Risolvere i problemi relativi a una connessione VPN ibrida

Questo articolo offre alcuni suggerimenti per la risoluzione dei problemi di una connessione gateway VPN tra una rete locale e Azure. Per informazioni generali sulla risoluzione degli errori comuni correlati alla VPN, vedere Risoluzione degli errori comuni correlati alla VPN.

Verificare che l'appliance VPN funzioni correttamente

I consigli seguenti sono utili per determinare se l'appliance VPN locale funziona correttamente.

Controllare eventuali file di log generati dall'appliance VPN per individuare errori o errori. Ciò consente di determinare se l'appliance VPN funziona correttamente. La posizione di queste informazioni varia in base all'appliance. Ad esempio, se si usa RRAS in Windows Server, è possibile usare il comando di PowerShell seguente per visualizzare le informazioni sugli eventi di errore per il servizio RRAS:

Get-EventLog -LogName System -EntryType Error -Source RemoteAccess | Format-List -Property *

La proprietà Message di ogni voce fornisce una descrizione dell'errore. Alcuni esempi comuni sono:

• Impossibilità di connettersi, probabilmente a causa di un indirizzo IP non corretto specificato per il gateway VPN di Azure nella configurazione dell'interfaccia di rete VPN RRAS.

  EventID            : 20111
  MachineName        : on-premises-vm
  Data               : {41, 3, 0, 0}
  Index              : 14231
  Category           : (0)
  CategoryNumber     : 0
  EntryType          : Error
  Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                          interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                          successfully because of the following error: The network connection between your computer and
                          the VPN server could not be established because the remote server is not responding. This could
                          be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer
                          and the remote server is not configured to allow VPN connections. Please contact your
                          Administrator or your service provider to determine which device may be causing the problem.
  Source             : RemoteAccess
  ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, The network connection between
                          your computer and the VPN server could not be established because the remote server is not
                          responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on)
                          between your computer and the remote server is not configured to allow VPN connections. Please
                          contact your Administrator or your service provider to determine which device may be causing the
                          problem.}
  InstanceId         : 20111
  TimeGenerated      : 3/18/2024 1:26:02 PM
  TimeWritten        : 3/18/2024 1:26:02 PM
  UserName           :
  Site               :
  Container          :
  

• Chiave condivisa errata specificata nella configurazione dell'interfaccia di rete VPN RRAS.

  EventID            : 20111
  MachineName        : on-premises-vm
  Data               : {233, 53, 0, 0}
  Index              : 14245
  Category           : (0)
  CategoryNumber     : 0
  EntryType          : Error
  Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                          interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                          successfully because of the following error: Internet key exchange (IKE) authentication credentials are unacceptable.
  
  Source             : RemoteAccess
  ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, IKE authentication credentials are
                          unacceptable.
                          }
  InstanceId         : 20111
  TimeGenerated      : 3/18/2024 1:34:22 PM
  TimeWritten        : 3/18/2024 1:34:22 PM
  UserName           :
  Site               :
  Container          :
  

È anche possibile ottenere informazioni sul registro eventi sui tentativi di connessione tramite il servizio RRAS usando il comando di PowerShell seguente:

Get-EventLog -LogName Application -Source RasClient | Format-List -Property *

In caso di errore di connessione, questo log conterrà errori simili ai seguenti:

EventID            : 20227
MachineName        : on-premises-vm
Data               : {}
Index              : 4203
Category           : (0)
CategoryNumber     : 0
EntryType          : Error
Message            : CoId={B4000371-A67F-452F-AA4C-3125AA9CFC78}: The user SYSTEM dialed a connection named
                        AzureGateway that has failed. The error code returned on failure is 809.
Source             : RasClient
ReplacementStrings : {{B4000371-A67F-452F-AA4C-3125AA9CFC78}, SYSTEM, AzureGateway, 809}
InstanceId         : 20227
TimeGenerated      : 3/18/2024 1:29:21 PM
TimeWritten        : 3/18/2024 1:29:21 PM
UserName           :
Site               :
Container          :

Verificare la connettività

Verificare la connettività e il routing nel gateway VPN. L'appliance VPN potrebbe non instradare correttamente il traffico attraverso il gateway VPN di Azure. Usare uno strumento come PsPing per verificare la connettività e il routing attraverso il gateway VPN. Ad esempio, per testare la connettività da un computer locale a un server Web che si trova nella rete virtuale, eseguire il comando seguente (sostituendo <<web-server-address>> con l'indirizzo del server Web):

PsPing -t <<web-server-address>>:80

Se il computer locale può instradare il traffico al server Web, verrà visualizzato un output simile al seguente:

D:\PSTools> psping -t 10.20.0.5:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.0.5:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.0.5:80 (warmup): 6.21ms
Connecting to 10.20.0.5:80: 3.79ms
Connecting to 10.20.0.5:80: 3.44ms
Connecting to 10.20.0.5:80: 4.81ms

    Sent = 3, Received = 3, Lost = 0 (0% loss),
    Minimum = 3.44ms, Maximum = 4.81ms, Average = 4.01ms

Se il computer locale non riesce a comunicare con la destinazione specificata, verranno visualizzati messaggi simili al seguente:

D:\PSTools>psping -t 10.20.1.6:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.1.6:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.1.6:80 (warmup): This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80:
    Sent = 3, Received = 0, Lost = 3 (100% loss),
    Minimum = 0.00ms, Maximum = 0.00ms, Average = 0.00ms

Verificare che il firewall locale consenta il passaggio del traffico VPN e che le porte corrette siano aperte.

Verificare che l'appliance VPN locale usi un metodo di crittografia compatibile con il gateway VPN di Azure. Per il routing basato su criteri, il gateway VPN di Azure supporta gli algoritmi di crittografia AES256, AES128 e 3DES. I gateway basati su route supportano AES256 e 3DES. Per altre informazioni, vedere Informazioni sui dispositivi VPN e i parametri IPsec/IKE per le connessioni gateway VPN da sito a sito.

Verificare la presenza di problemi con il gateway VPN di Azure

Le raccomandazioni seguenti sono utili per determinare se si è verificato un problema con il gateway VPN di Azure:

Esaminare i log di diagnostica del gateway VPN di Azure per individuare potenziali problemi. Per altre informazioni, vedere Procedura dettagliata: Acquisizione dei log di diagnostica del gateway di rete virtuale di Azure Resource Manager.

Verificare che il gateway VPN di Azure e l'appliance VPN locale siano configurati con la stessa chiave di autenticazione condivisa. È possibile visualizzare la chiave condivisa archiviata dal gateway VPN di Azure usando il comando seguente dell'interfaccia della riga di comando di Azure:

azure network vpn-connection shared-key show <<resource-group>> <<vpn-connection-name>>

Usare il comando appropriato per l'appliance VPN locale per visualizzare la chiave condivisa configurata per tale appliance.

Verificare che la subnet GatewaySubnet che contiene il gateway VPN di Azure non sia associata a un gruppo di sicurezza di rete.

È possibile visualizzare i dettagli della subnet usando il comando dell'interfaccia della riga di comando di Azure seguente:

azure network vnet subnet show -g <<resource-group>> -e <<vnet-name>> -n GatewaySubnet

Verificare che non sia presente alcun campo dati denominato ID gruppo di sicurezza di rete. L'esempio seguente mostra i risultati di un'istanza di GatewaySubnet con un gruppo di sicurezza di rete assegnato (VPN-Gateway-Group). Ciò può impedire il corretto funzionamento del gateway se sono presenti regole definite per questo gruppo di sicurezza di rete.

C:\>azure network vnet subnet show -g profx-prod-rg -e profx-vnet -n GatewaySubnet
    info:    Executing command network vnet subnet show
    + Looking up virtual network "profx-vnet"
    + Looking up the subnet "GatewaySubnet"
    data:    Id                              : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/virtualNetworks/profx-vnet/subnets/GatewaySubnet
    data:    Name                            : GatewaySubnet
    data:    Provisioning state              : Succeeded
    data:    Address prefix                  : 10.20.3.0/27
    data:    Network Security Group id       : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/networkSecurityGroups/VPN-Gateway-Group
    info:    network vnet subnet show command OK

Verificare che le macchine virtuali nella rete virtuale di Azure siano configurate per consentire il traffico proveniente dall'esterno della rete virtuale. Controllare le regole del gruppo di sicurezza di rete associate alle subnet contenenti queste macchine virtuali. È possibile visualizzare tutte le regole del gruppo di sicurezza di rete usando il comando seguente dell'interfaccia della riga di comando di Azure:

azure network nsg show -g <<resource-group>> -n <<nsg-name>>

Verificare che il gateway VPN di Azure sia connesso. È possibile usare il comando di Azure PowerShell seguente per controllare lo stato corrente della connessione VPN di Azure. Il <<connection-name>> parametro è il nome della connessione VPN di Azure che collega il gateway di rete virtuale e il gateway locale.

Get-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> - ResourceGroupName <<resource-group>>

I frammenti di codice seguenti evidenziano l'output generato se il gateway è connesso (il primo esempio) e disconnesso (il secondo esempio):

PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : Connected
EgressBytesTransferred     : 55254803
IngressBytesTransferred    : 32227221
ProvisioningState          : Succeeded
...

PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection2 -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : NotConnected
EgressBytesTransferred     : 0
IngressBytesTransferred    : 0
ProvisioningState          : Succeeded
...

Problemi vari

Le raccomandazioni seguenti sono utili per determinare se si verifica un problema con la configurazione della macchina virtuale host, l'utilizzo della larghezza di banda di rete o le prestazioni dell'applicazione:

• Verificare la configurazione del firewall. Verificare che il firewall nel sistema operativo guest in esecuzione nelle macchine virtuali di Azure nella subnet sia configurato correttamente per consentire il traffico consentito dagli intervalli IP locali.

• Verificare che il volume del traffico non sia vicino al limite della larghezza di banda disponibile per il gateway VPN di Azure. La procedura di verifica dipende dall'appliance VPN in esecuzione in locale. Ad esempio, se si usa RRAS in Windows Server, è possibile usare Performance Monitor per tenere traccia del volume di dati ricevuti e trasmessi tramite la connessione VPN. Usando l'oggetto RAS Total selezionare i contatori Byte ricevuti/sec e Byte trasmessi/sec :

  

  È consigliabile confrontare i risultati con la larghezza di banda disponibile per il gateway VPN (da 100 Mbps per lo SKU Basic a 1,25 Gbps per lo SKU VpnGw3):

  

• Verificare di aver distribuito il numero e le dimensioni corrette delle macchine virtuali per il caricamento dell'applicazione. Determinare se una delle macchine virtuali nella rete virtuale di Azure è in esecuzione lentamente. In tal caso, potrebbero essere sovraccaricati, potrebbero essere presenti troppi elementi per gestire il carico oppure i servizi di bilanciamento del carico potrebbero non essere configurati correttamente. Per determinare questo problema, acquisire e analizzare le informazioni di diagnostica. È possibile esaminare i risultati usando il portale di Azure, ma sono disponibili anche molti strumenti di terze parti che possono fornire informazioni dettagliate sui dati sulle prestazioni.

  È possibile usare La protezione DDoS di Azure per proteggersi dall'esaurimento delle risorse dannose. Protezione DDoS di Azure, in combinazione con le procedure consigliate per la progettazione di applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi meglio dagli attacchi DDoS. È consigliabile abilitare Protezione DDOS di Azure in qualsiasi rete virtuale perimetrale.

• Verificare che l'applicazione usi in modo efficiente le risorse cloud. Instrumentare il codice dell'applicazione in esecuzione in ogni macchina virtuale per determinare se le applicazioni usano al meglio le risorse. È possibile usare strumenti come Application Insights.

Passaggi successivi

Documentazione sui prodotti:

• Macchine virtuali Linux in Azure
• Che cos'è Azure PowerShell?
• Che cos'è Rete virtuale di Azure?
• Che cos'è l'interfaccia della riga di comando di Azure?
• Che cos'è un gateway VPN?
• Macchine virtuali Windows in Azure

Moduli di Microsoft Learn:

• Configurare le risorse di Azure con gli strumenti
• Configurare il gateway VPN
• Creare una macchina virtuale Linux in Azure
• Creare una macchina virtuale Windows in Azure

" output is necessary.)

• progettazione di architetture ibride
• Estendere una rete locale tramite VPN