疑難排解

本疑難排解指南可以協助您監控及解決 Cloud VPN 的常見問題。

如要中斷狀態訊息與 IKE 加密參考資料,請參閱參考資料一節。

如要查看記錄和監控資訊,請參閱「查看記錄和指標」。

如要查看本頁使用的專有名詞定義,請參閱 Cloud VPN 重要術語

錯誤訊息

如要查看錯誤訊息,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「VPN」VPN頁面。

    前往 VPN

  2. 如果您看到狀態圖示,請將滑鼠游標懸停在圖示上方,查看錯誤訊息

在大多數情況下,錯誤訊息都可以協助您找出問題。如果找不出問題,請到您的記錄中尋找詳細資訊。您可以在 Google Cloud 控制台的「通道詳細資料」頁面中查看詳細的狀態資訊。

VPN 記錄

Cloud VPN 記錄儲存在 Cloud Logging 中。記錄功能會自動執行,因此您不需要啟用它。

如要瞭解如何查看連線另一端對等閘道的記錄,請參閱產品說明文件。

通常,閘道都會正確設定,但主機與閘道之間的對等網路有問題,或是對等閘道與 Cloud VPN 閘道之間的網路有問題。

如要查看記錄,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往「Logs Explorer」

  2. 請到記錄中查閱下列資訊:

    1. 確認 Cloud VPN 閘道上設定的遠端對等 IP 位址是否正確。
    2. 確認從內部部署主機流出的流量能夠到達對等閘道。
    3. 確認在兩個 VPN 閘道之間流動的流量是雙向的。在 VPN 記錄中,查閱另一個 VPN 閘道報告的訊息。
    4. 確認通道兩邊的 IKE 版本設定相同。
    5. 確認通道兩邊的共用密鑰相同。
    6. 如果對等互連 VPN 閘道位於一對一 NAT 的背後,請確認您已正確設定 NAT 裝置,以便透過通訊埠 5004500 將 UDP 流量轉送至對等互連 VPN 閘道。
    7. 如果 VPN 記錄顯示 no-proposal-chosen 錯誤,就表示 Cloud VPN 與您的對等互連 VPN 閘道無法同意同一組加密方式。對於 IKEv1,加密方式必須完全相同。對於 IKEv2,每個閘道都必須提出至少一種通用的加密方式。請務必使用支援的加密方式設定對等互連 VPN 閘道。
    8. 請務必設定對等端和 Google Cloud 路徑及防火牆規則,讓流量能周遊通道。您可能需要向網路管理員尋求協助。

  3. 如要找出特定問題,您可以在記錄中搜尋以下字串:

    1. 在「Query builder」(查詢建立工具) 窗格中輸入下表所列的任一進階查詢,即可搜尋特定事件,然後按一下「Run Query」(執行查詢)

    2. 視需要調整「Histogram」窗格中的時間範圍,然後點選窗格中的「Run」。如要進一步瞭解如何使用 記錄檔探索工具進行查詢,請參閱「建構記錄查詢」。

      如要查看 使用此記錄搜尋
      Cloud VPN 初始化階段 1 (IKE SA) 
      resource.type="vpn_gateway"
("initiating IKE_SA" OR "generating IKE_SA_INIT request")
      Cloud VPN 無法聯繫遠端對等閘道 
      resource.type="vpn_gateway"
"establishing IKE_SA failed, peer not responding"
      IKE (階段 1) 驗證事件 
      resource.type="vpn_gateway"
("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
      IKE 驗證成功 
      resource.type="vpn_gateway"
("authentication of" AND "with pre-shared key successful")
      已建立階段 1 (IKE SA) 
      resource.type="vpn_gateway"
("IKE_SA" AND "established between")
      所有階段 2 (子項 SA) 事件,包括更換密鑰事件 
      resource.type="vpn_gateway"
"CHILD_SA"
      對等閘道要求階段 2 更換密鑰 
      resource.type="vpn_gateway"
detected rekeying of CHILD_SA
      對等閘道要求終止階段 2 (子項 SA) 
      resource.type="vpn_gateway"
received DELETE for ESP CHILD_SA
      Cloud VPN 要求終止階段 2 (子項 SA) 
      resource.type="vpn_gateway"
sending DELETE for ESP CHILD_SA
      Cloud VPN 關閉階段 2 (子項 SA),可能是為了回應對等閘道的要求 
      resource.type="vpn_gateway" closing CHILD_SA
      Cloud VPN 自行關閉了階段 2 
      resource.type="vpn_gateway" CHILD_SA closed
      如果遠端流量選取器不相符 
      resource.type="vpn_gateway"
Remote traffic selectors narrowed
      如果本機流量選取器不相符 
      resource.type="vpn_gateway"
Local traffic selectors narrowed

連線能力

使用 ping 驗證內部部署系統與 Google Cloud 虛擬機器 (VM) 執行個體之間的連線時,請考慮下列建議:

  • 確認 Google Cloud 網路中的防火牆規則允許傳入 ICMP 流量。除非您修改設定,否則默示允許輸出規則允許網路外送 ICMP 流量。同樣的,請確認您的內部部署防火牆規則也允許傳入與外送 ICMP 流量。

  • 使用內部 IP 位址對 Google Cloud VM 和內部部署系統進行連線偵測 (ping)。對 VPN 閘道的外部 IP 位址進行連線偵測 (ping) 並不會測試「通過」通道的連線。

  • 測試從內部部署到 Google Cloud的連線時,最好從網路上的系統啟動連線偵測 (ping),而不要從您的 VPN 閘道啟動。如果您設定適當的來源介面,便可從閘道進行連線偵測 (ping),但從網路上的執行個體進行連線偵測 (ping) 則會增加測試防火牆設定的優勢。

  • Ping 測試不會確認 TCP 或 UDP 通訊埠是否已開啟。確認系統具有基本連線能力後,您可以使用 ping 執行其他測試。

計算網路總處理量

您可以計算網路傳輸量,包括 Google Cloud 內部和地端部署或第三方雲端位置。這項資源包含如何分析結果的資訊、可能影響網路效能的變數說明,以及疑難排解訣竅。

常見問題及解決方案

通道會定期故障幾秒鐘的時間

根據預設,Cloud VPN 會在現有安全關聯 (SA) 到期之前交涉替換 SA (又稱為「密鑰更換」)。您的對等 VPN 閘道可能沒有更換密鑰,而是只在刪除現有 SA 之後交涉新 SA,導致發生中斷情形。

如要檢查對等閘道是否更換密鑰,請查看 Cloud VPN 記錄。如果連線中斷,然後在 Received SA_DELETE 記錄訊息之後重新建立連線,即表示您的內部部署閘道沒有更換密鑰。

如要確認通道設定,請參閱「支援的 IKE 加密方式」文件。特別是,請確認階段 2 生命週期正確,而且 Diffie-Hellman (DH) 群組設定為其中一個建議的值。

如要搜尋 Cloud VPN 通道中的事件,您可以使用記錄 進階記錄篩選器。例如,以下進階篩選器會搜尋 DH 群組不相符的情形:

resource.type="vpn_gateway"
"Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"

NAT 背後的內部部署閘道

Cloud VPN 可與 NAT 背後的內部部署或對等互連 VPN 閘道搭配使用,這是因為有了 UDP 封裝與 NAT-T 才得以實現的。僅支援一對一的 NAT。

某些 VM 的連線正常,但某些 VM 的連線不正常

如果 pingtraceroute 或其他傳送流量的方法只從部分 VM 傳送至內部部署系統,或只從部分內部部署系統傳送至部分Google Cloud VM,且您已確認 Google Cloud 和內部部署防火牆規則都不會封鎖您傳送的流量,那麼您可能有排除特定來源或目的地的流量選取器。

流量選取器定義了 VPN 通道的 IP 位址範圍。除了路徑以外,大多數 VPN 實作都只會透過通道傳送封包,前提是下列兩個條件都成立:

  • 來源適合放進在本機流量選取器指定的 IP 範圍。
  • 目的地適合放進在遠端流量選取器指定的 IP 範圍。

您可在建立傳統版 VPN 通道時使用依據政策的轉送或路徑型 VPN 指定流量選取器。您也可以在建立對應的對等通道時指定流量選取器。

某些廠商使用例如「本機 Proxy」、「本機加密網域」或「左側網路」等術語做為「本機流量選取器」的同義詞。同樣的,「遠端 Proxy」、「遠端加密網域」或「右側網路」則是「遠端流量選取器」的同義詞。

如要變更傳統版 VPN 通道的流量選取器,您必須刪除重新建立通道。由於流量選取器是建立通道時不可或缺的一部分,而且無法日後編輯通道,因此需要先執行這些步驟。

定義流量選取器時,請遵守下列規定。

  • Cloud VPN 通道的本機流量選取器應包含虛擬私有雲網路 (VPC) 網路中的所有子網路,您與對等互連網路共用時需要這些子網路。
  • 對等網路的本機流量選取器應包含您與虛擬私有雲網路共用時所需要的所有內部部署子網路。
  • 對於特定 VPN 通道而言,流量選取器具有下列關係:
    • Cloud VPN 本機流量選取器應與對等 VPN 閘道上通道的遠端流量選取器相符。
    • Cloud VPN 遠端流量選取器應與對等 VPN 閘道上通道的本機流量選取器相符。

不同區域中的 VM 之間的網路延遲問題

如要判斷是否有任何延遲或封包遺失問題,請監控整個 Google Cloud 網路的效能。在Google Cloud 效能檢視畫面中,效能資訊主頁會顯示所有 Google Cloud的封包遺失和延遲指標。這些指標可協助您瞭解專案成效檢視畫面中顯示的問題是否只發生在您的專案中。詳情請參閱「使用成效資訊主頁」。

無法將高可用性 VPN 閘道連結至傳統 VPN 閘道

您無法將高可用性 VPN 閘道連結至傳統 VPN 閘道。如果您嘗試建立此連線,Google Cloud 會傳回以下錯誤訊息:

  You cannot provide an interface with an IP address owned by Google Cloud.
  You can only create tunnels from an HA gateway to an HA gateway
  or create tunnels from an HA gateway to an ExternalVpnGateway.

如要避免發生這項錯誤,請建立 VPN 通道,將高可用性 VPN 閘道連結至下列任一項目:

  • 另一個高可用性 VPN 閘道
  • 未在 Google Cloud中代管的外部 VPN 閘道
  • Compute Engine 虛擬機器 (VM) 執行個體

無法透過高可用性 VPN 連線至外部目的地

使用高可用性 VPN 閘道時, Google Cloud 資源會透過 VPN 通道,只連線至對等互連路由器宣傳的目的地。

如果無法連線至遠端目的地,請確認對等路由器是否宣傳目的地的 IP 範圍。

IPv6 流量未經過轉送

如果無法順利連線至 IPv6 主機,請按照下列步驟操作:

  1. 確認是否正確宣傳 IPv4 路徑。如果未通告 IPv4 路徑,請參閱「排解 BGP 路徑和路徑選取問題」。
  2. 檢查防火牆規則,確認您允許 IPv6 流量。
  3. 請確認虛擬私有雲網路和內部部署網路中的 IPv6 子網路範圍沒有重疊。請參閱「檢查重疊的子網路範圍」。
  4. 判斷 Cloud Router 中已知路徑是否已超過任何配額和限制。如果已超過已知路徑的配額,系統會先捨棄 IPv6 前置字串,再捨棄 IPv4 前置字串。請參閱「查看配額和限制」一文。
  5. 確認所有需要 IPv6 設定的元件都已正確設定。
    • 虛擬私有雲網路已啟用內部 IPv6 位址,並使用 --enable-ula-internal-ipv6 標記。
    • 虛擬私有雲子網路已設定為使用 IPV4_IPV6 堆疊類型。
    • 虛擬私有雲子網路的--ipv6-access-type 已設為 INTERNAL
    • 子網路中的 Compute Engine VM 已設定 IPv6 位址。
    • 高可用性 VPN 閘道已設定為使用 IPV4_IPV6 堆疊類型。
    • BGP 對等端已啟用 IPv6,且已為 BGP 工作階段設定正確的 IPv6 後續躍點位址。

疑難排解參考資料

本節包含狀態圖示、狀態訊息和支援的 IKE 加密方式相關資訊。

狀態圖示

Cloud VPN 在 Google Cloud 主控台中使用下列狀態圖示。

圖示圖形 顏色 說明 適用訊息
綠色成功圖示
 綠色 成功 已建立
黃色警告圖示
 黃色 警告 正在配置資源、初次交握、正在等待完整設定、佈建中
紅色錯誤圖示
 紅色 錯誤 其餘所有訊息

狀態訊息

Cloud VPN 會使用下列狀態訊息,指示 VPN 閘道和通道狀態。VPN 通道會依據指示的狀態計費

訊息 說明 通道在此狀態下是否計費?
正在配置資源 正在配置用來設定通道的資源。
佈建中 正在等待接收設定通道的所有設定。
正在等待完整設定 已接收完整設定,但通道尚未建立完成。
初次交握 建立通道。
已建立 安全的通訊工作階段已成功建立。
網路錯誤
(已取代為「沒有任何連入封包」)		 IPsec 授權無效。
授權錯誤 交握失敗。
交涉失敗 通道設定遭拒,可能是因為被加入拒絕清單。
正在取消佈建 通道正在關閉。
沒有任何連入封包 閘道無法接收來自內部部署 VPN 的任何封包。
已拒絕 通道設定遭拒,請與支援團隊聯絡
已停止 通道已停止,未啟用;可能是因為刪除了 VPN 通道的一或多個必要轉送規則。

IKE 加密參考資料

Cloud VPN 支援對等 VPN 裝置或 VPN 服務的加密方式和設定參數。只要對等端使用支援的 IKE 密碼設定,Cloud VPN 就會自動協商連線。

如需完整的 IKE 加密參考資料,請參閱「支援的 IKE 加密方式」。

後續步驟

  • 如要瞭解 Cloud VPN 的基本概念,請參閱 Cloud VPN 總覽
  • 如要瞭解高可用性、高總處理量情境或多個子網路情境的相關資訊,請參閱「進階設定」。