Risoluzione dei problemi

Questa guida alla risoluzione dei problemi può aiutarti a monitorare e risolvere i problemi comuni di Cloud VPN.

Per interpretare i messaggi di stato e i riferimenti ai cifrari IKE, consulta la sezione Riferimento.

Per trovare informazioni su logging e monitoraggio, consulta Visualizzare log e metriche.

Per trovare le definizioni della terminologia utilizzata in questa pagina, consulta Termini chiave di Cloud VPN.

Messaggi di errore

Per controllare i messaggi di errore:

  1. Nella console Google Cloud , vai alla pagina VPN.

    Vai alla VPN

  2. Se vedi un'icona di stato, passa il mouse sopra di essa per visualizzare il messaggio di errore.

Spesso, il messaggio di errore può aiutarti a individuare il problema. In caso contrario, controlla i log per maggiori informazioni. Puoi trovare informazioni dettagliate sullo stato nella console Google Cloud nella pagina Dettagli tunnel.

Log VPN

I log di Cloud VPN vengono archiviati in Cloud Logging. La registrazione è automatica, quindi non è necessario attivarla.

Per informazioni sulla visualizzazione dei log per il lato gateway peer della connessione, consulta la documentazione del prodotto.

Spesso i gateway sono configurati correttamente, ma si verifica un problema nella rete peer tra gli host e il gateway oppure nella rete tra il gateway peer e il gateway Cloud VPN.

Per controllare i log:

  1. Nella console Google Cloud , vai alla pagina Esplora log.

    Vai a Esplora log

  2. Controlla i log per trovare le seguenti informazioni:

    1. Verifica che l'indirizzo IP del peer remoto configurato sul gateway Cloud VPN sia corretto.
    2. Verifica che il traffico proveniente dagli host on-premise raggiunga il gateway peer.
    3. Verifica che il traffico scorra tra i due gateway VPN in entrambe le direzioni. Nei log VPN, controlla la presenza di messaggi in entrata segnalati dall'altro gateway VPN.
    4. Verifica che le versioni IKE configurate siano le stesse su entrambi i lati del tunnel.
    5. Verifica che il segreto condiviso sia lo stesso su entrambi i lati del tunnel.
    6. Se il gateway VPN peer si trova dietro NAT uno-a-uno, assicurati di aver configurato correttamente il dispositivo NAT per inoltrare il traffico UDP al gateway VPN peer sulle porte 500 e 4500.
    7. Se i log VPN mostrano un errore no-proposal-chosen, questo errore indica che Cloud VPN e il gateway VPN peer non sono riusciti a concordare un insieme di algoritmi di crittografia. Per IKEv1, l'insieme di cifrari deve corrispondere esattamente. Per IKEv2, deve essere presente almeno una crittografia comune proposta da ciascun gateway. Assicurati di utilizzare cifratura supportata per configurare il gateway VPN peer.
    8. Assicurati di configurare le route e le regole firewall del peer e di Google Cloud in modo che il traffico possa attraversare il tunnel. Potrebbe essere necessario contattare l'amministratore di rete per ricevere assistenza.

  3. Per trovare problemi specifici, puoi cercare le seguenti stringhe nei log:

    1. Nel riquadro Query Builder, inserisci una delle query avanzate elencate nella tabella seguente per cercare un evento specifico e fai clic su Esegui query.

    2. Regola l'intervallo di tempo nel riquadro Istogramma in base alle esigenze, quindi fai clic su Esegui all'interno del riquadro. Per saperne di più sull'utilizzo di Esplora log per le query, vedi Creazione di query sui log.

      Per visualizzare Utilizza questa ricerca di Logging
      Cloud VPN avvia la fase 1 (IKE SA) 
      resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      Cloud VPN non può contattare il peer remoto 
      resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
      Eventi di autenticazione IKE (fase 1) 
      resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      Autenticazione IKE riuscita 
      resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
      Fase 1 (IKE SA) stabilita 
      resource.type="vpn_gateway"
("IKE_SA" AND "established between")
      Tutti gli eventi della fase 2 (SA figlio), inclusi gli eventi di riassegnazione delle chiavi 
      resource.type="vpn_gateway"
"CHILD_SA"
      Il peer chiede la riassegnazione della chiave di fase 2 
      resource.type="vpn_gateway"
detected rekeying of CHILD_SA
      Peer asks to terminate Phase 2 (Child SA) 
      resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
      Cloud VPN chiede di terminare la fase 2 (SA secondaria) 
      resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
      Cloud VPN chiude la fase 2 (SA figlio), forse in risposta al peer 
      resource.type="vpn_gateway" closing CHILD_SA
      Cloud VPN ha chiuso la fase 2 
      resource.type="vpn_gateway" CHILD_SA closed
      Se i selettori di traffico remoti non corrispondono 
      resource.type="vpn_gateway"
Remote traffic selectors narrowed
      Se i selettori di traffico locali non corrispondono 
      resource.type="vpn_gateway"
Local traffic selectors narrowed

Connettività

Prendi in considerazione i seguenti suggerimenti quando utilizzi ping per verificare la connettività tra i sistemi on-premise e le istanze di macchine virtuali (VM) Google Cloud :

  • Assicurati che le regole firewall nella tua rete Google Cloud consentano il traffico ICMP in entrata. La regola implicita di autorizzazione in uscita consente il traffico ICMP in uscita dalla tua rete, a meno che tu non l'abbia sostituita. Allo stesso modo, assicurati che le regole firewall on-premise siano configurate anche per consentire il traffico ICMP in entrata e in uscita.

  • Utilizza indirizzi IP interni per eseguire il ping delle VM e dei sistemi on-premise. Google Cloud L'invio di un ping agli indirizzi IP esterni dei gateway VPN non verifica la connettività tramite il tunnel.

  • Quando testi la connettività da on-premise a Google Cloud, è meglio avviare un ping da un sistema sulla tua rete, non dal gateway VPN. Il ping da un gateway è possibile se imposti l'interfaccia di origine appropriata, ma il ping da un'istanza sulla tua rete ha il vantaggio aggiuntivo di testare la configurazione del firewall.

  • I test Ping non verificano che le porte TCP o UDP siano aperte. Dopo aver verificato che i sistemi dispongono di una connettività di base, puoi utilizzare ping per eseguire test aggiuntivi.

Calcolare la velocità effettiva di rete

Puoi calcolare la velocità effettiva della rete all'interno di Google Cloud e verso le tue posizioni on-premise o cloud di terze parti. Questa risorsa include informazioni su come analizzare i risultati, spiegazioni delle variabili che possono influire sul rendimento della rete e suggerimenti per la risoluzione dei problemi.

Problemi e soluzioni comuni

La creazione del tunnel non riesce a causa di intervalli IP riservati

La creazione del tunnel Cloud VPN potrebbe non riuscire perché l'indirizzo IP peer che hai utilizzato al momento della configurazione rientra nell'intervallo di indirizzi IP riservati RFC 5737 o RFC 5735.

Controlla e aggiorna la configurazione del tunnel VPN per assicurarti che vengano utilizzati gli intervalli IP corretti.

La galleria si interrompe regolarmente per alcuni secondi

Per impostazione predefinita, Cloud VPN negozia un'associazione di sicurezza (SA) sostitutiva prima che quella esistente scada (operazione nota anche come rigenerazione della chiave). Il gateway VPN peer potrebbe non eseguire la riassegnazione delle chiavi. Invece, potrebbe negoziare un nuovo SA solo dopo aver eliminato quello esistente, causando interruzioni.

Per verificare se il gateway peer esegue la riassegnazione delle chiavi, visualizza i log di Cloud VPN. Se la connessione si interrompe e viene ristabilita subito dopo un messaggio di log Received SA_DELETE, il gateway on-premise non ha eseguito il rekey.

Per verificare le impostazioni del tunnel, consulta il documento Cifrari IKE supportati. In particolare, assicurati che la durata della fase 2 sia corretta e che un gruppo Diffie-Hellman (DH) sia impostato su uno dei valori consigliati.

Per cercare eventi nel tunnel Cloud VPN, puoi utilizzare un filtro avanzato dei log di Logging. Ad esempio, il seguente filtro avanzato cerca le mancate corrispondenze del gruppo DH:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

Gateway on-premise dietro NAT

Cloud VPN può funzionare con gateway VPN on-premise o peer che si trovano dietro NAT. Ciò è reso possibile dall'incapsulamento UDP e da NAT-T. È supportato solo il NAT uno-a-uno.

La connettività funziona per alcune VM, ma non per altre

Se ping, traceroute o altri metodi di invio del traffico funzionano solo da alcune VM ai tuoi sistemi on-premise o solo da alcuni sistemi on-premise ad alcune VMGoogle Cloud e hai verificato che le regole firewall Google Cloud e on-premise non bloccano il traffico che stai inviando, potresti avere selettori di traffico che escludono determinate origini o destinazioni.

I selettori di traffico definiscono gli intervalli di indirizzi IP per un tunnel VPN. Oltre alle route, la maggior parte delle implementazioni VPN passa i pacchetti attraverso un tunnel solo se sono vere entrambe le seguenti condizioni:

  • Le relative origini rientrano negli intervalli IP specificati nel selettore del traffico locale.
  • Le loro destinazioni rientrano negli intervalli IP specificati nel selettore di traffico remoto.

Specifichi i selettori del traffico quando crei un tunnel VPN classica utilizzando il routing basato su policy o una VPN basata su route. Specifichi anche i selettori di traffico quando crei il tunnel peer corrispondente.

Alcuni fornitori utilizzano termini come proxy locale, dominio di crittografia locale o rete lato sinistro come sinonimi di selettore del traffico locale. Allo stesso modo, proxy remoto, dominio di crittografia remoto o rete lato destro sono sinonimi di selettore di traffico remoto.

Per modificare i selettori di traffico per un tunnel VPN classica, devi eliminarlo e ricrearlo. Questi passaggi sono necessari perché i selettori di traffico sono parte integrante della creazione del tunnel e i tunnel non possono essere modificati in un secondo momento.

Segui queste indicazioni quando definisci i selettori di traffico:

  • Il selettore di traffico locale per il tunnel Cloud VPN deve coprire tutte le subnet nella rete Virtual Private Cloud (VPC) che devi condividere con la rete peer.
  • Il selettore di traffico locale per la rete peer deve coprire tutte le subnet on-premise che devi condividere con la rete VPC.
  • Per un determinato tunnel VPN, i selettori di traffico hanno la seguente relazione:
    • Il selettore di traffico locale di Cloud VPN deve corrispondere al selettore di traffico remoto per il tunnel sul gateway VPN peer.
    • Il selettore di traffico remoto di Cloud VPN deve corrispondere al selettore di traffico locale per il tunnel sul gateway VPN peer.

Problemi di latenza di rete tra VM in regioni diverse

Per determinare se si verificano problemi di latenza o perdita di pacchetti, monitora le prestazioni dell'intera Google Cloud rete. Nella Google Cloud visualizzazione del rendimento, Performance Dashboard mostra le metriche relative alla perdita di pacchetti e alla latenza in tutto Google Cloud. Queste metriche possono aiutarti a capire se i problemi evidenti nella visualizzazione del rendimento del progetto sono specifici del tuo progetto. Per ulteriori dettagli, vedi Utilizzare Performance Dashboard.

Impossibile connettere un gateway VPN ad alta disponibilità a un gateway VPN classica

Non puoi connettere un gateway VPN ad alta disponibilità a un gateway VPN classica. Se provi a creare questa connessione, Google Cloud restituisce il seguente messaggio di errore:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

Per evitare questo errore, crea un tunnel VPN che connetta il tuo gateway VPN ad alta disponibilità a uno dei seguenti elementi:

  • Un altro gateway VPN ad alta disponibilità
  • Un gateway VPN esterno non ospitato in Google Cloud
  • Istanze di macchine virtuali (VM) Compute Engine

Impossibile connettersi alla destinazione esterna tramite la VPN ad alta disponibilità

Quando utilizzi un gateway VPN ad alta disponibilità, Google Cloud le risorse utilizzano il tunnel VPN per connettersi solo alle destinazioni pubblicizzate dal router peer.

Se non riesci a connetterti a una destinazione remota, assicurati che il router peer stia pubblicizzando l'intervallo IP della destinazione.

Il traffico IPv6 non viene instradato

Se hai difficoltà a connetterti agli host IPv6, procedi nel seguente modo:

  1. Verifica che le route IPv4 vengano pubblicizzate correttamente. Se le route IPv4 non vengono annunciate, consulta Risolvere i problemi relativi alle route BGP e alla selezione delle route.
  2. Controlla le regole firewall per assicurarti di consentire il traffico IPv6.
  3. Verifica di non avere intervalli di subnet IPv6 sovrapposti nella rete VPC e nella rete on-premise. Consulta Controllare gli intervalli di subnet sovrapposti.
  4. Determina se hai superato quote e limiti per le route apprese nel router Cloud. Se hai superato la quota per le route apprese, i prefissi IPv6 vengono eliminati prima dei prefissi IPv4. Consulta Controllare quote e limiti.
  5. Verifica che tutti i componenti che richiedono la configurazione IPv6 siano stati configurati correttamente.
    • La rete VPC ha abilitato l'utilizzo di indirizzi IPv6 interni con il flag --enable-ula-internal-ipv6.
    • La subnet VPC è configurata per utilizzare il tipo di stack IPV4_IPV6.
    • La subnet VPC ha --ipv6-access-type impostato su INTERNAL.
    • Le VM Compute Engine nella subnet sono configurate con indirizzi IPv6.
    • Il gateway VPN ad alta disponibilità è configurato per utilizzare il tipo di stack IPV4_IPV6.
    • Il peer BGP ha abilitato IPv6 e gli indirizzi hop successivo IPv6 corretti sono configurati per la sessione BGP.

Riferimento per la risoluzione dei problemi

Questa sezione include informazioni su icone di stato, messaggi di stato e cifratura IKE supportata.

Icone di stato

Cloud VPN utilizza le seguenti icone di stato nella console Google Cloud .

Icona Colore Descrizione Si applica ai messaggi
Icona verde di operazione riuscita
 Verde Operazione riuscita CONSOLIDATO
Icona di avviso gialla
 Giallo Avviso ALLOCAZIONE DELLE RISORSE, PRIMO HANDSHAKE, ATTESA DELLA CONFIGURAZIONE COMPLETA, PROVISIONING
Icona di errore rossa
 Rosso Errore Tutti i messaggi rimanenti

Messaggi di stato

Per indicare gli stati del gateway VPN e del tunnel, Cloud VPN utilizza i seguenti messaggi di stato. Il tunnel VPN viene fatturato per gli stati indicati.

Messaggio Descrizione Il tunnel viene fatturato in questo stato?
ALLOCAZIONE DELLE RISORSE Assegnazione delle risorse per configurare il tunnel.
PROVISIONING In attesa di ricevere tutte le configurazioni per impostare il tunnel. No
IN ATTESA DELLA CONFIGURAZIONE COMPLETA È stata ricevuta la configurazione completa, ma non è ancora stato stabilito un tunnel.
FIRST HANDSHAKE Stabilire il tunnel.
CONSOLIDATO Una sessione di comunicazione sicura è stata stabilita correttamente.
ERRORE DI RETE
(sostituito da NO INCOMING PACKETS)		 Autorizzazione IPsec non valida.
ERRORE DI AUTORIZZAZIONE Handshake non riuscito.
NEGOZIAZIONE NON RIUSCITA La configurazione del tunnel è stata rifiutata. Il problema potrebbe essere dovuto all'aggiunta a una denylist.
DEPROVISIONING Il tunnel è in fase di arresto. No
NESSUN PACCHETTO IN ARRIVO Il gateway non riceve pacchetti dalla VPN on-premise.
RIFIUTATO La configurazione del tunnel è stata rifiutata. Contatta l'assistenza.
INTERROTTO Il tunnel è arrestato e non attivo. Ciò può essere dovuto all'eliminazione di una o più regole di forwarding richieste per il tunnel VPN.

Riferimento alla crittografia IKE

Cloud VPN supporta le crittografie e i parametri di configurazione per i dispositivi VPN peer o i servizi VPN. Cloud VPN negozia automaticamente la connessione finché il peer utilizza un'impostazione di crittografia IKE supportata.

Per il riferimento completo alla crittografia IKE, consulta Tipi di crittografia IKE supportati.

Passaggi successivi