Dela via

Felsökning: En plats-till-plats-VPN-anslutning för Azure kan inte ansluta och slutar fungera

  • Artikel

När du har konfigurerat en PLATS-till-plats-VPN-anslutning mellan ett lokalt nätverk och ett virtuellt Azure-nätverk slutar VPN-anslutningen plötsligt att fungera och kan inte återanslutas. Den här artikeln innehåller felsökningssteg som hjälper dig att lösa problemet.

Om ditt Azure-problem inte åtgärdas i den här artikeln går du till Azure-forumen på Microsoft Q &A och Stack Overflow. Du kan publicera ditt problem i dessa forum eller publicera till @AzureSupport på Twitter. Du kan också skicka en Azure-supportbegäran. Om du vill skicka en supportbegäran går du till azure-supportsidan och väljer Hämta support.

Felsökningsanvisningar

Lös problemet genom att först försöka återställa Azure VPN-gatewayen och återställa tunneln från den lokala VPN-enheten. Om problemet kvarstår följer du dessa steg för att identifiera orsaken till problemet.

Kravsteg

Kontrollera typen av Azure VPN-gateway.

  1. Gå till Azure-portalen.

  2. Gå till den virtuella nätverksgatewayen för ditt virtuella nätverk. På sidan Översikt ser du gatewaytypen, VPN-typen och gateway-SKU:n.

Steg 1: Kontrollera om den lokala VPN-enheten har verifierats

  1. Kontrollera om du använder en validerad VPN-enhet och operativsystemversion. Om enheten inte är en validerad VPN-enhet kan du behöva kontakta enhetstillverkaren för att se om det finns ett kompatibilitetsproblem.

  2. Kontrollera att VPN-enheten är korrekt konfigurerad. Mer information finns i Redigera enhetskonfigurationsexempel.

Steg 2: Verifiera den delade nyckeln

Jämför den delade nyckeln för den lokala VPN-enheten med Azure Virtual Network VPN för att kontrollera att nycklarna matchar.

Använd någon av följande metoder om du vill visa den delade nyckeln för Azure VPN-anslutningen:

Azure-portalen

  1. Gå till VPN Gateway. På sidan Anslutningar letar du efter och öppnar anslutningen.

  2. Välj Autentiseringstyp. Uppdatera och spara den delade nyckeln om det behövs.

Azure PowerShell

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång finns i Installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

För Azure Resource Manager-distributionsmodellen:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>

För den klassiska distributionsmodellen:

Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName

Steg 3: Verifiera VPN-peer-IP-adresser

  • IP-definitionen i objektet Lokal nätverksgateway i Azure ska matcha den lokala enhetens IP-adress.
  • IP-definitionen för Azure-gatewayen som anges på den lokala enheten ska matcha IP-adressen för Azure-gatewayen.

Steg 4: Kontrollera UDR och NSG:er i gatewayundernätet

Sök efter och ta bort användardefinierad routning (UDR) eller nätverkssäkerhetsgrupper (NSG:er) i gatewayundernätet och testa sedan resultatet. Om problemet är löst kontrollerar du de inställningar som UDR eller NSG tillämpade.

Steg 5: Kontrollera den lokala VPN-enhetens externa gränssnittsadress

Om VPN-enhetens Internetuppkopplade IP-adress ingår i definitionen för lokalt nätverk i Azure kan det uppstå sporadiska frånkopplingar.

Steg 6: Kontrollera att undernäten matchar exakt (Azure-principbaserade gatewayer)

  • Kontrollera att adressutrymmena för virtuella nätverk matchar exakt mellan det virtuella Azure-nätverket och lokala definitioner.
  • Kontrollera att undernäten matchar exakt mellan den lokala nätverksgatewayen och lokala definitioner för det lokala nätverket.

Steg 7: Verifiera hälsoavsökningen för Azure Gateway

  1. Öppna hälsoavsökningen genom att bläddra till följande URL:

    https://<YourVirtualNetworkGatewayIP>:8081/healthprobe

    För aktiva/aktiva gatewayer använder du följande för att kontrollera den andra offentliga IP-adressen:

    https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe

  2. Klicka igenom certifikatvarningen.

  3. Om du får ett svar anses VPN-gatewayen vara felfri. Om du inte får något svar kanske gatewayen inte är felfri eller så orsakas problemet av en NSG i gatewayundernätet. Följande text är ett exempel på svar:

    <?xml version="1.0"?>
<string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>

Kommentar

Grundläggande SKU VPN-gatewayer svarar inte på hälsoavsökningen. De rekommenderas inte för produktionsarbetsbelastningar.

Steg 8: Kontrollera om den lokala VPN-enheten har den perfekta framåtsekretessfunktionen aktiverad

Den perfekta funktionen för sekretess framåt kan orsaka problem med frånkoppling. Om VPN-enheten har perfekt framåtsekretess aktiverad inaktiverar du funktionen. Uppdatera sedan IPsec-principen för VPN-gatewayen.

Kommentar

VPN-gatewayer svarar inte på ICMP på sin lokala adress.

Nästa steg