Řešení problémů: Připojení Azure site-to-site VPN se nemůže připojit a přestane fungovat
Jakmile nakonfigurujete připojení VPN typu site-to-site mezi místní sítí a virtuální sítí Azure, připojení VPN náhle přestane fungovat a nejde se znovu připojit. Tento článek obsahuje postup řešení potíží, který vám pomůže tento problém vyřešit.
Pokud váš problém s Azure není v tomto článku vyřešený, navštivte fóra Azure na webu Microsoft Q &A a Stack Overflow. Svůj problém můžete publikovat na těchto fórech nebo publikovat na @AzureSupport na Twitteru. Můžete také odeslat podpora Azure žádost. Pokud chcete odeslat žádost o podporu, na stránce podpora Azure vyberte Získat podporu.
Postup při řešení potíží
Pokud chcete tento problém vyřešit, zkuste nejprve resetovat bránu Azure VPN a resetovat tunel z místního zařízení VPN. Pokud problém přetrvává, identifikujte příčinu problému pomocí těchto kroků.
Požadovaný krok
Zkontrolujte typ brány Azure VPN.
Přejděte na Azure Portal.
Přejděte do brány virtuální sítě pro vaši virtuální síť. Na stránce Přehled se zobrazí typ brány, typ sítě VPN a skladová položka brány.
Krok 1: Kontrola ověření místního zařízení VPN
Zkontrolujte, jestli používáte ověřené zařízení VPN a verzi operačního systému. Pokud zařízení není ověřené zařízení VPN, možná budete muset kontaktovat výrobce zařízení a zjistit, jestli nedošlo k problému s kompatibilitou.
Ujistěte se, že je zařízení VPN správně nakonfigurované. Další informace najdete v tématu Úprava ukázek konfigurace zařízení.
Krok 2: Ověření sdíleného klíče
Porovnejte sdílený klíč pro místní zařízení VPN s klíčem virtuální sítě Azure a ujistěte se, že se klíče shodují.
Pokud chcete zobrazit sdílený klíč pro připojení Azure VPN, použijte jednu z následujících metod:
Azure Portal
Přejděte na službu VPN Gateway. Na stránce Připojení vyhledejte a otevřete připojení.
Vyberte Typ ověřování. V případě potřeby sdílený klíč aktualizujte a uložte.
Azure PowerShell
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Model nasazení Azure Resource Manageru:
Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>
Model nasazení Classic:
Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName
Krok 3: Ověření IP adres partnerských uzlů VPN
- Definice IP adresy v objektu brány místní sítě v Azure by se měla shodovat s IP adresou místního zařízení.
- Definice IP adresy brány Azure nastavené na místním zařízení by se měla shodovat s IP adresou brány Azure.
Krok 4: Kontrola trasy definované uživatelem a skupin zabezpečení sítě v podsíti brány
Zkontrolujte a odeberte uživatelem definované směrování (UDR) nebo skupiny zabezpečení sítě (NSG) v podsíti brány a pak otestujte výsledek. Pokud se problém vyřeší, ověřte nastavení, která použila definovaná uživatelem nebo skupina zabezpečení sítě.
Krok 5: Kontrola adresy externího rozhraní místního zařízení VPN
Pokud je internetová IP adresa zařízení VPN zahrnutá v definici místní sítě v Azure, může docházet k občasné odpojení.
Krok 6: Ověření, že se podsítě přesně shodují (brány založené na zásadách Azure)
- Ověřte, že se adresní prostory virtuální sítě přesně shodují mezi virtuální sítí Azure a místními definicemi.
- Ověřte, že se podsítě přesně shodují mezi bránou místní sítě a místními definicemi pro místní síť.
Krok 7: Ověření sondy stavu brány Azure
Otevřete sondu stavu tak, že přejdete na následující adresu URL:
https://<YourVirtualNetworkGatewayIP>:8081/healthprobe
V případě bran v konfiguraci aktivní-aktivní zkontrolujte druhou veřejnou IP adresu pomocí následujícího postupu:
https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe
Proklikejte se přes upozornění certifikátu.
Pokud obdržíte odpověď, předpokládá se, že je brána VPN v pořádku. Pokud odpověď neobdržíte, brána nemusí být v pořádku nebo problém způsobuje skupina zabezpečení sítě (NSG) v podsíti brány. Následující text představuje příklad odpovědi:
<?xml version="1.0"?> <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
Poznámka:
Brány VPN základní skladové položky neodpoví na sondu stavu. Nedoporučuje se pro produkční úlohy.
Krok 8: Zkontrolujte, jestli má místní zařízení VPN povolenou funkci dokonalého předávání tajemství.
Perfektní funkce předávání tajemství může způsobit problémy s odpojením. Pokud má zařízení VPN povoleno dokonalé předávání tajemství, zakažte tuto funkci. Pak aktualizujte zásady protokolu IPsec brány VPN.
Poznámka:
Brány VPN na místní adrese neodpovídají na PROTOKOL ICMP.