Questa pagina descrive come diagnosticare e risolvere i problemi comuni che potrebbero verificarsi quando implementi Secure Web Proxy come hop successivo.
La route predefinita non è definita
Quando configuri il routing per l'istanza Secure Web Proxy utilizzando
route statiche o
basate su criteri,
devi configurare una route predefinita (0.0.0.0/0).
Se non configuri una route predefinita, il proxy non può inoltrare il traffico alle destinazioni esterne e potrebbero verificarsi i seguenti errori:
- Timeout di connessione:
504 Gateway Timeout - Nessuna route all'host:
502 Bad Gateway
La route statica predefinita non ha un tag di rete
Quando utilizzi una route statica predefinita per l'istanza Secure Web Proxy, devi assegnare un tag di rete a questa route. In caso contrario, potresti riscontrare errori di convalida.
Devi anche collegare il tag alle istanze di macchine virtuali (VM) client per assicurarti che il traffico venga instradato al proxy.
Il traffico non HTTP e non HTTPS è bloccato
Secure Web Proxy è ottimizzato per il traffico basato sul web; il traffico Transmission Control
Protocol (TCP) viene bloccato se viene instradato a Secure Web Proxy e non
sono configurate regole proxy TCP per gestirlo. Questa mancata corrispondenza in genere genera errori Connection Refused o 400 Bad Request per protocolli come Secure
Shell (SSH) e File Transfer Protocol (FTP).
Per risolvere questi tipi di errori, crea regole
proxy TCP
specifiche per gestire il traffico o aggiorna le
route basate su policy
in modo da inoltrare solo porte come 80 o 443. Seguendo una di queste
procedure, puoi assicurarti che il traffico TCP ignori
l'istanza Secure Web Proxy e segua il routing VPC (Virtual Private Cloud)
standard.
L'implementazione di Secure Web Proxy come gateway hop successivo non riesce
Per risolvere il problema, segui questi passaggi:
Verifica se un'istanza Secure Web Proxy esistente è implementata come hop successivo nella stessa regione. Per una rete Virtual Private Cloud in una regione, puoi implementare una sola istanza Secure Web Proxy come hop successivo.
Controlla i log di audit della tua organizzazione per verificare la presenza di policy che potrebbero impedire la creazione di gateway Cloud NAT.
Verifica che nella rete non esistano risorse orfane generate automaticamente, ad esempio
swg-autogen-routeroswp-autogen-nat. In caso contrario, elimina il router generato automaticamente e poi esegui di nuovo il deployment di Secure Web Proxy.
Passaggi successivi
- Risolvere gli errori di ispezione TLS
- Note di rilascio di Secure Web Proxy
- Assistenza per Secure Web Proxy