Partekatu honen bidez:


Introducción a la solución de problemas de VPN

Las puertas de enlace de red virtual proporcionan conectividad entre recursos locales y redes virtuales de Azure. La supervisión de las puertas de enlace de red virtual y sus conexiones es fundamental para garantizar que la comunicación no se interrumpa. Azure Network Watcher proporciona la funcionalidad para solucionar problemas con las puertas de enlace de red virtual y sus conexiones. Esta funcionalidad puede llamarse mediante Azure Portal, Azure PowerShell, CLI de Azure o la API de REST. Cuando se llama, Network Watcher diagnostica el estado de la puerta de enlace o la conexión y devuelve los resultados pertinentes. La solicitud es una transacción de larga ejecución. Una vez completado el diagnóstico, se devuelven los resultados.

Screenshot of Azure Network Watcher VPN troubleshoot in the Azure portal.

Tipos de puerta de enlace admitidos

En la tabla siguiente se muestra qué puertas de enlace y conexiones son compatibles con la solución de problemas de Network Watcher.

Puerta de enlace o conexión Compatible
Tipos de puerta de enlace
VPN Compatible
ExpressRoute No compatible
Tipos de VPN
Basado en ruta Compatible
Basado en directiva No compatible
Tipos de conexión
IPSec Compatible
VNet2VNet Compatible
ExpressRoute No compatible
VPNClient No compatible

Results

Los resultados preliminares devueltos proporcionan una perspectiva general del estado del recurso. Se puede proporcionar información más detallada para recursos, tal como se muestra en la sección siguiente:

En la siguiente lista, se presentan los valores devueltos con la API de solución de problemas:

  • startTime: este valor es la hora de inicio de la llamada a la API de solución de problemas.
  • endTime: este valor es la hora en que finalizó la solución de problemas.
  • code: este valor es UnHealthy (incorrecto) si se produce un único error de diagnóstico.
  • results: es una colección de resultados devueltos para la conexión o la puerta de enlace de red virtual.
    • id: este valor es el tipo de error.
    • summary: este valor es un resumen del error.
    • detailed: este valor proporciona una descripción detallada del error.
    • recommendedActions: esta propiedad es una colección de acciones recomendadas que llevar a cabo.
      • actionText: este valor contiene el texto que describe qué acción realizar.
      • actionUri: este valor proporciona el URI de documentación sobre cómo actuar.
      • actionUriText: este valor es una breve descripción del texto de acción.

En las siguientes tablas se muestran los diferentes tipos de error (el identificador se encuentra debajo de resultados en la lista anterior) que existen y si el error crea registros.

Puerta de enlace

Tipo de error Motivo Log
NoFault Cuando no se detecta ningún error.
GatewayNotFound No se encuentra la puerta de enlace o la puerta de enlace no está aprovisionada No
PlannedMaintenance La instancia de puerta de enlace está en mantenimiento. No
UserDrivenUpdate Este error se produce cuando hay una actualización del usuario en curso. Esta actualización podría tratarse de una operación de cambio de tamaño. No
VipUnResponsive Este error se produce cuando no se puede alcanzar la instancia principal de la puerta de enlace debido a un error de sondeo de estado. No
PlatformInActive Hay un problema con la plataforma. No
ServiceNotRunning No se está ejecutando el servicio subyacente. No
NoConnectionsFoundForGateway No existe ninguna conexión en la puerta de enlace. Este error es solo una advertencia. No
ConnectionsNotConnected Las conexiones no están conectadas. Este error es solo una advertencia.
GatewayCPUUsageExceeded El uso de CPU de la puerta de enlace actual es > 95 %.

Conexión

Tipo de error Motivo Log
NoFault Cuando no se detecta ningún error.
GatewayNotFound No se encuentra la puerta de enlace o la puerta de enlace no está aprovisionada No
PlannedMaintenance La instancia de puerta de enlace está en mantenimiento. No
UserDrivenUpdate Este error se produce cuando hay una actualización del usuario en curso. Esta actualización podría tratarse de una operación de cambio de tamaño. No
VipUnResponsive Este error se produce cuando no se puede alcanzar la instancia principal de la puerta de enlace debido a un error de sondeo de estado. No
ConnectionEntityNotFound Falta una configuración de conexión. No
ConnectionIsMarkedDisconnected La conexión está marcada como "desconectada". No
ConnectionNotConfiguredOnGateway El servicio subyacente no tiene configurada la conexión.
ConnectionMarkedStandby El servicio subyacente está marcado como en espera activa.
Authentication Error de coincidencia de clave previamente compartida.
PeerReachability La puerta de enlace del mismo nivel no está accesible.
IkePolicyMismatch La puerta de enlace del mismo nivel tiene directivas IKE que no son compatibles con Azure.
WfpParse Error Se produjo un error al analizar el registro de WFP.

Archivos de registro

Los archivos de registro de la solución de problemas de recursos se guardan en una cuenta de almacenamiento una vez finalizada dicha solución de problemas. En la siguiente imagen se muestra el contenido de ejemplo de una llamada que generó un error.

Screenshot shows the content of the downloaded zipped log files.

Nota:

  1. En algunos casos, solo se escribe un subconjunto de los archivos de registro en el almacenamiento.
  2. En el caso de las versiones de puerta de enlace más recientes, los archivos IkeErrors.txt, Scrubbed-wfpdiag.txt y wfpdiag.txt.sum se han reemplazado por un archivo IkeLogs.txt que contiene toda la actividad de IKE (no solo los errores).

Para obtener instrucciones sobre cómo descargar archivos de cuentas de almacenamiento de Azure, consulte Descargar un blob en bloques. Otra herramienta que se puede utilizar es el Explorador de Storage. Para obtener información sobre Explorador de Azure Storage, consulte Uso de Explorador de Azure Storage para descargar blobs

ConnectionStats.txt

El archivo ConnectionStats.txt contiene estadísticas generales de la conexión, incluidos los bytes de entrada y salida, el estado de la conexión y la hora en que se estableció esta.

Nota

Si la llamada a la API de solución de problemas devuelve un estado correcto, lo único que se devuelve en el archivo ZIP es un archivo ConnectionStats.txt.

El contenido de este archivo es similar al ejemplo siguiente:

Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM

CPUStats.txt

El archivo CPUStats.txt contiene el uso de la CPU y la memoria disponible en el momento de realizarse las pruebas. El contenido de este archivo es similar al ejemplo siguiente:

Current CPU Usage : 0 % Current Memory Available : 641 MBs

IKElogs.txt

El archivo IKElogs.txt contiene cualquier actividad de IKE que se haya encontrado durante la supervisión.

En el siguiente ejemplo se muestra el contenido de un archivo IKElogs.txt.

Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch

IKEErrors.txt

El archivo IKEErrors.txt contiene los errores de IKE que se encontraran durante la supervisión.

En el ejemplo siguiente se muestra el contenido de un archivo IKEErrors.txt. Los errores pueden ser diferentes en función del problema.

Error: Authentication failed. Check shared key. Check crypto. Check lifetimes. 
	 based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload. 
	 based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)

Scrubbed-wfpdiag.txt

El archivo de registro Scrubbed-wfpdiag.txt contiene el registro de WFP. Este registro contiene el registro de errores de IKE y AuthIP, y de pérdida de paquetes.

En el ejemplo siguiente se muestra el contenido del archivo Scrubbed-wfpdiag.txt. En este ejemplo, la clave compartida previamente de una conexión no era correcta, como se aprecia a partir de la tercera línea desde abajo. El ejemplo siguiente es un fragmento del código del registro completo, el cual puede ser extenso en función del problema.

...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Local address: 13.78.238.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Remote address: 52.161.24.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Failure point: Remote
...

wfpdiag.txt.sum

El archivo wfpdiag.txt.sum es un registro que muestra los búferes y los eventos procesados.

El ejemplo siguiente es el contenido de un archivo wfpdiag.txt.sum.

Files Processed:
	C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events  Processed 2169
Total Events  Lost      0
Total Format  Errors    0
Total Formats Unknown   486
Elapsed Time            330 sec
+-----------------------------------------------------------------------------------+
|EventCount    EventName            EventType   TMF                                 |
+-----------------------------------------------------------------------------------+
|        36    ikeext               ike_addr_utils_c844  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        12    ikeext               ike_addr_utils_c857  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        96    ikeext               ike_addr_utils_c832  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|         6    ikeext               ike_bfe_callbacks_c133  1dc2d67f-8381-6303-e314-6c1452eeb529|
|         6    ikeext               ike_bfe_callbacks_c61  1dc2d67f-8381-6303-e314-6c1452eeb529|
|        12    ikeext               ike_sa_management_c5698  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c8447  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c494  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c642  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c3162  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c3307  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|

Consideraciones

  • Solo se puede ejecutar una operación de solución de problemas de VPN a la vez por suscripción. Para ejecutar otra operación de solución de problemas de VPN, espere a que finalice la anterior. Al desencadenar una nueva operación mientras que una anterior no se ha completado, las operaciones posteriores producirán un error.
  • Error de la CLI: si usa la CLI de Azure para ejecutar el comando, la instancia de VPN Gateway y la cuenta de Storage deben estar en el mismo grupo de recursos. Los clientes con recursos de distintos grupos de recursos pueden usar PowerShell o Azure Portal en su lugar.

Paso siguiente

Para aprender a diagnosticar problemas con una puerta de enlace de máquina virtual o la conexión de esta, consulte el artículo de Diagnóstico de problemas de comunicación entre redes virtuales.