Delen via

Overzicht van VPN-problemen oplossen

  • Artikel

Virtuele netwerkgateways bieden connectiviteit tussen on-premises resources en virtuele Azure-netwerken. Het bewaken van virtuele netwerkgateways en hun verbindingen is essentieel om ervoor te zorgen dat de communicatie niet wordt verbroken. Azure Network Watcher VPN-probleemoplossing biedt de mogelijkheid om problemen met virtuele netwerkgateways en hun verbindingen op te lossen. VPN-problemen kunnen worden aangeroepen via Azure Portal, Azure PowerShell, Azure CLI of REST API. Wanneer deze wordt aangeroepen, diagnosticeert Network Watcher de status van de gateway of verbinding en retourneert de juiste resultaten. De aanvraag is een langlopende transactie. De resultaten worden geretourneerd zodra de diagnose is voltooid.

Schermopname van problemen met Vpn in Azure Network Watcher in Azure Portal.

Ondersteunde gatewaytypen

In de volgende tabel ziet u welke gateways en verbindingen worden ondersteund met problemen met Network Watcher:

Gateway of verbinding Ondersteund
Gatewaytypen
VPN Ondersteund
ExpressRoute Niet ondersteund
VPN-typen
Op route gebaseerd Ondersteund
Op basis van beleid Niet ondersteund
Verbindingstypen
IPsec Ondersteund
Vnet2Vnet Ondersteund
ExpressRoute Niet ondersteund
VPNClient Niet ondersteund

Resultaten

De geretourneerde voorlopige resultaten geven een algemeen beeld van de status van de resource. Meer informatie kan worden verstrekt voor resources, zoals wordt weergegeven in de volgende sectie:

De volgende lijst bevat de waarden die worden geretourneerd door de VPN-probleemoplossings-API:

  • startTime : deze waarde is het tijdstip waarop de aanroep voor het oplossen van problemen met de API is gestart.
  • endTime : deze waarde is het tijdstip waarop de probleemoplossing is beëindigd.
  • code : deze waarde is UnHealthy, als er één diagnosefout is.
  • resultaten - Resultaten is een verzameling resultaten die worden geretourneerd op de verbinding of de gateway van het virtuele netwerk.
    • id : deze waarde is het fouttype.
    • samenvatting : deze waarde is een samenvatting van de fout.
    • gedetailleerd : deze waarde geeft een gedetailleerde beschrijving van de fout.
    • recommendedActions : deze eigenschap is een verzameling aanbevolen acties die moeten worden uitgevoerd.
      • actionText : deze waarde bevat de tekst waarin wordt beschreven welke actie moet worden ondernomen.
      • actionUri : deze waarde biedt de URI aan documentatie over hoe u moet handelen.
      • actionUriText : deze waarde is een korte beschrijving van de actietekst.

In de volgende tabellen ziet u de verschillende fouttypen (id onder resultaten uit de voorgaande lijst) die beschikbaar zijn en of de fout logboeken maakt.

Gateway

Fouttype Reden Logboek
NoFault Wanneer er geen fout wordt gedetecteerd Ja
GatewayNotFound Kan gateway of gateway niet vinden is niet ingericht Nee
PlannedMaintenance Gatewayexemplaren worden onderhouden Nee
UserDrivenUpdate Deze fout treedt op wanneer een gebruikersupdate wordt uitgevoerd. De update kan een wijziging van het formaat zijn. Nee
VipUnResponsive Deze fout treedt op wanneer het primaire exemplaar van de gateway niet kan worden bereikt als gevolg van een fout in de statustest. Nee
PlatformInActive Er is een probleem met het platform. Nee
ServiceNotRunning De onderliggende service wordt niet uitgevoerd. Nee
NoConnectionsFoundForGateway Er zijn geen verbindingen op de gateway. Deze fout is alleen een waarschuwing. Nee
ConnectionsNotConnected Verbindingen zijn niet verbonden. Deze fout is alleen een waarschuwing. Ja
GatewayCPUUsageExceeded Het huidige CPU-gebruik van de gateway is > 95%. Ja

Connection

Fouttype Reden Logboek
NoFault Wanneer er geen fout wordt gedetecteerd Ja
GatewayNotFound Kan gateway of gateway niet vinden is niet ingericht Nee
PlannedMaintenance Gatewayexemplaren worden onderhouden Nee
UserDrivenUpdate Deze fout treedt op wanneer een gebruikersupdate wordt uitgevoerd. De update kan een wijziging van het formaat zijn. Nee
VipUnResponsive Deze fout treedt op wanneer het primaire exemplaar van de gateway niet kan worden bereikt als gevolg van een fout in de statustest. Nee
ConnectionEntityNotFound Verbindingsconfiguratie ontbreekt Nee
ConnectionIsMarkedDisconnected De verbinding is gemarkeerd als 'verbinding verbroken' Nee
ConnectionNotConfiguredOnGateway De onderliggende service heeft de verbinding niet geconfigureerd. Ja
ConnectionMarkedStandby De onderliggende service is gemarkeerd als stand-by. Ja
Verificatie Vooraf gedeelde sleutel komt niet overeen Ja
PeerReachability De peergateway is niet bereikbaar. Ja
IkePolicyMismatch De peergateway heeft IKE-beleid dat niet wordt ondersteund door Azure. Ja
WfpParse-fout Er is een fout opgetreden bij het parseren van het WFP-logboek. Ja

Logboekbestanden

De logboekbestanden voor het oplossen van problemen met resources worden opgeslagen in een opslagaccount nadat het oplossen van problemen met resources is voltooid. In de volgende afbeelding ziet u de voorbeeldinhoud van een aanroep die een fout heeft veroorzaakt.

Schermopname van de inhoud van de gedownloade zip-logboekbestanden.

Notitie

  1. In sommige gevallen wordt alleen een subset van de logboekbestanden naar de opslag geschreven.
  2. Voor nieuwere gatewayversies zijn de IkeErrors.txt, Scrubbed-wfpdiag.txt en wfpdiag.txt.sum vervangen door een IkeLogs.txt bestand met de hele IKE-activiteit (niet alleen fouten).

Zie Een blok-blob downloaden voor instructies over het downloaden van bestanden uit Azure-opslagaccounts. Een ander hulpprogramma dat kan worden gebruikt, is Storage Explorer. Zie Azure Storage Explorer gebruiken om blobs te downloaden voor meer informatie over Azure Storage Explorer

ConnectionStats.txt

Het bestand ConnectionStats.txt bevat algemene statistieken van de verbinding, inclusief inkomend en uitgaand bytes, verbindingsstatus en het tijdstip waarop de verbinding tot stand is gebracht.

Notitie

Als de aanroep van de API voor probleemoplossing in orde is, is het enige wat in het ZIP-bestand wordt geretourneerd een ConnectionStats.txt bestand.

De inhoud van dit bestand is vergelijkbaar met het volgende voorbeeld:

Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM

CPUStats.txt

Het bestand CPUStats.txt bevat CPU-gebruik en geheugen dat beschikbaar is op het moment van testen. De inhoud van dit bestand is vergelijkbaar met het volgende voorbeeld:

Current CPU Usage : 0 % Current Memory Available : 641 MBs

IKElogs.txt

Het bestand IKElogs.txt bevat alle IKE-activiteiten die tijdens de bewaking zijn gevonden.

In het volgende voorbeeld ziet u de inhoud van een IKElogs.txt bestand.

Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch

IKEErrors.txt

Het bestand IKEErrors.txt bevat IKE-fouten die zijn gevonden tijdens de bewaking.

In het volgende voorbeeld ziet u de inhoud van een IKEErrors.txt-bestand. Uw fouten kunnen afwijken, afhankelijk van het probleem.

Error: Authentication failed. Check shared key. Check crypto. Check lifetimes. 
	 based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload. 
	 based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)

Scrubbed-wfpdiag.txt

Het Scrubbed-wfpdiag.txt logboekbestand bevat het wfp-logboek. Dit logboek bevat logboekregistratie van pakketuitval en IKE/AuthIP-fouten.

In het volgende voorbeeld ziet u de inhoud van het Scrubbed-wfpdiag.txt-bestand. In dit voorbeeld is de vooraf gedeelde sleutel van een verbinding niet juist, zoals te zien is vanaf de derde regel onderaan. Het volgende voorbeeld is slechts een fragment van het hele logboek, omdat het logboek lang kan zijn, afhankelijk van het probleem.

...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...

wfpdiag.txt.sum

Het bestand wfpdiag.txt.sum is een logboek met de buffers en gebeurtenissen die zijn verwerkt.

Het volgende voorbeeld is de inhoud van een bestand wfpdiag.txt.sum.

Files Processed:
	C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events  Processed 2169
Total Events  Lost      0
Total Format  Errors    0
Total Formats Unknown   486
Elapsed Time            330 sec
+-----------------------------------------------------------------------------------+
|EventCount    EventName            EventType   TMF                                 |
+-----------------------------------------------------------------------------------+
|        36    ikeext               ike_addr_utils_c844  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        12    ikeext               ike_addr_utils_c857  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        96    ikeext               ike_addr_utils_c832  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|         6    ikeext               ike_bfe_callbacks_c133  1dc2d67f-8381-6303-e314-6c1452eeb529|
|         6    ikeext               ike_bfe_callbacks_c61  1dc2d67f-8381-6303-e314-6c1452eeb529|
|        12    ikeext               ike_sa_management_c5698  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c8447  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c494  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c642  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c3162  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c3307  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|

Overwegingen

  • Er kan slechts één VPN-probleemoplossingsbewerking tegelijk per abonnement worden uitgevoerd. Als u een andere VPN-probleemoplossingsbewerking wilt uitvoeren, wacht u totdat de bestaande bewerking is voltooid. Het activeren van een nieuwe bewerking terwijl een vorige bewerking niet is voltooid, zorgt ervoor dat de volgende bewerkingen mislukken.
  • Als u Azure CLI gebruikt om de opdracht uit te voeren, moeten de VPN Gateway en het opslagaccount zich in dezelfde resourcegroep bevinden. Klanten met de resources in verschillende resourcegroepen kunnen in plaats daarvan PowerShell of Azure Portal gebruiken.

Volgende stap

Communicatieproblemen tussen virtuele netwerken vaststellen