Solução de problemas: uma conexão VPN site a site do Azure não consegue se conectar e deixa de funcionar

Depois de configurar uma conexão VPN site a site entre uma rede local e uma rede virtual do Azure, a conexão VPN repentinamente deixa de funcionar e não pode ser reconectada. Este artigo apresenta etapas para a solução de problemas para ajudá-lo a resolver esse problema.

Caso o seu problema do Azure não seja abordado neste artigo, visite os fóruns do Azure no Microsoft Q&A e no Stack Overflow. Você pode postar seu problema nesses fóruns ou enviar para@AzureSupport no Twitter. Você também pode enviar uma solicitação de suporte do Azure. Para enviar uma solicitação de suporte na página Suporte do Azure, selecione Obter suporte.

Etapas para solucionar problemas

Para resolver o problema, primeiro tente redefinir o gateway de VPN do Azure e redefinir o túnel do dispositivo VPN local. Se o problema persistir, siga essas etapas para identificar a causa do problema.

Etapa de pré-requisito

Verifique o tipo do gateway de VPN do Azure.

1. Vá para o Portal do Azure.

2. Vá até o Gateway de Rede Virtual para sua rede virtual. Na página Visão geral, você verá o tipo de gateway, o tipo de VPN e o SKU do gateway.

Etapa 1: verificar se o dispositivo VPN local é validado

1. Verifique se você está usando um dispositivo VPN e uma versão do sistema operacional validados. Se o dispositivo não for um dispositivo VPN validado, talvez seja necessário contatar o fabricante do dispositivo para verificar se há algum problema de compatibilidade.

2. Verifique se o dispositivo VPN está configurado corretamente. Para obter mais informações, consulte Editar exemplos de configuração de dispositivo.

Etapa 2: verificar a chave compartilhada

Compare a chave compartilhada do dispositivo VPN local e VPN de Rede Virtual do Azure para assegurar que as chaves correspondem.

Para exibir a chave compartilhada para a conexão VPN do Azure, utilize um dos seguintes métodos:

Portal do Azure

1. Vá até o gateway de VPN. Na página Conexões, localize e abra a conexão.

2. Selecionar Tipo de Autenticação. Atualize e salve a chave compartilhada, se necessário.

PowerShell do Azure

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Confira Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Para o modelo de implantação do Azure Resource Manager:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

Para o modelo de implantação clássico:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Etapa 3: verificar os IPs Pares de VPN

• A definição do IP no objeto do Gateway de Rede Local no Azure deve corresponder com o IP do dispositivo local.
• A definição de IP do gateway do Azure que está configurada no dispositivo local deve corresponder ao IP de gateway do Azure.

Etapa 4: verificar UDR e NSGs na sub-rede do gateway

Verifique e remova o UDR (roteamento definido pelo usuário) ou NSG (grupos de segurança de rede) na sub-rede de gateway e, em seguida, teste o resultado. Se o problema for resolvido, valide as configurações aplicadas pelo UDR ou NSG.

Etapa 5: verificar o endereço da interface externa do dispositivo VPN local

Se o endereço IP voltado para a Internet do dispositivo VPN estiver incluído na definição de Rede local no Azure, você poderá experimentar desconexões esporádicas.

Etap 6: verificar se as sub-redes coincidem exatamente (gateways baseados em políticas do Azure)

• Verifique se os espaços de endereço da rede virtual correspondem exatamente entre a rede virtual do Azure e as definições locais.
• Verifique se as sub-redes correspondem exatamente entre o Gateway de Rede Local e as definições locais para a rede local.

Etapa 7: verificar a investigação de integridade do gateway do Azure

1. Abra a investigação de integridade, navegando até a URL a seguir:

   https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

   Para gateways ativos/ativos, use o seguinte para verificar o segundo IP:
   

   https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

2. Clique no aviso do certificado.

3. Se você receber uma resposta, o gateway de VPN será considerado íntegro. Se você não receber uma resposta, o gateway poderá não estar íntegro ou um NSG na sub-rede do gateway estará causando o problema. O texto a seguir é uma resposta de exemplo:

   <?xml version="1.0"?>
   <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
   

Observação

Os gateways de VPN de SKU básicos não respondem à investigação de integridade. Eles não são recomendados para cargas de trabalho de produção.

Etapa 8: Verificar se o dispositivo VPN local tem o recurso de sigilo de encaminhamento perfeito ativado

O recurso PFS pode causar os problemas de desconexão. Se o dispositivo VPN estiver com PFS habilitado, desabilite o recurso. Em seguida, atualize a política IPsec do gateway de VPN.

Observação

Os gateways de VPN não respondem ao ICMP no endereço local.

Próximas etapas

• Configurar uma conexão site a site para uma rede virtual
• Configurar uma política IPsec/IKE para conexões VPN site a site