Oracle Cloud Infrastructureドキュメント

サイト間VPNのトラブルシューティング

My Oracle Supportでサービス・リクエストを作成します

このトピックでは、サイト間VPNの最も一般的なトラブルシューティングの問題について説明します。一部の提案では、CPEデバイスの構成にアクセスできるネットワーク・エンジニアを対象読者として想定しています。

ログ・メッセージ

サイト間VPNの様々な運用状況に対して生成されたログ・メッセージを表示することは、操作中に発生する多くの問題のトラブルシューティングにおいて有益です。サイト間VPNログ・メッセージの有効化およびアクセスは、サイト間VPNまたはロギング・サービスを介して実行できます。

  • ロギング・サービス全般の概要は、ロギングの概要を参照してください
  • ロギング・サービスを介したサイト間VPNログ・メッセージの有効化およびアクセスの詳細は、サービス・ログを参照してください
  • ネットワーキング・サービスを介したサイト間VPNログ・メッセージの有効化およびアクセスの詳細は、サイト間VPNログ・メッセージの表示を参照してください

  • サイト間VPNログ・メッセージ・スキーマの詳細は、サイト間VPNの詳細を参照してください

IPsec VPNログ・メッセージのより適切な解釈については、次の表を参照してください。このログ・メッセージには、様々なトンネルダウン・シナリオと、OCIコンソールに表示される可能性のあるログがリストされています。

コンソールログの解釈
トンネル停止理由 OCIロギング・セクションに移入されたログ
IKEバージョンが一致しません

STATE_V2_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message

dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni

received and ignored notification payload: NO_PROPOSAL_CHOSEN_date_time ep_85 pluto[68971]: "xxxxxxx" #xxx: set ikev1 error <14>
一致しないサブネット

No IKEv2 connection found with compatible Traffic Selectors

responding to CREATE_CHILD_SA message (ID 30) from CPE_PUBLIC_IP:4500 with encrypted notification TS_UNACCEPTABLE

cannot respond to IPsec SA request because no connection is known for MISMATCHED_SOURCE_SUBNET===VPN_PUBLIC_IP[+S?C]...VPN_PUBLIC_IP[+S?C]===MISMATCHED_DESTINATION_SUBNET
不一致の事前共有キー

STATE_MAIN_I3: 60 second timeout exceeded after 7 retransmits. Possible authentication failure: no acceptable response to our first encrypted messag

IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

authentication failed: computed hash does not match hash received from peer ID_IPV4_ADDR 'VPN_PUBLIC_IP'

responding to IKE_AUTH message (ID 1) from VPN_PUBLIC_IP:4500 with encrypted notification AUTHENTICATION_FAILED
提案の不一致

OAKLEY proposal refused: missing encryption

Oakley Transform [AES_CBC (128), HMAC_SHA2_256, DH19] refused

no acceptable Oakley Transform

sending notification NO_PROPOSAL_CHOSEN to VPN_PUBLIC_IP:500

failed to add connection: ESP DH algorithm 'modp1024' is not supported

received unauthenticated v2N_NO_PROPOSAL_CHOSEN - ignored
不一致のPFS

ignoring informational payload NO_PROPOSAL_CHOSEN, msgid=xxxxxx, length=12

received and ignored notification payload: NO_PROPOSAL_CHOSEN

dropping unexpected ISAKMP_v2_CREATE_CHILD_SA message containing v2N_INVALID_SYNTAX notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr

"xxxxxxxx"[1] VPN_PUBLIC_IP #580: encountered fatal error in state STATE_V2_REKEY_CHILD_I
一致しないIKE ID

Peer ID 'MISMATCHED_IKE_ID_IP_ADDRESS' mismatched on first found connection and no better connection found

sending encrypted notification INVALID_ID_INFORMATION to VPN_PUBLIC_IP:4500

トンネルのフラッピング

常にインタレスティング・トラフィック: 一般に、CPEでサポートされていれば、常にインタレスティング・トラフィックがIPSecトンネルを流れるように設定することをお薦めします。Cisco ASAでは、SLAモニタリングを構成する必要があります。これにより、対象となるトラフィックがIPSecトンネルを介して実行されたままになります。詳細は、Cisco ASAポリシーベース構成テンプレートのIP SLA構成に関する項を参照してください。

複数のIPSEC接続: 冗長性のために、2つのIPSEC接続を使用できます。両方のIPSec接続でデフォルト・ルート(0.0.0.0/0)のみが構成されている場合、Oracleでは非対称ルーティングが使用されるため、トラフィックはいずれか一方の接続にルーティングされます。一方のIPSec接続をプライマリとし、もう一方のIPSec接続をバックアップとして使用する場合は、プライマリ接続のほうにより限定的なルートを構成し、バックアップ接続には限定的でないルート(またはデフォルト・ルート0.0.0.0/0)を構成してください。

ローカルIKE識別子: 一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更し、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。

最大転送単位(MTU): 標準のインターネットMTUサイズは、1500バイトです。MTUの特定方法の詳細は、MTUの概要を参照してください。

CPE構成

ローカルIKE識別子: 一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更し、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。

Cisco ASA: ポリシーベース: 相互運用性の問題を回避し、単一のCisco ASAデバイスによるトンネル冗長性を実現するために、ルートベースの構成を使用することをお薦めします。

Cisco ASAでは、9.7.1より古いソフトウェア・バージョンのルートベース構成はサポートされていません。最適な結果を得るため、デバイスで許可されていれば、ルートベースの構成をサポートするソフトウェア・バージョンにアップグレードすることをお薦めします。

ポリシーベースの構成では、Cisco ASAとDynamic Routing Gateway (DRG)の間に1つのトンネルのみを構成できます。

複数のトンネル 複数のトンネルが同時に稼働する場合、VCNからのトラフィックをどのトンネルでも処理できるようにCPEが構成されていることを確認します。たとえば、ICMP検査を無効にしたり、TCP状態バイパスを構成したりする必要があります。適切な構成の詳細は、CPEベンダーのサポートに問い合せてください。

暗号化ドメインの問題

Oracle VPNヘッドエンドではルートベース・トンネルが使用されますが、注意事項を考慮しながら、ポリシーベース・トンネルとともに使用できます。詳細は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。

ステートフル・セキュリティ・リスト・ルール: (TCP、UDP、またはICMPトラフィックに対して)ステートフル・セキュリティ・リスト・ルールを使用している場合は、ネットワーキング・サービスにより接続がトラッキングされ、ICMPタイプ3コード4のメッセージが自動的に許可されるため、セキュリティ・リストにこれらのメッセージを許可する明示的なルールがあることを確認する必要はありません。ステートレス・ルールでは、ICMPタイプ3コード4のメッセージに対する明示的なイングレス・セキュリティ・リスト・ルールが必要です。インスタンス・ファイアウォールが正しく設定されていることを確認します。

サイト間VPNの一般的な問題

IPSecトンネルが停止中になる

次の項目を確認します:

  • 基本構成: IPSecトンネルは、フェーズ1とフェーズ2の両方のパラメータで構成されます。両方が正しく構成されていることを確認してください。カスタム構成を使用して、OCIエンドのCPEフェーズ1およびフェーズ2パラメータを構成できます。トンネルでカスタム構成を使用するには、拡張オプションに移動し、カスタム構成の設定を有効にします。これにより、OCI側でフェーズ1およびフェーズ2パラメータを手動で定義できます。

    Oracleでは、フェーズ1およびフェーズ2の特定のパラメータも推奨しています。phase-1 (ISAKMP)およびphase-2 (IPSec)構成のパラメータを参照し、前述のステップでトンネルが起動しない場合は、これらのパラメータを使用します。CPEデバイスの構成の詳細は、使用しているCPEデバイスに適した構成を参照してください:

  • ローカル・プロキシIDとリモート・プロキシID:ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続で1組のみです。CPEに2組以上含まれている場合は、1組のみに構成を更新し、次の2つのオプションのいずれかを選択します:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR
  • NATデバイス: CPEがNATデバイスの背後にある場合、CPE上で構成されているCPE IKE識別子が、Oracleで使用されているCPE IKE識別子(CPEのパブリックIPアドレス)と一致しない可能性があります。ユーザー側でCPE IKE識別子を設定することがCPEでサポートされていない場合、Oracle ConsoleでOracleにCPE IKE識別子を提供できます。詳細は、サイト間VPNコンポーネントの概要を参照してください。

IPSecトンネルが稼働中であるのにトラフィックが通過していない

次の項目を確認します:

  • フェーズ2 (IPSec)構成: CPEデバイス上でフェーズ2 (IPSec)パラメータが正しく構成されていることを確認します。使用しているCPEデバイスに該当する構成を参照してください:

  • VCNセキュリティ・リスト: 目的のトラフィック(イングレス・ルールとエグレス・ルールの両方)を許可するようにVCNセキュリティ・リストを設定したことを確認します。VCNのデフォルト・セキュリティ・リストでは、pingトラフィック(ICMPタイプ8およびICMPタイプ0)は許可されません。トラフィックのpingを許可する適切なイングレス・ルールおよびエグレス・ルールを追加する必要があります。
  • ファイアウォール・ルール: ファイアウォール・ルールで、Oracle VPNヘッドエンドIPおよびVCN CIDRブロックに関するイングレス・トラフィックとエグレス・トラフィックの両方が許可されていることを確認します。
  • 非対称ルーティング: Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。あるトンネルをプライマリとして、別のトンネルをバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上で稼働している任意のトンネルを使用できます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。
  • Cisco ASA: Oracleサイト間VPN IPSecトンネルにoriginate-onlyオプションを使用しないでください。使用すると、トンネルのトラフィックが一貫性なくブラックホールになります。このコマンドは、2つのCiscoデバイス間のトンネルに対してのみ使用します。IPSecトンネルに使用できないコマンドの例を次に示します: crypto map <map name> <sequence number> set connection-type originate-only

IPSecトンネルが稼働中であるのにトラフィックが一方向にしか通過していない

次の項目を確認します:

  • 非対称ルーティング: Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。あるトンネルをプライマリとして、別のトンネルをバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上で稼働している任意のトンネルを使用できます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。
  • 1つのトンネルを優先: そのうち1つのトンネルのみを使用する場合は、CPE上でそのトンネルを優先する適切なポリシーまたはルーティングが設定されていることを確認してください。
  • 複数のIPSec接続: OracleとのIPSec接続が複数ある場合は、必ず、優先するIPSec接続のほうに、より限定的な静的ルートを指定してください。
  • VCNセキュリティ・リスト: VCNセキュリティ・リストで両方向(イングレスおよびエグレス)のトラフィックが許可されていることを確認します。
  • ファイアウォール・ルール: ファイアウォール・ルールでOracle VPNヘッドエンドIPおよびVCN CIDRブロックに関する方向のトラフィックが許可されていることを確認します。

ポリシーベースの構成を使用したサイト間VPNのトラブルシューティング

IPSecトンネルが停止中になる

次の項目を確認します:

  • 基本構成: IPSecトンネルは、フェーズ1 (ISAKMP)とフェーズ2 (IPSec)の両方の構成からなります。両方がCPEデバイス上で正しく構成されていることを確認してください。使用しているCPEデバイスに該当する構成を参照してください:

  • ローカル・プロキシIDとリモート・プロキシID:ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続で1組のみです。CPEに2組以上含まれている場合は、1組のみに構成を更新し、次の2つのオプションのいずれかを選択します:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR
  • NATデバイス: CPEがNATデバイスの背後にある場合、CPE上で構成されているCPE IKE識別子が、Oracleで使用されているCPE IKE識別子(CPEのパブリックIPアドレス)と一致しない可能性があります。ユーザー側でCPE IKE識別子を設定することがCPEでサポートされていない場合、Oracle ConsoleでOracleにCPE IKE識別子を提供できます。詳細は、サイト間VPNコンポーネントの概要を参照してください。
  • Cisco ASA: Oracleサイト間VPN IPSecトンネルにoriginate-onlyオプションを使用しないでください。使用すると、トンネルのトラフィックが一貫性なくブラックホールになります。このコマンドは、2つのCiscoデバイス間のトンネルに対してのみ使用します。IPSecトンネルに使用できないコマンドの例を次に示します: crypto map <map name> <sequence number> set connection-type originate-only

IPSecトンネルは稼働中であるのにフラップし続けている

次の項目を確認します:

  • 接続の開始: CPEデバイスが接続を開始していることを確認します。
  • ローカル・プロキシIDとリモート・プロキシID:ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続で1組のみです。CPEに2組以上含まれている場合は、1組のみに構成を更新し、次の2つのオプションのいずれかを選択します:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR
  • 常にインタレスティング・トラフィック: 一般に、CPEでサポートされていれば、常にインタレスティング・トラフィックがIPSecトンネルを流れるように設定することをお薦めします。Cisco ASAでは、SLAモニタリングを構成する必要があります。これにより、対象となるトラフィックがIPSecトンネルを介して実行されたままになります。詳細は、Cisco ASAポリシーベース構成テンプレートのIP SLA構成に関する項を参照してください。

IPSecトンネルは稼働中であるのにトラフィックが安定しない

次の項目を確認します:

  • ローカル・プロキシIDとリモート・プロキシID:ポリシーベースの構成を使用している場合は、CPEが2組以上のローカル・プロキシIDとリモート・プロキシID (サブネット)で構成されているかどうか確認します。Oracle VPNルーターでサポートされるのは、古い接続で1組のみです。CPEに2組以上含まれている場合は、1組のみに構成を更新し、次の2つのオプションのいずれかを選択します:
    オプション ローカル・プロキシID リモート・プロキシID
    1 任意(または0.0.0.0/0) 任意(または0.0.0.0/0)
    2 オンプレミスCIDR (対象となるすべてのサブネットをカバーする集合体) VCNのCIDR
  • 常にインタレスティング・トラフィック: 一般に、CPEでサポートされていれば、常にインタレスティング・トラフィックがIPSecトンネルを流れるように設定することをお薦めします。Cisco ASAでは、SLAモニタリングを構成する必要があります。これにより、対象となるトラフィックがIPSecトンネルを介して実行されたままになります。詳細は、Cisco ASAポリシーベース構成テンプレートのIP SLA構成に関する項を参照してください。

IPSecトンネルが部分的にしか稼働していない

複数の暗号化ドメインおよびその番号を決定する方法を示す図。

前述の例に似た構成で、CPE側で使用可能な6つのIPv4暗号化ドメインのうち3つのみを構成した場合、使用可能なすべての暗号化ドメインが常にDRG側に作成されるため、リンクは「一部稼働中」状態でリストされます。

SAの一部起動:一般に、Oracleでは、IPSecトンネルを経由する対象トラフィックを常に実行することをお薦めします。特定のCPEベンダーでは、フェーズ2を維持するために、常にトンネルを通る興味深いトラフィックが必要です。Cisco ASAなどのベンダーでは、SLAモニターモニターを構成する必要があります。同様に、パス監視などのPalo Alto機能も使用できます。このような機能は、興味深いトラフィックをIPSecトンネルを介して実行し続けます。「イニシエータ」として動作する Cisco ASAのようなベンダーでは、興味深いトラフィックがなくなるまでフェーズ2が起動しないという多くのシナリオが見られました。これにより、トンネルの起動時またはセキュリティーアソシエーションのキー更新後に、SAが停止します。

サイト間VPNのBGPセッションのトラブルシューティング

BGPのステータスが停止中になる

次の項目を確認します:

  • IPSecのステータス: BGPセッションが稼働中になるためには、IPSecトンネル自体が稼働中である必要があります。
  • BGPアドレス: トンネルの両端が正しいBGPピアリングIPアドレスで構成されていることを確認します。
  • ASN: トンネルの両端が正しいBGPローカルASNおよびOracle BGP ASNで構成されていることを確認します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。Government Cloudについては、OracleのBGP ASNを参照してください。
  • MD5: CPEデバイスでMD5認証が無効になっているか、または構成されていないことを確認します。サイト間VPNは、MD5認証をサポートしていません。

  • ファイアウォール: オンプレミス・ファイアウォールまたはアクセス制御リストによって次のポートがブロックされていないことを確認します:

    • TCPポート179 (BGP)
    • UDPポート500 (IKE)
    • IPプロトコル・ポート50 (ESP)

    CPEデバイスのファイアウォールによってTCPポート179 (BGP)がブロックされている場合、BGPネイバーは常に停止状態になります。CPEデバイスおよびOracleルーターにルートがないため、トラフィックはトンネルを通過できません。

BGPがフラッピングのステータスになる

次の項目を確認します:

  • IPSecのステータス: BGPセッションがフラップせずに稼働中になるためには、IPSecトンネル自体がフラップしておらず、稼働中である必要があります。
  • 最大接頭辞: 通知している接頭辞数が2000以下であることを確認します。これを超えて通知している場合、BGPは確立されません。

BGPステータスが稼働中であるのにトラフィックが通過していない

次の項目を確認します:

  • VCNセキュリティ・リスト: 目的のトラフィック(イングレス・ルールとエグレス・ルールの両方)を許可するようにVCNセキュリティ・リストを設定したことを確認します。VCNのデフォルト・セキュリティ・リストでは、pingトラフィック(ICMPタイプ8およびICMPタイプ0)は許可されません。トラフィックのpingを許可する適切なイングレス・ルールおよびエグレス・ルールを追加する必要があります。
  • 両端の正しいルート: Oracleから正しいVCNルートを受信していること、およびCPEデバイスがそれらのルートを使用していることを確認します。同様に、こちら側からサイト間VPNを介した正しいオンプレミス・ネットワーク・ルートを通知していること、およびVCNルート表がそれらのルートを使用していることを確認します。

BGPステータスが稼働中であるのにトラフィックが一方向にしか通過していない

次の項目を確認します:

  • VCNセキュリティ・リスト: VCNセキュリティ・リストで両方向(イングレスおよびエグレス)のトラフィックが許可されていることを確認します。
  • ファイアウォール: オンプレミス・ファイアウォールまたはアクセス制御リストによってOracle側との間のトラフィックがブロックされていないことを確認します。
  • 非対称ルーティング: Oracleでは非対称ルーティングが使用されます。複数のIPSec接続がある場合は、非対称ルート処理ができるようにCPEデバイスが構成されていることを確認します。
  • 冗長接続: 冗長IPSec接続がある場合、両方が同じルートを通知していることを確認します。

冗長IPSec接続のトラブルシューティング

次の重要事項に注意してください:

  • FastConnectでは、BGP動的ルーティングが使用されます。サイト間VPN IPSec接続では、静的ルーティングまたはBGP、あるいはその両方を使用できます。
  • 冗長接続の使用時のルーティングおよび優先ルートに関する重要な詳細は、サイト間VPNのルーティングを参照してください。
  • 冗長性のために、2つのIPSec接続を使用できます。両方のIPSec接続でデフォルト・ルート(0.0.0.0/0)のみが構成されている場合、Oracleでは非対称ルーティングが使用されるため、トラフィックはいずれか一方の接続にルーティングされます。一方のIPSec接続をプライマリとし、もう一方のIPSec接続をバックアップとして使用する場合は、プライマリ接続のほうにより限定的なルートを構成し、バックアップ接続には限定的でないルート(またはデフォルト・ルート0.0.0.0/0)を構成してください。

IPSecとFastConnectの両方が設定されているのに、トラフィックはIPSecしか通過しない

プライマリとして使用する接続のほうに、より限定的なルートが使用されていることを確認します。IPSecとFastConnectの両方に同じルートを使用している場合は、サイト間VPNのルーティングのルーティング・プリファレンスの説明を参照してください。

2つのオンプレミス・データ・センターがあり、それぞれにOracleへのIPSec接続があるのに、トラフィックは一方にしか通過していない

両方のIPSec接続が稼働中であることを確認し、CPEで非対称ルート処理が有効になっていることを確認します。

両方のIPSec接続でデフォルト・ルート(0.0.0.0/0)のみが構成されている場合、Oracleでは非対称ルーティングが使用されるため、トラフィックはいずれか一方の接続にルーティングされます。一方のIPSec接続をプライマリとし、もう一方のIPSec接続をバックアップとして使用する場合は、プライマリ接続のほうにより限定的なルートを構成し、バックアップ接続には限定的でないルート(またはデフォルト・ルート0.0.0.0/0)を構成してください。

このタイプの設定の詳細は、複数の地理領域を使用したレイアウトの例を参照してください。