Solución de problemas de VPN de sitio a sitio

Crear una solicitud de servicio Preguntar a la comunidad

En este tema se tratan las incidencias más comunes de la VPN de sitio a sitio. En algunas sugerencias se asume que usted es ingeniero de red con acceso a la configuración de su dispositivo CPE.

Mensajes de log

La visualización de los mensajes de log generados para diversos aspectos operativos de la VPN de sitio a sitio puede ser una valiosa ayuda para solucionar muchas de las incidencias que se presentan durante el funcionamiento. La activación y el acceso a los mensajes de log de la VPN de sitio a sitio se pueden realizar a través de la VPN de sitio a sitio o del servicio Logging.

Solapamiento de túnel

Tráfico de interés en todo momento: en general, Oracle recomienda tener tráfico de interés que se ejecute a través de los túneles de IPSec en todo momento si el CPE lo admite. Algunas versiones de Cisco ASA requieren que se configure el monitor SLA, que mantiene el tráfico de interés que se ejecuta a través de los túneles de IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.

Varias conexiones IPSEC: puede utilizar dos conexiones IPSec para la redundancia. Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enrutará a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.

Identificador de IKE local: algunas plataformas de CPE no permiten cambiar el identificador de IKE local. Si no puede, debe cambiar el ID de IKE remoto en la consola de Oracle para que coincida con el ID de IKE local de su CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.

Unidad de transmisión máxima (MTU): el tamaño estándar de la MTU de internet es de 1500 bytes. Para obtener más información sobre cómo determinar la MTU, consulte Visión general de la MTU.

Configuración de CPE

Identificador de IKE local: algunas plataformas de CPE no permiten cambiar el identificador de IKE local. Si no puede, debe cambiar el ID de IKE remoto en la consola de Oracle para que coincida con el ID de IKE local de su CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.

Cisco ASA: basado en políticas: Oracle recomienda utilizar una configuración basada en rutas para evitar incidencias de interoperabilidad y lograr la redundancia de túnel con un único dispositivo Cisco ASA.

Cisco ASA no admite la configuración basada en rutas para versiones de software anteriores a 9.7.1. Para obtener los mejores resultados, si el dispositivo lo permite, Oracle recomienda la actualización a una versión de software que admita la configuración basada en rutas.

Con la configuración basada en políticas, solo se puede configurar un único túnel entre Cisco ASA y el gateway de direccionamiento dinámico (DRG).

Varios túneles Si tiene varios túneles activos simultáneamente, asegúrese de que el CPE esté configurado para gestionar el tráfico procedente de la VCN en cualquiera de los túneles. Por ejemplo, debe desactivar la inspección ICMP, configurar la omisión del estado TCP, y así sucesivamente. Para obtener más información sobre la configuración adecuada, póngase en contacto con el soporte del proveedor de CPE.

Problemas de dominio de cifrado

Los extremos de VPN de Oracle utilizan túneles basados en rutas, pero pueden funcionar con túneles basados en políticas con algunas advertencias. Consulte Dominios de cifrado para túneles basados en políticas para obtener todos los detalles.

Reglas de lista de seguridad con estado: si utiliza reglas de lista de seguridad con estado (para el tráfico TCP, UDP o ICMP), no necesita asegurarse de que la lista de seguridad tenga una regla explícita para permitir mensajes ICMP tipo 3 código 4, ya que el servicio Networking realiza un seguimiento de las conexiones y permite automáticamente estos mensajes. Las reglas sin estado requieren una regla explícita de lista de seguridad de entrada para mensajes ICMP de tipo 3 código 4. Confirme que los firewalls de instancia están configurados correctamente.

Incidencias generales de la VPN de sitio a sitio

El túnel de IPSec está INACTIVO

Compruebe estos elementos:

Túnel de IPSec está ACTIVO, pero no se transfiere ningún tráfico

Compruebe estos elementos:

  • Configuración de fase 2 (IPSec): confirme que los parámetros de fase 2 (IPSec) están configurados correctamente en el dispositivo CPE. Consulte la configuración adecuada para su dispositivo CPE:

  • Listas de seguridad de la VCN: asegúrese de que ha configurado las listas de seguridad de VCN para permitir el tráfico deseado (tanto las reglas de entrada como las de salida). Tenga en cuenta que la lista de seguridad predeterminada de la VCN no permite el tráfico de ping (ICMP tipo 8 y tipo 0). Se deben agregar las reglas de entrada y salida adecuadas para permitir el tráfico de ping.
  • Reglas de firewall: asegúrese de que sus reglas de firewall permitan el tráfico de entrada y salida con los IP de la cabecera de VPN de Oracle y el bloque CIDR de la VCN.
  • Enrutamiento asimétrico: Oracle utiliza el enrutamiento asimétrico en los diversos túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como de copia de seguridad, el tráfico de la VCN a la red local puede utilizar cualquier túnel que esté "activo" en el dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones en la conexión no funcionarán de manera fiable.
  • Cisco ASA: no utilice la opción originate-only con un túnel de IPSec de VPN de sitio a sitio de Oracle. Hace que el tráfico del túnel desaparezca de manera incoherente y sin avisar. El comando solo se utiliza para túneles entre dos dispositivos Cisco. Este es un ejemplo del comando que NO debe utilizar para los túneles de IPSec: crypto map <map name> <sequence number> set connection-type originate-only

Túnel de IPSec está ACTIVO, pero el tráfico se transfiere solo en una dirección

Compruebe estos elementos:

  • Enrutamiento asimétrico: Oracle utiliza el enrutamiento asimétrico en los diversos túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como de copia de seguridad, el tráfico de la VCN a la red local puede utilizar cualquier túnel que esté "activo" en el dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones en la conexión no funcionarán de manera fiable.
  • Túnel preferido: si desea utilizar solo uno de los túneles, asegúrese de tener la política o el enrutamiento adecuado correctamente configurado en el CPE para que prefiera dicho túnel.
  • Varias conexiones IPSec: si tiene varias conexiones IPSec con Oracle, asegúrese de especificar rutas estáticas más específicas para la conexión IPSec que se prefiera.
  • Listas de seguridad de la VCN: asegúrese de que las listas de seguridad de la VCN permitan el tráfico en ambas direcciones (entrada y salida).
  • Reglas de firewall: asegúrese de que las reglas de firewall permitan el tráfico en ambas direcciones con las IP del cabezal VPN de Oracle y el bloque CIDR de VCN.

Solución de problemas de la VPN sitio a sitio con una configuración basada en políticas

El túnel de IPSec está INACTIVO

Compruebe estos elementos:

  • Configuración básica: el túnel de IPSec está formado por la configuración de fase 1 (ISAKMP) y fase 2 (IPSec). Confirme que ambos estén configurados correctamente en el dispositivo CPE. Consulte la configuración adecuada para su dispositivo CPE:

  • Identificadores de servidor proxy locales y remotos: si utiliza una configuración basada en políticas, compruebe si el CPE está configurado con más de un par de identificadores de servidor proxy locales y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si su CPE tiene más de un par, actualice la configuración para incluir solo uno y elija una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN

    Las conexiones creadas después de octubre de 2020 en muchas regiones se crean mediante VPN de sitio a sitio v2, que puede soportar varios dominios de cifrado.

  • Dispositivo NAT: si el CPE está detrás de un dispositivo NAT, es posible que el identificador IKE de CPE configurado en su CPE no coincida con este mismo identificador que utiliza Oracle (la dirección IP pública de su CPE). Si su CPE no admite la configuración del identificador IKE de CPE en su extremo, puede proporcionar a Oracle el identificador IKE de CPE en la consola de Oracle. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.
  • Cisco ASA: no utilice la opción originate-only con un túnel de IPSec de VPN de sitio a sitio de Oracle. Hace que el tráfico del túnel desaparezca de manera incoherente y sin avisar. El comando solo se utiliza para túneles entre dos dispositivos Cisco. Este es un ejemplo del comando que NO debe utilizar para los túneles de IPSec: crypto map <map name> <sequence number> set connection-type originate-only

El túnel de IPSec está ACTIVO, pero mantiene huecos

Compruebe estos elementos:

  • Inicio de conexión: asegúrese de que el dispositivo CPE ha iniciado la conexión.
  • Identificadores de servidor proxy locales y remotos: si utiliza una configuración basada en políticas, compruebe si el CPE está configurado con más de un par de identificadores de servidor proxy locales y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si su CPE tiene más de un par, actualice la configuración para incluir solo uno y elija una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN

    Las conexiones creadas después de octubre de 2020 en muchas regiones se crean mediante VPN de sitio a sitio v2, que puede soportar varios dominios de cifrado.

  • Tráfico de interés en todo momento: en general, Oracle recomienda tener tráfico de interés que se ejecute a través de los túneles de IPSec en todo momento si el CPE lo admite. Algunas versiones de Cisco ASA requieren que se configure el monitor SLA, que mantiene el tráfico de interés que se ejecuta a través de los túneles de IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.

Túnel de IPSec está ACTIVO, pero el tráfico no es estable

Compruebe estos elementos:

  • Identificadores de servidor proxy locales y remotos: si utiliza una configuración basada en políticas, compruebe si el CPE está configurado con más de un par de identificadores de servidor proxy locales y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si su CPE tiene más de un par, actualice la configuración para incluir solo uno y elija una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN

    Las conexiones creadas después de octubre de 2020 en muchas regiones se crean mediante VPN de sitio a sitio v2, que puede soportar varios dominios de cifrado.

  • Tráfico de interés en todo momento: en general, Oracle recomienda tener tráfico de interés que se ejecute a través de los túneles de IPSec en todo momento si el CPE lo admite. Algunas versiones de Cisco ASA requieren que se configure el monitor SLA, que mantiene el tráfico de interés que se ejecuta a través de los túneles de IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.

El túnel de IPSec solo está parcialmente ACTIVO

Diagrama que muestra varios dominios de cifrado y cómo determinar su número.

Si tenía una configuración similar al ejemplo anterior y sólo ha configurado tres de los seis posibles dominios de cifrado IPv4 en el lado del CPE, el enlace se mostraría en el estado "Activo parcial", ya que todos los posibles dominios de cifrado siempre se crean en el lado del DRG.

Solución de problemas de sesión de BGP para la VPN sitio a sitio

Estado de BGP es INACTIVO

Compruebe estos elementos:

  • Estado de IPSec: para que la sesión BGP esté activa, el túnel de IPSec debe estar activo.
  • Dirección BGP: compruebe que ambos extremos del túnel están configurados con la dirección IP de intercambio de tráfico BGP correcta.
  • ASN: verifique que ambos extremos del túnel están configurados con el ASN local de BGP correcto y el ASN de BGP de Oracle. El ASN de BGP de Oracle para la nube comercial es 31898. Para Government Cloud, consulte ASN de BGP de Oracle.
  • MD5: compruebe que la autenticación de MD5 está desactivada o no configurada en el dispositivo CPE. La VPN de sitio a sitio no soporta la autenticación MD5.
  • Firewalls: verifique que el firewall local o las listas de control de acceso no estén bloqueando los siguientes puertos:

    • Puerto TCP 179 (BGP)
    • Puerto UDP 500 (IKE)
    • Puerto de protocolo IP 50 (ESP)

    Si el firewall del dispositivo CPE está bloqueando el puerto TCP 179 (BGP), el estado de vecino de BGP siempre estará inactivo. El tráfico no puede fluir a través del túnel porque el dispositivo CPE y el enrutador Oracle no tienen rutas.

Estado de BGP está marcado

Compruebe estos elementos:

  • Estado de IPSec: para que la sesión BGP esté activa y no marcada, el propio túnel de IPSec debe estar activo y no marcado.
  • Prefijos máximos: verifique que está publicitando no más de 2000 prefijos. En el caso de que lo esté haciendo, no se establecerá el BGP.

El estado de BGP es UP, pero no se transfiere ningún tráfico

Compruebe estos elementos:

  • Listas de seguridad de la VCN: asegúrese de que ha configurado las listas de seguridad de VCN para permitir el tráfico deseado (tanto las reglas de entrada como las de salida). Tenga en cuenta que la lista de seguridad predeterminada de la VCN no permite el tráfico de ping (ICMP tipo 8 y tipo 0). Se deben agregar las reglas de entrada y salida adecuadas para permitir el tráfico de ping.
  • Corregir rutas en ambos extremos: verifique que ha recibido las rutas de VCN correctas de Oracle y que el dispositivo CPE esté utilizando esas rutas. Asimismo, compruebe que anuncia las rutas de red locales correctas a través de la VPN de sitio a sitio, y que las tablas de rutas de VCN utilizan dichas rutas.

Estado de BGP es UP, pero el tráfico se transfiere en una única dirección

Compruebe estos elementos:

  • Listas de seguridad de la VCN: asegúrese de que las listas de seguridad de la VCN permitan el tráfico en ambas direcciones (entrada y salida).
  • Firewalls: verifique que el firewall local o las listas de control de acceso no estén bloqueando el tráfico hacia Oracle o desde este.
  • Enrutamiento asimétrico: Oracle utiliza el enrutamiento asimétrico. Si tiene varias conexiones IPSec, asegúrese de que el dispositivo CPE está configurado para el procesamiento de rutas asimétricas.
  • Conexiones redundantes: si tiene conexiones IPSec redundantes, asegúrese de que ambas anuncian las mismas rutas.

Solución de problemas de conexiones IPSec redundantes

Recuerde estas notas importantes:

  • FastConnect utiliza el enrutamiento dinámico BGP. Las conexiones IPSec de VPN de sitio a sitio pueden utilizar tanto el enrutamiento estático, como el BGP o una combinación.
  • Para obtener información importante sobre el enrutamiento y las rutas preferidas al utilizar conexiones redundantes, consulte Enrutamiento de la VPN de sitio a sitio.
  • Puede utilizar dos conexiones de IPSec para la redundancia. Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enrutará a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.

IPSec y FastConnect están ambos configurados, pero el tráfico solo se transfiere a través de IPSec

Asegúrese de utilizar rutas más específicas para la conexión que desee como principal. Si utiliza las mismas rutas para IPSec y FastConnect, consulte el análisis de las preferencias de enrutamiento en Enrutamiento de la VPN de sitio a sitio.

Dos centros de datos locales tienen una conexión de IPSec a Oracle, pero solo uno transfiere tráfico

Verifique que ambas conexiones de IPSec están activas y que tiene el procesamiento de rutas asimétricas activado en el CPE.

Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enrutará a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.

Para obtener más información sobre este tipo de configuración, consulte Ejemplo de diseño con varias áreas geográficas.