Editar

Compartilhar via


Solucionar problemas de uma conexão VPN híbrida

Rede Virtual do Azure
Gateway de VPN do Azure
Windows Server

Este artigo fornece algumas dicas para solucionar problemas de uma conexão de gateway de VPN entre uma rede local e o Azure. Para obter informações gerais sobre como solucionar erros comuns relacionados à VPN, consulte Solucionar problemas comuns de erros relacionados à VPN.

Verifique se o dispositivo VPN está funcionando corretamente

As recomendações a seguir são úteis para determinar se o dispositivo VPN local está funcionando corretamente.

Verifique se há erros ou falhas nos arquivos de log gerados pelo dispositivo VPN. Isso ajudará você a determinar se o dispositivo VPN está funcionando corretamente. O local dessas informações variará de acordo com seu dispositivo. Por exemplo, se você estiver usando o RRAS no Windows Server, poderá usar o seguinte comando do PowerShell para exibir informações de evento de erro para o serviço RRAS:

Get-EventLog -LogName System -EntryType Error -Source RemoteAccess | Format-List -Property *

A propriedade Message de cada entrada fornece uma descrição do erro. Alguns exemplos comuns são:

  • Incapacidade de se conectar, possivelmente devido a um endereço IP incorreto especificado para o gateway de VPN do Azure na configuração da interface de rede VPN RRAS.

    EventID            : 20111
    MachineName        : on-premises-vm
    Data               : {41, 3, 0, 0}
    Index              : 14231
    Category           : (0)
    CategoryNumber     : 0
    EntryType          : Error
    Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                            interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                            successfully because of the following error: The network connection between your computer and
                            the VPN server could not be established because the remote server is not responding. This could
                            be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer
                            and the remote server is not configured to allow VPN connections. Please contact your
                            Administrator or your service provider to determine which device may be causing the problem.
    Source             : RemoteAccess
    ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, The network connection between
                            your computer and the VPN server could not be established because the remote server is not
                            responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on)
                            between your computer and the remote server is not configured to allow VPN connections. Please
                            contact your Administrator or your service provider to determine which device may be causing the
                            problem.}
    InstanceId         : 20111
    TimeGenerated      : 3/18/2024 1:26:02 PM
    TimeWritten        : 3/18/2024 1:26:02 PM
    UserName           :
    Site               :
    Container          :
    
  • A chave compartilhada incorreta que está sendo especificada na configuração da interface de rede VPN do RRAS.

    EventID            : 20111
    MachineName        : on-premises-vm
    Data               : {233, 53, 0, 0}
    Index              : 14245
    Category           : (0)
    CategoryNumber     : 0
    EntryType          : Error
    Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                            interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                            successfully because of the following error: Internet key exchange (IKE) authentication credentials are unacceptable.
    
    Source             : RemoteAccess
    ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, IKE authentication credentials are
                            unacceptable.
                            }
    InstanceId         : 20111
    TimeGenerated      : 3/18/2024 1:34:22 PM
    TimeWritten        : 3/18/2024 1:34:22 PM
    UserName           :
    Site               :
    Container          :
    

Você também pode obter informações de log de eventos sobre tentativas de conexão por meio do serviço RRAS usando o seguinte comando do PowerShell:

Get-EventLog -LogName Application -Source RasClient | Format-List -Property *

No caso de uma falha na conexão, esse log conterá erros semelhantes aos seguintes:

EventID            : 20227
MachineName        : on-premises-vm
Data               : {}
Index              : 4203
Category           : (0)
CategoryNumber     : 0
EntryType          : Error
Message            : CoId={B4000371-A67F-452F-AA4C-3125AA9CFC78}: The user SYSTEM dialed a connection named
                        AzureGateway that has failed. The error code returned on failure is 809.
Source             : RasClient
ReplacementStrings : {{B4000371-A67F-452F-AA4C-3125AA9CFC78}, SYSTEM, AzureGateway, 809}
InstanceId         : 20227
TimeGenerated      : 3/18/2024 1:29:21 PM
TimeWritten        : 3/18/2024 1:29:21 PM
UserName           :
Site               :
Container          :

Verificar a conectividade

Verifique a conectividade e o roteamento no gateway de VPN. O dispositivo VPN pode não estar roteando corretamente o tráfego por meio do Gateway de VPN do Azure. Use uma ferramenta como PsPing para verificar a conectividade e o roteamento no gateway de VPN. Por exemplo, para testar a conectividade de um computador local para um servidor Web localizado na VNet, execute o seguinte comando (substituindo <<web-server-address>> pelo endereço do servidor Web):

PsPing -t <<web-server-address>>:80

Se o computador local puder rotear o tráfego para o servidor Web, você deverá ver uma saída semelhante à seguinte:

D:\PSTools> psping -t 10.20.0.5:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.0.5:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.0.5:80 (warmup): 6.21ms
Connecting to 10.20.0.5:80: 3.79ms
Connecting to 10.20.0.5:80: 3.44ms
Connecting to 10.20.0.5:80: 4.81ms

    Sent = 3, Received = 3, Lost = 0 (0% loss),
    Minimum = 3.44ms, Maximum = 4.81ms, Average = 4.01ms

Se o computador local não puder se comunicar com o destino especificado, você verá mensagens como esta:

D:\PSTools>psping -t 10.20.1.6:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.1.6:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.1.6:80 (warmup): This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80:
    Sent = 3, Received = 0, Lost = 3 (100% loss),
    Minimum = 0.00ms, Maximum = 0.00ms, Average = 0.00ms

Verifique se o firewall local permite que o tráfego VPN passe e se as portas corretas estão abertas.

Verifique se o dispositivo VPN local usa um método de criptografia compatível com o gateway de VPN do Azure. Para roteamento baseado em política, o gateway de VPN do Azure dá suporte aos algoritmos de criptografia AES256, AES128 e 3DES. Gateways baseados em rota dão suporte a AES256 e 3DES. Para obter mais informações, consulte Sobre dispositivos VPN e parâmetros IPsec/IKE para conexões de Gateway de VPN Site a Site.

Verificar se há problemas com o gateway de VPN do Azure

As seguintes recomendações são úteis para determinar se há um problema com o gateway de VPN do Azure:

Examine os logs de diagnóstico do gateway de VPN do Azure em busca de possíveis problemas. Para obter mais informações, por exemplo, passo a passo: capturando logs de diagnóstico do Gateway de VNet do Azure Resource Manager.

Verifique se o gateway de VPN do Azure e o dispositivo vpn local estão configurados com a mesma chave de autenticação compartilhada. Você pode exibir a chave compartilhada armazenada pelo gateway de VPN do Azure usando o seguinte comando da CLI do Azure:

azure network vpn-connection shared-key show <<resource-group>> <<vpn-connection-name>>

Use o comando apropriado para seu dispositivo VPN local para mostrar a chave compartilhada configurada para esse dispositivo.

Verifique se a sub-rede GatewaySubnet que contém o gateway de VPN do Azure não está associada a um NSG.

Você pode exibir os detalhes da sub-rede usando o seguinte comando da CLI do Azure:

azure network vnet subnet show -g <<resource-group>> -e <<vnet-name>> -n GatewaySubnet

Verifique se não há nenhum campo de dados chamado ID do Grupo de Segurança de Rede. O exemplo a seguir mostra os resultados de uma instância do gatewaySubnet que tem um NSG atribuído (VPN-Gateway-Group). Isso pode impedir que o gateway funcione corretamente se houver alguma regra definida para esse NSG.

C:\>azure network vnet subnet show -g profx-prod-rg -e profx-vnet -n GatewaySubnet
    info:    Executing command network vnet subnet show
    + Looking up virtual network "profx-vnet"
    + Looking up the subnet "GatewaySubnet"
    data:    Id                              : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/virtualNetworks/profx-vnet/subnets/GatewaySubnet
    data:    Name                            : GatewaySubnet
    data:    Provisioning state              : Succeeded
    data:    Address prefix                  : 10.20.3.0/27
    data:    Network Security Group id       : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/networkSecurityGroups/VPN-Gateway-Group
    info:    network vnet subnet show command OK

Verifique se as máquinas virtuais na VNet do Azure estão configuradas para permitir o tráfego proveniente de fora da VNet. Verifique as regras NSG associadas a sub-redes que contêm essas máquinas virtuais. Você pode exibir todas as regras do NSG usando o seguinte comando da CLI do Azure:

azure network nsg show -g <<resource-group>> -n <<nsg-name>>

Verifique se o gateway de VPN do Azure está conectado. Você pode usar o seguinte comando do Azure PowerShell para verificar o status atual da conexão VPN do Azure. O parâmetro <<connection-name>> é o nome da conexão VPN do Azure que vincula o gateway de rede virtual e o gateway local.

Get-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> - ResourceGroupName <<resource-group>>

Os snippets a seguir realçam a saída gerada se o gateway estiver conectado (o primeiro exemplo) e desconectados (o segundo exemplo):

PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : Connected
EgressBytesTransferred     : 55254803
IngressBytesTransferred    : 32227221
ProvisioningState          : Succeeded
...
PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection2 -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : NotConnected
EgressBytesTransferred     : 0
IngressBytesTransferred    : 0
ProvisioningState          : Succeeded
...

Problemas diversos

As recomendações a seguir são úteis para determinar se há um problema com a configuração da VM do host, a utilização da largura de banda de rede ou o desempenho do aplicativo:

  • Verifique a configuração do firewall. Verifique se o firewall no sistema operacional convidado em execução nas VMs do Azure na sub-rede está configurado corretamente para permitir o tráfego permitido dos intervalos de IP locais.

  • Verifique se o volume de tráfego não está perto do limite da largura de banda disponível para o gateway de VPN do Azure. Como verificar isso depende do dispositivo VPN em execução local. Por exemplo, se você estiver usando o RRAS no Windows Server, poderá usar o Monitor de Desempenho para acompanhar o volume de dados recebidos e transmitidos pela conexão VPN. Usando o objeto RAS Total, selecione os Bytes Recebidos/S e contadores de Transmitidos/S:

    contadores de desempenho para monitorar o tráfego de rede VPN

    Você deve comparar os resultados com a largura de banda disponível para o gateway de VPN (de 100 Mbps para a SKU Básica a 1,25 Gbps para o SKU vpnGw3):

    exemplo de grafo de desempenho de rede VPN

  • Verifique se você implantou o número e o tamanho corretos das VMs para a carga do aplicativo. Determine se alguma das máquinas virtuais na VNet do Azure está sendo executada lentamente. Nesse caso, eles podem estar sobrecarregados, pode haver muito poucos para lidar com a carga ou os balanceadores de carga podem não estar configurados corretamente. Para determinar isso, capturar e analisar informações de diagnóstico. Você pode examinar os resultados usando o portal do Azure, mas muitas ferramentas de terceiros também estão disponíveis que podem fornecer insights detalhados sobre os dados de desempenho.

    Você pode usar a Proteção contra DDoS do Azure para ajudar a proteger contra esgotamento de recursos mal-intencionados. a Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design do aplicativo, fornece recursos avançados de mitigação de DDoS para fornecer mais defesa contra ataques DDoS. Você deve habilitar proteção contra DDOS do Azure em qualquer rede virtual de perímetro.

  • Verifique se o aplicativo está fazendo uso eficiente de recursos de nuvem. Instrumentar o código do aplicativo em execução em cada VM para determinar se os aplicativos estão fazendo o melhor uso de recursos. Você pode usar ferramentas como Application Insights.

Próximas etapas

Documentação do produto:

Módulos do Microsoft Learn: