本文列出了可能会遇到的常见站点到站点错误代码。 此外,还介绍了这些问题的可能原因和解决方案。 如果知道错误代码,可以在此页上搜索解决方案。
连接失败。
客户的本地 VPN 设备不会响应来自 Azure VPN 网关的连接请求(IKE 协议消息)。
若要解决该问题,请执行以下步骤:
检查以确保在 Azure 中的本地网络网关资源上正确配置本地 IP 地址
检查本地 VPN 设备是否正在从 Azure VPN 网关接收 IKE 消息。
- 如果本地网关上未收到 IKE 数据包,请检查是否存在删除 IKE 数据包的本地防火墙。
- 检查本地 VPN 设备日志,以查找设备未响应来自 Azure VPN 网关的 IKE 消息的原因。
- 采取缓解措施,以确保本地设备响应 Azure VPN 网关 IKE 请求。 根据需要与设备供应商联系以获取帮助。
连接失败。
预共享密钥不匹配。
检查以确保在 Azure 连接资源上配置的预共享密钥与在本地 VPN 设备的隧道中配置的预共享密钥匹配。
连接失败。
IKE /IPSec 策略不匹配。
对于 Azure 中连接资源上的自定义策略配置,请检查以确保在本地 VPN 设备的隧道中配置的 IKE 策略具有相同的配置。
对于默认策略配置,请检查站点到站点 VPN 和 VNet 到 VNet 的 IPsec/IKE 连接策略的配置,以确保本地 VPN 设备隧道上的配置具有匹配的配置。
连接失败。
流量选择器配置不匹配。
检查本地设备日志,以查找本地设备不接受 Azure VPN 网关建议的流量选择器配置的原因。 要解决此问题,请使用下列方法之一:
- 修复本地设备隧道上的流量选择器配置。
- 在 Azure 中的连接资源上配置基于策略的流量选择器,以保留与本地设备流量选择器相同的配置。 有关详细信息,请参阅将 VPN 网关连接到多个基于策略的本地 VPN 设备。
连接失败。
VPN 网关从本地 VPN 设备接收了不支持的 IKE 消息/协议。
确保本地设备是受支持的设备之一。 请参阅关于连接的 VPN 设备。
请联系本地设备供应商以获取帮助。
连接失败。
IKE 协议版本不匹配
确保 Azure 中的连接资源与本地 VPN 设备的隧道配置上的 IKE 协议版本(IKE v1 或 IKE v2)相同。
连接失败。
Diffie-Hellman 计算失败。
- 对于 Azure 中连接资源的自定义策略配置,请检查以确保在本地 VPN 设备的隧道上配置的 DH 组具有相同的配置。
- 对于默认的 DH 组配置,请检查 S2S VPN 和 VNet 到 VNet 的 IPsec/IKE 连接策略的配置,以确保本地 VPN 设备的隧道上的配置具有匹配的配置。
- 如果此操作无法解决问题,请与 VPN 设备供应商联系以开展进一步调查。
连接失败。
Azure 连接资源配置为仅限发起者模式,并且可能不会接受来自本地设备的任何连接请求。
将 Azure 中连接资源上的连接模式属性更新为“默认”或“仅限响应方”。 有关详细信息,请参阅“连接模式”设置。
有关 VPN 网关故障排除的详细信息,请参阅排查站点到站点连接问题。