Rozwiązywanie problemów z połączeniami sieci VPN typu lokacja-lokacja

W tym artykule opisano kroki rozwiązywania problemów, które można wykonać po skonfigurowaniu połączenia sieci VPN typu lokacja-lokacja (S2S) między siecią lokalną i siecią wirtualną usługi Azure Stack Hub, a połączenie nagle przestaje działać i nie można ponownie nawiązać połączenia.

Jeśli problem z usługą Azure Stack Hub nie został rozwiązany w tym artykule, możesz odwiedzić forum pytań i odpowiedzi w usłudze Azure Stack Hub.

Możesz też przesłać żądanie pomocy technicznej platformy Azure. Zobacz pomoc techniczną usługi Azure Stack Hub.

Uwaga

Między dwoma wdrożeniami usługi Azure Stack Hub można utworzyć tylko jedno połączenie sieci VPN typu lokacja-lokacja. Jest to spowodowane ograniczeniem platformy, które zezwala tylko na pojedyncze połączenie sieci VPN z tym samym adresem IP. Ponieważ usługa Azure Stack Hub korzysta z bramy dla wielu dzierżawców, która używa jednego publicznego adresu IP dla wszystkich bram VPN w systemie Azure Stack Hub, możliwe jest tylko jedno połączenie VPN między dwoma systemami Azure Stack Hub. To ograniczenie dotyczy również łączenia więcej niż jednego połączenia sieci VPN typu lokacja-lokacja z dowolną bramą sieci VPN używającą jednego adresu IP. Usługa Azure Stack Hub nie zezwala na utworzenie więcej niż jednego zasobu bramy sieci lokalnej przy użyciu tego samego adresu IP. Wszystkie bramy sieci VPN z tego samego wdrożenia usługi Azure Stack, niezależnie od sieci wirtualnej lub subskrypcji, zostaną przypisane do tego samego publicznego adresu IP.

Początkowe kroki rozwiązywania problemów

Domyślne parametry usługi Azure Stack Hub dla protokołu IPsec/IKEV2 zostały zmienione:

Ważne

W przypadku korzystania z tunelu S2S pakiety są dodatkowo hermetyzowane dodatkowymi nagłówkami. Ta hermetyzacja zwiększa całkowity rozmiar pakietu. W tych scenariuszach należy ograniczyć protokół TCP MSS do 1350. Jeśli urządzenia sieci VPN nie obsługują zaciskania MSS, możesz ustawić MTU w interfejsie tunelu na 1400 bajtów. Aby uzyskać więcej informacji, zobacz Virutal Network TCPIP performance tuning (Dostrajanie wydajności protokołu TCPIP dla sieci virutal).

• Upewnij się, że konfiguracja sieci VPN jest oparta na trasach (IKEv2). Usługa Azure Stack Hub nie obsługuje konfiguracji opartych na zasadach (IKEv1).

• Sprawdź, czy używasz zweryfikowanego urządzenia sieci VPN i wersji systemu operacyjnego. Jeśli urządzenie nie jest zweryfikowanym urządzeniem sieci VPN, może być konieczne skontaktowanie się z producentem urządzenia, aby sprawdzić, czy występuje problem ze zgodnością.

• Sprawdź, czy nie ma nakładających się zakresów adresów IP między siecią wirtualną usługi Azure Stack Hub i siecią lokalną. Może to spowodować problemy z łącznością.

• Sprawdź adresy IP równorzędnych sieci VPN:

  • Definicja adresu IP w obiekcie bramy sieci lokalnej w usłudze Azure Stack Hub powinna być zgodna z adresem IP urządzenia lokalnego.

  • Definicja adresu IP bramy usługi Azure Stack Hub ustawiona na urządzeniu lokalnym powinna być zgodna z adresem IP bramy usługi Azure Stack Hub.

Stan "Nie połączono" — sporadyczne rozłączenia

Moduły Az

• Porównaj klucz współużytkowany dla lokalnego urządzenia sieci VPN z siecią wirtualną AzSH, aby upewnić się, że klucze są zgodne. Aby wyświetlić klucz współużytkowany dla połączenia sieci VPN AzSH, użyj jednej z następujących metod:

  • Portal dzierżawy usługi Azure Stack Hub: przejdź do utworzonego połączenia bramy VPN typu lokacja-lokacja. W sekcji Ustawienia wybierz pozycję Klucz współużytkowany.

    

  • Azure PowerShell: użyj następującego polecenia programu PowerShell:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

Moduły AzureRM

• Porównaj klucz współużytkowany dla lokalnego urządzenia sieci VPN z siecią wirtualną AzSH, aby upewnić się, że klucze są zgodne. Aby wyświetlić klucz współużytkowany dla połączenia sieci VPN AzSH, użyj jednej z następujących metod:

  • Portal dzierżawy usługi Azure Stack Hub: przejdź do utworzonego połączenia bramy VPN typu lokacja-lokacja. W sekcji Ustawienia wybierz pozycję Klucz współużytkowany.

    

  • Azure PowerShell: użyj następującego polecenia programu PowerShell:

Get-AzurerRMVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

Stan "Połączono" — ruch nie przepływa

• Sprawdź i usuń routing zdefiniowany przez użytkownika (UDR) oraz grupy zabezpieczeń sieciowych (NSG) na podsieci bramy, a następnie przetestuj wynik. Jeśli problem zostanie rozwiązany, zweryfikuj ustawienia, które zastosowały UDR lub NSG.

  Trasa zdefiniowana przez użytkownika w podsieci bramy może ograniczać ruch i zezwalać na inny ruch. To sprawia, że wydaje się, iż połączenie sieci VPN jest zawodne dla niektórych rodzajów ruchu i dobre dla innych.

• Sprawdź adres zewnętrzny lokalnego urządzenia sieci VPN.

  • Jeśli adres IP urządzenia sieci VPN dostępny z Internetu znajduje się w definicji sieci lokalnej w usłudze Azure Stack Hub, mogą wystąpić sporadyczne rozłączenia.

  • Interfejs zewnętrzny urządzenia musi znajdować się bezpośrednio w Internecie. Nie powinno istnieć translacja adresów sieciowych ani zapora między Internetem a urządzeniem.

  • Aby skonfigurować klastrowanie zapory tak, aby działała z wirtualnym adresem IP, należy rozłączyć klaster i uwidocznić urządzenie sieci VPN bezpośrednio do interfejsu publicznego, za pomocą którego brama może się komunikować.

• Sprawdź, czy podsieci są dokładnie zgodne.

  • Sprawdź, czy przestrzenie adresowe sieci wirtualnej są dokładnie zgodne między siecią wirtualną usługi Azure Stack Hub i definicjami lokalnymi.

  • Sprawdź, czy podsieci są dokładnie zgodne między bramą sieci lokalnej i definicjami lokalnymi dla sieci lokalnej.

Utwórz zgłoszenie pomocy technicznej

Jeśli żaden z wcześniejszych kroków nie rozwiąże problemu, utwórz zgłoszenie do pomocy technicznej i użyj narzędzia do zbierania dzienników na żądanie, aby udostępnić dzienniki.