Compartir a través de


Solución de problemas: La conexión VPN de sitio a sitio de Azure no puede conectarse y deja de funcionar

Después de configurar una conexión VPN de sitio a sitio entre una red local y una red virtual de Azure, la conexión VPN de repente deja de funcionar y no se puede volver a conectar. Este artículo proporciona pasos de solución de problemas para ayudarle a resolver este problema.

Si su problema con Azure no se trata en este artículo, visite los foros de Azure en Microsoft Q&A y Stack Overflow. Puede publicar su problema en ellos o en @AzureSupport en Twitter. También puede enviar una solicitud de soporte técnico de Azure. Para enviar una solicitud de soporte técnico, en la página de soporte técnico de Azure, seleccione Obtener soporte técnico.

Pasos para solucionar problemas

Para resolver el problema, primero intente restablecer la puerta de enlace de la VPN de Azure y restablecer el túnel desde el dispositivo VPN local. Si el problema continua, siga estos pasos para identificar la causa del problema.

Paso de requisito previo

Comprobación del tipo de la puerta de enlace de VPN de Azure.

  1. Vaya a Azure Portal.

  2. En Azure, vaya a la página de la puerta de enlace de red virtual. En la página Información general , verá el tipo de puerta de enlace, el tipo de VPN y la SKU de puerta de enlace.

Paso 1: Comprobación de si el dispositivo VPN local está validado

  1. Compruebe si está usando una versión del sistema operativo y dispositivo VPN validada. Si el dispositivo no es un dispositivo VPN validado, tendrá que ponerse en contacto con el fabricante del dispositivo para ver si hay algún problema de compatibilidad.

  2. Asegúrese de que el dispositivo VPN esté configurado correctamente. Para más información, consulte Ejemplos de edición de configuración de dispositivos.

Paso 2: Comprobación de la clave compartida

Compare la clave compartida del dispositivo VPN local y la de la VPN de la instancia de Azure Virtual Network para asegurarse de que las claves coinciden.

Para ver la clave compartida de la conexión VPN de Azure, use uno de los siguientes métodos:

Azure Portal

  1. Vaya a la puerta de enlace de VPN. En la página Conexiones, busque y abra la conexión.

  2. Seleccione el Tipo de autenticación. Actualice y guarde la clave compartida si es necesario.

Azure PowerShell

Nota:

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Para empezar, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Para el modelo de implementación de Azure Resource Manager:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

Para el modelo de implementación clásico:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Paso 3: Comprobación de los IP del mismo nivel de VPN

  • La definición de IP en el objeto Puerta de enlace de red local en Azure debe coincidir con el IP de dispositivo local.
  • La definición de la dirección IP de la puerta de enlace de Azure establecida en el dispositivo local debe coincidir con la dirección IP de la puerta de enlace de Azure.

Paso 4: Compruebe las UDR y los NSG de la subred de la puerta de enlace

Busque y quite Enrutamiento definido por el usuario (UDR) o Grupos de seguridad de red (NSG) en la subred de puerta de enlace y, a continuación, pruebe el resultado. Si se resuelve el problema, valide la configuración de NSG o UDR aplicada.

Paso 5: Compruebe la dirección de la interfaz externa del dispositivo VPN local

Si la dirección IP accesible desde Internet del dispositivo VPN está incluida en la definición de Red local en Azure, es posible que experimente desconexiones esporádicas.

Paso 6: Compruebe que las subredes coinciden exactamente (puertas de enlace basadas en directivas de Azure)

  • Compruebe que los espacios de direcciones de red virtual coinciden exactamente entre la red virtual de Azure y las definiciones locales.
  • Compruebe que las subredes coinciden exactamente entre la puerta de enlace de la red local y las definiciones locales para la red local.

Paso 7: Compruebe el sondeo de estado de la puerta de enlace de Azure

  1. Abra el sondeo de estado en la dirección URL siguiente:

    https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

    En el caso de las puertas de enlace en modo activo/activo, use lo siguiente para comprobar la segunda dirección IP pública:

    https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

  2. Haga clic en la advertencia de certificado.

  3. Si recibe una respuesta, se considera que la puerta de enlace de la VPN es correcta. Si no recibe una respuesta, puede que la puerta de enlace no sea correcta o que haya un NSG en la subred de puerta de enlace que provoque el problema. El siguiente texto es una respuesta de ejemplo:

    <?xml version="1.0"?>
    <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
    

Nota

Las puertas de enlace de las VPN de SKU básicas no responden al sondeo de estado. Por tanto, no se recomiendan para las cargas de trabajo de producción.

Paso 8: Compruebe si el dispositivo VPN local cuenta con la característica de confidencialidad directa perfecta habilitada

La característica confidencialidad directa perfecta puede provocar problemas de desconexión. Si el dispositivo VPN cuenta con la característica confidencialidad directa perfecta habilitada, deshabilítela. A continuación, actualice la directiva IPsec de puerta de enlace de VPN.

Nota

Las puertas de enlace de VPN no responden a ICMP en su dirección local.

Pasos siguientes