Solución de problemas de VPN de sitio a sitio
Crear una solicitud de servicio en My Oracle Support
En este tema se tratan las incidencias más comunes de la solución de problemas de la VPN de sitio a sitio. Algunas sugerencias suponen que usted es un ingeniero de redes con acceso a la configuración del dispositivo CPE.
Mensajes de log
La visualización de mensajes de log generados para diversos aspectos operativos de la VPN de sitio a sitios puede ser una ayuda valiosa para solucionar muchas de las incidencias que se presentan durante el funcionamiento. La activación y el acceso a los mensajes del log de una VPN del sitio a sitio se pueden realizar mediante la VPN del sitio a sitio o el servicio Logging.
- Para obtener una visión general del servicio Logging en general, consulte Logging Overview.
- Para obtener más información sobre el acceso y la activación de los mensajes del log de la VPN de sitio a sitio mediante el servicio de registro, consulte Logs de servicios.
- Para obtener más información sobre la activación y el acceso a los mensajes del log de VPN sitio a página a través del servicio Networking, consulte Mensajes de log de VPN sitio a página.
-
Para obtener más información sobre el esquema del mensaje del log de la VPN de sitio a página, consulte Detalles de la VPN de sitio a página.
Consulte la siguiente tabla para obtener una mejor interpretación de los mensajes de log de VPN de sitio a sitio, que muestra los diferentes escenarios de caída de túneles y los posibles logs que se ven en la consola de OCI.
Motivo de inactividad de túnel | Logs rellenados en la sección de registro de OCI |
---|---|
La versión IKE no coincide |
|
Subredes no coincidentes |
|
Clave compartida previamente y no coincidente |
|
Propuesta no coincidente |
|
PFS no coincidente |
|
ID de IKE no coincidente |
|
Oscilaciones de túnel
Varias conexiones IPSEC: puede utilizar dos conexiones IPSec para la redundancia. Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enruta a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.
Identificador IKE local: algunas plataformas CPE no permiten cambiar el identificador IKE local. Si no lo puede, debe cambiar el ID del IKE remoto en la consola de Oracle para que coincida con el ID del IKE local del CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.
Unidad de transmisión máxima (MTU): el tamaño estándar de la MTU del Internet es de 1500 bytes. Para obtener más información sobre cómo encontrar la MTU, consulte Overview of MTU.
Configuración de CPE
Identificador IKE local: algunas plataformas CPE no permiten cambiar el identificador IKE local. Si no lo puede, debe cambiar el ID del IKE remoto en la consola de Oracle para que coincida con el ID del IKE local del CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.
Cisco ASA: basado de políticas: se recomienda utilizar una configuración basada en rutas para evitar incidencias de interoperabilidad y lograr la redundancia de túnel con un único dispositivo Cisco ASA.
Cisco ASA no admite una configuración basada en rutas para versiones de software anteriores a 9.7.1. Para obtener los mejores resultados, si el dispositivo lo admite, recomendamos que actualice a una versión de software que admita la configuración basada en rutas.
Con una configuración basada en políticas, solo se puede configurar un único túnel entre Cisco ASA y un gateway de direccionamiento dinámico (DRG).
Varios túneles Si tiene varios túneles simultáneamente, asegúrese de que el CPE esté configurado para gestionar la circulación procedente de la la VCN en cualquiera de los túneles. Por ejemplo, debe desactivar la inspección ICMP, configurar la omisión del estado TCP, y así sucesivamente. Para obtener más información sobre la configuración adecuada, comuníquese con la asistencia técnica del proveedor de CPE.
Incidencias de dominio de cifrado
Los extremos de VPN de Oracle utilizan túneles basados en rutas, pero pueden funcionar con túneles basados en políticas con algunas advertencias. Consulte Dominios de cifrado para túneles basados en políticas para obtener todos los detalles.
Reglas de lista del sistema con estado: si utiliza reglas del sistema de lista del sistema con estado (para tráfico TCP, UDP o ICMP), no necesita asegurarse que una lista del sistema tenga una regla explícita para permitir mensajes ICMP tipo 3 código 4 porque el servicio de redes realiza un seguimiento de las conexiones y permite automáticamente estos mensajes. Las reglas sin estado requieren una regla explícita de lista de seguridad de entrada para mensajes ICMP de tipo 3 código 4. Confirme que los firewalls de instancia están configurados correctamente.
Problemas generales de la VPN de sitio a sitio
El túnel de IPSec está INACTIVO
Compruebe estos elementos:
-
Configuración básica: el túnel IPSec está formado por los parámetros fase 1 y fase 2. Confirme que ambos estén configurados correctamente. Puede configurar los parámetros de fase 1 y fase 2 de CPE en el final de OCI mediante configuraciones personalizadas. Para utilizar configuraciones personalizadas en el túnel, vaya a opciones avanzadas y active configuraciones personalizadas. Esto le permite definir manualmente los parámetros de fase 1 y fase 2 en el extremo de OCI.
Oracle también ha recomendado determinados parámetros para la fase 1 y la fase 2. Consulte los parámetros para la configuración de fase 1 (ISAKMP) y fase 2 (IPSec) y utilice esos parámetros si el paso anterior no abre el túnel. Para obtener más información sobre la configuración del dispositivo CPE, consulte la configuración adecuada para el dispositivo CPE:
-
Identificadores de proxy local y remotos: si utiliza una configuración basada en políticas, compruebe si El CPE está configurado con más de una par de identificadores de proxy local y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si el CPE tiene más de un par, actualice la configuración para incluir solo uno y seleccione una de las dos siguientes opciones:
Opción Identificador de servidor proxy local Identificador de servidor proxy remoto 1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0) 2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN - Dispositivo NAT: si el CPE está detrás del dispositivo NAT, es posible de que el identificador IKE del CPE configurado en el CPE no coincida con el identificador IKE del CPE que utiliza Oracle (la dirección IP pública del CPE). Si el CPE no soporta la configuración del identificador IKE de CPE en el extremo local, puede proporcionar a Oracle el identificador IKE de CPE en la consola de Oracle. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.
Túnel de IPSec está ACTIVO, pero no se transfiere ningún tráfico
Compruebe estos elementos:
-
Configuración de fase 2 (IPSec): confirme que los parámetros de fase 2 (IPSec) están configurados correctamente en el dispositivo CPE. Consulte la configuración adecuada para el dispositivo CPE:
Lista de configuraciones - Listas de seguridad de VCN: asegúrese de que las listas de seguridad de VCN permiten el tráfico adecuado (tanto reglas de entrada como de salida). Tenga En cuenta que la lista de seguridad predeterminada de VCN no permite el tráfico de ping (ICMP tipo 8 y tipo ICMP 0). Se deben agregar las reglas de entrada y salida adecuadas para permitir el tráfico de ping.
- Reglas de cortafuegos: asegúrese de que las reglas de cortafuegos permitan la entrada y salida del tráfico con las IP de la cabecera VPN de Oracle y el bloque CIDR VCN.
- Enrutamiento asimétrico: Oracle utiliza la enrutamiento asimétrico en los túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como copia de seguridad, el tráfico de una VCN a una red local puede utilizar cualquier túnel que esté "activo" en un dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.
- Cisco ASA: no utilice la opción originate-only con un túnel de Oracle VPN de sitio a sitio IPSec. Hace que el tráfico del túnel desaparezca de manera incoherente y sin avisar. El comando solo se utiliza para túneles entre dos dispositivos Cisco. A continuación se muestra un ejemplo del comando NOT que se debe utilizar para los túneles IPSec:
crypto map <map name> <sequence number> set connection-type originate-only
Túnel de IPSec está ACTIVO, pero el tráfico se transfiere solo en una dirección
Compruebe estos elementos:
- Enrutamiento asimétrico: Oracle utiliza la enrutamiento asimétrico en los túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como copia de seguridad, el tráfico de una VCN a una red local puede utilizar cualquier túnel que esté "activo" en un dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.
- Túnel preferido: si deseas utilizar solo uno de los túneles, asegúrate de tener la política o la ruta adecuada correctamente configurada en el CPE para que prefiera ese túnel.
- Varias conexiones IPSec: si tiene varias conexiones IPSec con Oracle, asegúrese en especificar rutas estáticas más específicas para la conexión IPSec que se prefiera.
- LISTAS DE SEGURIDAD DE LA VCN: asegúrese de que las LISTAS DE SEGURIDAD DE LA VCN permitan el tráfico en ambas direcciones (entrada y salida).
- Reglas de cortafuegos: asegúrese de que las reglas del firewall permiten el tráfico en ambas direcciones con las IP de la cabecera de VPN de Oracle y el bloque CIDR de la VCN.
Solución de problemas de la VPN sitio a sitio con una configuración basada en políticas
El túnel de IPSec está INACTIVO
Compruebe estos elementos:
-
Configuración básica: el túnel de IPSec está formado por la configuración de fase 1 (ISAKMP) y fase 2 (IPSec). Confirme que ambos estén configurados correctamente en el dispositivo CPE. Consulte la configuración adecuada para el dispositivo CPE:
Lista de configuraciones -
Identificadores de proxy local y remotos: si utiliza una configuración basada en políticas, compruebe si El CPE está configurado con más de una par de identificadores de proxy local y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si el CPE tiene más de un par, actualice la configuración para incluir solo uno y seleccione una de las dos siguientes opciones:
Opción Identificador de servidor proxy local Identificador de servidor proxy remoto 1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0) 2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN - Dispositivo NAT: si el CPE está detrás del dispositivo NAT, es posible de que el identificador IKE del CPE configurado en el CPE no coincida con el identificador IKE del CPE que utiliza Oracle (la dirección IP pública del CPE). Si el CPE no soporta la configuración del identificador IKE de CPE en el extremo local, puede proporcionar a Oracle el identificador IKE de CPE en la consola de Oracle. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.
- Cisco ASA: no utilice la opción originate-only con un túnel de Oracle VPN de sitio a sitio IPSec. Hace que el tráfico del túnel desaparezca de manera incoherente y sin avisar. El comando solo se utiliza para túneles entre dos dispositivos Cisco. A continuación se muestra un ejemplo del comando NOT que se debe utilizar para los túneles IPSec:
crypto map <map name> <sequence number> set connection-type originate-only
El túnel de IPSec está ACTIVO, pero mantiene huecos
Compruebe estos elementos:
- Inicio de conexión: asegúrese de que el dispositivo CPE esté iniciando la conexión.
-
Identificadores de proxy local y remotos: si utiliza una configuración basada en políticas, compruebe si El CPE está configurado con más de una par de identificadores de proxy local y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si el CPE tiene más de un par, actualice la configuración para incluir solo uno y seleccione una de las dos siguientes opciones:
Opción Identificador de servidor proxy local Identificador de servidor proxy remoto 1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0) 2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN -
Tráfico de interés en todo momento: recomendamos tener siempre tráfico de interés que se ejecute a través de los túneles IPSec si el CPE lo admite. Cisco ASA requiere que configure la supervisión de SLA, que mantiene el tráfico interesante que se ejecuta a través de los túneles IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.
Túnel de IPSec está ACTIVO, pero el tráfico no es estable
Compruebe estos elementos:
-
Identificadores de proxy local y remotos: si utiliza una configuración basada en políticas, compruebe si El CPE está configurado con más de una par de identificadores de proxy local y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si el CPE tiene más de un par, actualice la configuración para incluir solo uno y seleccione una de las dos siguientes opciones:
Opción Identificador de servidor proxy local Identificador de servidor proxy remoto 1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0) 2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN -
Tráfico de interés en todo momento: recomendamos tener siempre tráfico de interés que se ejecute a través de los túneles IPSec si el CPE lo admite. Cisco ASA requiere que configure la supervisión de SLA, que mantiene el tráfico interesante que se ejecuta a través de los túneles IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.
El túnel de IPSec solo está parcialmente ACTIVO
Si tuviera una configuración similar al ejemplo precedente y sólo configurara tres de los seis posibles dominios IPv4 de cifrado en la parte del CPE, el enlace se mostraría en estado "Activo parcial" ya que todos los posibles dominios del cifrado siempre se crean en la parte del DRG.
SA parcial activa: recomendamos tener siempre tráfico interesante que se ejecute a través de los túneles IPSec. Ciertos proveedores de CPE requieren que siempre tenga tráfico interesante a través del túnel para mantener la fase 2 en funcionamiento. Los proveedores como Cisco ASA requieren que se configure el monitor SLA monitor. Del mismo modo, se pueden utilizar las funciones de Palo Alto, como la supervisión de rutas. Estas características mantienen el tráfico interesante que se ejecuta a través de los túneles IPSec. Los escenarios se han visto con proveedores como Cisco ASA actuando como el "iniciador" no trae la fase 2 hasta que no hay tráfico interesante. Esto hace que el SA esté caído cuando se activa el túnel o después de la reintroducción de la asociación de seguridad.
Solución de problemas de sesión de BGP para la VPN sitio a sitio
Estado de BGP es INACTIVO
Compruebe estos elementos:
- Estado de IPSec: para que la sesión BGP esté activa, el túnel de IPSec debe estar activo.
- Dirección BGP: compruebe que ambos extremos del túnel están configurados con la dirección IP de intercambio de tráfico BGP correcta.
- ASN: verifique que ambos extremos del túnel están configurados con el ASN local de BGP correcto y el ASN de BGP de Oracle. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544. Para Government Cloud, consulte ASN de BGP de Oracle.
- MD5: compruebe que la autenticación de MD5 está desactivada o no configurada en el dispositivo CPE. La VPN de sitio a sitio no admite la autenticación MD5.
-
Firewalls: verifique que el firewall local o las listas de control del acceso no bloqueen los siguientes puertos:
- Puerto TCP 179 (BGP)
- Puerto UDP 500 (IKE)
- Puerto de protocolo IP 50 (ESP)
Si los cortafuegos del dispositivo CPE están bloqueando los puertos TCP 179 (BGP), el estado de vecinos de BGP siempre estará fuera de servicio. El tráfico no puede fluir a través del túnel porque el dispositivo CPE y el enrutador de Oracle no tienen ninguna ruta.
Estado de BGP está marcado
Compruebe estos elementos:
- Estado de IPSec: para que la sesión BGP esté activa y no marcada, el propio túnel de IPSec debe estar activo y no marcado.
- Máximo de prefijos: compruebe que no está anunciando más de 2000 prefijos. Si estás anunciando más, BGP no está establecido.
El estado de BGP es UP, pero no se transfiere ningún tráfico
Compruebe estos elementos:
- Listas de seguridad de VCN: asegúrese de que las listas de seguridad de VCN permiten el tráfico adecuado (tanto reglas de entrada como de salida). Tenga En cuenta que la lista de seguridad predeterminada de VCN no permite el tráfico de ping (ICMP tipo 8 y tipo ICMP 0). Se deben agregar las reglas de entrada y salida adecuadas para permitir el tráfico de ping.
- Corregir rutas en ambos extremos: verifique que ha recibido las rutas de VCN correctas de Oracle y que el dispositivo CPE esté utilizando esas rutas. Asimismo, compruebe que anuncia los recorridos de red locales correctos a través de la VPN de sitio a sitio, y la tabla de rutas de VCN utiliza dichas rutas.
Estado de BGP es UP, pero el tráfico se transfiere en una única dirección
Compruebe estos elementos:
- LISTAS DE SEGURIDAD DE LA VCN: asegúrese de que las LISTAS DE SEGURIDAD DE LA VCN permitan el tráfico en ambas direcciones (entrada y salida).
- Firewalls: compruebe que los firewalls locales o las listas de control de acceso no están bloqueando el tráfico hacia o desde el extremo de Oracle.
- Enrutamiento asimétrico: Oracle utiliza el enrutamiento asimétrico. Si tiene diversas conexiones IPSec, asegúrese de que el dispositivo CPE está configurado para el tratamiento de rutas asimétricas.
- Conexiones redundantes: si tiene conexiones IPSec redundantes, asegúrese de que ambas anuncian las mismas rutas.
Solución de problemas de conexiones IPSec redundantes
Recuerde estas notas importantes:
- FastConnect utiliza el enrutamiento dinámico BGP. Las conexiones IPSec de VPN de sitio a sitio pueden utilizar tanto el enrutamiento estático, como el BGP o una combinación.
- Para obtener información importante sobre el enrutamiento y las rutas preferidas al utilizar conexiones redundantes, consulte Enrutamiento de la VPN de sitio a sitio.
- Puede utilizar dos conexiones de IPSec para la redundancia. Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enruta a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.
IPSec y FastConnect están ambos configurados, pero el tráfico solo se transfiere a través de IPSec
Asegúrese de utilizar rutas más específicas para la conexión que desee como principal. Si utiliza las mismas rutas para IPSec y FastConnect, consulte el análisis de las preferencias de enrutamiento en Enrutamiento de la VPN de sitio a sitio.
Dos centros de datos locales tienen una conexión de IPSec a Oracle, pero solo uno transfiere tráfico
Verifique que ambas conexiones de IPSec están activas y que tiene el procesamiento de rutas asimétricas activado en el CPE.
Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enruta a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.
Para obtener más información sobre este tipo de configuración, consulte Ejemplo de diseño con diversas áreas geográficas.