Řešení potíží s připojeními site-to-site VPN

Tento článek popisuje kroky, které můžete provést po konfiguraci připojení VPN typu Site-to-Site (S2S) mezi místní sítí a virtuální sítí centra Azure Stack, a připojení se náhle zastaví a nedá se znovu připojit.

Pokud se váš problém s centrem Azure Stack nezabývá v tomto článku, můžete navštívit fórum centra Azure Stack Q.

Můžete také odeslat žádost o podporu Azure. Podívejte se prosím na podporu centra Azure Stack.

Poznámka

Mezi dvěma nasazeními centra Azure Stack lze vytvořit pouze jedno připojení typu Site-to-Site VPN. Důvodem je omezení platformy, která umožňuje jenom jedno připojení VPN ke stejné IP adrese. Vzhledem k tomu, že centrum Azure Stack využívá víceklientské brány, která používá jednu veřejnou IP adresu pro všechny brány VPN v systému služby Azure Stack hub, může být mezi dvěma Azure Stackmi systémy pouze jedno připojení VPN. Toto omezení platí i pro připojení více než jednoho připojení VPN typu Site-to-site k libovolné bráně VPN, která používá jednu IP adresu. Centrum Azure Stack neumožňuje vytvoření více než jednoho prostředku brány místní sítě pomocí stejné IP adresy.

První kroky při řešení potíží

Změnily se výchozí parametry centra Azure Stack pro protokol IPSec/IKEV2:

Důležité

Při použití tunelového propojení S2S jsou pakety dále zapouzdřeny pomocí dalších hlaviček. Tento zapouzdření zvyšuje celkovou velikost paketu. V těchto scénářích je potřeba, abyste v 1350zasvorki TCP MSS . Pokud vaše zařízení VPN nepodporují svorky MSS, můžete místo toho nastavit jednotku MTU v rozhraní tunelu na 1400 bajtů. Další informace najdete v tématu ladění výkonu protokolu virtuální sítě TCP.

  • Zkontrolujte, jestli je konfigurace sítě VPN založená na směrování (IKEv2). Centrum Azure Stack nepodporuje konfigurace založené na zásadách (IKEv1).

  • Ověřte, zda používáte ověřené zařízení VPN a verzi operačního systému. Pokud se nejedná o ověřené zařízení VPN, možná budete muset kontaktovat výrobce zařízení a zjistit, jestli došlo k potížím s kompatibilitou.

  • Ověřte, že mezi virtuální sítí centra Azure Stack a místní sítí nejsou žádné překrývající se rozsahy IP adres. To může způsobit problémy s připojením.

  • Ověřte IP adresy partnerského uzlu sítě VPN:

    • Definice IP adresy v objektu brány místní sítě v centru Azure stacku by měla odpovídat místní IP adrese zařízení.

    • Definice IP adresy brány centra Azure Stack nastavená na místním zařízení by se měla shodovat s IP adresou brány centra Azure Stack.

Stav "Nepřipojeno" – přerušované odpojení

  • Porovnejte sdílený klíč pro místní zařízení VPN s virtuální sítí VPN AzSH a ujistěte se, že se klíče shodují. Pokud chcete zobrazit sdílený klíč pro připojení k síti VPN AzSH, použijte jednu z následujících metod:

    • Portál tenanta centra Azure Stack: Přejít na připojení typu Site-to-site brány VPN, které jste vytvořili. v části Nastavení vyberte možnost sdílený klíč.

      Připojení VPN

    • Azure PowerShell: použijte následující příkaz prostředí PowerShell:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

Stav "připojeno" – přenos bez toku dat

  • Vyhledejte a odstraňte UDR (User-Defined Routing) a skupiny zabezpečení sítě (skupin zabezpečení sítě) v podsíti brány a pak otestujte výsledek. Pokud je problém vyřešen, ověřte nastavení, které UDR nebo NSG použili.

    Trasa definovaná uživatelem v podsíti brány může omezit určitý provoz a povolit další provoz. Tím se zobrazí, že připojení VPN není pro určitý provoz spolehlivé a dobré pro ostatní.

  • Ověřte adresu externího rozhraní zařízení VPN na pracovišti.

    • Pokud je internetová IP adresa zařízení VPN zahrnutá v definici místní sítě v centru Azure Stack, může se stát, že se nastanou nepřipojení.

    • Externí rozhraní zařízení musí být přímo na internetu. Mezi Internetem a zařízením by neměl být žádný překlad síťových adres ani brána firewall.

    • Pokud chcete nakonfigurovat clustery brány firewall tak, aby měly virtuální IP adresu, musíte cluster přerušit a vystavit zařízení VPN přímo veřejnému rozhraní, se kterým může Brána používat rozhraní.

  • Ověřte, že se podsítě přesně shodují.

    • Ověřte, že se adresní prostory virtuální sítě přesně shodují mezi virtuální sítí centra Azure Stack a místními definicemi.

    • Ověřte, že se podsítě přesně shodují mezi bránou místní sítě a místními definicemi místní sítě.

Vytvoření lístku podpory

Pokud žádný z předchozích kroků problém nevyřeší, vytvořte prosím lístek podpory a použijte Nástroj pro shromažďování protokolů na vyžádání k poskytnutí protokolů.