud in modo che il traffico possa attraversare il tunnel. Potresti dover contattare l'amministratore di rete per ricevere assistenza.
Per individuare problemi specifici, puoi cercare nei log le seguenti stringhe:
- Nel riquadro Query Builder, inserisci una delle query avanzate elencate nella tabella seguente per cercare un determinato evento, quindi fai clic su Esegui query.
Regola il periodo di tempo nel riquadro Istogramma in base alle tue esigenze, quindi fai clic su Esegui all'interno del riquadro. Per ulteriori dettagli sull'utilizzo di Esplora log per le query, consulta Creazione di query di log.
Per visualizzare Utilizza questa ricerca di Logging Cloud VPN avvia la fase 1 (IKE SA) resource.type="vpn_gateway" ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN non può contattare il peer remoto resource.type="vpn_gateway" "establishing IKE_SA failed, peer not responding"
Eventi di autenticazione IKE (fase 1) resource.type="vpn_gateway" ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
Autenticazione IKE riuscita resource.type="vpn_gateway" ("authentication of" AND "with pre-shared key successful")
Fase 1 (IKE SA) stabilita resource.type="vpn_gateway" ("IKE_SA" AND "established between")
Tutti gli eventi della fase 2 (account di servizio secondario), inclusi gli eventi di riassegnazione della chiave resource.type="vpn_gateway" "CHILD_SA"
Il peer chiede la riassegnazione della chiave alla Fase 2 resource.type="vpn_gateway" detected rekeying of CHILD_SA
Il peer chiede di terminare la Fase 2 (SA secondaria) resource.type="vpn_gateway" received DELETE for ESP CHILD_SA
Cloud VPN chiede di terminare la fase 2 (SA secondaria) resource.type="vpn_gateway" sending DELETE for ESP CHILD_SA
Cloud VPN chiude la Fase 2 (SA secondaria), forse in risposta al peer resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN ha chiuso stesso la Fase 2 resource.type="vpn_gateway" CHILD_SA closed
Se i selettori del traffico remoto non corrispondono resource.type="vpn_gateway" Remote traffic selectors narrowed
Se i selettori di traffico locale non corrispondono resource.type="vpn_gateway" Local traffic selectors narrowed
Connettività
Considera i seguenti suggerimenti quando utilizzi ping
per verificare la connettività tra sistemi on-premise e istanze di macchine virtuali (VM) Google Cloud:
Assicurati che le regole firewall nella tua rete Google Cloud consentano il traffico ICMP in arrivo. La regola di autorizzazione in uscita implicita consente il traffico ICMP in uscita dalla rete, a meno che tu non l'abbia sovrascritto. Allo stesso modo, assicurati che anche le regole firewall on-premise siano configurate in modo da consentire il traffico ICMP in entrata e in uscita.
Utilizza gli indirizzi IP interni per inviare un ping alle VM Google Cloud e ai sistemi on-premise. Il ping degli indirizzi IP esterni dei gateway VPN non verifica la connettività tramite il tunnel.
Durante il test della connettività da on-premise a Google Cloud, è meglio avviare un ping da un sistema sulla rete, non dal gateway VPN. Il ping da un gateway è possibile se imposti l'interfaccia di origine appropriata, ma il ping da un'istanza sulla tua rete offre l'ulteriore vantaggio di testare la configurazione del firewall.
I test
Ping
non verificano che le porte TCP o UDP siano aperte. Dopo aver stabilito che i sistemi dispongono di una connettività di base, puoi utilizzareping
per eseguire test aggiuntivi.
Calcolare la velocità effettiva di rete
Puoi calcolare la velocità effettiva di rete all'interno di Google Cloud e nelle località cloud on-premise o di terze parti. Questa risorsa include informazioni su come analizzare i risultati, spiegazioni delle variabili che possono influire sulle prestazioni della rete e suggerimenti per la risoluzione dei problemi.
Problemi e soluzioni comuni
Il tunnel si abbassa regolarmente per alcuni secondi
Per impostazione predefinita, Cloud VPN negozia un'associazione di sicurezza (SA) sostitutiva prima della scadenza di quella esistente (operazione nota anche come rekeying). Il gateway VPN peer potrebbe non essere rekeying. Potrebbe invece negoziare un nuovo SA solo dopo l'eliminazione dell'SA esistente, causando interruzioni.
Per verificare se il gateway peer esegue la chiave, visualizza i log di Cloud VPN. Se la connessione si interrompe e poi viene ristabilita subito dopo un messaggio di log Received SA_DELETE
, il gateway on-premise non è stato ricodificato.
Per verificare le impostazioni del tunnel, consulta il documento Cifrari IKE supportati. In particolare, assicurati che la durata della fase 2 sia corretta e che un gruppo Diffie-Hellman (DH) sia impostato su uno dei valori consigliati.
Per cercare gli eventi nel tunnel Cloud VPN, puoi utilizzare un filtro di log avanzato di Logging. Ad esempio, il seguente filtro avanzato cerca le corrispondenze errate dei gruppi DH:
resource.type="vpn_gateway" "Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"
Gateway on-premise dietro NAT
Cloud VPN può funzionare con gateway VPN on-premise o peer che si trovano dietro NAT. Ciò è reso possibile dall'incapsulamento UDP e da NAT-T. È supportato solo il NAT one-to-one.
La connettività funziona per alcune VM, ma non per altre
Se ping
, traceroute
o altri metodi di invio del traffico funzionano solo da alcune VM ai sistemi on-premise o solo da alcuni sistemi on-premise ad alcune VM di Google Cloud e hai verificato che sia le regole firewall di Google Cloud che quelle on-premise non bloccano il traffico che stai inviando, è possibile che ci siano selettori di traffico che escludono determinate origini o destinazioni.
I selettori di traffico definiscono gli intervalli di indirizzi IP per un tunnel VPN. Oltre alle route, la maggior parte delle implementazioni VPN trasmette i pacchetti attraverso un tunnel solo se si verificano entrambe le seguenti condizioni:
- Le loro sorgenti rientrano negli intervalli IP specificati nel selettore del traffico locale.
- Le destinazioni rientrano negli intervalli IP specificati nel selettore del traffico remoto.
Puoi specificare i selettori di traffico quando crei un tunnel VPN classica utilizzando il routing basato su criteri o una VPN basata su route. Devi specificare anche i selettori di traffico quando crei il tunnel peer corrispondente.
Alcuni fornitori utilizzano termini quali proxy locale, dominio di crittografia locale o rete lato sinistro come sinonimi per il selettore di traffico locale. Analogamente, proxy remoto, dominio di crittografia remoto o rete lato destro sono sinonimi per il selettore di traffico remoto.
Per modificare i selettori di traffico per un tunnel VPN classica, devi eliminare e ricreare il tunnel. Questi passaggi sono obbligatori perché i selettori di traffico sono parte integrante della creazione dei tunnel e i tunnel non possono essere modificati in un secondo momento.
Attieniti alle seguenti linee guida per definire i selettori di traffico:
- Il selettore di traffico locale per il tunnel Cloud VPN deve coprire tutte le subnet della rete Virtual Private Cloud (VPC) che devi condividere con la rete peer.
- Il selettore del traffico locale per la rete peer deve coprire tutte le subnet on-premise che devi condividere con la tua rete VPC.
- Per un determinato tunnel VPN, i selettori di traffico hanno la seguente relazione:
- Il selettore di traffico locale di Cloud VPN deve corrispondere al selettore del traffico remoto per il tunnel sul gateway VPN peer.
- Il selettore di traffico remoto di Cloud VPN deve corrispondere al selettore del traffico locale per il tunnel sul gateway VPN peer.
Problemi di latenza di rete tra VM in regioni diverse
Per determinare se si verificano problemi di latenza o perdita di pacchetti, monitora le prestazioni dell'intera rete Google Cloud. Nella visualizzazione delle prestazioni di Google Cloud, Performance Dashboard mostra le metriche di perdita e latenza di pacchetti in tutto Google Cloud. Queste metriche possono aiutarti a capire se i problemi evidenti nella visualizzazione del rendimento del progetto sono specifici del tuo progetto. Per maggiori dettagli, consulta Utilizzo di Performance Dashboard.
Impossibile connettere un gateway VPN ad alta disponibilità a un gateway VPN ad alta disponibilità
Google Cloud non supporta la creazione di connessioni tunnel tra un gateway VPN ad alta disponibilità e qualsiasi gateway VPN non ad alta disponibilità ospitato in Google Cloud. Questa restrizione include gateway VPN classica e gateway VPN di terze parti in esecuzione su VM di Compute Engine.
Se provi a farlo, Google Cloud restituisce il seguente messaggio di errore:
You cannot provide an interface with an IP address owned by Google Cloud. You can only create tunnels from an HA gateway to an HA gateway or create tunnels from an HA gateway to an ExternalVpnGateway.
Per evitare questo errore, crea un tunnel VPN che connette il gateway VPN ad alta disponibilità a uno dei seguenti:
- Un altro gateway VPN ad alta disponibilità
- Un gateway VPN esterno non ospitato in Google Cloud
Impossibile connettersi a destinazione esterna tramite VPN ad alta disponibilità
Quando utilizzi un gateway VPN ad alta disponibilità, le risorse Google Cloud utilizzano il tunnel VPN per connettersi solo alle destinazioni pubblicizzate dal router peer.
Se non riesci a connetterti a una destinazione remota, assicurati che il router peer pubblicizzi l'intervallo IP della destinazione.
Il traffico IPv6 non viene instradato
Se hai difficoltà a connetterti agli host IPv6, procedi nel seguente modo:
- Verifica che le route IPv4 vengano pubblicizzate correttamente. Se le route IPv4 non vengono annunciate, consulta Risolvere i problemi relativi alle route BGP e alla selezione delle route.
- Controlla le regole firewall per assicurarti di consentire il traffico IPv6.
- Verifica che non esistano intervalli di subnet IPv6 sovrapposti nella rete VPC e nella rete on-premise. Vedi Controllare gli intervalli di subnet sovrapposti.
- Determina se hai superato le quote e i limiti per le route apprese nel router Cloud. Se hai superato la quota per le route apprese, i prefissi IPv6 vengono eliminati prima di quelli IPv4. Vedi Controllare quote e limiti.
- Verifica che tutti i componenti che richiedono la configurazione IPv6 siano stati configurati correttamente.
- La rete VPC ha abilitato l'utilizzo di indirizzi IPv6 interni con il flag
--enable-ula-internal-ipv6
. - La subnet VPC è configurata per utilizzare il tipo di stack
IPV4_IPV6
. - La subnet VPC ha
--ipv6-access-type
impostato suINTERNAL
. - Le VM di Compute Engine nella subnet sono configurate con indirizzi IPv6.
- Il gateway VPN ad alta disponibilità è configurato per utilizzare il tipo di stack
IPV4_IPV6
. - Il peer BGP ha abilitato IPv6 e gli indirizzi dell'hop successivo IPv6 corretti sono configurati per la sessione BGP.
- Per visualizzare lo stato e le route del router Cloud, vedi Visualizzare lo stato e le route del router Cloud.
- Per visualizzare la configurazione della sessione BGP, vedi Visualizzare la configurazione delle sessioni BGP.
- La rete VPC ha abilitato l'utilizzo di indirizzi IPv6 interni con il flag
Informazioni per la risoluzione dei problemi
Questa sezione include informazioni sulle icone di stato, sui messaggi di stato e sulle crittografie IKE supportate.
Icone di stato
Cloud VPN utilizza le seguenti icone di stato nella console Google Cloud.
Immagine dell'icona | Colore | Descrizione | Si applica ai messaggi |
---|---|---|---|
Verde | Operazione riuscita | STABILITO | |
Giallo | Avviso | ALLOCAZIONE DELLE RISORSE, PRIMO STRUMENTO DI MANO, IN ATTESA DEL COMPLETA CONFIGURAZIONE, PROVA | |
Rosso | Errore | Tutti i messaggi rimanenti |
Messaggi di stato
Per indicare gli stati del gateway e del tunnel VPN, Cloud VPN utilizza i seguenti messaggi di stato. Il tunnel VPN viene fatturato in base agli stati indicati.
Message | Descrizione | Tunnel fatturato in questo stato? |
---|---|---|
ALLOCAZIONE RISORSE | Allocazione delle risorse per la configurazione del tunnel. | Sì |
PROVISIONING | In attesa di ricevere tutte le configurazioni per configurare il tunnel. | No |
IN ATTESA DELLA CONFIGURAZIONE COMPLETA | Configurazione completa ricevuta, ma il tunnel non è ancora stato stabilito. | Sì |
PRIMO STRUMENTO DI MANO | Creazione del tunnel. | Sì |
STABILITO | Una sessione di comunicazione sicura è stata stabilita correttamente. | Sì |
ERRORE DI RETE (sostituito da NESSUN PACK INCOMING) |
Autorizzazione IPsec non valida. | Sì |
ERRORE DI AUTORIZZAZIONE | La stretta di mano non è andata a buon fine. | Sì |
ERRORE DI NEGOZIAZIONE | La configurazione del tunnel è stata rifiutata a causa dell'aggiunta a una lista bloccata. | Sì |
DEPROVISIONING | Il tunnel è in fase di arresto. | No |
NESSUN PACK IN ARRIVO | Il gateway non riceve pacchetti dalla VPN on-premise. | Sì |
RIFIUTATO | La configurazione del tunnel è stata rifiutata; contatta l'assistenza. | Sì |
INTERROTTO | Il tunnel è arrestato e non attivo; può essere dovuto all'eliminazione di una o più regole di forwarding necessarie per il tunnel VPN. | Sì |
Riferimento crittografia IKE
Cloud VPN supporta crittografie e parametri di configurazione per dispositivi VPN peer o servizi VPN. Cloud VPN negozia automaticamente la connessione a condizione che il lato peer utilizzi un'impostazione di crittografia IKE supportata.
Per il riferimento completo alla crittografia IKE, consulta Cifrari IKE supportati.
Passaggi successivi
- Per conoscere i concetti di base di Cloud VPN, consulta la panoramica di Cloud VPN.
- Per trovare informazioni sugli scenari di alta disponibilità e velocità effettiva elevata, o su più subnet, consulta Configurazioni avanzate.