Solução de problemas: uma conexão VPN site a site do Azure não consegue se conectar e deixa de funcionar
Depois de configurar uma conexão VPN site a site entre uma rede local e uma rede virtual do Azure, a conexão VPN repentinamente deixa de funcionar e não pode ser reconectada. Este artigo apresenta etapas para a solução de problemas para ajudá-lo a resolver esse problema.
Caso o seu problema do Azure não seja abordado neste artigo, visite os fóruns do Azure em Microsoft Q&A e Stack Overflow. Você pode postar seu problema nesses fóruns ou enviar para@AzureSupport no Twitter. Você também pode enviar uma solicitação de suporte do Azure. Para enviar uma solicitação de suporte na página Suporte do Azure, selecione Obter suporte.
Etapas para solucionar problemas
Para resolver o problema, primeiro tente redefinir o gateway de VPN do Azure e redefinir o túnel do dispositivo VPN local. Se o problema persistir, siga essas etapas para identificar a causa do problema.
Etapa de pré-requisito
Verifique o tipo do gateway de VPN do Azure.
Vá para o Portal do Azure.
Vá até o Gateway de Rede Virtual para sua rede virtual. Na página Visão geral, você verá o tipo de gateway, o tipo de VPN e o SKU do gateway.
Etapa 1: verificar se o dispositivo VPN local é validado
Verifique se você está usando um dispositivo VPN e uma versão do sistema operacional validados. Se o dispositivo não for um dispositivo VPN validado, talvez seja necessário contatar o fabricante do dispositivo para verificar se há algum problema de compatibilidade.
Verifique se o dispositivo VPN está configurado corretamente. Para obter mais informações, consulte Editar exemplos de configuração de dispositivo.
Etapa 2: verificar a chave compartilhada
Compare a chave compartilhada do dispositivo VPN local e VPN de Rede Virtual do Azure para assegurar que as chaves correspondem.
Para exibir a chave compartilhada para a conexão VPN do Azure, utilize um dos seguintes métodos:
Portal do Azure
Vá até o gateway de VPN. Na página Conexões, localize e abra a conexão.
Selecionar Tipo de Autenticação. Atualize e salve a chave compartilhada, se necessário.
PowerShell do Azure
Observação
Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, confira Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Para o modelo de implantação do Azure Resource Manager:
Get-AzVirtualNetworkGatewayConnectionSharedKey -Name <Connection name> -ResourceGroupName <Resource group name>
Para o modelo de implantação clássico:
Get-AzureVNetGatewayKey -VNetName -LocalNetworkSiteName
Etapa 3: verificar os IPs Pares de VPN
- A definição do IP no objeto do Gateway de Rede Local no Azure deve corresponder com o IP do dispositivo local.
- A definição de IP do gateway do Azure que está configurada no dispositivo local deve corresponder ao IP de gateway do Azure.
Etapa 4: verificar UDR e NSGs na sub-rede do gateway
Verifique e remova o UDR (roteamento definido pelo usuário) ou NSG (grupos de segurança de rede) na sub-rede de gateway e, em seguida, teste o resultado. Se o problema for resolvido, valide as configurações aplicadas pelo UDR ou NSG.
Etapa 5: verificar o endereço da interface externa do dispositivo VPN local
Se o endereço IP voltado para a Internet do dispositivo VPN estiver incluído na definição de Rede local no Azure, você poderá experimentar desconexões esporádicas.
Etap 6: verificar se as sub-redes coincidem exatamente (gateways baseados em políticas do Azure)
- Verifique se os espaços de endereço da rede virtual correspondem exatamente entre a rede virtual do Azure e as definições locais.
- Verifique se as sub-redes correspondem exatamente entre o Gateway de Rede Local e as definições locais para a rede local.
Etapa 7: verificar a investigação de integridade do gateway do Azure
Abra a investigação de integridade, navegando até a URL a seguir:
https://<YourVirtualNetworkGatewayIP>:8081/healthprobe
Para gateways ativos/ativos, use o seguinte para verificar o segundo IP:
https://<YourVirtualNetworkGatewayIP2>:8083/healthprobe
Clique no aviso do certificado.
Se você receber uma resposta, o gateway de VPN será considerado íntegro. Se você não receber uma resposta, o gateway poderá não estar íntegro ou um NSG na sub-rede do gateway estará causando o problema. O texto a seguir é uma resposta de exemplo:
<?xml version="1.0"?> <string xmlns="http://schemas.microsoft.com/2003/10/Serialization/">Primary Instance: GatewayTenantWorker_IN_1 GatewayTenantVersion: 14.7.24.6</string>
Observação
Os gateways de VPN de SKU básicos não respondem à investigação de integridade. Eles não são recomendados para cargas de trabalho de produção.
Etapa 8: Verificar se o dispositivo VPN local tem o recurso de sigilo de encaminhamento perfeito ativado
O recurso PFS pode causar os problemas de desconexão. Se o dispositivo VPN estiver com PFS habilitado, desabilite o recurso. Em seguida, atualize a política IPsec do gateway de VPN.
Observação
Os gateways de VPN não respondem ao ICMP no endereço local.