Přidání nebo odebrání připojení typu site-to-site služby VPN Gateway

  • Článek

Tento článek vám pomůže přidat nebo odebrat připojení typu site-to-site (S2S) pro bránu VPN. Můžete také přidat připojení S2S k bráně VPN, která už má připojení S2S, připojení typu point-to-site nebo připojení typu VNet-to-VNet. Při přidávání připojení existují určitá omezení. Před zahájením konfigurace zkontrolujte část Požadavky v tomto článku.

Diagram připojení VPN Gateway typu site-to-site mezi různými místy s více lokalitami

Informace o spoluexistujících připojeních ExpressRoute nebo site-to-site

  • Pomocí kroků v tomto článku můžete přidat nové připojení VPN k již existujícímu připojení ExpressRoute nebo site-to-site, které spoluexistuje.
  • Pomocí kroků v tomto článku nemůžete nakonfigurovat nové spoluexistující připojení ExpressRoute nebo site-to-site. Pokud chcete vytvořit nové spoluexistující připojení, přečtěte si téma: Spoluexistující připojení ExpressRoute/S2S.

Požadavky

Ověřte následující položky:

  • Nefigurujete nové spoluexistující připojení ExpressRoute a VPN Gateway typu site-to-site.
  • Máte virtuální síť vytvořenou pomocí modelu nasazení Resource Manager s existujícím připojením.
  • Brána virtuální sítě pro vaši virtuální síť je RouteBased. Pokud máte bránu VPN PolicyBased, musíte bránu virtuální sítě odstranit a vytvořit novou bránu VPN jako RouteBased.
  • Žádné rozsahy adres se nepřekrývají pro žádnou z virtuálních sítí, ke kterým se tato virtuální síť připojuje.
  • Máte kompatibilní zařízení VPN a někdo, kdo ho může nakonfigurovat. Viz Informace o zařízeních VPN. Pokud nevíte, jak nakonfigurovat zařízení VPN, nebo neznáte rozsahy IP adres v konfiguraci vaší místní sítě, budete se muset spojit s někým, kdo vám s tím pomůže.
  • Pro vaše zařízení VPN máte externě přístupnou veřejnou IP adresu.

Vytvoření brány místní sítě

Vytvořte bránu místní sítě, která představuje větev nebo umístění, ke kterému se chcete připojit.

Brána místní sítě je konkrétní objekt, který představuje vaše místní umístění (lokalitu) pro účely směrování. Web pojmenujete, podle kterého ho Azure může odkazovat, a pak zadáte IP adresu místního zařízení VPN, ke kterému vytvoříte připojení. Zadáte také předpony IP adres, které se budou přes bránu VPN směrovat do zařízení VPN. Předpony adres, které zadáte, jsou předpony ve vaší místní síti. Pokud se změní vaše místní síť nebo potřebujete změnit veřejnou IP adresu pro zařízení VPN, můžete hodnoty snadno aktualizovat později.

V tomto příkladu vytvoříme bránu místní sítě pomocí následujících hodnot.

  • Název: Web1
  • Skupina prostředků: TestRG1
  • Umístění: USA – východ

  1. Na webu Azure Portal v části Hledat prostředky, služby a dokumenty (G+/) zadejte bránu místní sítě. Ve výsledcích hledání vyhledejte bránu místní sítě v Marketplacea vyberte ji, aby se otevřela stránka Vytvořit bránumístní sítě.

  2. Na stránce Vytvořit bránu místní sítě na kartě Základy zadejte hodnoty pro bránu místní sítě.

    Snímek obrazovky znázorňující vytvoření brány místní sítě s IP adresou

    • Předplatné: Zkontrolujte, že se zobrazuje správné předplatné.
    • Skupina prostředků: Vyberte skupinu prostředků, kterou chcete použít. Můžete buď vytvořit novou skupinu prostředků, nebo vybrat skupinu prostředků, kterou jste už vytvořili.
    • Oblast: Vyberte oblast, ve které se tento objekt vytvoří. Možná budete chtít vybrat stejné umístění, ve kterém se nachází vaše virtuální síť, ale nemusíte to udělat.
    • Název: Zadejte název objektu brány místní sítě.
    • Koncový bod: Jako IP adresu nebo plně kvalifikovaný název domény (plně kvalifikovaný název domény) vyberte typ koncového bodu pro místní zařízení VPN.
      • IP adresa: Pokud máte statickou veřejnou IP adresu přidělenou poskytovateli internetových služeb (ISP) pro vaše zařízení VPN, vyberte možnost IP adresy. Vyplňte IP adresu, jak je znázorněno v příkladu. Tato adresa je veřejná IP adresa zařízení VPN, ke kterému se má azure VPN Gateway připojit. Pokud teď IP adresu nemáte, můžete použít hodnoty uvedené v příkladu. Později se musíte vrátit a nahradit zástupnou IP adresu veřejnou IP adresou vašeho zařízení VPN. Jinak se Azure nemůže připojit.
      • Plně kvalifikovaný název domény: Pokud máte dynamickou veřejnou IP adresu, která se může po určité době změnit, často určená poskytovatelem internetových služeb, můžete k nasměrování na aktuální veřejnou IP adresu vašeho zařízení VPN použít konstantní název DNS s dynamickou službou DNS. Brána Azure VPN přeloží plně kvalifikovaný název domény a určí veřejnou IP adresu, ke které se má připojit.
    • Adresní prostor: Adresní prostor odkazuje na rozsahy adres pro síť, kterou tato místní síť představuje. Můžete přidat více různých rozsahů adres. Zkontrolujte, že se zadané rozsahy nepřekrývají s rozsahy jiných sítí, ke kterým se budete chtít připojit. Azure směruje rozsah adres, který zadáte, na IP adresu místního zařízení VPN. Pokud se chcete připojit ke své místní lokalitě, použijte tady vlastní hodnoty, a ne hodnoty uvedené v příkladu.

    Poznámka:

    • Azure VPN Gateway podporuje pro každý plně kvalifikovaný název domény jenom jednu adresu IPv4. Pokud se název domény přeloží na více IP adres, služba VPN Gateway použije první IP adresu vrácenou servery DNS. Pokud chcete eliminovat nejistotu, doporučujeme, aby se plně kvalifikovaný název domény vždy přeložil na jednu adresu IPv4. Protokol IPv6 se nepodporuje.
    • Služba VPN Gateway udržuje mezipaměť DNS, která se aktualizuje každých 5 minut. Brána se pokusí přeložit plně kvalifikované názvy domén pouze pro odpojené tunely. Resetováním brány se aktivuje také překlad plně kvalifikovaného názvu domény.
    • Přestože Azure VPN Gateway podporuje více připojení k různým branám místní sítě s různými plně kvalifikovanými názvy domén, všechny plně kvalifikované názvy domén se musí překládat na různé IP adresy.

  3. Na kartě Upřesnit můžete v případě potřeby nakonfigurovat nastavení protokolu BGP.

  4. Po zadání hodnot vyberte Zkontrolovat a vytvořit v dolní části stránky a ověřte stránku.

  5. Vybráním Vytvořit vytvořte objekt brány místní sítě.

Konfigurace zařízení VPN

Připojení typu Site-to-Site k místní síti vyžadují zařízení VPN. V tomto kroku nakonfigurujete zařízení VPN. Při konfiguraci zařízení VPN potřebujete následující hodnoty:

  • Sdílený klíč. Jedná se o stejný sdílený klíč, který zadáte při vytváření připojení VPN typu site-to-site. V našich ukázkách používáme základní sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.
  • Veřejná IP adresa brány virtuální sítě. Veřejnou IP adresu můžete zobrazit pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku. Pokud chcete najít veřejnou IP adresu brány VPN pomocí webu Azure Portal, přejděte do bran virtuální sítě a pak vyberte název brány.

V závislosti na zařízení VPN, které máte, si možná budete moct stáhnout konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Další informace o konfiguraci najdete na následujících odkazech:

  • Informace o kompatibilních zařízeních VPN najdete v tématu Zařízení VPN.
  • Než nakonfigurujete zařízení VPN, zkontrolujte všechny známé problémy s kompatibilitou zařízení VPN, které chcete použít.
  • Odkazy na nastavení konfigurace zařízení najdete v tématu Ověřená zařízení VPN. Při poskytování odkazů na konfigurace zařízení se snažíme maximálně vyhovět. Vždycky je nejlepší obrátit se na výrobce zařízení a vyžádat si nejnovější informace o konfiguraci. V seznamu jsou uvedeny verze, které jsme otestovali. Pokud váš operační systém není v seznamu, je stále možné, že je verze kompatibilní. Obraťte se na výrobce zařízení a ověřte, jestli je verze operačního systému pro vaše zařízení VPN kompatibilní.
  • Přehled konfigurace zařízení VPN najdete v tématu Přehled konfigurací zařízení VPN třetích stran.
  • Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.
  • Kryptografické požadavky najdete v tématu O kryptografických požadavcích a branách Azure VPN.
  • Informace o parametrech IPsec/IKE najdete v tématu O zařízeních VPN a parametrech IPsec/IKE pro připojení brány VPN typu site-to-site. Tento odkaz ukazuje informace o verzi protokolu IKE, diffie-Hellman Group, metodě ověřování, šifrovacích a hashovacích algoritmech, životnosti SA, PFS a DPD a dalších informací o parametrech, které potřebujete k dokončení konfigurace.
  • Postup konfigurace zásad IPsec/IKE najdete v tématu Konfigurace zásad IPsec/IKE pro připojení site-to-site VPN nebo VNet-to-VNet.
  • Informace o připojení několika zařízení VPN na základě zásad najdete v tématu Připojení bran VPN Azure k několika místním zařízením VPN založeným na zásadách s využitím PowerShellu.

Konfigurace připojení

Vytvořte připojení VPN typu site-to-site mezi bránou virtuální sítě a místním zařízením VPN.

Vytvořte připojení pomocí následujících hodnot:

  • Název brány místní sítě: Site1
  • název Připojení ion: VNet1toSite1
  • Sdílený klíč: V tomto příkladu použijeme abc123. Můžete ale použít cokoli, co je kompatibilní s hardwarem sítě VPN. Důležité je, že si tyto hodnoty odpovídají na obou stranách připojení.

  1. Přejděte do své virtuální sítě. Na stránce virtuální sítě na levé straně vyberte Připojení zařízení. Vyhledejte bránu VPN a vyberte ji, abyste ji otevřeli.

  2. Na stránce brány vyberte Připojení.

  3. V horní části stránky Připojení iony vyberte + Přidat a otevřete stránku Vytvořit připojení.

    Snímek obrazovky se stránkou Základy

  4. Na stránce Vytvořit připojení na kartě Základy nakonfigurujte hodnoty pro vaše připojení:

    • V části Podrobnosti o Projectu vyberte předplatné a skupinu prostředků, ve které se nacházejí vaše prostředky.

    • V části Podrobnosti o instanci nakonfigurujte následující nastavení:

      • typ Připojení: Vyberte site-to-site (IPSec).
      • Název: Zadejte název připojení.
      • Oblast: Vyberte oblast pro toto připojení.

  5. Vyberte kartu Nastavení a nakonfigurujte následující hodnoty:

    Snímek obrazovky znázorňující Nastavení stránku

    • Brána virtuální sítě: V rozevíracím seznamu vyberte bránu virtuální sítě.
    • Brána místní sítě: V rozevíracím seznamu vyberte bránu místní sítě.
    • Sdílený klíč: Hodnota musí odpovídat hodnotě, kterou používáte pro místní zařízení VPN.
    • Protokol IKE: Vyberte IKEv2.
    • Použijte privátní IP adresu Azure: Nevybírejte.
    • Povolit protokol BGP: Nevybírejte.
    • FastPath: Nevybírejte.
    • Zásady IPsec/IKE: Vyberte Výchozí.
    • Použití selektoru provozu na základě zásad: Vyberte Zakázat.
    • Časový limit DPD v sekundách: Vyberte 45.
    • režim Připojení: Vyberte výchozí. Toto nastavení slouží k určení, která brána může zahájit připojení. Další informace najdete v tématu Nastavení služby VPN Gateway – režimy Připojení ion.

  6. U přidružení pravidel překladu adres (NAT) ponechte vybranou možnost Příchozí i výchozí přenos dat jako 0.

  7. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení připojení.

  8. Výběrem Vytvořit vytvoříte propojení.

  9. Po dokončení nasazení můžete připojení zobrazit na stránce Připojení ions brány virtuální sítě. Stav se změní z Neznámý na Připojení a potom na Úspěch.

Zobrazení a ověření připojení VPN

Na webu Azure Portal můžete zobrazit stav připojení brány VPN tak, že přejdete na připojení. Následující kroky ukazují jeden ze způsobů, jak přejít k připojení a ověřit.

  1. V nabídce webu Azure Portal vyberte Všechny prostředky nebo vyhledejte a na libovolné stránce vyberte Všechny prostředky .
  2. Vyberte bránu virtuální sítě.
  3. V podokně brány virtuální sítě vyberte Připojení iony. Můžete zobrazit stav každého připojení.
  4. Vyberte název připojení, které chcete ověřit, aby se otevřela základní informace. V podokně Základy můžete zobrazit další informace o připojení. Stav Je úspěšný a Připojení po úspěšném připojení.

Odebrání propojení

  1. Na portálu přejděte na stránku Připojení iony brány VPN.
  2. Klikněte na připojení, které chcete odebrat. Tím se otevře stránka připojení.
  3. Kliknutím na odstranit připojení odeberete.

Další kroky

Další informace o konfiguracích brány VPN typu site-to-site naleznete v tématu Kurz: Konfigurace konfigurace brány VPN typu site-to-site.