疑難排解

本疑難排解指南可以協助您監控及解決 Cloud VPN 的常見問題。

如要中斷狀態訊息與 IKE 加密參考資料,請參閱參考資料一節。

如要瞭解記錄和監控資訊,請參閱「查看記錄和指標」。

如要瞭解本頁面使用的術語定義,請參閱 Cloud VPN 重要術語

錯誤訊息

如要查看錯誤訊息,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「VPN」VPN頁面。

    前往 VPN

  2. 如果看到狀態圖示,請將滑鼠游標懸停在圖示上方,查看錯誤訊息

在大多數情況下,錯誤訊息都可以協助您找出問題。如果找不出問題,請到您的記錄中尋找詳細資訊。您可以在 Google Cloud 控制台的「通道詳細資料」頁面中查看詳細的狀態資訊。

VPN 記錄

Cloud VPN 記錄儲存在 Cloud Logging。 記錄檔會自動產生,因此您不需要啟用這項功能。

如要瞭解如何查看連線對等互連閘道端的記錄,請參閱產品說明文件。

在大多數情況下,閘道都會正確設定,但主機與閘道之間的對等互連網路有問題,或是對等互連閘道與 Cloud VPN 閘道之間的網路有問題。

如要查看記錄,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往 Logs Explorer

  2. 請到記錄中查閱下列資訊:

    1. 確認 Cloud VPN 閘道上設定的遠端對等互連 IP 位址正確無誤。
    2. 確認從內部部署主機流出的流量能夠到達對等互連閘道。
    3. 確認在兩個 VPN 閘道之間流動的流量是雙向的。在 VPN 記錄中,查閱另一個 VPN 閘道報告的訊息。
    4. 確認通道兩邊的 IKE 版本設定相同。
    5. 確認通道兩邊的共用密鑰相同。
    6. 如果對等互連 VPN 閘道位於一對一 NAT 的背後,請確認 NAT 裝置已正確設定為透過通訊埠 5004500 將 UDP 流量轉送至對等互連 VPN 閘道。
    7. 如果 VPN 記錄顯示 no-proposal-chosen 錯誤,就表示 Cloud VPN 與對等互連 VPN 閘道無法同意同一組加密方式。對於 IKEv1,加密方式必須完全相同。 對於 IKEv2,必須有至少一種由每個閘道提出的通用加密方式。請務必使用支援的加密方式設定對等互連 VPN 閘道。
    8. 請務必設定對等互連和 Google Cloud 路由,以及防火牆規則,讓流量能周遊通道。您可能需要向網路管理員尋求協助。

  3. 如要找出特定問題,可以在記錄中搜尋下列字串:

    1. 在「Query builder」(查詢建立工具) 窗格中,輸入下表列出的其中一個進階查詢,搜尋特定事件,然後按一下「Run Query」(執行查詢)

    2. 視需要調整「直方圖」窗格中的時間範圍,然後按一下窗格中的「執行」。 如要進一步瞭解如何使用 Logs Explorer 查詢,請參閱「建構記錄查詢」。

      如要查看 使用這個 Logging 搜尋查詢
      Cloud VPN 初始化階段 1 (IKE SA) 
      resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      Cloud VPN 無法聯繫遠端對等閘道 
      resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
      IKE (階段 1) 驗證事件 
      resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      IKE 驗證成功 
      resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
      已建立階段 1 (IKE SA) 
      resource.type="vpn_gateway"
("IKE_SA" AND "established between")
      所有階段 2 (子項 SA) 事件,包括更換密鑰事件 
      resource.type="vpn_gateway"
"CHILD_SA"
      對等閘道要求階段 2 更換密鑰 
      resource.type="vpn_gateway"
detected rekeying of CHILD_SA
      對等閘道要求終止階段 2 (子項 SA) 
      resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
      Cloud VPN 要求終止階段 2 (子項 SA) 
      resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
      Cloud VPN 關閉階段 2 (子項 SA),可能是為了回應對等閘道的要求 
      resource.type="vpn_gateway" closing CHILD_SA
      Cloud VPN 自行關閉了階段 2 
      resource.type="vpn_gateway" CHILD_SA closed
      如果遠端流量選取器不相符 
      resource.type="vpn_gateway"
Remote traffic selectors narrowed
      如果本機流量選取器不相符 
      resource.type="vpn_gateway"
Local traffic selectors narrowed

連線能力

使用 ping 確認內部部署系統與 Google Cloud 虛擬機器 (VM) 執行個體之間的連線時,請考慮以下建議事項:

  • 確認 Google Cloud 網路的防火牆規則允許傳入 ICMP 流量。除非您修改設定,否則默示允許輸出規則允許網路外送 ICMP 流量。同樣的,請確認您的內部部署防火牆規則設定也允許傳入與外送 ICMP 流量。

  • 使用內部 IP 位址對 VM 和內部部署系統執行連線偵測 (ping) Google Cloud 。對 VPN 閘道的外部 IP 位址進行連線偵測 (ping) 並不會測試「通過」通道的連線。

  • 測試從內部部署到 Google Cloud的連線時,最好從網路上的系統啟動連線偵測 (ping),而不要從您的 VPN 閘道啟動。如果您設定適當的來源介面,便可從閘道進行連線偵測 (ping),但從網路上的執行個體進行連線偵測 (ping) 則會增加測試防火牆設定的優勢。

  • Ping 測試不會確認 TCP 或 UDP 通訊埠是否開啟。建立系統的基本連線後,即可使用 ping 執行其他測試。

計算網路總處理量

您可以在 Google Cloud 地端部署或第三方雲端位置,計算網路輸送量。這項資源包含如何分析結果、可能影響網路效能的變數說明,以及疑難排解提示。

常見問題及解決方案

由於 IP 範圍已保留,因此無法建立通道

您在設定時使用的對等互連 IP 位址落在 RFC 5737RFC 5735 保留的 IP 位址範圍內,因此 Cloud VPN 通道建立作業可能會失敗。

檢查並更新 VPN 通道設定,確保使用正確的 IP 範圍。

通道會定期故障幾秒鐘的時間

根據預設,Cloud VPN 會在現有安全關聯 (SA) 到期之前交涉替換 SA (又稱為「密鑰更換」)。對等 VPN 閘道可能沒有更換密鑰,而是只在刪除現有 SA 之後交涉新 SA,導致發生中斷情形。

如要檢查對等互連閘道是否更換密鑰,請查看 Cloud VPN 記錄。如果連線中斷,然後在 Received SA_DELETE 記錄訊息之後重新建立連線,即表示您的內部部署閘道沒有更換密鑰。

如要確認通道設定,請參閱「支援的 IKE 加密方式」文件。特別是,請確認階段 2 生命週期正確,而且 Diffie-Hellman (DH) 群組設定為其中一個建議的值。

如要在 Cloud VPN 通道中搜尋事件,可以使用 Logging 進階記錄篩選器。舉例來說,以下進階篩選器會搜尋 DH 群組不相符的情形:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

NAT 背後的內部部署閘道

Cloud VPN 可與 NAT 背後的內部部署或對等互連 VPN 閘道搭配使用,這是因為有了 UDP 封裝與 NAT-T 才得以實現的。系統僅支援一對一 NAT。

某些 VM 的連線正常,但某些 VM 的連線不正常

如果只有部分 VM 能透過 pingtraceroute 或其他流量傳送方法連線至內部部署系統,或只有部分內部部署系統能連線至部分Google Cloud VM,且您已確認 Google Cloud 和內部部署防火牆規則不會封鎖您傳送的流量,則可能是流量選取器排除特定來源或目的地。

流量選取器定義了 VPN 通道的 IP 位址範圍。除了路徑以外,大多數 VPN 實作都只會在同時滿足以下兩個條件的情況下,透過通道傳送封包:

  • 來源符合本機流量選取器指定的 IP 範圍。
  • 目的地符合遠端流量選取器指定的 IP 範圍。

您可以在建立傳統版 VPN 通道時,使用依據政策的轉送或依據路徑的 VPN 指定流量選取器。您也可以在建立對應的對等互連通道時指定流量選取器。

某些廠商使用例如「本機 Proxy」、「本機加密網域」或「左側網路」等術語做為「本機流量選取器」的同義詞。同樣的,「遠端 Proxy」、「遠端加密網域」或「右側網路」則是「遠端流量選取器」的同義詞。

如要變更傳統版 VPN 通道的流量選取器,您必須刪除重新建立通道。由於流量選取器是建立通道時不可或缺的一部分,而且無法日後編輯通道,因此需要先執行這些步驟。

定義流量選取器時,請遵守下列規定。

  • Cloud VPN 通道的本機流量選取器應包含虛擬私有雲網路中的所有子網路,您與對等互連網路共用時需要這些子網路。
  • 對等互連網路的本機流量選取器應包含您與虛擬私有雲網路共用時所需要的所有內部部署子網路。
  • 對於特定 VPN 通道而言,流量選取器具有下列關係:
    • Cloud VPN 本機流量選取器應與對等 VPN 閘道上通道的遠端流量選取器相符。
    • Cloud VPN 遠端流量選取器應與對等 VPN 閘道上通道的本機流量選取器相符。

不同區域中 VM 之間的網路延遲問題

如要判斷是否有延遲或封包遺失問題,請監控整個 Google Cloud 網路的效能。在Google Cloud 效能檢視畫面中,效能資訊主頁會顯示所有 Google Cloud的封包遺失和延遲時間指標。這些指標可協助您瞭解專案成效檢視畫面中顯示的問題是否為專案獨有。詳情請參閱「使用效能資訊主頁」。

無法將高可用性 VPN 閘道連線至傳統版 VPN 閘道

您無法將高可用性 VPN 閘道連線至傳統 VPN 閘道。如果您嘗試建立這項連線,Google Cloud 會傳回下列錯誤訊息:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

如要避免這個錯誤,請建立 VPN 通道,將高可用性 VPN 閘道連線至下列其中一個項目:

  • 另一個高可用性 VPN 閘道
  • 不在 Google Cloud中代管的外部 VPN 閘道
  • Compute Engine 虛擬機器 (VM) 執行個體

無法透過高可用性 VPN 連線至外部目的地

使用高可用性 VPN 閘道時, Google Cloud 資源只會透過 VPN 通道連線至對等互連路由器 advertise 的目的地。

如果無法連線至遠端目的地,請確認對等路由器是否正在宣傳目的地的 IP 範圍。

IPv6 流量未經過轉送

如果無法順利連線至 IPv6 主機,請按照下列步驟操作:

  1. 確認 IPv4 路徑是否正確放送。如果系統未通告 IPv4 路由,請參閱「排解 BGP 路由和路由選取問題」。
  2. 檢查防火牆規則,確認允許 IPv6 流量。
  3. 確認虛擬私有雲網路和內部部署網路沒有重疊的 IPv6 子網路範圍。請參閱「檢查子網路範圍是否重疊」。
  4. 判斷您是否已超過 Cloud Router 中已知路徑的任何配額和限制。如果超過已知路徑的配額,系統會先捨棄 IPv6 前置字元,再捨棄 IPv4 前置字元。請參閱「檢查配額和限制」。
  5. 確認所有需要 IPv6 設定的元件都已正確設定。
    • 虛擬私有雲網路已啟用使用內部 IPv6 位址,並設有 --enable-ula-internal-ipv6 旗標。
    • 虛擬私有雲子網路已設定為使用 IPV4_IPV6 堆疊類型。
    • 虛擬私有雲子網路已將 --ipv6-access-type 設為 INTERNAL
    • 子網路上的 Compute Engine VM 已設定 IPv6 位址。
    • 高可用性 VPN 閘道已設定為使用 IPV4_IPV6 堆疊類型。
    • BGP 對等互連已啟用 IPv6,且已為 BGP 工作階段設定正確的 IPv6 下一個躍點位址。

疑難排解參考資料

本節包含狀態圖示、狀態訊息和支援的 IKE 加密方式相關資訊。

狀態圖示

Cloud VPN 在 Google Cloud 控制台中使用下列狀態圖示。

圖示圖形 顏色 說明 適用訊息
綠色成功圖示
 綠色 成功 已建立
黃色警告圖示
 黃色 警告 正在配置資源、初次交握、正在等待完整設定、佈建中
紅色錯誤圖示
 紅色 錯誤 其餘所有訊息

狀態訊息

Cloud VPN 使用下列狀態訊息來指示 VPN 閘道與通道狀態。VPN 通道會依據指示的狀態計費

訊息 說明 通道在此狀態下是否計費?
正在配置資源 正在配置用來設定通道的資源。
佈建中 正在等待接收設定通道的所有設定。
正在等待完整設定 已接收完整設定,但通道尚未建立完成。
初次交握 正在建立通道。
已建立 安全的通訊工作階段已經成功建立。
網路錯誤
(已取代為「沒有任何連入封包」)		 IPsec 授權無效。
授權錯誤 交握失敗。
交涉失敗 通道設定遭拒,可能是因為已加入拒絕清單。
正在取消佈建 通道正在關閉。
沒有任何連入封包 閘道無法接收來自內部部署 VPN 的任何封包。
已拒絕 通道設定遭拒,請與支援小組聯絡
已停止 通道已停止,未啟用;可能是因為刪除了 VPN 通道的一或多個必要轉送規則所致。

IKE 加密方式參考資料

Cloud VPN 支援對等互連 VPN 裝置或 VPN 服務的加密方式和設定參數。只要對等互連端使用支援的 IKE 密碼設定,Cloud VPN 就會自動協商連線。

如需完整的 IKE 加密參考資料,請參閱「支援的 IKE 加密方式」。

後續步驟

  • 如要瞭解 Cloud VPN 的基本概念,請參閱 Cloud VPN 總覽
  • 如要瞭解高可用性、高總處理量情境或多個子網路情境,請參閱進階設定