Rozwiązywanie problemów z połączeniami sieci VPN typu lokacja-lokacjaTroubleshoot site-to-site VPN connections

W tym artykule opisano kroki rozwiązywania problemów, które można wykonać po skonfigurowaniu połączenia sieci VPN typu lokacja-lokacja (S2S) między siecią lokalną i siecią wirtualną Azure Stack Hub, a połączenie nagle przestanie działać i nie można go ponownie połączyć.This article describes troubleshooting steps you can take after you configure a site-to-site (S2S) VPN connection between an on-premises network and an Azure Stack Hub virtual network, and the connection suddenly stops working and cannot be reconnected.

Jeśli problem z centrum Azure Stack nie jest uwzględniony w tym artykule, możesz odwiedzić Forum usługi Azure Stack Hub MSDN.If your Azure Stack Hub issue is not addressed in this article, you can visit the Azure Stack Hub MSDN forum.

Możesz również przesłać żądanie pomocy technicznej platformy Azure.You also can submit an Azure support request. Zapoznaj się z pomocą techniczną Azure Stack centrum.Please see Azure Stack Hub support.

Uwaga

Między dwoma wdrożeniami centrum Azure Stack można utworzyć tylko jedno połączenie sieci VPN typu lokacja-lokacja.Only one site-to-site VPN connection can be created between two Azure Stack Hub deployments. Jest to spowodowane ograniczeniami na platformie, które umożliwiają tylko pojedyncze połączenie sieci VPN z tym samym adresem IP.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Ponieważ usługa Azure Stack Hub korzysta z bramy wielodostępnej, która używa jednego publicznego adresu IP dla wszystkich bram sieci VPN w systemie centrum Azure Stack, może istnieć tylko jedno połączenie sieci VPN między dwoma systemami centrum Azure Stack.Because Azure Stack Hub leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub system, there can be only one VPN connection between two Azure Stack Hub systems. To ograniczenie ma zastosowanie również do łączenia więcej niż jednego połączenia sieci VPN typu lokacja-lokacja z dowolną bramą sieci VPN używającą pojedynczego adresu IP.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Usługa Azure Stack Hub nie zezwala na tworzenie więcej niż jednego zasobu bramy sieci lokalnej przy użyciu tego samego adresu IP.Azure Stack Hub does not allow more than one local network gateway resource to be created using the same IP address.

Początkowe kroki rozwiązywania problemówInitial troubleshooting steps

Domyślne parametry centrum Azure Stack dla protokołu IPsec/IKEV2 zostały zmienione począwszy od kompilacji 1910 . Skontaktuj się z operatorem centrum Azure Stack, aby uzyskać więcej informacji na temat wersji kompilacji.The Azure Stack Hub default parameters for IPsec/IKEV2 have changed starting with the 1910 build Please contact your Azure Stack Hub operator for more information on the build version.

Ważne

W przypadku korzystania z tunelu S2S pakiety są dodatkowo hermetyzowane przy użyciu dodatkowych nagłówków.When using an S2S tunnel, packets are further encapsulated with additional headers. Ta hermetyzacja zwiększa całkowity rozmiar pakietu.This encapsulation increases the overall size of the packet. W tych scenariuszach należy zalogować rozmiar TCP/ o 1350.In these scenarios, you must clamp TCP MSS at 1350. Jeśli urządzenia sieci VPN nie obsługują funkcji ograniczania, można ustawić dla interfejsu tunelowego jednostkę MTU na 1400 bajtów.If your VPN devices do not support MSS clamping, you can set the MTU on the tunnel interface to 1400 bytes instead. Aby uzyskać więcej informacji, zobacz wirtualnych Network tcpip Performance Tuning.For more information, see Virutal Network TCPIP performance tuning.

  • Upewnij się, że konfiguracja sieci VPN jest oparta na trasach (IKEv2).Confirm that the VPN configuration is route-based (IKEv2). Centrum Azure Stack nie obsługuje konfiguracji opartych na zasadach (IKEv1).Azure Stack Hub does not support policy-based (IKEv1) configurations.

  • Należy sprawdzić, czy używane jest zweryfikowane urządzenie sieci VPN i wersja systemu operacyjnego.Check whether you are using a validated VPN device and operating system version. Jeśli urządzenie nie jest zweryfikowanym urządzeniem sieci VPN, może być konieczne skontaktowanie się z producentem urządzenia, aby sprawdzić, czy wystąpił problem ze zgodnością.If the device is not a validated VPN device, you might have to contact the device manufacturer to see if there is a compatibility issue.

  • Sprawdź, czy nie ma nakładających się zakresów adresów IP między siecią wirtualną Azure Stack Hub a siecią lokalną.Verify that there are no overlapping IP ranges between Azure Stack Hub virtual network and on-premises network. Może to powodować problemy z łącznością.This can cause connectivity issues.

  • Sprawdź adresy IP elementów równorzędnych sieci VPN:Verify the VPN peer IPs:

    • Definicja adresu IP w obiekcie bramy sieci lokalnej w centrum Azure Stack powinna być zgodna z adresem IP urządzenia lokalnego.The IP definition in the Local Network Gateway object in Azure Stack Hub should match the on-premises device IP.

    • Definicja adresu IP bramy centrum Azure Stack ustawiona na urządzeniu lokalnym powinna być zgodna z adresem IP bramy centrum Azure Stack.The Azure Stack Hub gateway IP definition that is set on the on-premises device should match the Azure Stack Hub gateway IP.

Stan "niepołączone" — sporadyczne rozłączeniaStatus "Not Connected" - intermittent disconnects

  • Porównaj klucz współużytkowany dla lokalnego urządzenia sieci VPN z siecią wirtualną sieci wirtualnej AzSH, aby upewnić się, że klucze są zgodne.Compare the shared key for the on-premises VPN device to the AzSH virtual network VPN to make sure that the keys match. Aby wyświetlić klucz współużytkowany dla połączenia sieci VPN AzSH, należy użyć jednej z następujących metod:To view the shared key for the AzSH VPN connection, use one of the following methods:

    • Portal dzierżawy centrum Azure Stack: Przejdź do utworzonego połączenia między lokacjami bramy sieci VPN.Azure Stack Hub tenant portal: Go to the VPN gateway site-to-site connection that you created. W sekcji Ustawienia wybierz pozycję klucz współużytkowany.In the Settings section, select Shared key.

      Połączenie VPN

    • Azure PowerShell: Użyj następującego polecenia programu PowerShell:Azure PowerShell: Use the following PowerShell command:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

Stan "połączone" — ruch nie jest przepływemStatus "Connected" - traffic not flowing

  • Sprawdź, czy w podsieci bramy i Usuń zdefiniowane przez użytkownika Routing (UDR) i sieciowe grupy zabezpieczeń (sieciowych grup zabezpieczeń), a następnie przetestuj wynik.Check for, and remove the user-defined routing (UDR) and network security groups (NSGs) on the gateway subnet, and then test the result. Jeśli problem zostanie rozwiązany, sprawdź ustawienia, które zastosowały UDR lub sieciowej grupy zabezpieczeń.If the problem is resolved, validate the settings that UDR or NSG applied.

    Trasa zdefiniowana przez użytkownika w podsieci bramy może ograniczać ruch i zezwalać na ruch.A user-defined route on the gateway subnet may be restricting some traffic and allowing other traffic. Sprawia to, że połączenie sieci VPN jest zawodne dla pewnego ruchu i jest dobre dla innych.This makes it appear that the VPN connection is unreliable for some traffic, and good for others.

  • Sprawdź adres interfejsu zewnętrznego lokalnego urządzenia sieci VPN.Check the on-premises VPN device external interface address.

    • Jeśli internetowy adres IP urządzenia sieci VPN zostanie uwzględniony w definicji sieci lokalnej w centrum Azure Stack, może wystąpić sporadyczne rozłączenia.If the internet-facing IP address of the VPN device is included in the Local network definition in Azure Stack Hub, you might experience sporadic disconnections.

    • Interfejs zewnętrzny urządzenia musi być bezpośrednio w Internecie.The device's external interface must be directly on the internet. Między Internetem i urządzeniem nie powinna istnieć żadna translacja adresów sieciowych ani zapora.There should be no network address translation or firewall between the internet and the device.

    • Aby skonfigurować klastrowanie zapory na potrzeby wirtualnego adresu IP, należy przerwać klaster i uwidocznić urządzenie sieci VPN bezpośrednio do interfejsu publicznego, za pomocą którego Brama może być interfejsem.To configure firewall clustering to have a virtual IP, you must break the cluster and expose the VPN appliance directly to a public interface with which the gateway can interface.

  • Sprawdź, czy podsieci dokładnie pasują do siebie.Verify that the subnets match exactly.

    • Sprawdź, czy przestrzenie adresów sieci wirtualnej dokładnie pasują do sieci wirtualnej Azure Stack Hub i lokalnych definicji.Verify that the virtual network address space(s) match exactly between the Azure Stack Hub virtual network and on-premises definitions.

    • Należy sprawdzić, czy podsieci są zgodne dokładnie między bramą sieci lokalnej i lokalnymi definicjami sieci lokalnych.Verify that the subnets match exactly between the Local Network Gateway and on-premises definitions for the on-premises network.

Tworzenie biletu pomocy technicznejCreate a support ticket

Jeśli żaden z powyższych kroków nie rozwiąże problemu, Utwórz bilet pomocy technicznej i Użyj Narzędzia do zbierania dzienników na żądanie w celu zapewnienia dzienników.If none of the preceding steps resolve your issue, please create a support ticket and use the on demand log collection tool to provide logs.