Partager via


Dépannage : une connexion VPN de site à site Azure ne peut pas se connecter et cesse de fonctionner

Après avoir configuré une connexion VPN de site à site entre un réseau local et un réseau virtuel Azure, la connexion VPN cesse soudainement de fonctionner et ne peut pas être reconnectée. Cet article fournit les étapes requises pour vous aider à résoudre ce problème.

Si le problème que vous rencontrez avec Azure n’est pas traité dans cet article, parcourez les forums Azure sur Microsoft Q&A et Stack Overflow. Vous pouvez publier votre problème sur ces forums ou @AzureSupport sur Twitter. Vous pouvez également envoyer une demande de support Azure. Pour envoyer une demande de support sur la page Prise en charge Azure, sélectionnez Obtenir de l’aide.

Étapes de dépannage

Pour résoudre le problème, essayez d’abord de réinitialiser la passerelle VPN Azure et de réinitialiser le tunnel à partir du périphérique VPN local. Si le problème persiste, procédez comme suit pour en identifier la cause.

Étape des conditions préalables

Vérifiez le type de passerelle VPN Azure utilisée.

  1. Accédez au portail Azure.

  2. Accédez à la passerelle de réseau virtuel de votre réseau virtuel. Sur la page Présentation, vous voyez le type de passerelle, le type de VPN et la référence SKU de la passerelle.

Étape 1 : Vérifier si l’appareil VPN local est validé

  1. Vérifiez si vous utilisez un périphérique VPN et une version du système d'exploitation validés. Si l'appareil n'est pas un appareil VPN validé, vous devrez peut-être contacter le fabricant de l'appareil pour voir s'il y a un problème de compatibilité.

  2. Assurez-vous que l’appareil VPN est correctement configuré. Pour plus d’informations, consultez la page Modification des exemples de configuration de périphérique.

Étape 2 : Vérifier la clé partagée

Comparez la clé partagée du périphérique VPN local et celle du VPN de réseau virtuel pour vous assurer que les clés correspondent.

Pour afficher la clé partagée dans l’optique de la connexion VPN Azure, utilisez l’une des méthodes suivantes :

Azure portal

  1. Accédez à la passerelle VPN. Sur la page Connexions, recherchez et ouvrez la connexion.

  2. Sélectionnez Type d'authentification. Mettez à jour et enregistrez la clé partagée si nécessaire.

Azure PowerShell

Notes

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Pour le modèle de déploiement Azure Resource Manager :

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

Pour le modèle de déploiement classique :

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Étape 3 : Vérifier les adresses IP d’homologue VPN

  • La définition de l’adresse IP dans l’objet Passerelle de réseau local dans Azure doit correspondre à l’adresse IP de l’appareil local.
  • La définition de l’adresse IP de la passerelle Azure qui est configurée sur l’appareil local doit correspondre à l’adresse IP de la passerelle Azure.

Étape 4 : Vérifier les paramètres d’itinéraire défini par l’utilisateur et des groupes de sécurité réseau sur le sous-réseau de passerelle

Recherchez et supprimez l’itinéraire défini par l’utilisateur (UDR) ou les groupes de sécurité réseau (NSG) sur le sous-réseau de passerelle, puis testez le résultat. Si le problème est résolu, validez les paramètres de l’itinéraire défini par l’utilisateur ou des groupes de sécurité réseau appliqués.

Étape 5 : Vérifiez l’adresse d’interface externe de l’appareil VPN local

Si l’adresse IP du périphérique VPN, accessible sur Internet, est incluse dans la définition du réseau local dans Azure, il se peut que vous subissiez des déconnexions occasionnelles.

Étape 6 : Vérifier la correspondance des sous-réseaux (passerelles Azure basées sur des stratégies)

  • Vérifiez que les espaces d’adressage du réseau virtuel correspondent exactement entre le réseau virtuel Azure et les définitions locales.
  • Vérifiez que les sous-réseaux correspondent exactement dans la passerelle réseau locale et dans les définitions locales pour le réseau local.

Étape 7 : Vérifier la sonde d’intégrité de la passerelle Azure

  1. Ouvrez la sonde d’intégrité en accédant à l’URL suivante :

    https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

    Pour les passerelles actives/actives, utilisez ce qui suit pour vérifier la deuxième adresse IP publique :

    https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

  2. Cliquez sur l’avertissement de certificat.

  3. Si vous recevez une réponse, cela signifie que la passerelle VPN est considérée comme saine. Vous ne recevez pas de réponse, cela signifie que la passerelle n’est peut-être pas saine ou qu’un groupe de sécurité réseau sur le sous-réseau de passerelle pose problème. Voici un exemple de réponse :

    <?xml version="1.0"?>
    <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
    

Notes

Les passerelles VPN de référence SKU de base ne répondent pas à la sonde d’intégrité. Elles ne sont pas recommandées pour les charges de travail de production.

Étape 8 : Vérifier l’activation de la fonctionnalité PFS (Perfect Forward Secrecy) sur le périphérique VPN local

La fonctionnalité Perfect Forward Secrecy peut provoquer des problèmes de déconnexion. Si la fonctionnalité Perfect Forward Secrecy du périphérique VPN est activée, désactivez-la. Mettez ensuite à jour la stratégie IPsec de la passerelle de réseau virtuel.

Notes

Les passerelles VPN ne répondent pas au protocole ICMP sur leur adresse locale.

Étapes suivantes