Solução de problemas: uma conexão VPN site a site do Azure não pode se conectar e para de funcionar

Depois de configurar uma conexão VPN site a site entre uma rede local e uma rede virtual do Azure, a conexão VPN de repente para de funcionar e não pode ser reconectada. Este artigo fornece etapas de solução de problemas para ajudá-lo a resolver esse problema.

Se o seu problema do Azure não for resolvido neste artigo, visite os fóruns do Azure em Microsoft Q & A e Stack Overflow. Você pode postar seu problema nesses fóruns ou postar para @AzureSupport no Twitter. Você também pode enviar uma solicitação de suporte do Azure. Para enviar uma solicitação de suporte, na página de suporte do Azure, selecione Obter suporte.

Passos de resolução de problemas

Para resolver o problema, primeiro tente redefinir o gateway de VPN do Azure e redefinir o túnel do dispositivo VPN local. Se o problema persistir, siga estas etapas para identificar a causa do problema.

Etapa de pré-requisito

Verifique o tipo do gateway de VPN do Azure.

1. Aceda ao portal do Azure.

2. Vá para o gateway de rede virtual para sua rede virtual. Na página Visão geral, você verá o tipo de gateway, o tipo de VPN e a SKU de gateway.

Etapa 1: verificar se o dispositivo VPN local está validado

1. Verifique se você está usando um dispositivo VPN validado e uma versão do sistema operacional. Se o dispositivo não for um dispositivo VPN validado, talvez seja necessário entrar em contato com o fabricante do dispositivo para ver se há um problema de compatibilidade.

2. Verifique se o dispositivo VPN está configurado corretamente. Para obter mais informações, consulte Editar exemplos de configuração de dispositivo.

Etapa 2: Verificar a chave compartilhada

Compare a chave partilhada do dispositivo VPN no local com a VPN da Rede Virtual do Azure para se certificar de que as chaves correspondem.

Para ver a chave partilhada para a ligação VPN do Azure, utilize um dos seguintes métodos:

Portal do Azure

1. Aceda ao Gateway de VPN. Na página Conexões, localize e abra a conexão.

2. Selecione Tipo de autenticação. Atualize e guarde a chave partilhada, se necessário.

Azure PowerShell

Nota

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Para o modelo de implantação do Azure Resource Manager:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

Para o modelo de implantação clássico:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Etapa 3: Verificar os IPs de par VPN

• A definição de IP no objeto Gateway de Rede Local no Azure deve corresponder ao IP do dispositivo local.
• A definição do IP do gateway do Azure definida no dispositivo no local deverá corresponder ao IP do gateway do Azure.

Etapa 4: Verificar UDR e NSGs na sub-rede do gateway

Verifique e remova o roteamento definido pelo usuário (UDR) ou NSGs (Network Security Groups) na sub-rede do gateway e teste o resultado. Se o problema for resolvido, valide as configurações que UDR ou NSG aplicaram.

Etapa 5: Verifique o endereço da interface externa do dispositivo VPN local

Se o endereço IP voltado para a Internet do dispositivo VPN estiver incluído na definição de rede local no Azure, você poderá enfrentar desconexões esporádicas.

Etapa 6: verificar se as sub-redes correspondem exatamente (gateways baseados em políticas do Azure)

• Verifique se o(s) espaço(s) de endereços da rede virtual correspondem exatamente entre a rede virtual do Azure e as definições no local.
• Verifique se as sub-redes correspondem exatamente entre o Gateway de Rede Local e as definições locais para a rede local.

Etapa 7: Verificar a investigação de integridade do gateway do Azure

1. Abra a investigação de integridade navegando até o seguinte URL:

   https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

   Para gateways Ativos/Ativos, utilize o seguinte para verificar o segundo IP público:
   

   https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

2. Clique no aviso de certificado.

3. Se receber uma resposta, o Gateway de VPN é considerado em bom estado de funcionamento. Se não receber uma resposta, o gateway pode não estar em bom estado de funcionamento ou um NSG na sub-rede do gateway está a causar o problema. O texto apresentado em seguida é um exemplo de resposta:

   <?xml version="1.0"?>
   <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
   

Nota

Os gateways básicos de VPN SKU não respondem à investigação de integridade. Eles não são recomendados para cargas de trabalho de produção.

Etapa 8: Verifique se o dispositivo VPN local tem o recurso de sigilo de encaminhamento perfeito habilitado

O recurso de sigilo de encaminhamento perfeito pode causar problemas de desconexão. Se o dispositivo VPN tiver o sigilo de encaminhamento perfeito ativado, desative o recurso. Em seguida, atualize a política IPsec do gateway VPN.

Nota

Os gateways VPN não respondem ao ICMP em seu endereço local.

Próximos passos

• Configurar uma conexão site a site para uma rede virtual
• Configurar uma política IPsec/IKE para conexões VPN site a site