Documentación de Oracle Cloud Infrastructure

Solución de problemas de VPN sitio a sitio

Crear una solicitud de servicio en My Oracle Support

En este tema se tratan las incidencias más comunes de la VPN de sitio a sitio. En algunas sugerencias se asume que usted es ingeniero de red con acceso a la configuración de su dispositivo CPE.

Mensajes de log

La visualización de los mensajes de log generados para diversos aspectos operativos de la VPN de sitio a sitio puede ser una valiosa ayuda para solucionar muchas de las incidencias que se presentan durante el funcionamiento. La activación y el acceso a los mensajes de log de la VPN de sitio a sitio se pueden realizar a través de la VPN de sitio a sitio o del servicio Logging.

Consulte la siguiente tabla para obtener una mejor interpretación de los mensajes de log de VPN IPsec, que muestra los diferentes escenarios de caída de túnel y los posibles logs vistos en la consola de OCI.

Interpretación de logs de consola
Motivo de inactividad del túnel Logs rellenados en la sección de registro de OCI
Versión IKE no coincide

STATE_V2_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message

dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni

received and ignored notification payload: NO_PROPOSAL_CHOSEN_date_time ep_85 pluto[68971]: "xxxxxxx" #xxx: set ikev1 error <14>
Subredes no coincidentes

No IKEv2 connection found with compatible Traffic Selectors

responding to CREATE_CHILD_SA message (ID 30) from CPE_PUBLIC_IP:4500 with encrypted notification TS_UNACCEPTABLE

cannot respond to IPsec SA request because no connection is known for MISMATCHED_SOURCE_SUBNET===VPN_PUBLIC_IP[+S?C]...VPN_PUBLIC_IP[+S?C]===MISMATCHED_DESTINATION_SUBNET
Clave compartida previamente no coincidente

STATE_MAIN_I3: 60 second timeout exceeded after 7 retransmits. Possible authentication failure: no acceptable response to our first encrypted messag

IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

authentication failed: computed hash does not match hash received from peer ID_IPV4_ADDR 'VPN_PUBLIC_IP'

responding to IKE_AUTH message (ID 1) from VPN_PUBLIC_IP:4500 with encrypted notification AUTHENTICATION_FAILED
Propuesta no coincidente

OAKLEY proposal refused: missing encryption

Oakley Transform [AES_CBC (128), HMAC_SHA2_256, DH19] refused

no acceptable Oakley Transform

sending notification NO_PROPOSAL_CHOSEN to VPN_PUBLIC_IP:500

failed to add connection: ESP DH algorithm 'modp1024' is not supported

received unauthenticated v2N_NO_PROPOSAL_CHOSEN - ignored
PFS no coincidente

ignoring informational payload NO_PROPOSAL_CHOSEN, msgid=xxxxxx, length=12

received and ignored notification payload: NO_PROPOSAL_CHOSEN

dropping unexpected ISAKMP_v2_CREATE_CHILD_SA message containing v2N_INVALID_SYNTAX notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr

"xxxxxxxx"[1] VPN_PUBLIC_IP #580: encountered fatal error in state STATE_V2_REKEY_CHILD_I
El ID de IKE no coincide

Peer ID 'MISMATCHED_IKE_ID_IP_ADDRESS' mismatched on first found connection and no better connection found

sending encrypted notification INVALID_ID_INFORMATION to VPN_PUBLIC_IP:4500

Oscilaciones de túnel

Tráfico de interés en todo momento: en general, Oracle recomienda tener tráfico de interés que se ejecute a través de los túneles de IPSec en todo momento si el CPE lo admite. Cisco ASA requiere que configure la supervisión de SLA, que mantiene el tráfico interesante que se ejecuta a través de los túneles IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.

Varias conexiones IPSEC: puede utilizar dos conexiones IPSec para la redundancia. Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enrutará a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.

Identificador de IKE local: algunas plataformas de CPE no permiten cambiar el identificador de IKE local. Si no puede, debe cambiar el ID de IKE remoto en la consola de Oracle para que coincida con el ID de IKE local de su CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.

Unidad de transmisión máxima (MTU): el tamaño estándar de la MTU de internet es de 1500 bytes. Para obtener más información sobre cómo determinar la MTU, consulte Visión general de la MTU.

Configuración de CPE

Identificador de IKE local: algunas plataformas de CPE no permiten cambiar el identificador de IKE local. Si no puede, debe cambiar el ID de IKE remoto en la consola de Oracle para que coincida con el ID de IKE local de su CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.

Cisco ASA: basado en políticas: Oracle recomienda utilizar una configuración basada en rutas para evitar incidencias de interoperabilidad y lograr la redundancia de túnel con un único dispositivo Cisco ASA.

Cisco ASA no admite la configuración basada en rutas para versiones de software anteriores a 9.7.1. Para obtener los mejores resultados, si el dispositivo lo permite, Oracle recomienda la actualización a una versión de software que admita la configuración basada en rutas.

Con la configuración basada en políticas, solo se puede configurar un único túnel entre Cisco ASA y el gateway de direccionamiento dinámico (DRG).

Varios túneles Si tiene varios túneles activos simultáneamente, asegúrese de que el CPE esté configurado para gestionar el tráfico procedente de la VCN en cualquiera de los túneles. Por ejemplo, debe desactivar la inspección ICMP, configurar la omisión del estado TCP, y así sucesivamente. Para obtener más información sobre la configuración adecuada, póngase en contacto con el soporte del proveedor de CPE.

Incidencias de dominio de cifrado

Los extremos de VPN de Oracle utilizan túneles basados en rutas, pero pueden funcionar con túneles basados en políticas con algunas advertencias. Consulte Dominios de cifrado para túneles basados en políticas para obtener todos los detalles.

Reglas de lista de seguridad con estado: si utiliza reglas de lista de seguridad con estado (para el tráfico TCP, UDP o ICMP), no necesita asegurarse de que la lista de seguridad tenga una regla explícita para permitir mensajes ICMP tipo 3 código 4, ya que el servicio Networking realiza un seguimiento de las conexiones y permite automáticamente estos mensajes. Las reglas sin estado requieren una regla explícita de lista de seguridad de entrada para mensajes ICMP de tipo 3 código 4. Confirme que los firewalls de instancia están configurados correctamente.

Incidencias generales de la VPN de sitio a sitio

El túnel de IPSec está INACTIVO

Compruebe estos elementos:

  • Configuración básica: el túnel IPSec está formado por parámetros de fase 1 y fase 2. Confirme que ambos estén configurados correctamente. Puede configurar los parámetros de fase 1 y fase 2 de CPE en el extremo de OCI mediante configuraciones personalizadas. Para utilizar configuraciones personalizadas en el túnel, vaya a las opciones avanzadas y active definir configuraciones personalizadas. Esto permite definir manualmente los parámetros de fase 1 y fase 2 en el extremo de OCI.

    Oracle también ha recomendado determinados parámetros para la fase 1 y la fase 2. Consulte los parámetros para la configuración de fase 1 (ISAKMP) y fase 2 (IPSec) y utilice esos parámetros si el paso anterior no activa el túnel. Para obtener más información sobre la configuración de un dispositivo CPE, consulte la configuración adecuada para su dispositivo CPE:

  • Identificadores de servidor proxy locales y remotos: si utiliza una configuración basada en políticas, compruebe si el CPE está configurado con más de un par de identificadores de servidor proxy locales y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si su CPE tiene más de un par, actualice la configuración para incluir solo uno y elija una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN

    Las conexiones creadas después de octubre de 2020 en muchas regiones se crean mediante VPN de sitio a sitio v2, que puede soportar varios dominios de cifrado.

  • Dispositivo NAT: si el CPE está detrás de un dispositivo NAT, es posible que el identificador IKE de CPE configurado en su CPE no coincida con este mismo identificador que utiliza Oracle (la dirección IP pública de su CPE). Si su CPE no admite la configuración del identificador IKE de CPE en su extremo, puede proporcionar a Oracle el identificador IKE de CPE en la consola de Oracle. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.

Túnel de IPSec está ACTIVO, pero no se transfiere ningún tráfico

Compruebe estos elementos:

  • Configuración de fase 2 (IPSec): confirme que los parámetros de fase 2 (IPSec) están configurados correctamente en el dispositivo CPE. Consulte la configuración adecuada para su dispositivo CPE:

  • Listas de seguridad de la VCN: asegúrese de que ha configurado las listas de seguridad de VCN para permitir el tráfico deseado (tanto las reglas de entrada como las de salida). Tenga en cuenta que la lista de seguridad predeterminada de la VCN no permite el tráfico de ping (ICMP tipo 8 y tipo 0). Se deben agregar las reglas de entrada y salida adecuadas para permitir el tráfico de ping.
  • Reglas de firewall: asegúrese de que sus reglas de firewall permitan el tráfico de entrada y salida con los IP de la cabecera de VPN de Oracle y el bloque CIDR de la VCN.
  • Enrutamiento asimétrico: Oracle utiliza el enrutamiento asimétrico en los diversos túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como de copia de seguridad, el tráfico de la VCN a la red local puede utilizar cualquier túnel que esté "activo" en el dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones en la conexión no funcionarán de manera fiable.
  • Cisco ASA: no utilice la opción originate-only con un túnel de IPSec de VPN de sitio a sitio de Oracle. Hace que el tráfico del túnel desaparezca de manera incoherente y sin avisar. El comando solo se utiliza para túneles entre dos dispositivos Cisco. Este es un ejemplo del comando que NO debe utilizar para los túneles de IPSec: crypto map <map name> <sequence number> set connection-type originate-only

Túnel de IPSec está ACTIVO, pero el tráfico se transfiere solo en una dirección

Compruebe estos elementos:

  • Enrutamiento asimétrico: Oracle utiliza el enrutamiento asimétrico en los diversos túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como de copia de seguridad, el tráfico de la VCN a la red local puede utilizar cualquier túnel que esté "activo" en el dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones en la conexión no funcionarán de manera fiable.
  • Túnel preferido: si desea utilizar solo uno de los túneles, asegúrese de tener la política o el enrutamiento adecuado correctamente configurado en el CPE para que prefiera dicho túnel.
  • Varias conexiones IPSec: si tiene varias conexiones IPSec con Oracle, asegúrese de especificar rutas estáticas más específicas para la conexión IPSec que se prefiera.
  • Listas de seguridad de la VCN: asegúrese de que las listas de seguridad de la VCN permitan el tráfico en ambas direcciones (entrada y salida).
  • Reglas de firewall: asegúrese de que las reglas de firewall permitan el tráfico en ambas direcciones con las IP del cabezal VPN de Oracle y el bloque CIDR de VCN.

Solución de problemas de la VPN sitio a sitio con una configuración basada en políticas

El túnel de IPSec está INACTIVO

Compruebe estos elementos:

  • Configuración básica: el túnel de IPSec está formado por la configuración de fase 1 (ISAKMP) y fase 2 (IPSec). Confirme que ambos estén configurados correctamente en el dispositivo CPE. Consulte la configuración adecuada para su dispositivo CPE:

  • Identificadores de servidor proxy locales y remotos: si utiliza una configuración basada en políticas, compruebe si el CPE está configurado con más de un par de identificadores de servidor proxy locales y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si su CPE tiene más de un par, actualice la configuración para incluir solo uno y elija una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN

    Las conexiones creadas después de octubre de 2020 en muchas regiones se crean mediante VPN de sitio a sitio v2, que puede soportar varios dominios de cifrado.

  • Dispositivo NAT: si el CPE está detrás de un dispositivo NAT, es posible que el identificador IKE de CPE configurado en su CPE no coincida con este mismo identificador que utiliza Oracle (la dirección IP pública de su CPE). Si su CPE no admite la configuración del identificador IKE de CPE en su extremo, puede proporcionar a Oracle el identificador IKE de CPE en la consola de Oracle. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.
  • Cisco ASA: no utilice la opción originate-only con un túnel de IPSec de VPN de sitio a sitio de Oracle. Hace que el tráfico del túnel desaparezca de manera incoherente y sin avisar. El comando solo se utiliza para túneles entre dos dispositivos Cisco. Este es un ejemplo del comando que NO debe utilizar para los túneles de IPSec: crypto map <map name> <sequence number> set connection-type originate-only

El túnel de IPSec está ACTIVO, pero mantiene huecos

Compruebe estos elementos:

  • Inicio de conexión: asegúrese de que el dispositivo CPE ha iniciado la conexión.
  • Identificadores de servidor proxy locales y remotos: si utiliza una configuración basada en políticas, compruebe si el CPE está configurado con más de un par de identificadores de servidor proxy locales y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si su CPE tiene más de un par, actualice la configuración para incluir solo uno y elija una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN

    Las conexiones creadas después de octubre de 2020 en muchas regiones se crean mediante VPN de sitio a sitio v2, que puede soportar varios dominios de cifrado.

  • Tráfico de interés en todo momento: en general, Oracle recomienda tener tráfico de interés que se ejecute a través de los túneles de IPSec en todo momento si el CPE lo admite. Cisco ASA requiere que configure la supervisión de SLA, que mantiene el tráfico interesante que se ejecuta a través de los túneles IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.

Túnel de IPSec está ACTIVO, pero el tráfico no es estable

Compruebe estos elementos:

  • Identificadores de servidor proxy locales y remotos: si utiliza una configuración basada en políticas, compruebe si el CPE está configurado con más de un par de identificadores de servidor proxy locales y remotos (subredes). El enrutador de la VPN de Oracle solo soporta un par en conexiones anteriores. Si su CPE tiene más de un par, actualice la configuración para incluir solo uno y elija una de las dos siguientes opciones:
    Opción Identificador de servidor proxy local Identificador de servidor proxy remoto
    1 CUALQUIERA (o 0.0.0.0/0) CUALQUIERA (o 0.0.0.0/0)
    2 CIDR local (un agregado que abarca todas las subredes de interés) CIDR de la VCN

    Las conexiones creadas después de octubre de 2020 en muchas regiones se crean mediante VPN de sitio a sitio v2, que puede soportar varios dominios de cifrado.

  • Tráfico de interés en todo momento: en general, Oracle recomienda tener tráfico de interés que se ejecute a través de los túneles de IPSec en todo momento si el CPE lo admite. Cisco ASA requiere que configure la supervisión de SLA, que mantiene el tráfico interesante que se ejecuta a través de los túneles IPSec. Para obtener más información, consulte la sección" Configuración de SLA IP" en la plantilla de configuración basada en políticas de Cisco ASA.

El túnel de IPSec solo está parcialmente ACTIVO

Diagrama que muestra varios dominios de cifrado y cómo determinar su número.

Si tenía una configuración similar al ejemplo anterior y sólo ha configurado tres de los seis posibles dominios de cifrado IPv4 en el lado del CPE, el enlace se mostraría en el estado "Activo parcial", ya que todos los posibles dominios de cifrado siempre se crean en el lado del DRG.

SA de actividad parcial: en general, Oracle recomienda tener tráfico de interés que se ejecute a través de los túneles IPSec en todo momento. Ciertos proveedores de CPE requieren que siempre tenga tráfico interesante a través del túnel para mantener la fase 2. Los proveedores como Cisco ASA requieren que se configure el monitor SLA monitor. Del mismo modo, se pueden utilizar funciones de Palo Alto como la supervisión de rutas. Estas características mantienen el tráfico interesante que se ejecuta a través de los túneles IPSec. Numerosos escenarios se han visto con proveedores como Cisco ASA actuando como el "iniciador" no lleva la fase 2 hasta que no hay tráfico interesante. Esto hace que el SA esté caído cuando se activa el túnel o después de la reintroducción de la asociación de seguridad.

Solución de problemas de sesión de BGP para la VPN sitio a sitio

Estado de BGP es INACTIVO

Compruebe estos elementos:

  • Estado de IPSec: para que la sesión BGP esté activa, el túnel de IPSec debe estar activo.
  • Dirección BGP: compruebe que ambos extremos del túnel están configurados con la dirección IP de intercambio de tráfico BGP correcta.
  • ASN: verifique que ambos extremos del túnel están configurados con el ASN local de BGP correcto y el ASN de BGP de Oracle. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Centro de Serbia (Jovanovac), que es 14544. Para Government Cloud, consulte ASN de BGP de Oracle.
  • MD5: compruebe que la autenticación de MD5 está desactivada o no configurada en el dispositivo CPE. La VPN de sitio a sitio no soporta la autenticación MD5.

  • Firewalls: verifique que el firewall local o las listas de control de acceso no estén bloqueando los siguientes puertos:

    • Puerto TCP 179 (BGP)
    • Puerto UDP 500 (IKE)
    • Puerto de protocolo IP 50 (ESP)

    Si el firewall del dispositivo CPE está bloqueando el puerto TCP 179 (BGP), el estado de vecino de BGP siempre estará inactivo. El tráfico no puede fluir a través del túnel porque el dispositivo CPE y el enrutador Oracle no tienen rutas.

Estado de BGP está marcado

Compruebe estos elementos:

  • Estado de IPSec: para que la sesión BGP esté activa y no marcada, el propio túnel de IPSec debe estar activo y no marcado.
  • Prefijos máximos: verifique que está publicitando no más de 2000 prefijos. En el caso de que lo esté haciendo, no se establecerá el BGP.

El estado de BGP es UP, pero no se transfiere ningún tráfico

Compruebe estos elementos:

  • Listas de seguridad de la VCN: asegúrese de que ha configurado las listas de seguridad de VCN para permitir el tráfico deseado (tanto las reglas de entrada como las de salida). Tenga en cuenta que la lista de seguridad predeterminada de la VCN no permite el tráfico de ping (ICMP tipo 8 y tipo 0). Se deben agregar las reglas de entrada y salida adecuadas para permitir el tráfico de ping.
  • Corregir rutas en ambos extremos: verifique que ha recibido las rutas de VCN correctas de Oracle y que el dispositivo CPE esté utilizando esas rutas. Asimismo, compruebe que anuncia las rutas de red locales correctas a través de la VPN de sitio a sitio, y que las tablas de rutas de VCN utilizan dichas rutas.

Estado de BGP es UP, pero el tráfico se transfiere en una única dirección

Compruebe estos elementos:

  • Listas de seguridad de la VCN: asegúrese de que las listas de seguridad de la VCN permitan el tráfico en ambas direcciones (entrada y salida).
  • Firewalls: verifique que el firewall local o las listas de control de acceso no estén bloqueando el tráfico hacia Oracle o desde este.
  • Enrutamiento asimétrico: Oracle utiliza el enrutamiento asimétrico. Si tiene varias conexiones IPSec, asegúrese de que el dispositivo CPE está configurado para el procesamiento de rutas asimétricas.
  • Conexiones redundantes: si tiene conexiones IPSec redundantes, asegúrese de que ambas anuncian las mismas rutas.

Solución de problemas de conexiones IPSec redundantes

Recuerde estas notas importantes:

  • FastConnect utiliza el enrutamiento dinámico BGP. Las conexiones IPSec de VPN de sitio a sitio pueden utilizar tanto el enrutamiento estático, como el BGP o una combinación.
  • Para obtener información importante sobre el enrutamiento y las rutas preferidas al utilizar conexiones redundantes, consulte Enrutamiento de la VPN de sitio a sitio.
  • Puede utilizar dos conexiones de IPSec para la redundancia. Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enrutará a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.

IPSec y FastConnect están ambos configurados, pero el tráfico solo se transfiere a través de IPSec

Asegúrese de utilizar rutas más específicas para la conexión que desee como principal. Si utiliza las mismas rutas para IPSec y FastConnect, consulte el análisis de las preferencias de enrutamiento en Enrutamiento de la VPN de sitio a sitio.

Dos centros de datos locales tienen una conexión de IPSec a Oracle, pero solo uno transfiere tráfico

Verifique que ambas conexiones de IPSec están activas y que tiene el procesamiento de rutas asimétricas activado en el CPE.

Si ambas conexiones de IPSec solo tienen configurada una ruta predeterminada (0.0.0.0/0), el tráfico se enrutará a cualquiera de estas conexiones porque Oracle utiliza el enrutamiento asimétrico. Si desea que una conexión a IPSec sea principal y otra como copia de seguridad, configure rutas más específicas para la conexión principal y rutas menos específicas (o la ruta predeterminada de 0.0.0.0/0) en la conexión de copia de seguridad.

Para obtener más información sobre este tipo de configuración, consulte Ejemplo de diseño con varias áreas geográficas.