Auf dieser Seite wird beschrieben, wie Sie häufige Probleme diagnostizieren und beheben, die beim Bereitstellen von Secure Web Proxy als Next Hop auftreten können.
Standardroute ist nicht definiert
Wenn Sie das Routing für Ihre Secure Web Proxy-Instanz mit statischen Routen oder richtlinienbasierten Routen konfigurieren, müssen Sie eine Standardroute (0.0.0.0/0) einrichten.
Wenn Sie keine Standardroute einrichten, kann der Proxy keinen Traffic an externe Ziele weiterleiten. In diesem Fall können die folgenden Fehler auftreten:
- Zeitlimits für Verbindungen:
504 Gateway Timeout - Keine Route zum Host –
502 Bad Gateway
Die statische Standardroute hat kein Netzwerk-Tag
Wenn Sie eine statische Standardroute für Ihre Secure Web Proxy-Instanz verwenden, müssen Sie dieser Route ein Netzwerk-Tag zuweisen. Andernfalls können Validierungsfehler auftreten.
Sie müssen das Tag auch an Ihre Client-VM-Instanzen anhängen, damit der Traffic an den Proxy weitergeleitet wird.
Nicht-HTTP- und Nicht-HTTPS-Traffic wird blockiert
Secure Web Proxy ist für webbasierten Traffic optimiert. TCP-Traffic (Transmission Control Protocol) wird blockiert, wenn er an Secure Web Proxy weitergeleitet wird und keine TCP-Proxyregeln für die Verarbeitung konfiguriert sind. Diese Diskrepanz führt in der Regel zu Connection Refused- oder 400 Bad Request-Fehlern für Protokolle wie Secure Shell (SSH) und File Transfer Protocol (FTP).
Um solche Fehler zu beheben, erstellen Sie entweder spezifische TCP-Proxy-Regeln, um den Traffic zu verwalten, oder aktualisieren Sie Ihre richtlinienbasierten Routen, um nur Ports wie 80 oder 443 weiterzuleiten. Wenn Sie eines dieser Verfahren befolgen, können Sie dafür sorgen, dass der TCP-Traffic Ihre Secure Web Proxy-Instanz umgeht und dem Standard-VPC-Routing (Virtual Private Cloud) folgt.
Bereitstellung von Secure Web Proxy als Next Hop-Gateway schlägt fehl
So beheben Sie das Problem:
Prüfen Sie, ob eine vorhandene Secure Web Proxy-Instanz als Next Hop in derselben Region bereitgestellt wird. Für ein Virtual Private Cloud-Netzwerk in einer Region können Sie nur eine Secure Web Proxy-Instanz als nächsten Hop bereitstellen.
Prüfen Sie die Audit-Logs Ihrer Organisation auf Richtlinien, die das Erstellen von Cloud NAT-Gateways verhindern könnten.
Prüfen Sie, ob im Netzwerk keine verwaisten automatisch generierten Ressourcen wie
swg-autogen-routeroderswp-autogen-natvorhanden sind. Wenn dies der Fall ist, löschen Sie den automatisch generierten Router und stellen Sie Ihren Secure Web Proxy noch einmal bereit.
Nächste Schritte
- Fehler bei der TLS-Prüfung beheben
- Versionshinweise zum sicheren Web-Proxy
- Support für Secure Web Proxy