In dit artikel vindt u enkele tips voor het oplossen van problemen met een VPN-gatewayverbinding tussen een on-premises netwerk en Azure. Zie voor algemene informatie over het oplossen van veelvoorkomende VPN-gerelateerde fouten Veelvoorkomende VPN-gerelateerde fouten oplossen.
Controleren of het VPN-apparaat correct werkt
De volgende aanbevelingen zijn handig om te bepalen of uw on-premises VPN-apparaat correct werkt.
Controleer alle logboekbestanden die door het VPN-apparaat worden gegenereerd op fouten of fouten. Hiermee kunt u bepalen of het VPN-apparaat correct functioneert. De locatie van deze informatie is afhankelijk van uw apparaat. Als u bijvoorbeeld RRAS op Windows Server gebruikt, kunt u de volgende PowerShell-opdracht gebruiken om foutinformatie voor de RRAS-service weer te geven:
Get-EventLog -LogName System -EntryType Error -Source RemoteAccess | Format-List -Property *
De eigenschap Message van elke vermelding bevat een beschrijving van de fout. Enkele veelvoorkomende voorbeelden zijn:
Kan geen verbinding maken, mogelijk vanwege een onjuist IP-adres dat is opgegeven voor de Azure VPN-gateway in de configuratie van de RRAS VPN-netwerkinterface.
EventID : 20111 MachineName : on-premises-vm Data : {41, 3, 0, 0} Index : 14231 Category : (0) CategoryNumber : 0 EntryType : Error Message : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete successfully because of the following error: The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem. Source : RemoteAccess ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.} InstanceId : 20111 TimeGenerated : 3/18/2024 1:26:02 PM TimeWritten : 3/18/2024 1:26:02 PM UserName : Site : Container :De verkeerde gedeelde sleutel die wordt opgegeven in de configuratie van de RRAS VPN-netwerkinterface.
EventID : 20111 MachineName : on-premises-vm Data : {233, 53, 0, 0} Index : 14245 Category : (0) CategoryNumber : 0 EntryType : Error Message : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete successfully because of the following error: Internet key exchange (IKE) authentication credentials are unacceptable. Source : RemoteAccess ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, IKE authentication credentials are unacceptable. } InstanceId : 20111 TimeGenerated : 3/18/2024 1:34:22 PM TimeWritten : 3/18/2024 1:34:22 PM UserName : Site : Container :
U kunt ook informatie over gebeurtenissenlogboeken ophalen over pogingen om verbinding te maken via de RRAS-service met behulp van de volgende PowerShell-opdracht:
Get-EventLog -LogName Application -Source RasClient | Format-List -Property *
In het geval van een fout bij het maken van verbinding bevat dit logboek fouten die er ongeveer als volgt uitzien:
EventID : 20227
MachineName : on-premises-vm
Data : {}
Index : 4203
Category : (0)
CategoryNumber : 0
EntryType : Error
Message : CoId={B4000371-A67F-452F-AA4C-3125AA9CFC78}: The user SYSTEM dialed a connection named
AzureGateway that has failed. The error code returned on failure is 809.
Source : RasClient
ReplacementStrings : {{B4000371-A67F-452F-AA4C-3125AA9CFC78}, SYSTEM, AzureGateway, 809}
InstanceId : 20227
TimeGenerated : 3/18/2024 1:29:21 PM
TimeWritten : 3/18/2024 1:29:21 PM
UserName :
Site :
Container :
Connectiviteit controleren
Controleer de connectiviteit en routering via de VPN-gateway. Het VPN-apparaat kan verkeer mogelijk niet correct routeren via de Azure VPN Gateway. Gebruik een hulpprogramma zoals PsPing- om de connectiviteit en routering via de VPN-gateway te controleren. Als u bijvoorbeeld de connectiviteit van een on-premises computer wilt testen op een webserver die zich op het VNet bevindt, voert u de volgende opdracht uit (waarbij u <<web-server-address>> vervangt door het adres van de webserver):
PsPing -t <<web-server-address>>:80
Als de on-premises machine verkeer naar de webserver kan routeren, ziet u uitvoer die er ongeveer als volgt uitziet:
D:\PSTools> psping -t 10.20.0.5:80
PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
TCP connect to 10.20.0.5:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.0.5:80 (warmup): 6.21ms
Connecting to 10.20.0.5:80: 3.79ms
Connecting to 10.20.0.5:80: 3.44ms
Connecting to 10.20.0.5:80: 4.81ms
Sent = 3, Received = 3, Lost = 0 (0% loss),
Minimum = 3.44ms, Maximum = 4.81ms, Average = 4.01ms
Als de on-premises machine niet kan communiceren met de opgegeven bestemming, ziet u berichten zoals deze:
D:\PSTools>psping -t 10.20.1.6:80
PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
TCP connect to 10.20.1.6:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.1.6:80 (warmup): This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80:
Sent = 3, Received = 0, Lost = 3 (100% loss),
Minimum = 0.00ms, Maximum = 0.00ms, Average = 0.00ms
Controleer of de on-premises firewall VPN-verkeer doorgeeft en of de juiste poorten worden geopend.
Controleer of het on-premises VPN-apparaat gebruikmaakt van een versleutelingsmethode die compatibel is met de Azure VPN-gateway. Voor routering op basis van beleid ondersteunt de Azure VPN-gateway de AES256-, AES128- en 3DES-versleutelingsalgoritmen. Op route gebaseerde gateways ondersteunen AES256 en 3DES. Zie Over VPN-apparaten en IPsec-/IKE-parameters voor site-naar-site-VPN-gatewayverbindingenvoor meer informatie.
Controleren op problemen met de Azure VPN-gateway
De volgende aanbevelingen zijn handig om te bepalen of er een probleem is met de Azure VPN-gateway:
Bekijk diagnostische logboeken van Azure VPN Gateway op mogelijke problemen. Voor meer informatie stapsgewijze instructies: diagnostische logboeken van Azure Resource Manager VNet Gateway vastleggen.
Controleer of de Azure VPN-gateway en het on-premises VPN-apparaat zijn geconfigureerd met dezelfde gedeelde verificatiesleutel. U kunt de gedeelde sleutel bekijken die is opgeslagen door de Azure VPN-gateway met behulp van de volgende Azure CLI-opdracht:
azure network vpn-connection shared-key show <<resource-group>> <<vpn-connection-name>>
Gebruik de opdracht die geschikt is voor uw on-premises VPN-apparaat om de gedeelde sleutel weer te geven die voor dat apparaat is geconfigureerd.
Controleer of het GatewaySubnet subnet met de Azure VPN-gateway niet is gekoppeld aan een NSG.
U kunt de details van het subnet weergeven met behulp van de volgende Azure CLI-opdracht:
azure network vnet subnet show -g <<resource-group>> -e <<vnet-name>> -n GatewaySubnet
Zorg ervoor dat er geen gegevensveld met de naam netwerkbeveiligingsgroeps-id is. In het volgende voorbeeld ziet u de resultaten voor een exemplaar van de GatewaySubnet- met een toegewezen NSG (VPN-Gateway-Group). Dit kan voorkomen dat de gateway correct werkt als er regels zijn gedefinieerd voor deze NSG.
C:\>azure network vnet subnet show -g profx-prod-rg -e profx-vnet -n GatewaySubnet
info: Executing command network vnet subnet show
+ Looking up virtual network "profx-vnet"
+ Looking up the subnet "GatewaySubnet"
data: Id : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/virtualNetworks/profx-vnet/subnets/GatewaySubnet
data: Name : GatewaySubnet
data: Provisioning state : Succeeded
data: Address prefix : 10.20.3.0/27
data: Network Security Group id : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/networkSecurityGroups/VPN-Gateway-Group
info: network vnet subnet show command OK
Controleer of de virtuele machines in het Azure-VNet zijn geconfigureerd om verkeer van buiten het VNet toe te staan. Controleer de NSG-regels die zijn gekoppeld aan subnetten die deze virtuele machines bevatten. U kunt alle NSG-regels weergeven met behulp van de volgende Azure CLI-opdracht:
azure network nsg show -g <<resource-group>> -n <<nsg-name>>
Controleer of de Azure VPN-gateway is verbonden. U kunt de volgende Azure PowerShell-opdracht gebruiken om de huidige status van de Azure VPN-verbinding te controleren. De parameter <<connection-name>> is de naam van de Azure VPN-verbinding die de gateway van het virtuele netwerk en de lokale gateway koppelt.
Get-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> - ResourceGroupName <<resource-group>>
In de volgende fragmenten wordt de uitvoer gemarkeerd die wordt gegenereerd als de gateway is verbonden (het eerste voorbeeld) en de verbinding is verbroken (het tweede voorbeeld):
PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection -ResourceGroupName profx-prod-rg
AuthorizationKey :
VirtualNetworkGateway1 : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2 :
LocalNetworkGateway2 : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer :
ConnectionType : IPsec
RoutingWeight : 0
SharedKey : ####################################
ConnectionStatus : Connected
EgressBytesTransferred : 55254803
IngressBytesTransferred : 32227221
ProvisioningState : Succeeded
...
PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection2 -ResourceGroupName profx-prod-rg
AuthorizationKey :
VirtualNetworkGateway1 : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2 :
LocalNetworkGateway2 : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer :
ConnectionType : IPsec
RoutingWeight : 0
SharedKey : ####################################
ConnectionStatus : NotConnected
EgressBytesTransferred : 0
IngressBytesTransferred : 0
ProvisioningState : Succeeded
...
Diverse problemen
De volgende aanbevelingen zijn handig om te bepalen of er een probleem is met de configuratie van host-VM's, netwerkbandbreedtegebruik of toepassingsprestaties:
Controleer de firewallconfiguratie. Controleer of de firewall in het gastbesturingssysteem dat wordt uitgevoerd op de Virtuele Azure-machines in het subnet juist is geconfigureerd om toegestaan verkeer vanaf de on-premises IP-bereiken toe te staan.
Controleer of het volume van verkeer zich niet dicht bij de limiet bevindt van de bandbreedte die beschikbaar is voor de Azure VPN-gateway. Hoe u dit kunt controleren, is afhankelijk van het VPN-apparaat dat on-premises wordt uitgevoerd. Als u bijvoorbeeld RRAS op Windows Server gebruikt, kunt u Prestatiemeter gebruiken om het aantal ontvangen en verzonden gegevens via de VPN-verbinding bij te houden. Selecteer met het object RAS Total de ontvangen bytes per seconde en bytes verzonden per seconde meteritems:
Vergelijk de resultaten met de bandbreedte die beschikbaar is voor de VPN-gateway (van 100 Mbps voor de Basic SKU naar 1,25 Gbps voor VpnGw3 SKU):
Controleer of u het juiste aantal en de juiste grootte van VM's hebt geïmplementeerd voor het laden van uw toepassing. Bepaal of een van de virtuele machines in het Azure-VNet langzaam wordt uitgevoerd. Als dat het zo is, kunnen ze overbelast zijn, zijn er mogelijk te weinig om de belasting te verwerken of zijn de load balancers mogelijk niet correct geconfigureerd. Om dit te bepalen, diagnostische gegevens vastleggen en analyseren. U kunt de resultaten bekijken met behulp van Azure Portal, maar er zijn ook veel hulpprogramma's van derden beschikbaar die gedetailleerde inzichten kunnen bieden in de prestatiegegevens.
U kunt Azure DDoS Protection gebruiken om bescherming te bieden tegen schadelijke resourceuitputting. Azure DDoS Protection, gecombineerd met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties om meer bescherming te bieden tegen DDoS-aanvallen. Schakel Azure DDOS Protection- in op elk virtueel perimeternetwerk.
Controleer of de toepassing efficiënt gebruikmaakt van cloudresources. Instrumenteer toepassingscode die op elke VIRTUELE machine wordt uitgevoerd om te bepalen of toepassingen het beste gebruikmaken van resources. U kunt hulpprogramma's zoals Application Insightsgebruiken.
Volgende stappen
Productdocumentatie:
- virtuele Linux-machines in Azure
- Wat is Azure PowerShell?
- Wat is Azure Virtual Network?
- Wat is de Azure CLI?
- Wat is VPN Gateway?
- virtuele Windows-machines in Azure
Microsoft Learn-modules:
- Azure-resources configureren met hulpprogramma's
- VPN Gateway-configureren
- Een virtuele Linux-machine maken in Azure
- een virtuele Windows-machine maken in Azure