我遇到了一个相当(相对)棘手的情况:
我必须在 Azure 子网上的虚拟机与电信公司 VPN 网关后面的服务器之间建立 VPN 隧道。我选择使用 Azure 的内置 VPN 功能,因此开始通过管理门户配置站点到站点 VPN 连接。
我的合作伙伴确实与我分享了他们网关的公共 IP,以及我将与之交互的子网上的对等方的 IP。利用这些信息,我确实设置了一个本地网络,然后在 Azure 上配置自己的 VPN 子网时将其指定为要连接的网络(子网和网关现已启动并运行)。
我的合作伙伴确实表示他们使用的是 Cisco ASA 5520 设备(虽然不在 Azure 的 VPN 设备配置生成器的支持设备下拉列表中,但我相信它接近支持的版本 - ASA 55000 系列)。然后我获得了 Azure 生成的 VPN 设备配置,并将其分享给我的合作伙伴。最重要的是我们必须确保我们的 IPSec 和 IKE 加密参数匹配(esp-aes-256 esp-sha-hmac)。
但是,尽管我确认我的网关已启动(使用 nmap 的隐形扫描,因为 Ping 无法在 Azure 上工作),并证明合作伙伴的网关 IP 也已启动,但我不知道为什么 VPN 没有启动!
我还需要核对什么?我应该让我的合作伙伴(他拥有一支强大的网络团队,并且确信问题出在我这边)核对什么?
最大的问题:Azure 的 VPN 端点是一个黑匣子 - 除了能够配置和调整 VPN 网关、DNS 和子网之外,所有其他关键的东西 - IPSec 和 IKE 等都只是规定性的,而我,用户无法修改这些参数。那么,如何对 VPN 的他们那边(Azure)进行故障排除呢?
注意:我已经确保我们有相同的 PSK。
答案1
您可以使用 Powershell cmdletGet-AzureVirtualNetworkGatewayDiagnostics将网关日志(显然是从 Azure 端)转储到 Azure 存储帐户并从那里下载。我们过去曾使用它来排除至少基本问题。