Site - to - Site VPNのトラブルシューティング

サービス・リクエストの作成 コミュニティに質問

このトピックでは、Site - to - Site VPNの最も一般的なトラブルシューティングの問題について説明します。推奨事項の一部では、CPEデバイスの構成にアクセスできるネットワーク・エンジニアを対象読者として想定しています。

ログ・メッセージ

サイト間VPNの様々な操作面で生成されたログ・メッセージを表示することは、操作中に発生する多くの問題のトラブルシューティングに役立ちます。サイト間VPNログ・メッセージの有効化およびアクセスは、サイト間VPNまたはロギング・サービスを介して実行できます。

  • ロギング・サービス全般の概要は、「ロギングの概要」を参照してください。
  • ロギング・サービスを介したサイト間VPNログ・メッセージの有効化およびアクセスの詳細は、サービス・ログを参照してください
  • ネットワーキング・サービスを介したサイト間VPNログ・メッセージの有効化およびアクセスの詳細は、「サイト間VPNログ・メッセージの表示」を参照してください
  • Site - to - Site VPNログ・メッセージ・スキーマの詳細は、Site - to - Site VPNの詳細を参照してください。

トンネルフラッピング

常にインタレスティング・トラフィック: 一般に、CPEでサポートされていれば、常にインタレスティング・トラフィックがIPSecトンネルを流れるように設定することをお薦めします。 一部のCisco ASAバージョンでは、常にインタレスティング・トラフィックがIPSecトンネルを流れるように、SLAモニターを構成する必要があります。詳細は、Cisco ASAポリシーベース構成テンプレートのIP SLA構成に関する項を参照してください。

複数のIPSEC接続:冗長性のために、2つのIPSEC接続を使用できます。両方のIPSec接続でデフォルト・ルート(0.0.0.0/0)のみが構成されている場合、Oracleでは非対称ルーティングが使用されるため、トラフィックはいずれか一方の接続にルーティングされます。一方のIPSec接続をプライマリとし、もう一方のIPSec接続をバックアップとして使用する場合は、プライマリ接続のほうにより限定的なルートを構成し、バックアップ接続には限定的でないルート(またはデフォルト・ルート0.0.0.0/0)を構成してください。

ローカルIKE識別子:一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更し、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。

最大転送単位(MTU):標準のインターネットMTUサイズは、1500バイトです。MTUの決定方法については、「MTUの概要」を参照してください。

CPE構成

ローカルIKE識別子:一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更し、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。

Cisco ASA:ポリシー・ベース: Oracleでは、相互運用性の問題を回避し、単一のCisco ASAデバイスによるトンネル冗長性を実現するために、ルートベースの構成を使用することをお薦めします。

Cisco ASAでは、9.7.1より古いソフトウェア・バージョンのルートベース構成はサポートされていません。最適な結果を得るため、デバイスで許可されていれば、ルートベースの構成をサポートするソフトウェア・バージョンにアップグレードすることをお薦めします。

ポリシーベースの構成では、Cisco ASAと動的ルーティング・ゲートウェイ(DRG)の間に1つのトンネルのみを構成できます。

複数のトンネル複数のトンネルが同時に稼働する場合、VCNからのトラフィックをどのトンネルでも処理できるようにCPEが構成されていることを確認します。たとえば、ICMP検査を無効にしたり、TCP状態バイパスを構成したりする必要があります。適切な構成の詳細は、CPEベンダーのサポートに問い合せてください。

暗号化ドメインの問題

Oracle VPNヘッドエンドではルートベース・トンネルが使用されますが、注意しながら、ポリシーベース・トンネルとともに使用できます。詳細は、「ポリシーベースのトンネルの暗号化ドメイン」を参照してください。

ステートフル・セキュリティ・リスト・ルール: (TCP、UDPまたはICMPトラフィックに対して)ステートフル・セキュリティ・リスト・ルールを使用している場合は、ネットワーキング・サービスによって接続が追跡され、ICMPタイプ3コード4のメッセージが自動的に許可されるため、セキュリティ・リストにこれらのメッセージを許可する明示的なルールがあることを確認する必要はありません。ステートレス・ルールでは、ICMPタイプ3コード4のメッセージに対する明示的なイングレス・セキュリティ・リスト・ルールが必要です。インスタンス・ファイアウォールが正しく設定されていることを確認します。

Site - to - Site VPNの一般的な問題

IPSecトンネルが停止中になる

次の項目を確認します:

IPSecトンネルが稼働中であるのにトラフィックが通過していない

次の項目を確認します:

  • フェーズ2 (IPSec)構成: CPEデバイス上でフェーズ2 (IPSec)パラメータが正しく構成されていることを確認します。使用しているCPEデバイスに該当する構成を参照してください:

  • VCNセキュリティ・リスト: 目的のトラフィック(イングレス・ルールとエグレス・ルールの両方)を許可するようにVCNセキュリティ・リストを設定したことを確認します。VCNのデフォルト・セキュリティ・リストでは、pingトラフィック(ICMPタイプ8およびICMPタイプ0)は許可されません。トラフィックのpingを許可する適切なイングレス・ルールおよびエグレス・ルールを追加する必要があります。
  • ファイアウォール・ルール: ファイアウォール・ルールで、Oracle VPNヘッドエンドIPおよびVCN CIDRブロックに関するイングレス・トラフィックとエグレス・トラフィックの両方が許可されていることを確認します。
  • 非対称ルーティング: Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。あるトンネルをプライマリとして、別のトンネルをバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上で稼働している任意のトンネルを使用できます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。
  • Cisco ASA: Oracle Site - to - Site VPN IPSecトンネルにoriginate-onlyオプションを使用しないでください。使用すると、トンネルのトラフィックが一貫性なくブラックホールになります。このコマンドは、2つのCiscoデバイス間のトンネルに対してのみ使用します。IPSecトンネルに使用できないコマンドの例を次に示します: crypto map <<map name> <sequence number> set connection-type originate-only
IPSecトンネルが稼働中であるのにトラフィックが一方向にしか通過していない

次の項目を確認します:

  • 非対称ルーティング: Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。あるトンネルをプライマリとして、別のトンネルをバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上で稼働している任意のトンネルを使用できます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。
  • 1つのトンネルを優先: そのうち1つのトンネルのみを使用する場合は、CPE上でそのトンネルを優先する適切なポリシーまたはルーティングが設定されていることを確認してください。
  • 複数のIPSec接続: OracleとのIPSec接続が複数ある場合は、必ず、優先するIPSec接続のほうに、より限定的な静的ルートを指定してください。
  • VCNセキュリティ・リスト: VCNセキュリティ・リストで両方向(イングレスおよびエグレス)のトラフィックが許可されていることを確認します。
  • ファイアウォール・ルール: ファイアウォール・ルールでOracle VPNヘッドエンドIPおよびVCN CIDRブロックに関する方向のトラフィックが許可されていることを確認します。

ポリシーベースの構成を使用したサイト間VPNのトラブルシューティング

IPSecトンネルが停止中になる

次の項目を確認します:

  • 基本構成: IPSecトンネルは、フェーズ1 (ISAKMP)とフェーズ2 (IPSec)の両方の構成からなります。両方がCPEデバイス上で正しく構成されていることを確認してください。使用しているCPEデバイスに該当する構成を参照してください:

  • ローカル・プロキシIDとリモート・プロキシID: ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続のペアのみです。CPEに2組以上含まれている場合は、1組のみにして構成を更新し、次の2つのオプションのいずれかを選択します:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR

    多くのリージョンで2020年10月以降に作成された接続は、複数の暗号化ドメインをサポートできるSite - to - Site VPN v2を使用して作成されます。

  • NATデバイス: CPEがNATデバイスの背後にある場合、CPE上で構成されているCPE IKE識別子が、Oracleで使用されているCPE IKE識別子(CPEのパブリックIPアドレス)と一致しない可能性があります。ユーザー側でCPE IKE識別子を設定することがCPEでサポートされていない場合、Oracle ConsoleでOracleにCPE IKE識別子を提供できます。詳細は、「サイト間VPNコンポーネントの概要」を参照してください。
  • Cisco ASA: Oracle Site - to - Site VPN IPSecトンネルにoriginate-onlyオプションを使用しないでください。使用すると、トンネルのトラフィックが一貫性なくブラックホールになります。このコマンドは、2つのCiscoデバイス間のトンネルに対してのみ使用します。IPSecトンネルに使用できないコマンドの例を次に示します: crypto map <<map name> <sequence number> set connection-type originate-only
IPSecトンネルは稼働中であるのにフラップし続けている

次の項目を確認します:

  • 接続の開始: CPEデバイスが接続を開始していることを確認します。
  • ローカル・プロキシIDとリモート・プロキシID: ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続のペアのみです。CPEに2組以上含まれている場合は、1組のみにして構成を更新し、次の2つのオプションのいずれかを選択します:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR

    多くのリージョンで2020年10月以降に作成された接続は、複数の暗号化ドメインをサポートできるSite - to - Site VPN v2を使用して作成されます。

  • 常にインタレスティング・トラフィック: 一般に、CPEでサポートされていれば、常にインタレスティング・トラフィックがIPSecトンネルを流れるように設定することをお薦めします。 一部のCisco ASAバージョンでは、常にインタレスティング・トラフィックがIPSecトンネルを流れるように、SLAモニターを構成する必要があります。詳細は、Cisco ASAポリシーベース構成テンプレートのIP SLA構成に関する項を参照してください。
IPSecトンネルは稼働中であるのにトラフィックが安定しない

次の項目を確認します:

  • ローカル・プロキシIDとリモート・プロキシID: ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続のペアのみです。CPEに2組以上含まれている場合は、1組のみにして構成を更新し、次の2つのオプションのいずれかを選択します:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR

    多くのリージョンで2020年10月以降に作成された接続は、複数の暗号化ドメインをサポートできるSite - to - Site VPN v2を使用して作成されます。

  • 常にインタレスティング・トラフィック: 一般に、CPEでサポートされていれば、常にインタレスティング・トラフィックがIPSecトンネルを流れるように設定することをお薦めします。 一部のCisco ASAバージョンでは、常にインタレスティング・トラフィックがIPSecトンネルを流れるように、SLAモニターを構成する必要があります。詳細は、Cisco ASAポリシーベース構成テンプレートのIP SLA構成に関する項を参照してください。

IPSecトンネルは部分的にのみ稼働しています

複数の暗号化ドメインとその数を決定する方法を示す図。

前述の例のような構成で、CPE側で6つの可能なIPv4暗号化ドメインのうち3つのみを構成した場合、すべての可能な暗号化ドメインが常にDRG側で作成されるため、リンクは「Partial UP」状態でリストされます。

サイト間VPNのBGPセッションのトラブルシューティング

BGPのステータスが停止中になる

次の項目を確認します:

  • IPSecのステータス: BGPセッションが稼働中になるためには、IPSecトンネル自体が稼働中である必要があります。
  • BGPアドレス: トンネルの両端が正しいBGPピアリングIPアドレスで構成されていることを確認します。
  • ASN: トンネルの両端が正しいBGPローカルASNおよびOracle BGP ASNで構成されていることを確認します。商用クラウドのOracle BGP ASNは、31898です。Government Cloudについては、OracleのBGP ASNを参照してください。
  • MD5: CPEデバイスでMD5認証が無効になっているか、または構成されていないことを確認します。サイト間VPNは、MD5認証をサポートしていません。
  • ファイアウォール: オンプレミス・ファイアウォールまたはアクセス制御リストによって次のポートがブロックされていないことを確認します:

    • TCPポート179 (BGP)
    • UDPポート500 (IKE)
    • IPプロトコル・ポート50 (ESP)

    CPEデバイスのファイアウォールによってTCPポート179 (BGP)がブロックされている場合、BGPネイバーは常に停止状態になります。CPEデバイスおよびOracleルーターにルートがないため、トラフィックはトンネルを通過できません。

BGPがフラッピングのステータスになる

次の項目を確認します:

  • IPSecのステータス: BGPセッションがフラップせずに稼働中になるためには、IPSecトンネル自体がフラップしておらず、稼働中である必要があります。
  • 最大接頭辞: 通知している接頭辞数が2000以下であることを確認します。これを超えて通知している場合、BGPは確立されません。
BGPステータスが稼働中であるのにトラフィックが通過していない

次の項目を確認します:

  • VCNセキュリティ・リスト: 目的のトラフィック(イングレス・ルールとエグレス・ルールの両方)を許可するようにVCNセキュリティ・リストを設定したことを確認します。VCNのデフォルト・セキュリティ・リストでは、pingトラフィック(ICMPタイプ8およびICMPタイプ0)は許可されません。トラフィックのpingを許可する適切なイングレス・ルールおよびエグレス・ルールを追加する必要があります。
  • 両端の正しいルート: Oracleから正しいVCNルートを受信していること、およびCPEデバイスがそれらのルートを使用していることを確認します。同様に、サイト間VPNを介した正しいオンプレミス・ネットワーク・ルートを通知していること、およびVCNルート表がそれらのルートを使用していることを確認します。
BGPステータスが稼働中であるのにトラフィックが一方向にしか通過していない

次の項目を確認します:

  • VCNセキュリティ・リスト: VCNセキュリティ・リストで両方向(イングレスおよびエグレス)のトラフィックが許可されていることを確認します。
  • ファイアウォール: オンプレミス・ファイアウォールまたはアクセス制御リストによってOracle側との間のトラフィックがブロックされていないことを確認します。
  • 非対称ルーティング: Oracleでは非対称ルーティングが使用されます。複数のIPSec接続がある場合は、非対称ルート処理ができるようにCPEデバイスが構成されていることを確認します。
  • 冗長接続: 冗長IPSec接続がある場合、両方が同じルートを通知していることを確認します。

冗長なIPSec接続のトラブルシューティング

次の重要事項に注意してください:

  • FastConnectでは、BGP動的ルーティングが使用されます。サイト間VPN IPSec接続では、静的ルーティングまたはBGP、あるいはその両方を使用できます。
  • 冗長接続の使用時のルーティングおよび優先ルートに関する重要な詳細は、サイト間VPNのルーティングを参照してください
  • 冗長性のために、2つのIPSec接続を使用できます。両方のIPSec接続でデフォルト・ルート(0.0.0.0/0)のみが構成されている場合、Oracleでは非対称ルーティングが使用されるため、トラフィックはいずれか一方の接続にルーティングされます。一方のIPSec接続をプライマリとし、もう一方のIPSec接続をバックアップとして使用する場合は、プライマリ接続のほうにより限定的なルートを構成し、バックアップ接続には限定的でないルート(またはデフォルト・ルート0.0.0.0/0)を構成してください。
IPSecとFastConnectの両方が設定されているのに、トラフィックはIPSecしか通過しない

プライマリとして使用する接続のほうに、より限定的なルートが使用されていることを確認します。IPSecとFastConnectの両方に同じルートを使用している場合は、サイト間VPNのルーティングのルーティング・プリファレンスの説明を参照してください。

2つのオンプレミス・データ・センターがあり、それぞれにOracleへのIPSec接続があるのに、トラフィックは一方にしか通過していない

両方のIPSec接続が稼働中であることを確認し、CPEで非対称ルート処理が有効になっていることを確認します。

両方のIPSec接続でデフォルト・ルート(0.0.0.0/0)のみが構成されている場合、Oracleでは非対称ルーティングが使用されるため、トラフィックはいずれか一方の接続にルーティングされます。一方のIPSec接続をプライマリとし、もう一方のIPSec接続をバックアップとして使用する場合は、プライマリ接続のほうにより限定的なルートを構成し、バックアップ接続には限定的でないルート(またはデフォルト・ルート0.0.0.0/0)を構成してください。

このタイプの設定の詳細は、複数の地理領域を使用したレイアウトの例を参照してください。