Felsöka VPN-anslutningar via plats-till-plats

Den här artikeln beskriver felsökningssteg som du kan vidta när du har konfigurerat en VPN-anslutning från plats till plats (S2S) mellan ett lokalt nätverk och ett virtuellt Azure Stack Hub-nätverk, och anslutningen slutar plötsligt att fungera och kan inte återanslutas.

Om problemet med Azure Stack Hub inte åtgärdas i den här artikeln kan du besöka Azure Stack Hub Q&A-forumet.

Du kan också skicka en Azure Support begäran. Se Support för Azure Stack Hub.

Anteckning

Det går bara att skapa en PLATS-till-plats-VPN-anslutning mellan två Azure Stack Hub-distributioner. Detta beror på en begränsning i plattformen som endast tillåter en enda VPN-anslutning till samma IP-adress. Eftersom Azure Stack Hub utnyttjar gatewayen för flera klientorganisationer, som använder en enda offentlig IP-adress för alla VPN-gatewayer i Azure Stack Hub-systemet, kan det bara finnas en VPN-anslutning mellan två Azure Stack Hub-system. Den här begränsningen gäller även för anslutning av mer än en plats-till-plats-VPN-anslutning till alla VPN-gatewayer som använder en enda IP-adress. Azure Stack Hub tillåter inte att fler än en lokal nätverksgatewayresurs skapas med samma IP-adress. Alla VPN-gatewayer från samma Azure Stack-distribution, oavsett virtuellt nätverk eller prenumeration, tilldelas samma offentliga IP-adress.

Inledande felsökningssteg

Standardparametrarna för Azure Stack Hub för IPsec/IKEV2 har ändrats:

Viktigt

När du använder en S2S-tunnel kapslas paket ytterligare in med ytterligare rubriker. Den här inkapslingen ökar paketets totala storlek. I dessa scenarier måste du klämma in TCP MSS på 1350. Om VPN-enheterna inte stöder MSS-klämning kan du i stället ange MTU:en i tunnelgränssnittet till 1 400 byte. Mer information finns i Prestandajustering för TCPIP för Virutal Network.

• Bekräfta att VPN-konfigurationen är routningsbaserad (IKEv2). Azure Stack Hub stöder inte principbaserade konfigurationer (IKEv1).

• Kontrollera om du använder en verifierad VPN-enhet och operativsystemversion. Om enheten inte är en verifierad VPN-enhet kan du behöva kontakta enhetstillverkaren för att se om det finns ett kompatibilitetsproblem.

• Kontrollera att det inte finns några överlappande IP-intervall mellan det virtuella Azure Stack Hub-nätverket och det lokala nätverket. Detta kan orsaka anslutningsproblem.

• Kontrollera VPN-peer-IP-adresser:

  • IP-definitionen i objektet Lokal nätverksgateway i Azure Stack Hub ska matcha den lokala enhetens IP-adress.

  • Ip-definitionen för Azure Stack Hub-gatewayen som anges på den lokala enheten ska matcha Azure Stack Hub-gatewayens IP-adress.

Status "Inte ansluten" – tillfälliga frånkopplingar

Az-moduler

• Jämför den delade nyckeln för den lokala VPN-enheten med det virtuella AzSH-nätverkets VPN för att se till att nycklarna matchar. Om du vill visa den delade nyckeln för AzSH VPN-anslutningen använder du någon av följande metoder:

  • Azure Stack Hub-klientportalen: Gå till vpn-gatewayens plats-till-plats-anslutning som du skapade. I avsnittet Inställningar väljer du Delad nyckel.

    

  • Azure PowerShell: Använd följande PowerShell-kommando:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

AzureRM-moduler

• Jämför den delade nyckeln för den lokala VPN-enheten med det virtuella AzSH-nätverkets VPN för att se till att nycklarna matchar. Om du vill visa den delade nyckeln för AzSH VPN-anslutningen använder du någon av följande metoder:

  • Azure Stack Hub-klientportalen: Gå till vpn-gatewayens plats-till-plats-anslutning som du skapade. I avsnittet Inställningar väljer du Delad nyckel.

    

  • Azure PowerShell: Använd följande PowerShell-kommando:

Get-AzurerRMVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

Status "Ansluten" – trafiken flödar inte

• Sök efter och ta bort användardefinierad routning (UDR) och nätverkssäkerhetsgrupper (NSG:er) i gatewayundernätet och testa sedan resultatet. Om problemet är löst kontrollerar du de inställningar som UDR eller NSG tillämpade.

  En användardefinierad väg i gatewayundernätet kan begränsa viss trafik och tillåta annan trafik. Detta gör att det verkar som om VPN-anslutningen är otillförlitlig för viss trafik och bra för andra.

• Kontrollera den lokala VPN-enhetens externa gränssnittsadress.

  • Om VPN-enhetens Internetuppkopplade IP-adress ingår i definitionen för lokalt nätverk i Azure Stack Hub kan det uppstå sporadiska frånkopplingar.

  • Enhetens externa gränssnitt måste finnas direkt på Internet. Det ska inte finnas någon översättning av nätverksadresser eller brandväggar mellan Internet och enheten.

  • Om du vill konfigurera brandväggsklustring till att ha en virtuell IP-adress måste du bryta klustret och exponera VPN-installationen direkt i ett offentligt gränssnitt som gatewayen kan använda.

• Kontrollera att undernäten matchar exakt.

  • Kontrollera att adressutrymmet för det virtuella nätverket matchar exakt mellan det virtuella nätverket i Azure Stack Hub och lokala definitioner.

  • Kontrollera att undernäten matchar exakt mellan den lokala nätverksgatewayen och lokala definitioner för det lokala nätverket.

Skapa ett supportärende

Om inget av föregående steg löser problemet skapar du ett supportärende och använder logginsamlingsverktyget på begäran för att tillhandahålla loggar.