Problembehandlung: Eine Azure Site-to-Site-VPN-Verbindung kann nicht hergestellt werden und reagiert nicht mehr

Nach dem Konfigurieren einer Site-to-Site-VPN-Verbindung zwischen einem lokalen Netzwerk und einem virtuellen Azure-Netzwerk wird die VPN-Verbindung plötzlich getrennt und kann nicht wieder hergestellt werden. Dieser Artikel enthält Schritte, mit denen Sie dieses Problem beheben können.

Besuchen Sie die Azure-Foren von Microsoft Q&A und Stack Overflow, falls Sie Ihr Azure-Problem mit diesem Artikel nicht beheben konnten. Sie können Ihr Problem in diesen Foren oder an @AzureSupport auf Twitter posten. Sie können auch eine Azure-Supportanfrage senden. Wenn Sie eine Supportanfrage senden möchten, wählen Sie auf der Azure-Support-Seite die Option Support erhalten aus.

Schritte zur Problembehandlung

Um das Problem zu beheben, versuchen Sie zunächst das VPN-Gateway von Azure und den Tunnel des lokalen VPN-Geräts zurückzusetzen. Sollte das Problem weiterhin bestehen, gehen Sie folgendermaßen vor, um die Ursache des Problems zu identifizieren.

Voraussetzung

Überprüfen Sie den Typ des Azure-VPN-Gateways.

1. Öffnen Sie das Azure-Portal.

2. Wechseln Sie zum virtuellen Netzwerkgateway für Ihr VNet. Auf der Seite Übersicht sehen Sie den Gatewaytyp, den VPN-Typ und die Gateway-SKU.

Schritt 1: Überprüfen, ob das lokale VPN-Gerät validiert wurde

1. Überprüfen Sie, ob Sie ein validiertes VPN-Gerät und eine validierte Betriebssystemversion verwenden. Wenn das Gerät kein validiertes VPN-Gerät ist, sollten Sie sich an den Gerätehersteller wenden, um zu überprüfen, ob ein Kompatibilitätsproblem vorliegt.

2. Stellen Sie sicher, dass das VPN-Gerät ordnungsgemäß konfiguriert ist. Weitere Informationen finden Sie unter Bearbeiten der Gerätekonfigurationsvorlagen.

Schritt 2: Überprüfen des gemeinsam verwendeten Schlüssels

Vergleichen Sie den gemeinsam verwendeten Schlüssel des lokalen VPN-Geräts und des Azure Virtual Network-VPNs, um sicherzustellen, dass die Schlüssel übereinstimmen.

Verwenden Sie zum Anzeigen des gemeinsamen Schlüssels für die Azure-VPN-Verbindung eine der folgenden Methoden:

Azure-Portal

1. Wechseln Sie zum VPN-Gateway. Suchen und öffnen Sie die Verbindung auf der Seite Verbindungen.

2. Wählen Sie Authentifizierungstyp aus. Aktualisieren und speichern Sie den freigegebenen Schlüssel bei Bedarf.

Azure PowerShell

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Für das Azure Resource Manager-Bereitstellungsmodell:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

Für das klassische Bereitstellungsmodell:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Schritt 3: Überprüfen der IP-Adressen des VPN-Peers

• Die IP-Definition im Objekt Lokales Netzwerkgateway in Azure muss mit der IP-Adresse des lokalen Geräts übereinstimmen.
• Die Azure-Gateway-IP-Definition, die auf dem lokalen Gerät festgelegt ist, muss der Azure-Gateway-IP-Adresse entsprechen.

Schritt 4: Überprüfen von UDR und NSGs im Gatewaysubnetz

Suchen und Entfernen Sie benutzerdefiniertes routing (UDR) oder Netzwerksicherheitsgruppen (NSG) auf dem Gatewaysubnetz, und testen Sie dann das Ergebnis. Wenn das Problem behoben wurde, überprüfen Sie die vom UDR oder den NSG angewendeten Einstellungen.

Schritt 5: Überprüfen der Adresse der externen Schnittstelle des lokalen VPN-Geräts

Wenn die IP-Adresse des VPN-Geräts mit Internetzugriff in der Definition Lokales Netzwerk in Azure enthalten ist, kann es vereinzelt zur Trennung der Verbindung kommen.

Schritt 6: Überprüfen, ob die Subnetze genau übereinstimmen (auf Azure-Richtlinien basierende Gateways)

• Stellen Sie sicher, dass der Adressraum bzw. die Adressräume des virtuellen Netzwerks zwischen dem virtuellen Netzwerk in Azure und den lokalen Definitionen genau übereinstimmen.
• Stellen Sie sicher, dass die Subnetze zwischen dem lokalen Netzwerkgateway und den lokalen Definitionen für das lokale Netzwerk genau übereinstimmen.

Schritt 7: Verifizieren des Azure-Gatewayintegritätstests

1. Öffnen Sie den Integritätstest, indem Sie zu der folgenden URL wechseln:

   https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

   Für Aktiv/Aktiv-Gateways verwenden Sie Folgendes, um die zweite öffentliche IP-Adresse zu überprüfen:
   

   https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

2. Klicken Sie sich durch die Zertifikatswarnung.

3. Wenn Sie eine Antwort erhalten, wird das VPN-Gateway als integer betrachtet. Wenn Sie keine Antwort erhalten, ist das Gateway möglicherweise nicht fehlerfrei, oder auf dem Gatewaysubnetz ist eine NSG vorhanden, die das Problem verursacht. Der folgende Text ist eine Beispielantwort:

   <?xml version="1.0"?>
   <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
   

Hinweis

Grundlegende SKU-VPN-Gateways reagieren nicht auf den Integritätstest. Dies wird für Produktionsworkloads nicht empfohlen.

Schritt 8: Überprüfen, ob das Feature „Perfect Forward Secrecy“ auf dem lokalen VPN-Gerät aktiviert ist

Die Funktion Perfect Forward Secrecy kann die Probleme mit der Trennung der Verbindung verursachen. Wenn beim VPN-Gerät Perfect Forward Secrecy aktiviert ist, sollten Sie diese Funktion deaktivieren. Aktualisieren Sie dann die VPN-Gateway-IPsec-Richtlinie.

Hinweis

VPN-Gateways antworten über ihre lokale Adresse nicht auf ICMP.

Nächste Schritte

• Erstellen einer Site-to-Site-Verbindung im Azure-Portal
• Konfigurieren einer IPsec/IKE-Richtlinie für Site-to-Site-VPN-Verbindungen