Oracle Cloud Infrastructure - Dokumentation

Site-to-Site-VPN- Fehlerbehebung

Serviceanfrage erstellen Community fragen

In diesem Thema werden die häufigsten Probleme bei der Fehlerbehebung für Site-to-Site-VPN behandelt. Bei einigen Vorschlägen wird davon ausgegangen, dass Sie Netzwerktechniker mit Zugriff auf die Konfiguration Ihres CPE-Geräts sind.

Logmeldungen

Das Anzeigen von Logmeldungen, die für verschiedene betriebliche Aspekte von Site-to-Site-VPN generiert werden, kann bei der Behebung vieler Probleme nützlich sein, die während des Betriebs auftreten können. Die Logmeldungen für Site-to-Site-VPN können über Site-to-Site-VPN oder den Logging-Service aktiviert und aufgerufen werden.

  • Einen allgemeinen Überblick über den Logging-Service finden Sie unter Logging - Überblick.
  • Einzelheiten zum Aktivieren und Aufrufen der Logmeldungen für Site-to-Site-VPN über den Logging-Service finden Sie unter Servicelogs.
  • Einzelheiten zum Aktivieren und Aufrufen der Logmeldungen für Site-to-Site-VPN über den Networking-Service finden Sie unter Site-to-Site-VPN-Logmeldungen anzeigen.

  • Einzelheiten zum Schema der Logmeldungen für Site-to-Site-VPN finden Sie unter Details zu Site-to-Site-VPN.

In der folgenden Tabelle finden Sie eine bessere Interpretation der IPsec-VPN-Logmeldungen, in denen die verschiedenen Tunneldown-Szenarios und die möglichen Logs in der OCI-Konsole aufgeführt werden.

Konsolenlogs interpretieren
Grund für Tunnelausfall Logs im Abschnitt "OCI-Logging" aufgefüllt
Fehlende Übereinstimmung bei IKE-Version

STATE_V2_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message

dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni

received and ignored notification payload: NO_PROPOSAL_CHOSEN_date_time ep_85 pluto[68971]: "xxxxxxx" #xxx: set ikev1 error <14>
Nicht übereinstimmende Subnetze

No IKEv2 connection found with compatible Traffic Selectors

responding to CREATE_CHILD_SA message (ID 30) from CPE_PUBLIC_IP:4500 with encrypted notification TS_UNACCEPTABLE

cannot respond to IPsec SA request because no connection is known for MISMATCHED_SOURCE_SUBNET===VPN_PUBLIC_IP[+S?C]...VPN_PUBLIC_IP[+S?C]===MISMATCHED_DESTINATION_SUBNET
Nicht übereinstimmender Pre-Shared Key

STATE_MAIN_I3: 60 second timeout exceeded after 7 retransmits. Possible authentication failure: no acceptable response to our first encrypted messag

IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

authentication failed: computed hash does not match hash received from peer ID_IPV4_ADDR 'VPN_PUBLIC_IP'

responding to IKE_AUTH message (ID 1) from VPN_PUBLIC_IP:4500 with encrypted notification AUTHENTICATION_FAILED
Vorschlag stimmt nicht überein

OAKLEY proposal refused: missing encryption

Oakley Transform [AES_CBC (128), HMAC_SHA2_256, DH19] refused

no acceptable Oakley Transform

sending notification NO_PROPOSAL_CHOSEN to VPN_PUBLIC_IP:500

failed to add connection: ESP DH algorithm 'modp1024' is not supported

received unauthenticated v2N_NO_PROPOSAL_CHOSEN - ignored
Nicht übereinstimmende PFS

ignoring informational payload NO_PROPOSAL_CHOSEN, msgid=xxxxxx, length=12

received and ignored notification payload: NO_PROPOSAL_CHOSEN

dropping unexpected ISAKMP_v2_CREATE_CHILD_SA message containing v2N_INVALID_SYNTAX notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr

"xxxxxxxx"[1] VPN_PUBLIC_IP #580: encountered fatal error in state STATE_V2_REKEY_CHILD_I
Nicht übereinstimmende IKE-ID

Peer ID 'MISMATCHED_IKE_ID_IP_ADDRESS' mismatched on first found connection and no better connection found

sending encrypted notification INVALID_ID_INFORMATION to VPN_PUBLIC_IP:4500

Tunnel-Flapping

Interessanter Traffic zu jeder Zeit: Im Allgemeinen empfiehlt Oracle, dass über die IPSec-Tunnel zu jeder Zeit interessanter Traffic geleitet wird, sofern Ihr CPE dies unterstützt. Cisco ASA erfordert die Konfiguration der SLA-Überwachung, wodurch interessanter Traffic über die IPSec-Tunnel läuft. Weitere Informationen finden Sie im Abschnitt "IP-SLA-Konfiguration" in der policy-basierten Cisco ASA-Konfigurationsvorlage.

Mehrere IPsec-Verbindungen: Sie können zwei IPsec-Verbindungen zwecks Redundanz verwenden. Wenn für beide IPSec-Verbindungen nur eine Standardroute (0.0.0.0/0) konfiguriert ist, wird der Traffic auf eine dieser Verbindungen geleitet, da Oracle asymmetrisches Routing verwendet. Wenn eine IPSec-Verbindung als primäre Verbindung und eine andere als Backup verwendet werden soll, konfigurieren Sie spezifischere Routen für die primäre Verbindung und weniger spezifische Routen (oder die Standardroute 0.0.0.0/0) für die Backupverbindung.

Lokale IKE-ID: Einige CPE-Plattformen lassen die Änderung der lokalen IKE-ID nicht zu. In diesem Fall müssen Sie die Remote-IKE-ID in der Oracle-Konsole so ändern, dass sie mit der lokalen IKE-ID Ihres CPE übereinstimmt. Sie können den Wert angeben, wenn Sie die IPSec-Verbindung einrichten oder später, indem Sie die IPSec-Verbindung bearbeiten. Oracle erwartet, dass der Wert eine IP-Adresse oder ein vollständig angegebener Domainname (FQDN) ist, wie cpe.example.com. Weitere Informationen finden Sie unter Von Oracle verwendete CPE-IKE-ID ändern.

MTU (Maximum Transmission Unit): Die MTU-Standardgröße im Internet beträgt 1.500 Byte. Weitere Informationen zum Ermitteln der MTU finden Sie unter MTU - Überblick.

CPE-Konfiguration

Lokale IKE-ID: Einige CPE-Plattformen lassen die Änderung der lokalen IKE-ID nicht zu. In diesem Fall müssen Sie die Remote-IKE-ID in der Oracle-Konsole so ändern, dass sie mit der lokalen IKE-ID Ihres CPE übereinstimmt. Sie können den Wert angeben, wenn Sie die IPSec-Verbindung einrichten oder später, indem Sie die IPSec-Verbindung bearbeiten. Oracle erwartet, dass der Wert eine IP-Adresse oder ein vollständig angegebener Domainname (FQDN) ist, wie cpe.example.com. Weitere Informationen finden Sie unter Von Oracle verwendete CPE-IKE-ID ändern.

Cisco ASA: Policybasiert: Oracle empfiehlt die Verwendung einer routenbasierten Konfiguration, um Interoperabilitätsprobleme zu vermeiden und eine Tunnelredundanz mit einem einzelnen Cisco ASA-Gerät zu erzielen.

Cisco ASA unterstützt keine routenbasierte Konfiguration für Softwareversionen, die älter sind als 9.7.1. Um optimale Ergebnisse zu erzielen, empfiehlt Oracle, ein Upgrade auf eine Softwareversion durchzuführen, die die routenbasierte Konfiguration unterstützt.

Bei einer policy-basierten Konfiguration können Sie nur einen einzelnen Tunnel zwischen Cisco ASA und Ihrem dynamischen Routinggateway (DRG) konfigurieren.

Mehrere Tunnel: Wenn mehrere Tunnel gleichzeitig hochgefahren sind, stellen Sie sicher, dass das CPE so konfiguriert ist, dass es von Ihrem VCN eingehenden Traffic über alle Tunnel verarbeiten kann. Beispiel: Sie müssen die ICMP-Prüfung deaktivieren, die TCP-Statusumgehung konfigurieren usw. Für weitere Einzelheiten zur entsprechenden Konfiguration wenden Sie sich an den Support des CPE-Herstellers.

Probleme mit der Verschlüsselungsdomain

Die VPN-Headends von Oracle verwenden routenbasierte Tunnel, können jedoch mit policybasierten Tunneln arbeiten, wobei es einige Bedingungen zu beachten gilt. Vollständige Details finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.

Sicherheitslistenregeln für zustandsbehafteten Traffic: Wenn Sie Sicherheitslistenregeln für zustandsbehafteten Traffic (für TCP-, UDP- oder ICMP-Traffic) verwenden, muss die Sicherheitsliste nicht unbedingt eine explizite Regel zur Zulassung von Nachrichten mit ICMP-Typ 3 Code 4 enthalten, weil der Networking-Service die Verbindungen verfolgt und diese Nachrichten automatisch zulässt. Regeln für zustandslosen Traffic erfordern eine explizite Ingress-Sicherheitslistenregel für Nachrichten mit ICMP-Typ 3 Code 4. Vergewissern Sie sich, dass die Instanzfirewalls korrekt eingerichtet sind.

Allgemeine Probleme mit Site-to-Site-VPN

IPSec-Tunnel weist den Status DOWN auf

Prüfen Sie Folgendes:

  • Einfache Konfiguration: Der IPSec-Tunnel besteht aus den Parametern Phase 1 und Phase 2. Bestätigen Sie, dass beide Komponenten korrekt konfiguriert sind. Sie können die CPE-Parameter der Phase 1 und Phase 2 am OCI-Ende mit benutzerdefinierten Konfigurationen konfigurieren. Um benutzerdefinierte Konfigurationen im Tunnel zu verwenden, gehen Sie zu den erweiterten Optionen, und aktivieren Sie benutzerdefinierte Konfigurationen festlegen. Auf diese Weise können Sie Parameter der Phase 1 und der Phase 2 am OCI-Ende manuell definieren.

    Oracle hat auch bestimmte Parameter für Phase 1 und Phase 2 empfohlen. Prüfen Sie die Parameter für die Phase-1-(ISAKMP-) und Phase-2-(IPSec-)Konfiguration, und verwenden Sie diese Parameter, wenn der obige Schritt den Tunnel nicht hochlädt. Weitere Informationen zur Konfiguration von CPE-Geräten finden Sie in der entsprechenden Konfiguration für Ihr CPE-Gerät:

  • Lokale und Remoteproxy-IDs: Wenn Sie eine policy-basierte Konfiguration verwenden, prüfen Sie, ob für Ihr CPE mehr als ein Paar aus lokalen und Remoteproxy-IDs (Subnetzen) konfiguriert ist. Der Oracle-VPN-Router unterstützt nur ein Paar über ältere Verbindungen. Wenn für das CPE mehr als ein Paar konfiguriert ist, aktualisieren Sie die Konfiguration so, dass nur ein Paar enthalten ist, und wählen Sie eine der beiden folgenden Optionen aus:
    Option Lokale Proxy-ID Remoteproxy-ID
    1 Beliebig (oder 0.0.0.0/0) Beliebig (oder 0.0.0.0/0)
    2 On-Premise-CIDR (ein Aggregat, das alle betreffenden Subnetze abdeckt) CIDR des VCN

    Nach Oktober 2020 erstellte Verbindungen werden in vielen Regionen mit Site-to-Site-VPN v2 erstellt, das mehrere Verschlüsselungsdomains unterstützt.

  • NAT-Gerät: Wenn sich das CPE hinter einem NAT-Gerät befindet, stimmt die auf Ihrem CPE konfigurierte CPE-IKE-ID möglicherweise nicht mit der von Oracle verwendeten CPE-IKE-ID überein (die öffentliche IP-Adresse Ihres CPE). Wenn Ihr CPE die Festlegung der CPE-IKE-ID auf Ihrer Seite nicht unterstützt, können Sie Oracle über die Oracle-Konsole Ihre CPE-IKE-ID mitteilen. Weitere Informationen finden Sie unter Überblick über Site-to-Site-VPN-Komponenten.

IPSec-Tunnel weist den Status UP auf, doch es wird kein Traffic hindurchgeleitet

Prüfen Sie Folgendes:

  • Konfiguration von Phase 2 (IPSec): Prüfen Sie, ob die Parameter der Phase 2 (IPSec) korrekt auf Ihrem CPE-Gerät konfiguriert sind. Lesen Sie dazu die Abschnitte zur entsprechenden Konfiguration für Ihr CPE-Gerät:

    Liste der Konfigurationen
  • VCN-Sicherheitslisten: Stellen Sie sicher, dass Sie die VCN-Sicherheitslisten so eingerichtet haben, dass der gewünschte Traffic zugelassen wird (sowohl Ingress- als auch Egress-Regeln). Beachten Sie, dass die Standardsicherheitsliste des VCN keinen Ping-Traffic zulässt (ICMP-Typ 8 und ICMP-Typ 0). Sie müssen die entsprechenden Ingress- und Egress-Regeln hinzufügen, um Ping-Traffic zuzulassen.
  • Firewallregeln: Stellen Sie sicher, dass die Firewallregeln sowohl Ingress- als auch Egress-Traffic mit den Oracle-VPN-Headend-IPs und dem VCN-CIDR-Block zulassen.
  • Asymmetrisches Routing: Oracle verwendet asymmetrisches Routing für mehrere Tunnel, aus denen die IPsec-Verbindung besteht. Selbst wenn Sie einen Tunnel als primären und einen anderen als Backuptunnel konfigurieren, kann der Traffic vom VCN zum On-Premise-Netzwerk jeden Tunnel, der auf Ihrem Gerät "hochgefahren" ist, verwenden. Konfigurieren Sie Ihre Firewalls entsprechend. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.
  • Cisco ASA: Verwenden Sie die Option originate-only nicht mit einem Oracle-Site-to-Site-VPN-IPsec-Tunnel. Dadurch wird der Traffic des Tunnels in unregelmäßigen Abständen verworfen. Der Befehl ist nur für Tunnel zwischen zwei Cisco-Geräten bestimmt. Es folgt ein Beispiel für den Befehl, den Sie NICHT für die IPsec-Tunnel verwenden sollten: crypto map <map name> <sequence number> set connection-type originate-only

IPSec-Tunnel weist den Status UP auf, der Traffic fließt jedoch nur in eine Richtung

Prüfen Sie Folgendes:

  • Asymmetrisches Routing: Oracle verwendet asymmetrisches Routing für mehrere Tunnel, aus denen die IPsec-Verbindung besteht. Selbst wenn Sie einen Tunnel als primären und einen anderen als Backuptunnel konfigurieren, kann der Traffic vom VCN zum On-Premise-Netzwerk jeden Tunnel, der auf Ihrem Gerät "hochgefahren" ist, verwenden. Konfigurieren Sie Ihre Firewalls entsprechend. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.
  • Einzelner Tunnel bevorzugt: Wenn Sie nur einen der Tunnel verwenden möchten, stellen Sie sicher, dass die richtige Policy oder das richtige Routing auf dem CPE festgelegt ist, um diesen Tunnel zu bevorzugen.
  • Mehrere IPSec-Verbindungen: Wenn mehrere IPSec-Verbindungen mit Oracle vorhanden sind, müssen Sie für die bevorzugte IPSec-Verbindung spezifischere statische Routen angeben.
  • VCN-Sicherheitslisten: Stellen Sie sicher, dass die VCN-Sicherheitslisten Traffic in beide Richtungen (Ingress und Egress) zulassen.
  • Firewallregeln: Stellen Sie sicher, dass die Firewallregeln den Traffic mit den Oracle-VPN-Headend-IPs und dem VCN CIDR-Block in beiden Richtungen zulassen.

Fehler bei einem Site-to-Site-VPN mit policybasierter Konfiguration beheben

IPSec-Tunnel weist den Status DOWN auf

Prüfen Sie Folgendes:

  • Basiskonfiguration: Der IPSec-Tunnel besteht aus der Konfiguration von Phase 1 (ISAKMP) und Phase 2 (IPSec). Bestätigen Sie, dass beide Phasen korrekt auf Ihrem CPE-Gerät konfiguriert sind. Lesen Sie dazu die Abschnitte zur entsprechenden Konfiguration für Ihr CPE-Gerät:

    Liste der Konfigurationen
  • Lokale und Remoteproxy-IDs: Wenn Sie eine policy-basierte Konfiguration verwenden, prüfen Sie, ob für Ihr CPE mehr als ein Paar aus lokalen und Remoteproxy-IDs (Subnetzen) konfiguriert ist. Der Oracle-VPN-Router unterstützt nur ein Paar über ältere Verbindungen. Wenn für das CPE mehr als ein Paar konfiguriert ist, aktualisieren Sie die Konfiguration so, dass nur ein Paar enthalten ist, und wählen Sie eine der beiden folgenden Optionen aus:
    Option Lokale Proxy-ID Remoteproxy-ID
    1 Beliebig (oder 0.0.0.0/0) Beliebig (oder 0.0.0.0/0)
    2 On-Premise-CIDR (ein Aggregat, das alle betreffenden Subnetze abdeckt) CIDR des VCN

    Nach Oktober 2020 erstellte Verbindungen werden in vielen Regionen mit Site-to-Site-VPN v2 erstellt, das mehrere Verschlüsselungsdomains unterstützt.

  • NAT-Gerät: Wenn sich das CPE hinter einem NAT-Gerät befindet, stimmt die auf Ihrem CPE konfigurierte CPE-IKE-ID möglicherweise nicht mit der von Oracle verwendeten CPE-IKE-ID überein (die öffentliche IP-Adresse Ihres CPE). Wenn Ihr CPE die Festlegung der CPE-IKE-ID auf Ihrer Seite nicht unterstützt, können Sie Oracle über die Oracle-Konsole Ihre CPE-IKE-ID mitteilen. Weitere Informationen finden Sie unter Überblick über Site-to-Site-VPN-Komponenten.
  • Cisco ASA: Verwenden Sie die Option originate-only nicht mit einem Oracle-Site-to-Site-VPN-IPsec-Tunnel. Dadurch wird der Traffic des Tunnels in unregelmäßigen Abständen verworfen. Der Befehl ist nur für Tunnel zwischen zwei Cisco-Geräten bestimmt. Es folgt ein Beispiel für den Befehl, den Sie NICHT für die IPsec-Tunnel verwenden sollten: crypto map <map name> <sequence number> set connection-type originate-only

IPSec-Tunnel weist den Status UP auf, doch es kommt weiterhin zu Flapping

Prüfen Sie Folgendes:

  • Initiierung der Verbindung: Stellen Sie sicher, dass das CPE-Gerät die Verbindung initiiert.
  • Lokale und Remoteproxy-IDs: Wenn Sie eine policy-basierte Konfiguration verwenden, prüfen Sie, ob für Ihr CPE mehr als ein Paar aus lokalen und Remoteproxy-IDs (Subnetzen) konfiguriert ist. Der Oracle-VPN-Router unterstützt nur ein Paar über ältere Verbindungen. Wenn für das CPE mehr als ein Paar konfiguriert ist, aktualisieren Sie die Konfiguration so, dass nur ein Paar enthalten ist, und wählen Sie eine der beiden folgenden Optionen aus:
    Option Lokale Proxy-ID Remoteproxy-ID
    1 Beliebig (oder 0.0.0.0/0) Beliebig (oder 0.0.0.0/0)
    2 On-Premise-CIDR (ein Aggregat, das alle betreffenden Subnetze abdeckt) CIDR des VCN

    Nach Oktober 2020 erstellte Verbindungen werden in vielen Regionen mit Site-to-Site-VPN v2 erstellt, das mehrere Verschlüsselungsdomains unterstützt.

  • Interessanter Traffic zu jeder Zeit: Im Allgemeinen empfiehlt Oracle, dass über die IPSec-Tunnel zu jeder Zeit interessanter Traffic geleitet wird, sofern Ihr CPE dies unterstützt. Cisco ASA erfordert die Konfiguration der SLA-Überwachung, wodurch interessanter Traffic über die IPSec-Tunnel läuft. Weitere Informationen finden Sie im Abschnitt "IP-SLA-Konfiguration" in der policy-basierten Cisco ASA-Konfigurationsvorlage.

IPSec-Tunnel weist den Status UP auf, der Traffic ist jedoch instabil

Prüfen Sie Folgendes:

  • Lokale und Remoteproxy-IDs: Wenn Sie eine policy-basierte Konfiguration verwenden, prüfen Sie, ob für Ihr CPE mehr als ein Paar aus lokalen und Remoteproxy-IDs (Subnetzen) konfiguriert ist. Der Oracle-VPN-Router unterstützt nur ein Paar über ältere Verbindungen. Wenn für das CPE mehr als ein Paar konfiguriert ist, aktualisieren Sie die Konfiguration so, dass nur ein Paar enthalten ist, und wählen Sie eine der beiden folgenden Optionen aus:
    Option Lokale Proxy-ID Remoteproxy-ID
    1 Beliebig (oder 0.0.0.0/0) Beliebig (oder 0.0.0.0/0)
    2 On-Premise-CIDR (ein Aggregat, das alle betreffenden Subnetze abdeckt) CIDR des VCN

    Nach Oktober 2020 erstellte Verbindungen werden in vielen Regionen mit Site-to-Site-VPN v2 erstellt, das mehrere Verschlüsselungsdomains unterstützt.

  • Interessanter Traffic zu jeder Zeit: Im Allgemeinen empfiehlt Oracle, dass über die IPSec-Tunnel zu jeder Zeit interessanter Traffic geleitet wird, sofern Ihr CPE dies unterstützt. Cisco ASA erfordert die Konfiguration der SLA-Überwachung, wodurch interessanter Traffic über die IPSec-Tunnel läuft. Weitere Informationen finden Sie im Abschnitt "IP-SLA-Konfiguration" in der policy-basierten Cisco ASA-Konfigurationsvorlage.

IPsec-Tunnel ist nur teilweise hochgefahren

Diagramm mit mehreren Verschlüsselungsdomains, das veranschaulicht, wie ihre Anzahl bestimmt wird

Wenn Sie in einer Konfiguration wie im obigen Beispiel nur drei der sechs möglichen IPv4-Verschlüsselungsdomains auf CPE-Seite konfiguriert haben, würde der Link mit dem Status "Teilweise hochgefahren" aufgelistet werden, weil auf DRG-Seite immer alle möglichen Verschlüsselungsdomains erstellt werden.

Teilweise hochgefahrene SA: Im Allgemeinen empfiehlt Oracle, dass über die IPSec-Tunnel zu jeder Zeit interessanter Traffic geleitet wird. Bei bestimmten CPE-Anbietern müssen Sie immer interessanten Traffic durch den Tunnel haben, um Phase 2 hochzuhalten. Bei Anbietern wie Cisco ASA muss der SLA-Monitor konfiguriert werden. Ebenso können Palo Alto-Funktionen wie Pfadüberwachung verwendet werden. Solche Funktionen sorgen dafür, dass interessanter Datenverkehr durch die Tunnel IPSec läuft. Zahlreiche Szenarien wurden mit Anbietern wie Cisco ASA gesehen, die als "Initiator" fungieren, bringen Phase 2 nicht hoch, bis es keinen interessanten Verkehr gibt. Dadurch wird die SA entweder heruntergefahren, wenn der Tunnel hochgefahren wird oder nachdem die Sicherheitszuordnung neu erstellt wurde.

BGP-Sessionfehler bei einem Site-to-Site-VPN beheben

BGP-Status lautet DOWN

Prüfen Sie Folgendes:

  • IPSec-Status: Die BGP-Session kann nur hochgefahren sein, wenn der IPSec-Tunnel selbst ebenfalls hochgefahren ist.
  • BGP-Adresse: Stellen Sie sicher, dass für beide Enden des Tunnels die korrekte BGP-Peering-IP-Adresse konfiguriert ist.
  • ASN: Stellen Sie sicher, dass für beide Enden des Tunnels die korrekte lokale BGP-ASN und die korrekte Oracle BGP-ASN konfiguriert sind. Die BGP-ASN von Oracle für die Commercial Cloud beträgt 31898, mit Ausnahme der Region Serbia Central (Jovanovac) von 14544. Informationen zur Government Cloud finden Sie unter BGP-ASN von Oracle.
  • MD5: Stellen Sie sicher, dass die MD5-Authentifizierung auf Ihrem CPE-Gerät deaktiviert oder nicht konfiguriert ist. Site-to-Site-VPN unterstützt die MD5-Authentifizierung nicht.

  • Firewalls: Stellen Sie sicher, dass die On-Premise-Firewall oder die Access-Control-Listen nicht die folgenden Ports blockieren:

    • TCP-Port 179 (BGP)
    • UDP-Port 500 (IKE)
    • IP-Protokollport 50 (ESP)

    Wenn die Firewall des CPE-Geräts den TCP-Port 179 (BGP) blockiert, werden die BGP-Neighbors heruntergefahren. Der Traffic kann den Tunnel nicht durchlaufen, weil das CPE-Gerät und der Oracle-Router keine Routen haben.

BGP-Status wechselt schnell hin und her (Flapping)

Prüfen Sie Folgendes:

  • IPSec-Status: Damit die BGP-Session hochgefahren ist und es nicht zu Flapping kommt, muss der IPSec-Tunnel selbst ohne Flapping hochgefahren sein.
  • Maximale Anzahl Präfixe: Stellen Sie sicher, dass Sie nicht mehr als 2000 Präfixe veröffentlichen. Wenn Sie mehr veröffentlichen, wird kein BGP eingerichtet.

BGP-Status lautet UP, doch es wird kein Traffic hindurchgeleitet

Prüfen Sie Folgendes:

  • VCN-Sicherheitslisten: Stellen Sie sicher, dass Sie die VCN-Sicherheitslisten so eingerichtet haben, dass der gewünschte Traffic zugelassen wird (sowohl Ingress- als auch Egress-Regeln). Beachten Sie, dass die Standardsicherheitsliste des VCN keinen Ping-Traffic zulässt (ICMP-Typ 8 und ICMP-Typ 0). Sie müssen die entsprechenden Ingress- und Egress-Regeln hinzufügen, um Ping-Traffic zuzulassen.
  • Korrigieren Sie die Routen an beiden Enden: Stellen Sie sicher, dass Sie die korrekten VCN-Routen von Oracle erhalten haben und dass das CPE-Gerät diese Routen verwendet. Prüfen Sie ebenfalls, ob Sie die korrekten On-Premise-Netzwerkrouten über das Site-to-Site-VPN veröffentlichen und ob die VCN-Routentabellen diese Routen verwenden.

BGP-Status lautet UP, der Traffic fließt jedoch nur in eine Richtung

Prüfen Sie Folgendes:

  • VCN-Sicherheitslisten: Stellen Sie sicher, dass die VCN-Sicherheitslisten Traffic in beide Richtungen (Ingress und Egress) zulassen.
  • Firewalls: Stellen Sie sicher, dass Ihre On-Premise-Firewall oder Ihre Access-Control-Listen den Traffic vom oder zum Oracle-Ende nicht blockieren.
  • Asymmetrisches Routing: Oracle verwendet asymmetrisches Routing. Wenn mehrere IPSec-Verbindungen vorhanden sind, stellen Sie sicher, dass für das CPE-Gerät die asymmetrische Routenverarbeitung konfiguriert ist.
  • Redundante Verbindungen: Wenn redundante IPSec-Verbindungen vorhanden sind, stellen Sie sicher, dass beide dieselben Routen veröffentlichen.

Fehler bei redundanten VPN-Verbindungen beheben

Beachten Sie die folgenden wichtigen Hinweise:

  • FastConnect verwendet dynamisches BGP-Routing. Site-to-Site-VPN-IPsec-Verbindungen können statisches Routing, BGP oder eine Kombination daraus verwenden.
  • Wichtige Details zum Routing und zu bevorzugten Routen bei der Verwendung von redundanten Verbindungen finden Sie unter Routing für Site-to-Site-VPN.
  • Sie können zwei IPSec-Verbindungen zur Redundanz verwenden. Wenn für beide IPSec-Verbindungen nur eine Standardroute (0.0.0.0/0) konfiguriert ist, wird der Traffic auf eine dieser Verbindungen geleitet, da Oracle asymmetrisches Routing verwendet. Wenn eine IPSec-Verbindung als primäre Verbindung und eine andere als Backup verwendet werden soll, konfigurieren Sie spezifischere Routen für die primäre Verbindung und weniger spezifische Routen (oder die Standardroute 0.0.0.0/0) für die Backupverbindung.

IPSec und FastConnect sind beide eingerichtet, der Traffic wird jedoch nur über IPSec geleitet

Stellen Sie sicher, dass Sie spezifischere Routen für die Verbindung verwenden, die Sie als primäre Verbindung verwenden möchten. Wenn Sie dieselben Routen für IPsec und FastConnect verwenden, finden Sie weitere Informationen in der Erläuterung der Routingvoreinstellungen unter Routing für Site-to-Site-VPN.

Zwei On-Premise-Data Center haben jeweils eine IPSec-Verbindung zu Oracle, doch nur eine davon leitet Traffic weiter

Prüfen Sie, ob beide IPSec-Verbindungen hochgefahren sind, und stellen Sie sicher, dass die asymmetrische Routenverarbeitung auf dem CPE aktiviert ist.

Wenn für beide IPSec-Verbindungen nur eine Standardroute (0.0.0.0/0) konfiguriert ist, wird der Traffic auf eine dieser Verbindungen geleitet, da Oracle asymmetrisches Routing verwendet. Wenn eine IPSec-Verbindung als primäre Verbindung und eine andere als Backup verwendet werden soll, konfigurieren Sie spezifischere Routen für die primäre Verbindung und weniger spezifische Routen (oder die Standardroute 0.0.0.0/0) für die Backupverbindung.

Weitere Informationen zu diesem Setuptyp finden Sie unter Beispiellayout mit mehreren geografischen Gebieten.