Řešení potíží s připojeními site-to-site VPN

Tento článek popisuje kroky při řešení potíží, které můžete provést po konfiguraci připojení SITE-to-Site (S2S) VPN mezi místní sítí a virtuální sítí Azure Stack Hub a najednou přestane fungovat a nelze se znovu připojit.

Pokud váš Azure Stack Hub problém není v tomto článku vyřešený, můžete navštívit fórum Azure Stack Hub Q A.

Můžete také odeslat žádost podpora Azure uživatele. Projděte si Azure Stack Hub podpory.

Poznámka

Mezi dvěma site-to-site VPN nasazeními je možné vytvořit pouze Azure Stack Hub připojení. Je to způsobené omezením platformy, které umožňuje pouze jedno připojení VPN ke stejné IP adrese. Protože Azure Stack Hub využívá bránu s více tenanty, která používá jednu veřejnou IP adresu pro všechny brány VPN v systému Azure Stack Hub, může mezi dvěma systémy Azure Stack Hub síť VPN pouze jedno připojení VPN. Toto omezení platí také pro připojení více site-to-site VPN připojení k jakékoli bráně VPN, která používá jednu IP adresu. Azure Stack Hub neumožňuje vytvoření více než jednoho prostředku brány místní sítě pomocí stejné IP adresy.

První kroky při řešení potíží

Výchozí Azure Stack Hub pro protokol IPsec/IKEV2 se změnily:

Důležité

Při použití tunelu S2S jsou pakety dále zapouzdřeny dalšími hlavičkami. Tato zapouzdření zvyšuje celkovou velikost paketu. V těchto scénářích musíte tcp MSS uchovat na 1350. Pokud vaše zařízení VPN nepodporují mssing, můžete mtu v rozhraní tunelu nastavit na 1 400 bajtů. Další informace najdete v tématu Ladění výkonu protokolu TCPIP virtuální sítě.

  • Ověřte, že konfigurace sítě VPN je založená na směrování (IKEv2). Azure Stack Hub nepodporuje konfigurace založené na zásadách (IKEv1).

  • Zkontrolujte, jestli používáte ověřené zařízení VPN a verzi operačního systému. Pokud zařízení není ověřené zařízení VPN, možná budete muset kontaktovat výrobce zařízení a podívat se, jestli není problém s kompatibilitou.

  • Ověřte, že mezi virtuální sítí a místní sítí Azure Stack Hub nepřekrývají rozsahy IP adres. To může způsobit problémy s připojením.

  • Ověřte IP adresy partnerských sítí VPN:

    • Definice IP adresy v objektu brány místní sítě v Azure Stack Hub by se měla shodovat s IP adresou místního zařízení.

    • Definice Azure Stack Hub IP adresy brány, která je nastavená na místním zařízení, by měla odpovídat Azure Stack Hub IP adrese brány.

Stav Ne připojeno – přerušované odpojování

  • Porovnejte sdílený klíč pro místní zařízení VPN se sítí VPN virtuální sítě AzSH a ujistěte se, že se klíče shodují. Pokud chcete zobrazit sdílený klíč pro připojení k síti VPN AzSH, použijte jednu z následujících metod:

    • Azure Stack Hub tenanta:Přejděte na připojení vpn gateway site-to-site, které jste vytvořili. V části Nastavení vyberte Sdílený klíč.

      VPN connection

    • Azure PowerShell:Použijte následující příkaz PowerShellu:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

Stav Připojeno – provoz neteče

  • Zkontrolujte a odeberte uživatelem definované směrování (UDR) a skupiny zabezpečení sítě (NSG) v podsíti brány a pak výsledek otestujte. Pokud se problém vyřeší, ověřte nastavení, které se použilo udr nebo NSG.

    Uživatelem definovaná trasa v podsíti brány může omezovat provoz a povolovat další provoz. Zdá se, že připojení VPN je pro některé přenosy nespolehlivé a vhodné pro ostatní.

  • Zkontrolujte adresu externího rozhraní místního zařízení VPN.

    • Pokud je internetová IP adresa zařízení VPN zahrnutá v definici místní sítě v Azure Stack Hub, může docházet k občasné odpojení.

    • Externí rozhraní zařízení musí být přímo na internetu. Mezi internetem a zařízením by neměl být žádný překlad síťových adres ani brána firewall.

    • Pokud chcete clustering brány firewall nakonfigurovat tak, aby měl virtuální IP adresu, musíte cluster přerušit a zveřejnit zařízení VPN přímo ve veřejném rozhraní, se kterým může brána vytvořit rozhraní.

  • Ověřte, že se podsítě přesně shodují.

    • Ověřte, že se adresní prostory virtuální sítě přesně shodují mezi Azure Stack Hub sítí a místními definicemi.

    • Ověřte, že se podsítě přesně shodují mezi bránou místní sítě a místními definicemi pro místní síť.

Vytvoření lístku podpory

Pokud žádný z předchozích kroků váš problém nevyřeší, vytvořte lístek podpory a k poskytování protokolů použijte nástroj pro shromažďování protokolů na vyžádání.