Oracle Cloud Infrastructure - Dokumentation

Site-to-Site-VPN - Fehlerbehebung

Erstellen Sie eine Serviceanfrage bei My Oracle Support

In diesem Thema werden die häufigsten Fehlerbehebungsprobleme bei Site-to-Site-VPN behandelt. Bei einigen Vorschlägen wird davon ausgegangen, dass Sie Netzwerktechniker mit Zugriff auf die Konfiguration des CPE-Geräts sind.

Logmeldungen

Das Anzeigen der Logmeldungen, welche für verschiedene betriebliche Aspekte von Site-to-Site-VPN generiert werden, kann bei einer Behebung vieler Probleme nützlich sind, die während des Betriebs auftreten. Die Logmeldungen für Site-to-Site-VPN können über Site-to-Site-VPN oder den Loggingservice aktiviert und abgerufen werden.

  • Einen Überblick über den Logging-Service im Allgemeinen finden Sie unter Logging - Überblick
  • Einzelheiten zum Aktivieren und Aufrufen der Logmeldungen für Site-to-Site-VPN über den Loggingservice finden Sie unter Servicelogs
  • Einzelheiten zum Aktivieren und Aufrufen der Logmeldungen für Site-to-Site-VPN über den Networking-Service finden sie unter Site-to-Site-VPN-Logmeldungen.

  • Weitere Informationen zum Schema der Logmeldungen für Site-to-Site-VPN finden Sie unter Details zum Site-to-Site-VPN.

In der folgenden Tabelle finden Sie eine bessere Interpretation der Site-to-Site-VPN-Logmeldungen, in denen die verschiedenen Tunneldown-Szenarios und die möglichen Logs in der OCI-Konsole aufgeführt werden.

Konsolenlogs interpretieren
Grund für Tunnelausfall Im OCI-Loggingabschnitt aufgefüllte Logs
Fehlende Übereinstimmung bei IKE-Version

STATE_V2_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message

dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni

received and ignored notification payload: NO_PROPOSAL_CHOSEN_date_time ep_85 pluto[68971]: "xxxxxxx" #xxx: set ikev1 error <14>
Nicht übereinstimmende Subnetze

No IKEv2 connection found with compatible Traffic Selectors

responding to CREATE_CHILD_SA message (ID 30) from CPE_PUBLIC_IP:4500 with encrypted notification TS_UNACCEPTABLE

cannot respond to IPsec SA request because no connection is known for MISMATCHED_SOURCE_SUBNET===VPN_PUBLIC_IP[+S?C]...VPN_PUBLIC_IP[+S?C]===MISMATCHED_DESTINATION_SUBNET
Nicht übereinstimmender Pre-Shared Key

STATE_MAIN_I3: 60 second timeout exceeded after 7 retransmits. Possible authentication failure: no acceptable response to our first encrypted messag

IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

authentication failed: computed hash does not match hash received from peer ID_IPV4_ADDR 'VPN_PUBLIC_IP'

responding to IKE_AUTH message (ID 1) from VPN_PUBLIC_IP:4500 with encrypted notification AUTHENTICATION_FAILED
Vorschlag stimmt nicht überein

OAKLEY proposal refused: missing encryption

Oakley Transform [AES_CBC (128), HMAC_SHA2_256, DH19] refused

no acceptable Oakley Transform

sending notification NO_PROPOSAL_CHOSEN to VPN_PUBLIC_IP:500

failed to add connection: ESP DH algorithm 'modp1024' is not supported

received unauthenticated v2N_NO_PROPOSAL_CHOSEN - ignored
Nicht übereinstimmende PFS

ignoring informational payload NO_PROPOSAL_CHOSEN, msgid=xxxxxx, length=12

received and ignored notification payload: NO_PROPOSAL_CHOSEN

dropping unexpected ISAKMP_v2_CREATE_CHILD_SA message containing v2N_INVALID_SYNTAX notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr

"xxxxxxxx"[1] VPN_PUBLIC_IP #580: encountered fatal error in state STATE_V2_REKEY_CHILD_I
Nicht übereinstimmende IKE-ID

Peer ID 'MISMATCHED_IKE_ID_IP_ADDRESS' mismatched on first found connection and no better connection found

sending encrypted notification INVALID_ID_INFORMATION to VPN_PUBLIC_IP:4500

Tunnel-Flapping

Interessanter Traffic zu jeder Zeit: Wir empfehlen, immer interessanten Traffic über die IPSec-Tunnel zu haben, wenn das CPE dies unterstützt. Cisco ASA erfordert, dass Sie SLA-Monitoring konfigurieren, wodurch interessanter Datenverkehr über die IPSec-Tunnel läuft. Weitere Informationen finden Sie im Abschnitt "IP-SLA-Konfiguration" in der policy-basierten Cisco ASA-Konfigurationsvorlage.

Mehrere IPSEC-Verbindungen: Sie können zwei IPSec-Verbindungen zur Redundanz verwenden. Wenn für beide IPSec-Verbindungen nur eine Standardroute (0.0.0.0/0) konfiguriert sind, wird der Traffic auf einer dieser Verbindungen geleitet. Da Oracle asymmetrisches Routing verwendet. Wenn eine IPSec-Verbindung als primäre Verbindung und eine andere als Backup verwendet werden soll, konfigurieren Sie spezifischere Routen für die primäre Verbindung und weniger spezifische Routen (oder die Standardroute 0.0.0.0/0) für die Backupverbindung.

Lokale IKE-ID: Bei einigen CPE-Plattformen können Sie die lokale IKE-ID nicht ändern. Wenn dies nicht möglich ist, müssen Sie die Remote-IKE-ID in der Oracle-Konsole so ändern, dass sie der lokalen IKE-ID des CPE entspricht. Sie können den Wert angeben, wenn Sie die IPSec-Verbindung einrichten oder später, indem Sie die IPSec-Verbindung bearbeiten. Oracle erwartet, dass der Wert eine IP-Adresse oder ein vollständig angegebener Domainname (FQDN) ist, wie cpe.example.com. Weitere Informationen finden Sie unter Von Oracle verwendete CPE-IKE-ID ändern.

Maximum Transmission Unit (MTU): Die MTU-Standardgröße für das Internet beträgt 1500 Byte. Weitere Informationen zum Suchen der MTU finden Sie unter MTU - Überblick.

CPE-Konfiguration

Lokale IKE-ID: Bei einigen CPE-Plattformen können Sie die lokale IKE-ID nicht ändern. Wenn dies nicht möglich ist, müssen Sie die Remote-IKE-ID in der Oracle-Konsole so ändern, dass sie der lokalen IKE-ID des CPE entspricht. Sie können den Wert angeben, wenn Sie die IPSec-Verbindung einrichten oder später, indem Sie die IPSec-Verbindung bearbeiten. Oracle erwartet, dass der Wert eine IP-Adresse oder ein vollständig angegebener Domainname (FQDN) ist, wie cpe.example.com. Weitere Informationen finden Sie unter Von Oracle verwendete CPE-IKE-ID ändern.

Cisco ASA: Policybasiert: Es wird empfohlen, eine routenbasierte Konfiguration zu verwenden, um Interoperabilitätsprobleme zu vermeiden und Tunnelredundanz mit einem einzelnen Cisco ASA-Gerät zu erreichen.

Cisco ASA unterstützt die routenbasierte Konfiguration für Softwareversionen, welche älter sind als 9.7.1. Wenn das Gerät dies unterstützt, empfehlen wir Ihnen ein Upgrade auf eine Softwareversion, die eine routenbasierte Konfiguration unterstützt.

Bei der Policy-basierten Konfiguration können Sie nur einen einzelnen Tunnel zwischen einem Cisco ASA und einem dynamischen Routinggateway (DRG) konfigurieren.

Mehrere Tunnel: Wenn mehrere Tunnel gleichzeitig hochgefahren sind. Stellen Sie sicher, dass das CPE für die Verarbeitung von Traffic aus dem VCN in allen Tunneln konfiguriert ist. Beispiel: Sie müssen die ICMP-Prüfung deaktivieren, die TCP-Statusumgehung konfigurieren usw. Weitere Einzelheiten zur entsprechenden Konfiguration erhalten Sie beim Support von CPE-Herstellern.

Probleme mit der Verschlüsselungsdomain

Die VPN-Headends von Oracle verwenden routenbasierte Tunnel, können jedoch mit policybasierten Tunneln arbeiten, wobei es einige Bedingungen zu beachten gilt. Vollständige Details finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.

Sicherheitslistenregeln für zustandsbehafteten Datenverkehr: Wenn Sie Sicherheitslistenregeln für zustandsbehafteten Datenverkehr (für TCP-, UDP- oder ICMP-Datenverkehr) verwenden, müssen Sie nicht sicherstellen, dass die Sicherheitsliste eine explizite Regel enthält, um Nachrichten des ICMP-Typs 3 Code 4 zuzulassen, weil der Networking-Service die Verbindungen verfolgt und diese Nachrichten automatisch zuzulassen. Regeln für zustandslosen Traffic erfordern eine explizite Ingress-Sicherheitslistenregel für Nachrichten mit ICMP-Typ 3 Code 4. Vergewissern Sie sich, dass die Instanzfirewalls korrekt eingerichtet sind.

Allgemeine Probleme mit Site-to-Site-VPN

IPSec-Tunnel weist den Status DOWN auf

Prüfen Sie Folgendes:

  • Basiskonfiguration: Der IPSec-Tunnel besteht aus den Parametern Phase 1 und Phase 2. Bestätigen Sie, dass beide Phasen korrekt konfiguriert sind. Sie können die CPE-Parameter der Phase 1 und Phase 2 am OCI-Ende mit benutzerdefinierten Konfigurationen konfigurieren. Um benutzerdefinierte Konfigurationen im Tunnel zu verwenden, gehen Sie zu erweiterten Optionen, und aktivieren Sie Benutzerdefinierte Konfigurationen festlegen. Auf diese Weise können Sie Parameter der Phase 1 und Phase 2 auf OCI-Seite manuell definieren.

    Oracle hat auch bestimmte Parameter für Phase 1 und Phase 2 empfohlen. Prüfen Sie die Parameter für die Konfiguration phase-1 (ISAKMP) und phase-2 (IPSec), und verwenden Sie diese Parameter, wenn der vorherige Schritt den Tunnel nicht hochfährt. Weitere Informationen zur Konfiguration des CPE-Geräts finden Sie in der für das CPE-Gerät geeigneten Konfiguration:

  • Lokale und Remoteproxy-IDs: Wenn Sie eine policy-basierte Konfiguration verwenden, prüfen sie, ob das CPE mehr als eine Paar aus lokalen und Remoteproxy-IDs (Subnetzen) konfiguriert ist. Der Oracle-VPN-Router unterstützt nur ein Paar über ältere Verbindungen. Wenn für die CPE mehr als ein Paar konfiguriert ist, aktualisieren sie die Konfiguration, so dass nur ein Paar vorhanden ist, und wählen eine der beiden folgenden Optionen:
    Option Lokale Proxy-ID Remoteproxy-ID
    1 Beliebig (oder 0.0.0.0/0) Beliebig (oder 0.0.0.0/0)
    2 On-Premise-CIDR (ein Aggregat, das alle betreffenden Subnetze abdeckt) CIDR des VCN
  • NAT-Gerät: Wenn sich das CPE hinter dem NAT-Gerät befindet, stimmt die auf dem CPE konfigurierte CPE-IKE-ID möglicherweise nicht mit der von Oracle verwendeten CPE-IKE-ID überein (die öffentliche IP-Adresse des CPE). Wenn das CPE das Festlegen der CPE-IKE-ID auf dem On-Premise-End nicht unterstützt, können Sie Oracle die CPE-IKE-ID in der Oracle-Konsole bereitstellen. Weitere Informationen finden Sie unter Überblick über Site-to-Site-VPN-Komponenten.

IPSec-Tunnel weist den Status UP auf, doch es wird kein Traffic hindurchgeleitet

Prüfen Sie Folgendes:

  • Konfiguration der Phase 2 (IPSec): Prüfen Sie, ob die Parameter die Phase 2 (IPSec) korrekt auf dem CPE-Gerät konfiguriert sind. Lesen Sie dazu die Abschnitte zur entsprechenden Konfiguration für das CPE-Gerät:

  • VCN-Sicherheitslisten: Stellen Sie sicher, dass die VCN-Sicherheitslisten den entsprechenden Traffic zulassen (sowohl Ingress- als auch Egress-Regeln). Beachten Sie, dass die Standardsicherheitsliste des VCN keinen Ping-Traffic zulässt (ICMP-Typ 8 und ICMP-Typ 0). Sie müssen die entsprechenden Ingress- und Egress-Regeln hinzufügen, um Ping-Traffic zuzulassen.
  • Firewallregeln: Stellen Sie sicher, dass die Firewallregeln sowohl Ingress- und Egress-Traffic mit den Oracle-VPN-Headend-IPs und dem VCN-CIDR-Block zulassen.
  • Asymmetrisches Routing: Oracle verwendet asymetrisches Routing über die Tunnel, aus denen die IPSec-Verbindung besteht. Selbst wenn Sie einen Tunnel als primären und anderen als Backuptunnel konfigurieren, kann der Traffic vom VCN zum On-Premise-Netzwerk jeden Tunnel verwenden, der auf einem Gerät "hochgefahren" ist. Konfigurieren Sie Firewalls nach Bedarf. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.
  • Cisco ASA: Verwenden Sie die Option originate-only nicht mit einem Oracle Site-to-Site-VPN-Tunnel IPSec. Dadurch wird der Traffic des Tunnels in unregelmäßigen Abständen verworfen. Der Befehl ist nur für Tunnel zwischen zwei Cisco-Geräten bestimmt. Im Folgenden finden Sie ein Beispiel für den Befehl, der NICHT für die IPSec-Tunnel verwendet werden soll: crypto map <map name> <sequence number> set connection-type originate-only

IPSec-Tunnel weist den Status UP auf, der Traffic fließt jedoch nur in eine Richtung

Prüfen Sie Folgendes:

  • Asymmetrisches Routing: Oracle verwendet asymetrisches Routing über die Tunnel, aus denen die IPSec-Verbindung besteht. Selbst wenn Sie einen Tunnel als primären und anderen als Backuptunnel konfigurieren, kann der Traffic vom VCN zum On-Premise-Netzwerk jeden Tunnel verwenden, der auf einem Gerät "hochgefahren" ist. Konfigurieren Sie Firewalls nach Bedarf. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.
  • Einzelner Tunnel bevorzugt: Um nur einen der Tunnel zu verwenden, stellen Sie bitte sicher, dass die richtige Policy oder das richtige Routing auf dem CPE gesetzt ist, um den Tunnel zu bevorzugen.
  • Mehrere IPSec-Verbindungen: Wenn mehrere IPSec-Verbindungen mit Oracle vorhanden ist, stellen Sie sicher, dass Sie für die bevorzugte IPSec-Verbindung spezifischere statische Routen angeben.
  • VCN-Sicherheitslisten: Stellen Sie sicher, dass die VCN-Sicherheitslisten Traffic in beide Richtungen (Ingress und Egress) zulassen.
  • Firewall rules: Ensure that the firewall rules allow traffic in both directions with the Oracle VPN headend IPs and the VCN CIDR block.

Fehler bei einem Site-to-Site-VPN mit policybasierter Konfiguration beheben

IPSec-Tunnel weist den Status DOWN auf

Prüfen Sie Folgendes:

  • Basiskonfiguration: Der IPSec-Tunnel besteht aus der Konfiguration von Phase 1 (ISAKMP) und Phase 2 (IPSec). Bestätigen Sie, dass beide Phasen korrekt auf dem CPE-Gerät konfiguriert sind. Lesen Sie dazu die Abschnitte zur entsprechenden Konfiguration für das CPE-Gerät:

  • Lokale und Remoteproxy-IDs: Wenn Sie eine policy-basierte Konfiguration verwenden, prüfen sie, ob das CPE mehr als eine Paar aus lokalen und Remoteproxy-IDs (Subnetzen) konfiguriert ist. Der Oracle-VPN-Router unterstützt nur ein Paar über ältere Verbindungen. Wenn für die CPE mehr als ein Paar konfiguriert ist, aktualisieren sie die Konfiguration, so dass nur ein Paar vorhanden ist, und wählen eine der beiden folgenden Optionen:
    Option Lokale Proxy-ID Remoteproxy-ID
    1 Beliebig (oder 0.0.0.0/0) Beliebig (oder 0.0.0.0/0)
    2 On-Premise-CIDR (ein Aggregat, das alle betreffenden Subnetze abdeckt) CIDR des VCN
  • NAT-Gerät: Wenn sich das CPE hinter dem NAT-Gerät befindet, stimmt die auf dem CPE konfigurierte CPE-IKE-ID möglicherweise nicht mit der von Oracle verwendeten CPE-IKE-ID überein (die öffentliche IP-Adresse des CPE). Wenn das CPE das Festlegen der CPE-IKE-ID auf dem On-Premise-End nicht unterstützt, können Sie Oracle die CPE-IKE-ID in der Oracle-Konsole bereitstellen. Weitere Informationen finden Sie unter Überblick über Site-to-Site-VPN-Komponenten.
  • Cisco ASA: Verwenden Sie die Option originate-only nicht mit einem Oracle Site-to-Site-VPN-Tunnel IPSec. Dadurch wird der Traffic des Tunnels in unregelmäßigen Abständen verworfen. Der Befehl ist nur für Tunnel zwischen zwei Cisco-Geräten bestimmt. Im Folgenden finden Sie ein Beispiel für den Befehl, der NICHT für die IPSec-Tunnel verwendet werden soll: crypto map <map name> <sequence number> set connection-type originate-only

IPSec-Tunnel weist den Status UP auf, doch es kommt weiterhin zu Flapping

Prüfen Sie Folgendes:

  • Verbindungsstart: Stellen Sie sicher, dass das CPE-Gerät die Verbindung startet.
  • Lokale und Remoteproxy-IDs: Wenn Sie eine policy-basierte Konfiguration verwenden, prüfen sie, ob das CPE mehr als eine Paar aus lokalen und Remoteproxy-IDs (Subnetzen) konfiguriert ist. Der Oracle-VPN-Router unterstützt nur ein Paar über ältere Verbindungen. Wenn für die CPE mehr als ein Paar konfiguriert ist, aktualisieren sie die Konfiguration, so dass nur ein Paar vorhanden ist, und wählen eine der beiden folgenden Optionen:
    Option Lokale Proxy-ID Remoteproxy-ID
    1 Beliebig (oder 0.0.0.0/0) Beliebig (oder 0.0.0.0/0)
    2 On-Premise-CIDR (ein Aggregat, das alle betreffenden Subnetze abdeckt) CIDR des VCN
  • Interessanter Traffic zu jeder Zeit: Wir empfehlen, immer interessanten Traffic über die IPSec-Tunnel zu haben, wenn das CPE dies unterstützt. Cisco ASA erfordert, dass Sie SLA-Monitoring konfigurieren, wodurch interessanter Datenverkehr über die IPSec-Tunnel läuft. Weitere Informationen finden Sie im Abschnitt "IP-SLA-Konfiguration" in der policy-basierten Cisco ASA-Konfigurationsvorlage.

IPSec-Tunnel weist den Status UP auf, der Traffic ist jedoch instabil

Prüfen Sie Folgendes:

  • Lokale und Remoteproxy-IDs: Wenn Sie eine policy-basierte Konfiguration verwenden, prüfen sie, ob das CPE mehr als eine Paar aus lokalen und Remoteproxy-IDs (Subnetzen) konfiguriert ist. Der Oracle-VPN-Router unterstützt nur ein Paar über ältere Verbindungen. Wenn für die CPE mehr als ein Paar konfiguriert ist, aktualisieren sie die Konfiguration, so dass nur ein Paar vorhanden ist, und wählen eine der beiden folgenden Optionen:
    Option Lokale Proxy-ID Remoteproxy-ID
    1 Beliebig (oder 0.0.0.0/0) Beliebig (oder 0.0.0.0/0)
    2 On-Premise-CIDR (ein Aggregat, das alle betreffenden Subnetze abdeckt) CIDR des VCN
  • Interessanter Traffic zu jeder Zeit: Wir empfehlen, immer interessanten Traffic über die IPSec-Tunnel zu haben, wenn das CPE dies unterstützt. Cisco ASA erfordert, dass Sie SLA-Monitoring konfigurieren, wodurch interessanter Datenverkehr über die IPSec-Tunnel läuft. Weitere Informationen finden Sie im Abschnitt "IP-SLA-Konfiguration" in der policy-basierten Cisco ASA-Konfigurationsvorlage.

IPsec-Tunnel ist nur teilweise hochgefahren

Das Diagramm zeigt mehrere Verschlüsselungsdomains und wie sie ihre Nummer finden.

Wenn Sie in einer Konfiguration wie im obigem Beispiel nur drei der sechs möglichen IPv4-Verschlüsselungsdomains auf CPE-seite konfiguriert hätten, würde der Link in dem Status "Teilweise hochfahren" aufgelistet werden, da auf DRG-Seite immer alle möglichen Verschlüsselungsdomains erstellt wurden.

Partial up SA: Wir empfehlen, dass immer interessanter Traffic über die IPSec-Tunnel ausgeführt wird. Bestimmte CPE-Anbieter verlangen, dass Sie immer interessanten Verkehr durch den Tunnel haben, um Phase 2 hochzuhalten. Für Anbieter wie Cisco ASA muss der SLA-Monitor konfiguriert werden. Ebenso können Palo Alto-Funktionen wie die Pfadüberwachung verwendet werden. Solche Funktionen sorgen dafür, dass interessanter Datenverkehr durch die IPSec-Tunnel läuft. Szenarien wurden bei Anbietern wie Cisco ASA gesehen, die als "Initiator" fungieren, bringen Phase 2 erst auf, wenn es keinen interessanten Traffic gibt. Dadurch wird die SA entweder heruntergefahren, wenn der Tunnel hochgefahren wird oder nachdem die Sicherheitszuordnung neu erstellt wurde.

BGP-Sessionfehler bei einem Site-to-Site-VPN beheben

BGP-Status lautet DOWN

Prüfen Sie Folgendes:

  • IPSec-Status: Die BGP-Session kann nur hochgefahren sein, wenn der IPSec-Tunnel selbst ebenfalls hochgefahren ist.
  • BGP-Adresse: Stellen Sie sicher, dass für beide Enden des Tunnels die korrekte BGP-Peering-IP-Adresse konfiguriert ist.
  • ASN: Stellen Sie sicher, dass für beide Enden des Tunnels die korrekte lokale BGP-ASN und die korrekte Oracle BGP-ASN konfiguriert sind. Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac) mit 14544. Siehe BGP-ASN von Oracle für die Government Cloud.
  • MD5: Stellen Sie sicher, dass die MD5-Authentifizierung auf dem CPE-Gerät deaktiviert oder nicht konfiguriert ist. Site-to-Site-VPN unterstützt keine MD5-Authentifizierung.

  • Firewalls: Stellen Sie sicher, dass die On-Premise-Firewall oder Access-Control-Listen die folgenden Ports nicht blockieren:

    • TCP-Port 179 (BGP)
    • UDP-Port 500 (IKE)
    • IP-Protokollport 50 (ESP)

    Wenn der TCP-Port 179 (BGP) von der Firewall eines CPE-Geräts blockiert wird, ist der BGP-Neighbors immer heruntergefahren. Der Traffic kann nicht durch den Tunnel fließen, weil das CPE-Gerät und der Oracle-Router keine Routen haben.

BGP-Status wechselt schnell hin und her (Flapping)

Prüfen Sie Folgendes:

  • IPSec-Status: Damit die BGP-Session hochgefahren ist und es nicht zu Flapping kommt, muss der IPSec-Tunnel selbst ohne Flapping hochgefahren sein.
  • Maximale Präfixe: Stellen Sie sicher, dass nicht mehr als 2000 Präfixe veröffentlicht werden. Wenn Sie mehr Werbung machen, ist BGP nicht etabliert.

BGP-Status lautet UP, doch es wird kein Traffic hindurchgeleitet

Prüfen Sie Folgendes:

  • VCN-Sicherheitslisten: Stellen Sie sicher, dass die VCN-Sicherheitslisten den entsprechenden Traffic zulassen (sowohl Ingress- als auch Egress-Regeln). Beachten Sie, dass die Standardsicherheitsliste des VCN keinen Ping-Traffic zulässt (ICMP-Typ 8 und ICMP-Typ 0). Sie müssen die entsprechenden Ingress- und Egress-Regeln hinzufügen, um Ping-Traffic zuzulassen.
  • Korrigieren Sie die Routen an beiden Enden: Stellen Sie sicher, dass Sie die korrekten VCN-Routen von Oracle erhalten haben und dass das CPE-Gerät diese Routen verwendet. Stellen Sie ebenfalls sicher, dass Sie die korrekten On-Premise-Netzwerkrouten über das Site-to-Site-VPN veröffentlichen und dass die VCN-Routentabellen diese Routen verwenden.

BGP-Status lautet UP, der Traffic fließt jedoch nur in eine Richtung

Prüfen Sie Folgendes:

  • VCN-Sicherheitslisten: Stellen Sie sicher, dass die VCN-Sicherheitslisten Traffic in beide Richtungen (Ingress und Egress) zulassen.
  • Firewalls: Stellen Sie sicher, dass On-Premise-Firewalls oder Access-Control-Listen den Traffic zum oder vom Oracle-Ende nicht blockieren.
  • Asymmetrisches Routing: Oracle verwendet asymmetrisches Routing. Wenn Sie über mehrere IPSec-Verbindungen verfügen, müssen Sie sicherstellen, dass das CPE-Gerät für die asymmetrische Routenverarbeitung konfiguriert ist.
  • Redundante Verbindungen: Wenn redundante IPSec-Verbindungen vorhanden sind, stellen Sie sicher, dass beide dieselben Routen veröffentlichen.

Fehler bei redundanten VPN-Verbindungen beheben

Beachten Sie die folgenden wichtigen Hinweise:

  • FastConnect verwendet dynamisches BGP-Routing. Site-to-Site-VPN-IPSec-Verbindungen können entweder statisches Routing oder BGP oder eine Kombination verwenden.
  • Wichtige Details zum Routing und zu bevorzugten Routen bei der Verwendung von redundanten Verbindungen finden Sie unter Routing für Site-to-Site-VPN.
  • Sie können zwei IPSec-Verbindungen zur Redundanz verwenden. Wenn für beide IPSec-Verbindungen nur eine Standardroute (0.0.0.0/0) konfiguriert sind, wird der Traffic auf einer dieser Verbindungen geleitet. Da Oracle asymmetrisches Routing verwendet. Wenn eine IPSec-Verbindung als primäre Verbindung und eine andere als Backup verwendet werden soll, konfigurieren Sie spezifischere Routen für die primäre Verbindung und weniger spezifische Routen (oder die Standardroute 0.0.0.0/0) für die Backupverbindung.

IPSec und FastConnect sind beide eingerichtet, der Traffic wird jedoch nur über IPSec geleitet

Stellen Sie sicher, dass Sie spezifischere Routen für die Verbindung verwenden, die Sie als primäre Verbindung verwenden möchten. Wenn Sie dieselben Routen sowohl für IPSec als auch für FastConnect verwenden, lesen Sie die Erläuterung der Routingvoreinstellungen unter Routing für Site-to-Site-VPN.

Zwei On-Premise-Data Center haben jeweils eine IPSec-Verbindung zu Oracle, doch nur eine davon leitet Traffic weiter

Prüfen Sie, ob beide IPSec-Verbindungen hochgefahren sind, und stellen Sie sicher, dass die asymmetrische Routenverarbeitung auf dem CPE aktiviert ist.

Wenn für beide IPSec-Verbindungen nur eine Standardroute (0.0.0.0/0) konfiguriert sind, wird der Traffic auf einer dieser Verbindungen geleitet. Da Oracle asymmetrisches Routing verwendet. Wenn eine IPSec-Verbindung als primäre Verbindung und eine andere als Backup verwendet werden soll, konfigurieren Sie spezifischere Routen für die primäre Verbindung und weniger spezifische Routen (oder die Standardroute 0.0.0.0/0) für die Backupverbindung.

Weitere Informationen zu diesem Setuptyp finden Sie unter Beispiellayout mit verschiedenen geografischen Gebieten.