Risoluzione dei problemi: una connessione VPN da sito a sito di Azure non può essere stabilita e smette di funzionare

Dopo aver configurato una connessione VPN da sito a sito tra una rete locale e una rete virtuale di Azure, la connessione VPN si interrompe improvvisamente e non può essere riconnessa. Questo articolo illustra la procedura per risolvere questo tipo di problema.

Se il problema riguardante Azure non è trattato in questo articolo, visitare i forum di Azure su MSDN e Stack Overflow. È possibile pubblicare il problema in questi forum o in @AzureSupport su Twitter. È anche possibile inviare una richiesta di supporto tecnico di Azure. Per inviare una richiesta di supporto tecnico, nella pagina Supporto tecnico di Azure selezionare Supporto.

Passaggi per la risoluzione dei problemi

Per risolvere il problema, provare prima a reimpostare il gateway VPN di Azure e a reimpostare il tunnel dal dispositivo VPN locale. Se il problema persiste, seguire questa procedura per identificare la causa del problema.

Passaggio preliminare

Controllare il tipo del gateway VPN di Azure.

  1. Accedere al portale di Azure.

  2. Per informazioni sul tipo, vedere la pagina Panoramica del gateway VPN.

    Panoramica del gateway

Passaggio 1. Controllare se il dispositivo VPN locale è convalidato

  1. Controllare se si usano un dispositivo VPN e una versione del sistema operativo convalidati. Se il dispositivo non è un dispositivo VPN convalidato, può essere necessario contattare il produttore del dispositivo per verificare se esiste un problema di compatibilità.

  2. Verificare che il dispositivo VPN sia configurato correttamente. Per altre informazioni, vedere Esempi di modifica di configurazione dispositivo.

Passaggio 2. Verificare la chiave condivisa

Confrontare la chiave condivisa del dispositivo VPN locale con quella del gateway VPN della rete virtuale per verificare che corrispondano.

Per visualizzare la chiave condivisa per la connessione VPN di Azure, usare uno dei metodi seguenti:

Portale di Azure

  1. Passare alla connessione gateway VPN di Azure da sito a sito appena creata.

  2. Nella sezione Impostazioni fare clic su Chiave condivisa.

    Chiave condivisa

Azure PowerShell

Per il modello di distribuzione di Azure Resource Manager:

Get-AzureRmVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

Per il modello di distribuzione classica:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Passaggio 3. Verificare gli IP dei peer VPN

  • La definizione IP nell'oggetto Gateway di rete locale in Azure deve corrispondere all'IP del dispositivo locale.
  • La definizione dell'IP del gateway di Azure impostata nel dispositivo locale deve corrispondere all'IP del gateway di Azure.

Passaggio 4. Verificare i gruppi di sicurezza di rete e il routing definito dall'utente nella subnet del gateway

Cercare e rimuovere il routing definito dall'utente o i gruppi di sicurezza di rete nella subnet del gateway e quindi testare il risultato. Se il problema viene risolto, convalidare le impostazioni applicate dal gruppo di sicurezza di rete o dal routing definito dall'utente.

Passaggio 5. Controllare l'indirizzo dell'interfaccia esterna del dispositivo VPN locale

  • Se l'indirizzo IP per Internet del dispositivo VPN è incluso nella definizione della rete locale in Azure, è possibile che si verifichino sporadiche disconnessioni.
  • L'interfaccia esterna del dispositivo deve essere direttamente su Internet. Non devono essere presenti Network Address Translation o firewall tra Internet e il dispositivo.
  • Per configurare il clustering di firewall in modo che abbia un IP virtuale, è necessario interrompere il cluster ed esporre il dispositivo VPN direttamente a un'interfaccia pubblica con cui il gateway può interfacciarsi.

Passaggio 6. Verificare che le subnet corrispondano esattamente (gateway basati su criteri di Azure)

  • Verificare che ci sia una corrispondenza esatta delle subnet tra la rete virtuale di Azure e le definizioni locali per la rete virtuale di Azure.
  • Verificare che ci sia una corrispondenza esatta delle subnet tra il gateway di rete locale e le definizioni locali per la rete locale.

Passaggio 7. Verificare il probe di integrità del gateway di Azure

  1. Passare al probe di integrità.

  2. Fare clic sull'avviso del certificato.

  3. Se si riceve una risposta, il gateway VPN viene considerato integro. Se non si riceve una risposta, è possibile che il gateway non sia integro oppure il problema è causato da un gruppo di sicurezza di rete nella subnet del gateway. Il testo seguente è una risposta di esempio:

    <?xml version="1.0"?> Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>

Passaggio 8. Controllare se nel dispositivo VPN locale è abilitata la funzionalità PFS

La funzionalità PFS (Perfect Forward Secrecy) può causare problemi di disconnessione. Se nel dispositivo VPN è abilitata la funzionalità PFS, disabilitarla e aggiornare i criteri IPsec del gateway VPN.

Passaggi successivi