Rozwiązywanie problemów: połączenie sieci VPN typu lokacja-lokacja platformy Azure nie może nawiązać połączenia i przestaje działać

Po skonfigurowaniu połączenia sieci VPN typu lokacja-lokacja między siecią lokalną a siecią wirtualną platformy Azure połączenie sieci VPN nagle przestaje działać i nie można nawiązać ponownego połączenia. Ten artykuł zawiera kroki rozwiązywania problemów ułatwiające rozwiązanie tego problemu.

Jeśli Twój problem z Azure nie został omówiony w tym artykule, odwiedź fora dyskusyjne Azure w witrynach Microsoft Q & A i Stack Overflow. Możesz opisać swój problem na tych forach lub zgłosić go na @AzureSupport na Twitterze. Możesz również przesłać żądanie pomocy technicznej dotyczącej platformy Azure. Aby przesłać wniosek o pomoc techniczną, na stronie pomoc techniczna platformy Azure wybierz pozycję Uzyskaj pomoc techniczną.

Kroki rozwiązywania problemów

Aby rozwiązać ten problem, najpierw spróbuj zresetować bramę sieci VPN platformy Azure i zresetować tunel z lokalnego urządzenia sieci VPN. Jeśli problem będzie się powtarzać, wykonaj następujące kroki, aby zidentyfikować przyczynę problemu.

Krok wstępny

Sprawdź typ bramy sieci VPN platformy Azure.

1. Przejdź do portalu Azure.

2. Przejdź do bramy sieci wirtualnej (gateway) dla twojego VNet. Na stronie Przegląd zobaczysz typ bramy, typ sieci VPN i jednostkę SKU bramy.

Krok 1. Sprawdzanie, czy lokalne urządzenie sieci VPN zostało zweryfikowane

1. Sprawdź, czy używasz zweryfikowanego urządzenia sieci VPN i wersji systemu operacyjnego. Jeśli urządzenie nie jest zweryfikowanym urządzeniem sieci VPN, może być konieczne skontaktowanie się z producentem urządzenia, aby sprawdzić, czy występuje problem ze zgodnością.

2. Upewnij się, że urządzenie sieci VPN jest poprawnie skonfigurowane. Aby uzyskać więcej informacji, zobacz Edytowanie przykładów konfiguracji urządzenia.

Krok 2. Weryfikowanie klucza współużytkowanego

Porównaj klucz współużytkowany dla lokalnego urządzenia sieci VPN z siecią VPN usługi Azure Virtual Network, aby upewnić się, że klucze są zgodne.

Aby wyświetlić klucz wspólny dla połączenia sieci VPN platformy Azure, użyj jednej z następujących metod:

Portal Azure

1. Przejdź do usługi VPN Gateway. Na stronie Połączenia znajdź i otwórz połączenie.

2. Wybierz Typ uwierzytelniania. Zaktualizuj i zapisz wspólny klucz, jeśli to konieczne.

Azure PowerShell

Uwaga

Zalecamy korzystanie z modułu Azure Az programu PowerShell do interakcji z platformą Azure. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

W przypadku modelu wdrażania usługi Azure Resource Manager:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

W przypadku klasycznego modelu wdrażania:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Krok 3. Weryfikowanie adresów IP równorzędnych sieci VPN

• Definicja adresu IP w obiekcie bramy sieci lokalnej na platformie Azure powinna być zgodna z adresem IP urządzenia lokalnego.
• Definicja adresu IP bramy platformy Azure ustawiona na urządzeniu lokalnym powinna być zgodna z adresem IP bramy platformy Azure.

Krok 4: Sprawdź trasę zdefiniowaną przez użytkownika (UDR) i sieciowe grupy zabezpieczeń (NSG) na podsieci bramy

Sprawdź i usuń routing zdefiniowany przez użytkownika (UDR) lub sieciowe grupy zabezpieczeń (NSG) w podsieci bramy, a następnie przetestuj wynik. Jeśli problem zostanie rozwiązany, zweryfikuj ustawienia, które zastosowały UDR lub NSG.

Krok 5. Sprawdzanie adresu zewnętrznego lokalnego urządzenia sieci VPN

Jeśli adres IP urządzenia sieci VPN dostępny z Internetu znajduje się w definicji sieci lokalnej na platformie Azure, mogą wystąpić sporadyczne rozłączenia.

Krok 6. Sprawdź, czy podsieci są dokładnie zgodne (bramy oparte na zasadach platformy Azure)

• Sprawdź, czy przestrzenie adresowe sieci wirtualnej są dokładnie zgodne z siecią wirtualną platformy Azure i definicjami lokalnymi.
• Sprawdź, czy podsieci są dokładnie zgodne między bramą sieci lokalnej i definicjami lokalnymi dla sieci lokalnej.

Krok 7. Sprawdzenie sondy stanu bramy platformy Azure

1. Otwórz sondę kondycji, przechodząc do następującego adresu URL:

   https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

   W przypadku bram aktywnych/aktywnych użyj następującego polecenia, aby sprawdzić drugi publiczny adres IP:
   

   https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

2. Kliknij, aby przejść przez ostrzeżenie dotyczące certyfikatu.

3. Jeśli otrzymasz odpowiedź, brama sieci VPN jest uważana za działającą prawidłowo. Jeśli nie otrzymasz odpowiedzi, brama może nie być w dobrej kondycji lub sieciowa grupa zabezpieczeń w podsieci bramy powoduje problem. Następujący tekst to przykładowa odpowiedź:

   <?xml version="1.0"?>
   <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
   

Uwaga

Podstawowe bramy sieci VPN SKU nie odpowiadają na kontrolę stanu. Nie są one zalecane do obciążeń produkcyjnych.

Krok 8. Sprawdzenie, czy lokalne urządzenie sieci VPN ma włączoną idealną funkcję tajemnicy przekazywania dalej

Idealna funkcja tajemnicy przekazywania może powodować problemy z rozłączaniem. Jeśli urządzenie VPN ma włączoną funkcję doskonałej poufności przekazywania, wyłącz tę funkcję. Następnie zaktualizuj zasady protokołu IPsec bramy sieci VPN.

Uwaga

Bramy sieci VPN nie odpowiadają na żądania protokołu ICMP skierowane do ich lokalnego adresu.

Następne kroki

• Konfigurowanie połączenia lokacja-lokacja z siecią wirtualną
• Konfigurowanie zasad protokołu IPsec/IKE dla połączeń sieci VPN typu lokacja-lokacja