Compartilhar via

Visão geral da solução de problemas de VPN

  • Artigo

Os gateways de Rede Virtual fornecem conectividade entre os recursos locais e outras as Redes Virtuais do Azure. Monitorar gateways de rede virtual e suas conexões é essenciais para garantir que a comunicação não seja interrompida. O Observador de Rede fornece a capacidade de solucionar problemas dos gateways de rede virtual e suas conexões. Essa funcionalidade pode ser chamada pelo portal do Azure, pelo Azure PowerShell, pela CLI do Azure ou pela API REST. Quando chamado, o Observador de Rede diagnostica a integridade da conexão ou do gateway e retorna os resultados adequados. A solicitação é uma transação de longa execução. Os resultados são retornados quando o diagnóstico for concluído.

Screenshot of Azure Network Watcher VPN troubleshoot in the Azure portal.

Tipos de gateway com suporte

A tabela a seguir lista quais gateways e conexões têm suporte com a solução de problemas do Observador de Rede:

Gateway ou conexão Com suporte
Tipos de gateway
VPN Com suporte
ExpressRoute Sem suporte
Tipos de VPN
Baseada em Rota Com suporte
Baseada em Políticas Sem suporte
Tipos de conexão
IPsec Com suporte
VNet2VNet Com suporte
ExpressRoute Sem suporte
VPNClient Sem suporte

Resultados

Os resultados preliminares retornados fornecem uma visão geral da integridade do recurso. Mais informações podem ser fornecidas sobre os recursos, como mostrado na seção a seguir:

A lista a seguir contém os valores retornados com a API de solução de problemas:

  • startTime - esse valor indica a hora que a chamada da API de solução de problemas começou.
  • endTime - esse valor indica a hora que a solução de problemas foi concluída.
  • código: esse valor não é apresentado como UnHealthy (não íntegro), se houver uma única falha de diagnóstico.
  • results - é um conjunto de resultados retornados sobre a Conexão ou o gateway de rede virtual.
    • id - esse valor indica o tipo da falha.
    • summary - esse valor é um resumo da falha.
    • detailed - esse valor fornece uma descrição detalhada da falha.
    • recommendedActions - essa propriedade é um conjunto de ações recomendadas.
      • actionText - esse valor contém o texto que descreve a ação a ser executada.
      • actionUri - esse valor fornece o URI da documentação sobre como agir.
      • actionUriText - esse valor é uma breve descrição do texto de ação.

As tabelas a seguir mostram os diversos tipos de falha (id em resultados da lista anterior) que estão disponíveis e se a falha cria logs.

Gateway

Tipo de Falha Motivo Registro
NoFault Quando nenhum erro é detectado Sim
GatewayNotFound Não é possível localizar o gateway ou o gateway não está provisionado Não
PlannedMaintenance A instância do gateway está em manutenção Não
UserDrivenUpdate Essa falha ocorre quando uma atualização de um usuário está em andamento. A atualização pode ser uma operação de redimensionamento. Não
VipUnResponsive Essa falha ocorre quando a instância primária do gateway não pode ser acessada devido a uma falha de investigação de integridade. Não
PlatformInActive Há um problema com a plataforma. Não
ServiceNotRunning O serviço subjacente não está em execução. Não
NoConnectionsFoundForGateway Não existem conexões no gateway. Essa falha é apenas um aviso. Não
ConnectionsNotConnected As conexões não estão conectadas. Essa falha é apenas um aviso. Sim
GatewayCPUUsageExceeded O uso de CPU do gateway atual é de > 95%. Sim

Conexão

Tipo de Falha Motivo Registro
NoFault Quando nenhum erro é detectado Sim
GatewayNotFound Não é possível localizar o gateway ou o gateway não está provisionado Não
PlannedMaintenance A instância do gateway está em manutenção Não
UserDrivenUpdate Essa falha ocorre quando uma atualização de um usuário está em andamento. A atualização pode ser uma operação de redimensionamento. Não
VipUnResponsive Essa falha ocorre quando a instância primária do gateway não pode ser acessada devido a uma falha de investigação de integridade. Não
ConnectionEntityNotFound A configuração da conexão está ausente Não
ConnectionIsMarkedDisconnected A conexão está marcada como "desconectada" Não
ConnectionNotConfiguredOnGateway O serviço subjacente não tem a conexão configurada. Sim
ConnectionMarkedStandby O serviço subjacente está marcado como em espera. Sim
Autenticação Incompatibilidade de chave pré-compartilhada Sim
PeerReachability O gateway de mesmo nível não está acessível. Sim
IkePolicyMismatch O gateway de mesmo nível tem diretivas IKE que não são suportadas pelo Azure. Sim
WfpParse Error Ocorreu um erro ao analisar o log WFP. Sim

Arquivos de log

Os arquivos de log para solução de problemas de recursos são armazenados em uma conta de armazenamento após a conclusão da solução de problemas de recursos. A imagem a seguir mostra o conteúdo de exemplo de uma chamada que resultou em um erro.

Screenshot shows the content of the downloaded zipped log files.

Observação

  1. Em alguns casos, somente um subconjunto dos arquivos de log é gravado no armazenamento.
  2. Para versões mais recentes do Gateway, o IkeErrors.txt, Scrubbed-wfpdiag.txt e wfpdiag.txt.sum foram substituídos por um arquivo IkeLogs.txt que contém toda a atividade do IKE (não apenas erros).

Para obter instruções sobre como baixar arquivos de contas de armazenamento do Azure, consulte Baixar um blob de blocos. Outra ferramenta que pode ser usada é o Gerenciador de armazenamento. Para obter informações sobre o Gerenciador de Armazenamento do Azure, consulte Usar Gerenciador de Armazenamento do Azure para baixar blobs

ConnectionStats.txt

O arquivo ConnectionStats.txt contém estatísticas gerais da Conexão, incluindo bytes de entrada e saída, status da Conexão e a hora que a Conexão foi estabelecida.

Observação

Se a chamada para a API de solução de problemas retornar como íntegra, o único item retornado no arquivo zip será um arquivo ConnectionStats.txt.

O conteúdo desse arquivo é semelhante ao seguinte exemplo:

Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM

CPUStats.txt

O arquivo CPUStats.txt contém o uso da CPU e memória disponível no momento do teste. O conteúdo desse arquivo é semelhante ao seguinte exemplo:

Current CPU Usage : 0 % Current Memory Available : 641 MBs

IKElogs.txt

O arquivo IKElogs.txt contém as atividades do IKE encontradas durante o monitoramento.

O exemplo a seguir mostra o conteúdo de um arquivo de IKElogs.txt.

Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch

IKEErrors.txt

O arquivo IKEErrors.txt contém erros de IKE que foram encontrados durante o monitoramento.

O exemplo a seguir mostra o conteúdo de um arquivo de IKEErrors.txt. Seus erros podem ser diferentes dependendo do problema.

Error: Authentication failed. Check shared key. Check crypto. Check lifetimes. 
	 based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload. 
	 based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)

Scrubbed-wfpdiag.txt

O arquivo de log Scrubbed-wfpdiag.txt contém o log wfp. Esse log contém o registro de descarte do pacote e de falhas de IKE/AuthIP.

O exemplo a seguir mostra o conteúdo de um arquivo Scrubbed-wfpdiag.txt. Neste exemplo, a chave compartilhada de uma Conexão não está correta, como pode ser visto na terceira linha da parte inferior. O exemplo a seguir é apenas um snippet do log inteiro, já que, dependendo do problema, o log pode ser demorado.

...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Local address: 13.78.238.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Remote address: 52.161.24.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Failure point: Remote
...

wfpdiag.txt.sum

O arquivo wfpdiag.txt.sum é um log que exibe buffers e eventos processados.

O exemplo a seguir é o conteúdo de um arquivo wfpdiag.txt.sum.

Files Processed:
	C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events  Processed 2169
Total Events  Lost      0
Total Format  Errors    0
Total Formats Unknown   486
Elapsed Time            330 sec
+-----------------------------------------------------------------------------------+
|EventCount    EventName            EventType   TMF                                 |
+-----------------------------------------------------------------------------------+
|        36    ikeext               ike_addr_utils_c844  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        12    ikeext               ike_addr_utils_c857  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        96    ikeext               ike_addr_utils_c832  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|         6    ikeext               ike_bfe_callbacks_c133  1dc2d67f-8381-6303-e314-6c1452eeb529|
|         6    ikeext               ike_bfe_callbacks_c61  1dc2d67f-8381-6303-e314-6c1452eeb529|
|        12    ikeext               ike_sa_management_c5698  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c8447  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c494  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c642  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c3162  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c3307  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|

Considerações

  • Somente uma operação de solução de problemas pode ser executada de cada vez por assinatura. Para executar outra operação de solução de problemas, aguarde até que a anterior seja concluída. Disparar uma nova operação enquanto uma anterior não foi concluída faz com que as operações subsequentes falhem.
  • Bug da CLI: se você estiver usando a CLI do Azure para executar o comando, o Gateway de VPN e a Conta de armazenamento precisarão estar no mesmo grupo de recursos. Os clientes com os recursos em grupos de recursos diferentes podem usar o PowerShell ou o portal do Azure em vez disso.

Próxima etapa

Para saber como diagnosticar um problema com um gateway ou conexão de gateway, consulte Diagnosticar problemas de comunicação entre redes virtuais.