Problemen met een site-naar-site-VPN-verbinding oplossenTroubleshoot site-to-site VPN connections

In dit artikel worden de stappen beschreven die u kunt uitvoeren nadat u een site-naar-site (S2S) VPN-verbinding tussen een on-premises netwerk en een Azure Stack hub-netwerk hebt geconfigureerd en de verbinding plotseling niet meer werkt en niet opnieuw verbinding kan maken.This article describes troubleshooting steps you can take after you configure a site-to-site (S2S) VPN connection between an on-premises network and an Azure Stack Hub virtual network, and the connection suddenly stops working and cannot be reconnected.

Als uw Azure Stack hub-probleem niet in dit artikel wordt behandeld, kunt u het MSDN-forum van Azure stack hubbezoeken.If your Azure Stack Hub issue is not addressed in this article, you can visit the Azure Stack Hub MSDN forum.

U kunt ook een Azure-ondersteuningsaanvraag indienen.You also can submit an Azure support request. Zie Azure stack hub-ondersteuning.Please see Azure Stack Hub support.

Notitie

Er kan slechts één site-naar-site-VPN-verbinding tussen twee Azure Stack hub-implementaties worden gemaakt.Only one site-to-site VPN connection can be created between two Azure Stack Hub deployments. Dit wordt veroorzaakt door een beperking in het platform waarmee slechts één VPN-verbinding met hetzelfde IP-adres is toegestaan.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Omdat Azure Stack hub gebruikmaakt van de multi tenant-gateway, die één enkel openbaar IP-adres gebruikt voor alle VPN-gateways in het Azure Stack hub-systeem, kan er slechts één VPN-verbinding tussen twee Azure Stack hub-systemen zijn.Because Azure Stack Hub leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub system, there can be only one VPN connection between two Azure Stack Hub systems. Deze beperking geldt ook voor het verbinden van meer dan een site-naar-site-VPN-verbinding met een VPN-gateway die gebruikmaakt van één IP-adres.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Azure Stack hub staat niet toe dat er meer dan één lokale netwerk gateway resource wordt gemaakt met behulp van hetzelfde IP-adres.Azure Stack Hub does not allow more than one local network gateway resource to be created using the same IP address.

Eerste stappen om het probleem op te lossenInitial troubleshooting steps

De standaard parameters voor de Azure Stack hub voor IPsec/IKEV2 zijn gewijzigd vanaf de 1910-build Neem contact op met uw Azure stack hub-operator voor meer informatie over de build-versie.The Azure Stack Hub default parameters for IPsec/IKEV2 have changed starting with the 1910 build Please contact your Azure Stack Hub operator for more information on the build version.

Belangrijk

Wanneer u een S2S-tunnel gebruikt, worden pakketten verder ingekapseld met aanvullende headers.When using an S2S tunnel, packets are further encapsulated with additional headers. Met deze inkapseling wordt de totale grootte van het pakket verhoogd.This encapsulation increases the overall size of the packet. In deze scenario's moet u TCP MSS op 1350 zetten.In these scenarios, you must clamp TCP MSS at 1350. Als uw VPN-apparaten geen ondersteuning bieden voor MSS-klem, kunt u in plaats daarvan de MTU op de tunnel interface instellen op 1400 bytes.If your VPN devices do not support MSS clamping, you can set the MTU on the tunnel interface to 1400 bytes instead. Zie virtueel Network tcpip prestaties tuning(Engelstalig) voor meer informatie.For more information, see Virutal Network TCPIP performance tuning.

  • Controleer of de VPN-configuratie is gebaseerd op route (IKEv2).Confirm that the VPN configuration is route-based (IKEv2). Azure Stack hub biedt geen ondersteuning voor configuraties op basis van beleid (IKEv1).Azure Stack Hub does not support policy-based (IKEv1) configurations.

  • Controleer of u een gevalideerd VPN-apparaat en de versie van het besturings systeemgebruikt.Check whether you are using a validated VPN device and operating system version. Als het apparaat geen gevalideerd VPN-apparaat is, moet u mogelijk contact opnemen met de fabrikant van het apparaat om te controleren of er een probleem is met de compatibiliteit.If the device is not a validated VPN device, you might have to contact the device manufacturer to see if there is a compatibility issue.

  • Controleer of er geen overlappende IP-adresbereiken tussen het virtuele Azure Stack hub-netwerk en het on-premises netwerk zijn.Verify that there are no overlapping IP ranges between Azure Stack Hub virtual network and on-premises network. Dit kan verbindings problemen veroorzaken.This can cause connectivity issues.

  • Controleer de VPN peer Ip's:Verify the VPN peer IPs:

    • De IP-definitie in het lokale netwerk gateway object in azure stack hub moet overeenkomen met het on-premises apparaat-IP.The IP definition in the Local Network Gateway object in Azure Stack Hub should match the on-premises device IP.

    • De IP-definitie van de Azure Stack hub-gateway die is ingesteld op het on-premises apparaat, moet overeenkomen met het IP-adres van de Azure Stack hub-gateway.The Azure Stack Hub gateway IP definition that is set on the on-premises device should match the Azure Stack Hub gateway IP.

Status ' niet verbonden ': de verbinding wordt verbrokenStatus "Not Connected" - intermittent disconnects

  • Vergelijk de gedeelde sleutel voor het on-premises VPN-apparaat met de VPN van het virtuele netwerk van AzSH om te controleren of de sleutels overeenkomen.Compare the shared key for the on-premises VPN device to the AzSH virtual network VPN to make sure that the keys match. Gebruik een van de volgende methoden om de gedeelde sleutel voor de AzSH VPN-verbinding te bekijken:To view the shared key for the AzSH VPN connection, use one of the following methods:

    • Azure stack hub-Tenant Portal: Ga naar de site-naar-site-verbinding van de VPN-gateway die u hebt gemaakt.Azure Stack Hub tenant portal: Go to the VPN gateway site-to-site connection that you created. Selecteer gedeelde sleutel in de sectie instellingen .In the Settings section, select Shared key.

      VPN-verbinding

    • Azure PowerShell: gebruik de volgende Power shell-opdracht:Azure PowerShell: Use the following PowerShell command:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

Status verbonden-verkeer niet stromenStatus "Connected" - traffic not flowing

  • Controleer de door de gebruiker gedefinieerde route ring (UDR) en netwerk beveiligings groepen (Nsg's) op het gateway-subnet en test het resultaat.Check for, and remove the user-defined routing (UDR) and network security groups (NSGs) on the gateway subnet, and then test the result. Als het probleem is opgelost, controleert u de instellingen die door UDR of NSG zijn toegepast.If the problem is resolved, validate the settings that UDR or NSG applied.

    Een door de gebruiker gedefinieerde route op het gateway-subnet kan een beperkt verkeer beperken en ander verkeer toestaan.A user-defined route on the gateway subnet may be restricting some traffic and allowing other traffic. Hierdoor lijkt het alsof de VPN-verbinding onbetrouwbaar is voor een bepaald verkeer en goed voor anderen.This makes it appear that the VPN connection is unreliable for some traffic, and good for others.

  • Controleer het externe interface adres van het on-premises VPN-apparaat.Check the on-premises VPN device external interface address.

    • Als het Internet gerichte IP-adres van het VPN-apparaat is opgenomen in de lokale netwerk definitie in azure stack hub, kan dit tot wel toe leiden dat de verbinding wordt verbroken.If the internet-facing IP address of the VPN device is included in the Local network definition in Azure Stack Hub, you might experience sporadic disconnections.

    • De externe interface van het apparaat moet rechtstreeks op internet zijn.The device's external interface must be directly on the internet. Er mag zich geen Network Address Translation of firewall tussen internet en het apparaat bevinden.There should be no network address translation or firewall between the internet and the device.

    • Als u Firewall clusters wilt configureren voor een virtueel IP-adres, moet u het cluster kraken en het VPN-apparaat rechtstreeks beschikbaar maken op een open bare interface waarmee de Gateway Interface kan maken.To configure firewall clustering to have a virtual IP, you must break the cluster and expose the VPN appliance directly to a public interface with which the gateway can interface.

  • Controleer of de subnetten exact overeenkomen.Verify that the subnets match exactly.

    • Controleer of de adres ruimte van het virtuele netwerk precies overeenkomt tussen het virtuele Azure Stack hub-netwerk en de on-premises definities.Verify that the virtual network address space(s) match exactly between the Azure Stack Hub virtual network and on-premises definitions.

    • Controleer of de subnetten exact overeenkomen tussen de lokale netwerk gateway en de on-premises definities voor het on-premises netwerk.Verify that the subnets match exactly between the Local Network Gateway and on-premises definitions for the on-premises network.

Een ondersteuningsticket makenCreate a support ticket

Als u met geen van de voor gaande stappen het probleem kunt oplossen, moet u een ondersteunings ticket maken en het hulp programma voor logboek verzameling op aanvraag gebruiken om logboeken op te geven.If none of the preceding steps resolve your issue, please create a support ticket and use the on demand log collection tool to provide logs.