Problembehandlung bei einer Hybrid-VPN-Verbindung

Azure Virtual Network

Azure VPN Gateway

Windows Server

Dieser Artikel enthält einige Tipps für die Problembehandlung einer VPN-Gatewayverbindung zwischen einem lokalen Netzwerk und Azure. Allgemeine Informationen zur Problembehandlung allgemeiner VPN-bezogener Fehler finden Sie unter Problembehandlung allgemeiner VPN-bezogene Fehler.

Überprüfen, ob die VPN-Appliance ordnungsgemäß funktioniert

Die folgenden Empfehlungen sind hilfreich, um festzustellen, ob Ihre lokale VPN-Appliance ordnungsgemäß funktioniert.

Überprüfen Sie alle Von der VPN-Appliance generierten Protokolldateien auf Fehler oder Fehler. Auf diese Weise können Sie ermitteln, ob die VPN-Appliance ordnungsgemäß funktioniert. Die Position dieser Informationen variiert je nach Appliance. Wenn Sie z. B. RRAS auf Windows Server verwenden, können Sie den folgenden PowerShell-Befehl verwenden, um Fehlerereignisinformationen für den RRAS-Dienst anzuzeigen:

Get-EventLog -LogName System -EntryType Error -Source RemoteAccess | Format-List -Property *

Die Message-Eigenschaft jedes Eintrags enthält eine Beschreibung des Fehlers. Einige gängige Beispiele sind:

• Die Verbindung kann nicht hergestellt werden, möglicherweise aufgrund einer falschen IP-Adresse, die für das Azure VPN-Gateway in der Konfiguration der RRAS VPN-Netzwerkschnittstelle angegeben ist.

  EventID            : 20111
  MachineName        : on-premises-vm
  Data               : {41, 3, 0, 0}
  Index              : 14231
  Category           : (0)
  CategoryNumber     : 0
  EntryType          : Error
  Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                          interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                          successfully because of the following error: The network connection between your computer and
                          the VPN server could not be established because the remote server is not responding. This could
                          be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer
                          and the remote server is not configured to allow VPN connections. Please contact your
                          Administrator or your service provider to determine which device may be causing the problem.
  Source             : RemoteAccess
  ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, The network connection between
                          your computer and the VPN server could not be established because the remote server is not
                          responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on)
                          between your computer and the remote server is not configured to allow VPN connections. Please
                          contact your Administrator or your service provider to determine which device may be causing the
                          problem.}
  InstanceId         : 20111
  TimeGenerated      : 3/18/2024 1:26:02 PM
  TimeWritten        : 3/18/2024 1:26:02 PM
  UserName           :
  Site               :
  Container          :
  

• Der falsche freigegebene Schlüssel, der in der RRAS VPN-Netzwerkschnittstellenkonfiguration angegeben wird.

  EventID            : 20111
  MachineName        : on-premises-vm
  Data               : {233, 53, 0, 0}
  Index              : 14245
  Category           : (0)
  CategoryNumber     : 0
  EntryType          : Error
  Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                          interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                          successfully because of the following error: Internet key exchange (IKE) authentication credentials are unacceptable.
  
  Source             : RemoteAccess
  ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, IKE authentication credentials are
                          unacceptable.
                          }
  InstanceId         : 20111
  TimeGenerated      : 3/18/2024 1:34:22 PM
  TimeWritten        : 3/18/2024 1:34:22 PM
  UserName           :
  Site               :
  Container          :
  

Sie können auch Ereignisprotokollinformationen zu versuchen, über den RRAS-Dienst eine Verbindung herzustellen, mithilfe des folgenden PowerShell-Befehls abrufen:

Get-EventLog -LogName Application -Source RasClient | Format-List -Property *

Im Falle eines Fehlers beim Herstellen einer Verbindung enthält dieses Protokoll Fehler, die ähnlich wie folgt aussehen:

EventID            : 20227
MachineName        : on-premises-vm
Data               : {}
Index              : 4203
Category           : (0)
CategoryNumber     : 0
EntryType          : Error
Message            : CoId={B4000371-A67F-452F-AA4C-3125AA9CFC78}: The user SYSTEM dialed a connection named
                        AzureGateway that has failed. The error code returned on failure is 809.
Source             : RasClient
ReplacementStrings : {{B4000371-A67F-452F-AA4C-3125AA9CFC78}, SYSTEM, AzureGateway, 809}
InstanceId         : 20227
TimeGenerated      : 3/18/2024 1:29:21 PM
TimeWritten        : 3/18/2024 1:29:21 PM
UserName           :
Site               :
Container          :

Überprüfen der Konnektivität

Überprüfen Sie die Konnektivität und das Routing über das VPN-Gateway. Die VPN-Appliance wird möglicherweise nicht ordnungsgemäß über das Azure VPN-Gateway weitergeleitet. Verwenden Sie ein Tool wie PsPing-, um die Konnektivität und das Routing über das VPN-Gateway zu überprüfen. Um beispielsweise die Konnektivität von einem lokalen Computer mit einem Webserver zu testen, der sich auf dem VNet befindet, führen Sie den folgenden Befehl aus (ersetzen sie <<web-server-address>> durch die Adresse des Webservers):

PsPing -t <<web-server-address>>:80

Wenn der lokale Computer Datenverkehr an den Webserver weiterleiten kann, sollte die Ausgabe ähnlich wie folgt angezeigt werden:

D:\PSTools> psping -t 10.20.0.5:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.0.5:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.0.5:80 (warmup): 6.21ms
Connecting to 10.20.0.5:80: 3.79ms
Connecting to 10.20.0.5:80: 3.44ms
Connecting to 10.20.0.5:80: 4.81ms

    Sent = 3, Received = 3, Lost = 0 (0% loss),
    Minimum = 3.44ms, Maximum = 4.81ms, Average = 4.01ms

Wenn der lokale Computer nicht mit dem angegebenen Ziel kommunizieren kann, werden Nachrichten wie folgt angezeigt:

D:\PSTools>psping -t 10.20.1.6:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.1.6:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.1.6:80 (warmup): This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80:
    Sent = 3, Received = 0, Lost = 3 (100% loss),
    Minimum = 0.00ms, Maximum = 0.00ms, Average = 0.00ms

Überprüfen Sie, ob die lokale Firewall vpn-Datenverkehr übergeben und die richtigen Ports geöffnet werden kann.

Stellen Sie sicher, dass die lokale VPN-Appliance eine Verschlüsselungsmethode verwendet, die mit dem Azure VPN-Gateway kompatibel ist. Für richtlinienbasiertes Routing unterstützt das Azure VPN-Gateway die Verschlüsselungsalgorithmen AES256, AES128 und 3DES. Routingbasierte Gateways unterstützen AES256 und 3DES. Weitere Informationen finden Sie unter Informationen zu VPN-Geräten und IPsec/IKE-Parametern für Standort-zu-Standort-VPN-Gatewayverbindungen.

Überprüfen auf Probleme mit dem Azure VPN-Gateway

Die folgenden Empfehlungen sind hilfreich, um festzustellen, ob ein Problem mit dem Azure VPN-Gateway vorliegt:

Untersuchen Sie Die Diagnoseprotokolle des Azure VPN-Gateways auf potenzielle Probleme. Weitere Informationen finden Sie Schritt-für-Schritt: Erfassen von Azure Resource Manager-VNet-Gateway-Diagnoseprotokollen.

Stellen Sie sicher, dass das Azure VPN-Gateway und die lokale VPN-Appliance mit demselben gemeinsam genutzten Authentifizierungsschlüssel konfiguriert sind. Sie können den vom Azure-VPN-Gateway gespeicherten freigegebenen Schlüssel mit dem folgenden Azure CLI-Befehl anzeigen:

azure network vpn-connection shared-key show <<resource-group>> <<vpn-connection-name>>

Verwenden Sie den befehl, der für Ihre lokale VPN-Appliance geeignet ist, um den für diese Appliance konfigurierten gemeinsam genutzten Schlüssel anzuzeigen.

Vergewissern Sie sich, dass das GatewaySubnet- Subnetz, das das Azure-VPN-Gateway enthält, keinem NSG zugeordnet ist.

Sie können die Subnetzdetails mit dem folgenden Azure CLI-Befehl anzeigen:

azure network vnet subnet show -g <<resource-group>> -e <<vnet-name>> -n GatewaySubnet

Stellen Sie sicher, dass kein Datenfeld mit dem Namen Netzwerksicherheitsgruppen-IDvorhanden ist. Das folgende Beispiel zeigt die Ergebnisse für eine Instanz der GatewaySubnet- mit zugewiesenem NSG (VPN-Gateway-Group-). Dadurch kann verhindert werden, dass das Gateway ordnungsgemäß funktioniert, wenn für diese NSG Regeln definiert sind.

C:\>azure network vnet subnet show -g profx-prod-rg -e profx-vnet -n GatewaySubnet
    info:    Executing command network vnet subnet show
    + Looking up virtual network "profx-vnet"
    + Looking up the subnet "GatewaySubnet"
    data:    Id                              : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/virtualNetworks/profx-vnet/subnets/GatewaySubnet
    data:    Name                            : GatewaySubnet
    data:    Provisioning state              : Succeeded
    data:    Address prefix                  : 10.20.3.0/27
    data:    Network Security Group id       : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/networkSecurityGroups/VPN-Gateway-Group
    info:    network vnet subnet show command OK

Stellen Sie sicher, dass die virtuellen Computer im Azure VNet so konfiguriert sind, dass Datenverkehr von außerhalb des VNet zugelassen wird. Überprüfen Sie alle NSG-Regeln, die Mit Subnetzen verknüpft sind, die diese virtuellen Computer enthalten. Sie können alle NSG-Regeln mithilfe des folgenden Azure CLI-Befehls anzeigen:

azure network nsg show -g <<resource-group>> -n <<nsg-name>>

Stellen Sie sicher, dass das Azure VPN-Gateway verbunden ist. Sie können den folgenden Azure PowerShell-Befehl verwenden, um den aktuellen Status der Azure VPN-Verbindung zu überprüfen. Der parameter <<connection-name>> ist der Name der Azure VPN-Verbindung, die das virtuelle Netzwerkgateway und das lokale Gateway verbindet.

Get-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> - ResourceGroupName <<resource-group>>

Die folgenden Codeausschnitte markieren die ausgabe, die generiert wird, wenn das Gateway verbunden ist (das erste Beispiel) und getrennt (das zweite Beispiel):

PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : Connected
EgressBytesTransferred     : 55254803
IngressBytesTransferred    : 32227221
ProvisioningState          : Succeeded
...

PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection2 -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : NotConnected
EgressBytesTransferred     : 0
IngressBytesTransferred    : 0
ProvisioningState          : Succeeded
...

Verschiedene Probleme

Die folgenden Empfehlungen sind hilfreich, um festzustellen, ob ein Problem mit der Host-VM-Konfiguration, der Netzwerkbandbreitenauslastung oder der Anwendungsleistung auftritt:

• Überprüfen Sie die Firewallkonfiguration. Stellen Sie sicher, dass die Firewall im Gastbetriebssystem, die auf den Azure-VMs im Subnetz ausgeführt wird, ordnungsgemäß konfiguriert ist, um zulässigen Datenverkehr aus den lokalen IP-Bereichen zuzulassen.

• Stellen Sie sicher, dass das Datenverkehrsvolumen nicht nahe am Grenzwert der Bandbreite liegt, die für das Azure VPN-Gateway verfügbar ist. Wie Sie dies überprüfen, hängt von der VPN-Appliance ab, die lokal ausgeführt wird. Wenn Sie z. B. RRAS auf Windows Server verwenden, können Sie den Leistungsmonitor verwenden, um das Datenvolumen zu verfolgen, das empfangen und über die VPN-Verbindung übertragen wird. Wählen Sie mit dem RAS Total-Objekt die Empfangenen Bytes/Sek. und übertragenen Bytes/Sek. Leistungsindikatoren aus:

  

  Sie sollten die Ergebnisse mit der Bandbreite vergleichen, die für das VPN-Gateway verfügbar ist (von 100 Mbps für die Standard-SKU bis 1,25 GBit/s für VpnGw3-SKU):

  

• Stellen Sie sicher, dass Sie die richtige Anzahl und Größe von VMs für ihre Anwendungslast bereitgestellt haben. Ermitteln Sie, ob eine der virtuellen Computer im Azure VNet langsam ausgeführt wird. Wenn dies der Fall ist, sind sie möglicherweise überlastet, es gibt möglicherweise zu wenige, um die Last zu verarbeiten, oder die Lastenausgleichsgeräte sind möglicherweise nicht ordnungsgemäß konfiguriert. Um dies zu ermitteln, Diagnoseinformationenerfassen und analysieren. Sie können die Ergebnisse mithilfe des Azure-Portals untersuchen, aber viele Drittanbietertools sind auch verfügbar, die detaillierte Einblicke in die Leistungsdaten liefern können.

  Sie können Azure DDoS Protection verwenden, um vor böswilliger Ressourcenauslastung zu schützen. Azure DDoS Protection, kombiniert mit bewährten Methoden für den Anwendungsentwurf, bietet erweiterte DDoS-Entschärfungsfeatures, um mehr Schutz vor DDoS-Angriffen zu bieten. Sie sollten Azure DDOS Protection in jedem virtuellen Umkreisnetzwerk aktivieren.

• Stellen Sie sicher, dass die Anwendung cloudbasierte Ressourcen effizient nutzt. Instrumentieranwendungscode, der auf jedem virtuellen Computer ausgeführt wird, um zu bestimmen, ob Anwendungen die beste Verwendung von Ressourcen machen. Sie können Tools wie Application Insightsverwenden.

Nächste Schritte

Produktdokumentation:

• virtuellen Linux-Computer in Azure
• Was ist Azure PowerShell?
• Was ist Azure Virtual Network?
• Was ist die Azure CLI?
• Was ist VPN-Gateway?
• virtuellen Windows-Computer in Azure

Microsoft Learn-Module:

• Konfigurieren von Azure-Ressourcen mit Tools
• Konfigurieren von VPN-Gateway-
• Erstellen eines virtuellen Linux-Computers in Azure
• Erstellen eines virtuellen Windows-Computers in Azure

Verwandte Ressourcen

• Design der Hybridarchitektur
• Erweitern eines lokalen Netzwerks mithilfe von VPN-

Dieser Artikel enthält einige Tipps für die Problembehandlung einer VPN-Gatewayverbindung zwischen einem lokalen Netzwerk und Azure. Allgemeine Informationen zur Problembehandlung allgemeiner VPN-bezogener Fehler finden Sie unter Problembehandlung allgemeiner VPN-bezogene Fehler.

Überprüfen, ob die VPN-Appliance ordnungsgemäß funktioniert

Die folgenden Empfehlungen sind hilfreich, um festzustellen, ob Ihre lokale VPN-Appliance ordnungsgemäß funktioniert.

Überprüfen Sie alle Von der VPN-Appliance generierten Protokolldateien auf Fehler oder Fehler. Auf diese Weise können Sie ermitteln, ob die VPN-Appliance ordnungsgemäß funktioniert. Die Position dieser Informationen variiert je nach Appliance. Wenn Sie z. B. RRAS auf Windows Server verwenden, können Sie den folgenden PowerShell-Befehl verwenden, um Fehlerereignisinformationen für den RRAS-Dienst anzuzeigen:

Get-EventLog -LogName System -EntryType Error -Source RemoteAccess | Format-List -Property *

Die Message-Eigenschaft jedes Eintrags enthält eine Beschreibung des Fehlers. Einige gängige Beispiele sind:

• Die Verbindung kann nicht hergestellt werden, möglicherweise aufgrund einer falschen IP-Adresse, die für das Azure VPN-Gateway in der Konfiguration der RRAS VPN-Netzwerkschnittstelle angegeben ist.

  EventID            : 20111
  MachineName        : on-premises-vm
  Data               : {41, 3, 0, 0}
  Index              : 14231
  Category           : (0)
  CategoryNumber     : 0
  EntryType          : Error
  Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                          interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                          successfully because of the following error: The network connection between your computer and
                          the VPN server could not be established because the remote server is not responding. This could
                          be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer
                          and the remote server is not configured to allow VPN connections. Please contact your
                          Administrator or your service provider to determine which device may be causing the problem.
  Source             : RemoteAccess
  ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, The network connection between
                          your computer and the VPN server could not be established because the remote server is not
                          responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on)
                          between your computer and the remote server is not configured to allow VPN connections. Please
                          contact your Administrator or your service provider to determine which device may be causing the
                          problem.}
  InstanceId         : 20111
  TimeGenerated      : 3/18/2024 1:26:02 PM
  TimeWritten        : 3/18/2024 1:26:02 PM
  UserName           :
  Site               :
  Container          :
  

• Der falsche freigegebene Schlüssel, der in der RRAS VPN-Netzwerkschnittstellenkonfiguration angegeben wird.

  EventID            : 20111
  MachineName        : on-premises-vm
  Data               : {233, 53, 0, 0}
  Index              : 14245
  Category           : (0)
  CategoryNumber     : 0
  EntryType          : Error
  Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                          interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                          successfully because of the following error: Internet key exchange (IKE) authentication credentials are unacceptable.
  
  Source             : RemoteAccess
  ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, IKE authentication credentials are
                          unacceptable.
                          }
  InstanceId         : 20111
  TimeGenerated      : 3/18/2024 1:34:22 PM
  TimeWritten        : 3/18/2024 1:34:22 PM
  UserName           :
  Site               :
  Container          :
  

Sie können auch Ereignisprotokollinformationen zu versuchen, über den RRAS-Dienst eine Verbindung herzustellen, mithilfe des folgenden PowerShell-Befehls abrufen:

Get-EventLog -LogName Application -Source RasClient | Format-List -Property *

Im Falle eines Fehlers beim Herstellen einer Verbindung enthält dieses Protokoll Fehler, die ähnlich wie folgt aussehen:

EventID            : 20227
MachineName        : on-premises-vm
Data               : {}
Index              : 4203
Category           : (0)
CategoryNumber     : 0
EntryType          : Error
Message            : CoId={B4000371-A67F-452F-AA4C-3125AA9CFC78}: The user SYSTEM dialed a connection named
                        AzureGateway that has failed. The error code returned on failure is 809.
Source             : RasClient
ReplacementStrings : {{B4000371-A67F-452F-AA4C-3125AA9CFC78}, SYSTEM, AzureGateway, 809}
InstanceId         : 20227
TimeGenerated      : 3/18/2024 1:29:21 PM
TimeWritten        : 3/18/2024 1:29:21 PM
UserName           :
Site               :
Container          :

Überprüfen der Konnektivität

Überprüfen Sie die Konnektivität und das Routing über das VPN-Gateway. Die VPN-Appliance wird möglicherweise nicht ordnungsgemäß über das Azure VPN-Gateway weitergeleitet. Verwenden Sie ein Tool wie PsPing-, um die Konnektivität und das Routing über das VPN-Gateway zu überprüfen. Um beispielsweise die Konnektivität von einem lokalen Computer mit einem Webserver zu testen, der sich auf dem VNet befindet, führen Sie den folgenden Befehl aus (ersetzen sie <<web-server-address>> durch die Adresse des Webservers):

PsPing -t <<web-server-address>>:80

Wenn der lokale Computer Datenverkehr an den Webserver weiterleiten kann, sollte die Ausgabe ähnlich wie folgt angezeigt werden:

D:\PSTools> psping -t 10.20.0.5:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.0.5:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.0.5:80 (warmup): 6.21ms
Connecting to 10.20.0.5:80: 3.79ms
Connecting to 10.20.0.5:80: 3.44ms
Connecting to 10.20.0.5:80: 4.81ms

    Sent = 3, Received = 3, Lost = 0 (0% loss),
    Minimum = 3.44ms, Maximum = 4.81ms, Average = 4.01ms

Wenn der lokale Computer nicht mit dem angegebenen Ziel kommunizieren kann, werden Nachrichten wie folgt angezeigt:

D:\PSTools>psping -t 10.20.1.6:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.1.6:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.1.6:80 (warmup): This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80:
    Sent = 3, Received = 0, Lost = 3 (100% loss),
    Minimum = 0.00ms, Maximum = 0.00ms, Average = 0.00ms

Überprüfen Sie, ob die lokale Firewall vpn-Datenverkehr übergeben und die richtigen Ports geöffnet werden kann.

Stellen Sie sicher, dass die lokale VPN-Appliance eine Verschlüsselungsmethode verwendet, die mit dem Azure VPN-Gateway kompatibel ist. Für richtlinienbasiertes Routing unterstützt das Azure VPN-Gateway die Verschlüsselungsalgorithmen AES256, AES128 und 3DES. Routingbasierte Gateways unterstützen AES256 und 3DES. Weitere Informationen finden Sie unter Informationen zu VPN-Geräten und IPsec/IKE-Parametern für Standort-zu-Standort-VPN-Gatewayverbindungen.

Überprüfen auf Probleme mit dem Azure VPN-Gateway

Die folgenden Empfehlungen sind hilfreich, um festzustellen, ob ein Problem mit dem Azure VPN-Gateway vorliegt:

Untersuchen Sie Die Diagnoseprotokolle des Azure VPN-Gateways auf potenzielle Probleme. Weitere Informationen finden Sie Schritt-für-Schritt: Erfassen von Azure Resource Manager-VNet-Gateway-Diagnoseprotokollen.

Stellen Sie sicher, dass das Azure VPN-Gateway und die lokale VPN-Appliance mit demselben gemeinsam genutzten Authentifizierungsschlüssel konfiguriert sind. Sie können den vom Azure-VPN-Gateway gespeicherten freigegebenen Schlüssel mit dem folgenden Azure CLI-Befehl anzeigen:

azure network vpn-connection shared-key show <<resource-group>> <<vpn-connection-name>>

Verwenden Sie den befehl, der für Ihre lokale VPN-Appliance geeignet ist, um den für diese Appliance konfigurierten gemeinsam genutzten Schlüssel anzuzeigen.

Vergewissern Sie sich, dass das GatewaySubnet- Subnetz, das das Azure-VPN-Gateway enthält, keinem NSG zugeordnet ist.

Sie können die Subnetzdetails mit dem folgenden Azure CLI-Befehl anzeigen:

azure network vnet subnet show -g <<resource-group>> -e <<vnet-name>> -n GatewaySubnet

Stellen Sie sicher, dass kein Datenfeld mit dem Namen Netzwerksicherheitsgruppen-IDvorhanden ist. Das folgende Beispiel zeigt die Ergebnisse für eine Instanz der GatewaySubnet- mit zugewiesenem NSG (VPN-Gateway-Group-). Dadurch kann verhindert werden, dass das Gateway ordnungsgemäß funktioniert, wenn für diese NSG Regeln definiert sind.

C:\>azure network vnet subnet show -g profx-prod-rg -e profx-vnet -n GatewaySubnet
    info:    Executing command network vnet subnet show
    + Looking up virtual network "profx-vnet"
    + Looking up the subnet "GatewaySubnet"
    data:    Id                              : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/virtualNetworks/profx-vnet/subnets/GatewaySubnet
    data:    Name                            : GatewaySubnet
    data:    Provisioning state              : Succeeded
    data:    Address prefix                  : 10.20.3.0/27
    data:    Network Security Group id       : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/networkSecurityGroups/VPN-Gateway-Group
    info:    network vnet subnet show command OK

Stellen Sie sicher, dass die virtuellen Computer im Azure VNet so konfiguriert sind, dass Datenverkehr von außerhalb des VNet zugelassen wird. Überprüfen Sie alle NSG-Regeln, die Mit Subnetzen verknüpft sind, die diese virtuellen Computer enthalten. Sie können alle NSG-Regeln mithilfe des folgenden Azure CLI-Befehls anzeigen:

azure network nsg show -g <<resource-group>> -n <<nsg-name>>

Stellen Sie sicher, dass das Azure VPN-Gateway verbunden ist. Sie können den folgenden Azure PowerShell-Befehl verwenden, um den aktuellen Status der Azure VPN-Verbindung zu überprüfen. Der parameter <<connection-name>> ist der Name der Azure VPN-Verbindung, die das virtuelle Netzwerkgateway und das lokale Gateway verbindet.

Get-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> - ResourceGroupName <<resource-group>>

Die folgenden Codeausschnitte markieren die ausgabe, die generiert wird, wenn das Gateway verbunden ist (das erste Beispiel) und getrennt (das zweite Beispiel):

PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : Connected
EgressBytesTransferred     : 55254803
IngressBytesTransferred    : 32227221
ProvisioningState          : Succeeded
...

PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection2 -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : NotConnected
EgressBytesTransferred     : 0
IngressBytesTransferred    : 0
ProvisioningState          : Succeeded
...

Verschiedene Probleme

Die folgenden Empfehlungen sind hilfreich, um festzustellen, ob ein Problem mit der Host-VM-Konfiguration, der Netzwerkbandbreitenauslastung oder der Anwendungsleistung auftritt:

• Überprüfen Sie die Firewallkonfiguration. Stellen Sie sicher, dass die Firewall im Gastbetriebssystem, die auf den Azure-VMs im Subnetz ausgeführt wird, ordnungsgemäß konfiguriert ist, um zulässigen Datenverkehr aus den lokalen IP-Bereichen zuzulassen.

• Stellen Sie sicher, dass das Datenverkehrsvolumen nicht nahe am Grenzwert der Bandbreite liegt, die für das Azure VPN-Gateway verfügbar ist. Wie Sie dies überprüfen, hängt von der VPN-Appliance ab, die lokal ausgeführt wird. Wenn Sie z. B. RRAS auf Windows Server verwenden, können Sie den Leistungsmonitor verwenden, um das Datenvolumen zu verfolgen, das empfangen und über die VPN-Verbindung übertragen wird. Wählen Sie mit dem RAS Total-Objekt die Empfangenen Bytes/Sek. und übertragenen Bytes/Sek. Leistungsindikatoren aus:

  

  Sie sollten die Ergebnisse mit der Bandbreite vergleichen, die für das VPN-Gateway verfügbar ist (von 100 Mbps für die Standard-SKU bis 1,25 GBit/s für VpnGw3-SKU):

  

• Stellen Sie sicher, dass Sie die richtige Anzahl und Größe von VMs für ihre Anwendungslast bereitgestellt haben. Ermitteln Sie, ob eine der virtuellen Computer im Azure VNet langsam ausgeführt wird. Wenn dies der Fall ist, sind sie möglicherweise überlastet, es gibt möglicherweise zu wenige, um die Last zu verarbeiten, oder die Lastenausgleichsgeräte sind möglicherweise nicht ordnungsgemäß konfiguriert. Um dies zu ermitteln, Diagnoseinformationenerfassen und analysieren. Sie können die Ergebnisse mithilfe des Azure-Portals untersuchen, aber viele Drittanbietertools sind auch verfügbar, die detaillierte Einblicke in die Leistungsdaten liefern können.

  Sie können Azure DDoS Protection verwenden, um vor böswilliger Ressourcenauslastung zu schützen. Azure DDoS Protection, kombiniert mit bewährten Methoden für den Anwendungsentwurf, bietet erweiterte DDoS-Entschärfungsfeatures, um mehr Schutz vor DDoS-Angriffen zu bieten. Sie sollten Azure DDOS Protection in jedem virtuellen Umkreisnetzwerk aktivieren.

• Stellen Sie sicher, dass die Anwendung cloudbasierte Ressourcen effizient nutzt. Instrumentieranwendungscode, der auf jedem virtuellen Computer ausgeführt wird, um zu bestimmen, ob Anwendungen die beste Verwendung von Ressourcen machen. Sie können Tools wie Application Insightsverwenden.

Nächste Schritte

Produktdokumentation:

• virtuellen Linux-Computer in Azure
• Was ist Azure PowerShell?
• Was ist Azure Virtual Network?
• Was ist die Azure CLI?
• Was ist VPN-Gateway?
• virtuellen Windows-Computer in Azure

Microsoft Learn-Module:

• Konfigurieren von Azure-Ressourcen mit Tools
• Konfigurieren von VPN-Gateway-
• Erstellen eines virtuellen Linux-Computers in Azure
• Erstellen eines virtuellen Windows-Computers in Azure

Verwandte Ressourcen

• Design der Hybridarchitektur
• Erweitern eines lokalen Netzwerks mithilfe von VPN-