サイト間VPNのトラブルシューティング

My Oracle Supportでサービス・リクエストを作成します

このトピックでは、サイト間VPNの最も一般的なトラブルシューティングの問題を説明します。いくつかの提案では、CPEデバイスの構成にアクセスできるネットワーク・エンジニアであると想定しています。

ログ・メッセージ

サイト間VPNの様々な運用的状況に対して生成されたログ・メッセージを表示することは、操作中に表示される多くの問題のトラブルシューティングにおいて有益です。サイト間VPNログ・メッセージの有効化およびアクセスは、サイト間VPNまたはロギング・サービスを使用して実行できます。

  • ロギング・サービス全般の概要は、ロギングの概要を参照してください
  • ロギング・サービスを使用したサイト間VPNログ・メッセージの有効化およびアクセスの詳細については、サービス・ログを参照してください
  • ネットワーキング・サービスを介したサイト間VPNログ・メッセージの有効化およびアクセスについては、サイト間VPNログ・メッセージを参照してください。
  • サイト間VPNログ・メッセージ・スキーマの詳細については、サイト間VPNの詳細を参照してください。

異なるトンネルダウン・シナリオおよびOCIコンソールに表示される可能性のあるログのリストを示す、サイト間VPNログ・メッセージのより適切な解釈については、次の表を参照してください。

コンソールログの解釈
トンネル停止理由 OCIロギング・セクションに移入されたログ
IKEバージョンが一致しません

STATE_V2_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message

dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni

received and ignored notification payload: NO_PROPOSAL_CHOSEN_date_time ep_85 pluto[68971]: "xxxxxxx" #xxx: set ikev1 error <14>

一致しないサブネット

No IKEv2 connection found with compatible Traffic Selectors

responding to CREATE_CHILD_SA message (ID 30) from CPE_PUBLIC_IP:4500 with encrypted notification TS_UNACCEPTABLE

cannot respond to IPsec SA request because no connection is known for MISMATCHED_SOURCE_SUBNET===VPN_PUBLIC_IP[+S?C]...VPN_PUBLIC_IP[+S?C]===MISMATCHED_DESTINATION_SUBNET

不一致の事前共有キー

STATE_MAIN_I3: 60 second timeout exceeded after 7 retransmits. Possible authentication failure: no acceptable response to our first encrypted messag

IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

authentication failed: computed hash does not match hash received from peer ID_IPV4_ADDR 'VPN_PUBLIC_IP'

responding to IKE_AUTH message (ID 1) from VPN_PUBLIC_IP:4500 with encrypted notification AUTHENTICATION_FAILED

提案の不一致

OAKLEY proposal refused: missing encryption

Oakley Transform [AES_CBC (128), HMAC_SHA2_256, DH19] refused

no acceptable Oakley Transform

sending notification NO_PROPOSAL_CHOSEN to VPN_PUBLIC_IP:500

failed to add connection: ESP DH algorithm 'modp1024' is not supported

received unauthenticated v2N_NO_PROPOSAL_CHOSEN - ignored

不一致のPFS

ignoring informational payload NO_PROPOSAL_CHOSEN, msgid=xxxxxx, length=12

received and ignored notification payload: NO_PROPOSAL_CHOSEN

dropping unexpected ISAKMP_v2_CREATE_CHILD_SA message containing v2N_INVALID_SYNTAX notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr

"xxxxxxxx"[1] VPN_PUBLIC_IP #580: encountered fatal error in state STATE_V2_REKEY_CHILD_I

一致しないIKE ID

Peer ID 'MISMATCHED_IKE_ID_IP_ADDRESS' mismatched on first found connection and no better connection found

sending encrypted notification INVALID_ID_INFORMATION to VPN_PUBLIC_IP:4500

トンネルのフラッピング

常に興味深いトラフィック: CPEがサポートする場合は、常にIPSecトンネルを介して興味深いトラフィックを実行することをお薦めします。Cisco ASAでは、SLAモニタリングを構成する必要があります。これにより、IPSecトンネルを介して興味深いトラフィックが実行されたままになります。詳細は、Cisco ASAポリシーベース構成テンプレートのIP SLA構成に関する項を参照してください。

複数のIPSEC接続:冗長性のために2つのIPSec接続を使用できます。両方のIPSec接続でデフォルト・ルート(0.0.0.0/0)のみが構成されている場合、Oracleでは非対称ルーティングが使用されるため、トラフィックはいずれか一方の接続にルーティングします。一方のIPSec接続をプライマリとし、もう一方のIPSec接続をバックアップとして使用する場合は、プライマリ接続のほうにより限定的なルートを構成し、バックアップ接続には限定的でないルート(またはデフォルト・ルート0.0.0.0/0)を構成してください。

ローカルIKE識別子:一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更し、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。

Maximum Transmission Unit (MTU):標準のインターネットMTUサイズは1500バイトです。MTUの検索方法の詳細は、Overview of MTUを参照してください。

CPE構成

ローカルIKE識別子:一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更し、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。

Cisco ASA: ポリシー・ベース:相互運用性の問題を回避し、単一のCisco ASAデバイスでトンネルの冗長性を実現するために、ルート・ベースの構成を使用することをお薦めします。

Cisco ASAでは、9.7.1より古いソフトウェア・バージョンのルートベース構成はサポートされません。最適な結果を得るには、デバイスがサポートしている場合は、ルートベースの構成をサポートするソフトウェアバージョンにアップグレードすることをお勧めします。

ポリシーベースの構成では、Cisco ASAとDynamic Routing Gateway (DRG)の間に1つのトンネルのみを構成できます。

複数のトンネル複数のトンネルが同時に稼働する場合、VCNからのトラフィックをどのトンネルからでも処理できるようにCPPが構成されていることを確認します。たとえば、ICMP検査を無効にしたり、TCP状態バイパスを構成したりする必要があります。適切な構成の詳細は、CPEベンダーのサポートに問い合せてください。

暗号化ドメインの問題

Oracle VPNヘッドエンドではルートベース・トンネルが使用されますが、注意事項を考慮しながら、ポリシーベース・トンネルとともに使用できます。詳細は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。

ステートフルのセキュリティ・リスト・ルール: (TCP、UDP、またはICMPトラフィックに対して)ステートフルのセキュリティ・リスト・ルールを使用している場合は、ネットワーキング・サービスによって接続がトラッキングされ、ICMPタイプ3コード4のメッセージが自動的に許可されるため、セキュリティ・リストにはICMPタイプ3のコード4のメッセージがあることを確認する必要はありません。ステートレス・ルールでは、ICMPタイプ3コード4のメッセージに対する明示的なイングレス・セキュリティ・リスト・ルールが必要です。インスタンス・ファイアウォールが正しく設定されていることを確認します。

Site-to-Site VPNの一般的な問題

IPSecトンネルが停止中になる

次の項目を確認します:

  • 基本構成: IPSecトンネルには、フェーズ1とフェーズ2の両方のパラメータが含まれます。両方が正しく構成されていることを確認してください。カスタム構成を使用して、OCIエンドでCPEフェーズ1およびフェーズ2のパラメータを構成できます。トンネルでカスタム構成を使用するには、拡張オプションに移動し、カスタム構成の設定を有効にします。これにより、OCIエンドでフェーズ1およびフェーズ2のパラメータを手動で定義できます。

    Oracleでは、フェーズ1およびフェーズ2の特定のパラメータも推奨されています。phase-1 (ISAKMP)およびphase-2 (IPSec)構成のパラメータを参照し、前のステップでトンネルが起動しない場合はそれらのパラメータを使用します。CPEデバイスの構成の詳細は、CPEデバイスに適した構成を参照してください:

  • ローカル・プロキシIDとリモート・プロキシID:ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続で1組のみです。CPEに1組以上含まれている場合は、1組のみにして構成を更新し、次の2つのオプションのいずれかを選択してください:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR
  • NATデバイス: CPEがNATデバイスの背後にある場合、CPE上で構成されているCPEPE IKE識別子が、Oracleが使用しているCPE IKE識別子(CPEのパブリックIPアドレス)と一致しない可能性があります。CPEがオンプレミス・エンドでのCPE IKE識別子の設定をサポートしていない場合は、Oracle ConsoleでCPE IKE識別子をOracleに提供できます。詳細は、サイト間VPNコンポーネントの概要を参照してください。

IPSecトンネルが稼働中であるのにトラフィックが通過していない

次の項目を確認します:

  • フェーズ2 (IPSec)構成: CPEデバイス上でフェーズ2 (IPSec)パラメータが正しく構成されていることを確認します。使用しているCPEデバイスに該当する構成を参照してください:

  • VCNセキュリティ・リスト: VCNセキュリティ・リストで、適切なトラフィック(イングレス・ルールとエグレス・ルールの両方)が許可されていることを確認します。VCNのデフォルト・セキュリティ・リストでは、pingトラフィック(ICMPタイプ8およびICMCPタイプ0)は許可されないことに注意してください。トラフィックのpingを許可する適切なイングレス・ルールおよびエグレス・ルールを追加する必要があります。
  • ファイアウォール・ルール:ファイアウォール・ルールで、Oracle VPNヘッドエンドIPおよびVCN CIDRブロックを使用したイングレス・トラフィックとエグレス・トラフィックの両方が許可されていることを確認します。
  • 非対称ルーティング: Oracleでは、IPSec接続を構成するトンネルの間で非対称ルーティングを使用します。あるトンネルはプライマリとして、別のトンネルはバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックはデバイス上で稼働中の任意のトンネルを使用できます。ファイアウォールを適切に構成します。そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しません。
  • Cisco ASA: Oracleサイト間VPN IPSecトンネルにoriginate-onlyオプションを使用しないようにしてください。使用すると、トンネルのトラフィックが一貫性なくブラックホールになります。このコマンドは、2つのCiscoデバイス間のトンネルに対してのみ使用します。IPSecトンネルに使用しないコマンドの例を次に示します: crypto map <map name> <sequence number> set connection-type originate-only

IPSecトンネルが稼働中であるのにトラフィックが一方向にしか通過していない

次の項目を確認します:

  • 非対称ルーティング: Oracleでは、IPSec接続を構成するトンネルの間で非対称ルーティングを使用します。あるトンネルはプライマリとして、別のトンネルはバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックはデバイス上で稼働中の任意のトンネルを使用できます。ファイアウォールを適切に構成します。そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しません。
  • 1つトンネルの優先:そのうち1つのトンネルのうち1つのトンネルの場合のみを使用する場合は、CPE上でそのトンネルが優先する適切なポリシーまたはルーティングが設定されている確認してください。
  • 複数のIPSec接続: OracleとのIPSec接続が複数ある場合は、必ず、優先されるIPSec接続のほいますに、より限定的な静的ルートを指定してください。
  • VCNセキュリティ・リスト: VCNセキュリティ・リストで両方向(イングレスのトラフィックおよびエグレス)のトラフィックが許可されていることを確認します。
  • ファイアウォール・ルール:ファイアウォール・ルールでOracle VPNヘッドエンドIPおよびVCN CIDRブロックに関する方向のトラフィックが許可されていることを確認します。

ポリシーベースの構成を使用したサイト間VPNのトラブルシューティング

IPSecトンネルが停止中になる

次の項目を確認します:

  • 基本構成: IPSecトンネルは、フェーズ1 (ISAKMP)とフェーズ2 (IPSec)の両方の構成からなります。両方がCPEデバイス上で正しく構成されていることを確認してください。使用しているCPEデバイスに該当する構成を参照してください:

  • ローカル・プロキシIDとリモート・プロキシID:ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続で1組のみです。CPEに1組以上含まれている場合は、1組のみにして構成を更新し、次の2つのオプションのいずれかを選択してください:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR
  • NATデバイス: CPEがNATデバイスの背後にある場合、CPE上で構成されているCPEPE IKE識別子が、Oracleが使用しているCPE IKE識別子(CPEのパブリックIPアドレス)と一致しない可能性があります。CPEがオンプレミス・エンドでのCPE IKE識別子の設定をサポートしていない場合は、Oracle ConsoleでCPE IKE識別子をOracleに提供できます。詳細は、サイト間VPNコンポーネントの概要を参照してください。
  • Cisco ASA: Oracleサイト間VPN IPSecトンネルにoriginate-onlyオプションを使用しないようにしてください。使用すると、トンネルのトラフィックが一貫性なくブラックホールになります。このコマンドは、2つのCiscoデバイス間のトンネルに対してのみ使用します。IPSecトンネルに使用しないコマンドの例を次に示します: crypto map <map name> <sequence number> set connection-type originate-only

IPSecトンネルは稼働中であるのにフラップし続けている

次の項目を確認します:

  • 接続の開始: CPEデバイスが接続を開始していることを確認します。
  • ローカル・プロキシIDとリモート・プロキシID:ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続で1組のみです。CPEに1組以上含まれている場合は、1組のみにして構成を更新し、次の2つのオプションのいずれかを選択してください:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR
  • 常に興味深いトラフィック: CPEがサポートする場合は、常にIPSecトンネルを介して興味深いトラフィックを実行することをお薦めします。Cisco ASAでは、SLAモニタリングを構成する必要があります。これにより、IPSecトンネルを介して興味深いトラフィックが実行されたままになります。詳細は、Cisco ASAポリシーベース構成テンプレートのIP SLA構成に関する項を参照してください。

IPSecトンネルは稼働中であるのにトラフィックが安定しない

次の項目を確認します:

  • ローカル・プロキシIDとリモート・プロキシID:ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続で1組のみです。CPEに1組以上含まれている場合は、1組のみにして構成を更新し、次の2つのオプションのいずれかを選択してください:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR
  • 常に興味深いトラフィック: CPEがサポートする場合は、常にIPSecトンネルを介して興味深いトラフィックを実行することをお薦めします。Cisco ASAでは、SLAモニタリングを構成する必要があります。これにより、IPSecトンネルを介して興味深いトラフィックが実行されたままになります。詳細は、Cisco ASAポリシーベース構成テンプレートのIP SLA構成に関する項を参照してください。

IPSecトンネルが部分的にしか稼働していない

複数の暗号化ドメインとその番号を見つける方法を示す図。

前述の例に似た構成で、CPE側で使用可能な6つのIPv4暗号化ドメインのうち3つのみを構成した場合、すべての使用可能な暗号化ドメインが常にDRG側に作成されるため、「一部稼働中」状態でリンクがリストされます。

SAの部分的な起動: IPSecトンネルを経由する興味深いトラフィックを常に実行することをお薦めします。特定のCPEベンダーでは、フェーズ2を維持するために、常にトンネルを通る興味深いトラフィックが必要です。Cisco ASAなどのベンダーでは、SLAモニターモニターを構成する必要があります。同様に、パス監視などのPalo Alto機能も使用できます。このような機能により、興味深いトラフィックがIPSecトンネルを介して実行されます。「イニシエータ」として動作する Cisco ASAなどのベンダーでは、興味深いトラフィックがなくなるまでフェーズ2は起動しません。これにより、トンネルの起動時またはセキュリティーアソシエーションのキー更新後に、SAが停止します。

サイト間VPNのBGPセッションのトラブルシューティング

BGPのステータスが停止中になる

次の項目を確認します:

  • IPSecのステータス: BGPセッションが稼働中になるためには、IPSecトンネル自体が稼働中である必要があります。
  • BGPアドレス: トンネルの両端が正しいBGPピアリングIPアドレスで構成されていることを確認します。
  • ASN: トンネルの両端が正しいBGPローカルASNおよびOracle BGP ASNで構成されていることを確認します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。Government Cloudについては、OracleのBGP ASNを参照してください。
  • MD5: CPEデバイスでMD5認証が無効になっているのか、または構成されていないことを確認します。サイト間VPNでは、MD5認証はサポートされていません。
  • ファイアウォール:オンプレミス・ファイアウォールまたはアクセス制御リストが次のポートをブロックしていないことを確認します:

    • TCPポート179 (BGP)
    • UDPポート500 (IKE)
    • IPプロトコル・ポート50 (ESP)

    CPEデバイスのファイアウォールによってTCPポート179 (BGP)がブロックされている場合、BGPネイバーは常にダウン状態です。CPEデバイスおよびOracleルーターにルートがないため、トラフィックはトンネルを経由できません。

BGPがフラッピングのステータスになる

次の項目を確認します:

  • IPSecのステータス: BGPセッションがフラップせずに稼働中になるためには、IPSecトンネル自体がフラップしておらず、稼働中である必要があります。
  • 最大プリフィクス: 2000個以下のプリフィクスをアドバタイズしていることを確認します。広告が増えると、BGPは確立されません。

BGPステータスが稼働中であるのにトラフィックが通過していない

次の項目を確認します:

  • VCNセキュリティ・リスト: VCNセキュリティ・リストで、適切なトラフィック(イングレス・ルールとエグレス・ルールの両方)が許可されていることを確認します。VCNのデフォルト・セキュリティ・リストでは、pingトラフィック(ICMPタイプ8およびICMCPタイプ0)は許可されないことに注意してください。トラフィックのpingを許可する適切なイングレス・ルールおよびエグレス・ルールを追加する必要があります。
  • 両端の正しいルート: Oracleから正しいVCNルートを受信していること、およびCPEデバイスがそれらのルートを使用していることを確認します。同様に、こちら側からサイト間VPNを介した正しいオンプレミス・ネットワーク・ルートを広告していること、およびVCNルート表がそれらのルートを使用していることを確認します。

BGPステータスが稼働中であるのにトラフィックが一方向にしか通過していない

次の項目を確認します:

  • VCNセキュリティ・リスト: VCNセキュリティ・リストで両方向(イングレスのトラフィックおよびエグレス)のトラフィックが許可されていることを確認します。
  • ファイアウォール:オンプレミス・ファイアウォールまたはアクセス制御リストが、Oracleエンドとの間のトラフィックをブロックしていないことを確認します。
  • 非対称ルーティング: Oracleでは非対称ルーティングが使用されます。複数のIPSec接続がある場合は、非対称ルート処理が可能なCPEデバイスが構成されていることを確認します。
  • 冗長接続:冗長IPSec接続がある場合、両方が同じルートを通知していることを確認します。

冗長IPSec接続のトラブルシューティング

次の重要事項に注意してください:

  • FastConnectでは、BGP動的ルーティングが使用されます。サイト間VPN IPSec接続では、静的ルーティングまたはBGP、あるいはその両方を使用できます。
  • 冗長接続の使用時のルーティングおよび優先ルートに関する重要な詳細は、サイト間VPNのルーティングを参照してください。
  • 冗長性のために、2つのIPSec接続を使用できます。両方のIPSec接続でデフォルト・ルート(0.0.0.0/0)のみが構成されている場合、Oracleでは非対称ルーティングが使用されるため、トラフィックはいずれか一方の接続にルーティングします。一方のIPSec接続をプライマリとし、もう一方のIPSec接続をバックアップとして使用する場合は、プライマリ接続のほうにより限定的なルートを構成し、バックアップ接続には限定的でないルート(またはデフォルト・ルート0.0.0.0/0)を構成してください。

IPSecとFastConnectの両方が設定されているのに、トラフィックはIPSecしか通過しない

プライマリとして使用する接続のほうに、より限定的なルートが使用されていることを確認します。IPSecとFastConnectの両方に同じルートを使用している場合は、サイト間VPNのルーティングのルーティング・プリファレンスの説明を参照してください。

2つのオンプレミス・データ・センターがあり、それぞれにOracleへのIPSec接続があるのに、トラフィックは一方にしか通過していない

両方のIPSec接続が稼働中であることを確認し、CPEで非対称ルート処理が有効になっていることを確認します。

両方のIPSec接続でデフォルト・ルート(0.0.0.0/0)のみが構成されている場合、Oracleでは非対称ルーティングが使用されるため、トラフィックはいずれか一方の接続にルーティングします。一方のIPSec接続をプライマリとし、もう一方のIPSec接続をバックアップとして使用する場合は、プライマリ接続のほうにより限定的なルートを構成し、バックアップ接続には限定的でないルート(またはデフォルト・ルート0.0.0.0/0)を構成してください。

このタイプの設定の詳細は、「複数の地理領域を使用したレイアウトの例」に関する項を参照してください。