Delen via

Overzicht van VPN-problemen oplossen

  • Artikel

Virtuele netwerkgateways bieden connectiviteit tussen on-premises resources en virtuele Azure-netwerken. Het bewaken van virtuele netwerkgateways en hun verbindingen is essentieel om ervoor te zorgen dat de communicatie niet wordt verbroken. Azure Network Watcher biedt de mogelijkheid om problemen met virtuele netwerkgateways en hun verbindingen op te lossen. De mogelijkheid kan worden aangeroepen via Azure Portal, Azure PowerShell, Azure CLI of REST API. Wanneer deze wordt aangeroepen, diagnosticeert Network Watcher de status van de gateway of verbinding en retourneert de juiste resultaten. De aanvraag is een langlopende transactie. De resultaten worden geretourneerd zodra de diagnose is voltooid.

Screenshot of Azure Network Watcher VPN troubleshoot in the Azure portal.

Ondersteunde gatewaytypen

In de volgende tabel ziet u welke gateways en verbindingen worden ondersteund met problemen met Network Watcher:

Gateway of verbinding Ondersteund
Gatewaytypen
VPN Ondersteund
ExpressRoute Niet ondersteund
VPN-typen
Op route gebaseerd Ondersteund
Op basis van beleid Niet ondersteund
Verbinding maken iontypen
IPsec Ondersteund
Vnet2Vnet Ondersteund
ExpressRoute Niet ondersteund
VPNClient Niet ondersteund

Resultaten

De geretourneerde voorlopige resultaten geven een algemeen beeld van de status van de resource. Meer informatie kan worden verstrekt voor resources, zoals wordt weergegeven in de volgende sectie:

De volgende lijst bevat de waarden die worden geretourneerd met de API voor probleemoplossing:

  • startTime : deze waarde is het tijdstip waarop de aanroep voor het oplossen van problemen met de API is gestart.
  • endTime : deze waarde is het tijdstip waarop de probleemoplossing is beëindigd.
  • code : deze waarde is UnHealthy, als er één diagnosefout is.
  • resultaten: resultaten zijn een verzameling resultaten die worden geretourneerd op de Verbinding maken ion of de gateway van het virtuele netwerk.
    • id : deze waarde is het fouttype.
    • samenvatting : deze waarde is een samenvatting van de fout.
    • gedetailleerd : deze waarde geeft een gedetailleerde beschrijving van de fout.
    • recommendedActions : deze eigenschap is een verzameling aanbevolen acties die moeten worden uitgevoerd.
      • actionText : deze waarde bevat de tekst waarin wordt beschreven welke actie moet worden ondernomen.
      • actionUri : deze waarde biedt de URI aan documentatie over hoe u moet handelen.
      • actionUriText : deze waarde is een korte beschrijving van de actietekst.

In de volgende tabellen ziet u de verschillende fouttypen (id onder resultaten uit de voorgaande lijst) die beschikbaar zijn en of de fout logboeken maakt.

Gateway

Fouttype Reden Logboek
NoFault Wanneer er geen fout wordt gedetecteerd Ja
GatewayNotFound Kan gateway of gateway niet vinden is niet ingericht Nee
PlannedMaintenance Gatewayexemplaren worden onderhouden Nee
UserDrivenUpdate Deze fout treedt op wanneer een gebruikersupdate wordt uitgevoerd. De update kan een wijziging van het formaat zijn. Nee
VipUnResponsive Deze fout treedt op wanneer het primaire exemplaar van de gateway niet kan worden bereikt als gevolg van een fout in de statustest. Nee
PlatformInActive Er is een probleem met het platform. Nee
ServiceNotRunning De onderliggende service wordt niet uitgevoerd. Nee
Nee Verbinding maken ionsFoundForGateway Er zijn geen verbindingen op de gateway. Deze fout is alleen een waarschuwing. Nee
Verbinding maken ionsNot Verbinding maken ed Verbinding maken ionen zijn niet verbonden. Deze fout is alleen een waarschuwing. Ja
GatewayCPUUsageExceeded Het huidige CPU-gebruik van de gateway is > 95%. Ja

Connection

Fouttype Reden Logboek
NoFault Wanneer er geen fout wordt gedetecteerd Ja
GatewayNotFound Kan gateway of gateway niet vinden is niet ingericht Nee
PlannedMaintenance Gatewayexemplaren worden onderhouden Nee
UserDrivenUpdate Deze fout treedt op wanneer een gebruikersupdate wordt uitgevoerd. De update kan een wijziging van het formaat zijn. Nee
VipUnResponsive Deze fout treedt op wanneer het primaire exemplaar van de gateway niet kan worden bereikt als gevolg van een fout in de statustest. Nee
Verbinding maken ionEntityNotFound Verbinding maken ionconfiguratie ontbreekt Nee
Verbinding maken ionIsMarkedDisconnected De verbinding is gemarkeerd als 'verbinding verbroken' Nee
Verbinding maken ionNotConfiguredOnGateway De onderliggende service heeft de verbinding niet geconfigureerd. Ja
Verbinding maken ionMarkedStandby De onderliggende service is gemarkeerd als stand-by. Ja
Verificatie Vooraf gedeelde sleutel komt niet overeen Ja
PeerReachability De peergateway is niet bereikbaar. Ja
IkePolicyMismatch De peergateway heeft IKE-beleid dat niet wordt ondersteund door Azure. Ja
WfpParse-fout Er is een fout opgetreden bij het parseren van het WFP-logboek. Ja

Logboekbestanden

De logboekbestanden voor het oplossen van problemen met resources worden opgeslagen in een opslagaccount nadat het oplossen van problemen met resources is voltooid. In de volgende afbeelding ziet u de voorbeeldinhoud van een aanroep die een fout heeft veroorzaakt.

Screenshot shows the content of the downloaded zipped log files.

Notitie

  1. In sommige gevallen wordt alleen een subset van de logboekbestanden naar de opslag geschreven.
  2. Voor nieuwere gatewayversies zijn het IkeErrors.txt,Scrubbed-wfpdiag.txt en wfpdiag.txt.sum vervangen door een IkeLogs.txt-bestand dat de hele IKE-activiteit bevat (niet alleen fouten).

Zie Een blok-blob downloaden voor instructies over het downloaden van bestanden uit Azure-opslagaccounts. Een ander hulpprogramma dat kan worden gebruikt, is Storage Explorer. Zie Azure Storage Explorer gebruiken om blobs te downloaden voor meer informatie over Azure Storage Explorer

Verbinding maken ionStats.txt

Het bestand Verbinding maken ionStats.txt bevat algemene statistieken van de Verbinding maken ion, inclusief inkomende en uitgaande bytes, Verbinding maken ionstatus en het tijdstip waarop de Verbinding maken ion is vastgesteld.

Notitie

Als de aanroep van de API voor probleemoplossing in orde is, is het enige wat in het zip-bestand wordt geretourneerd een Verbinding maken ionStats.txt-bestand.

De inhoud van dit bestand is vergelijkbaar met het volgende voorbeeld:

Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM

CPUStats.txt

Het bestand CPUStats.txt bevat het CPU-gebruik en het geheugen dat beschikbaar is op het moment van testen. De inhoud van dit bestand is vergelijkbaar met het volgende voorbeeld:

Current CPU Usage : 0 % Current Memory Available : 641 MBs

IKElogs.txt

Het BESTAND IKElogs.txt bevat alle IKE-activiteiten die tijdens de bewaking zijn gevonden.

In het volgende voorbeeld ziet u de inhoud van een IKElogs.txt-bestand.

Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch

IKEErrors.txt

Het BESTAND IKEErrors.txt bevat IKE-fouten die zijn gevonden tijdens de bewaking.

In het volgende voorbeeld ziet u de inhoud van een IKEErrors.txt-bestand. Uw fouten kunnen afwijken, afhankelijk van het probleem.

Error: Authentication failed. Check shared key. Check crypto. Check lifetimes. 
	 based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload. 
	 based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)

Geschroofd-wfpdiag.txt

Het logboekbestand Scrubbed-wfpdiag.txt bevat het wfp-logboek. Dit logboek bevat logboekregistratie van pakketuitval en IKE/AuthIP-fouten.

In het volgende voorbeeld ziet u de inhoud van het bestand Scrubbed-wfpdiag.txt. In dit voorbeeld is de vooraf gedeelde sleutel van een Verbinding maken ion niet juist, zoals te zien is vanaf de derde regel onderaan. Het volgende voorbeeld is slechts een fragment van het hele logboek, omdat het logboek lang kan zijn, afhankelijk van het probleem.

...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Local address: 13.78.238.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Remote address: 52.161.24.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Failure point: Remote
...

wfpdiag.txt.sum

Het bestand wfpdiag.txt.sum is een logboek met de buffers en gebeurtenissen die zijn verwerkt.

Het volgende voorbeeld is de inhoud van een bestand wfpdiag.txt.sum.

Files Processed:
	C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events  Processed 2169
Total Events  Lost      0
Total Format  Errors    0
Total Formats Unknown   486
Elapsed Time            330 sec
+-----------------------------------------------------------------------------------+
|EventCount    EventName            EventType   TMF                                 |
+-----------------------------------------------------------------------------------+
|        36    ikeext               ike_addr_utils_c844  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        12    ikeext               ike_addr_utils_c857  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        96    ikeext               ike_addr_utils_c832  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|         6    ikeext               ike_bfe_callbacks_c133  1dc2d67f-8381-6303-e314-6c1452eeb529|
|         6    ikeext               ike_bfe_callbacks_c61  1dc2d67f-8381-6303-e314-6c1452eeb529|
|        12    ikeext               ike_sa_management_c5698  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c8447  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c494  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c642  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c3162  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c3307  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|

Overwegingen

  • Er kan slechts één VPN-probleemoplossingsbewerking tegelijk per abonnement worden uitgevoerd. Als u een andere VPN-probleemoplossingsbewerking wilt uitvoeren, wacht u tot de vorige bewerking is voltooid. Als u een nieuwe bewerking activeert terwijl een vorige bewerking niet is voltooid, mislukken de volgende bewerkingen.
  • CLI-fout: als u Azure CLI gebruikt om de opdracht uit te voeren, moeten de VPN-gateway en het opslagaccount zich in dezelfde resourcegroep bevinden. Klanten met de resources in verschillende resourcegroepen kunnen in plaats daarvan PowerShell of Azure Portal gebruiken.

Volgende stap

Zie Communicatieproblemen tussen virtuele netwerken vaststellen voor meer informatie over het vaststellen van een probleem met een virtuele netwerkgateway of gatewayverbinding.