トラブルシューティング: サイト間 VPN 接続が断続的に切断される

新規または既存の Microsoft Azure サイト間 VPN 接続が不安定になったり頻繁に切断されたりする問題に遭遇することがあります。 この記事では、問題の原因の特定と解決に役立つトラブルシューティング手順について説明します。

この記事で Azure の問題に対処できない場合は、Microsoft Q&A と Stack Overflow の Azure 関連フォーラムを参照してください。 問題をこれらのフォーラムに投稿するか、または Twitter の @AzureSupport に投稿できます。 Azure サポート要求を送信することもできます。 サポート要求を送信するには、[Azure サポート] ページで [サポートを受ける] を選択します。

トラブルシューティングの手順

事前に必要な手順

Azure 仮想ネットワーク ゲートウェイの種類を確認します。

  1. Azure ポータルに移動します。

  2. 仮想ネットワーク ゲートウェイの [概要] ページで、その種類の情報を確認します。

    ゲートウェイの概要

手順 1: オンプレミス VPN デバイスが検証済みであるかどうかを確認する

  1. 使っている VPN デバイスとオペレーティング システム バージョンが検証済みであるかどうかを確認します。 検証済みの VPN デバイスではない場合、互換性の問題があるかどうかをデバイスの製造元に問い合わせてください。
  2. VPN デバイスが正しく構成されていることを確認します。 詳細については、「デバイス構成のサンプルの編集」を参照してください。

手順 2: セキュリティ アソシエーションの設定を確認する (ポリシー ベースの Azure 仮想ネットワーク ゲートウェイの場合)

  1. Microsoft Azure の [ローカル ネットワーク ゲートウェイ] の定義における仮想ネットワーク、サブネット、範囲が、オンプレミス VPN デバイス上の構成と同じであることを確認します。
  2. セキュリティ アソシエーションの設定が一致していることを確認します。

手順 3: ユーザー定義ルートまたはネットワーク セキュリティ グループがゲートウェイ サブネットに存在するかどうかを確認する

ゲートウェイ サブネット上のユーザー定義ルートによって、制限されるトラフィックと許可されるトラフィックが生じることがあります。 その場合、一部のトラフィックについてだけ VPN 接続が不安定で、他のトラフィックについては接続状態が良好であるように見えます。

手順 4: [one VPN Tunnel per Subnet Pair] (サブネット ペアごとに 1 つの VPN トンネル) の設定を確認する (ポリシー ベースの仮想ネットワーク ゲートウェイの場合)

ポリシー ベースの仮想ネットワーク ゲートウェイの場合、オンプレミス VPN デバイスが、サブネット ペアごとに 1 つの VPN トンネルを割り当てる設定になっていることを確認します。

手順 5: セキュリティ アソシエーションの制限事項を確認する

仮想ネットワーク ゲートウェイには、サブネットのセキュリティ アソシエーション ペア数に上限 (200 個) があります。 Azure Virtual Network サブネット数にローカル サブネット数を乗じた値が 200 を超えると、散発的にサブネットが切断されることがあります。

手順 6: オンプレミス VPN デバイスの外部インターフェイスのアドレスを確認する

VPN デバイスのインターネット接続 IP アドレスが Azure の [ローカル ネットワーク ゲートウェイ] のアドレス空間の定義に含まれていると、散発的に接続が途切れることがあります。

手順 7: オンプレミス VPN デバイスで Perfect Forward Secrecy が有効になっているかどうかを確認する

接続切断の問題は、Perfect Forward Secrecy 機能によって引き起こされる可能性があります。 VPN デバイスで Perfect Forward Secrecy が有効になっている場合は、その機能を無効にしてください。 そのうえで、仮想ネットワーク ゲートウェイの IPsec ポリシーを更新します。

次のステップ