Risoluzione dei problemi: disconnessioni VPN da sito a sito di Azure intermittentiTroubleshooting: Azure Site-to-Site VPN disconnects intermittently

Può verificarsi un problema a causa del quale una connessione VPN da punto a sito di Microsoft Azure nuova o esistente non è stabile o si interrompe periodicamente.You might experience the problem that a new or existing Microsoft Azure Point-to-Site VPN connection is not stable or disconnects regularly. Questo articolo illustra la procedura per identificare e risolvere la causa del problema.This article provides troubleshoot steps to help you identify and resolve the cause of the problem.

Se il problema riguardante Azure non è trattato in questo articolo, visitare i forum di Azure su MSDN e Stack Overflow.If your Azure issue is not addressed in this article, visit the Azure forums on MSDN and the Stack Overflow. È possibile pubblicare il problema in questi forum o in @AzureSupport su Twitter.You can post your issue in these forums, or post to @AzureSupport on Twitter. È anche possibile inviare una richiesta di supporto tecnico di Azure.You also can submit an Azure support request. Per inviare una richiesta di supporto tecnico, nella pagina Supporto tecnico di Azure selezionare Supporto.To submit a support request, on the Azure support page, select Get support.

Passaggi per la risoluzione dei problemiTroubleshooting steps

Passaggio preliminarePrerequisite step

Controllare il tipo di gateway di rete virtuale di Azure:Check the type of Azure virtual network gateway:

  1. Accedere al portale di Azure.Go to Azure portal.
  2. Per le informazioni sul tipo, controllare la pagina Panoramica del gateway di rete virtuale.Check the Overview page of the virtual network gateway for the type information.

    Panoramica del gateway

Passaggio 1 Controllare se il dispositivo VPN locale è convalidatoStep 1 Check whether the on-premises VPN device is validated

  1. Controllare se si usano un dispositivo VPN e una versione del sistema operativo convalidati.Check whether you are using a validated VPN device and operating system version. Se il dispositivo VPN non è convalidato, potrebbe essere necessario contattare il produttore del dispositivo per verificare se esiste qualche problema di compatibilità.If the VPN device is not validated, you may have to contact the device manufacturer to see if there is any compatibility issue.
  2. Verificare che il dispositivo VPN sia configurato correttamente.Make sure that the VPN device is correctly configured. Per altre informazioni, vedere Esempi di modifica di configurazione dispositivo.For more information, see Editing device configuration samples.

Passaggio 2 Controllare le impostazioni di associazione di sicurezza (per i gateway di rete virtuale di Azure basati su criteri)Step 2 Check the Security Association settings(for policy-based Azure virtual network gateways)

  1. Verificare che la rete virtuale, le subnet e gli intervalli nella definizione Gateway di rete locale in Microsoft Azure siano gli stessi della configurazione sul dispositivo VPN locale.Make sure that the virtual network, subnets and, ranges in the Local network gateway definition in Microsoft Azure are same as the configuration on the on-premises VPN device.
  2. Verificare che le impostazioni di associazione di sicurezza corrispondano.Verify that the Security Association settings match.

Passaggio 3 Cercare le route definite dall'utente o i gruppi di sicurezza di rete nella subnet gatewayStep 3 Check for User-Defined Routes or Network Security Groups on Gateway Subnet

Una route definita dall'utente nella subnet gateway potrebbe limitare parte del traffico e consentirne un'altra.A user-defined route on the gateway subnet may be restricting some traffic and allowing other traffic. La connessione VPN appare quindi non affidabile per parte del traffico e valida per un'altra.This makes it appear that the VPN connection is unreliable for some traffic and good for others.

Passaggio 4 Controllare l'impostazione "un tunnel VPN per ogni coppia di subnet" (per i gateway di rete virtuale basati su criteri)Step 4 Check the "one VPN Tunnel per Subnet Pair" setting (for policy-based virtual network gateways)

Verificare che il dispositivo VPN locale sia impostato in modo da avere un tunnel VPN per ogni coppia di subnet per i gateway di rete virtuale basati su criteri.Make sure that the on-premises VPN device is set to have one VPN tunnel per subnet pair for policy-based virtual network gateways.

Passaggio 5 Controllare la limitazione di associazione di sicurezza (per i gateway di rete virtuale basati su criteri)Step 5 Check for Security Association Limitation (for policy-based virtual network gateways)

Il gateway di rete virtuale basato su criteri ha un limite di 200 coppie di associazione di sicurezza di subnet.The Policy-based virtual network gateway has limit of 200 subnet Security Association pairs. Se il numero di subnet di rete virtuale di Azure moltiplicato per il numero di subnet locali è superiore a 200, si osservano sporadiche disconnessioni delle subnet.If the number of Azure virtual network subnets multiplied times by the number of local subnets is greater than 200, you see sporadic subnets disconnecting.

Passaggio 6 Controllare l'indirizzo dell'interfaccia esterna del dispositivo VPN localeStep 6 Check on-premises VPN device external interface address

  • Se l'indirizzo IP per Internet del dispositivo VPN è incluso nella definizione del gateway di rete locale in Azure potrebbero verificarsi sporadiche disconnessioni.If the Internet facing IP address of the VPN device is included in the Local network gateway definition in Azure, you may experience sporadic disconnections.
  • L'interfaccia esterna del dispositivo deve essere direttamente su Internet.The device's external interface must be directly on the Internet. Non devono essere presenti Network Address Translation (NAT) o firewall tra Internet e il dispositivo.There should be no Network Address Translation (NAT) or firewall between the Internet and the device.
  • Se si configura il clustering di firewall in modo che abbia un IP virtuale, è necessario interrompere il cluster ed esporre il dispositivo VPN direttamente a un'interfaccia pubblica con cui il gateway può interfacciarsi.If you configure Firewall Clustering to have a virtual IP, you must break the cluster and expose the VPN appliance directly to a public interface that the gateway can interface with.

Passaggio 7 Controllare se il dispositivo VPN locale ha PFS (Perfect Forward Secrecy) abilitatoStep 7 Check whether the on-premises VPN device has Perfect Forward Secrecy enabled

La funzionalità PFS (Perfect Forward Secrecy) può causare i problemi di disconnessione.The Perfect Forward Secrecy feature can cause the disconnection problems. Se il dispositivo VPN ha la funzionalità PFS (Perfect Forward Secrecy) abilitata, disabilitarla,If the VPN device has Perfect forward Secrecy enabled, disable the feature. quindi aggiornare i criteri IPsec del gateway di rete virtuale.Then update the virtual network gateway IPsec policy.

Passaggi successiviNext steps