對站對站 VPN 連線進行疑難排解

本文說明在內部部署網路與 Azure Stack Hub 虛擬網路之間設定站對站 (S2S) VPN 連線之後,若連線突然停止運作且無法重新連線,您可以執行哪些疑難排解步驟。

如果本文無法解決您的 Azure Stack Hub 問題,您可造訪 Azure Stack Hub Q&A 論壇

您也可以提交 Azure 支援要求。 請參閱 Azure Stack Hub 支援

注意

兩個 Azure Stack Hub 部署之間只能建立一個站對站 VPN 連線。 這是因為平台中有限制,只允許單一 VPN 連線到相同的 IP 位址。 由於 Azure Stack Hub 會利用多租用戶閘道,並對 Azure Stack Hub 系統中的所有 VPN 閘道使用單一公用 IP,因此兩個 Azure Stack Hub 系統之間可能只有一個 VPN 連線。 將多個站對站 VPN 連線連接到任何使用單一 IP 位址的 VPN 閘道也適用此限制。 Azure Stack Hub 不允許使用相同 IP 位址建立多個區域網路閘道資源。 所有來自相同 Azure Stack 部署的 VPN 閘道 (無論是虛擬網路或訂用帳戶) 都會獲指派相同的公用 IP。

初始疑難排解步驟

IPsec/IKEV2 的 Azure Stack Hub 預設參數已變更

重要

使用 S2S 通道時,封包會以額外的標頭進一步封裝。 此封裝會增加封包的整體大小。 若發生這些情況,您必須在 1350 強制執行 TCP MSS。 如果您的 VPN 裝置不支援 MSS 固定,您也可以將通道介面上的 MTU 改設為 1400 位元組。 如需詳細資訊,請參閱虛擬網路 TCPIP 效能微調

  • 確認 VPN 設定是否以路由為基礎 (IKEv2)。 Azure Stack Hub 不支援以原則為基礎 (IKEv1) 的設定。

  • 檢查您是否使用經過驗證的 VPN 裝置和作業系統版本。 如果裝置不是經過驗證的 VPN 裝置,您可能需要連絡裝置製造商,以了解是否有任何相容性問題。

  • 確認 Azure Stack Hub 虛擬網路與內部部署網路之間沒有重疊的 IP 範圍。 這可能會造成連線問題。

  • 確認 VPN 對等互連 IP:

    • Azure Stack Hub 中的「區域網路閘道」物件內的 IP 定義應與內部部署裝置 IP 相符。

    • 內部部署裝置上設定的 Azure Stack Hub 閘道 IP 定義應與 Azure Stack Hub 閘道 IP 相符。

「未連線」狀態- 間歇性中斷連線

  • 比較內部部署 VPN 裝置和 AzSH 虛擬網路 VPN 的共用金鑰,以確認金鑰相符。 若要檢視 AzSH VPN 連線的共用金鑰,請使用下列其中一個方法:

    • Azure Stack Hub 租用戶入口網站:移至您建立的 VPN 閘道站對站連線。 在 [設定] 區段中,選取 [共用金鑰]。

      VPN connection

    • Azure PowerShell:使用下列 PowerShell 命令:

Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group>

「已連線」狀態 – 流量未傳輸

  • 檢查並移除閘道子網路上的使用者定義路由 (UDR) 和網路安全性群組 (NSG),然後測試結果。 如果問題已解決,請驗證 UDR 或 NSG 套用的設定。

    閘道子網路上的使用者定義路由可能會限制某些流量並允許其他流量。 這可能會讓有些流量的 VPN 連線不穩定,而有些則有穩定的連線。

  • 檢查內部部署 VPN 裝置外部介面位址。

    • 如果 Azure Stack Hub 的區域網路定義中包含 VPN 裝置的網際網路對應 IP 位址,則您可能偶爾會遇到連線中斷的情況。

    • 裝置的外部介面必須直接位在網際網路上。 網際網路與裝置之間不應有網路位址轉譯或防火牆。

    • 若要設定防火牆叢集以具有虛擬 IP,您必須解散叢集,並直接將 VPN 設備公開給閘道可介接的公用介面。

  • 確認子網路完全相符。

    • 確認 Azure Stack Hub 虛擬網路和內部部署定義的子網路位址空間完全相符。

    • 確認子網路在區域網路閘道和內部部署網路的內部部署定義之間完全相符合。

建立支援票證

如果上述步驟無法解決您的問題,請建立支援票證,並使用隨選記錄收集工具來提供記錄。