Helyek közötti VPN-kapcsolatok hibaelhárításaTroubleshoot site-to-site VPN connections

Ez a cikk a helyek közötti (S2S) VPN-kapcsolat helyszíni hálózat és egy Azure Stack hub virtuális hálózat közötti konfigurálását követően elvégezhető hibaelhárítási lépéseket ismerteti, és a kapcsolat hirtelen leáll, és nem lehet újracsatlakozni.This article describes troubleshooting steps you can take after you configure a site-to-site (S2S) VPN connection between an on-premises network and an Azure Stack Hub virtual network, and the connection suddenly stops working and cannot be reconnected.

Ha a Azure Stack hub-probléma nem szerepel ebben a cikkben, látogasson el az Azure stack hub MSDN fórumára.If your Azure Stack Hub issue is not addressed in this article, you can visit the Azure Stack Hub MSDN forum.

Azure-támogatási kérelmet is küldhet.You also can submit an Azure support request. Tekintse meg Azure stack hub támogatását.Please see Azure Stack Hub support.

Megjegyzés

Két Azure Stack hub üzemelő példány között csak egy helyek közötti VPN-kapcsolat hozható létre.Only one site-to-site VPN connection can be created between two Azure Stack Hub deployments. Ennek oka a platform olyan korlátozása, amely csak egyetlen VPN-kapcsolat használatát teszi lehetővé ugyanahhoz az IP-címhez.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Mivel Azure Stack hub kihasználja a több-bérlős átjárót, amely egyetlen nyilvános IP-címet használ a Azure Stack hub rendszer összes VPN-átjárója számára, csak egy VPN-kapcsolat lehet két Azure Stack hub-rendszer között.Because Azure Stack Hub leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub system, there can be only one VPN connection between two Azure Stack Hub systems. Ez a korlátozás arra az esetre is vonatkozik, ha egynél több helyek közötti VPN-kapcsolatot csatlakoztat egy olyan VPN-átjáróhoz, amely egyetlen IP-címet használ.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Azure Stack hub nem teszi lehetővé, hogy egynél több helyi hálózati átjáró-erőforrást hozzon létre ugyanazzal az IP-címmel.Azure Stack Hub does not allow more than one local network gateway resource to be created using the same IP address.

Első hibaelhárítási lépésekInitial troubleshooting steps

Az IPsec/IKEV2 Azure Stack hub alapértelmezett paraméterei a 1910-es buildtel kezdődtek, forduljon a Azure stack hub-kezelőhöz a Build verziójával kapcsolatos további információkért.The Azure Stack Hub default parameters for IPsec/IKEV2 have changed starting with the 1910 build Please contact your Azure Stack Hub operator for more information on the build version.

Fontos

S2S-alagút használata esetén a csomagok további fejlécekkel vannak beágyazva.When using an S2S tunnel, packets are further encapsulated with additional headers. Ez a beágyazás növeli a csomag teljes méretét.This encapsulation increases the overall size of the packet. Ezekben a forgatókönyvekben a TCP MSS -t a 1350-es verzióban kell megfogni.In these scenarios, you must clamp TCP MSS at 1350. Ha a VPN-eszközök nem támogatják a MSS-befogást, akkor a bújtatási felületen az MTU-t 1400 bájtra állíthatja.If your VPN devices do not support MSS clamping, you can set the MTU on the tunnel interface to 1400 bytes instead. További információ: a virtuális hálózat tcpip-es teljesítményének finomhangolása.For more information, see Virutal Network TCPIP performance tuning.

  • Győződjön meg arról, hogy a VPN-konfiguráció útvonal-alapú (IKEv2).Confirm that the VPN configuration is route-based (IKEv2). Azure Stack hub nem támogatja a házirend-alapú (IKEv1) konfigurációkat.Azure Stack Hub does not support policy-based (IKEv1) configurations.

  • Ellenőrizze, hogy az ellenőrzött VPN-eszközt és az operációs rendszer verzióját használja-e.Check whether you are using a validated VPN device and operating system version. Ha az eszköz nem ellenőrzött VPN-eszköz, előfordulhat, hogy kapcsolatba kell lépnie az eszköz gyártójával, és meg kell tudnia, hogy van-e kompatibilitási probléma.If the device is not a validated VPN device, you might have to contact the device manufacturer to see if there is a compatibility issue.

  • Ellenőrizze, hogy nincs-e átfedésben lévő IP-tartomány Azure Stack hub virtuális hálózat és a helyszíni hálózat között.Verify that there are no overlapping IP ranges between Azure Stack Hub virtual network and on-premises network. Ez csatlakozási problémákhoz vezethet.This can cause connectivity issues.

  • A VPN társ IP-címeinek ellenőrzése:Verify the VPN peer IPs:

    • Azure Stack hub helyi hálózati átjáró OBJEKTUMának IP-definíciójának meg kell egyeznie a helyszíni eszköz IP-címével.The IP definition in the Local Network Gateway object in Azure Stack Hub should match the on-premises device IP.

    • A helyszíni eszközön beállított Azure Stack hub átjáró IP-definíciójának egyeznie kell az Azure Stack hub Gateway IP-címével.The Azure Stack Hub gateway IP definition that is set on the on-premises device should match the Azure Stack Hub gateway IP.

"Nincs csatlakoztatva" állapot – időszakos leválasztásokStatus "Not Connected" - intermittent disconnects

  • Hasonlítsa össze a helyszíni VPN-eszköz megosztott kulcsát a AzSH virtuális hálózati VPN-kapcsolattal, hogy ellenőrizze a kulcsok egyezését.Compare the shared key for the on-premises VPN device to the AzSH virtual network VPN to make sure that the keys match. A AzSH VPN-kapcsolat megosztott kulcsának megtekintéséhez használja az alábbi módszerek egyikét:To view the shared key for the AzSH VPN connection, use one of the following methods:

    • Azure stack hub bérlői portál: lépjen a létrehozott VPN Gateway-helyek közötti kapcsolathoz.Azure Stack Hub tenant portal: Go to the VPN gateway site-to-site connection that you created. A Beállítások szakaszban válassza a megosztott kulcs elemet.In the Settings section, select Shared key.

      VPN-kapcsolat

    • Azure PowerShell: használja a következő PowerShell-parancsot:Azure PowerShell: Use the following PowerShell command:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

"Csatlakoztatott" állapot – nem áramló forgalomStatus "Connected" - traffic not flowing

  • Ellenőrizze, és távolítsa el a felhasználó által definiált útválasztási (UDR) és hálózati biztonsági csoportokat (NSG) az átjáró alhálózatán, majd tesztelje az eredményt.Check for, and remove the user-defined routing (UDR) and network security groups (NSGs) on the gateway subnet, and then test the result. Ha a probléma megoldódott, ellenőrizze a UDR vagy NSG alkalmazott beállításokat.If the problem is resolved, validate the settings that UDR or NSG applied.

    Az átjáró-alhálózat felhasználó által megadott útvonala korlátozhatja a forgalmat, és engedélyezheti a többi forgalmat.A user-defined route on the gateway subnet may be restricting some traffic and allowing other traffic. Így úgy tűnik, hogy a VPN-kapcsolat nem megbízható a forgalom számára, és mások számára is jó.This makes it appear that the VPN connection is unreliable for some traffic, and good for others.

  • Győződjön meg arról, hogy a helyszíni VPN-eszköz külső csatolójának címe.Check the on-premises VPN device external interface address.

    • Ha a VPN-eszköz internetre irányuló IP-címe a Azure Stack hub helyi hálózati definíciójában szerepel, időnként leválaszthatja a kapcsolatot.If the internet-facing IP address of the VPN device is included in the Local network definition in Azure Stack Hub, you might experience sporadic disconnections.

    • Az eszköz külső felületének közvetlenül az interneten kell lennie.The device's external interface must be directly on the internet. Nem lehet hálózati címfordítás vagy tűzfal az Internet és az eszköz között.There should be no network address translation or firewall between the internet and the device.

    • Ha úgy szeretné konfigurálni a tűzfal-fürtözést, hogy virtuális IP-címmel rendelkezzen, meg kell szüntetnie a fürtöt, és közvetlenül egy olyan nyilvános felületen kell közzétennie a VPN-berendezést, amelyen az átjáró csatolható.To configure firewall clustering to have a virtual IP, you must break the cluster and expose the VPN appliance directly to a public interface with which the gateway can interface.

  • Ellenőrizze, hogy az alhálózatok pontosan egyeznek-e.Verify that the subnets match exactly.

    • Ellenőrizze, hogy a virtuális hálózati címtartomány (ok) pontosan egyeznek-e a Azure Stack hub virtuális hálózat és a helyszíni definíciók között.Verify that the virtual network address space(s) match exactly between the Azure Stack Hub virtual network and on-premises definitions.

    • Győződjön meg arról, hogy az alhálózatok pontosan egyeznek a helyi hálózati átjáró és a helyszíni hálózat helyszíni definíciói között.Verify that the subnets match exactly between the Local Network Gateway and on-premises definitions for the on-premises network.

Támogatási jegy létrehozásaCreate a support ticket

Ha a fenti lépések egyike sem oldja meg a problémát, hozzon létre egy támogatási jegyet , és használja a on demand log Collection eszközt a naplók biztosításához.If none of the preceding steps resolve your issue, please create a support ticket and use the on demand log collection tool to provide logs.