פתרון בעיות

המדריך הזה לפתרון בעיות יכול לעזור לכם לעקוב אחרי בעיות נפוצות ב-Cloud VPN ולפתור אותן.

כדי להבין את הודעות הסטטוס ואת ההפניות להצפנת IKE, אפשר לעיין בקטע הפניה.

מידע על רישום ביומן ומעקב זמין במאמר צפייה ביומנים ובמדדים.

הגדרות של המונחים שמופיעים בדף הזה מפורטות במאמר בנושא מונחים מרכזיים ב-Cloud VPN.

הודעות שגיאה

כדי לבדוק את הודעות השגיאה, פועלים לפי השלבים הבאים:

1. נכנסים לדף VPN במסוף Google Cloud .

   מעבר ל-VPN

2. אם מופיע סמל סטטוס, מעבירים מעליו את העכבר כדי לראות את הודעת השגיאה.

לרוב, הודעת השגיאה יכולה לעזור לכם לזהות את הבעיה. אם לא, כדאי לעיין ביומנים כדי לקבל מידע נוסף. אפשר למצוא מידע מפורט על הסטטוס במסוף Google Cloud בדף פרטי המנהרה.

יומני VPN

יומני Cloud VPN מאוחסנים ב-Cloud Logging. הרישום מתבצע באופן אוטומטי, כך שאין צורך להפעיל אותו.

מידע על צפייה ביומנים בצד שער העמיתים של החיבור זמין במאמרי העזרה של המוצר.

לרוב, השערים מוגדרים בצורה נכונה, אבל יש בעיה ברשת העמיתים בין המארחים לבין השער, או שיש בעיה ברשת בין שער העמיתים לבין שער Cloud VPN.

כדי לבדוק את היומנים, פועלים לפי השלבים הבאים:

1. נכנסים לדף Logs Explorer במסוף Google Cloud .

   כניסה לדף Logs Explorer

2. בודקים ביומנים את הפרטים הבאים:

   1. מוודאים שכתובת ה-IP של עמית מרוחק שהוגדרה בשער Cloud VPN נכונה.
   2. מוודאים שהתנועה שמגיעה מהמארחים המקומיים מגיעה לשער העמית.
   3. מוודאים שהתנועה זורמת בין שני שערים של VPN בשני הכיוונים. ביומני ה-VPN, בודקים אם יש דיווח על הודעות נכנסות משער ה-VPN השני.
   4. בודקים שגרסאות ה-IKE שהוגדרו זהות בשני הצדדים של המנהרה.
   5. בודקים שהסוד לשימוש עם טוקן צרכן זהה בשני הצדדים של המנהרה.
   6. אם שער ה-VPN של עמית נמצא מאחורי NAT של אחד לאחד, צריך לוודא שהגדרתם את מכשיר ה-NAT בצורה נכונה כדי להעביר תעבורת UDP לשער ה-VPN של העמית ביציאות 500 ו-4500.
   7. אם ביומני ה-VPN מופיעה שגיאת no-proposal-chosen, השגיאה הזו מציינת ש-Cloud VPN ושער ה-VPN של העמית לא הצליחו להסכים על קבוצה של צפנים. ב-IKEv1, קבוצת ההצפנות צריכה להיות זהה לחלוטין. ב-IKEv2, כל שער צריך להציע לפחות צופן משותף אחד. חשוב לוודא שאתם משתמשים בהצפנות נתמכות כדי להגדיר את שער ה-VPN של העמית.
   8. חשוב לוודא שהגדרתם את הקישור בין רשתות שכנות (peering) ואת המסלולים ואת כללי חומת האש, כדי שתעבורת הנתונים תוכל לעבור במנהרה. Google Cloud יכול להיות שתצטרכו לפנות לאדמין של הרשת כדי לקבל עזרה.

3. כדי למצוא בעיות ספציפיות, אפשר לחפש ביומנים את המחרוזות הבאות:

   1. בחלונית Query builder, מזינים אחת מהשאילתות המתקדמות שמופיעות בטבלה הבאה כדי לחפש אירוע מסוים, ולוחצים על Run Query.

   2. משנים את מסגרת הזמן בחלונית היסטוגרמה לפי הצורך, ואז לוחצים על הפעלה בחלונית. מידע נוסף על שליחת שאילתות באמצעות Logs Explorer זמין במאמר יצירת שאילתות ביומן.

      כדי לראות	שימוש בחיפוש הזה ביומן
      ‫Cloud VPN מתחיל את שלב 1 (IKE SA)	resource.type="vpn_gateway" ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      ל-Cloud VPN אין אפשרות ליצור קשר עם עמית מרוחק	resource.type="vpn_gateway" "establishing IKE_SA failed, peer not responding"
      אירועי אימות של IKE (שלב 1)	resource.type="vpn_gateway" ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      אימות IKE מוצלח	resource.type="vpn_gateway" ("authentication of" AND "with pre-shared key successful")
      שלב 1 (IKE SA) נוצר	resource.type="vpn_gateway" ("IKE_SA" AND "established between")
      כל האירועים בשלב 2 (SA צאצא), כולל אירועי החלפת מפתח	resource.type="vpn_gateway" "CHILD_SA"
      העמית מבקש החלפת מפתחות בשלב 2	resource.type="vpn_gateway" detected rekeying of CHILD_SA
      העמית מבקש לסיים את שלב 2 (Child SA)	resource.type="vpn_gateway" received DELETE for ESP CHILD_SA
      Cloud VPN מבקש לסיים את שלב 2 (Child SA)	resource.type="vpn_gateway" sending DELETE for ESP CHILD_SA
      ‫Cloud VPN סוגר את שלב 2 (Child SA), אולי בתגובה לצד העמית	resource.type="vpn_gateway" closing CHILD_SA
      Cloud VPN סגר את שלב 2 בעצמו	resource.type="vpn_gateway" CHILD_SA closed
      אם סלקטורים של תנועה מרחוק לא תואמים	resource.type="vpn_gateway" Remote traffic selectors narrowed
      אם סלקטורים של תנועה מקומית לא תואמים	resource.type="vpn_gateway" Local traffic selectors narrowed

קישוריות

ההצעות הבאות יעזרו לכם להשתמש ב-ping כדי לאמת את הקישוריות בין מערכות מקומיות לבין מכונות וירטואליות (VM): Google Cloud

• מוודאים שכללי חומת האש ב Google Cloud רשת מאפשרים תעבורת ICMP נכנסת. כלל ברירת המחדל שמאפשר יציאה מאפשר תנועת ICMP יוצאת מהרשת שלכם, אלא אם ביטלתם אותו. באופן דומה, צריך לוודא שכללי חומת האש המקומית מוגדרים כך שהם מאפשרים תעבורת נתונים נכנסת ויוצאת מסוג ICMP.

• משתמשים בכתובות IP פנימיות כדי לבצע פינג למכונות וירטואליות ולמערכות מקומיות. Google Cloud פינג לכתובות IP חיצוניות של שערים ל-VPN לא בודק את הקישוריות דרך המנהרה.

• כשבודקים את הקישוריות משרת מקומי אל Google Cloud, מומלץ להפעיל פינג ממערכת ברשת ולא משער ה-VPN. אפשר לבצע פינג משער אם מגדירים את ממשק המקור המתאים, אבל לביצוע פינג ממופע ברשת יש יתרון נוסף: בדיקה של הגדרת חומת האש.

• בדיקות Ping לא מאמתות שיציאות TCP או UDP פתוחות. אחרי שמוודאים שיש למערכות קישוריות בסיסית, אפשר להשתמש ב-ping כדי לבצע בדיקות נוספות.

חישוב של קצב העברת הנתונים ברשת

אתם יכולים לחשב את קצב העברת הנתונים ברשת בתוך Google Cloud ובמיקומים שלכם בפריסה מקומית או בענן של צד שלישי. במקור המידע הזה מוסבר איך לנתח את התוצאות, יש הסברים על משתנים שיכולים להשפיע על ביצועי הרשת וטיפים לפתרון בעיות.

בעיות נפוצות ופתרונות

יצירת המנהרה נכשלת בגלל טווחי כתובות IP שמורים

יכול להיות שיצירת מנהרת Cloud VPN תיכשל כי כתובת ה-IP של ה-peer שבה השתמשתם בזמן ההגדרה נמצאת בטווח כתובות ה-IP השמורות של RFC 5737 או RFC 5735.

בודקים ומעדכנים את ההגדרות של מנהרת ה-VPN כדי לוודא שנעשה שימוש בטווחים הנכונים של כתובות IP.

הטונל מפסיק לפעול מדי פעם למשך כמה שניות

כברירת מחדל, ‏Cloud VPN מנהל משא ומתן על שיוך אבטחה (SA) חלופי לפני שהשיוך הקיים פג (תהליך שנקרא גם החלפת מפתח). יכול להיות ששער ה-VPN שלכם לא מבצע החלפת מפתחות. במקום זאת, יכול להיות שהוא ינהל משא ומתן על SA חדש רק אחרי מחיקת ה-SA הקיים, מה שגורם להפרעות.

כדי לבדוק אם שער העמיתים מבצע rekeying, אפשר לעיין ביומנים של Cloud VPN. אם החיבור נפל ואז חודש מיד אחרי הודעת יומן Received SA_DELETE, שער ה-on-premises לא יצר מפתח חדש.

כדי לאמת את הגדרות המנהרה, אפשר לעיין במסמך צפנים נתמכים של IKE. חשוב במיוחד לוודא שמשך החיים של שלב 2 נכון, ושהקבוצה של Diffie-Hellman ‏ (DH) מוגדרת לאחד מהערכים המומלצים.

כדי לחפש אירועים במנהרת Cloud VPN, אפשר להשתמש במסנן מתקדם של יומן ב-Logging. לדוגמה, המסנן המתקדם הבא מחפש אי התאמות בקבוצת DH:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

שערים מקומיים מאחורי NAT

שירות Cloud VPN יכול לפעול עם שערי VPN מקומיים או שערי VPN של רשתות שכנות שנמצאים מאחורי NAT. זה מתאפשר בזכות אנקפסולציה של UDP ו-NAT-T. יש תמיכה רק ב-NAT של כתובת אחת לכתובת אחת.

החיבור פועל בחלק מהמכונות הווירטואליות, אבל לא באחרות

אם שיטות כמו ping,‏ traceroute או שיטות אחרות לשליחת תנועה פועלות רק מחלק מהמכונות הווירטואליות למערכות המקומיות, או רק מחלק מהמערכות המקומיות לחלק מהמכונות הווירטואליותGoogle Cloud , ואימתתם שכללי חומת האש Google Cloud והמקומיים לא חוסמים את התנועה שאתם שולחים, יכול להיות שיש לכם בוררי תנועה שמוציאים מכלל אפשרות מקורות או יעדים מסוימים.

בוררי תנועה מגדירים את טווחי כתובות ה-IP למנהרת VPN. בנוסף למסלולים, רוב ההטמעות של VPN מעבירות מנות דרך מנהרה רק אם מתקיימים שני התנאים הבאים:

• המקורות שלהם נמצאים בטווח כתובות ה-IP שצוין בבורר התנועה המקומי.
• היעדים שלהם נמצאים בטווח כתובות ה-IP שצוין בבורר התנועה המרוחק.

מציינים סלקטורים של תנועה כשיוצרים מנהרת VPN קלאסית באמצעות ניתוב על סמך מדיניות או VPN מבוסס-ניתוב. כשיוצרים את מנהרת ה-VPN המתאימה, מציינים גם את בוררי התנועה.

ספקים מסוימים משתמשים במונחים כמו local proxy,‏ local encryption domain או left side network כמילים נרדפות ל-local traffic selector. באופן דומה, remote proxy,‏ remote encryption domain או right side network הם מילים נרדפות ל-remote traffic selector.

כדי לשנות את בוררי התנועה במנהרת VPN קלאסית, צריך למחוק את המנהרה וליצור אותה מחדש. השלבים האלה נדרשים כי בוררי התנועה הם חלק בלתי נפרד מיצירת המנהרה, ואי אפשר לערוך את המנהרות מאוחר יותר.

כשמגדירים בוררי תנועה, חשוב לפעול לפי ההנחיות הבאות:

• בורר התעבורה המקומי למנהרת Cloud VPN צריך לכלול את כל רשתות המשנה ברשת VPC שרוצים לשתף עם הרשת השכנה.
• בורר התעבורה המקומית ברשת העמיתים צריך לכלול את כל רשתות המשנה המקומיות שאתם צריכים לשתף עם רשת ה-VPC.
• במנהרת VPN נתונה, יש את הקשרים הבאים בין בוררי התנועה:
  • הבורר המקומי של תנועת הנתונים ב-Cloud VPN צריך להיות זהה לבורר המרוחק של תנועת הנתונים במנהרה בשער ה-VPN השכן.
  • בורר התנועה המרוחק של Cloud VPN צריך להיות זהה לבורר התנועה המקומי של המנהרה בשער ה-VPN השכן.

בעיות של זמן אחזור ברשת בין מכונות וירטואליות באזורים שונים

כדי לבדוק אם יש בעיות של זמן אחזור או אובדן מנות, צריך לעקוב אחרי הביצועים של כל רשת Google Cloud . בתצוגת הביצועים Google Cloud , לוח הבקרה לביצועי הענן מציג את מדדי אובדן המידע וזמן האחזור בכל Google Cloud. המדדים האלה יכולים לעזור לכם להבין אם הבעיות שמוצגות בתצוגת הביצועים של הפרויקט ייחודיות לפרויקט שלכם. מידע נוסף זמין במאמר בנושא שימוש בלוח בקרה לביצועי הענן.

אי אפשר לחבר שער HA VPN לשער VPN קלאסי

אי אפשר לקשר שער HA VPN לשער VPN קלאסי. אם מנסים ליצור את החיבור הזה, הפונקציהGoogle Cloud מחזירה את הודעת השגיאה הבאה:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

כדי למנוע את השגיאה הזו, צריך ליצור מנהרת VPN שמחברת את שער ה-HA VPN לאחד מהבאים:

• שער HA VPN נוסף
• שער VPN חיצוני שלא מתארח ב- Google Cloud
• מכונות וירטואליות (VM) של Compute Engine

לא ניתן להתחבר ליעד חיצוני דרך HA VPN

כשמשתמשים בשער HA VPN, Google Cloud המשאבים משתמשים במנהרת ה-VPN כדי להתחבר רק ליעדים שמפורסמים על ידי נתב ה-Peer.

אם אין לכם אפשרות להתחבר ליעד מרוחק, ודאו שהנתב העמית מפרסם את טווח כתובות ה-IP של היעד.

תעבורת נתונים ב-IPv6 לא מנותבת

אם אתם נתקלים בבעיות בחיבור למארחי IPv6, אתם יכולים לבצע את הפעולות הבאות:

1. מוודאים שפרסום המסלולים של IPv4 מתבצע בצורה תקינה. אם מסלולי IPv4 לא מפורסמים, אפשר לעיין במאמר פתרון בעיות במסלולי BGP ובבחירת מסלולים.
2. בודקים את כללי חומת האש כדי לוודא שאתם מאפשרים תנועה ב-IPv6.
3. מוודאים שאין חפיפה בין טווחי רשתות המשנה של IPv6 ברשת ה-VPC וברשת המקומית. איך בודקים טווחי רשתות משנה חופפים
4. בודקים אם חרגתם ממכסות וממגבלות כלשהן במסלולים שנלמדו ב-Cloud Router. אם חרגתם מהמכסה של מסלולים שנלמדו, קידומות IPv6 יימחקו לפני קידומות IPv4. איך בודקים מכסות ומגבלות
5. מוודאים שכל הרכיבים שנדרשת בהם הגדרת IPv6 הוגדרו בצורה נכונה.
   • השימוש בכתובות IPv6 פנימיות מופעל ברשת ה-VPC באמצעות הדגל --enable-ula-internal-ipv6.
   • רשת המשנה של ה-VPC מוגדרת לשימוש בסוג הערימה IPV4_IPV6.
   • התת-רשת של ה-VPC מוגדרת עם הערך --ipv6-access-type ל-INTERNAL.
   • המכונות הווירטואליות ב-Compute Engine ברשת המשנה מוגדרות עם כתובות IPv6.
   • שער ה-HA VPN מוגדר לשימוש בסוג הערימה IPV4_IPV6.
   • ב-BGP peer מופעל IPv6 ומוגדרות כתובות נכונות של IPv6 next hop עבור סשן ה-BGP.
     • כדי לראות את הסטטוס והמסלולים של Cloud Router, אפשר לעיין במאמר הצגת הסטטוס והמסלולים של Cloud Router.
     • כדי לראות את הגדרת סשן BGP, אפשר לעיין במאמר בנושא הצגת הגדרת סשן BGP.

מידע לפתרון בעיות

בקטע הזה מופיע מידע על סמלי סטטוס, הודעות סטטוס וצפנים נתמכים של IKE.

סמלי סטטוס

במסוף Google Cloud , Cloud VPN משתמש בסמלי הסטטוס הבאים.

גרפיקה של סמל	צבע	תיאור	ההגדרה חלה על הודעות
	ירוק	הפעולה הצליחה	הוקם
	צהוב	אזהרה	הקצאת משאבים, לחיצת יד ראשונה, המתנה להגדרה מלאה, הקצאת הרשאות
	אדום	שגיאה	כל ההודעות שנותרו

הודעות סטטוס

כדי לציין את המצבים של שער ה-VPN ומנהרת ה-VPN, ב-Cloud VPN נעשה שימוש בהודעות הסטטוס הבאות. מנהרת ה-VPN מחויבת על סמך המצבים שצוינו.

הפניה לצופן IKE

‫Cloud VPN תומך בהצפנות ובפרמטרים של הגדרות למכשירי VPN או לשירותי VPN של עמיתים. ‫Cloud VPN מנהל משא ומתן אוטומטי על החיבור כל עוד הצד השני משתמש בהגדרת הצפנה נתמכת של IKE.

לעיון ברשימה המלאה של הצפנות IKE, אפשר לעבור אל הצפנות IKE הנתמכות.

המאמרים הבאים

• כדי לקרוא על המושגים הבסיסיים של Cloud VPN, אפשר לעיין בסקירה הכללית של Cloud VPN.
• מידע על תרחישים של זמינות גבוהה, תפוקה גבוהה או תרחישים של כמה רשתות משנה זמין במאמר הגדרות מתקדמות.