共用方式為

疑難排解:Azure 站對站 VPN 連線無法連線並停止運作

  • 發行項

在內部部署網路與 Azure 虛擬網路之間設定站對站 VPN 連線之後,該 VPN 連線突然停止運作且無法重新連線。 本文提供可協助您解決此問題的疑難排解步驟。

若本文中未提及您的 Azure 問題,請前往 Microsoft Q & A 及 Stack Overflow 上的 Azure 論壇。 您可以在這些論壇中張貼您的問題,或將問題貼到 Twitter 上的 @AzureSupport。 您也可以提交 Azure 支援要求。 若要提交支援要求,請在 Azure 支援頁面上,選取 [取得支援]。

疑難排解步驟

若要解決此問題,請先嘗試重設 Azure VPN 閘道,並從內部部署 VPN 裝置重設通道。 如果問題持續發生,請依照下列步驟執行以找出問題的原因。

必要步驟

檢查 Azure VPN 閘道的類型。

  1. 前往 Azure 入口網站

  2. 前往您 VNet 的虛擬網路閘道。 在 [概觀] 頁面上,您會看到閘道類型、VPN 類型和閘道 SKU。

步驟 1:檢查內部部署 VPN 裝置是否經過驗證

  1. 檢查您是否使用經過驗證的 VPN 裝置和作業系統版本。 如果裝置不是經過驗證的 VPN 裝置,您可能需要連絡裝置製造商,以了解是否有任何相容性問題。

  2. 確定已正確設定 VPN 裝置。 如需詳細資訊,請參閱編輯裝置組態範例

步驟 2:確認共用金鑰

請比較內部部署 VPN 裝置與 Azure 虛擬網路 VPN 的共用金鑰,以確認金鑰相符。

若要檢視 Azure VPN 連線的共用金鑰,請使用下列其中一種方法:

Azure 入口網站

  1. 移至 VPN 閘道。 在 [連線] 頁面上,找到並開啟連線。

  2. 選取 [驗證類型]。 視需求更新並儲存共用金鑰。

Azure PowerShell

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用,請參閱 安裝 Azure PowerShell。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az

針對 Azure Resource Manager 部署模型

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

針對傳統部署模型:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

步驟 3:確認 VPN 對等互連 IP

  • Azure 中「區域網路閘道」物件內的 IP 定義應與內部部署裝置 IP 相符合。
  • 在內部部署裝置上設定的 Azure 閘道 IP 定義應符合 Azure 閘道 IP。

步驟 4:檢查閘道子網路上的 UDR 和 NSG

檢查並移除閘道子網路上的使用者定義路由 (UDR) 或網路安全性群組 (NSG),然後測試結果。 如果問題已解決,請驗證 UDR 或 NSG 套用的設定。

步驟 5:檢查內部部署 VPN 裝置外部介面位址

如果 Azure 的區域網路定義中包含 VPN 裝置的網際網路對應 IP 位址,則您可能偶爾會遇到連線中斷的情況。

步驟 6:確認子網路完全相符合 (Azure 原則型閘道)

  • 確認 Azure 虛擬網路與內部部署定義之間的虛擬網路位址空間完全相符。
  • 確認子網路在區域網路閘道和內部部署網路的內部部署定義之間完全相符合。

步驟 7:確認 Azure 閘道健全狀態探查

  1. 瀏覽至下列 URL 來開啟健康狀態探查:

    https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

    針對作用中閘道,請透過下列操作來檢查第二個公用 IP:

    https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

  2. 按一下憑證警告。

  3. 如果您收到回應,VPN 閘道會被視為狀況良好。 如果您沒有收到回應,閘道可能狀況不良,或閘道子網路上的 NSG 造成問題發生。 下列文字是回應範例:

    <?xml version="1.0"?>
<string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>

注意

基本 SKU VPN 閘道不會回覆健全情態探查。 不建議用於生產環境工作負載

步驟 8:檢查內部部署 VPN 裝置是否已啟用完整轉寄密碼功能

完整轉寄密碼功能可能會造成連線中斷的問題。 如果 VPN 裝置已啟用完整轉寄密碼,請停用該功能。 然後更新 VPN 閘道 IPsec 原則。

注意

VPN 閘道不會回覆其本機位址上的 ICMP。

下一步