Diagnóstico e Solução de Problemas da VPN Site a Site
Criar uma solicitação de serviço Perguntar à comunidade
Este tópico abrange os problemas mais comuns de serem diagnosticados e solucionados da VPN Site a Site. Algumas sugestões presumem que você é engenheiro de rede com acesso à configuração do seu dispositivo CPE.
Mensagens de Log
A exibição de mensagens de log geradas para vários aspectos operacionais da VPN Site a Site pode ser uma ajuda valiosa na solução de muitos problemas apresentados durante a operação. A ativação e o acesso às mensagens de log da VPN Site a Site podem ser feitos por meio da VPN Site a Site ou do serviço Logging.
- Para obter uma visão geral do serviço Logging, consulte Visão Geral do Serviço Logging
- Para obter detalhes sobre como ativar e acessar as mensagens de log da VPN Site a Site por meio do serviço de registro em log, consulte Logs de Serviço
- Para obter detalhes sobre como ativar e acessar as mensagens de log da VPN Site a Site por meio do serviço Networking, consulte Exibindo Mensagens de Log da VPN Site a Site.
-
Para obter detalhes sobre o esquema de mensagem de log da VPN Site a Site, consulte Detalhes da VPN Site a Site.
Consulte a tabela abaixo para obter uma melhor interpretação das mensagens de log da VPN IPsec, que lista os diferentes cenários de redução de túnel e os possíveis logs vistos na console do OCI.
Motivo da desativação do túnel | Logs preenchidos na seção de log do OCI |
---|---|
Versão de IKE sem Correspondência |
|
Sub-redes não correspondentes |
|
Chave pré-compartilhada incompatível |
|
Proposta incompatível |
|
PFS Incompatível |
|
ID do IKE incompatível |
|
Mudança de Túnel
Várias Conexões IPSEC: Você pode usar duas conexões IPSec para obter redundância. Se ambas as conexões IPSec tiverem somente uma rota padrão (0.0.0.0/0) configurada, o tráfego será roteado para uma dessas conexões, pois o Oracle usa roteamento assimétrico. Se você quiser uma conexão IPSec como principal e outra como backup, configure rotas mais específicas para a conexão principal e rotas menos específicas (ou a rota padrão 0.0.0.0/0) na conexão backup.
Identificador IKE local: Algumas plataformas de CPE não permitem que você altere o identificador IKE local. Se não puder alterar, altere o ID de IKE remoto na Console do sistema Oracle de modo a corresponder ao seu ID de IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.
Unidade de Transmissão Máxima (MTU): O tamanho padrão da MTU da internet é de 1.500 bytes. Para obter mais informações sobre como determinar a MTU, consulte Visão Geral da MTU.
Configuração do CPE
Identificador IKE local: Algumas plataformas de CPE não permitem que você altere o identificador IKE local. Se não puder alterar, altere o ID de IKE remoto na Console do sistema Oracle de modo a corresponder ao seu ID de IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.
Cisco ASA: Baseado em Política: A Oracle recomenda o uso de uma configuração baseada em rota para evitar problemas de interoperabilidade e para obter redundância de túnel com um único dispositivo Cisco ASA.
O Cisco ASA não suporta a configuração baseada em rota para versões de software anteriores à 9.7.1. Para obter melhores resultados, se o seu dispositivo permitir, a Oracle recomenda que você faça upgrade para uma versão de software que suporte a configuração baseada em rota.
Com a configuração baseada em política, você só pode configurar um único túnel entre o Cisco ASA e o seu DRG (Dynamic Routing Gateway).
Diversos Túneis Se você tiver diversos túneis ativados simultaneamente, certifique-se de que o CPE esteja configurado para tratar o tráfego proveniente da VCN em qualquer um dos túneis. Por exemplo, você precisa desativar a inspeção ICMP, configurar o bypass de estado TCP e assim por diante. Para obter mais detalhes sobre a configuração apropriada, entre em contato com o suporte do fornecedor do CPE.
Problemas de Domínio de Criptografia
Os head-ends da Oracle VPN usam túneis baseados em rota, mas podem funcionar com túneis baseados em política, com algumas limitações. Consulte Domínios de criptografia para túneis baseados em política para obter detalhes completos.
Regras de lista de segurança com monitoramento de estado: Se você estiver usando regras de lista de segurança com monitoramento de estado (para tráfego TCP, UDP ou ICMP), não precisará garantir que sua lista de segurança tenha uma regra explícita para permitir mensagens ICMP tipo 3 código 4 porque o serviço Networking rastreia as conexões e permite automaticamente essas mensagens. As regras sem monitoramento de estado exigem uma regra de lista de segurança de entrada explícita para mensagens ICMP tipo 3 código 4. Confirme se os firewalls da instância foram configurados corretamente.
Problemas Gerais da VPN Site a Site
O túnel IPSec está no status DOWN
Verifique estes itens:
-
Configuração básica: o túnel IPSec consiste nos parâmetros da fase 1 e da fase 2. Verifique se ambos estão configurados corretamente. Você pode configurar os parâmetros de fase 1 e fase 2 do CPE no final do OCI usando configurações personalizadas. Para usar configurações personalizadas no túnel, vá para opções avançadas e ative definir configurações personalizadas. Isso permite definir manualmente os parâmetros das fases 1 e 2 na extremidade do OCI.
A Oracle também recomendou determinados parâmetros para as fases 1 e 2. Consulte os parâmetros para configuração da fase 1 (ISAKMP) e fase 2 (IPSec) e use esses parâmetros se a etapa acima não abrir o túnel. Para obter mais informações sobre como configurar o dispositivo CPE, consulte a configuração apropriada para o seu dispositivo CPE:
-
IDs de proxies locais e remotos: se você estiver usando uma configuração baseada em política, verifique se o seu CPE está configurado com mais de um par de IDs de proxies locais e remotos (sub-redes). O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o seu CPE tiver mais de um par, atualize a configuração para incluir somente um par e escolha uma destas duas opções:
Opção ID do Proxy Local ID do Proxy Remoto 1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0) 2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN As conexões criadas após outubro de 2020 em muitas regiões são criadas usando a VPN Site a Site v2, que tem suporte para vários domínios de criptografia.
- Dispositivo NAT: se o CPE estiver protegido por um dispositivo NAT, o identificador IKE configurado no seu CPE talvez não corresponda ao identificador IKE do CPE que o sistema Oracle está usando (o endereço IP público do seu CPE). Se o seu CPE não suportar a definição do identificador IKE do CPE na sua extremidade, você poderá fornecer ao sistema Oracle o identificador IKE do seu CPE na Console do Oracle Cloud Infrastructure. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.
O túnel IPSec está no status UP, mas não há tráfego passando por ele
Verifique estes itens:
-
Configuração da Fase 2 (IPSec): confirme se os parâmetros da fase 2 (IPSec) estão configurados corretamente no seu dispositivo CPE. Consulte a configuração apropriada para o seu dispositivo CPE:
Lista de configurações - Listas de segurança da VCN: Certifique-se de ter configurado as listas de segurança da VCN de modo a permitir o tráfego desejado (regras de entrada e saída). Observe que a lista de segurança padrão da VCN não permite o tráfego de ping (ICMP tipo 8 e ICMP tipo 0). Você deve adicionar as regras de entrada e saída apropriadas para permitir o tráfego de ping.
- Regras de firewall: certifique-se de que as suas regras de firewall permitam tráfego de entrada e saída com os IPs de headend da Oracle VPN e o bloco CIDR da VCN.
- Roteamento assimétrico: A Oracle usa o roteamento assimétrico entre os diversos túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego da sua VCN para a sua rede local poderá usar qualquer túnel que esteja "ativo" no seu dispositivo. Configure os seus firewalls de forma adequada. Caso contrário, o ping de testes ou do tráfego de aplicativos na conexão não funcionará de maneira confiável.
- Cisco ASA: Não use a opção originate-only com um túnel IPSec da VPN Site a Site da Oracle. Essa opção faz com que o tráfego do túnel seja bloqueado forma inconsistente. O comando destina-se apenas a túneis entre os dois dispositivos Cisco. Este é um exemplo do comando que você NÃO deve usar para os túneis IPSec:
crypto map <map name> <sequence number> set connection-type originate-only
O túnel IPSec está no status UP, mas o tráfego está passando apenas em uma direção
Verifique estes itens:
- Roteamento assimétrico: A Oracle usa o roteamento assimétrico entre os diversos túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego da sua VCN para a sua rede local poderá usar qualquer túnel que esteja "ativo" no seu dispositivo. Configure os seus firewalls de forma adequada. Caso contrário, o ping de testes ou do tráfego de aplicativos na conexão não funcionará de maneira confiável.
- Túnel único preferencial: Se você quiser usar apenas um dos túneis, certifique-se de ter a política ou o roteamento adequado implementado no CPE para dar preferência a esse túnel.
- Várias conexões IPSec: se você tiver várias conexões IPSec com o sistema Oracle, certifique-se de determinar rotas estáticas mais específicas para a conexão IPSec preferencial.
- Listas de segurança da VCN: certifique-se de que as suas listas de segurança da VCN permitam tráfego nas duas direções (entrada e saída).
- Regras de firewall: certifique-se de que as suas regras de firewall permitam o tráfego em ambas as direções com os IPs de headend da Oracle VPN e com o bloco CIDR da VCN.
Diagnosticando e Solucionando Problemas da VPN Site a Site com uma Configuração Baseada em Política
O túnel IPSec está no status DOWN
Verifique estes itens:
-
Configuração básica: o túnel IPSec consiste na configuração da fase 1 (ISAKMP) e da fase 2 (IPSec). Confirme se ambos estão configurados corretamente no seu dispositivo CPE. Consulte a configuração apropriada para o seu dispositivo CPE:
Lista de configurações -
IDs de proxies locais e remotos: se você estiver usando uma configuração baseada em política, verifique se o seu CPE está configurado com mais de um par de IDs de proxies locais e remotos (sub-redes). O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o seu CPE tiver mais de um par, atualize a configuração para incluir somente um par e escolha uma destas duas opções:
Opção ID do Proxy Local ID do Proxy Remoto 1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0) 2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN As conexões criadas após outubro de 2020 em muitas regiões são criadas usando a VPN Site a Site v2, que tem suporte para vários domínios de criptografia.
- Dispositivo NAT: se o CPE estiver protegido por um dispositivo NAT, o identificador IKE configurado no seu CPE talvez não corresponda ao identificador IKE do CPE que o sistema Oracle está usando (o endereço IP público do seu CPE). Se o seu CPE não suportar a definição do identificador IKE do CPE na sua extremidade, você poderá fornecer ao sistema Oracle o identificador IKE do seu CPE na Console do Oracle Cloud Infrastructure. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.
- Cisco ASA: Não use a opção originate-only com um túnel IPSec da VPN Site a Site da Oracle. Essa opção faz com que o tráfego do túnel seja bloqueado forma inconsistente. O comando destina-se apenas a túneis entre os dois dispositivos Cisco. Este é um exemplo do comando que você NÃO deve usar para os túneis IPSec:
crypto map <map name> <sequence number> set connection-type originate-only
O túnel IPSec está no status UP, mas continua a oscilando
Verifique estes itens:
- Iniciação da conexão: certifique-se de que o seu dispositivo CPE esteja iniciando a conexão.
-
IDs de proxies locais e remotos: se você estiver usando uma configuração baseada em política, verifique se o seu CPE está configurado com mais de um par de IDs de proxies locais e remotos (sub-redes). O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o seu CPE tiver mais de um par, atualize a configuração para incluir somente um par e escolha uma destas duas opções:
Opção ID do Proxy Local ID do Proxy Remoto 1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0) 2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN As conexões criadas após outubro de 2020 em muitas regiões são criadas usando a VPN Site a Site v2, que tem suporte para vários domínios de criptografia.
-
Tráfego interessante sempre: em geral, a Oracle recomenda que sempre haja tráfego interessante passando pelos túneis IPSec, caso o seu CPE permita isso. O Cisco ASA exige que você configure o monitoramento do SLA, o que mantém o tráfego interessante em execução pelos túneis IPSec. Para obter mais informações, consulte a seção "Configuração do SLA de IP" no modelo de configuração baseado em política do Cisco ASA.
O túnel IPSec está no status UP, mas o tráfego está instável
Verifique estes itens:
-
IDs de proxies locais e remotos: se você estiver usando uma configuração baseada em política, verifique se o seu CPE está configurado com mais de um par de IDs de proxies locais e remotos (sub-redes). O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o seu CPE tiver mais de um par, atualize a configuração para incluir somente um par e escolha uma destas duas opções:
Opção ID do Proxy Local ID do Proxy Remoto 1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0) 2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN As conexões criadas após outubro de 2020 em muitas regiões são criadas usando a VPN Site a Site v2, que tem suporte para vários domínios de criptografia.
-
Tráfego interessante sempre: em geral, a Oracle recomenda que sempre haja tráfego interessante passando pelos túneis IPSec, caso o seu CPE permita isso. O Cisco ASA exige que você configure o monitoramento do SLA, o que mantém o tráfego interessante em execução pelos túneis IPSec. Para obter mais informações, consulte a seção "Configuração do SLA de IP" no modelo de configuração baseado em política do Cisco ASA.
O túnel IPSec só está parcialmente ATIVO
Se você tivesse uma configuração semelhante ao exemplo acima e só tivesse configurado três dos seis domínios de criptografia IPv4 possíveis no lado do CPE, o link seria listado em um estado "Parcial UP", já que todos os domínios de criptografia possíveis são sempre criados no lado do DRG.
Acordo de Serviço parcial: em geral, a Oracle recomenda que sempre haja tráfego interessante passando pelos túneis IPSec. Certos fornecedores de CPE exigem que você sempre tenha tráfego interessante pelo túnel para manter a fase 2 ativa. Fornecedores como o Cisco ASA exigem que o monitor SLA seja configurado. Da mesma forma, recursos do Palo Alto, como monitoramento de caminho, podem ser usados. Esses recursos mantêm o tráfego interessante em execução nos túneis IPSec. Numerosos cenários foram vistos com fornecedores como o Cisco ASA atuando como o "iniciador" não traz a fase 2 até que não haja tráfego interessante. Isso faz com que o acordo de serviço esteja inativo quando o túnel for ativado ou após a reinserção da associação de segurança.
Diagnóstico e Solução de Problemas da Sessão BGP para a VPN Site a Site
O status do BGP está no status DOWN
Verifique estes itens:
- Status do IPSec: Para que a sessão BGP esteja ativa, o túnel IPSec deverá estar ativo.
- Endereço BGP: verifique se ambas as extremidades do túnel estão configuradas com o endereço IP de pareamento BGP correto.
- ASN: verifique se as duas extremidades do túnel estão configuradas com o ASN local de BGP e o ASN do Oracle BGP corretos. O ASN do BGP da Oracle para a nuvem comercial é 31898, exceto a região Centro da Sérvia (Jovanovac), que é 14544. Para a Nuvem do Governo, consulte ASN de BGP da Oracle.
- MD5: verifique se a autenticação MD5 está desativada ou não está configurada no seu dispositivo CPE. A VPN Site a Site não suporta autenticação MD5.
-
Firewalls: verifique se o firewall local ou as listas de controle de acesso não estão bloqueando as seguintes portas:
- Porta TCP 179 (BGP)
- Porta UDP 500 (IKE)
- Porta do protocolo IP 50 (ESP)
Se o firewall do seu dispositivo CPE estiver bloqueando a porta TCP 179 (BGP), o estado dos vizinhos BGP será sempre inativo. O tráfego não consegue fluir pelo túnel porque o dispositivo CPE e o roteador Oracle não têm rotas.
O status do BGP está oscilando
Verifique estes itens:
- Status do IPSec: para que a sessão BGP permaneça ativa, o túnel IPSec deverá estar ativo sem oscilar.
- Máximo de prefixos: verifique se você está propagando no máximo 2000 prefixos. Se você estiver propagado mais que isso, o BGP não será estabelecido.
O status do BGP está no status UP, mas não há tráfego fluindo
Verifique estes itens:
- Listas de segurança da VCN: Certifique-se de ter configurado as listas de segurança da VCN de modo a permitir o tráfego desejado (regras de entrada e saída). Observe que a lista de segurança padrão da VCN não permite o tráfego de ping (ICMP tipo 8 e ICMP tipo 0). Você deve adicionar as regras de entrada e saída apropriadas para permitir o tráfego de ping.
- Corrija as rotas nas duas extremidades: verifique se recebeu as rotas VCN corretas do sistema Oracle e se o dispositivo CPE está usando essas rotas. Da mesma forma, verifique se você está propagando as rotas de rede on-premises corretas na VPN Site a Site e se as tabelas de roteamento da VCN usam essas rotas.
O status do BGP está no status UP, mas o tráfego está passando apenas em uma direção
Verifique estes itens:
- Listas de segurança da VCN: certifique-se de que as suas listas de segurança da VCN permitam tráfego nas duas direções (entrada e saída).
- Firewalls: verifique se o firewall local ou as listas de controle de acesso não estão bloqueando o tráfego de entrada ou de saída na extremidade Oracle.
- Roteamento assimétrico: o sistema Oracle usa roteamento assimétrico. Se você tiver várias conexões IPSec, certifique-se de que o seu dispositivo CPE esteja configurado para o processamento de rotas assimétricas.
- Conexões redundantes: Se você tiver conexões IPSec redundantes, certifique-se de que elas estejam propagando as mesmas rotas.
Diagnosticando e Solucionando Problemas de conexões IPSec Redundantes
Lembre-se destas notas importantes:
- O FastConnect usa roteamento dinâmico BGP. As conexões IPSec VPN Site a Site podem usar roteamento estático ou BGP ou uma combinação dos dois.
- Para obter detalhes importantes sobre roteamento e rotas preferenciais ao usar conexões redundantes, consulte Roteamento da VPN Site a Site.
- Você pode usar duas conexões IPSec para redundância. Se ambas as conexões IPSec tiverem somente uma rota padrão (0.0.0.0/0) configurada, o tráfego será roteado para uma dessas conexões, pois o Oracle usa roteamento assimétrico. Se você quiser uma conexão IPSec como principal e outra como backup, configure rotas mais específicas para a conexão principal e rotas menos específicas (ou a rota padrão 0.0.0.0/0) na conexão backup.
O IPSec e o FastConnect estão configurados, mas o tráfego só está passando pelo IPSec
Certifique-se de usar rotas mais específicas para a conexão que você deseja como principal. Se você estiver usando as mesmas rotas para IPSec e FastConnect, consulte a discussão sobre as preferências de roteamento em Roteamento da VPN Site a Site.
Há dois data centers locais, e cada um têm uma conexão IPSec com o sistema Oracle. No entanto, somente um está permitindo a passagem do tráfego
Verifique se ambas as conexões IPSec estão ativas e certifique-se de que o processamento de rotas assimétricas está ativado no CPE.
Se ambas as conexões IPSec tiverem somente uma rota padrão (0.0.0.0/0) configurada, o tráfego será roteado para uma dessas conexões, pois o Oracle usa roteamento assimétrico. Se você quiser uma conexão IPSec como principal e outra como backup, configure rotas mais específicas para a conexão principal e rotas menos específicas (ou a rota padrão 0.0.0.0/0) na conexão backup.
Para obter mais informações sobre esse tipo de configuração, consulte Exemplo de Layout com Várias Áreas Geográficas.