Este artigo fornece algumas dicas para solucionar problemas de uma conexão de gateway de VPN entre uma rede local e o Azure. Para obter informações gerais sobre como solucionar erros comuns relacionados à VPN, consulte Solucionar problemas comuns de erros relacionados à VPN.
Verifique se o dispositivo VPN está funcionando corretamente
As recomendações a seguir são úteis para determinar se o dispositivo VPN local está funcionando corretamente.
Verifique se há erros ou falhas nos arquivos de log gerados pelo dispositivo VPN. Isso ajudará você a determinar se o dispositivo VPN está funcionando corretamente. O local dessas informações variará de acordo com seu dispositivo. Por exemplo, se você estiver usando o RRAS no Windows Server, poderá usar o seguinte comando do PowerShell para exibir informações de evento de erro para o serviço RRAS:
Get-EventLog -LogName System -EntryType Error -Source RemoteAccess | Format-List -Property *
A propriedade Message de cada entrada fornece uma descrição do erro. Alguns exemplos comuns são:
Incapacidade de se conectar, possivelmente devido a um endereço IP incorreto especificado para o gateway de VPN do Azure na configuração da interface de rede VPN RRAS.
EventID : 20111 MachineName : on-premises-vm Data : {41, 3, 0, 0} Index : 14231 Category : (0) CategoryNumber : 0 EntryType : Error Message : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete successfully because of the following error: The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem. Source : RemoteAccess ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.} InstanceId : 20111 TimeGenerated : 3/18/2024 1:26:02 PM TimeWritten : 3/18/2024 1:26:02 PM UserName : Site : Container :A chave compartilhada incorreta que está sendo especificada na configuração da interface de rede VPN do RRAS.
EventID : 20111 MachineName : on-premises-vm Data : {233, 53, 0, 0} Index : 14245 Category : (0) CategoryNumber : 0 EntryType : Error Message : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete successfully because of the following error: Internet key exchange (IKE) authentication credentials are unacceptable. Source : RemoteAccess ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, IKE authentication credentials are unacceptable. } InstanceId : 20111 TimeGenerated : 3/18/2024 1:34:22 PM TimeWritten : 3/18/2024 1:34:22 PM UserName : Site : Container :
Você também pode obter informações de log de eventos sobre tentativas de conexão por meio do serviço RRAS usando o seguinte comando do PowerShell:
Get-EventLog -LogName Application -Source RasClient | Format-List -Property *
No caso de uma falha na conexão, esse log conterá erros semelhantes aos seguintes:
EventID : 20227
MachineName : on-premises-vm
Data : {}
Index : 4203
Category : (0)
CategoryNumber : 0
EntryType : Error
Message : CoId={B4000371-A67F-452F-AA4C-3125AA9CFC78}: The user SYSTEM dialed a connection named
AzureGateway that has failed. The error code returned on failure is 809.
Source : RasClient
ReplacementStrings : {{B4000371-A67F-452F-AA4C-3125AA9CFC78}, SYSTEM, AzureGateway, 809}
InstanceId : 20227
TimeGenerated : 3/18/2024 1:29:21 PM
TimeWritten : 3/18/2024 1:29:21 PM
UserName :
Site :
Container :
Verificar a conectividade
Verifique a conectividade e o roteamento no gateway de VPN. O dispositivo VPN pode não estar roteando corretamente o tráfego por meio do Gateway de VPN do Azure. Use uma ferramenta como PsPing para verificar a conectividade e o roteamento no gateway de VPN. Por exemplo, para testar a conectividade de um computador local para um servidor Web localizado na VNet, execute o seguinte comando (substituindo <<web-server-address>> pelo endereço do servidor Web):
PsPing -t <<web-server-address>>:80
Se o computador local puder rotear o tráfego para o servidor Web, você deverá ver uma saída semelhante à seguinte:
D:\PSTools> psping -t 10.20.0.5:80
PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
TCP connect to 10.20.0.5:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.0.5:80 (warmup): 6.21ms
Connecting to 10.20.0.5:80: 3.79ms
Connecting to 10.20.0.5:80: 3.44ms
Connecting to 10.20.0.5:80: 4.81ms
Sent = 3, Received = 3, Lost = 0 (0% loss),
Minimum = 3.44ms, Maximum = 4.81ms, Average = 4.01ms
Se o computador local não puder se comunicar com o destino especificado, você verá mensagens como esta:
D:\PSTools>psping -t 10.20.1.6:80
PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
TCP connect to 10.20.1.6:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.1.6:80 (warmup): This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80:
Sent = 3, Received = 0, Lost = 3 (100% loss),
Minimum = 0.00ms, Maximum = 0.00ms, Average = 0.00ms
Verifique se o firewall local permite que o tráfego VPN passe e se as portas corretas estão abertas.
Verifique se o dispositivo VPN local usa um método de criptografia compatível com o gateway de VPN do Azure. Para roteamento baseado em política, o gateway de VPN do Azure dá suporte aos algoritmos de criptografia AES256, AES128 e 3DES. Gateways baseados em rota dão suporte a AES256 e 3DES. Para obter mais informações, consulte Sobre dispositivos VPN e parâmetros IPsec/IKE para conexões de Gateway de VPN Site a Site.
Verificar se há problemas com o gateway de VPN do Azure
As seguintes recomendações são úteis para determinar se há um problema com o gateway de VPN do Azure:
Examine os logs de diagnóstico do gateway de VPN do Azure em busca de possíveis problemas. Para obter mais informações, por exemplo, passo a passo: capturando logs de diagnóstico do Gateway de VNet do Azure Resource Manager.
Verifique se o gateway de VPN do Azure e o dispositivo vpn local estão configurados com a mesma chave de autenticação compartilhada. Você pode exibir a chave compartilhada armazenada pelo gateway de VPN do Azure usando o seguinte comando da CLI do Azure:
azure network vpn-connection shared-key show <<resource-group>> <<vpn-connection-name>>
Use o comando apropriado para seu dispositivo VPN local para mostrar a chave compartilhada configurada para esse dispositivo.
Verifique se a sub-rede GatewaySubnet que contém o gateway de VPN do Azure não está associada a um NSG.
Você pode exibir os detalhes da sub-rede usando o seguinte comando da CLI do Azure:
azure network vnet subnet show -g <<resource-group>> -e <<vnet-name>> -n GatewaySubnet
Verifique se não há nenhum campo de dados chamado ID do Grupo de Segurança de Rede. O exemplo a seguir mostra os resultados de uma instância do gatewaySubnet que tem um NSG atribuído (VPN-Gateway-Group). Isso pode impedir que o gateway funcione corretamente se houver alguma regra definida para esse NSG.
C:\>azure network vnet subnet show -g profx-prod-rg -e profx-vnet -n GatewaySubnet
info: Executing command network vnet subnet show
+ Looking up virtual network "profx-vnet"
+ Looking up the subnet "GatewaySubnet"
data: Id : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/virtualNetworks/profx-vnet/subnets/GatewaySubnet
data: Name : GatewaySubnet
data: Provisioning state : Succeeded
data: Address prefix : 10.20.3.0/27
data: Network Security Group id : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/networkSecurityGroups/VPN-Gateway-Group
info: network vnet subnet show command OK
Verifique se as máquinas virtuais na VNet do Azure estão configuradas para permitir o tráfego proveniente de fora da VNet. Verifique as regras NSG associadas a sub-redes que contêm essas máquinas virtuais. Você pode exibir todas as regras do NSG usando o seguinte comando da CLI do Azure:
azure network nsg show -g <<resource-group>> -n <<nsg-name>>
Verifique se o gateway de VPN do Azure está conectado. Você pode usar o seguinte comando do Azure PowerShell para verificar o status atual da conexão VPN do Azure. O parâmetro <<connection-name>> é o nome da conexão VPN do Azure que vincula o gateway de rede virtual e o gateway local.
Get-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> - ResourceGroupName <<resource-group>>
Os snippets a seguir realçam a saída gerada se o gateway estiver conectado (o primeiro exemplo) e desconectados (o segundo exemplo):
PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection -ResourceGroupName profx-prod-rg
AuthorizationKey :
VirtualNetworkGateway1 : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2 :
LocalNetworkGateway2 : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer :
ConnectionType : IPsec
RoutingWeight : 0
SharedKey : ####################################
ConnectionStatus : Connected
EgressBytesTransferred : 55254803
IngressBytesTransferred : 32227221
ProvisioningState : Succeeded
...
PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection2 -ResourceGroupName profx-prod-rg
AuthorizationKey :
VirtualNetworkGateway1 : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2 :
LocalNetworkGateway2 : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer :
ConnectionType : IPsec
RoutingWeight : 0
SharedKey : ####################################
ConnectionStatus : NotConnected
EgressBytesTransferred : 0
IngressBytesTransferred : 0
ProvisioningState : Succeeded
...
Problemas diversos
As recomendações a seguir são úteis para determinar se há um problema com a configuração da VM do host, a utilização da largura de banda de rede ou o desempenho do aplicativo:
Verifique a configuração do firewall. Verifique se o firewall no sistema operacional convidado em execução nas VMs do Azure na sub-rede está configurado corretamente para permitir o tráfego permitido dos intervalos de IP locais.
Verifique se o volume de tráfego não está perto do limite da largura de banda disponível para o gateway de VPN do Azure. Como verificar isso depende do dispositivo VPN em execução local. Por exemplo, se você estiver usando o RRAS no Windows Server, poderá usar o Monitor de Desempenho para acompanhar o volume de dados recebidos e transmitidos pela conexão VPN. Usando o objeto RAS Total, selecione os Bytes Recebidos/S e contadores de Transmitidos/S:
contadores de desempenho
Você deve comparar os resultados com a largura de banda disponível para o gateway de VPN (de 100 Mbps para a SKU Básica a 1,25 Gbps para o SKU vpnGw3):
Verifique se você implantou o número e o tamanho corretos das VMs para a carga do aplicativo. Determine se alguma das máquinas virtuais na VNet do Azure está sendo executada lentamente. Nesse caso, eles podem estar sobrecarregados, pode haver muito poucos para lidar com a carga ou os balanceadores de carga podem não estar configurados corretamente. Para determinar isso, capturar e analisar informações de diagnóstico. Você pode examinar os resultados usando o portal do Azure, mas muitas ferramentas de terceiros também estão disponíveis que podem fornecer insights detalhados sobre os dados de desempenho.
Você pode usar a Proteção contra DDoS do Azure para ajudar a proteger contra esgotamento de recursos mal-intencionados. a Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design do aplicativo, fornece recursos avançados de mitigação de DDoS para fornecer mais defesa contra ataques DDoS. Você deve habilitar proteção contra DDOS do Azure em qualquer rede virtual de perímetro.
Verifique se o aplicativo está fazendo uso eficiente de recursos de nuvem. Instrumentar o código do aplicativo em execução em cada VM para determinar se os aplicativos estão fazendo o melhor uso de recursos. Você pode usar ferramentas como Application Insights.
Próximas etapas
Documentação do produto:
- máquinas virtuais linux no Azure
- O que é o Azure PowerShell?
- O que é a Rede Virtual do Azure?
- O que é a CLI do Azure?
- O que é o Gateway de VPN?
- máquinas virtuais do Windows no Azure
Módulos do Microsoft Learn:
- configurar recursos do Azure com ferramentas
- configurar o gateway de VPN
- Criar uma máquina virtual Linux no Azure
- Criar uma máquina virtual do Windows no Azure