Cette page explique comment diagnostiquer et résoudre les problèmes courants qui peuvent survenir lorsque vous déployez un proxy Web sécurisé comme prochain saut.
La route par défaut n'est pas définie
Lorsque vous configurez le routage de votre instance Secure Web Proxy à l'aide de routes statiques ou de routes basées sur des règles, vous devez configurer une route par défaut (0.0.0.0/0).
Si vous ne configurez pas de route par défaut, le proxy ne peut pas transférer le trafic vers des destinations externes et les erreurs suivantes peuvent se produire :
- Délai avant expiration de la connexion :
504 Gateway Timeout - Aucun itinéraire vers l'hôte –
502 Bad Gateway
La route statique par défaut ne comporte pas de tag réseau
Lorsque vous utilisez une route statique par défaut pour votre instance Secure Web Proxy, vous devez attribuer un tag réseau à cette route. Sinon, vous risquez de rencontrer des erreurs de validation.
Vous devez également associer le tag à vos instances de machines virtuelles (VM) clientes pour vous assurer que le trafic est routé vers le proxy.
Le trafic non HTTP et non HTTPS est bloqué
Secure Web Proxy est optimisé pour le trafic Web. Le trafic TCP (Transmission Control Protocol) est bloqué s'il est acheminé vers Secure Web Proxy et qu'aucune règle de proxy TCP n'est configurée pour le gérer. Ce décalage entraîne généralement des erreurs Connection Refused ou 400 Bad Request pour les protocoles tels que Secure Shell (SSH) et File Transfer Protocol (FTP).
Pour résoudre ce type d'erreur, créez des règles de proxy TCP spécifiques pour gérer le trafic ou mettez à jour vos routes basées sur des règles pour ne transférer que les ports tels que 80 ou 443. En suivant l'une de ces procédures, vous pouvez vous assurer que le trafic TCP contourne votre instance Secure Web Proxy et suit le routage VPC (Virtual Private Cloud) standard.
Échec du déploiement du proxy Web sécurisé en tant que passerelle de saut suivant
Pour résoudre ce problème, procédez comme suit :
Vérifiez si une instance Secure Web Proxy existante est déployée en tant que prochain saut dans la même région. Pour un réseau de cloud privé virtuel dans une région, vous ne pouvez déployer qu'une seule instance Secure Web Proxy en tant que saut suivant.
Consultez les journaux d'audit de votre organisation pour identifier les règles qui pourraient empêcher la création de passerelles Cloud NAT.
Vérifiez qu'aucune ressource orpheline générée automatiquement (
swg-autogen-routerouswp-autogen-nat, par exemple) n'existe dans le réseau. Si c'est le cas, supprimez le routeur généré automatiquement, puis redéployez votre Secure Web Proxy.
Étape suivante
- Résoudre les erreurs d'inspection TLS
- Notes de version de Secure Web Proxy
- Prise en charge de Secure Web Proxy