Este artigo fornece algumas dicas para solucionar problemas de uma conexão de gateway VPN entre uma rede local e o Azure. Para obter informações gerais sobre como solucionar erros comuns relacionados a VPN, consulte Solução de problemas de erros comuns relacionados a VPN.
Verifique se o dispositivo VPN está funcionando corretamente
As recomendações a seguir são úteis para determinar se seu dispositivo VPN local está funcionando corretamente.
Verifique se há erros ou falhas em todos os arquivos de log gerados pelo dispositivo VPN. Isso ajudará você a determinar se o dispositivo VPN está funcionando corretamente. A localização destas informações irá variar de acordo com o seu aparelho. Por exemplo, se você estiver usando o RRAS no Windows Server, poderá usar o seguinte comando do PowerShell para exibir informações de eventos de erro para o serviço RRAS:
Get-EventLog -LogName System -EntryType Error -Source RemoteAccess | Format-List -Property *
A propriedade Message de cada entrada fornece uma descrição do erro. Alguns exemplos comuns são:
Incapacidade de conexão, possivelmente devido a um endereço IP incorreto especificado para o gateway de VPN do Azure na configuração da interface de rede VPN RRAS.
EventID : 20111 MachineName : on-premises-vm Data : {41, 3, 0, 0} Index : 14231 Category : (0) CategoryNumber : 0 EntryType : Error Message : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete successfully because of the following error: The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem. Source : RemoteAccess ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.} InstanceId : 20111 TimeGenerated : 3/18/2024 1:26:02 PM TimeWritten : 3/18/2024 1:26:02 PM UserName : Site : Container :A chave compartilhada errada que está sendo especificada na configuração da interface de rede VPN RRAS.
EventID : 20111 MachineName : on-premises-vm Data : {233, 53, 0, 0} Index : 14245 Category : (0) CategoryNumber : 0 EntryType : Error Message : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete successfully because of the following error: Internet key exchange (IKE) authentication credentials are unacceptable. Source : RemoteAccess ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, IKE authentication credentials are unacceptable. } InstanceId : 20111 TimeGenerated : 3/18/2024 1:34:22 PM TimeWritten : 3/18/2024 1:34:22 PM UserName : Site : Container :
Você também pode obter informações de log de eventos sobre tentativas de conexão por meio do serviço RRAS usando o seguinte comando do PowerShell:
Get-EventLog -LogName Application -Source RasClient | Format-List -Property *
Em caso de falha na conexão, esse log conterá erros semelhantes aos seguintes:
EventID : 20227
MachineName : on-premises-vm
Data : {}
Index : 4203
Category : (0)
CategoryNumber : 0
EntryType : Error
Message : CoId={B4000371-A67F-452F-AA4C-3125AA9CFC78}: The user SYSTEM dialed a connection named
AzureGateway that has failed. The error code returned on failure is 809.
Source : RasClient
ReplacementStrings : {{B4000371-A67F-452F-AA4C-3125AA9CFC78}, SYSTEM, AzureGateway, 809}
InstanceId : 20227
TimeGenerated : 3/18/2024 1:29:21 PM
TimeWritten : 3/18/2024 1:29:21 PM
UserName :
Site :
Container :
Verificar a conectividade
Verifique a conectividade e o roteamento no gateway de VPN. O dispositivo VPN pode não estar roteando corretamente o tráfego por meio do Gateway de VPN do Azure. Use uma ferramenta como PsPing para verificar a conectividade e o roteamento no gateway de VPN. Por exemplo, para testar a conectividade de uma máquina local para um servidor Web localizado na rede virtual, execute o seguinte comando (substituindo <<web-server-address>> pelo endereço do servidor Web):
PsPing -t <<web-server-address>>:80
Se a máquina local puder rotear o tráfego para o servidor Web, você verá uma saída semelhante à seguinte:
D:\PSTools> psping -t 10.20.0.5:80
PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
TCP connect to 10.20.0.5:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.0.5:80 (warmup): 6.21ms
Connecting to 10.20.0.5:80: 3.79ms
Connecting to 10.20.0.5:80: 3.44ms
Connecting to 10.20.0.5:80: 4.81ms
Sent = 3, Received = 3, Lost = 0 (0% loss),
Minimum = 3.44ms, Maximum = 4.81ms, Average = 4.01ms
Se a máquina local não puder se comunicar com o destino especificado, você verá mensagens como esta:
D:\PSTools>psping -t 10.20.1.6:80
PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
TCP connect to 10.20.1.6:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.1.6:80 (warmup): This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80:
Sent = 3, Received = 0, Lost = 3 (100% loss),
Minimum = 0.00ms, Maximum = 0.00ms, Average = 0.00ms
Verifique se o firewall local permite a passagem do tráfego VPN e se as portas corretas estão abertas.
Verifique se o dispositivo VPN local usa um método de criptografia compatível com o gateway de VPN do Azure. Para roteamento baseado em política, o gateway de VPN do Azure dá suporte aos algoritmos de criptografia AES256, AES128 e 3DES. Os gateways baseados em rota suportam AES256 e 3DES. Para obter mais informações, consulte Sobre dispositivos VPN e parâmetros IPsec/IKE para conexões de Gateway VPN Site a Site.
Verificar se há problemas com o gateway de VPN do Azure
As recomendações a seguir são úteis para determinar se há um problema com o gateway de VPN do Azure:
Examine os logs de diagnóstico do gateway de VPN do Azure em busca de possíveis problemas. Para obter mais informações, ee Passo-a-Passo: Capturando Logs de Diagnóstico do Gateway VNet do Azure Resource Manager.
Verifique se o gateway de VPN do Azure e o dispositivo VPN local estão configurados com a mesma chave de autenticação compartilhada. Você pode exibir a chave compartilhada armazenada pelo gateway de VPN do Azure usando o seguinte comando da CLI do Azure:
azure network vpn-connection shared-key show <<resource-group>> <<vpn-connection-name>>
Use o comando apropriado para seu dispositivo VPN local para mostrar a chave compartilhada configurada para esse dispositivo.
Verifique se a sub-rede GatewaySubnet que contém o gateway de VPN do Azure não está associada a um NSG.
Você pode exibir os detalhes da sub-rede usando o seguinte comando da CLI do Azure:
azure network vnet subnet show -g <<resource-group>> -e <<vnet-name>> -n GatewaySubnet
Verifique se não há nenhum campo de dados chamado ID do Grupo de Segurança de Rede. O exemplo a seguir mostra os resultados de uma instância do GatewaySubnet que tem um NSG atribuído (VPN-Gateway-Group). Isso pode impedir que o gateway funcione corretamente se houver regras definidas para esse NSG.
C:\>azure network vnet subnet show -g profx-prod-rg -e profx-vnet -n GatewaySubnet
info: Executing command network vnet subnet show
+ Looking up virtual network "profx-vnet"
+ Looking up the subnet "GatewaySubnet"
data: Id : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/virtualNetworks/profx-vnet/subnets/GatewaySubnet
data: Name : GatewaySubnet
data: Provisioning state : Succeeded
data: Address prefix : 10.20.3.0/27
data: Network Security Group id : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/networkSecurityGroups/VPN-Gateway-Group
info: network vnet subnet show command OK
Verifique se as máquinas virtuais na VNet do Azure estão configuradas para permitir o tráfego vindo de fora da VNet. Verifique todas as regras NSG associadas a sub-redes que contenham essas máquinas virtuais. Você pode exibir todas as regras do NSG usando o seguinte comando da CLI do Azure:
azure network nsg show -g <<resource-group>> -n <<nsg-name>>
Verifique se o gateway de VPN do Azure está conectado. Você pode usar o seguinte comando do Azure PowerShell para verificar o status atual da conexão VPN do Azure. O parâmetro <<connection-name>> é o nome da conexão VPN do Azure que vincula o gateway de rede virtual e o gateway local.
Get-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> - ResourceGroupName <<resource-group>>
Os trechos a seguir destacam a saída gerada se o gateway estiver conectado (o primeiro exemplo) e desconectado (o segundo exemplo):
PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection -ResourceGroupName profx-prod-rg
AuthorizationKey :
VirtualNetworkGateway1 : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2 :
LocalNetworkGateway2 : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer :
ConnectionType : IPsec
RoutingWeight : 0
SharedKey : ####################################
ConnectionStatus : Connected
EgressBytesTransferred : 55254803
IngressBytesTransferred : 32227221
ProvisioningState : Succeeded
...
PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection2 -ResourceGroupName profx-prod-rg
AuthorizationKey :
VirtualNetworkGateway1 : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2 :
LocalNetworkGateway2 : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer :
ConnectionType : IPsec
RoutingWeight : 0
SharedKey : ####################################
ConnectionStatus : NotConnected
EgressBytesTransferred : 0
IngressBytesTransferred : 0
ProvisioningState : Succeeded
...
Questões diversas
As recomendações a seguir são úteis para determinar se há um problema com a configuração da VM do host, a utilização da largura de banda da rede ou o desempenho do aplicativo:
Verifique a configuração do firewall. Verifique se o firewall no sistema operacional convidado em execução nas VMs do Azure na sub-rede está configurado corretamente para permitir o tráfego permitido dos intervalos de IP locais.
Verifique se o volume de tráfego não está perto do limite da largura de banda disponível para o gateway de VPN do Azure. Como verificar isso depende do dispositivo VPN em execução no local. Por exemplo, se estiver a utilizar o RRAS no Windows Server, pode utilizar o Monitor de Desempenho para controlar o volume de dados recebidos e transmitidos através da ligação VPN. Usando o objeto Total RAS, selecione os contadores Bytes Recebidos/s e Bytes Transmitidos/Seg:
Contadores de desempenho
Você deve comparar os resultados com a largura de banda disponível para o gateway VPN (de 100 Mbps para o SKU Básico a 1,25 Gbps para o SKU VpnGw3):
Verifique se você implantou o número e o tamanho corretos de VMs para a carga do aplicativo. Determine se alguma das máquinas virtuais na VNet do Azure está sendo executada lentamente. Se assim for, eles podem estar sobrecarregados, pode haver muito pouco para lidar com a carga, ou os balanceadores de carga podem não estar configurados corretamente. Para determinar isso, capturar e analisar informações de diagnóstico. Você pode examinar os resultados usando o portal do Azure, mas muitas ferramentas de terceiros também estão disponíveis que podem fornecer informações detalhadas sobre os dados de desempenho.
Você pode usar a Proteção contra DDoS do Azure para ajudar a proteger contra o esgotamento de recursos mal-intencionados. de Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques DDoS. Você deve habilitar de Proteção DDOS do Azure em qualquer rede virtual de perímetro.
Verifique se o aplicativo está fazendo uso eficiente dos recursos da nuvem. Instrumente o código do aplicativo em execução em cada VM para determinar se os aplicativos estão fazendo o melhor uso dos recursos. Você pode usar ferramentas como Application Insights.
Próximos passos
Documentação do produto:
- máquinas virtuais Linux no Azure
- O que é o Azure PowerShell?
- O que é a Rede Virtual do Azure?
- O que é a CLI do Azure?
- O que é VPN Gateway?
- máquinas virtuais do Windows no Azure
Módulos do Microsoft Learn:
- Configurar recursos do Azure com ferramentas
- Configurar o do Gateway VPN
- Criar uma máquina virtual Linux no Azure
- Criar uma máquina virtual do Windows no Azure