Documentazione dell'infrastruttura Oracle Cloud

Risoluzione dei problemi della VPN da sito a sito

Crea una richiesta di servizio in My Oracle Support

Questo argomento descrive i problemi più comuni relativi alla risoluzione dei problemi per la VPN da sito a sito. Alcuni suggerimenti presuppongono che tu sia un tecnico di rete con accesso alla configurazione del dispositivo CPE.

Messaggi di log

La visualizzazione dei messaggi di log generati per vari aspetti operativi della VPN da sito a sito può essere un valido aiuto nella risoluzione di molti dei problemi presentati durante il funzionamento. L'abilitazione e l'accesso ai messaggi di log VPN da sito a sito possono essere eseguiti tramite la VPN da sito a sito o il servizio di log.

Vedere la tabella riportata di seguito per una migliore interpretazione dei messaggi di log VPN da sito a sito, che elenca i diversi scenari di tunnel down e i possibili log visualizzati su OCI Console.

Interpretazione dei log della console
Motivo inattività tunnel Log popolati nella sezione Log OCI
Versione IKE non corrispondente

STATE_V2_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message

dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni

received and ignored notification payload: NO_PROPOSAL_CHOSEN_date_time ep_85 pluto[68971]: "xxxxxxx" #xxx: set ikev1 error <14>
Subnet non corrispondenti

No IKEv2 connection found with compatible Traffic Selectors

responding to CREATE_CHILD_SA message (ID 30) from CPE_PUBLIC_IP:4500 with encrypted notification TS_UNACCEPTABLE

cannot respond to IPsec SA request because no connection is known for MISMATCHED_SOURCE_SUBNET===VPN_PUBLIC_IP[+S?C]...VPN_PUBLIC_IP[+S?C]===MISMATCHED_DESTINATION_SUBNET
Chiave precondivisa non corrispondente

STATE_MAIN_I3: 60 second timeout exceeded after 7 retransmits. Possible authentication failure: no acceptable response to our first encrypted messag

IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

authentication failed: computed hash does not match hash received from peer ID_IPV4_ADDR 'VPN_PUBLIC_IP'

responding to IKE_AUTH message (ID 1) from VPN_PUBLIC_IP:4500 with encrypted notification AUTHENTICATION_FAILED
Proposta non corrispondente

OAKLEY proposal refused: missing encryption

Oakley Transform [AES_CBC (128), HMAC_SHA2_256, DH19] refused

no acceptable Oakley Transform

sending notification NO_PROPOSAL_CHOSEN to VPN_PUBLIC_IP:500

failed to add connection: ESP DH algorithm 'modp1024' is not supported

received unauthenticated v2N_NO_PROPOSAL_CHOSEN - ignored
PFS non corrispondente

ignoring informational payload NO_PROPOSAL_CHOSEN, msgid=xxxxxx, length=12

received and ignored notification payload: NO_PROPOSAL_CHOSEN

dropping unexpected ISAKMP_v2_CREATE_CHILD_SA message containing v2N_INVALID_SYNTAX notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr

"xxxxxxxx"[1] VPN_PUBLIC_IP #580: encountered fatal error in state STATE_V2_REKEY_CHILD_I
ID IKE non corrispondente

Peer ID 'MISMATCHED_IKE_ID_IP_ADDRESS' mismatched on first found connection and no better connection found

sending encrypted notification INVALID_ID_INFORMATION to VPN_PUBLIC_IP:4500

Flapping tunnel

Il traffico è sempre interessante: se il CPE lo supporta, si consiglia di avere sempre un traffico interessante che attraversa i tunnel IPSec. Cisco ASA richiede di configurare il monitoraggio SLA, che mantiene interessante il traffico attraverso i tunnel IPSec. Per ulteriori informazioni, vedere la sezione "Configurazione SLA IP" nel modello di configurazione basato su criteri Cisco ASA.

Connessioni IPSEC multiple: è possibile utilizzare due connessioni IPSec per la ridondanza. Se per entrambe le connessioni IPSec è configurato solo un instradamento predefinito (0.0.0.0/0), il traffico viene instradato a una di queste connessioni perché Oracle utilizza l'instradamento asimmetrico. Se si desidera che una connessione IPSec sia primaria e un'altra come backup, configurare instradamenti più specifici per la connessione primaria e instradamenti meno specifici (o l'instradamento predefinito di 0.0.0.0/0) sulla connessione di backup.

Identificativo IKE locale: alcune piattaforme CPE non consentono di modificare l'identificativo IKE locale. In caso contrario, è necessario modificare l'ID IKE remoto nella console di Oracle in modo che corrisponda all'ID IKE locale del CPE. È possibile fornire il valore quando si imposta la connessione IPSec o una connessione successiva modificando la connessione IPSec. Oracle prevede che il valore sia un indirizzo IP o un nome di dominio completamente qualificato (FQDN), ad esempio cpe.example.com. Per istruzioni, vedere Modifica dell'identificativo IKE CPE utilizzato da Oracle.

Maximum Transmission Unit (MTU): la dimensione MTU Internet standard è di 1500 byte. Per ulteriori informazioni su come trovare la MTU, vedere Panoramica della MTU.

Configurazione CPE

Identificativo IKE locale: alcune piattaforme CPE non consentono di modificare l'identificativo IKE locale. In caso contrario, è necessario modificare l'ID IKE remoto nella console di Oracle in modo che corrisponda all'ID IKE locale del CPE. È possibile fornire il valore quando si imposta la connessione IPSec o una connessione successiva modificando la connessione IPSec. Oracle prevede che il valore sia un indirizzo IP o un nome di dominio completamente qualificato (FQDN), ad esempio cpe.example.com. Per istruzioni, vedere Modifica dell'identificativo IKE CPE utilizzato da Oracle.

Cisco ASA: basato su criteri: si consiglia di utilizzare una configurazione basata su percorso per evitare problemi di interoperabilità e ottenere la ridondanza dei tunnel con un singolo dispositivo Cisco ASA.

Cisco ASA non supporta la configurazione basata sul percorso per le versioni software precedenti alla 9.7.1. Per ottenere risultati ottimali, se il dispositivo lo supporta, si consiglia di eseguire l'aggiornamento a una versione software che supporti la configurazione basata sul percorso.

Con la configurazione basata su criteri, è possibile configurare solo un tunnel singolo tra Cisco ASA e un gateway di instradamento dinamico (DRG).

Multiple Tunnel Se si dispone di più tunnel contemporaneamente, assicurarsi che il CPE sia configurato per gestire il traffico proveniente dalla VCN su uno qualsiasi dei tunnel. Ad esempio, è necessario disabilitare l'ispezione ICMP, configurare il bypass di stato TCP e così via. Per ulteriori dettagli sulla configurazione appropriata, contattare il supporto del fornitore CPE.

Problemi relativi al dominio di cifratura

I headend VPN Oracle utilizzano tunnel basati su instradamento, ma possono funzionare con tunnel basati su criteri con alcuni avvisi. Per ulteriori informazioni, vedere Domini di cifratura per tunnel basati su criteri.

Regole della lista di sicurezza con conservazione dello stato: se si utilizzano regole della lista di sicurezza con conservazione dello stato (per il traffico TCP, UDP o ICMP), non è necessario assicurarsi che una lista di sicurezza disponga di una regola esplicita per consentire messaggi di codice 4 di tipo ICMP 3 perché il servizio di networking tiene traccia delle connessioni e consente automaticamente tali messaggi. Le regole senza conservazione dello stato richiedono una regola esplicita della lista di sicurezza in entrata per i messaggi ICMP di tipo 3 con codice 4. Verificare che i firewall dell'istanza siano impostati correttamente.

Problemi generali relativi alla VPN da sito a sito

Il tunnel IPSec è GIÙ

Controllare questi elementi:

  • Configurazione di base: il tunnel IPSec è costituito da entrambi i parametri fase-1 e fase-2. Verificare che entrambi siano configurati correttamente. Puoi configurare i parametri CPE fase 1 e fase 2 nell'estremità OCI utilizzando configurazioni personalizzate. Per utilizzare configurazioni personalizzate nel tunnel, passare alle opzioni avanzate e abilitare l'impostazione di configurazioni personalizzate. Ciò consente di definire manualmente i parametri di fase 1 e fase 2 all'estremità OCI.

    Oracle ha inoltre consigliato determinati parametri per la fase 1 e la fase 2. Vedere i parametri per la configurazione phase-1 (ISAKMP) e phase-2 (IPSec) e utilizzare tali parametri se il passo precedente non visualizza il tunnel. Per ulteriori informazioni sulla configurazione del dispositivo CPE, vedere la configurazione appropriata per il dispositivo CPE:

  • ID proxy locali e remoti: se si utilizza una configurazione basata su criteri, verificare se il CPE è configurato con più di una coppia di ID proxy locali e remoti (subnet). Il router VPN Oracle supporta solo una coppia su connessioni precedenti. Se il CPE dispone di più coppie, aggiornare la configurazione in modo da includere una sola coppia e selezionare una delle due opzioni riportate di seguito.
    Opzione ID proxy locale ID proxy remoto
    1 QUALSIASI (o 0.0.0.0/0) QUALSIASI (o 0.0.0.0/0)
    2 CIDR on premise (un aggregato che copre tutte le subnet di interesse) CIDR della VCN
  • Dispositivo NAT: se il CPE si trova dietro un dispositivo NAT, l'identificativo IKE CPE configurato nel CPE potrebbe non corrispondere all'identificativo IKE CPE utilizzato da Oracle (l'indirizzo IP pubblico del CPE). Se il CPE non supporta l'impostazione dell'identificativo IKE CPE sull'estremità in locale, è possibile fornire a Oracle l'identificativo IKE CPE nella console di Oracle. Per ulteriori informazioni, vedere Panoramica dei componenti VPN da sito a sito.

Il tunnel IPSec è attivo, ma non passa traffico

Controllare questi elementi:

Il tunnel IPSec è attivo, ma il traffico passa in una sola direzione

Controllare questi elementi:

  • Instradamento asimmetrico: Oracle utilizza l'instradamento asimmetrico tra i tunnel che compongono la connessione IPSec. Anche se configuri un tunnel come primario e un altro come backup, il traffico da una VCN a una rete in locale può utilizzare qualsiasi tunnel "attivo" su un dispositivo. Configurare i firewall in base alle esigenze. In caso contrario, i test di ping o il traffico delle applicazioni attraverso la connessione non funzionano in modo affidabile.
  • Singolo tunnel preferito: per utilizzare solo uno dei tunnel, assicurarsi di disporre del criterio o dell'instradamento appropriato sul CPE per preferire tale tunnel.
  • Connessioni IPSec multiple: se si dispone di più connessioni IPSec con Oracle, assicurarsi di specificare instradamenti statici più specifici per la connessione IPSec preferita.
  • Liste di sicurezza della VCN: assicurarsi che le liste di sicurezza della VCN consentano il traffico in entrambe le direzioni (ingresso e uscita).
  • Regole firewall: assicurarsi che le regole firewall consentano il traffico in entrambe le direzioni con gli IP headend VPN Oracle e il blocco CIDR VCN.

Risoluzione dei problemi di una VPN da sito a sito con una configurazione basata su criteri

Il tunnel IPSec è GIÙ

Controllare questi elementi:

Il tunnel IPSec è attivo ma continua a lampeggiare

Controllare questi elementi:

  • Avvio della connessione: assicurarsi che il dispositivo CPE avvii la connessione.
  • ID proxy locali e remoti: se si utilizza una configurazione basata su criteri, verificare se il CPE è configurato con più di una coppia di ID proxy locali e remoti (subnet). Il router VPN Oracle supporta solo una coppia su connessioni precedenti. Se il CPE dispone di più coppie, aggiornare la configurazione in modo da includere una sola coppia e selezionare una delle due opzioni riportate di seguito.
    Opzione ID proxy locale ID proxy remoto
    1 QUALSIASI (o 0.0.0.0/0) QUALSIASI (o 0.0.0.0/0)
    2 CIDR on premise (un aggregato che copre tutte le subnet di interesse) CIDR della VCN
  • Il traffico è sempre interessante: se il CPE lo supporta, si consiglia di avere sempre un traffico interessante che attraversa i tunnel IPSec. Cisco ASA richiede di configurare il monitoraggio SLA, che mantiene interessante il traffico attraverso i tunnel IPSec. Per ulteriori informazioni, vedere la sezione "Configurazione SLA IP" nel modello di configurazione basato su criteri Cisco ASA.

Il tunnel IPSec è attivo, ma il traffico è instabile

Controllare questi elementi:

  • ID proxy locali e remoti: se si utilizza una configurazione basata su criteri, verificare se il CPE è configurato con più di una coppia di ID proxy locali e remoti (subnet). Il router VPN Oracle supporta solo una coppia su connessioni precedenti. Se il CPE dispone di più coppie, aggiornare la configurazione in modo da includere una sola coppia e selezionare una delle due opzioni riportate di seguito.
    Opzione ID proxy locale ID proxy remoto
    1 QUALSIASI (o 0.0.0.0/0) QUALSIASI (o 0.0.0.0/0)
    2 CIDR on premise (un aggregato che copre tutte le subnet di interesse) CIDR della VCN
  • Il traffico è sempre interessante: se il CPE lo supporta, si consiglia di avere sempre un traffico interessante che attraversa i tunnel IPSec. Cisco ASA richiede di configurare il monitoraggio SLA, che mantiene interessante il traffico attraverso i tunnel IPSec. Per ulteriori informazioni, vedere la sezione "Configurazione SLA IP" nel modello di configurazione basato su criteri Cisco ASA.

Il tunnel IPSec è solo parzialmente attivo

Diagramma che mostra più domini di cifratura e come trovarne il numero.

Se si dispone di una configurazione simile all'esempio precedente e sono stati configurati solo tre dei sei domini di cifratura IPv4 possibili sul lato CPE, il collegamento verrà elencato in uno stato "Partial UP" poiché tutti i domini di cifratura possibili vengono sempre creati sul lato DRG.

SA parziale: si consiglia di avere sempre un traffico interessante che attraversa i tunnel IPSec. Alcuni fornitori di CPE richiedono di avere sempre traffico interessante attraverso il tunnel per mantenere la fase 2 in su. Fornitori come Cisco ASA richiedono la configurazione del monitor SLA. Allo stesso modo, è possibile utilizzare funzionalità di Palo Alto come il monitoraggio del percorso. Tali funzionalità mantengono il traffico interessante che attraversa i tunnel IPSec. Gli scenari sono stati visti con fornitori come Cisco ASA che agisce come "iniziatore" non porta la fase 2 fino a quando non c'è traffico interessante. Ciò fa sì che l'SA sia inattivo quando il tunnel viene attivato o dopo la rekey dell'associazione di sicurezza.

Risoluzione dei problemi relativi alla sessione BGP per la VPN da sito a sito

Lo stato BGP è inattivo

Controllare questi elementi:

  • Stato IPSec: affinché la sessione BGP sia attiva, il tunnel IPSec deve essere attivo.
  • Indirizzo BGP: verificare che entrambe le estremità del tunnel siano configurate con l'indirizzo IP di peering BGP corretto.
  • ASN: verificare che entrambe le estremità del tunnel siano configurate con l'ASN locale BGP e l'ASN BGP Oracle corretti. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544. Per Government Cloud, consulta ASN BGP di Oracle.
  • MD5: verificare che l'autenticazione MD5 sia disabilitata o non configurata sul dispositivo CPE. La VPN da sito a sito non supporta l'autenticazione MD5.

  • Firewall: verificare che un firewall o una lista di controllo dell'accesso in locale non stiano bloccando le seguenti porte:

    • Porta TCP 179 (BGP)
    • Porta UDP 500 (IKE)
    • Porta del protocollo IP 50 (ESP)

    Se il firewall di un dispositivo CPE sta bloccando la porta TCP 179 (BGP), lo stato di prossimità BGP è sempre inattivo. Il traffico non può fluire attraverso il tunnel perché il dispositivo CPE e il router Oracle non hanno instradamenti.

Lo stato BGP è in stato di flapping

Controllare questi elementi:

  • Stato IPSec: affinché la sessione BGP sia attiva e non con flag, il tunnel IPSec deve essere attivo e non con flag.
  • Numero massimo di prefissi: verificare che la pubblicità non contenga più di 2000 prefissi. Se stai pubblicizzando di più, BGP non è stabilito.

Lo stato BGP è ATTIVO, ma non passa traffico

Controllare questi elementi:

  • Liste di sicurezza della VCN: assicurarsi che le liste di sicurezza della VCN consentano il traffico appropriato (sia regole di entrata che di uscita). Tenere presente che la lista di sicurezza predefinita della VCN non consente il traffico ping (ICMP di tipo 8 e ICMP di tipo 0). È necessario aggiungere le regole di entrata e uscita appropriate per consentire il traffico ping.
  • Correggere gli instradamenti su entrambe le estremità: verificare di aver ricevuto gli instradamenti VCN corretti da Oracle e che il dispositivo CPE stia utilizzando tali instradamenti. Allo stesso modo, verifica di pubblicizzare gli instradamenti di rete on premise corretti tramite la VPN da sito a sito e le tabelle di instradamento VCN utilizzano tali instradamenti.

Lo stato BGP è UP, ma il traffico passa in una sola direzione

Controllare questi elementi:

  • Liste di sicurezza della VCN: assicurarsi che le liste di sicurezza della VCN consentano il traffico in entrambe le direzioni (ingresso e uscita).
  • Firewall: verifica che i firewall o le liste di controllo dell'accesso in locale non stiano bloccando il traffico verso o dall'estremità Oracle.
  • Instradamento asimmetrico: Oracle utilizza il routing asimmetrico. Se si dispone di più connessioni IPSec, assicurarsi che il dispositivo CPE sia configurato per l'elaborazione del percorso asimmetrica.
  • Connessioni ridondanti: se si dispone di connessioni IPSec ridondanti, assicurarsi che entrambe pubblichino gli stessi instradamenti.

Risoluzione dei problemi relativi alle connessioni IPSec ridondanti

Ricorda queste note importanti:

  • FastConnect utilizza l'instradamento dinamico BGP. Le connessioni VPN IPSec da sito a sito possono utilizzare l'instradamento statico o BGP oppure una combinazione.
  • Per informazioni dettagliate importanti sull'instradamento e sugli instradamenti preferiti quando si utilizzano connessioni ridondanti, vedere Instradamento per VPN da sito a sito.
  • È possibile utilizzare due connessioni IPSec per la ridondanza. Se per entrambe le connessioni IPSec è configurato solo un instradamento predefinito (0.0.0.0/0), il traffico viene instradato a una di queste connessioni perché Oracle utilizza l'instradamento asimmetrico. Se si desidera che una connessione IPSec sia primaria e un'altra come backup, configurare instradamenti più specifici per la connessione primaria e instradamenti meno specifici (o l'instradamento predefinito di 0.0.0.0/0) sulla connessione di backup.

IPSec e FastConnect sono entrambi impostati, ma il traffico passa solo attraverso IPSec

Assicurarsi di utilizzare instradamenti più specifici per la connessione desiderata come principale. Se si utilizzano gli stessi instradamenti sia per IPSec che per FastConnect, vedere la discussione sulle preferenze di instradamento in Instradamento per VPN da sito a sito.

Due data center on-premise dispongono ciascuno di una connessione IPSec a Oracle, ma solo uno sta passando il traffico

Verificare che entrambe le connessioni IPSec siano attive e che l'elaborazione degli instradamenti asimmetrici sia abilitata nel CPE.

Se per entrambe le connessioni IPSec è configurato solo un instradamento predefinito (0.0.0.0/0), il traffico viene instradato a una di queste connessioni perché Oracle utilizza l'instradamento asimmetrico. Se si desidera che una connessione IPSec sia primaria e un'altra come backup, configurare instradamenti più specifici per la connessione primaria e instradamenti meno specifici (o l'instradamento predefinito di 0.0.0.0/0) sulla connessione di backup.

Per ulteriori informazioni su questo tipo di impostazione, vedere Layout di esempio con più aree geografiche.