Översikt över VPN-felsökning
Virtuella nätverksgatewayer ger anslutning mellan lokala resurser och virtuella Azure-nätverk. Det är viktigt att övervaka virtuella nätverksgatewayer och deras anslutningar för att säkerställa att kommunikationen inte bryts. Azure Network Watcher VPN-felsökning ger möjlighet att felsöka virtuella nätverksgatewayer och deras anslutningar. VPN-felsökning kan anropas via Azure Portal, Azure PowerShell, Azure CLI eller REST API. När det anropas diagnostiserar Network Watcher gatewayens eller anslutningens hälsotillstånd och returnerar lämpliga resultat. Begäran är en tidskrävande transaktion. Resultaten returneras när diagnosen är klar.
Gatewaytyper som stöds
I följande tabell visas vilka gatewayer och anslutningar som stöds med felsökning av Network Watcher:
| Gateway eller anslutning | Stöds |
|---|---|
| Gatewaytyper | |
| VPN | Stöds |
| ExpressRoute | Stöds inte |
| VPN-typer | |
| Routningsbaserad | Stöds |
| Principbaserad | Stöds inte |
| Anslutningstyper | |
| IPsec | Stöds |
| VNet2VNet | Stöds |
| ExpressRoute | Stöds inte |
| VPNClient | Stöds inte |
Resultat
De preliminära resultat som returneras ger en övergripande bild av resursens hälsotillstånd. Du kan få mer information om resurser enligt följande avsnitt:
Följande lista är de värden som returneras av VPN-felsöknings-API:et:
- startTime – Det här värdet är den tid då api-anropet för felsökning startades.
- endTime – Det här värdet är den tid då felsökningen avslutades.
- code – Det här värdet är UnHealthy, om det finns ett enda diagnosfel.
- results – Resultat är en samling resultat som returneras på anslutningen eller den virtuella nätverksgatewayen.
- id – Det här värdet är feltypen.
- summary – Det här värdet är en sammanfattning av felet.
- detaljerad – Det här värdet innehåller en detaljerad beskrivning av felet.
- recommendedActions – Den här egenskapen är en samling rekommenderade åtgärder att vidta.
- actionText – Det här värdet innehåller texten som beskriver vilken åtgärd som ska vidtas.
- actionUri – Det här värdet ger URI:n till dokumentation om hur du agerar.
- actionUriText – Det här värdet är en kort beskrivning av åtgärdstexten.
Följande tabeller visar de olika feltyperna (ID under resultat från föregående lista) som är tillgängliga och om felet skapar loggar.
Gateway
| Feltyp | Anledning | Loggas |
|---|---|---|
| NoFault | När inget fel har identifierats | Ja |
| GatewayNotFound | Det går inte att hitta att gatewayen eller gatewayen inte har etablerats | Nej |
| PlannedMaintenance | Gatewayinstansen är under underhåll | Nej |
| UserDrivenUpdate | Det här felet inträffar när en användaruppdatering pågår. Uppdateringen kan vara en storleksändring. | Nej |
| VipUnResponsive | Det här felet uppstår när den primära instansen av gatewayen inte kan nås på grund av ett fel i tillståndsavsökningen. | Nej |
| PlatformInActive | Det är något problem med plattformen. | Nej |
| ServiceNotRunning | Den underliggande tjänsten körs inte. | Nej |
| NoConnectionsFoundForGateway | Det finns inga anslutningar på gatewayen. Det här felet är bara en varning. | Nej |
| AnslutningarNotConnected | Anslutningar är inte anslutna. Det här felet är bara en varning. | Ja |
| GatewayCPUUsageExceeded | Den aktuella gatewayens CPU-användning är > 95 %. | Ja |
Connection
| Feltyp | Anledning | Loggas |
|---|---|---|
| NoFault | När inget fel har identifierats | Ja |
| GatewayNotFound | Det går inte att hitta att gatewayen eller gatewayen inte har etablerats | Nej |
| PlannedMaintenance | Gatewayinstansen är under underhåll | Nej |
| UserDrivenUpdate | Det här felet inträffar när en användaruppdatering pågår. Uppdateringen kan vara en storleksändring. | Nej |
| VipUnResponsive | Det här felet uppstår när den primära instansen av gatewayen inte kan nås på grund av ett fel i tillståndsavsökningen. | Nej |
| ConnectionEntityNotFound | Anslutningskonfigurationen saknas | Nej |
| ConnectionIsMarkedDisconnected | Anslutningen har markerats som "frånkopplad" | Nej |
| ConnectionNotConfiguredOnGateway | Den underliggande tjänsten har inte konfigurerat anslutningen. | Ja |
| ConnectionMarkedStandby | Den underliggande tjänsten är markerad som vänteläge. | Ja |
| Autentisering | Matchningsfel för i förväg delad nyckel | Ja |
| PeerReachability | Peer-gatewayen kan inte nås. | Ja |
| IkePolicyMismatch | Peer-gatewayen har IKE-principer som inte stöds av Azure. | Ja |
| WfpParse-fel | Ett fel uppstod vid parsning av WFP-loggen. | Ja |
Loggfiler
Resursen som felsöker loggfiler lagras i ett lagringskonto när resursfelsökningen är klar. Följande bild visar exempelinnehållet i ett anrop som resulterade i ett fel.
Kommentar
- I vissa fall skrivs endast en delmängd av loggfilerna till lagring.
- För nyare gatewayversioner har IkeErrors.txt, Scrubbed-wfpdiag.txt och wfpdiag.txt.sum ersatts av en IkeLogs.txt fil som innehåller hela IKE-aktiviteten (inte bara fel).
Anvisningar om hur du laddar ned filer från Azure Storage-konton finns i Ladda ned en blockblob. Ett annat verktyg som kan användas är Storage Explorer. Information om Azure Storage Explorer finns i Använda Azure Storage Explorer för att ladda ned blobar
ConnectionStats.txt
Filen ConnectionStats.txt innehåller övergripande statistik för anslutningen, inklusive inkommande och utgående byte, anslutningsstatus och den tid då anslutningen upprättades.
Kommentar
Om anropet till felsöknings-API:et returnerar felfritt är det enda som returneras i zip-filen en ConnectionStats.txt fil.
Innehållet i den här filen liknar följande exempel:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
Filen CPUStats.txt innehåller processoranvändning och tillgängligt minne vid tidpunkten för testningen. Innehållet i den här filen liknar följande exempel:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
Filen IKElogs.txt innehåller alla IKE-aktiviteter som hittades under övervakningen.
I följande exempel visas innehållet i en IKElogs.txt fil.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IKEErrors.txt
Filen IKEErrors.txt innehåller eventuella IKE-fel som hittades under övervakningen.
I följande exempel visas innehållet i en IKEErrors.txt fil. Dina fel kan variera beroende på problemet.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Scrubbed-wfpdiag.txt
Loggfilen Scrubbed-wfpdiag.txt innehåller wfp-loggen. Den här loggen innehåller loggning av paketfall och IKE/AuthIP-fel.
I följande exempel visas innehållet i filen Scrubbed-wfpdiag.txt. I det här exemplet var den i förväg delade nyckeln för en anslutning inte korrekt, vilket kan ses från den tredje raden längst ned. Följande exempel är bara ett kodfragment av hela loggen, eftersom loggen kan vara lång beroende på problemet.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...
wfpdiag.txt.sum
Filen wfpdiag.txt.sum är en logg som visar de buffertar och händelser som bearbetas.
Följande exempel är innehållet i en wfpdiag.txt.sum-fil.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
Att tänka på
- Endast en VPN-felsökningsåtgärd kan köras i taget per prenumeration. Om du vill köra en annan VPN-felsökningsåtgärd väntar du tills den befintliga har slutförts. Om en ny åtgärd utlöses medan en tidigare åtgärd inte slutfördes misslyckas efterföljande åtgärder.
- Om du använder Azure CLI för att köra kommandot måste VPN Gateway och lagringskontot finnas i samma resursgrupp. Kunder med resurserna i olika resursgrupper kan använda PowerShell eller Azure Portal i stället.