Risoluzione dei problemi: una connessione VPN da sito a sito di Azure non può essere stabilita e smette di funzionareTroubleshooting: An Azure site-to-site VPN connection cannot connect and stops working

Dopo aver configurato una connessione VPN da sito a sito tra una rete locale e una rete virtuale di Azure, la connessione VPN si interrompe improvvisamente e non può essere riconnessa.After you configure a site-to-site VPN connection between an on-premises network and an Azure virtual network, the VPN connection suddenly stops working and cannot be reconnected. Questo articolo illustra la procedura per risolvere questo tipo di problema.This article provides troubleshooting steps to help you resolve this problem.

Se il problema riguardante Azure non è trattato in questo articolo, visitare i forum di Azure su MSDN e Stack Overflow.If your Azure issue is not addressed in this article, visit the Azure forums on MSDN and the Stack Overflow. È possibile pubblicare il problema in questi forum o in @AzureSupport su Twitter.You can post your issue in these forums, or post to @AzureSupport on Twitter. È anche possibile inviare una richiesta di supporto tecnico di Azure.You also can submit an Azure support request. Per inviare una richiesta di supporto tecnico, nella pagina Supporto tecnico di Azure selezionare Supporto.To submit a support request, on the Azure support page, select Get support.

Passaggi per la risoluzione dei problemiTroubleshooting steps

Per risolvere il problema, provare prima a reimpostare il gateway VPN di Azure e a reimpostare il tunnel dal dispositivo VPN locale.To resolve the problem, first try to reset the Azure VPN gateway and reset the tunnel from the on-premises VPN device. Se il problema persiste, seguire questa procedura per identificare la causa del problema.If the problem persists, follow these steps to identify the cause of the problem.

Passaggio preliminarePrerequisite step

Controllare il tipo del gateway VPN di Azure.Check the type of the Azure VPN gateway.

  1. Accedere al portale di Azure.Go to the Azure portal.

  2. Per informazioni sul tipo, vedere la pagina Panoramica del gateway VPN.Check the Overview page of the VPN gateway for the type information.

    Panoramica del gateway

Passaggio 1.Step 1. Controllare se il dispositivo VPN locale è convalidatoCheck whether the on-premises VPN device is validated

  1. Controllare se si usano un dispositivo VPN e una versione del sistema operativo convalidati.Check whether you are using a validated VPN device and operating system version. Se il dispositivo non è un dispositivo VPN convalidato, può essere necessario contattare il produttore del dispositivo per verificare se esiste un problema di compatibilità.If the device is not a validated VPN device, you might have to contact the device manufacturer to see if there is a compatibility issue.

  2. Verificare che il dispositivo VPN sia configurato correttamente.Make sure that the VPN device is correctly configured. Per altre informazioni, vedere Esempi di modifica di configurazione dispositivo.For more information, see Edit device configuration samples.

Passaggio 2.Step 2. Verificare la chiave condivisaVerify the shared key

Confrontare la chiave condivisa del dispositivo VPN locale con quella del gateway VPN della rete virtuale per verificare che corrispondano.Compare the shared key for the on-premises VPN device to the Azure Virtual Network VPN to make sure that the keys match.

Per visualizzare la chiave condivisa per la connessione VPN di Azure, usare uno dei metodi seguenti:To view the shared key for the Azure VPN connection, use one of the following methods:

Portale di AzureAzure portal

  1. Passare alla connessione gateway VPN di Azure da sito a sito appena creata.Go to the VPN gateway site-to-site connection that you created.

  2. Nella sezione Impostazioni fare clic su Chiave condivisa.In the Settings section, click Shared key.

    Chiave condivisa

Azure PowerShellAzure PowerShell

Per il modello di distribuzione di Azure Resource Manager:For the Azure Resource Manager deployment model:

Get-AzureRmVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

Per il modello di distribuzione classica:For the classic deployment model:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Passaggio 3.Step 3. Verificare gli IP dei peer VPNVerify the VPN peer IPs

  • La definizione IP nell'oggetto Gateway di rete locale in Azure deve corrispondere all'IP del dispositivo locale.The IP definition in the Local Network Gateway object in Azure should match the on-premises device IP.
  • La definizione dell'IP del gateway di Azure impostata nel dispositivo locale deve corrispondere all'IP del gateway di Azure.The Azure gateway IP definition that is set on the on-premises device should match the Azure gateway IP.

Passaggio 4.Step 4. Verificare i gruppi di sicurezza di rete e il routing definito dall'utente nella subnet del gatewayCheck UDR and NSGs on the gateway subnet

Cercare e rimuovere il routing definito dall'utente o i gruppi di sicurezza di rete nella subnet del gateway e quindi testare il risultato.Check for and remove user-defined routing (UDR) or Network Security Groups (NSGs) on the gateway subnet, and then test the result. Se il problema viene risolto, convalidare le impostazioni applicate dal gruppo di sicurezza di rete o dal routing definito dall'utente.If the problem is resolved, validate the settings that UDR or NSG applied.

Passaggio 5.Step 5. Controllare l'indirizzo dell'interfaccia esterna del dispositivo VPN localeCheck the on-premises VPN device external interface address

  • Se l'indirizzo IP per Internet del dispositivo VPN è incluso nella definizione della rete locale in Azure, è possibile che si verifichino sporadiche disconnessioni.If the Internet-facing IP address of the VPN device is included in the Local network definition in Azure, you might experience sporadic disconnections.
  • L'interfaccia esterna del dispositivo deve essere direttamente su Internet.The device's external interface must be directly on the Internet. Non devono essere presenti Network Address Translation o firewall tra Internet e il dispositivo.There should be no network address translation or firewall between the Internet and the device.
  • Per configurare il clustering di firewall in modo che abbia un IP virtuale, è necessario interrompere il cluster ed esporre il dispositivo VPN direttamente a un'interfaccia pubblica con cui il gateway può interfacciarsi.To configure firewall clustering to have a virtual IP, you must break the cluster and expose the VPN appliance directly to a public interface that the gateway can interface with.

Passaggio 6.Step 6. Verificare che le subnet corrispondano esattamente (gateway basati su criteri di Azure)Verify that the subnets match exactly (Azure policy-based gateways)

  • Verificare che ci sia una corrispondenza esatta delle subnet tra la rete virtuale di Azure e le definizioni locali per la rete virtuale di Azure.Verify that the subnets match exactly between the Azure virtual network and on-premises definitions for the Azure virtual network.
  • Verificare che ci sia una corrispondenza esatta delle subnet tra il gateway di rete locale e le definizioni locali per la rete locale.Verify that the subnets match exactly between the Local Network Gateway and on-premises definitions for the on-premises network.

Passaggio 7.Step 7. Verificare il probe di integrità del gateway di AzureVerify the Azure gateway health probe

  1. Passare al probe di integrità.Go to the health probe.

  2. Fare clic sull'avviso del certificato.Click through the certificate warning.

  3. Se si riceve una risposta, il gateway VPN viene considerato integro.If you receive a response, the VPN gateway is considered healthy. Se non si riceve una risposta, è possibile che il gateway non sia integro oppure il problema è causato da un gruppo di sicurezza di rete nella subnet del gateway.If you don't receive a response, the gateway might not be healthy or an NSG on the gateway subnet is causing the problem. Il testo seguente è una risposta di esempio:The following text is a sample response:

    <?xml version="1.0"?> Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string><?xml version="1.0"?> Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>

Passaggio 8.Step 8. Controllare se nel dispositivo VPN locale è abilitata la funzionalità PFSCheck whether the on-premises VPN device has the perfect forward secrecy feature enabled

La funzionalità PFS (Perfect Forward Secrecy) può causare problemi di disconnessione.The perfect forward secrecy feature can cause disconnection problems. Se nel dispositivo VPN è abilitata la funzionalità PFS, disabilitarlaIf the VPN device has perfect forward secrecy enabled, disable the feature. e aggiornare i criteri IPsec del gateway VPN.Then update the VPN gateway IPsec policy.

Passaggi successiviNext steps