Documentação do Oracle Cloud Infrastructure

Diagnóstico e Solução de Problemas da VPN Site a Site

Criar uma solicitação de serviço Perguntar à comunidade

Este tópico abrange os problemas mais comuns de serem diagnosticados e solucionados da VPN Site a Site. Algumas sugestões presumem que você é engenheiro de rede com acesso à configuração do seu dispositivo CPE.

Mensagens de Log

A exibição de mensagens de log geradas para vários aspectos operacionais da VPN Site a Site pode ser uma ajuda valiosa na solução de muitos problemas apresentados durante a operação. A ativação e o acesso às mensagens de log da VPN Site a Site podem ser feitos por meio da VPN Site a Site ou do serviço Logging.

Consulte a tabela abaixo para obter uma melhor interpretação das mensagens de log da VPN IPsec, que lista os diferentes cenários de redução de túnel e os possíveis logs vistos na console do OCI.

Interpretando Logs da Console
Motivo da desativação do túnel Logs preenchidos na seção de log do OCI
Versão de IKE sem Correspondência

STATE_V2_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message

dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni

received and ignored notification payload: NO_PROPOSAL_CHOSEN_date_time ep_85 pluto[68971]: "xxxxxxx" #xxx: set ikev1 error <14>
Sub-redes não correspondentes

No IKEv2 connection found with compatible Traffic Selectors

responding to CREATE_CHILD_SA message (ID 30) from CPE_PUBLIC_IP:4500 with encrypted notification TS_UNACCEPTABLE

cannot respond to IPsec SA request because no connection is known for MISMATCHED_SOURCE_SUBNET===VPN_PUBLIC_IP[+S?C]...VPN_PUBLIC_IP[+S?C]===MISMATCHED_DESTINATION_SUBNET
Chave pré-compartilhada incompatível

STATE_MAIN_I3: 60 second timeout exceeded after 7 retransmits. Possible authentication failure: no acceptable response to our first encrypted messag

IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

authentication failed: computed hash does not match hash received from peer ID_IPV4_ADDR 'VPN_PUBLIC_IP'

responding to IKE_AUTH message (ID 1) from VPN_PUBLIC_IP:4500 with encrypted notification AUTHENTICATION_FAILED
Proposta incompatível

OAKLEY proposal refused: missing encryption

Oakley Transform [AES_CBC (128), HMAC_SHA2_256, DH19] refused

no acceptable Oakley Transform

sending notification NO_PROPOSAL_CHOSEN to VPN_PUBLIC_IP:500

failed to add connection: ESP DH algorithm 'modp1024' is not supported

received unauthenticated v2N_NO_PROPOSAL_CHOSEN - ignored
PFS Incompatível

ignoring informational payload NO_PROPOSAL_CHOSEN, msgid=xxxxxx, length=12

received and ignored notification payload: NO_PROPOSAL_CHOSEN

dropping unexpected ISAKMP_v2_CREATE_CHILD_SA message containing v2N_INVALID_SYNTAX notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr

"xxxxxxxx"[1] VPN_PUBLIC_IP #580: encountered fatal error in state STATE_V2_REKEY_CHILD_I
ID do IKE incompatível

Peer ID 'MISMATCHED_IKE_ID_IP_ADDRESS' mismatched on first found connection and no better connection found

sending encrypted notification INVALID_ID_INFORMATION to VPN_PUBLIC_IP:4500

Mudança de Túnel

Tráfego interessante sempre: em geral, a Oracle recomenda que sempre haja tráfego interessante passando pelos túneis IPSec, caso o seu CPE permita isso. O Cisco ASA exige que você configure o monitoramento do SLA, o que mantém o tráfego interessante em execução pelos túneis IPSec. Para obter mais informações, consulte a seção "Configuração do SLA de IP" no modelo de configuração baseado em política do Cisco ASA.

Várias Conexões IPSEC: Você pode usar duas conexões IPSec para obter redundância. Se ambas as conexões IPSec tiverem somente uma rota padrão (0.0.0.0/0) configurada, o tráfego será roteado para uma dessas conexões, pois o Oracle usa roteamento assimétrico. Se você quiser uma conexão IPSec como principal e outra como backup, configure rotas mais específicas para a conexão principal e rotas menos específicas (ou a rota padrão 0.0.0.0/0) na conexão backup.

Identificador IKE local: Algumas plataformas de CPE não permitem que você altere o identificador IKE local. Se não puder alterar, altere o ID de IKE remoto na Console do sistema Oracle de modo a corresponder ao seu ID de IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.

Unidade de Transmissão Máxima (MTU): O tamanho padrão da MTU da internet é de 1.500 bytes. Para obter mais informações sobre como determinar a MTU, consulte Visão Geral da MTU.

Configuração do CPE

Identificador IKE local: Algumas plataformas de CPE não permitem que você altere o identificador IKE local. Se não puder alterar, altere o ID de IKE remoto na Console do sistema Oracle de modo a corresponder ao seu ID de IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.

Cisco ASA: Baseado em Política: A Oracle recomenda o uso de uma configuração baseada em rota para evitar problemas de interoperabilidade e para obter redundância de túnel com um único dispositivo Cisco ASA.

O Cisco ASA não suporta a configuração baseada em rota para versões de software anteriores à 9.7.1. Para obter melhores resultados, se o seu dispositivo permitir, a Oracle recomenda que você faça upgrade para uma versão de software que suporte a configuração baseada em rota.

Com a configuração baseada em política, você só pode configurar um único túnel entre o Cisco ASA e o seu DRG (Dynamic Routing Gateway).

Diversos Túneis Se você tiver diversos túneis ativados simultaneamente, certifique-se de que o CPE esteja configurado para tratar o tráfego proveniente da VCN em qualquer um dos túneis. Por exemplo, você precisa desativar a inspeção ICMP, configurar o bypass de estado TCP e assim por diante. Para obter mais detalhes sobre a configuração apropriada, entre em contato com o suporte do fornecedor do CPE.

Problemas de Domínio de Criptografia

Os head-ends da Oracle VPN usam túneis baseados em rota, mas podem funcionar com túneis baseados em política, com algumas limitações. Consulte Domínios de criptografia para túneis baseados em política para obter detalhes completos.

Regras de lista de segurança com monitoramento de estado: Se você estiver usando regras de lista de segurança com monitoramento de estado (para tráfego TCP, UDP ou ICMP), não precisará garantir que sua lista de segurança tenha uma regra explícita para permitir mensagens ICMP tipo 3 código 4 porque o serviço Networking rastreia as conexões e permite automaticamente essas mensagens. As regras sem monitoramento de estado exigem uma regra de lista de segurança de entrada explícita para mensagens ICMP tipo 3 código 4. Confirme se os firewalls da instância foram configurados corretamente.

Problemas Gerais da VPN Site a Site

O túnel IPSec está no status DOWN

Verifique estes itens:

  • Configuração básica: o túnel IPSec consiste nos parâmetros da fase 1 e da fase 2. Verifique se ambos estão configurados corretamente. Você pode configurar os parâmetros de fase 1 e fase 2 do CPE no final do OCI usando configurações personalizadas. Para usar configurações personalizadas no túnel, vá para opções avançadas e ative definir configurações personalizadas. Isso permite definir manualmente os parâmetros das fases 1 e 2 na extremidade do OCI.

    A Oracle também recomendou determinados parâmetros para as fases 1 e 2. Consulte os parâmetros para configuração da fase 1 (ISAKMP) e fase 2 (IPSec) e use esses parâmetros se a etapa acima não abrir o túnel. Para obter mais informações sobre como configurar o dispositivo CPE, consulte a configuração apropriada para o seu dispositivo CPE:

  • IDs de proxies locais e remotos: se você estiver usando uma configuração baseada em política, verifique se o seu CPE está configurado com mais de um par de IDs de proxies locais e remotos (sub-redes). O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o seu CPE tiver mais de um par, atualize a configuração para incluir somente um par e escolha uma destas duas opções:
    Opção ID do Proxy Local ID do Proxy Remoto
    1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0)
    2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN

    As conexões criadas após outubro de 2020 em muitas regiões são criadas usando a VPN Site a Site v2, que tem suporte para vários domínios de criptografia.

  • Dispositivo NAT: se o CPE estiver protegido por um dispositivo NAT, o identificador IKE configurado no seu CPE talvez não corresponda ao identificador IKE do CPE que o sistema Oracle está usando (o endereço IP público do seu CPE). Se o seu CPE não suportar a definição do identificador IKE do CPE na sua extremidade, você poderá fornecer ao sistema Oracle o identificador IKE do seu CPE na Console do Oracle Cloud Infrastructure. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.

O túnel IPSec está no status UP, mas não há tráfego passando por ele

Verifique estes itens:

  • Configuração da Fase 2 (IPSec): confirme se os parâmetros da fase 2 (IPSec) estão configurados corretamente no seu dispositivo CPE. Consulte a configuração apropriada para o seu dispositivo CPE:

    Lista de configurações
  • Listas de segurança da VCN: Certifique-se de ter configurado as listas de segurança da VCN de modo a permitir o tráfego desejado (regras de entrada e saída). Observe que a lista de segurança padrão da VCN não permite o tráfego de ping (ICMP tipo 8 e ICMP tipo 0). Você deve adicionar as regras de entrada e saída apropriadas para permitir o tráfego de ping.
  • Regras de firewall: certifique-se de que as suas regras de firewall permitam tráfego de entrada e saída com os IPs de headend da Oracle VPN e o bloco CIDR da VCN.
  • Roteamento assimétrico: A Oracle usa o roteamento assimétrico entre os diversos túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego da sua VCN para a sua rede local poderá usar qualquer túnel que esteja "ativo" no seu dispositivo. Configure os seus firewalls de forma adequada. Caso contrário, o ping de testes ou do tráfego de aplicativos na conexão não funcionará de maneira confiável.
  • Cisco ASA: Não use a opção originate-only com um túnel IPSec da VPN Site a Site da Oracle. Essa opção faz com que o tráfego do túnel seja bloqueado forma inconsistente. O comando destina-se apenas a túneis entre os dois dispositivos Cisco. Este é um exemplo do comando que você NÃO deve usar para os túneis IPSec: crypto map <map name> <sequence number> set connection-type originate-only

O túnel IPSec está no status UP, mas o tráfego está passando apenas em uma direção

Verifique estes itens:

  • Roteamento assimétrico: A Oracle usa o roteamento assimétrico entre os diversos túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego da sua VCN para a sua rede local poderá usar qualquer túnel que esteja "ativo" no seu dispositivo. Configure os seus firewalls de forma adequada. Caso contrário, o ping de testes ou do tráfego de aplicativos na conexão não funcionará de maneira confiável.
  • Túnel único preferencial: Se você quiser usar apenas um dos túneis, certifique-se de ter a política ou o roteamento adequado implementado no CPE para dar preferência a esse túnel.
  • Várias conexões IPSec: se você tiver várias conexões IPSec com o sistema Oracle, certifique-se de determinar rotas estáticas mais específicas para a conexão IPSec preferencial.
  • Listas de segurança da VCN: certifique-se de que as suas listas de segurança da VCN permitam tráfego nas duas direções (entrada e saída).
  • Regras de firewall: certifique-se de que as suas regras de firewall permitam o tráfego em ambas as direções com os IPs de headend da Oracle VPN e com o bloco CIDR da VCN.

Diagnosticando e Solucionando Problemas da VPN Site a Site com uma Configuração Baseada em Política

O túnel IPSec está no status DOWN

Verifique estes itens:

  • Configuração básica: o túnel IPSec consiste na configuração da fase 1 (ISAKMP) e da fase 2 (IPSec). Confirme se ambos estão configurados corretamente no seu dispositivo CPE. Consulte a configuração apropriada para o seu dispositivo CPE:

    Lista de configurações
  • IDs de proxies locais e remotos: se você estiver usando uma configuração baseada em política, verifique se o seu CPE está configurado com mais de um par de IDs de proxies locais e remotos (sub-redes). O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o seu CPE tiver mais de um par, atualize a configuração para incluir somente um par e escolha uma destas duas opções:
    Opção ID do Proxy Local ID do Proxy Remoto
    1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0)
    2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN

    As conexões criadas após outubro de 2020 em muitas regiões são criadas usando a VPN Site a Site v2, que tem suporte para vários domínios de criptografia.

  • Dispositivo NAT: se o CPE estiver protegido por um dispositivo NAT, o identificador IKE configurado no seu CPE talvez não corresponda ao identificador IKE do CPE que o sistema Oracle está usando (o endereço IP público do seu CPE). Se o seu CPE não suportar a definição do identificador IKE do CPE na sua extremidade, você poderá fornecer ao sistema Oracle o identificador IKE do seu CPE na Console do Oracle Cloud Infrastructure. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.
  • Cisco ASA: Não use a opção originate-only com um túnel IPSec da VPN Site a Site da Oracle. Essa opção faz com que o tráfego do túnel seja bloqueado forma inconsistente. O comando destina-se apenas a túneis entre os dois dispositivos Cisco. Este é um exemplo do comando que você NÃO deve usar para os túneis IPSec: crypto map <map name> <sequence number> set connection-type originate-only

O túnel IPSec está no status UP, mas continua a oscilando

Verifique estes itens:

  • Iniciação da conexão: certifique-se de que o seu dispositivo CPE esteja iniciando a conexão.
  • IDs de proxies locais e remotos: se você estiver usando uma configuração baseada em política, verifique se o seu CPE está configurado com mais de um par de IDs de proxies locais e remotos (sub-redes). O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o seu CPE tiver mais de um par, atualize a configuração para incluir somente um par e escolha uma destas duas opções:
    Opção ID do Proxy Local ID do Proxy Remoto
    1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0)
    2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN

    As conexões criadas após outubro de 2020 em muitas regiões são criadas usando a VPN Site a Site v2, que tem suporte para vários domínios de criptografia.

  • Tráfego interessante sempre: em geral, a Oracle recomenda que sempre haja tráfego interessante passando pelos túneis IPSec, caso o seu CPE permita isso. O Cisco ASA exige que você configure o monitoramento do SLA, o que mantém o tráfego interessante em execução pelos túneis IPSec. Para obter mais informações, consulte a seção "Configuração do SLA de IP" no modelo de configuração baseado em política do Cisco ASA.

O túnel IPSec está no status UP, mas o tráfego está instável

Verifique estes itens:

  • IDs de proxies locais e remotos: se você estiver usando uma configuração baseada em política, verifique se o seu CPE está configurado com mais de um par de IDs de proxies locais e remotos (sub-redes). O roteador de VPN da Oracle suporta apenas um par em conexões mais antigas. Se o seu CPE tiver mais de um par, atualize a configuração para incluir somente um par e escolha uma destas duas opções:
    Opção ID do Proxy Local ID do Proxy Remoto
    1 QUALQUER UM (ou 0.0.0.0/0) QUALQUER UM (ou 0.0.0.0/0)
    2 CIDR local (um agregado que abrange todas as sub-redes em questão) CIDR da VCN

    As conexões criadas após outubro de 2020 em muitas regiões são criadas usando a VPN Site a Site v2, que tem suporte para vários domínios de criptografia.

  • Tráfego interessante sempre: em geral, a Oracle recomenda que sempre haja tráfego interessante passando pelos túneis IPSec, caso o seu CPE permita isso. O Cisco ASA exige que você configure o monitoramento do SLA, o que mantém o tráfego interessante em execução pelos túneis IPSec. Para obter mais informações, consulte a seção "Configuração do SLA de IP" no modelo de configuração baseado em política do Cisco ASA.

O túnel IPSec só está parcialmente ATIVO

Diagrama mostrando vários domínios de criptografia e como determinar o número deles.

Se você tivesse uma configuração semelhante ao exemplo acima e só tivesse configurado três dos seis domínios de criptografia IPv4 possíveis no lado do CPE, o link seria listado em um estado "Parcial UP", já que todos os domínios de criptografia possíveis são sempre criados no lado do DRG.

Acordo de Serviço parcial: em geral, a Oracle recomenda que sempre haja tráfego interessante passando pelos túneis IPSec. Certos fornecedores de CPE exigem que você sempre tenha tráfego interessante pelo túnel para manter a fase 2 ativa. Fornecedores como o Cisco ASA exigem que o monitor SLA seja configurado. Da mesma forma, recursos do Palo Alto, como monitoramento de caminho, podem ser usados. Esses recursos mantêm o tráfego interessante em execução nos túneis IPSec. Numerosos cenários foram vistos com fornecedores como o Cisco ASA atuando como o "iniciador" não traz a fase 2 até que não haja tráfego interessante. Isso faz com que o acordo de serviço esteja inativo quando o túnel for ativado ou após a reinserção da associação de segurança.

Diagnóstico e Solução de Problemas da Sessão BGP para a VPN Site a Site

O status do BGP está no status DOWN

Verifique estes itens:

  • Status do IPSec: Para que a sessão BGP esteja ativa, o túnel IPSec deverá estar ativo.
  • Endereço BGP: verifique se ambas as extremidades do túnel estão configuradas com o endereço IP de pareamento BGP correto.
  • ASN: verifique se as duas extremidades do túnel estão configuradas com o ASN local de BGP e o ASN do Oracle BGP corretos. O ASN do BGP da Oracle para a nuvem comercial é 31898, exceto a região Centro da Sérvia (Jovanovac), que é 14544. Para a Nuvem do Governo, consulte ASN de BGP da Oracle.
  • MD5: verifique se a autenticação MD5 está desativada ou não está configurada no seu dispositivo CPE. A VPN Site a Site não suporta autenticação MD5.

  • Firewalls: verifique se o firewall local ou as listas de controle de acesso não estão bloqueando as seguintes portas:

    • Porta TCP 179 (BGP)
    • Porta UDP 500 (IKE)
    • Porta do protocolo IP 50 (ESP)

    Se o firewall do seu dispositivo CPE estiver bloqueando a porta TCP 179 (BGP), o estado dos vizinhos BGP será sempre inativo. O tráfego não consegue fluir pelo túnel porque o dispositivo CPE e o roteador Oracle não têm rotas.

O status do BGP está oscilando

Verifique estes itens:

  • Status do IPSec: para que a sessão BGP permaneça ativa, o túnel IPSec deverá estar ativo sem oscilar.
  • Máximo de prefixos: verifique se você está propagando no máximo 2000 prefixos. Se você estiver propagado mais que isso, o BGP não será estabelecido.

O status do BGP está no status UP, mas não há tráfego fluindo

Verifique estes itens:

  • Listas de segurança da VCN: Certifique-se de ter configurado as listas de segurança da VCN de modo a permitir o tráfego desejado (regras de entrada e saída). Observe que a lista de segurança padrão da VCN não permite o tráfego de ping (ICMP tipo 8 e ICMP tipo 0). Você deve adicionar as regras de entrada e saída apropriadas para permitir o tráfego de ping.
  • Corrija as rotas nas duas extremidades: verifique se recebeu as rotas VCN corretas do sistema Oracle e se o dispositivo CPE está usando essas rotas. Da mesma forma, verifique se você está propagando as rotas de rede on-premises corretas na VPN Site a Site e se as tabelas de roteamento da VCN usam essas rotas.

O status do BGP está no status UP, mas o tráfego está passando apenas em uma direção

Verifique estes itens:

  • Listas de segurança da VCN: certifique-se de que as suas listas de segurança da VCN permitam tráfego nas duas direções (entrada e saída).
  • Firewalls: verifique se o firewall local ou as listas de controle de acesso não estão bloqueando o tráfego de entrada ou de saída na extremidade Oracle.
  • Roteamento assimétrico: o sistema Oracle usa roteamento assimétrico. Se você tiver várias conexões IPSec, certifique-se de que o seu dispositivo CPE esteja configurado para o processamento de rotas assimétricas.
  • Conexões redundantes: Se você tiver conexões IPSec redundantes, certifique-se de que elas estejam propagando as mesmas rotas.

Diagnosticando e Solucionando Problemas de conexões IPSec Redundantes

Lembre-se destas notas importantes:

  • O FastConnect usa roteamento dinâmico BGP. As conexões IPSec VPN Site a Site podem usar roteamento estático ou BGP ou uma combinação dos dois.
  • Para obter detalhes importantes sobre roteamento e rotas preferenciais ao usar conexões redundantes, consulte Roteamento da VPN Site a Site.
  • Você pode usar duas conexões IPSec para redundância. Se ambas as conexões IPSec tiverem somente uma rota padrão (0.0.0.0/0) configurada, o tráfego será roteado para uma dessas conexões, pois o Oracle usa roteamento assimétrico. Se você quiser uma conexão IPSec como principal e outra como backup, configure rotas mais específicas para a conexão principal e rotas menos específicas (ou a rota padrão 0.0.0.0/0) na conexão backup.

O IPSec e o FastConnect estão configurados, mas o tráfego só está passando pelo IPSec

Certifique-se de usar rotas mais específicas para a conexão que você deseja como principal. Se você estiver usando as mesmas rotas para IPSec e FastConnect, consulte a discussão sobre as preferências de roteamento em Roteamento da VPN Site a Site.

Há dois data centers locais, e cada um têm uma conexão IPSec com o sistema Oracle. No entanto, somente um está permitindo a passagem do tráfego

Verifique se ambas as conexões IPSec estão ativas e certifique-se de que o processamento de rotas assimétricas está ativado no CPE.

Se ambas as conexões IPSec tiverem somente uma rota padrão (0.0.0.0/0) configurada, o tráfego será roteado para uma dessas conexões, pois o Oracle usa roteamento assimétrico. Se você quiser uma conexão IPSec como principal e outra como backup, configure rotas mais específicas para a conexão principal e rotas menos específicas (ou a rota padrão 0.0.0.0/0) na conexão backup.

Para obter mais informações sobre esse tipo de configuração, consulte Exemplo de Layout com Várias Áreas Geográficas.