azure site-to-site-vpn不允许流量通过

时间:2016-10-19 14:18:39

标签: azure vpn azure-vpn

我正在尝试使用azure-virtual-network和azure-virtual-machine将本地到站点的vpn设置为本地网络和本地计算机。

VPN-Gateway已设法建立与VPN-Device的连接,但不允许流量在网络之间传输。可能是由某个配置错误引起的。

我可以使用哪些工具来指出问题?

我尝试过下载AzureVNetGatewayDiagnostics,但我没有看到任何问题。还有什么我可以尝试的吗?

2 个答案:

答案 0 :(得分:1)

在设置S2S VPN时,您是否按照此处的说明进行了https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-create-site-to-site-rm-powershell/

在Azure门户中打开连接时,是否注册了任何流量?应该读取通过连接发送和接收的数据量。状态还应该是"已连接"。有问题的连接是在step 8中创建的连接。

此外,在"本地网络网关"在Azure门户中,是否为您的内部部署网络定义了正确的子网?即在配置部分,在门户网站中,网关应该读取类似于192.168.0.0/24的内容。这是在step 3

中创建的

注意:如果在Azure中创建网关后更改这些设置,则必须重新创建连接对象。请参阅" To modify IP address prefixes for a local network gateway"部分了解更多信息。

以同样的方式,检查是否还在本地设备中定义了远程子网。如果您使用的子网是您尝试连接的远程子网,则应该读取10.0.0.0/16之类的内容。

如果一切正常,那么还要检查您的本地防火墙是否配置为通过正确的界面路由流量。

最后尝试运行,例如tracert <remote vm ip>并查看它返回的内容。如果一切都很好,它应该看起来像

C:\>tracert 10.0.1.15

Tracing route to 10.0.1.15 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.0.1
  2     *        *        *     Request timed out.
  3    47 ms    48 ms    51 ms  10.0.1.15

Trace complete.

如果从远程VM对本地IP运行相同的操作,它应返回类似的结果。

答案 1 :(得分:0)

最后设法让VPN工作。我发布了这里的问题。

tracert 192.168.36.16
Tracing route to 192.168.36.16 over a maximum of 30 hops
1    <1 ms    <1 ms     1 ms  10.2.0.36
2     *        *        * Request timed out.
3    44 ms    44 ms    45 ms  192.168.36.16
Trace complete.

我遇到了以下问题:

事实证明,您确实可以从AzureVNetGatewayDiagnostics vpnlog文件中看到错误。我根本无法理解。

vpnlog表示属性不匹配:QM-TRANSFORM-TYPE,预期:ESP-AUTH-AND-CIPHER,收到:AH,表示使用的PHASE 2加密算法应该是ESP-AUTH-AND-CIPHER。将加密设置为ESP和AUTO。

vpnlog表示ERROR ERROR_IPSEC_IKE_INVALID_PAYLOAD,表示某种错误的配置?

此外,虚拟网络不是私有的A,B,C,D类网络。相反,它始于111.x.x.x,这是一个公共网络。

我正在关注此页面上的设置,但由于vpn设备具有意外的UI字段,因此未正确捕获每个设置。 https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/