Documentação do Oracle Cloud Infrastructure

Diagnóstico e Solução de Problemas da VPN Site a Site

Criar uma solicitação de serviço no My Oracle Support

Este tópico aborda os problemas mais comuns de solução de problemas da VPN Site-to-Site. Algumas sugestões pressupõem que você seja um engenheiro de rede com acesso à configuração do dispositivo CPE.

Mensagens de Log

A visualização de mensagens de log geradas para vários aspectos operacionais da VPN Site a Local pode ser um auxílio valioso na solução de problemas de muitos dos problemas apresentados durante a operação. A ativação e o acesso às mensagens de log da VPN Site a Site podem ser feitos através da VPN Site a Site ou do serviço de Registro em Log.

  • Para obter uma visão geral do serviço de Log, consulte o Visão Geral de Log
  • Para obter detalhes sobre a ativação e o acesso às mensagens de registro da VPN Site a Site usando o serviço log, consulte Logs de Serviço
  • Para obter detalhes sobre a ativação e o acesso das mensagens de log da VPN Site a Local por meio do serviço Networking, consulte Mensagens de Log da VPN Site a Local.

  • Para obter detalhes sobre o esquema da mensagem de log da VPN entre Sites, consulte Detalhes da VPN entre Sites.

Consulte a tabela a seguir para obter uma melhor interpretação das mensagens de log da VPN Site a Site, que lista os diferentes cenários de túnel e os possíveis logs vistos na Console do OCI.

Interpretando Logs da Console
Motivo da inatividade do túnel Logs preenchidos na seção de log do OCI
Versão de IKE sem correspondência

STATE_V2_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message

dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni

received and ignored notification payload: NO_PROPOSAL_CHOSEN_date_time ep_85 pluto[68971]: "xxxxxxx" #xxx: set ikev1 error <14>
Sub-redes incompatíveis

No IKEv2 connection found with compatible Traffic Selectors

responding to CREATE_CHILD_SA message (ID 30) from CPE_PUBLIC_IP:4500 with encrypted notification TS_UNACCEPTABLE

cannot respond to IPsec SA request because no connection is known for MISMATCHED_SOURCE_SUBNET===VPN_PUBLIC_IP[+S?C]...VPN_PUBLIC_IP[+S?C]===MISMATCHED_DESTINATION_SUBNET
Chave pré-compartilhada incompatível

STATE_MAIN_I3: 60 second timeout exceeded after 7 retransmits. Possible authentication failure: no acceptable response to our first encrypted messag

IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

authentication failed: computed hash does not match hash received from peer ID_IPV4_ADDR 'VPN_PUBLIC_IP'

responding to IKE_AUTH message (ID 1) from VPN_PUBLIC_IP:4500 with encrypted notification AUTHENTICATION_FAILED
Proposta incompatível

OAKLEY proposal refused: missing encryption

Oakley Transform [AES_CBC (128), HMAC_SHA2_256, DH19] refused

no acceptable Oakley Transform

sending notification NO_PROPOSAL_CHOSEN to VPN_PUBLIC_IP:500

failed to add connection: ESP DH algorithm 'modp1024' is not supported

received unauthenticated v2N_NO_PROPOSAL_CHOSEN - ignored
PFS Incompatível

ignoring informational payload NO_PROPOSAL_CHOSEN, msgid=xxxxxx, length=12

received and ignored notification payload: NO_PROPOSAL_CHOSEN

dropping unexpected ISAKMP_v2_CREATE_CHILD_SA message containing v2N_INVALID_SYNTAX notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr

"xxxxxxxx"[1] VPN_PUBLIC_IP #580: encountered fatal error in state STATE_V2_REKEY_CHILD_I
ID de IKE Incompatível

Peer ID 'MISMATCHED_IKE_ID_IP_ADDRESS' mismatched on first found connection and no better connection found

sending encrypted notification INVALID_ID_INFORMATION to VPN_PUBLIC_IP:4500

Mudança de Túnel

Tráfego interessante em todos os momentos: recomendamos sempre ter tráfego interessante em execução pelos túneis IPSec se o CPE suportar esse tráfego. O Cisco ASA exige que você configure o monitoramento de SLA, o que mantém o tráfego interessante em execução pelos túneis IPSec. Para obter mais informações, consulte a seção "Configuração do SLA de IP" no modelo de configuração baseado em política do Cisco ASA.

Várias Conexões IPSEC: Você pode usar duas conexões IPSec para redundância. Se ambas as conexões IPSec tiverem apenas uma rota padrão (0.0.0.0/0) configurada, o tráfego será direcionado para qualquer uma dessas conexões porque a Oracle usa roteamento assimétrico. Se você quiser uma conexão IPSec como principal e outra como backup, configure rotas mais específicas para a conexão principal e rotas menos específicas (ou a rota padrão 0.0.0.0/0) na conexão backup.

Identificador IKE local: Algumas plataformas CPE não permitem que você altere o identificador IKE local. Se você não puder, altere o ID do IKE remoto na Console Oracle para que ele corresponda ao ID do IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.

Unidade de Transmissão Máxima (MTU): O tamanho de MTU padrão da Internet é 1500 bytes. Para obter mais informações sobre como localizar a MTU, consulte Visão Geral da MTU.

Configuração do CPE

Identificador IKE local: Algumas plataformas CPE não permitem que você altere o identificador IKE local. Se você não puder, altere o ID do IKE remoto na Console Oracle para que ele corresponda ao ID do IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.

Cisco ASA: Baseado em Política: Recomendamos o uso de uma configuração baseada em rota para evitar problemasde interoperabilidade e obter redundância de túnel com um único dispositivo Cisco ASA.

O Cisco ASA não suporta configuração baseada em rota para versões de software anteriores à versão 9.7.1. Para obter os melhores resultados, se o dispositivo suportar, recomendamos que você faça upgrade para uma versão de software que suporte a configuração baseada em rota.

Com configuração baseada em política, você pode configurar apenas um único túnel entre um Cisco ASA e um DRG (Dynamic Routing Gateway).

Vários Túneis Se você tiver vários túneis ativos simultaneamente, verifique se o CPE está configurado para lidar com o tráfego proveniente da VCN em qualquer um dos túneis. Por exemplo, você precisa desativar a inspeção ICMP, configurar o bypass de estado TCP e assim por diante. Para obter mais detalhes sobre a configuração apropriada, entre em contato com a equipe de suporte do CPE.

Problemas de Domínio de Criptografia

Os head-ends da Oracle VPN usam túneis baseados em rota, mas podem funcionar com túneis baseados em política, com algumas limitações. Consulte Domínios de criptografia para túneis baseados em política para obter detalhes completos.

Regras da Lista de Segurança com Monitoramento de Estado: Se você estiver usando regras da Lista de Segurança com Monitoramento de Estado (para tráfego TCP, UDP ou ICMP), não será necessário garantir que uma Lista de Segurança tenha uma regra explícita para permitir mensagens ICMP tipo 3 código 4 porque o serviço de Rede rastreia as conexões e permite automaticamente essas mensagens. As regras sem monitoramento de estado exigem uma regra de lista de segurança de entrada explícita para mensagens ICMP tipo 3 código 4. Confirme se os firewalls da instância foram configurados corretamente.

Problemas Gerais da VPN Site a Site

O túnel IPSec está no status DOWN

Verifique estes itens:

  • Configuração básica: O túnel IPSec consiste em parâmetros de fase 1 e de fase 2. Confirme se ambos estão configurados corretamente. Você pode configurar os parâmetros de fase 1 e fase 2 do CPE no final do OCI usando configurações personalizadas. Para usar configurações personalizadas no túnel, vá para opções avançadas e ative definir configurações personalizadas. Isso permite definir manualmente os parâmetros de fase 1 e fase 2 no final do OCI.

    O Oracle também recomendou determinados parâmetros para a fase 1 e a fase 2. Consulte os parâmetros para configuração de fase-1 (ISAKMP) e fase-2 (IPSec) e use esses parâmetros se a etapa anterior não abrir o túnel. Para obter mais informações sobre como configurar o dispositivo CPE, consulte a configuração apropriada para o dispositivo CPE:

  • IDs de proxy locais e remotos: Se você estiver usando uma configuração baseada em política, verifique se o CPE está configurado com mais do que um par de IDs (sub-redes) de proxy locais e remotos. O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o CPE tiver mais de um par, atualize a configuração para incluir apenas um par e selecione uma das duas seguintes opções:
    Opção ID do Proxy Local ID do Proxy Remoto
    1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0)
    2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN
  • Dispositivo NAT: Se o CPE estiver atrás de outro dispositivo NAT, o identificador IKE do CPE configurado no CPE talvez não corresponda ao identificador IKE do CPE que a Oracle está usando (o endereço IP público do CPE). Se o CPE não suportar a definição do identificador IKE do CPE na extremidade local, você poderá fornecer ao sistema Oracle o identificador IKE do CPE na Console do sistema Oracle. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.

O túnel IPSec está no status UP, mas não há tráfego passando por ele

Verifique estes itens:

O túnel IPSec está no status UP, mas o tráfego está passando apenas em uma direção

Verifique estes itens:

  • Roteamento assimétrico: A Oracle usa roteamento assimétrico entre os túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego de uma VCN para uma rede on-premises pode usar qualquer túnel que esteja "ativo" em um dispositivo. Configure firewalls conforme apropriado. Caso contrário, os testes de ping ou o tráfego de aplicativos na conexão não funcionarão de forma confiável.
  • Túnel Único preferencial: Para usar apenas um dos túneis, certifique-se que você tenha a política ou o roteamento adequados no CPE para preferir esse túnel.
  • Várias conexões IPSec: Se você tiver várias conexões IPSec com a Oracle, certifique-se de especificar rotas estáticas mais específicas para a conexão IPSec preferencial.
  • Listas de segurança de VCN: Certifique-se de que as listas de segurança de VCN permitam o tráfego nas duas direções (entrada e saída).
  • Regras de firewall: Verifique se as regras do firewall permitem o tráfego em ambas as direções com os IPs de headend da Oracle VPN e o bloco CIDR da VCN.

Diagnóstico e Solução de Problemas da VPN Site a Site com uma Configuração Baseada em Política

O túnel IPSec está no status DOWN

Verifique estes itens:

  • Configuração básica: o túnel IPSec consiste na configuração da fase 1 (ISAKMP) e da fase 2 (IPSec). Confirme se os dois estão configurados corretamente no dispositivo CPE. Consulte a configuração apropriada para o dispositivo CPE:

  • IDs de proxy locais e remotos: Se você estiver usando uma configuração baseada em política, verifique se o CPE está configurado com mais do que um par de IDs (sub-redes) de proxy locais e remotos. O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o CPE tiver mais de um par, atualize a configuração para incluir apenas um par e selecione uma das duas seguintes opções:
    Opção ID do Proxy Local ID do Proxy Remoto
    1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0)
    2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN
  • Dispositivo NAT: se o CPE estiver atrás de um dispositivo NAT, o identificador IKE do CPE configurado no CPE talvez não corresponda ao identificador IKE do CPE que a Oracle está usando (o endereço IP público do CPE). Se o CPE não suportar a definição do identificador IKE do CPE na extremidade local, você poderá fornecer ao sistema Oracle o identificador IKE do CPE na Console do sistema Oracle. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.
  • Cisco ASA: Não use a opção originate-only com um túnel IPSec da Oracle Site-to-Site VPN. Essa opção faz com que o tráfego do túnel seja bloqueado forma inconsistente. O comando destina-se apenas a túneis entre os dois dispositivos Cisco. Veja um exemplo do comando NÃO a ser usado para os túneis IPSec: crypto map <map name> <sequence number> set connection-type originate-only

O túnel IPSec está no status UP, mas continua a oscilando

Verifique estes itens:

  • Início da conexão: Certifique-se de que o dispositivo CPE esteja iniciando a conexão.
  • IDs de proxy locais e remotos: Se você estiver usando uma configuração baseada em política, verifique se o CPE está configurado com mais do que um par de IDs (sub-redes) de proxy locais e remotos. O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o CPE tiver mais de um par, atualize a configuração para incluir apenas um par e selecione uma das duas seguintes opções:
    Opção ID do Proxy Local ID do Proxy Remoto
    1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0)
    2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN
  • Tráfego interessante em todos os momentos: recomendamos sempre ter tráfego interessante em execução pelos túneis IPSec se o CPE suportar esse tráfego. O Cisco ASA exige que você configure o monitoramento de SLA, o que mantém o tráfego interessante em execução pelos túneis IPSec. Para obter mais informações, consulte a seção "Configuração do SLA de IP" no modelo de configuração baseado em política do Cisco ASA.

O túnel IPSec está no status UP, mas o tráfego está instável

Verifique estes itens:

  • IDs de proxy locais e remotos: Se você estiver usando uma configuração baseada em política, verifique se o CPE está configurado com mais do que um par de IDs (sub-redes) de proxy locais e remotos. O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o CPE tiver mais de um par, atualize a configuração para incluir apenas um par e selecione uma das duas seguintes opções:
    Opção ID do Proxy Local ID do Proxy Remoto
    1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0)
    2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN
  • Tráfego interessante em todos os momentos: recomendamos sempre ter tráfego interessante em execução pelos túneis IPSec se o CPE suportar esse tráfego. O Cisco ASA exige que você configure o monitoramento de SLA, o que mantém o tráfego interessante em execução pelos túneis IPSec. Para obter mais informações, consulte a seção "Configuração do SLA de IP" no modelo de configuração baseado em política do Cisco ASA.

O túnel IPSec só está parcialmente ATIVO

Diagrama mostrando vários domínios de criptografia e como encontrar seu número.

Se você tivesse uma configuração semelhante à do exemplo anterior e apenas tivesse configurado três dos seis domínios possíveis de criptografia IPv4 no lado do CPE, o link seria listado em um estado "Partial UP", porque todos os domínios possíveis de criptografia sempre foram criados no lado do DRG.

Acordo de Serviço Parcial: Recomendamos sempre ter tráfego interessante em execução pelos túneis IPSec. Certos fornecedores de CPE exigem que você sempre tenha tráfego interessante através do túnel para manter a fase 2 ativa. Fornecedores como Cisco ASA exigem que o monitor de SLA seja configurado. Da mesma forma, recursos do Palo Alto, como monitoramento de caminho, podem ser usados. Esses recursos mantêm o tráfego interessante em execução pelos túneis IPSec. Cenários foram vistos com fornecedores como o Cisco ASA agindo como o "iniciador" não traz a fase 2 até que não haja tráfego interessante. Isso faz com que o acordo de serviço fique inativo quando o túnel for criado ou após a reinserção da associação de segurança.

Diagnóstico e Solução de Problemas da Sessão BGP para a VPN Site a Site

O status do BGP está no status DOWN

Verifique estes itens:

  • Status do IPSec: Para que a sessão BGP esteja ativa, o túnel IPSec deverá estar ativo.
  • Endereço BGP: verifique se ambas as extremidades do túnel estão configuradas com o endereço IP de pareamento BGP correto.
  • ASN: verifique se as duas extremidades do túnel estão configuradas com o ASN local de BGP e o ASN do Oracle BGP corretos. O ASN BGP da Oracle para a nuvem comercial é 31898, exceto a região Central da Sérvia (Jovanovac), que é 14544. Para a Nuvem do Governo, consulte ASN de BGP da Oracle.
  • MD5: Verifique se a autenticação MD5 está desativada ou não configurada no dispositivo CPE. A VPN Site a Site não suporta autenticação MD5.

  • Firewalls: verifique se um firewall on-premises ou listas de controle de acesso não está bloqueando as seguintes portas:

    • Porta TCP 179 (BGP)
    • Porta UDP 500 (IKE)
    • Porta do protocolo IP 50 (ESP)

    Se a firewall de um dispositivo CPE estiver bloqueando o TCP porta 179 (BGP), o estado de vizinhos do BGP estará sempre inativo. O tráfego não pode fluir pelo túnel porque o dispositivo CPE e o roteador Oracle não têm rotas.

O status do BGP está oscilando

Verifique estes itens:

  • Status do IPSec: para que a sessão BGP permaneça ativa, o túnel IPSec deverá estar ativo sem oscilar.
  • Máximo de prefixos: verifique se você está propagando no máximo 2000 prefixos. Se você está anunciando mais, o BGP não está estabelecido.

O status do BGP está no status UP, mas não há tráfego fluindo

Verifique estes itens:

  • Listas de segurança da VCN: Certifique-se de que as listas de segurança da VCN permitam o tráfego apropriado (regras de entrada e saída). Observe que a lista de segurança padrão da VCN não permite tráfego do ping (ICMP tipo 8 e ICMP tipo 0). Você deve adicionar as regras de entrada e saída apropriadas para permitir o tráfego de ping.
  • Corrija as rotas nas duas extremidades: verifique se recebeu as rotas VCN corretas do sistema Oracle e se o dispositivo CPE está usando essas rotas. Da mesma forma, verifique se está anunciando as rotas de rede on-premises corretas na VPN Site-to-Site e as tabelas da rota da VCN usam essas rotas.

O status do BGP está no status UP, mas o tráfego está passando apenas em uma direção

Verifique estes itens:

  • Listas de segurança de VCN: Certifique-se de que as listas de segurança de VCN permitam o tráfego nas duas direções (entrada e saída).
  • Firewalls: verifique se os firewalls locais ou as listas de controle de acesso não estão bloqueando o tráfego de/para a extremidade Oracle.
  • Roteamento assimétrico: o sistema Oracle usa roteamento assimétrico. Se você tiver diversas conexões IPSec, verifique se o dispositivo CPE está configurado para processamento de rota assimétrica.
  • Conexões redundantes: Se você tiver conexões IPSec redundantes, certifique-se de que elas estejam propagando as mesmas rotas.

Diagnosticando e Solucionando Problemas de conexões IPSec Redundantes

Lembre-se destas notas importantes:

  • FastConnect usa roteamento dinâmico BGP. As conexões IPSec da VPN Site a Site podem usar roteamento estático, BGP ou uma combinação.
  • Para obter detalhes importantes sobre roteamento e rotas preferenciais ao usar conexões redundantes, consulte Roteamento da VPN Site a Site.
  • Você pode usar duas conexões IPSec para redundância. Se ambas as conexões IPSec tiverem apenas uma rota padrão (0.0.0.0/0) configurada, o tráfego será direcionado para qualquer uma dessas conexões porque a Oracle usa roteamento assimétrico. Se você quiser uma conexão IPSec como principal e outra como backup, configure rotas mais específicas para a conexão principal e rotas menos específicas (ou a rota padrão 0.0.0.0/0) na conexão backup.

O IPSec e o FastConnect estão configurados, mas o tráfego só está passando pelo IPSec

Certifique-se de usar rotas mais específicas para a conexão que você deseja como principal. Se você estiver usando as mesmas rotas para IPSec e FastConnect, consulte a discussão sobre as preferências de roteamento em Roteamento da VPN Site a Site.

Há dois data centers locais, e cada um têm uma conexão IPSec com o sistema Oracle. No entanto, somente um está permitindo a passagem do tráfego

Verifique se ambas as conexões IPSec estão ativas e certifique-se de que o processamento de rotas assimétricas está ativado no CPE.

Se ambas as conexões IPSec tiverem apenas uma rota padrão (0.0.0.0/0) configurada, o tráfego será direcionado para qualquer uma dessas conexões porque a Oracle usa roteamento assimétrico. Se você quiser uma conexão IPSec como principal e outra como backup, configure rotas mais específicas para a conexão principal e rotas menos específicas (ou a rota padrão 0.0.0.0/0) na conexão backup.

Para obter mais informações sobre esse tipo de configuração, consulte Exemplo de Layout com Diversas Áreas Geográficas.