Solucionar problemas de conexão de VPN site a siteTroubleshoot site-to-site VPN connections

Este artigo descreve as etapas de solução de problemas que você pode tomar depois de configurar uma conexão VPN S2S (site a site) entre uma rede local e uma rede virtual de Hub de Azure Stack, e a conexão repentinamente pára de funcionar e não pode ser reconectada.This article describes troubleshooting steps you can take after you configure a site-to-site (S2S) VPN connection between an on-premises network and an Azure Stack Hub virtual network, and the connection suddenly stops working and cannot be reconnected.

Se o problema do hub de Azure Stack não for resolvido neste artigo, você poderá visitar o fórum Azure Stack Hub do MSDN.If your Azure Stack Hub issue is not addressed in this article, you can visit the Azure Stack Hub MSDN forum.

Você também pode enviar uma solicitação de suporte do Azure.You also can submit an Azure support request. Consulte suporte ao Hub Azure Stack.Please see Azure Stack Hub support.

Observação

Somente uma conexão VPN site a site pode ser criada entre duas implantações de Hub Azure Stack.Only one site-to-site VPN connection can be created between two Azure Stack Hub deployments. Isso ocorre devido a uma limitação na plataforma que permite apenas uma única conexão VPN com o mesmo endereço IP.This is due to a limitation in the platform that only allows a single VPN connection to the same IP address. Como o Hub de Azure Stack aproveita o gateway multilocatário, que usa um único IP público para todos os gateways de VPN no sistema Azure Stack Hub, pode haver apenas uma conexão VPN entre dois sistemas de Hub de Azure Stack.Because Azure Stack Hub leverages the multi-tenant gateway, which uses a single public IP for all VPN gateways in the Azure Stack Hub system, there can be only one VPN connection between two Azure Stack Hub systems. Essa limitação também se aplica à conexão de mais de uma conexão VPN site a site a qualquer gateway de VPN que usa um único endereço IP.This limitation also applies to connecting more than one site-to-site VPN connection to any VPN gateway that uses a single IP address. Azure Stack Hub não permite que mais de um recurso de gateway de rede local seja criado usando o mesmo endereço IP.Azure Stack Hub does not allow more than one local network gateway resource to be created using the same IP address.

Etapas para solução de problemas iniciaisInitial troubleshooting steps

Os parâmetros padrão do hub de Azure Stack para IPsec/IKEV2 foram alterados a partir do build 1910 , entre em contato com o operador Azure Stack Hub para obter mais informações sobre a versão de compilação.The Azure Stack Hub default parameters for IPsec/IKEV2 have changed starting with the 1910 build Please contact your Azure Stack Hub operator for more information on the build version.

Importante

Ao usar um túnel S2S, os pacotes são encapsulados ainda mais com cabeçalhos adicionais.When using an S2S tunnel, packets are further encapsulated with additional headers. Esse encapsulamento aumenta o tamanho geral do pacote.This encapsulation increases the overall size of the packet. Nesses cenários, você deve fixe TCP MSS em 1350.In these scenarios, you must clamp TCP MSS at 1350. Se os dispositivos VPN não oferecerem suporte a MSS fixação MSS, você poderá definir o MTU na interface de túnel como 1400 bytes em vez disso.If your VPN devices do not support MSS clamping, you can set the MTU on the tunnel interface to 1400 bytes instead. Para obter mais informações, consulte ajuste de desempenho de tcpip de rede virtual.For more information, see Virutal Network TCPIP performance tuning.

  • Confirme se a configuração de VPN é baseada em rota (IKEv2).Confirm that the VPN configuration is route-based (IKEv2). O Hub de Azure Stack não oferece suporte a configurações IKEv1 (baseadas em políticas).Azure Stack Hub does not support policy-based (IKEv1) configurations.

  • Verifique se você está usando um dispositivo VPN e uma versão do sistema operacional validados.Check whether you are using a validated VPN device and operating system version. Se o dispositivo não for um dispositivo VPN validado, talvez seja necessário contatar o fabricante do dispositivo para verificar se há algum problema de compatibilidade.If the device is not a validated VPN device, you might have to contact the device manufacturer to see if there is a compatibility issue.

  • Verifique se não há intervalos IP sobrepostos entre a rede virtual do Hub Azure Stack e a rede local.Verify that there are no overlapping IP ranges between Azure Stack Hub virtual network and on-premises network. Isso pode causar problemas de conectividade.This can cause connectivity issues.

  • Verifique os IPs de mesmo nível VPN:Verify the VPN peer IPs:

    • A definição de IP no objeto de Gateway de rede local no Hub Azure Stack deve corresponder ao IP do dispositivo local.The IP definition in the Local Network Gateway object in Azure Stack Hub should match the on-premises device IP.

    • A definição de IP do gateway do Hub Azure Stack definida no dispositivo local deve corresponder ao IP do gateway do hub de Azure Stack.The Azure Stack Hub gateway IP definition that is set on the on-premises device should match the Azure Stack Hub gateway IP.

Status "não conectado"-desconexões intermitentesStatus "Not Connected" - intermittent disconnects

  • Compare a chave compartilhada para o dispositivo VPN local com a VPN de rede virtual AzSH para certificar-se de que as chaves correspondem.Compare the shared key for the on-premises VPN device to the AzSH virtual network VPN to make sure that the keys match. Para exibir a chave compartilhada para a conexão VPN AzSH, use um dos seguintes métodos:To view the shared key for the AzSH VPN connection, use one of the following methods:

    • Azure Stack portal de locatário do Hub: Vá para a conexão site a site do gateway de VPN que você criou.Azure Stack Hub tenant portal: Go to the VPN gateway site-to-site connection that you created. Na seção configurações , selecione chave compartilhada.In the Settings section, select Shared key.

      Conexão VPN

    • Azure PowerShell: Use o seguinte comando do PowerShell:Azure PowerShell: Use the following PowerShell command:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

Status "conectado"-tráfego não fluindoStatus "Connected" - traffic not flowing

  • Verifique e remova o UDR (roteamento definido pelo usuário) e os NSGs (grupos de segurança de rede) na sub-rede do gateway e, em seguida, teste o resultado.Check for, and remove the user-defined routing (UDR) and network security groups (NSGs) on the gateway subnet, and then test the result. Se o problema for resolvido, valide as configurações aplicadas pelo UDR ou NSG.If the problem is resolved, validate the settings that UDR or NSG applied.

    Uma rota definida pelo usuário na sub-rede do gateway pode estar restringindo parte do tráfego e permitindo outra parte dele.A user-defined route on the gateway subnet may be restricting some traffic and allowing other traffic. Isso faz parecer que a conexão VPN não é confiável para algum tráfego e é boa para outras.This makes it appear that the VPN connection is unreliable for some traffic, and good for others.

  • Verifique o endereço da interface externa do dispositivo VPN local.Check the on-premises VPN device external interface address.

    • Se o endereço IP voltado para a Internet do dispositivo VPN estiver incluído na definição de rede local no Hub Azure Stack, você poderá experimentar desconexões esporádicas.If the internet-facing IP address of the VPN device is included in the Local network definition in Azure Stack Hub, you might experience sporadic disconnections.

    • A interface externa do dispositivo deve estar diretamente na Internet.The device's external interface must be directly on the internet. Não deve haver nenhuma conversão de endereços de rede ou firewall entre a Internet e o dispositivo.There should be no network address translation or firewall between the internet and the device.

    • Para configurar o clustering de firewall para ter um IP virtual, você deve interromper o cluster e expor o dispositivo VPN diretamente a uma interface pública com a qual o gateway pode ser interface.To configure firewall clustering to have a virtual IP, you must break the cluster and expose the VPN appliance directly to a public interface with which the gateway can interface.

  • Verifique se as sub-redes correspondem exatamente.Verify that the subnets match exactly.

    • Verifique se os espaços de endereço de rede virtual correspondem exatamente entre a rede virtual do hub de Azure Stack e as definições locais.Verify that the virtual network address space(s) match exactly between the Azure Stack Hub virtual network and on-premises definitions.

    • Verifique se as sub-redes correspondem exatamente entre o Gateway de Rede Local e as definições locais para a rede local.Verify that the subnets match exactly between the Local Network Gateway and on-premises definitions for the on-premises network.

Criar um tíquete de suporteCreate a support ticket

Se nenhuma das etapas anteriores resolver o problema, crie um tíquete de suporte e use a ferramenta de coleta de logs sob demanda para fornecer logs.If none of the preceding steps resolve your issue, please create a support ticket and use the on demand log collection tool to provide logs.