我有一个相当棘手的情况:
我必须在Azure子网上的虚拟机和电信公司VPN网关后面的服务器之间build立VPN隧道。 我select使用Azure的内置VPNfunction,因此开始通过pipe理门户configuration站点到站点VPN连接。
我的合作伙伴确实与我分享了他们网关的公共IP,以及我将与之互动的子网上的对等方的IP。 有了这个信息,我确实设置了一个本地networking,然后在Azure上configuration我自己的VPN子网(子网和网关现在启动并运行)时,我指定了本地networking。
我的合作伙伴确实表示他们正在使用思科ASA 5520设备(尽pipeAzure的VPN设备configuration生成器不支持这些设备,但我相信它接近支持的版本 – ASA 55000系列)。 然后我获得了由Azure生成的VPN设备configuration,并与我的合作伙伴共享。 最关键的是我们必须确保我们的IPSec和IKEencryption参数匹配( esp-aes-256 esp-sha-hmac )。
但是,尽pipe我确认我的网关已经启动(使用nmap的隐形扫描,因为Ping不能在Azure上工作),并且certificate合作伙伴的网关IP也已经启动,但是我不知道为什么我的VPN不是向上!
还有什么我需要交叉检查? 我应该问什么我的伴侣(谁有一个坚实的networking团队,并确信这个问题在我身边)检查?
最大的问题 :Azure的VPN端点是一个黑匣子 – 除了能够configuration和调整VPN网关,DNS和子网,其他所有重要的事情–IPSec和IKE等,都只是口授,用户无法修改这些参数。 那么,如何解决他们的VPN(Azure)问题呢?
注:我已经确保我们有相同的PSK。
您可以使用Powershell cmdlet Get-AzureVirtualNetworkGatewayDiagnostics将网关日志(显然是从azure色的一面)转储到一个azure色的存储帐户,然后从那里下载它们。 我们以前用它来解决至less基本的问题。