Rozwiązywanie problemów z połączeniami sieci VPN typu lokacja-lokacja

W tym artykule opisano kroki rozwiązywania problemów, które można wykonać po skonfigurowaniu połączenia sieci VPN typu lokacja-lokacja (S2S) między siecią lokalną a siecią wirtualną usługi Azure Stack Hub, a połączenie nagle przestanie działać i nie można nawiązać ponownego połączenia.

Jeśli problem z usługą Azure Stack Hub nie został rozwiązany w tym artykule, możesz odwiedzić forum usługi Azure Stack Hub Q&A.

Możesz również przesłać żądanie pomoc techniczna platformy Azure. Zobacz Pomoc techniczna usługi Azure Stack Hub.

Uwaga

Między dwoma wdrożeniami usługi Azure Stack Hub można utworzyć tylko jedno połączenie sieci VPN typu lokacja-lokacja. Jest to spowodowane ograniczeniem platformy, które zezwala tylko na pojedyncze połączenie sieci VPN z tym samym adresem IP. Ponieważ usługa Azure Stack Hub korzysta z bramy z wieloma dzierżawami, która używa jednego publicznego adresu IP dla wszystkich bram sieci VPN w systemie Azure Stack Hub, może istnieć tylko jedno połączenie sieci VPN między dwoma systemami usługi Azure Stack Hub. To ograniczenie dotyczy również łączenia więcej niż jednego połączenia sieci VPN typu lokacja-lokacja z dowolną bramą sieci VPN, która używa jednego adresu IP. Usługa Azure Stack Hub nie zezwala na utworzenie więcej niż jednego zasobu bramy sieci lokalnej przy użyciu tego samego adresu IP. Wszystkie bramy sieci VPN z tego samego wdrożenia usługi Azure Stack, niezależnie od sieci wirtualnej lub subskrypcji, zostaną przypisane do tego samego publicznego adresu IP.

Początkowe kroki rozwiązywania problemów

Domyślne parametry usługi Azure Stack Hub dla protokołu IPsec/IKEV2 uległy zmianie:

Ważne

W przypadku korzystania z tunelu S2S pakiety są dodatkowo hermetyzowane dodatkowymi nagłówkami. Ta hermetyzacja zwiększa całkowity rozmiar pakietu. W tych scenariuszach należy zacisać protokół TCP MSS na 1350. Jeśli urządzenia sieci VPN nie obsługują zaciskania msS, można ustawić jednostki MTU w interfejsie tunelu na 1400 bajtów. Aby uzyskać więcej informacji, zobacz Virutal Network TCPIP performance tuning (Dostrajanie wydajności protokołu TCPIP dla sieci virutal).

  • Upewnij się, że konfiguracja sieci VPN jest oparta na trasach (IKEv2). Usługa Azure Stack Hub nie obsługuje konfiguracji opartych na zasadach (IKEv1).

  • Sprawdź, czy używasz zweryfikowanego urządzenia sieci VPN i wersji systemu operacyjnego. Jeśli urządzenie nie jest zweryfikowanym urządzeniem sieci VPN, może być konieczne skontaktowanie się z producentem urządzenia, aby sprawdzić, czy występuje problem ze zgodnością.

  • Sprawdź, czy nie ma nakładających się zakresów adresów IP między siecią wirtualną usługi Azure Stack Hub i siecią lokalną. Może to spowodować problemy z łącznością.

  • Sprawdź adresy IP elementów równorzędnych sieci VPN:

    • Definicja adresu IP w obiekcie Brama sieci lokalnej w usłudze Azure Stack Hub powinna być zgodna z adresem IP urządzenia lokalnego.

    • Definicja adresu IP bramy usługi Azure Stack Hub ustawiona na urządzeniu lokalnym powinna być zgodna z adresem IP bramy usługi Azure Stack Hub.

Stan "Nie połączono" — sporadycznie rozłącza się

  • Porównaj klucz współużytkowany dla lokalnego urządzenia sieci VPN z siecią wirtualną AzSH vpn, aby upewnić się, że klucze są zgodne. Aby wyświetlić klucz współużytkowany dla połączenia sieci VPN azSH, użyj jednej z następujących metod:

    • Portal dzierżawy usługi Azure Stack Hub: przejdź do utworzonego połączenia bramy sieci VPN typu lokacja-lokacja. W sekcji Ustawienia wybierz pozycję Klucz współużytkowany.

      Połączenie VPN

    • Azure PowerShell: użyj następującego polecenia programu PowerShell:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

Stan "Połączono" — ruch nie przepływa

  • Sprawdź i usuń routing zdefiniowany przez użytkownika (UDR) i sieciowe grupy zabezpieczeń w podsieci bramy, a następnie przetestuj wynik. Jeśli problem zostanie rozwiązany, zweryfikuj ustawienia zastosowane przez użytkownika lub sieciową grupę zabezpieczeń.

    Trasa zdefiniowana przez użytkownika w podsieci bramy może ograniczać ruch i zezwalać na inny ruch. To sprawia, że wydaje się, że połączenie sieci VPN jest zawodne dla niektórych ruchu i dobre dla innych.

  • Sprawdź adres zewnętrznego interfejsu lokalnego urządzenia sieci VPN.

    • Jeśli adres IP urządzenia sieci VPN dostępny z Internetu znajduje się w definicji sieci lokalnej w usłudze Azure Stack Hub, mogą wystąpić sporadyczne rozłączenia.

    • Interfejs zewnętrzny urządzenia musi znajdować się bezpośrednio w Internecie. Nie powinno istnieć translacja adresów sieciowych ani zapora między Internetem a urządzeniem.

    • Aby skonfigurować klastrowanie zapory w celu utworzenia wirtualnego adresu IP, należy przerwać działanie klastra i uwidocznić urządzenie sieci VPN bezpośrednio w interfejsie publicznym, za pomocą którego brama może interfejsować.

  • Sprawdź, czy podsieci są dokładnie zgodne.

    • Sprawdź, czy przestrzenie adresowe sieci wirtualnej są dokładnie zgodne między siecią wirtualną usługi Azure Stack Hub i definicjami lokalnymi.

    • Sprawdź, czy podsieci są dokładnie zgodne między bramą sieci lokalnej i definicjami lokalnymi dla sieci lokalnej.

Tworzenie biletu pomocy technicznej

Jeśli żaden z powyższych kroków nie rozwiąże problemu, utwórz bilet pomocy technicznej i użyj narzędzia zbierania dzienników na żądanie , aby udostępnić dzienniki.