Problemen met een site-naar-site-VPN-verbinding oplossen
In dit artikel worden de stappen beschreven die u kunt uitvoeren nadat u een site-naar-site(S2S) VPN-verbinding tussen een on-premises netwerk en een virtueel Azure Stack Hub-netwerk hebt geconfigureerd, waarna de verbinding plotseling niet meer werkt en niet opnieuw kan worden verbonden.
Als uw probleem met Azure Stack Hub niet in dit artikel wordt behandeld, kunt u het Q&A-forum van Azure Stack Hub bezoeken.
U kunt ook een Azure-ondersteuningsaanvraag indienen. Zie Ondersteuning voor Azure Stack Hub.
Notitie
Er kan slechts één site-naar-site-VPN-verbinding worden gemaakt tussen twee Azure Stack Hub-implementaties. Dit komt door een beperking in het platform waardoor slechts één VPN-verbinding met hetzelfde IP-adres is toegestaan. Omdat Azure Stack Hub gebruikmaakt van de gateway met meerdere tenants, die gebruikmaakt van één openbaar IP-adres voor alle VPN-gateways in het Azure Stack Hub-systeem, kan er slechts één VPN-verbinding zijn tussen twee Azure Stack Hub-systemen. Deze beperking is ook van toepassing op het verbinden van meer dan één site-naar-site-VPN-verbinding met een VPN-gateway die gebruikmaakt van één IP-adres. Azure Stack Hub staat niet toe dat er meer dan één lokale netwerkgatewayresource wordt gemaakt met hetzelfde IP-adres. Aan alle VPN Gateways van dezelfde Azure Stack-implementatie, ongeacht het virtuele netwerk of abonnement, wordt hetzelfde openbare IP-adres toegewezen.
Eerste stappen om het probleem op te lossen
De standaardparameters van Azure Stack Hub voor IPsec/IKEV2 zijn gewijzigd:
Belangrijk
Wanneer u een S2S-tunnel gebruikt, worden pakketten verder ingekapseld met extra headers. Deze inkapseling verhoogt de totale grootte van het pakket. In deze scenario's moet u TCP MSS vastzetten op 1350. Als uw VPN-apparaten geen ondersteuning bieden voor MSS-klemming, kunt u de MTU op de tunnelinterface instellen op 1400 bytes. Zie Prestaties van Virutal Network TCPIP afstemmen voor meer informatie.
Controleer of de VPN-configuratie op route is gebaseerd (IKEv2). Azure Stack Hub biedt geen ondersteuning voor op beleid gebaseerde configuraties (IKEv1).
Controleer of u een gevalideerde VERSIE van het VPN-apparaat en besturingssysteem gebruikt. Als het apparaat geen gevalideerd VPN-apparaat is, moet u mogelijk contact opnemen met de fabrikant van het apparaat om te zien of er een compatibiliteitsprobleem is.
Controleer of er geen overlappende IP-bereiken zijn tussen het virtuele netwerk van Azure Stack Hub en het on-premises netwerk. Dit kan verbindingsproblemen veroorzaken.
Controleer de IP-adressen van de VPN-peer:
De IP-definitie in het lokale netwerkgateway-object in Azure Stack Hub moet overeenkomen met het ip-adres van het on-premises apparaat.
De IP-definitie van de Azure Stack Hub-gateway die is ingesteld op het on-premises apparaat, moet overeenkomen met het IP-adres van de Azure Stack Hub-gateway.
Status 'Niet verbonden' - onregelmatige verbroken verbindingen
Vergelijk de gedeelde sleutel voor het on-premises VPN-apparaat met de VPN van het virtuele AzSH-netwerk om er zeker van te zijn dat de sleutels overeenkomen. Gebruik een van de volgende methoden om de gedeelde sleutel voor de AzSH VPN-verbinding weer te geven:
Azure Stack Hub-tenantportal: ga naar de site-naar-site-verbinding van de VPN-gateway die u hebt gemaakt. Selecteer Gedeelde sleutel in de sectie Instellingen.
Azure PowerShell: gebruik de volgende PowerShell-opdracht:
Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>
Status 'Verbonden' - verkeer stroomt niet
Controleer op de door de gebruiker gedefinieerde routering (UDR) en netwerkbeveiligingsgroepen (NSG's) in het gatewaysubnet en verwijder deze en test vervolgens het resultaat. Als het probleem is opgelost, valideert u de instellingen die UDR of NSG hebben toegepast.
Een door de gebruiker gedefinieerde route in het gatewaysubnet kan verkeer beperken en ander verkeer toestaan. Hierdoor lijkt het erop dat de VPN-verbinding onbetrouwbaar is voor sommige verkeer en goed voor anderen.
Controleer het adres van de externe interface van het on-premises VPN-apparaat.
Als het internetgerichte IP-adres van het VPN-apparaat is opgenomen in de definitie van het lokale netwerk in Azure Stack Hub, kunnen er sporadische verbroken verbindingen optreden.
De externe interface van het apparaat moet rechtstreeks op internet zijn. Er mag geen netwerkadresomzetting of firewall zijn tussen internet en het apparaat.
Als u firewallclustering wilt configureren voor een virtueel IP-adres, moet u het cluster verbreken en het VPN-apparaat rechtstreeks beschikbaar maken voor een openbare interface waarmee de gateway kan worden gekoppeld.
Controleer of de subnetten exact overeenkomen.
Controleer of de adresruimte(s) van het virtuele netwerk exact overeenkomen tussen het virtuele netwerk van Azure Stack Hub en on-premises definities.
Controleer of de subnetten exact overeenkomen tussen de lokale netwerkgateway en on-premises definities voor het on-premises netwerk.
Een ondersteuningsticket maken
Als het probleem met geen van de voorgaande stappen is opgelost, maakt u een ondersteuningsticket en gebruikt u het hulpprogramma voor logboekverzameling op aanvraag om logboeken te verstrekken.