トラブルシューティング: Azure サイト間 VPN が動作を停止して接続できない
オンプレミスのネットワークと Azure 仮想ネットワークの間にサイト間 VPN 接続を構成した後、VPN 接続が突然動作を停止して再接続できません。 この記事では、この問題の解決に役立つトラブルシューティング手順について説明します。
この記事で Azure の問題に対処できない場合は、Microsoft Q&A と Stack Overflow の Azure 関連フォーラムを参照してください。 問題をこれらのフォーラムに投稿するか、または Twitter の @AzureSupport に投稿できます。 Azure サポート要求を送信することもできます。 サポート要求を送信するには、[Azure サポート] ページで [サポートを受ける] を選択します。
トラブルシューティングの手順
問題を解決するには、まず、Azure VPN ゲートウェイをリセットし、オンプレミス VPN デバイスからのトンネルをリセットしてみてください。 問題が解決しない場合は、以降の手順に従って問題の原因を特定します。
事前に必要な手順
Azure VPN ゲートウェイの種類を確認します。
Azure ポータルにアクセスします。
VNet の仮想ネットワーク ゲートウェイに移動します。 [概要] ページに、ゲートウェイの種類、VPN の種類、ゲートウェイ SKU が表示されます。
手順 1: オンプレミス VPN デバイスが検証済みであるかどうかを確認する
使っている VPN デバイスとオペレーティング システム バージョンが検証済みであるかどうかを確認します。 検証済みの VPN デバイスではない場合、互換性の問題があるかどうかをデバイスの製造元に問い合わせてください。
VPN デバイスが正しく構成されていることを確認します。 詳しくは、「デバイス構成のサンプルの編集」をご覧ください。
手順 2: 共有キーを確認する
オンプレミスの VPN デバイスと Azure 仮想ネットワーク VPN の共有キーを比較し、両者が一致することを確認します。
Azure VPN 接続の共有キーを確認するには、次のいずれかの方法を使います。
Azure Portal
VPN ゲートウェイに移動します。 [接続] ページで、接続を見つけて開きます。
[認証の種類] を選択します。 必要に応じて共有キーを更新して保存します。
Azure PowerShell
注意
Azure を操作するには、Azure Az PowerShell モジュールを使用することをお勧めします。 作業を開始するには、Azure PowerShell のインストールに関する記事を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。
Azure Resource Manager デプロイ モデルの場合:
Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>
クラシック デプロイ モデルの場合:
Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName
手順 3: VPN ピア IP を確認する
- Azure の [ローカル ネットワーク ゲートウェイ] オブジェクトの IP 定義が、オンプレミス デバイスの IP と一致している必要があります。
- オンプレミス デバイスに設定されている Azure ゲートウェイの IP 定義が、Azure ゲートウェイの IP と一致している必要があります。
手順 4: ゲートウェイ サブネットで UDR と NSG を確認する
ゲートウェイ サブネットのユーザー定義ルート (UDR) またはネットワーク セキュリティ グループ (NSG) があれば削除し、その結果をテストします。 問題が解決した場合は、適用されている UDR または NSG の設定を確認します。
手順 5: オンプレミス VPN デバイスの外部インターフェイスのアドレスを確認する
VPN デバイスのインターネット接続 IP アドレスが Azure の [ローカル ネットワーク] の定義に含まれていると、散発的に接続が切れることがあります。
手順 6: サブネットが完全に一致することを確認する (Azure ポリシー ベースのゲートウェイ)
- Azure 仮想ネットワークとオンプレミスの定義で、仮想ネットワーク アドレス空間が完全に一致することを確認します。
- ローカル ネットワーク ゲートウェイとオンプレミス ネットワークのオンプレミス定義との間でサブネットが完全に一致することを確認します。
手順 7: Azure ゲートウェイの正常性プローブを確認する
次の URL を参照して正常性プローブを開きます。
https://<YourVirtualNetworkGatewayIP>:8081/healthprobeアクティブ/アクティブ ゲートウェイの場合は、以下を使用して 2 つ目のパブリック IP を確認します。
https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe証明書の警告を無視して続行します。
応答を受け取った場合、VPN ゲートウェイは正常であると考えられます。 応答を受け取らない場合、ゲートウェイが正常な状態にないか、またはゲートウェイ サブネット上の NSG が問題の原因になっている可能性があります。 応答のサンプル テキストを次に示します。
<?xml version="1.0"?> <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
注意
Basic SKU VPN ゲートウェイは正常性プローブに応答しません。 運用環境のワークロードにはお勧めしません。
手順 8: オンプレミス VPN デバイスで Perfect Forward Secrecy 機能が有効になっているかどうかを確認する
接続切断の問題は、Perfect Forward Secrecy 機能によって引き起こされる可能性があります。 VPN デバイスで Perfect Forward Secrecy が有効になっている場合は、その機能を無効にしてください。 その後、VPN ゲートウェイの IPsec ポリシーを更新します。
注意
VPN ゲートウェイは、ローカル アドレスで ICMP に応答しません。