Problemen met een site-naar-site-VPN-verbinding oplossen

In dit artikel worden de stappen beschreven die u kunt uitvoeren nadat u een site-naar-site(S2S) VPN-verbinding tussen een on-premises netwerk en een virtueel Azure Stack Hub-netwerk hebt geconfigureerd, waarna de verbinding plotseling niet meer werkt en niet opnieuw kan worden verbonden.

Als uw probleem met Azure Stack Hub niet in dit artikel wordt behandeld, kunt u het Q&A-forum van Azure Stack Hub bezoeken.

U kunt ook een Azure-ondersteuningsaanvraag indienen. Zie Ondersteuning voor Azure Stack Hub.

Notitie

Er kan slechts één site-naar-site-VPN-verbinding worden gemaakt tussen twee Azure Stack Hub-implementaties. Dit komt door een beperking in het platform waardoor slechts één VPN-verbinding met hetzelfde IP-adres is toegestaan. Omdat Azure Stack Hub gebruikmaakt van de gateway met meerdere tenants, die gebruikmaakt van één openbaar IP-adres voor alle VPN-gateways in het Azure Stack Hub-systeem, kan er slechts één VPN-verbinding zijn tussen twee Azure Stack Hub-systemen. Deze beperking is ook van toepassing op het verbinden van meer dan één site-naar-site-VPN-verbinding met een VPN-gateway die gebruikmaakt van één IP-adres. Azure Stack Hub staat niet toe dat er meer dan één lokale netwerkgatewayresource wordt gemaakt met hetzelfde IP-adres. Aan alle VPN Gateways van dezelfde Azure Stack-implementatie, ongeacht het virtuele netwerk of abonnement, wordt hetzelfde openbare IP-adres toegewezen.

Eerste stappen om het probleem op te lossen

De standaardparameters van Azure Stack Hub voor IPsec/IKEV2 zijn gewijzigd:

Belangrijk

Wanneer u een S2S-tunnel gebruikt, worden pakketten verder ingekapseld met extra headers. Deze inkapseling verhoogt de totale grootte van het pakket. In deze scenario's moet u TCP MSS vastzetten op 1350. Als uw VPN-apparaten geen ondersteuning bieden voor MSS-klemming, kunt u de MTU op de tunnelinterface instellen op 1400 bytes. Zie Prestaties van Virutal Network TCPIP afstemmen voor meer informatie.

  • Controleer of de VPN-configuratie op route is gebaseerd (IKEv2). Azure Stack Hub biedt geen ondersteuning voor op beleid gebaseerde configuraties (IKEv1).

  • Controleer of u een gevalideerde VERSIE van het VPN-apparaat en besturingssysteem gebruikt. Als het apparaat geen gevalideerd VPN-apparaat is, moet u mogelijk contact opnemen met de fabrikant van het apparaat om te zien of er een compatibiliteitsprobleem is.

  • Controleer of er geen overlappende IP-bereiken zijn tussen het virtuele netwerk van Azure Stack Hub en het on-premises netwerk. Dit kan verbindingsproblemen veroorzaken.

  • Controleer de IP-adressen van de VPN-peer:

    • De IP-definitie in het lokale netwerkgateway-object in Azure Stack Hub moet overeenkomen met het ip-adres van het on-premises apparaat.

    • De IP-definitie van de Azure Stack Hub-gateway die is ingesteld op het on-premises apparaat, moet overeenkomen met het IP-adres van de Azure Stack Hub-gateway.

Status 'Niet verbonden' - onregelmatige verbroken verbindingen

  • Vergelijk de gedeelde sleutel voor het on-premises VPN-apparaat met de VPN van het virtuele AzSH-netwerk om er zeker van te zijn dat de sleutels overeenkomen. Gebruik een van de volgende methoden om de gedeelde sleutel voor de AzSH VPN-verbinding weer te geven:

    • Azure Stack Hub-tenantportal: ga naar de site-naar-site-verbinding van de VPN-gateway die u hebt gemaakt. Selecteer Gedeelde sleutel in de sectie Instellingen.

      VPN-verbinding

    • Azure PowerShell: gebruik de volgende PowerShell-opdracht:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

Status 'Verbonden' - verkeer stroomt niet

  • Controleer op de door de gebruiker gedefinieerde routering (UDR) en netwerkbeveiligingsgroepen (NSG's) in het gatewaysubnet en verwijder deze en test vervolgens het resultaat. Als het probleem is opgelost, valideert u de instellingen die UDR of NSG hebben toegepast.

    Een door de gebruiker gedefinieerde route in het gatewaysubnet kan verkeer beperken en ander verkeer toestaan. Hierdoor lijkt het erop dat de VPN-verbinding onbetrouwbaar is voor sommige verkeer en goed voor anderen.

  • Controleer het adres van de externe interface van het on-premises VPN-apparaat.

    • Als het internetgerichte IP-adres van het VPN-apparaat is opgenomen in de definitie van het lokale netwerk in Azure Stack Hub, kunnen er sporadische verbroken verbindingen optreden.

    • De externe interface van het apparaat moet rechtstreeks op internet zijn. Er mag geen netwerkadresomzetting of firewall zijn tussen internet en het apparaat.

    • Als u firewallclustering wilt configureren voor een virtueel IP-adres, moet u het cluster verbreken en het VPN-apparaat rechtstreeks beschikbaar maken voor een openbare interface waarmee de gateway kan worden gekoppeld.

  • Controleer of de subnetten exact overeenkomen.

    • Controleer of de adresruimte(s) van het virtuele netwerk exact overeenkomen tussen het virtuele netwerk van Azure Stack Hub en on-premises definities.

    • Controleer of de subnetten exact overeenkomen tussen de lokale netwerkgateway en on-premises definities voor het on-premises netwerk.

Een ondersteuningsticket maken

Als het probleem met geen van de voorgaande stappen is opgelost, maakt u een ondersteuningsticket en gebruikt u het hulpprogramma voor logboekverzameling op aanvraag om logboeken te verstrekken.