Diagnosticare la connettività locale tramite i gateway VPNDiagnose on-premises connectivity via VPN gateways

Il gateway VPN di Azure consente di creare una soluzione ibrida per soddisfare l'esigenza di una connessione sicura tra la rete locale e la rete virtuale di Azure.Azure VPN Gateway enables you to create hybrid solution that address the need for a secure connection between your on-premises network and your Azure virtual network. I requisiti variano a seconda dell'organizzazione, quindi la scelta del dispositivo VPN locale varia di conseguenza.As your requirements are unique, so is the choice of on-premises VPN device. Azure supporta attualmente diversi dispositivi VPN costantemente convalidati in collaborazione con i fornitori di dispositivi.Azure currently supports several VPN devices that are constantly validated in partnership with the device vendors. Esaminare le impostazioni di configurazione specifiche del dispositivo prima di configurare il dispositivo VPN locale.Review the device-specific configuration settings before configuring your on-premises VPN device. Analogamente, il gateway VPN di Azure viene configurato con un set di parametri IPsec supportati che vengono usati per stabilire le connessioni.Similarly, Azure VPN Gateway is configured with a set of supported IPsec parameters that are used for establishing connections. Non è attualmente possibile immettere o selezionare una combinazione specifica di parametri IPsec dal gateway VPN di Azure.Currently there is no way for you to specify or select a specific combination of IPsec parameters from the Azure VPN Gateway. Per stabilire una connessione tra la rete locale e Azure, le impostazioni del dispositivo VPN locale devono essere conformi ai parametri IPsec prescritti dal gateway VPN di AzureFor establishing a successful connection between on-premises and Azure, the on-premises VPN device settings must be in accordance with the IPsec parameters prescribed by Azure VPN Gateway. per evitare la perdita della connettività. La risoluzione di questi problemi era sinora complessa ed erano generalmente necessarie ore per identificare e risolvere il problema.If the settings are in correct, there is a loss of connectivity and until now troubleshooting these issues was not trivial and usually took hours to identify and fix the issue.

Con la funzionalità di risoluzione dei problemi di Azure Network Watcher è possibile diagnosticare eventuali problemi con il gateway e le connessioni e ottenere in pochi minuti informazioni sufficienti per prendere una decisione informata per risolvere il problema.With the Azure Network Watcher troubleshoot feature, you are able to diagnose any issues with your Gateway and Connections and within minutes have enough information to make an informed decision to rectify the issue.

ScenarioScenario

Si vuole configurare una connessione da sito a sito tra Azure e la rete locale tramite FortiGate come Gateway VPN locale.You want to configure a site-to-site connection between Azure and on-premises using FortiGate as the on-premises VPN Gateway. Per ottenere questo scenario è necessaria la configurazione seguente:To achieve this scenario, you would require the following setup:

  1. Gateway di rete virtuale, ovvero il gateway VPN di AzureVirtual Network Gateway - The VPN Gateway on Azure
  2. Gateway di rete locale, ovvero la rappresentazione del Gateway VPN (FortiGate) locale nel cloud di AzureLocal Network Gateway - The on-premises (FortiGate) VPN Gateway representation in Azure cloud
  3. Connessione da sito a sito basata su route, ovvero connessione tra il Gateway VPN e il router localeSite-to-site connection (route based) - Connection between the VPN Gateway and the on-premises router
  4. Configurazione di FortiGateConfiguring FortiGate

Per istruzioni dettagliate per la configurazione di una connessione da sito a sito, vedere: Creare una rete virtuale con una connessione da sito a sito usando il portale di Azure.Detailed step by step guidance for configuring a Site-to-Site configuration can be found by visiting: Create a VNet with a Site-to-Site connection using the Azure portal.

Uno dei passaggi critici consiste nella configurazione dei parametri di comunicazione IPsec perché qualsiasi errore di configurazione comporta la perdita di connettività tra la rete locale e Azure.One of the critical configuration steps is configuring the IPsec communication parameters, any misconfiguration leads to loss of connectivity between the on-premises network and Azure. I gateway VPN di Azure sono attualmente configurati per supportare i parametri IPsec seguenti per la fase 1.Currently Azure VPN Gateways are configured to support the following IPsec parameters for Phase 1. Come indicato in precedenza, non è possibile modificare queste impostazioni.Note, as mentioned earlier these settings cannot be modified. Come si può notare nella tabella seguente, gli algoritmi di crittografia supportati dal gateway VPN di Azure sono AES256, AES128 e 3DES.As you can see in the table below, the encryption algorithms supported by Azure VPN Gateway are AES256, AES128, and 3DES.

Configurazione fase 1 IKEIKE phase 1 setup

ProprietàProperty PolicyBasedPolicyBased Gateway VPN RouteBased e con prestazioni elevate o standardRouteBased and Standard or High-Performance VPN gateway
Versione IKEIKE Version IKEv1IKEv1 IKEv2IKEv2
Diffie-Hellman GroupDiffie-Hellman Group Gruppo 2 (1024 bit)Group 2 (1024 bit) Gruppo 2 (1024 bit)Group 2 (1024 bit)
Metodo di autenticazioneAuthentication Method Chiave precondivisaPre-Shared Key Chiave precondivisaPre-Shared Key
Algoritmi di crittografiaEncryption Algorithms AES256 AES128 3DESAES256 AES128 3DES AES256 3DESAES256 3DES
Algoritmo di hashHashing Algorithm SHA1(SHA128)SHA1(SHA128) SHA1(SHA128), SHA2(SHA256)SHA1(SHA128), SHA2(SHA256)
Durata (tempo) associazione di sicurezza (SA) fase 1Phase 1 Security Association (SA) Lifetime (Time) 28.800 secondi28,800 seconds 10.800 secondi10,800 seconds

L'utente deve configurare il dispositivo FortiGate. Un esempio di configurazione è disponibile in GitHub.As a user, you would be required to configure your FortiGate, a sample configuration can be found on GitHub. Si supponga che il dispositivo FortiGate sia stato inconsapevolmente configurato per l'uso dell'algoritmo di hash SHA-512.Unknowingly you configured your FortiGate to use SHA-512 as the hashing algorithm. Questo algoritmo non è supportato per le connessioni basate su criteri, quindi la connessione VPN non funziona.As this algorithm is not a supported algorithm for policy-based connections, your VPN connection does work.

Questi problemi sono difficili da risolvere e le cause principali sono spesso non intuitive.These issues are hard to troubleshoot and root causes are often non-intuitive. In questo caso è possibile aprire un ticket di supporto per ottenere assistenza nella risoluzione del problema.In this case, you can open a support ticket to get help on resolving the issue. Con l'API di risoluzione dei problemi di Azure Network Watcher è tuttavia possibile identificare questi problemi autonomamente.But with Azure Network Watcher troubleshoot API, you can identify these issues on your own.

Risoluzione dei problemi tramite Azure Network WatcherTroubleshooting using Azure Network Watcher

Per diagnosticare la connessione, connettersi ad Azure PowerShell e avviare il cmdlet Start-AzureRmNetworkWatcherResourceTroubleshooting.To diagnose your connection, connect to Azure PowerShell and initiate the Start-AzureRmNetworkWatcherResourceTroubleshooting cmdlet. I dettagli sull'uso di questo cmdlet sono disponibili in Risolvere i problemi relativi al gateway di rete virtuale e alle connessioni di Azure - PowerShell.You can find the details on using this cmdlet at Troubleshoot Virtual Network Gateway and connections - PowerShell. L'esecuzione del cmdlet può richiedere alcuni minuti.This cmdlet may take up to few minutes to complete.

Al termine del cmdlet è possibile passare al percorso di archiviazione specificato nel cmdlet per ottenere informazioni dettagliate sul problema e i log.Once the cmdlet completes, you can navigate to the storage location specified in the cmdlet to get detailed information on about the issue and logs. Azure Network Watcher crea una cartella ZIP contenente i file di log seguenti:Azure Network Watcher creates a zip folder that contains the following log files:

1

Aprire il file denominato IKEErrors.txt per visualizzare l'errore seguente, che indica un problema dovuto alla configurazione errata dell'impostazione IKE locale.Open the file called IKEErrors.txt and it displays the following error, indicating an issue with on-premises IKE setting misconfiguration.

Error: On-premises device rejected Quick Mode settings. Check values.
     based on log : Peer sent NO_PROPOSAL_CHOSEN notify

È possibile ottenere informazioni dettagliate sull'errore dal file da Scrubbed-wfpdiag.txt, che in questo caso indica che ERROR_IPSEC_IKE_POLICY_MATCH ha provocato l'errore di connessione.You can get detailed information from the Scrubbed-wfpdiag.txt about the error, as in this case it mentions that there was ERROR_IPSEC_IKE_POLICY_MATCH that lead to connection not working properly.

Un altro errore di configurazione comune è l'immissione di chiavi condivise errate.Another common misconfiguration is the specifying incorrect shared keys. Se nell'esempio precedente fossero state specificate chiavi condivise differenti, il file IKEErrors.txt avrebbe indicato l'errore seguente: Error: Authentication failed. Check shared key.If in the preceding example you had specified different shared keys, the IKEErrors.txt shows the following error: Error: Authentication failed. Check shared key.

La funzionalità di risoluzione dei problemi di Azure Network Watcher consente di diagnosticare e risolvere i problemi del gateway VPN e della connessione semplicemente eseguendo un cmdlet di PowerShell.Azure Network Watcher troubleshoot feature enables you to diagnose and troubleshoot your VPN Gateway and Connection with the ease of a simple PowerShell cmdlet. È attualmente supportata la diagnosi delle condizioni seguenti e altre verranno aggiunte in futuro.Currently we support diagnosing the following conditions and are working towards adding more condition.

GatewayGateway

Tipo di erroreFault Type MotivoReason LogLog
NoFaultNoFault Non viene rilevato alcun errore.When no error is detected. Yes
GatewayNotFoundGatewayNotFound Non è possibile trovare il gateway o il gateway non è stato sottoposto a provisioning.Cannot find Gateway or Gateway is not provisioned. NoNo
PlannedMaintenancePlannedMaintenance L'istanza del gateway è in fase di manutenzione.Gateway instance is under maintenance. NoNo
UserDrivenUpdateUserDrivenUpdate È in corso l'aggiornamento utente.When a user update is in progress. Potrebbe trattarsi di un'operazione di ridimensionamento.This could be a resize operation. NoNo
VipUnResponsiveVipUnResponsive Non è possibile raggiungere l'istanza primaria del gateway.Cannot reach the primary instance of the Gateway. Ciò si verifica in caso di errore del probe di integrità.This happens when the health probe fails. NoNo
PlatformInActivePlatformInActive Si è verificato un errore con la piattaforma.There is an issue with the platform. NoNo
ServiceNotRunningServiceNotRunning Il servizio sottostante non è in esecuzione.The underlying service is not running. NoNo
NoConnectionsFoundForGatewayNoConnectionsFoundForGateway Non esistono connessioni sul gateway.No Connections exists on the gateway. Questo è solo un avviso.This is only a warning. NoNo
ConnectionsNotConnectedConnectionsNotConnected Nessuna connessione è connessa.None of the Connections are connected. Questo è solo un avviso.This is only a warning. Yes
GatewayCPUUsageExceededGatewayCPUUsageExceeded L'utilizzo della CPU del gateway corrente è > 95%.The current Gateway usage CPU usage is > 95%. Yes

ConnessioneConnection

Tipo di erroreFault Type MotivoReason LogLog
NoFaultNoFault Non viene rilevato alcun errore.When no error is detected. Yes
GatewayNotFoundGatewayNotFound Non è possibile trovare il gateway o il gateway non è stato sottoposto a provisioning.Cannot find Gateway or Gateway is not provisioned. NoNo
PlannedMaintenancePlannedMaintenance L'istanza del gateway è in fase di manutenzione.Gateway instance is under maintenance. NoNo
UserDrivenUpdateUserDrivenUpdate È in corso l'aggiornamento utente.When a user update is in progress. Potrebbe trattarsi di un'operazione di ridimensionamento.This could be a resize operation. NoNo
VipUnResponsiveVipUnResponsive Non è possibile raggiungere l'istanza primaria del gateway.Cannot reach the primary instance of the Gateway. Ciò si verifica in caso di errore del probe di integrità.It happens when the health probe fails. NoNo
ConnectionEntityNotFoundConnectionEntityNotFound La configurazione della connessione non è presente.Connection configuration is missing. NoNo
ConnectionIsMarkedDisconnectedConnectionIsMarkedDisconnected La connessione viene contrassegnata come "disconnected".The Connection is marked "disconnected." NoNo
ConnectionNotConfiguredOnGatewayConnectionNotConfiguredOnGateway La connessione per il servizio sottostante non è stata configurata.The underlying service does not have the Connection configured. Yes
ConnectionMarkedStandyConnectionMarkedStandy Il servizio sottostante viene contrassegnato come "standby".The underlying service is marked as standby. Yes
AutenticazioneAuthentication Mancata corrispondenza della chiave precondivisa.Preshared Key mismatch. Yes
PeerReachabilityPeerReachability Il gateway peer non è raggiungibile.The peer gateway is not reachable. Yes
IkePolicyMismatchIkePolicyMismatch Il gateway peer ha criteri IKE non supportati da Azure.The peer gateway has IKE policies that are not supported by Azure. Yes
WfpParse ErrorWfpParse Error Si è verificato un errore durante l'analisi del log WFP.An error occurred parsing the WFP log. Yes

Passaggi successiviNext steps

Per informazioni su come verificare la connettività del gateway VPN con PowerShell e Automazione di Azure, vedere Monitorare i gateway VPN con la risoluzione dei problemi di Network WatcherLearn to check VPN Gateway connectivity with PowerShell and Azure Automation by visiting Monitor VPN gateways with Azure Network Watcher troubleshooting