Risoluzione dei problemi: una connessione VPN da sito a sito di Azure non può essere stabilita e smette di funzionare
Dopo aver configurato una connessione VPN da sito a sito tra una rete locale e una rete virtuale di Azure, la connessione VPN smette improvvisamente di funzionare e non può essere riconnessa. Questo articolo illustra la procedura per risolvere questo tipo di problema.
Se il problema relativo ad Azure non è trattato in questo articolo, visitare i forum di Azure su Microsoft Q&A e Stack Overflow. È possibile pubblicare il problema in questi forum o in @AzureSupport su Twitter. È anche possibile inviare una richiesta di supporto tecnico di Azure. Per inviare una richiesta di supporto, selezionare Supporto tecnico nella pagina del supporto di Azure.
Passaggi per la risoluzione dei problemi
Per risolvere il problema, provare prima a reimpostare il gateway VPN di Azure e a reimpostare il tunnel dal dispositivo VPN locale. Se il problema persiste, seguire questa procedura per identificare la causa del problema.
Passaggio preliminare
Controllare il tipo del gateway VPN di Azure.
Vai al portale di Azure.
Passare al gateway di rete virtuale per la rete virtuale. Nella pagina Panoramica viene visualizzato il tipo di gateway, il tipo di VPN e lo SKU del gateway.
Passaggio 1: Verificare se il dispositivo VPN locale è convalidato
Controllare se si usa un dispositivo VPN convalidato e una versione del sistema operativo. Se il dispositivo non è un dispositivo VPN convalidato, potrebbe essere necessario contattare il produttore del dispositivo per verificare se si verifica un problema di compatibilità.
Verificare che il dispositivo VPN sia configurato correttamente. Per altre informazioni, vedere Esempi di modifica di configurazione dispositivo.
Passaggio 2: Verificare la chiave condivisa
Confrontare la chiave condivisa del dispositivo VPN locale con quella del gateway VPN della rete virtuale per verificare che corrispondano.
Per visualizzare la chiave condivisa per la connessione VPN di Azure, usare uno dei metodi seguenti:
Azure portal
Andare al Gateway VPN. Nella pagina Connessioni, individuare e aprire la connessione.
Selezionare un tipo di autenticazione. Aggiornare e salvare la chiave condivisa, se necessario.
Azure PowerShell
Nota
È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.
Per il modello di distribuzione azure Resource Manager:
Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>
Per il modello di distribuzione classica:
Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName
Passaggio 3: Verificare gli indirizzi IP peer VPN
- La definizione IP nell'oggetto Gateway di rete locale in Azure deve corrispondere all'IP del dispositivo locale.
- La definizione dell'IP del gateway di Azure impostata nel dispositivo locale deve corrispondere all'IP del gateway di Azure.
Passaggio 4: Controllare la route definita dall'utente e i gruppi di sicurezza di rete nella subnet del gateway
Cercare e rimuovere il routing definito dall'utente o i gruppi di sicurezza di rete nella subnet del gateway e quindi testare il risultato. Se il problema viene risolto, convalidare le impostazioni applicate dal gruppo di sicurezza di rete o dal routing definito dall'utente.
Passaggio 5: Controllare l'indirizzo dell'interfaccia esterna del dispositivo VPN locale
Se l'indirizzo IP per Internet del dispositivo VPN è incluso nella definizione della rete locale in Azure, è possibile che si verifichino sporadiche disconnessioni.
Passaggio 6: Verificare che le subnet corrispondano esattamente (gateway basati su criteri di Azure)
- Verificare che ci sia una corrispondenza esatta dello spazio di indirizzi della rete virtuale tra la rete virtuale di Azure e le definizioni locali.
- Verificare che ci sia una corrispondenza esatta delle subnet tra il gateway di rete locale e le definizioni locali per la rete locale.
Passaggio 7: Verificare il probe di integrità del gateway di Azure
Aprire un probe di integrità passando all'URL seguente:
https://<YourVirtualNetworkGatewayIP>:8081/healthprobe
In caso di Gateway attivo-attivo, utilizzare la seguente procedura per verificare il secondo IP pubblico:
https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe
Fare clic sull'avviso del certificato.
Se si riceve una risposta, il gateway VPN viene considerato integro. Se non si riceve una risposta, è possibile che il gateway non sia integro oppure il problema è causato da un gruppo di sicurezza di rete nella subnet del gateway. Il testo seguente è una risposta di esempio:
<?xml version="1.0"?> <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
Nota
I gateway VPN SKU di base non rispondono al probe di integrità. Non sono consigliate per i carichi di lavoro di produzione.
Passaggio 8: Verificare se il dispositivo VPN locale ha la funzionalità di segretezza avanzata perfetta abilitata
La funzionalità PFS (Perfect Forward Secrecy) può causare problemi di disconnessione. Se nel dispositivo VPN è abilitata la funzionalità PFS, disabilitarla e aggiornare i criteri IPsec del gateway VPN.
Nota
I gateway VPN non rispondono a ICMP nell'indirizzo locale.