Поделиться через

Устранение неполадок: Подключение VPN типа "сеть — сеть" Azure не функционирует и прекращает работу

  • Статья

После настройки VPN-подключения типа "сеть — сеть" между локальной сетью и виртуальной сетью Azure VPN-подключение внезапно перестает работать и не может быть повторно подключено. В этой статье приведены действия по устранению этой проблемы.

Если проблема Azure не устранена в этой статье, посетите форумы Azure на форумах Microsoft Q и A и Stack Overflow. Описание своей проблемы можно опубликовать на этих форумах или написать в Twitter (@AzureSupport). Также можно отправить запрос в службу поддержки Azure. Чтобы отправить такой запрос, на странице поддержки Azure щелкните Получить поддержку.

Действия по устранению неполадок

Чтобы устранить эту проблему, попробуйте сначала сбросить VPN-шлюз Azure, а также сбросить туннель в локальном VPN-устройстве. Если проблему устранить не удалось, выполните действия ниже, чтобы определить причину проблемы.

Предварительные действия

Проверьте тип VPN-шлюза Azure.

  1. Переход на портал Azure.

  2. Перейдите к шлюзу виртуальной сети для виртуальной сети. На странице "Обзор" отображается тип шлюза, тип VPN и номер SKU шлюза.

Шаг 1. Проверка проверки локального VPN-устройства

  1. Проверьте, используется ли проверенное VPN-устройство и версия операционной системы. Если устройство не является проверенным VPN-устройством, может потребоваться связаться с производителем устройства, чтобы узнать, возникла ли проблема совместимости.

  2. Убедитесь, что VPN-устройство настроено правильно. Дополнительные сведения см. на странице об изменении примеров конфигурации устройств.

Шаг 2. Проверка общего ключа

Сравните общий ключ от локального VPN-устройства и VPN виртуальной сети Azure, чтобы убедиться, что они совпадают.

Чтобы просмотреть общий ключ для подключения VPN Azure, используйте один из методов ниже.

Портал Azure

  1. Перейдите к шлюзу VPN. На странице Подключения найдите и откройте необходимое подключение.

  2. Выберите Тип проверки подлинности. Обновите и сохраните предварительный общий ключ, если это необходимо.

Azure PowerShell

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Сведения о начале работы см. в статье "Установка Azure PowerShell". Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Для модели развертывания с помощью Azure Resource Manager выполните следующую команду:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

Выполните следующую команду для классической модели развертывания:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Шаг 3. Проверка IP-адресов однорангового VPN-узла

  • Определение IP-адреса в объекте шлюза локальной сети в Azure должно совпадать с IP-адресом локального устройства.
  • Определение IP-адреса шлюза Azure, установленное в локальном устройстве, должно совпадать с IP-адресом шлюза Azure.

Шаг 4. Проверка UDR и групп безопасности сети в подсети шлюза

Проверьте, есть ли в подсети шлюза определяемые пользователем маршруты (UDR) или группы безопасности сети (NSG) и удалите их, если они имеются. Затем проверьте, успешно ли выполнена операция удаления. Если проблему удалось устранить, проверьте, соответствующим ли образом настроены параметры для NSG и UDR.

Шаг 5. Проверка адреса внешнего интерфейса локального VPN-устройства

Если IP-адрес для Интернета VPN-устройства включен в определение локальной сети в Azure, вы можете столкнуться с нерегулярными отключениями.

Шаг 6. Убедитесь, что подсети соответствуют точно (шлюзы на основе политик Azure)

  • Адресные пространства виртуальной сети между виртуальной сетью Azure и локальными определениями должны полностью совпадать.
  • Подсети между шлюзом локальной сети и локальными определениями должны полностью совпадать для локальной сети.

Шаг 7. Проверка пробы работоспособности шлюза Azure

  1. Перейдя по указанному URL-адресу, вы откроете проверку работоспособности.

    https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

    Для шлюзов в режиме "активный — активный" используйте следующий код, чтобы проверить второй общедоступный IP-адрес:

    https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

  2. Просмотрите предупреждение о сертификате.

  3. Если вы получите ответ, шлюз VPN считается работоспособным. Если вы не получите ответ, шлюз может быть неработоспособным, или проблема может быть вызвана наличием группы безопасности сети (NSG) в подсети шлюза. Пример ответа приведен ниже:

    <?xml version="1.0"?>
<string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>

Примечание.

Базовые VPN-шлюзы SKU не отвечают на проверку работоспособности. Они не рекомендуется использовать для рабочих нагрузок.

Шаг 8. Проверьте, включена ли локальная VPN-служба с поддержкой идеальной функции секретности пересылки

Функция полной безопасности пересылки может вызвать проблемы отключения. Если для VPN-устройства включена функция полной безопасности пересылки, отключите эту функцию. Затем обновите политику IPsec VPN-шлюза.

Примечание.

VPN-шлюзы не отвечают на ICMP на их локальный адрес.

Следующие шаги