Solución de problemas de VPN de sitio a sitio

Crear una solicitud de servicio en My Oracle Support

En este tema se tratan las incidencias más comunes de la solución de problemas de la VPN de sitio a sitio. Algunas sugerencias suponen que usted es un ingeniero de redes con acceso a la configuración del dispositivo CPE.

Mensajes de log

La visualización de mensajes de log generados para diversos aspectos operativos de la VPN de sitio a sitios puede ser una ayuda valiosa para solucionar muchas de las incidencias que se presentan durante el funcionamiento. La activación y el acceso a los mensajes del log de una VPN del sitio a sitio se pueden realizar mediante la VPN del sitio a sitio o el servicio Logging.

  • Para obtener una visión general del servicio Logging en general, consulte Logging Overview.
  • Para obtener más información sobre el acceso y la activación de los mensajes del log de la VPN de sitio a sitio mediante el servicio de registro, consulte Logs de servicios.
  • Para obtener más información sobre la activación y el acceso a los mensajes del log de VPN sitio a página a través del servicio Networking, consulte Mensajes de log de VPN sitio a página.
  • Para obtener más información sobre el esquema del mensaje del log de la VPN de sitio a página, consulte Detalles de la VPN de sitio a página.

Consulte la siguiente tabla para obtener una mejor interpretación de los mensajes de log de VPN de sitio a sitio, que muestra los diferentes escenarios de caída de túneles y los posibles logs que se ven en la consola de OCI.

Interpretación de logs de consola
Motivo de inactividad de túnel Logs rellenados en la sección de registro de OCI
La versión IKE no coincide

STATE_V2_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message

dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni

received and ignored notification payload: NO_PROPOSAL_CHOSEN_date_time ep_85 pluto[68971]: "xxxxxxx" #xxx: set ikev1 error <14>

Subredes no coincidentes

No IKEv2 connection found with compatible Traffic Selectors

responding to CREATE_CHILD_SA message (ID 30) from CPE_PUBLIC_IP:4500 with encrypted notification TS_UNACCEPTABLE

cannot respond to IPsec SA request because no connection is known for MISMATCHED_SOURCE_SUBNET===VPN_PUBLIC_IP[+S?C]...VPN_PUBLIC_IP[+S?C]===MISMATCHED_DESTINATION_SUBNET

Clave compartida previamente y no coincidente

STATE_MAIN_I3: 60 second timeout exceeded after 7 retransmits. Possible authentication failure: no acceptable response to our first encrypted messag

IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

authentication failed: computed hash does not match hash received from peer ID_IPV4_ADDR 'VPN_PUBLIC_IP'

responding to IKE_AUTH message (ID 1) from VPN_PUBLIC_IP:4500 with encrypted notification AUTHENTICATION_FAILED

Propuesta no coincidente

OAKLEY proposal refused: missing encryption

Oakley Transform [AES_CBC (128), HMAC_SHA2_256, DH19] refused

no acceptable Oakley Transform

sending notification NO_PROPOSAL_CHOSEN to VPN_PUBLIC_IP:500

failed to add connection: ESP DH algorithm 'modp1024' is not supported

received unauthenticated v2N_NO_PROPOSAL_CHOSEN - ignored

PFS no coincidente

ignoring informational payload NO_PROPOSAL_CHOSEN, msgid=xxxxxx, length=12

received and ignored notification payload: NO_PROPOSAL_CHOSEN

dropping unexpected ISAKMP_v2_CREATE_CHILD_SA message containing v2N_INVALID_SYNTAX notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr

"xxxxxxxx"[1] VPN_PUBLIC_IP #580: encountered fatal error in state STATE_V2_REKEY_CHILD_I

ID de IKE no coincidente

Peer ID 'MISMATCHED_IKE_ID_IP_ADDRESS' mismatched on first found connection and no better connection found

sending encrypted notification INVALID_ID_INFORMATION to VPN_PUBLIC_IP:4500

Oscilaciones de túnel

Tráfico de interés en todo momento: recomendamos tener siempre tráfico de interés que se ejecute a través de los túneles IPSec si el CPE lo admite. Cisco ASA requiere que configure la supervisión de SLA, que mantiene el tráfico interesante que se ejecuta a través de los túneles IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.

Varias conexiones IPSEC: puede utilizar dos conexiones IPSec para la redundancia. Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enruta a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.

Identificador IKE local: algunas plataformas CPE no permiten cambiar el identificador IKE local. Si no lo puede, debe cambiar el ID del IKE remoto en la consola de Oracle para que coincida con el ID del IKE local del CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.

Unidad de transmisión máxima (MTU): el tamaño estándar de la MTU del Internet es de 1500 bytes. Para obtener más información sobre cómo encontrar la MTU, consulte Overview of MTU.

Configuración de CPE

Identificador IKE local: algunas plataformas CPE no permiten cambiar el identificador IKE local. Si no lo puede, debe cambiar el ID del IKE remoto en la consola de Oracle para que coincida con el ID del IKE local del CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.

Cisco ASA: basado de políticas: se recomienda utilizar una configuración basada en rutas para evitar incidencias de interoperabilidad y lograr la redundancia de túnel con un único dispositivo Cisco ASA.

Cisco ASA no admite una configuración basada en rutas para versiones de software anteriores a 9.7.1. Para obtener los mejores resultados, si el dispositivo lo admite, recomendamos que actualice a una versión de software que admita la configuración basada en rutas.

Con una configuración basada en políticas, solo se puede configurar un único túnel entre Cisco ASA y un gateway de direccionamiento dinámico (DRG).

Varios túneles Si tiene varios túneles simultáneamente, asegúrese de que el CPE esté configurado para gestionar la circulación procedente de la la VCN en cualquiera de los túneles. Por ejemplo, debe desactivar la inspección ICMP, configurar la omisión del estado TCP, y así sucesivamente. Para obtener más información sobre la configuración adecuada, comuníquese con la asistencia técnica del proveedor de CPE.

Incidencias de dominio de cifrado

Los extremos de VPN de Oracle utilizan túneles basados en rutas, pero pueden funcionar con túneles basados en políticas con algunas advertencias. Consulte Dominios de cifrado para túneles basados en políticas para obtener todos los detalles.

Reglas de lista del sistema con estado: si utiliza reglas del sistema de lista del sistema con estado (para tráfico TCP, UDP o ICMP), no necesita asegurarse que una lista del sistema tenga una regla explícita para permitir mensajes ICMP tipo 3 código 4 porque el servicio de redes realiza un seguimiento de las conexiones y permite automáticamente estos mensajes. Las reglas sin estado requieren una regla explícita de lista de seguridad de entrada para mensajes ICMP de tipo 3 código 4. Confirme que los firewalls de instancia están configurados correctamente.

Problemas generales de la VPN de sitio a sitio

El túnel de IPSec está INACTIVO

Compruebe estos elementos:

  • Configuración básica: el túnel IPSec está formado por los parámetros fase 1 y fase 2. Confirme que ambos estén configurados correctamente. Puede configurar los parámetros de fase 1 y fase 2 de CPE en el final de OCI mediante configuraciones personalizadas. Para utilizar configuraciones personalizadas en el túnel, vaya a opciones avanzadas y active configuraciones personalizadas. Esto le permite definir manualmente los parámetros de fase 1 y fase 2 en el extremo de OCI.

    Oracle también ha recomendado determinados parámetros para la fase 1 y la fase 2. Consulte los parámetros para la configuración de fase 1 (ISAKMP) y fase 2 (IPSec) y utilice esos parámetros si el paso anterior no abre el túnel. Para obtener más información sobre la configuración del dispositivo CPE, consulte la configuración adecuada para el dispositivo CPE:

  • Identificadores de proxy local y remotos: si utiliza una configuración basada en políticas, compruebe si El CPE está configurado con más de una par de identificadores de proxy local y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si el CPE tiene más de un par, actualice la configuración para incluir solo uno y seleccione una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN
  • Dispositivo NAT: si el CPE está detrás del dispositivo NAT, es posible de que el identificador IKE del CPE configurado en el CPE no coincida con el identificador IKE del CPE que utiliza Oracle (la dirección IP pública del CPE). Si el CPE no soporta la configuración del identificador IKE de CPE en el extremo local, puede proporcionar a Oracle el identificador IKE de CPE en la consola de Oracle. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.

Túnel de IPSec está ACTIVO, pero no se transfiere ningún tráfico

Compruebe estos elementos:

  • Configuración de fase 2 (IPSec): confirme que los parámetros de fase 2 (IPSec) están configurados correctamente en el dispositivo CPE. Consulte la configuración adecuada para el dispositivo CPE:

  • Listas de seguridad de VCN: asegúrese de que las listas de seguridad de VCN permiten el tráfico adecuado (tanto reglas de entrada como de salida). Tenga En cuenta que la lista de seguridad predeterminada de VCN no permite el tráfico de ping (ICMP tipo 8 y tipo ICMP 0). Se deben agregar las reglas de entrada y salida adecuadas para permitir el tráfico de ping.
  • Reglas de cortafuegos: asegúrese de que las reglas de cortafuegos permitan la entrada y salida del tráfico con las IP de la cabecera VPN de Oracle y el bloque CIDR VCN.
  • Enrutamiento asimétrico: Oracle utiliza la enrutamiento asimétrico en los túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como copia de seguridad, el tráfico de una VCN a una red local puede utilizar cualquier túnel que esté "activo" en un dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.
  • Cisco ASA: no utilice la opción originate-only con un túnel de Oracle VPN de sitio a sitio IPSec. Hace que el tráfico del túnel desaparezca de manera incoherente y sin avisar. El comando solo se utiliza para túneles entre dos dispositivos Cisco. A continuación se muestra un ejemplo del comando NOT que se debe utilizar para los túneles IPSec: crypto map <map name> <sequence number> set connection-type originate-only

Túnel de IPSec está ACTIVO, pero el tráfico se transfiere solo en una dirección

Compruebe estos elementos:

  • Enrutamiento asimétrico: Oracle utiliza la enrutamiento asimétrico en los túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como copia de seguridad, el tráfico de una VCN a una red local puede utilizar cualquier túnel que esté "activo" en un dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.
  • Túnel preferido: si deseas utilizar solo uno de los túneles, asegúrate de tener la política o la ruta adecuada correctamente configurada en el CPE para que prefiera ese túnel.
  • Varias conexiones IPSec: si tiene varias conexiones IPSec con Oracle, asegúrese en especificar rutas estáticas más específicas para la conexión IPSec que se prefiera.
  • LISTAS DE SEGURIDAD DE LA VCN: asegúrese de que las LISTAS DE SEGURIDAD DE LA VCN permitan el tráfico en ambas direcciones (entrada y salida).
  • Reglas de cortafuegos: asegúrese de que las reglas del firewall permiten el tráfico en ambas direcciones con las IP de la cabecera de VPN de Oracle y el bloque CIDR de la VCN.

Solución de problemas de la VPN sitio a sitio con una configuración basada en políticas

El túnel de IPSec está INACTIVO

Compruebe estos elementos:

  • Configuración básica: el túnel de IPSec está formado por la configuración de fase 1 (ISAKMP) y fase 2 (IPSec). Confirme que ambos estén configurados correctamente en el dispositivo CPE. Consulte la configuración adecuada para el dispositivo CPE:

  • Identificadores de proxy local y remotos: si utiliza una configuración basada en políticas, compruebe si El CPE está configurado con más de una par de identificadores de proxy local y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si el CPE tiene más de un par, actualice la configuración para incluir solo uno y seleccione una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN
  • Dispositivo NAT: si el CPE está detrás del dispositivo NAT, es posible de que el identificador IKE del CPE configurado en el CPE no coincida con el identificador IKE del CPE que utiliza Oracle (la dirección IP pública del CPE). Si el CPE no soporta la configuración del identificador IKE de CPE en el extremo local, puede proporcionar a Oracle el identificador IKE de CPE en la consola de Oracle. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.
  • Cisco ASA: no utilice la opción originate-only con un túnel de Oracle VPN de sitio a sitio IPSec. Hace que el tráfico del túnel desaparezca de manera incoherente y sin avisar. El comando solo se utiliza para túneles entre dos dispositivos Cisco. A continuación se muestra un ejemplo del comando NOT que se debe utilizar para los túneles IPSec: crypto map <map name> <sequence number> set connection-type originate-only

El túnel de IPSec está ACTIVO, pero mantiene huecos

Compruebe estos elementos:

  • Inicio de conexión: asegúrese de que el dispositivo CPE esté iniciando la conexión.
  • Identificadores de proxy local y remotos: si utiliza una configuración basada en políticas, compruebe si El CPE está configurado con más de una par de identificadores de proxy local y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si el CPE tiene más de un par, actualice la configuración para incluir solo uno y seleccione una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN
  • Tráfico de interés en todo momento: recomendamos tener siempre tráfico de interés que se ejecute a través de los túneles IPSec si el CPE lo admite. Cisco ASA requiere que configure la supervisión de SLA, que mantiene el tráfico interesante que se ejecuta a través de los túneles IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.

Túnel de IPSec está ACTIVO, pero el tráfico no es estable

Compruebe estos elementos:

  • Identificadores de proxy local y remotos: si utiliza una configuración basada en políticas, compruebe si El CPE está configurado con más de una par de identificadores de proxy local y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si el CPE tiene más de un par, actualice la configuración para incluir solo uno y seleccione una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN
  • Tráfico de interés en todo momento: recomendamos tener siempre tráfico de interés que se ejecute a través de los túneles IPSec si el CPE lo admite. Cisco ASA requiere que configure la supervisión de SLA, que mantiene el tráfico interesante que se ejecuta a través de los túneles IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.

El túnel de IPSec solo está parcialmente ACTIVO

Diagrama que muestra varios dominios de cifrado y cómo encontrar su número.

Si tuviera una configuración similar al ejemplo precedente y sólo configurara tres de los seis posibles dominios IPv4 de cifrado en la parte del CPE, el enlace se mostraría en estado "Activo parcial" ya que todos los posibles dominios del cifrado siempre se crean en la parte del DRG.

SA parcial activa: recomendamos tener siempre tráfico interesante que se ejecute a través de los túneles IPSec. Ciertos proveedores de CPE requieren que siempre tenga tráfico interesante a través del túnel para mantener la fase 2 en funcionamiento. Los proveedores como Cisco ASA requieren que se configure el monitor SLA monitor. Del mismo modo, se pueden utilizar las funciones de Palo Alto, como la supervisión de rutas. Estas características mantienen el tráfico interesante que se ejecuta a través de los túneles IPSec. Los escenarios se han visto con proveedores como Cisco ASA actuando como el "iniciador" no trae la fase 2 hasta que no hay tráfico interesante. Esto hace que el SA esté caído cuando se activa el túnel o después de la reintroducción de la asociación de seguridad.

Solución de problemas de sesión de BGP para la VPN sitio a sitio

Estado de BGP es INACTIVO

Compruebe estos elementos:

  • Estado de IPSec: para que la sesión BGP esté activa, el túnel de IPSec debe estar activo.
  • Dirección BGP: compruebe que ambos extremos del túnel están configurados con la dirección IP de intercambio de tráfico BGP correcta.
  • ASN: verifique que ambos extremos del túnel están configurados con el ASN local de BGP correcto y el ASN de BGP de Oracle. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544. Para Government Cloud, consulte ASN de BGP de Oracle.
  • MD5: compruebe que la autenticación de MD5 está desactivada o no configurada en el dispositivo CPE. La VPN de sitio a sitio no admite la autenticación MD5.
  • Firewalls: verifique que el firewall local o las listas de control del acceso no bloqueen los siguientes puertos:

    • Puerto TCP 179 (BGP)
    • Puerto UDP 500 (IKE)
    • Puerto de protocolo IP 50 (ESP)

    Si los cortafuegos del dispositivo CPE están bloqueando los puertos TCP 179 (BGP), el estado de vecinos de BGP siempre estará fuera de servicio. El tráfico no puede fluir a través del túnel porque el dispositivo CPE y el enrutador de Oracle no tienen ninguna ruta.

Estado de BGP está marcado

Compruebe estos elementos:

  • Estado de IPSec: para que la sesión BGP esté activa y no marcada, el propio túnel de IPSec debe estar activo y no marcado.
  • Máximo de prefijos: compruebe que no está anunciando más de 2000 prefijos. Si estás anunciando más, BGP no está establecido.

El estado de BGP es UP, pero no se transfiere ningún tráfico

Compruebe estos elementos:

  • Listas de seguridad de VCN: asegúrese de que las listas de seguridad de VCN permiten el tráfico adecuado (tanto reglas de entrada como de salida). Tenga En cuenta que la lista de seguridad predeterminada de VCN no permite el tráfico de ping (ICMP tipo 8 y tipo ICMP 0). Se deben agregar las reglas de entrada y salida adecuadas para permitir el tráfico de ping.
  • Corregir rutas en ambos extremos: verifique que ha recibido las rutas de VCN correctas de Oracle y que el dispositivo CPE esté utilizando esas rutas. Asimismo, compruebe que anuncia los recorridos de red locales correctos a través de la VPN de sitio a sitio, y la tabla de rutas de VCN utiliza dichas rutas.

Estado de BGP es UP, pero el tráfico se transfiere en una única dirección

Compruebe estos elementos:

  • LISTAS DE SEGURIDAD DE LA VCN: asegúrese de que las LISTAS DE SEGURIDAD DE LA VCN permitan el tráfico en ambas direcciones (entrada y salida).
  • Firewalls: compruebe que los firewalls locales o las listas de control de acceso no están bloqueando el tráfico hacia o desde el extremo de Oracle.
  • Enrutamiento asimétrico: Oracle utiliza el enrutamiento asimétrico. Si tiene diversas conexiones IPSec, asegúrese de que el dispositivo CPE está configurado para el tratamiento de rutas asimétricas.
  • Conexiones redundantes: si tiene conexiones IPSec redundantes, asegúrese de que ambas anuncian las mismas rutas.

Solución de problemas de conexiones IPSec redundantes

Recuerde estas notas importantes:

  • FastConnect utiliza el enrutamiento dinámico BGP. Las conexiones IPSec de VPN de sitio a sitio pueden utilizar tanto el enrutamiento estático, como el BGP o una combinación.
  • Para obtener información importante sobre el enrutamiento y las rutas preferidas al utilizar conexiones redundantes, consulte Enrutamiento de la VPN de sitio a sitio.
  • Puede utilizar dos conexiones de IPSec para la redundancia. Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enruta a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.

IPSec y FastConnect están ambos configurados, pero el tráfico solo se transfiere a través de IPSec

Asegúrese de utilizar rutas más específicas para la conexión que desee como principal. Si utiliza las mismas rutas para IPSec y FastConnect, consulte el análisis de las preferencias de enrutamiento en Enrutamiento de la VPN de sitio a sitio.

Dos centros de datos locales tienen una conexión de IPSec a Oracle, pero solo uno transfiere tráfico

Verifique que ambas conexiones de IPSec están activas y que tiene el procesamiento de rutas asimétricas activado en el CPE.

Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enruta a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.

Para obtener más información sobre este tipo de configuración, consulte Ejemplo de diseño con diversas áreas geográficas.