Ce guide de dépannage vous aide à surveiller l'utilisation de Cloud VPN, et à résoudre les problèmes courants que vous pouvez rencontrer.
Pour interpréter les références aux messages d'état et aux algorithmes de chiffrement IKE, consultez la section Informations de référence relatives au dépannage.
Pour trouver des informations de journalisation et de surveillance, consultez la section Afficher les journaux et les métriques.
Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés Cloud VPN.
Messages d'erreur
Pour consulter les messages d'erreur, procédez comme suit :
Dans Google Cloud Console, accédez à la page VPN.
Si une icône d'état s'affiche, passez la souris dessus pour voir le message d'erreur correspondant.
Le message d'erreur peut souvent vous aider à identifier le problème. Si tel n'est pas le cas, consultez vos journaux pour obtenir davantage d'informations. Vous trouverez des informations détaillées sur l'état dans Google Cloud Console, sur la page Détails du tunnel.
Journaux VPN
Les journaux Cloud VPN sont stockés dans Cloud Logging. La journalisation étant automatique, vous n'avez pas besoin de l'activer.
Pour en savoir plus sur l'affichage des journaux concernant la passerelle de pairs de votre connexion, consultez la documentation de votre produit.
Souvent, bien que les passerelles soient configurées correctement, un problème survient au niveau du réseau de pairs entre les hôtes et la passerelle, ou bien sur le réseau reliant la passerelle de pairs et la passerelle Cloud VPN.
Pour vérifier les journaux, procédez comme suit :
Dans Google Cloud Console, accédez à la page Explorateur de journaux.
Recherchez les informations ci-dessous dans les journaux.
- Vérifiez que l'adresse IP du pair distant configurée sur la passerelle Cloud VPN est correcte.
- Vérifiez que le trafic provenant de vos hôtes sur site atteint la passerelle de pairs.
- Assurez-vous que le trafic est acheminé entre les deux passerelles VPN, dans les deux sens. Vérifiez si des messages entrants en provenance de l'autre passerelle VPN sont consignés dans les journaux VPN.
- Vérifiez que les versions IKE configurées sont identiques des deux côtés du tunnel.
- Vérifiez que la clé secrète partagée est identique des deux côtés du tunnel.
- Si votre passerelle VPN de pairs est protégée par la fonctionnalité NAT "un à un", assurez-vous d'avoir correctement configuré l'appareil NAT pour qu'il transfère le trafic UDP vers votre passerelle VPN de pairs via les ports
500
et4500
. - Si les journaux VPN indiquent l'erreur
no-proposal-chosen
, cela signifie que Cloud VPN et votre passerelle VPN de pairs n'ont pas pu se mettre d'accord sur le choix des algorithmes de chiffrement. Pour IKEv1, ces algorithmes doivent correspondre exactement. En revanche, IKEv2 requiert qu'au moins un algorithme de chiffrement commun soit proposé par chaque passerelle. Assurez-vous d'utiliser des algorithmes de chiffrement compatibles pour configurer votre passerelle VPN de pairs. - Veillez à configurer vos routes et règles de pare-feu appairées et Google Cloud de sorte que le trafic puisse traverser le tunnel. Vous devrez peut-être demander de l'aide à votre administrateur réseau.
Pour rechercher des problèmes spécifiques, vous pouvez rechercher dans vos journaux les chaînes suivantes :
- Dans le volet Générateur de requêtes, saisissez l'une des requêtes avancées répertoriées dans le tableau suivant pour rechercher un événement particulier, puis cliquez sur Exécuter la requête.
Ajustez la période sur le volet Histogramme si nécessaire, puis cliquez sur Exécuter sur le volet. Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour les requêtes, consultez la page Créer des requêtes de journal.
Pour consultation Utiliser cette recherche Logging Cloud VPN lance la phase 1 (association de sécurité IKE). resource.type="vpn_gateway" ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN ne peut pas contacter le pair distant. resource.type="vpn_gateway" "establishing IKE_SA failed, peer not responding"
Événements d'authentification IKE (phase 1) resource.type="vpn_gateway" ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
Authentification IKE réussie resource.type="vpn_gateway" ("authentication of" AND "with pre-shared key successful")
Phase 1 (association de sécurité IKE) établie resource.type="vpn_gateway" ("IKE_SA" AND "established between")
Tous les événements de la phase 2 (association de sécurité enfant), y compris les événements de régénération de clés resource.type="vpn_gateway" "CHILD_SA"
Un pair demande une régénération de clé pour la phase 2. resource.type="vpn_gateway" detected rekeying of CHILD_SA
Un pair demande l'arrêt de la phase 2 (association de sécurité enfant). resource.type="vpn_gateway" received DELETE for ESP CHILD_SA
Cloud VPN demande l'arrêt de la phase 2 (association de sécurité enfant). resource.type="vpn_gateway" sending DELETE for ESP CHILD_SA
Cloud VPN met fin à la phase 2 (association de sécurité enfant), peut-être en réponse au pair. resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN a mis fin lui-même à la phase 2. resource.type="vpn_gateway" CHILD_SA closed
Les sélecteurs de trafic distants ne correspondent pas. resource.type="vpn_gateway" Remote traffic selectors narrowed
Les sélecteurs de trafic locaux ne correspondent pas. resource.type="vpn_gateway" Local traffic selectors narrowed
Connectivité
Considérez les suggestions suivantes lorsque vous utilisez ping
pour vérifier la connectivité entre les systèmes sur site et les instances de machine virtuelle (VM) Google Cloud :
Assurez-vous que les règles de pare-feu de votre réseau Google Cloud autorisent le trafic ICMP entrant. La règle implicite d'autorisation du trafic sortant permet au trafic ICMP de quitter votre réseau sauf si vous avez décidé de l'ignorer. De même, assurez-vous que vos règles de pare-feu sur site sont également configurées pour autoriser le trafic ICMP entrant et sortant.
Utilisez des adresses IP internes pour pinguer les VM Google Cloud et les systèmes sur site. L'exécution d'une commande ping sur les adresses IP externes des passerelles VPN ne permet pas de tester la connectivité disponible via le tunnel.
Lorsque vous testez la connectivité entre les systèmes sur site et Google Cloud, il est préférable d'exécuter une commande ping depuis un système de votre réseau, plutôt qu'à partir de votre passerelle VPN. Il est possible de pinguer depuis une passerelle si vous définissez l'interface source appropriée. Toutefois, l'exécution de cette commande depuis une instance de votre réseau permet en outre de tester la configuration de votre pare-feu.
Les tests
Ping
ne vérifient pas que les ports TCP ou UDP sont ouverts. Après avoir vérifié que les systèmes disposent d'une connectivité de base, vous pouvez effectuer des tests supplémentaires à l'aide deping
.
Calculer le débit du réseau
Vous pouvez calculer le débit du réseau au sein de Google Cloud et vers vos emplacements cloud tiers ou sur site. Cette ressource inclut des informations sur l'analyse des résultats, des explications sur les variables pouvant affecter les performances du réseau et des conseils de dépannage.
Problèmes courants et solutions
Le tunnel est régulièrement indisponible pendant quelques secondes
Par défaut, Cloud VPN négocie une association de sécurité de remplacement (SA) avant l'expiration de celle qui existe (également appelée regénération de clé). Il est possible que votre passerelle VPN de pairs ne regénère pas les clés. Au lieu de cela, elle doit attendre la suppression de l'association de sécurité existante pour pouvoir en négocier une nouvelle, ce qui provoque des interruptions.
Pour vérifier si votre passerelle de pairs regénère les clés, consultez les journaux Cloud VPN. Si la connexion est coupée, puis rétablie juste après l'envoi du message de journal Received SA_DELETE
, cela signifie que votre passerelle sur site n'a pas regénéré la clé.
Pour vérifier les paramètres du tunnel, reportez-vous au document Algorithmes de chiffrement IKE compatibles. Assurez-vous tout particulièrement que la durée de vie de la phase 2 est correcte, et qu'un groupe Diffie-Hellman (DH) est défini sur l'une des valeurs recommandées.
Pour rechercher des événements dans votre tunnel Cloud VPN, vous pouvez utiliser un filtre de journal avancé Logging. Par exemple, le filtre avancé suivant permet de rechercher les incohérences au niveau des groupes DH :
resource.type="vpn_gateway" "Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"
Passerelles sur site protégées par la fonctionnalité NAT
Cloud VPN peut être combiné à des passerelles VPN sur site ou de pairs qui sont protégées par la fonctionnalité NAT, grâce à l'encapsulation du protocole UDP et au mode NAT-T. Seule la fonctionnalité NAT "un à un" est compatible.
La connectivité fonctionne pour certaines VM, mais pas pour d'autres
Si ping
, traceroute
ou d'autres méthodes d'envoi du trafic ne fonctionnent qu'entre certaines VM et vos systèmes sur site (ou entre certains systèmes sur site et des VM Google Cloud spécifiques), et que vous avez vérifié que les règles de pare-feu Google Cloud et sur site ne bloquent pas le trafic envoyé, il est possible que des sélecteurs de trafic excluent certaines sources ou destinations.
Les sélecteurs de trafic définissent les plages d'adresses IP d'un tunnel VPN. Outre les routes, la plupart des mises en œuvre de VPN ne transmettent des paquets via un tunnel que si les deux conditions suivantes sont remplies :
- Leurs sources correspondent aux plages d'adresses IP spécifiées dans le sélecteur de trafic local.
- Leurs destinations correspondent aux plages d'adresses IP spécifiées dans le sélecteur de trafic distant.
Vous spécifiez les sélecteurs de trafic lorsque vous créez un tunnel VPN classique à l'aide du routage basé sur des règles ou d'un VPN basé sur des routes. Vous pouvez également les définir lors de la création du tunnel de pairs correspondant.
Certains fournisseurs utilisent des termes tels que proxy local, domaine de chiffrement local ou réseau de gauche comme synonymes de sélecteur de trafic local. De la même manière, proxy distant, domaine de chiffrement distant ou réseau de droite sont des synonymes de sélecteur de trafic distant.
Pour modifier les sélecteurs de trafic d'un tunnel VPN classique, vous devez supprimer, puis recréer le tunnel. Ces étapes sont obligatoires, car les sélecteurs de trafic font partie intégrante du processus de création des tunnels. Par ailleurs, les tunnels ne peuvent pas être modifiés par la suite.
Suivez les consignes ci-dessous lors de la définition des sélecteurs de trafic.
- Le sélecteur de trafic local du tunnel Cloud VPN doit couvrir tous les sous-réseaux de votre réseau cloud privé virtuel (VPC) que vous avez besoin de partager avec votre réseau de pairs.
- Le sélecteur de trafic local de votre réseau de pairs doit couvrir tous les sous-réseaux sur site que vous avez besoin de partager avec votre réseau VPC.
- Pour un tunnel VPN donné, il existe les relations suivantes entre les sélecteurs de trafic :
- Le sélecteur de trafic local Cloud VPN doit correspondre au sélecteur de trafic distant du tunnel sur votre passerelle VPN de pairs.
- Le sélecteur de trafic distant Cloud VPN doit correspondre au sélecteur de trafic local du tunnel sur votre passerelle VPN de pairs.
Problèmes de latence du réseau entre VM de différentes régions
Pour déterminer s'il existe des problèmes de latence ou de perte de paquets, surveillez les performances de l'ensemble du réseau Google Cloud. Dans la vue des performances de Google Cloud, Performance Dashboard affiche les métriques de perte de paquets et de latence pour l'ensemble de Google Cloud. Ces métriques peuvent vous aider à déterminer si les problèmes qui apparaissent dans la vue des performances du projet sont propres à votre projet. Pour en savoir plus, consultez la page Utiliser Performance Dashboard.
Impossible de connecter une passerelle VPN haute disponibilité à une passerelle VPN classique
Dans Google Cloud, la création de connexions par tunnel entre une passerelle VPN haute disponibilité et une passerelle VPN classique hébergée dans Google Cloud n'est pas prise en charge. Cette restriction inclut les passerelles VPN classiques et les passerelles VPN tierces qui s'exécutent sur des VM Compute Engine.
Si vous tentez de le faire, Google Cloud affiche le message d'erreur suivant :
You cannot provide an interface with an IP address owned by Google Cloud. You can only create tunnels from an HA gateway to an HA gateway or create tunnels from an HA gateway to an ExternalVpnGateway.
Pour éviter cette erreur, créez un tunnel VPN qui connecte votre passerelle VPN haute disponibilité à l'un des éléments suivants :
- Une autre passerelle VPN haute disponibilité
- Une passerelle VPN externe non hébergée dans Google Cloud
- Instances de machine virtuelle (VM) Compute Engine
Impossible de se connecter à la destination externe via un VPN haute disponibilité
Lorsque vous utilisez une passerelle VPN haute disponibilité, les ressources Google Cloud utilisent le tunnel VPN pour ne se connecter qu'aux destinations annoncées par le routeur pair.
Si vous ne parvenez pas à vous connecter à une destination distante, assurez-vous que le routeur pair annonce la plage d'adresses IP de la destination.
Le trafic IPv6 n'est pas acheminé
Si vous rencontrez des difficultés pour vous connecter à des hôtes IPv6, procédez comme suit :
- Vérifiez que les routes IPv4 sont correctement annoncées. Si les routes IPv4 ne sont pas annoncées, consultez la section Résoudre les problèmes liés aux routes BGP et à la sélection des routes.
- Examinez les règles de pare-feu pour vous assurer que vous autorisez le trafic IPv6.
- Vérifiez qu'il n'existe pas de plages de sous-réseaux IPv6 qui se chevauchent dans votre réseau VPC et sur votre réseau sur site. Consultez la section Vérifier les plages de sous-réseaux qui se chevauchent.
- Déterminez si vous avez dépassé les quotas et les limites pour les routes apprises dans Cloud Router. Si vous avez dépassé votre quota pour les routes apprises, les préfixes IPv6 sont supprimés avant les préfixes IPv4. Consultez la page Vérifier les quotas et les limites.
- Vérifiez que tous les composants nécessitant une configuration IPv6 ont été correctement configurés.
- Le réseau VPC a activé l'utilisation des adresses IPv6 internes avec l'option
--enable-ula-internal-ipv6
. - Le sous-réseau VPC est configuré pour utiliser le type de pile
IPV4_IPV6
. - Le sous-réseau VPC possède
--ipv6-access-type
défini surINTERNAL
. - Les VM Compute Engine du sous-réseau sont configurées avec des adresses IPv6.
- La passerelle VPN haute disponibilité est configurée pour utiliser le type de pile
IPV4_IPV6
. - Le pair BGP a activé IPv6 et les adresses de saut suivant IPv6 correctes sont configurées pour la session BGP.
- Pour afficher l'état du routeur et les routes Cloud Router, consultez la page Afficher l'état du routeur et les routes Cloud Router.
- Pour afficher la configuration de la session BGP, consultez la page Afficher la configuration de la session BGP.
- Le réseau VPC a activé l'utilisation des adresses IPv6 internes avec l'option
Informations de référence relatives au dépannage
Cette section contient des informations sur les icônes d'état, les messages d'état et les algorithmes de chiffrement IKE compatibles.
Icônes d'état
Cloud VPN utilise les icônes d'état ci-dessous dans Google Cloud Console.
Icône | Couleur | Description | Messages concernés |
---|---|---|---|
Vert | Réussite | ÉTABLI | |
Jaune | Avertissement | ALLOCATION DES RESSOURCES, PREMIER HANDSHAKE, EN ATTENTE DE CONFIGURATION COMPLÈTE, PROVISIONNEMENT | |
Red | Erreur | Tous les autres messages |
Messages d'état
Pour indiquer l'état de la passerelle VPN et du tunnel, Cloud VPN utilise les messages d'état suivants. Le tunnel VPN est facturé en fonction des états indiqués.
Message | Description | Tunnel facturé dans cet état ? |
---|---|---|
ALLOCATION DES RESSOURCES | Allocation de ressources pour la configuration du tunnel. | Oui |
PROVISIONNEMENT | Attente de la réception de toutes les configurations pour l'établissement du tunnel. | Non |
EN ATTENTE DE LA CONFIGURATION COMPLÈTE | Réception de la configuration complète. Toutefois, le tunnel n'est pas encore établi. | Oui |
PREMIER HANDSHAKE | Établissement du tunnel. | Oui |
ÉTABLI | Une session de communication sécurisée a été établie. | Oui |
ERREUR RÉSEAU (remplacé par le message AUCUN PAQUET ENTRANT) |
Autorisation IPsec incorrecte. | Oui |
ERREUR D'AUTORISATION | Échec du handshake. | Oui |
ÉCHEC DE LA NÉGOCIATION | La configuration du tunnel a été refusée. Il a peut-être été mis sur une liste d'interdiction. | Oui |
ANNULATION DU PROVISIONNEMENT | Le tunnel est en cours d'arrêt. | Non |
AUCUN PAQUET ENTRANT | La passerelle ne reçoit aucun paquet en provenance du VPN sur site. | Oui |
REFUS | La configuration du tunnel a été refusée. Veuillez contacter le service d'assistance. | Oui |
ARRÊTÉ | Le tunnel est arrêté et non actif ; peut être dû à la suppression d'une ou plusieurs règles de transfert requises pour le tunnel VPN. | Oui |
Documentation de référence sur l'algorithme de chiffrement IKE
Cloud VPN est compatible avec les algorithmes de chiffrement et les paramètres de configuration pour les appareils VPN pairs ou les services VPN. Il négocie automatiquement la connexion à condition que le côté pair utilise un paramètre d'algorithme de chiffrement IKE accepté.
Pour obtenir la documentation de référence complète sur les algorithmes de chiffrement IKE, consultez la page Algorithmes de chiffrement IKE compatibles.
Étape suivante
- Pour en savoir plus sur les concepts de base de Cloud VPN, consultez la présentation de Cloud VPN.
- Pour en savoir plus sur les scénarios à haute disponibilité, à haut débit ou à plusieurs sous-réseaux, consultez la section Configurations avancées.