Устранение неполадок VPN типа "сеть — сеть"
В этой статье описываются действия по устранению неполадок, которые можно выполнить после настройки VPN-подключения типа "сеть — сеть" (S2S) между локальной сетью и виртуальной сетью Azure Stack Hub, внезапной потери подключения и невозможности переподключения.
Если проблема Azure Stack Hub не устранена в этой статье, вы можете посетить форум по вопросам и вопросам и вопросам azure Stack Hub.
Также можно отправить запрос в службу поддержки Azure. Дополнительные сведения см. в разделе Поддержка для Azure Stack Hub.
Примечание.
Между двумя развертываниями Azure Stack Hub можно создать только одно VPN-подключение "сеть — сеть". Это связано с ограничением платформы, в соответствии с которым разрешается создавать только одно VPN-подключение с использованием одного и того же IP-адреса. Так как Azure Stack Hub использует мультитенантный шлюз, который, в свою очередь, использует один общедоступный IP-адрес для всех VPN-шлюзов в системе Azure Stack Hub, там можно создать только одно VPN-подключение между двумя системами Azure Stack Hub. Это ограничение также относится к созданию нескольких VPN-подключений "сеть — сеть" к любому VPN-шлюзу, который использует один IP-адрес. В Azure Stack Hub нельзя создать несколько локальных ресурсов сетевого шлюза с использованием одного и того же IP-адреса. Все VPN-шлюз из одного развертывания Azure Stack независимо от виртуальной сети или подписки будут назначены одному общедоступному IP-адресу.
Первые действия по устранению неполадок
Изменены параметры Azure Stack Hub по умолчанию для IPsec/IKEV2:
Внимание
При использовании туннеля S2S пакеты инкапсулируются с дополнительными заголовками. Такая инкапсуляция увеличивает общий размер пакета. В таких случаях необходимо установить для TCP MSS значение 1350. Если же VPN-устройства не поддерживают фиксацию MSS, в интерфейсе туннеля можно задать для MTU 1400 байт. Дополнительные сведения см. в статье Настройка производительности виртуальной сети TCPIP.
Убедитесь, что конфигурация VPN основана на маршруте (IKEv2). Центр Azure Stack не поддерживает конфигурации на основе политик (IKEv1).
Узнайте, используете ли вы проверенную версию VPN-устройства и операционной системы. Если устройство является непроверенным VPN-устройством, может потребоваться обратиться к изготовителю устройства, чтобы узнать о возможных проблемах совместимости.
Убедитесь в отсутствии перекрывающихся диапазонов IP-адресов между виртуальной сетью Azure Stack Hub и локальной сетью. Это может вызвать проблемы с подключением.
Проверьте IP-адреса VPN-узла:
Определение IP-адреса в объекте шлюза локальной сети в Azure Stack Hub должно совпадать с IP-адресом локального устройства.
Определение IP-адреса шлюза Azure Stack Hub, установленное в локальном устройстве, должно совпадать с IP-адресом шлюза Azure Stack Hub.
Состояние "Не подключен" — периодические отключения
Сравните общий ключ от локального VPN-устройства и VPN виртуальной сети AzSH, чтобы убедиться, что они совпадают. Чтобы просмотреть общий ключ для подключения VPN AzSH, используйте один из методов ниже.
Портал клиента Azure Stack Hub. Перейдите к созданному vpn-шлюзу подключения типа "сеть — сеть". В разделе Параметры выберите Общий ключ.
Azure PowerShell: используйте следующую команду PowerShell:
Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>
Состояние "Подключено" — трафик не передается
Проверьте, есть ли в подсети шлюза определяемые пользователем маршруты (UDR) и группы безопасности сети (NSG) и удалите их, если они имеются. Затем проверьте, успешно ли выполнена операция удаления. Если проблему удалось устранить, проверьте, соответствующим ли образом настроены параметры для NSG и UDR.
Определяемый пользователем маршрут в подсети шлюза может ограничивать часть трафика и разрешать другой трафик. Таким образом VPN-подключение является ненадежным для одной части трафика и хорошим для другой.
Проверка внешнего адреса интерфейса для локального VPN-устройства.
Если IP-адрес для Интернета VPN-устройства включен в определение локальной сети в Azure Stack Hub, вы можете столкнуться с нерегулярными отключениями.
К внешнему интерфейсу устройства должен быть прямой доступ через Интернет. Между Интернетом и устройством не должны использоваться преобразование сетевых адресов (NAT) или брандмауэр.
Чтобы настроить виртуальный IP-адрес для кластеризации брандмауэра, вы должны отключить кластер и предоставить устройство VPN непосредственно общедоступному интерфейсу, с которым может взаимодействовать шлюз.
Убедитесь, что подсети точно совпадают.
Адресные пространства виртуальной сети между виртуальной сетью Azure Stack Hub и локальными определениями должны полностью совпадать.
Подсети между шлюзом локальной сети и локальными определениями должны полностью совпадать для локальной сети.
Создайте запрос в службу поддержки
Если ни один из предыдущих шагов не решит проблему, создайте запрос в службу поддержки и используйте средство сбора журналов по запросу для предоставления журналов.