Udostępnij za pośrednictwem

Rozwiązywanie problemów: Połączenie międzylokacyjnej sieci VPN platformy Azure nie może nawiązać połączenia i przestaje działać

  • Artykuł

Po skonfigurowaniu połączenia sieci VPN typu lokacja-lokacja między siecią lokalną a siecią wirtualną platformy Azure połączenie sieci VPN nagle przestaje działać i nie można nawiązać ponownego połączenia. Ten artykuł zawiera kroki rozwiązywania problemów ułatwiające rozwiązanie tego problemu.

Jeśli problem z platformą Azure nie został rozwiązany w tym artykule, odwiedź fora platformy Azure w witrynach Microsoft Q & A i Stack Overflow. Możesz opublikować swój problem na tych forach lub opublikować go na @AzureSupport na Twitterze. Możesz również przesłać żądanie pomoc techniczna platformy Azure. Aby przesłać wniosek o pomoc techniczną, na stronie pomoc techniczna platformy Azure wybierz pozycję Uzyskaj pomoc techniczną.

Kroki rozwiązywania problemów

Aby rozwiązać ten problem, najpierw spróbuj zresetować bramę sieci VPN platformy Azure i zresetować tunel z lokalnego urządzenia sieci VPN. Jeśli problem będzie się powtarzać, wykonaj następujące kroki, aby zidentyfikować przyczynę problemu.

Krok wymagań wstępnych

Sprawdź typ bramy sieci VPN platformy Azure.

  1. Przejdź do portalu Azure Portal.

  2. Przejdź do bramy sieci wirtualnej dla sieci wirtualnej. Na stronie Przegląd zobaczysz typ bramy, typ sieci VPN i jednostkę SKU bramy.

Krok 1. Sprawdzanie, czy lokalne urządzenie sieci VPN zostało zweryfikowane

  1. Sprawdź, czy używasz zweryfikowanego urządzenia sieci VPN i wersji systemu operacyjnego. Jeśli urządzenie nie jest zweryfikowanym urządzeniem sieci VPN, może być konieczne skontaktowanie się z producentem urządzenia, aby sprawdzić, czy występuje problem ze zgodnością.

  2. Upewnij się, że urządzenie sieci VPN jest poprawnie skonfigurowane. Aby uzyskać więcej informacji, zobacz Edytowanie przykładów konfiguracji urządzenia.

Krok 2. Weryfikowanie klucza współużytkowanego

Porównaj klucz współużytkowany dla lokalnego urządzenia sieci VPN z siecią VPN usługi Azure Virtual Network, aby upewnić się, że klucze są zgodne.

Aby wyświetlić klucz wspólny dla połączenia sieci VPN platformy Azure, użyj jednej z następujących metod:

Witryna Azure Portal

  1. Przejdź do usługi VPN Gateway. Na stronie Połączenia znajdź i otwórz połączenie.

  2. Wybierz Typ uwierzytelniania. Zaktualizuj i zapisz w razie potrzeby klucz wstępny.

Azure PowerShell

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

W przypadku modelu wdrażania usługi Azure Resource Manager:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

W przypadku klasycznego modelu wdrażania:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Krok 3. Weryfikowanie adresów IP równorzędnych sieci VPN

  • Definicja adresu IP w obiekcie bramy sieci lokalnej na platformie Azure powinna być zgodna z adresem IP urządzenia lokalnego.
  • Definicja adresu IP bramy platformy Azure ustawiona na urządzeniu lokalnym powinna być zgodna z adresem IP bramy platformy Azure.

Krok 4. Sprawdzanie trasy zdefiniowanej przez użytkownika i sieciowych grup zabezpieczeń w podsieci bramy

Sprawdź i usuń routing zdefiniowany przez użytkownika (UDR) lub sieciowe grupy zabezpieczeń w podsieci bramy, a następnie przetestuj wynik. Jeśli problem zostanie rozwiązany, zweryfikuj ustawienia zastosowane przez użytkownika lub sieciową grupę zabezpieczeń.

Krok 5. Sprawdzanie adresu zewnętrznego lokalnego urządzenia sieci VPN

Jeśli adres IP urządzenia sieci VPN dostępny z Internetu znajduje się w definicji sieci lokalnej na platformie Azure, mogą wystąpić sporadyczne rozłączenia.

Krok 6. Sprawdź, czy podsieci są dokładnie zgodne (bramy oparte na zasadach platformy Azure)

  • Sprawdź, czy przestrzenie adresowe sieci wirtualnej są dokładnie zgodne z siecią wirtualną platformy Azure i definicjami lokalnymi.
  • Sprawdź, czy podsieci są dokładnie zgodne między bramą sieci lokalnej i definicjami lokalnymi dla sieci lokalnej.

Krok 7. Weryfikowanie sondy kondycji bramy platformy Azure

  1. Otwórz sondę kondycji, przechodząc do następującego adresu URL:

    https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

    W przypadku bram trybu aktywny/aktywny użyj następującego polecenia, aby sprawdzić drugi publiczny adres IP:

    https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

  2. Kliknij ostrzeżenie dotyczące certyfikatu.

  3. Jeśli otrzymasz odpowiedź, uważa się, że VPN Gateway jest w dobrej kondycji. Jeśli nie otrzymasz odpowiedzi, brama może nie być w dobrej kondycji lub sieciowa grupa zabezpieczeń w podsieci bramy powoduje problem. Poniżej znajduje się przykładowa odpowiedź:

    <?xml version="1.0"?>
<string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>

Uwaga

Podstawowe bramy sieci VPN jednostki SKU nie odpowiadają na sondę kondycji. Nie są one zalecane w przypadku obciążeń produkcyjnych.

Krok 8. Sprawdzenie, czy lokalne urządzenie sieci VPN ma włączoną idealną funkcję tajemnicy przekazywania dalej

Idealna funkcja tajemnicy przekazywania może powodować problemy z rozłączaniem. Jeśli urządzenie sieci VPN ma włączoną idealną tajemnicę przesyłania dalej, wyłącz tę funkcję. Następnie zaktualizuj zasady protokołu IPsec bramy sieci VPN.

Uwaga

Bramy sieci VPN nie odpowiadają na adres lokalny protokołu ICMP.

Następne kroki