サイト間 VPN 接続のトラブルシューティング

この記事では、オンプレミスのネットワークと Azure Stack Hub 仮想ネットワークの間にサイト間 (S2S) VPN 接続を構成した後、接続が突然動作を停止して再接続できなくなったときのトラブルシューティング手順について説明します。

この記事で Azure Stack Hub の問題に対処できない場合、Azure Stack Hub Q&A フォーラムを参照してください。

Azure サポート要求を送信することもできます。 Azure Stack Hub サポートを参照してください。

注意

2 つの Azure Stack Hub デプロイ間に作成できるのは、1 つのサイト間 VPN 接続だけです。 これは、同じ IP アドレスに対して許容される VPN 接続が 1 つだけであるというプラットフォームの制限によるものです。 Azure Stack Hub では、Azure Stack Hub システム内のすべての VPN Gateway に対して単一のパブリック IP を使用するマルチテナント ゲートウェイが活用されているため、2 つの Azure Stack Hub システム間に存在できる VPN 接続は 1 つだけです。 この制限は、単一の IP アドレスを使用する VPN ゲートウェイに複数のサイト間 VPN 接続を接続する場合にも当てはまります。 Azure Stack Hub では、同じ IP アドレスを使用して複数のローカル ネットワーク ゲートウェイ リソースを作成することはできません。 仮想ネットワークやサブスクリプションに関係なく、同じ Azure Stack デプロイからのすべての VPN Gateway に、同じパブリック IP が割り当てられます。

初回のトラブルシューティングの手順

IPsec/IKEV2 の Azure Stack Hub の既定のパラメーターが変更されました。

重要

S2S トンネルを使用する場合、パケットは追加のヘッダーでさらにカプセル化されます。 このカプセル化により、パケットの全体的なサイズが増加します。 これらのシナリオでは、TCP MSS を 1350 で固定する必要があります。 お使いの VPN デバイスで MSS クランプがサポートされていない場合、代わりにトンネル インターフェイスの MTU を 1400 バイトに設定できます。 詳細については、仮想ネットワークの TCPIP パフォーマンス チューニングに関する記事を参照してください。

• VPN 構成がルートベース (IKEv2) であることを確認します。 Azure Stack Hub では、ポリシーベース (IKEv1) 構成はサポートされていません。

• 使っている VPN デバイスとオペレーティング システム バージョンが検証済みであるかどうかを確認します。 検証済みの VPN デバイスではない場合、互換性の問題があるかどうかをデバイスの製造元に問い合わせてください。

• Azure Stack Hub 仮想ネットワークとオンプレミス ネットワークの間に重複する IP 範囲がないことを確認します。 これにより、接続の問題が発生する可能性があります。

• VPN ピア IP を確認する

  • Azure Stack Hub の [ローカル ネットワーク ゲートウェイ] オブジェクトの IP 定義が、オンプレミス デバイスの IP と一致している必要があります。

  • オンプレミス デバイスに設定されている Azure Stack Hub ゲートウェイの IP 定義が、Azure Stack Hub ゲートウェイの IP と一致している必要があります。

状態 "未接続" - 断続的な切断

Az モジュール

• オンプレミスの VPN デバイスと AzSH 仮想ネットワーク VPN の共有キーを比較し、両者が一致することを確認します。 AzSH VPN 接続の共有キーを確認するには、次のいずれかの方法を使います。

  • Azure Stack Hub テナント ポータル:作成した VPN ゲートウェイ サイト間接続に移動します。 [設定] セクションで [共有キー] を選択します。

    

  • Azure PowerShell:次の PowerShell コマンドを使用します。

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

AzureRM モジュール

• オンプレミスの VPN デバイスと AzSH 仮想ネットワーク VPN の共有キーを比較し、両者が一致することを確認します。 AzSH VPN 接続の共有キーを確認するには、次のいずれかの方法を使います。

  • Azure Stack Hub テナント ポータル:作成した VPN ゲートウェイ サイト間接続に移動します。 [設定] セクションで [共有キー] を選択します。

    

  • Azure PowerShell:次の PowerShell コマンドを使用します。

Get-AzurerRMVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

状態 "接続済み" - トラフィック フローなし

• ゲートウェイ サブネットのユーザー定義ルート (UDR) とネットワーク セキュリティ グループ (NSG) があれば削除し、その結果をテストします。 問題が解決した場合は、適用されている UDR または NSG の設定を確認します。

  ゲートウェイ サブネット上のユーザー定義ルートによって、制限されるトラフィックと許可されるトラフィックが生じることがあります。 その場合、一部のトラフィックについてだけ VPN 接続が不安定で、他のトラフィックについては接続状態が良好であるように見えます。

• オンプレミス VPN デバイスの外部インターフェイスのアドレスを確認します。

  • VPN デバイスのインターネット接続 IP アドレスが Azure Stack Hub の [ローカル ネットワーク] の定義に含まれていると、散発的に接続が切れることがあります。

  • デバイスの外部インターフェイスは、インターネットに直接接続されている必要があります。 インターネットとデバイスとの間にネットワーク アドレス変換またはファイアウォールを配置することはできません。

  • 仮想 IP が割り当てられるようにファイアウォール クラスタリングを構成するには、クラスターを分割し、ゲートウェイから対話できるパブリック インターフェイスに直接 VPN アプライアンスを公開する必要があります。

• サブネットが厳密に一致することを確認します。

  • Azure Stack Hub 仮想ネットワークとオンプレミスの定義で、仮想ネットワーク アドレス空間が完全に一致することを確認します。

  • ローカル ネットワーク ゲートウェイとオンプレミス ネットワークのオンプレミス定義との間でサブネットが完全に一致することを確認します。

サポート チケットの作成

上記の手順で問題が解決しない場合、サポート チケットを作成し、オンデマンド ログ収集ツールを使用してログを提供してください。