IPsec VPN se nezvedá, zůstává ve stavu: Neznámý stav

VPN
1

Ahoj všichni!

Sleduji tento průvodce pro nastavení IPsec tunelu: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal

A poctu tento průvodce pro nastavení druhé strany IPsec tunelu s mým Cisco routerem: https://www.petenetlive.com/KB/Article/0001220

Ale VPN připojení prostě nechce navázat. Připojení v Azure zůstává ve stavu “Status: Neznámý” a je tak už posledních 12 hodin. Níže jsou logy z mého Cisco routeru, podle mého názoru Azure prostě neodpovídá. Zkontroloval jsem konfiguraci a IP adresy na straně Azure i Cisco a mohu se SSH připojit k mému Cisco routeru z mé virtuální mašiny uvnitř VNET v Azure.

(78.72.XX.XX je Cisco router, 40.112.XX.XX je IP adresa Azure připojená k Virtual Network Gateway)

Jun 19 13:35:10.139: IKEv2:(SESSION ID = 7,SA ID = 1): Přeposílání balíčku
Jun 19 13:35:10.139: IKEv2:(SESSION ID = 7,SA ID = 1): Odesílám balíček [To 40.112.XX.XX:500/From 78.72.XX.XX:500/VRF i0:f0]
Initiator SPI : 6CA914BB4DC5D7C6 - Responder SPI : 0000000000000000 Message id: 0
IKEv2 IKE_SA_INIT Exchange REQUEST
Payload contents:
 SA KE N VID VID VID VID NOTIFY(NAT_DETECTION_SOURCE_IP) NOTIFY(NAT_DETECTION_DESTINATION_IP)

Jun 19 13:35:10.392: IPSEC:(SESSION ID = 7) (key_engine) request timer fired: count = 4,
  (identity) local= 78.72.XX.XX:0, remote= 40.112.XX.XX:0,
    local_proxy= 0.0.0.0/0.0.0.0/256/0,
    remote_proxy= 0.0.0.0/0.0.0.0/256/0
Jun 19 13:35:10.393: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= 78.72.XX.XX:500, remote= 40.112.XX.XX:500,
    local_proxy= 0.0.0.0/0.0.0.0/256/0,
    remote_proxy= 0.0.0.0/0.0.0.0/256/0,
    protocol= ESP, transform= esp-aes 256 esp-sha-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
Jun 19 13:35:10.394: IKEv2:% Získání předem sdíleného klíče z profilu keyring AZUREKEYRING
Jun 19 13:35:10.394: IKEv2:% Porovnání peer bloku '40.112.XX.XX'
Jun 19 13:35:10.394: IKEv2:Vyhledání politiky s fvrf 0, místní adresa 78.72.XX.XX
Jun 19 13:35:10.394: IKEv2:Našel politiku 'AZUREPOLICY'
Jun 19 13:35:10.394: IKEv2:SA již v jednání, proto se znovu nevyjednává
Jun 19 13:35:15.056: IKEv2-ERROR:(SESSION ID = 7,SA ID = 1):: Maximální počet retransmisi dosáhnut
Jun 19 13:35:15.057: IKEv2:(SESSION ID = 7,SA ID = 1):Selhání výměny SA init
Jun 19 13:35:15.057: IKEv2-ERROR:(SESSION ID = 7,SA ID = 1): Počáteční výměna selhala: selhala počáteční výměna
Jun 19 13:35:15.057: IKEv2:(SESSION ID = 7,SA ID = 1): Přerušení výměny
Jun 19 13:35:15.058: IKEv2:(SESSION ID = 7,SA ID = 1):Mazání SA

Je tam něco, co jsem přehlédl a co je potřeba udělat mimo ty dva průvodce, co jsou?

Děkuji!

2

Stáhl jsi konfigurační skript pro své zařízení? Nebo jsi použil ten obecný a upravil ho pro své zařízení?

3

Právě jsem znovu nakonfiguroval svůj Cisco skrze nový konfigurační skript, stejné výsledky: Azure neodpovídá.

4
  • Jsou PSK správné?
  • Odstíny sítě na straně místního brány odpovídají správné on-prem IP?
  • Není žádná UDR (uživatelská směrování) ve GatewaySubnet?
  • Není žádný NSG přiřazený GatewaySubnet?
  • Není IP on-prem NATována?
  • Není konflikt IP adres na straně on-prem a v sítě?
  • Měli by odpovídat rozsahy adres v Azure i na VPN zařízení na místě?
  • Ověřil jste zdraví vaší VNG? (https://:8081/healthprobe)
  • Je zakázána funkce perfektní předání tajemství na místě?
5

Všechno jsem zkontroloval a je to v pořádku. Mám však jeden dotaz:

V konfiguraci na místě mám nastavenou místní IP jako místní IP, ale mám také NAT konfiguraci “outside” / “inside”, kde je stejná IP použita pro NAT. Nevidím žádné NAT překlady, když router pokouší se navázat VPN, ale může to způsobit problém?

6

telnet 40.112.XX.XX 500

Zkoušel jsem přes telnet z místa na Azure na moje IP, ale timeout.