Dépannage de VPN site à site
Créez une demande de service sur My Oracle Support
Cette rubrique traite des problèmes de dépannage les plus courants pour le VPN site à site. Certaines suggestions supposent que vous êtes un ingénieur réseau ayant accès à la configuration de votre appareil CPE.
Messages de journal
L'affichage des messages de journal générés pour divers aspects opérationnels du VPN site à site peut constituer une aide précieuse pour résoudre un grand nombre des problèmes qui se présentent pendant le fonctionnement. L'activation des messages de journal VPN site à site et l'accès à ces derniers peuvent s'effectuer via le VPN site à site ou le service Logging.
- Pour une présentation générale du service Logging, reportez-vous à Présentation de Logging.
- Pour plus de détails sur l'activation des messages de journal VPN site à site et l'accès à ces derniers via le service de journalisation, reportez-vous à Journaux de service
- Pour plus de détails sur l'activation des messages de journal VPN site à site et l'accès à ces derniers via le service Networking, reportez-vous à Visualisation des messages de journal VPN site à site.
-
Pour plus de détails sur le schéma de message de journal VPN site à site, reportez-vous à Détails relatifs au VPN site à site.
Reportez-vous au tableau ci-dessous pour une meilleure interprétation des messages de journal VPN IPsec, qui répertorie les différents scénarios de mise en tunnel et les journaux possibles affichés sur la console OCI.
Motif de l'arrêt du tunnel | Journaux renseignés dans la section de journalisation OCI |
---|---|
Non-concordance de la version d'IKE |
|
Sous-réseaux non concordants |
|
Non-concordance de la clé prépartagée |
|
Non-concordance de la proposition |
|
PFS non concordant |
|
ID IKE non concordant |
|
Tunnel fluctuant
Connexions IPSec multiples : vous pouvez utiliser deux connexions IPSec à des fins de redondance. Si les deux connexions IPSec ne comportent qu'un routage par défaut (0.0.0.0/0) configuré, le trafic sera acheminé vers l'une ou l'autre de ces connexions, car Oracle utilise un routage asymétrique. Si vous souhaitez qu'une connexion IPSec soit la connexion principale et l'autre la connexion de sauvegarde, configurez des routages plus spécifiques pour la connexion principale et des routages moins spécifiques (ou le routage par défaut 0.0.0.0/0) pour la connexion de sauvegarde.
Identificateur IKE local : certaines plates-formes CPE ne vous autorisent pas à modifier l'identificateur IKE local. Si c'est le cas, vous devez modifier l'ID IKE distant dans la console Oracle pour qu'il corresponde à l'ID IKE local de votre CPE. Vous pouvez fournir cette valeur lors de la configuration de la connexion IPSec ou ultérieurement en modifiant cette dernière. Oracle s'attend à ce que la valeur soit une adresse IP ou un nom de domaine qualifié complet tel que cpe.example.com. Pour obtenir des instructions, reportez-vous à Modification de l'identificateur IKE CPE utilisé par Oracle.
Unité de transmission maximale (MTU) : la taille MTU Internet standard est de 1 500 octets. Pour plus d'informations sur la manière de déterminer l'unité de transmission maximale (MTU), reportez-vous à Présentation de l'unité de transmission maximale (MTU).
Configuration du CPE
Identificateur IKE local : certaines plates-formes CPE ne vous autorisent pas à modifier l'identificateur IKE local. Si c'est le cas, vous devez modifier l'ID IKE distant dans la console Oracle pour qu'il corresponde à l'ID IKE local de votre CPE. Vous pouvez fournir cette valeur lors de la configuration de la connexion IPSec ou ultérieurement en modifiant cette dernière. Oracle s'attend à ce que la valeur soit une adresse IP ou un nom de domaine qualifié complet tel que cpe.example.com. Pour obtenir des instructions, reportez-vous à Modification de l'identificateur IKE CPE utilisé par Oracle.
Cisco ASA - Configuration basée sur une stratégie : Oracle recommande d'utiliser une configuration basée sur un routage afin d'éviter les problèmes d'interopérabilité et d'assurer la redondance de tunnel avec un appareil Cisco ASA unique.
Cisco ASA ne prend pas en charge la configuration basée sur un routage pour les versions du logiciel antérieures à 9.7.1. Pour un résultat optimal, si votre dispositif le permet, Oracle recommande d'effectuer une mise à niveau vers une version du logiciel prenant en charge la configuration basée sur un routage.
Avec la configuration basée sur une stratégie, vous ne pouvez configurer qu'un seul tunnel entre Cisco ASA et votre passerelle de routage dynamique.
Tunnels multiples : si plusieurs tunnels fonctionnent simultanément, assurez-vous que le CPE est configuré pour gérer le trafic provenant de votre réseau cloud virtuel sur l'un d'eux. Par exemple, vous devez désactiver l'inspection ICMP, configurer le contournement de l'état TCP, etc. Pour plus d'informations sur la configuration appropriée, contactez le support technique du fournisseur du CPE.
Problèmes de domaine de cryptage
Les têtes de réseau du VPN Oracle utilisent des tunnels basés sur un routage mais peuvent fonctionner avec des tunnels basés sur une stratégie, donnant lieu à des avertissements. Pour plus d'informations, reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie.
Règles de liste de sécurité avec conservation de statut : si vous utilisez des règles de liste de sécurité avec conservation de statut (pour le trafic TCP, UDP ou ICMP), vous n'avez pas besoin de vous assurer que la liste de sécurité contient une règle explicite autorisant les messages ICMP de type 3 et de code 4, car le service Networking suit les connexions et autorise automatiquement ces messages. Les règles sans conservation de statut requièrent une règle explicite de liste de sécurité entrante pour les messages ICMP de type 3 et de code 4. Vérifiez que les pare-feu d'instance sont correctement configurés.
Problèmes de VPN site à site d'ordre général
Le tunnel IPSec est DOWN
Vérifiez les éléments suivants :
-
Configuration de base : le tunnel IPSec est composé de paramètres de phase 1 et de phase 2. Assurez-vous que les deux sont correctement configurées. Vous pouvez configurer les paramètres de phase 1 et de phase 2 du CPE à l'extrémité OCI à l'aide de configurations personnalisées. Pour utiliser des configurations personnalisées sur le tunnel, accédez aux options avancées et activez Définir des configurations personnalisées. Vous pouvez ainsi définir manuellement les paramètres des phases 1 et 2 à l'extrémité OCI.
Oracle a également recommandé certains paramètres pour les phases 1 et 2. Reportez-vous aux paramètres de phase-1 (ISAKMP) and phase-2 (IPSec) configuration et utilisez ces paramètres si l'étape ci-dessus ne déclenche pas le tunnel. Pour plus d'informations sur la configuration d'un dispositif CPE, reportez-vous à la configuration correspondant à ce dernier :
-
ID de proxy local et distant : si vous utilisez une configuration basée sur une stratégie, vérifiez si le CPE est configuré avec plusieurs paires d'ID de proxy local et distant (sous-réseaux). Le routeur VPN Oracle ne prend en charge qu'une seule paire sur les anciennes connexions. Si le CPE possède plusieurs paires, mettez à jour la configuration pour en inclure une seule et choisissez l'une des deux options suivantes :
Option ID de proxy local ID de proxy distant 1 Tous (ou 0.0.0.0/0) Tous (ou 0.0.0.0/0) 2 CIDR sur site (agrégation couvrant tous les sous-réseaux souhaités) CIDR du réseau cloud virtuel Les connexions créées après octobre 2020 dans de nombreuses régions le sont à l'aide du VPN site à site version 2, qui peut prendre en charge plusieurs domaines de cryptage.
- Dispositif NAT : si le CPE se trouve derrière un dispositif NAT, l'identificateur IKE CPE configuré sur le CPE ne correspond peut-être pas à l'identificateur IKE CPE utilisé par Oracle (adresse IP publique du CPE). Si le CPE ne prend pas en charge la définition de l'identificateur IKE CPE à votre extrémité, vous pouvez indiquer à Oracle votre identificateur IKE CPE dans la console. Pour plus d'informations, reportez-vous à Présentation des composants du VPN site à site.
Le tunnel IPSec est UP, mais aucun trafic ne circule
Vérifiez les éléments suivants :
-
Configuration de la phase 2 (IPSec) : vérifiez que les paramètres de la phase 2 (IPSec) sont correctement configurés sur votre dispositif CPE. Vérifiez la configuration correspondant à votre dispositif CPE :
Liste des configurations - Listes de sécurité de réseau cloud virtuel : vérifiez que vous avez configuré les listes de sécurité de réseau cloud virtuel de façon à autoriser le trafic souhaité (règles entrantes et sortantes). La liste de sécurité par défaut du réseau cloud virtuel n'autorise pas le trafic ping (ICMP de type 8 et ICMP de type 0). Vous devez ajouter les règles entrantes et sortantes appropriées pour autoriser le trafic ping.
- Règles de pare-feu : assurez-vous que vos règles de pare-feu autorisent le trafic entrant et sortant avec les adresses IP de la tête de réseau du VPN Oracle et le bloc CIDR du réseau cloud virtuel.
- Routage asymétrique : Oracle utilise un routage asymétrique sur les différents tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel en tant que tunnel principal et un autre en tant que tunnel de sauvegarde, le trafic de votre réseau cloud virtuel vers votre réseau sur site peut utiliser n'importe quel tunnel démarré sur le dispositif. Configurez les pare-feu en conséquence. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de façon fiable.
- Cisco ASA : n'utilisez pas l'option originate-only avec un tunnel IPSec de VPN site à site Oracle. Cette action entraîne une perte aléatoire du trafic du tunnel dans un trou noir. La commande s'applique uniquement aux tunnels entre deux dispositifs Cisco. Voici un exemple de commande que vous ne devez pas utiliser pour les tunnels IPSec :
crypto map <map name> <sequence number> set connection-type originate-only
.
Le tunnel IPSec est UP, mais le trafic circule dans une seule direction
Vérifiez les éléments suivants :
- Routage asymétrique : Oracle utilise un routage asymétrique sur les différents tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel en tant que tunnel principal et un autre en tant que tunnel de sauvegarde, le trafic de votre réseau cloud virtuel vers votre réseau sur site peut utiliser n'importe quel tunnel démarré sur le dispositif. Configurez les pare-feu en conséquence. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de façon fiable.
- Tunnel unique préféré : si vous souhaitez utiliser un seul des tunnels, veillez à employer la bonne stratégie ou le bon routage sur le CPE afin de préférer ce tunnel.
- Plusieurs connexions IPSec : si vous disposez de plusieurs connexions IPSec avec Oracle, veillez à indiquer des routages statiques plus spécifiques pour la connexion IPSec préférée.
- Listes de sécurité de réseau cloud virtuel : vérifiez que les listes de sécurité de réseau cloud virtuel autorisent le trafic dans les deux directions (entrée et sortie).
- Règles de pare-feu : assurez-vous que vos règles de pare-feu autorisent le trafic dans les deux directions avec les adresses IP de la tête de réseau du VPN Oracle et le bloc CIDR du réseau cloud virtuel.
Dépannage d'un VPN site à site avec une configuration basée sur une stratégie
Le tunnel IPSec est DOWN
Vérifiez les éléments suivants :
-
Configuration de base : le tunnel IPSec est composé de la configuration de phase 1 (ISAKMP) et de phase 2 (IPSec). Assurez-vous que les deux sont correctement configurées sur votre dispositif CPE. Vérifiez la configuration correspondant à votre dispositif CPE :
Liste des configurations -
ID de proxy local et distant : si vous utilisez une configuration basée sur une stratégie, vérifiez si le CPE est configuré avec plusieurs paires d'ID de proxy local et distant (sous-réseaux). Le routeur VPN Oracle ne prend en charge qu'une seule paire sur les anciennes connexions. Si le CPE possède plusieurs paires, mettez à jour la configuration pour en inclure une seule et choisissez l'une des deux options suivantes :
Option ID de proxy local ID de proxy distant 1 Tous (ou 0.0.0.0/0) Tous (ou 0.0.0.0/0) 2 CIDR sur site (agrégation couvrant tous les sous-réseaux souhaités) CIDR du réseau cloud virtuel Les connexions créées après octobre 2020 dans de nombreuses régions le sont à l'aide du VPN site à site version 2, qui peut prendre en charge plusieurs domaines de cryptage.
- Dispositif NAT : si le CPE se trouve derrière un dispositif NAT, l'identificateur IKE CPE configuré sur le CPE ne correspond peut-être pas à l'identificateur IKE CPE utilisé par Oracle (adresse IP publique du CPE). Si le CPE ne prend pas en charge la définition de l'identificateur IKE CPE à votre extrémité, vous pouvez indiquer à Oracle votre identificateur IKE CPE dans la console. Pour plus d'informations, reportez-vous à Présentation des composants du VPN site à site.
- Cisco ASA : n'utilisez pas l'option originate-only avec un tunnel IPSec de VPN site à site Oracle. Cette action entraîne une perte aléatoire du trafic du tunnel dans un trou noir. La commande s'applique uniquement aux tunnels entre deux dispositifs Cisco. Voici un exemple de commande que vous ne devez pas utiliser pour les tunnels IPSec :
crypto map <map name> <sequence number> set connection-type originate-only
.
Le tunnel IPSec est UP, mais est fluctuant
Vérifiez les éléments suivants :
- Lancement de la connexion : vérifiez que le dispositif CPE établit la connexion.
-
ID de proxy local et distant : si vous utilisez une configuration basée sur une stratégie, vérifiez si le CPE est configuré avec plusieurs paires d'ID de proxy local et distant (sous-réseaux). Le routeur VPN Oracle ne prend en charge qu'une seule paire sur les anciennes connexions. Si le CPE possède plusieurs paires, mettez à jour la configuration pour en inclure une seule et choisissez l'une des deux options suivantes :
Option ID de proxy local ID de proxy distant 1 Tous (ou 0.0.0.0/0) Tous (ou 0.0.0.0/0) 2 CIDR sur site (agrégation couvrant tous les sous-réseaux souhaités) CIDR du réseau cloud virtuel Les connexions créées après octobre 2020 dans de nombreuses régions le sont à l'aide du VPN site à site version 2, qui peut prendre en charge plusieurs domaines de cryptage.
-
Trafic d'intérêt à tout moment : en général, Oracle recommande que le trafic d'intérêt soit exécuté à tout moment sur les tunnels IPSec si le CPE le permet. Cisco ASA exige que vous configuriez la surveillance du contrat de niveau de service, ce qui maintient le trafic intéressant en cours d'exécution via les tunnels IPSec. Pour plus d'informations, reportez-vous à la section sur la configuration d'un contrat de niveau de service IP dans le modèle de configuration basée sur une stratégie Cisco ASA.
Le tunnel IPSec est UP, mais le trafic est instable
Vérifiez les éléments suivants :
-
ID de proxy local et distant : si vous utilisez une configuration basée sur une stratégie, vérifiez si le CPE est configuré avec plusieurs paires d'ID de proxy local et distant (sous-réseaux). Le routeur VPN Oracle ne prend en charge qu'une seule paire sur les anciennes connexions. Si le CPE possède plusieurs paires, mettez à jour la configuration pour en inclure une seule et choisissez l'une des deux options suivantes :
Option ID de proxy local ID de proxy distant 1 Tous (ou 0.0.0.0/0) Tous (ou 0.0.0.0/0) 2 CIDR sur site (agrégation couvrant tous les sous-réseaux souhaités) CIDR du réseau cloud virtuel Les connexions créées après octobre 2020 dans de nombreuses régions le sont à l'aide du VPN site à site version 2, qui peut prendre en charge plusieurs domaines de cryptage.
-
Trafic d'intérêt à tout moment : en général, Oracle recommande que le trafic d'intérêt soit exécuté à tout moment sur les tunnels IPSec si le CPE le permet. Cisco ASA exige que vous configuriez la surveillance du contrat de niveau de service, ce qui maintient le trafic intéressant en cours d'exécution via les tunnels IPSec. Pour plus d'informations, reportez-vous à la section sur la configuration d'un contrat de niveau de service IP dans le modèle de configuration basée sur une stratégie Cisco ASA.
Le tunnel IPSec n'est que partiellement démarré
Si vous aviez une configuration semblable à l'exemple ci-dessus et que vous ne configuriez que trois des six domaines de cryptage IPv4 possibles côté CPE, le lien serait répertorié avec l'état Démarré partiellement. En effet, tous les domaines de cryptage possibles sont toujours créés côté passerelle de routage dynamique.
EdC partiel : en général, Oracle recommande que le trafic intéressant soit exécuté à tout moment sur les tunnels IPSec. Certains fournisseurs de CPE exigent que vous ayez toujours un trafic intéressant à travers le tunnel pour maintenir la phase 2. Les fournisseurs tels que Cisco ASA ont besoin que le moniteur SLA monitor soit configuré. De même, des fonctionnalités de Palo Alto telles que la surveillance des chemins peuvent être utilisées. Ces fonctionnalités maintiennent un trafic intéressant passant par les tunnels IPSec. De nombreux scénarios ont été observés avec des fournisseurs comme Cisco ASA agissant comme "initiateur" n'amène pas la phase 2 jusqu'à ce qu'il n'y ait pas de trafic intéressant. Cela entraîne l'arrêt du SA lorsque le tunnel est démarré ou après la recréation de la clé de l'association de sécurité.
Dépannage de la session BGP pour le VPN site à site
Le statut BGP est DOWN
Vérifiez les éléments suivants :
- Statut IPSec : pour que la session BGP soit démarrée, le tunnel IPSec lui-même doit être démarré.
- Adresse BGP : vérifiez que les deux extrémités du tunnel sont configurées avec l'adresse IP d'appairage BGP correcte.
- Numéro ASN : vérifiez que les deux extrémités du tunnel sont configurées avec le numéro ASN local BGP et le numéro ASN BGP Oracle corrects. Le numéro ASN BGP d'Oracle pour le cloud commercial est 31898, à l'exception de la région Serbie centrale (Jovanovac), à savoir 14544. Pour Government Cloud, reportez-vous à Numéro ASN BGP d'Oracle.
- MD5 : vérifiez que l'authentification MD5 est désactivée ou non configurée sur le dispositif CPE. Le VPN site à site ne prend pas en charge l'authentification MD5.
-
Pare-feu : vérifiez que le pare-feu sur site ou les listes de contrôle d'accès ne bloquent pas les ports suivants :
- Port TCP 179 (BGP)
- Port UDP 500 (IKE)
- Port de protocole IP 50 (ESP)
Si le pare-feu de votre appareil CPE bloque le port TCP 179 (BGP), l'état du voisin BGP sera toujours arrêté. Le trafic ne peut pas circuler par le tunnel car le dispositif CPE et le routeur Oracle ne disposent d'aucun routage.
Le statut BGP fluctue
Vérifiez les éléments suivants :
- Statut IPSec : pour que la session BGP soit démarrée et non fluctuante, le tunnel IPSec lui-même doit être démarré et non fluctuant.
- Nombre maximal de préfixes : vérifiez que vous ne publiez pas plus de 2 000 préfixes. Si vous en publiez davantage, la session BGP ne pourra pas être établie.
Le statut BGP est UP, mais aucun trafic ne circule
Vérifiez les éléments suivants :
- Listes de sécurité de réseau cloud virtuel : vérifiez que vous avez configuré les listes de sécurité de réseau cloud virtuel de façon à autoriser le trafic souhaité (règles entrantes et sortantes). La liste de sécurité par défaut du réseau cloud virtuel n'autorise pas le trafic ping (ICMP de type 8 et ICMP de type 0). Vous devez ajouter les règles entrantes et sortantes appropriées pour autoriser le trafic ping.
- Routages corrects aux deux extrémités : vérifiez que vous avez reçu les routages de réseau cloud virtuel corrects d'Oracle et que le dispositif CPE les utilise. De même, vérifiez que vous publiez les routages de réseau sur site corrects sur le VPN site à site et que les tables de routage du réseau cloud virtuel les utilisent.
Le statut BGP est UP, mais le trafic circule dans une seule direction
Vérifiez les éléments suivants :
- Listes de sécurité de réseau cloud virtuel : vérifiez que les listes de sécurité de réseau cloud virtuel autorisent le trafic dans les deux directions (entrée et sortie).
- Pare-feu : vérifiez que le pare-feu sur site ou les listes de contrôle d'accès ne bloquent pas le trafic vers ou depuis l'extrémité Oracle.
- Routage asymétrique : Oracle utilise un routage asymétrique. Si vous disposez de plusieurs connexions IPSec, assurez-vous que votre appareil CPE est configuré pour le traitement du routage asymétrique.
- Connexions redondantes : si vous disposez de connexions IPSec redondantes, assurez-vous qu'elles publient les mêmes routages.
Dépannage des connexions IPSec redondantes
Tenez compte des remarques importantes suivantes :
- FastConnect utilise le routage dynamique BGP. Les connexions IPSec de VPN site à site peuvent utiliser un routage statique, BGP ou une combinaison des deux.
- Pour plus d'informations sur le routage et les routages préférés lors de l'utilisation de connexions redondantes, reportez-vous à Routage du VPN site à site.
- Vous pouvez utiliser deux connexions IPSec à des fins de redondance. Si les deux connexions IPSec ne comportent qu'un routage par défaut (0.0.0.0/0) configuré, le trafic sera acheminé vers l'une ou l'autre de ces connexions, car Oracle utilise un routage asymétrique. Si vous souhaitez qu'une connexion IPSec soit la connexion principale et l'autre la connexion de sauvegarde, configurez des routages plus spécifiques pour la connexion principale et des routages moins spécifiques (ou le routage par défaut 0.0.0.0/0) pour la connexion de sauvegarde.
IPSec et FastConnect sont tous les deux configurés, mais le trafic passe uniquement par IPSec
Veillez à utiliser des routages plus spécifiques pour la connexion que vous souhaitez définir comme principale. Si vous utilisez les mêmes routages pour IPSec et FastConnect, reportez-vous à la discussion sur les préférences de routage dans Routage du VPN site à site.
Deux centres de données sur site disposent chacun d'une connexion IPSec à Oracle, mais un seul transmet le trafic
Vérifiez que les deux connexions IPSec sont démarrées et que le traitement du routage asymétrique est activé sur le CPE.
Si les deux connexions IPSec ne comportent qu'un routage par défaut (0.0.0.0/0) configuré, le trafic sera acheminé vers l'une ou l'autre de ces connexions, car Oracle utilise un routage asymétrique. Si vous souhaitez qu'une connexion IPSec soit la connexion principale et l'autre la connexion de sauvegarde, configurez des routages plus spécifiques pour la connexion principale et des routages moins spécifiques (ou le routage par défaut 0.0.0.0/0) pour la connexion de sauvegarde.
Pour plus d'informations sur ce type de configuration, reportez-vous à Exemple de disposition avec plusieurs zones géographiques.