Kurz: Vytvoření připojení VPN typu site-to-site na webu Azure Portal

V tomto kurzu pomocí webu Azure Portal vytvoříte připojení brány VPN typu site-to-site (S2S) mezi vaší místní sítí a virtuální sítí. Tuto konfiguraci můžete vytvořit také pomocí Azure PowerShellunebo Azure CLI. Tato konfigurace používá zadaný předsdílený klíč pro připojení mezi službou Azure VPN Gateway a místním zařízením VPN. Připojení typu site-to-site můžete nakonfigurovat také pomocí ověřování certifikátů.

V tomto kurzu se naučíte:

• Vytvořte virtuální síť.
• Vytvořte bránu VPN.
• Vytvořte bránu místní sítě.
• Vytvořte připojení VPN.
• Ověřte připojení.
• Připojte se k virtuálnímu počítači.

Požadavky

• Potřebujete účet Azure s aktivním předplatným. Pokud jej nemáte, můžete si jej zdarma vytvořit.

• Pokud neznáte rozsahy IP adres umístěných v konfiguraci místní sítě, musíte se s někým, kdo vám tyto podrobnosti poskytne, koordinovat. Při vytváření této konfigurace musíte zadat předpony rozsahu IP adres, které Azure směruje do vašeho místního umístění. Žádná z podsítí vaší místní sítě se nemůže překrývat s podsítěmi virtuální sítě, ke kterým se chcete připojit.

• Zařízení VPN:

  • Ujistěte se, že máte kompatibilní zařízení VPN a někdo, kdo ho může nakonfigurovat. Další informace o kompatibilních zařízeních VPN a konfiguraci zařízení najdete v tématu o zařízeních VPN.
  • Ověřte, že máte veřejnou IPv4 adresu pro vaše zařízení VPN.
  • Ověřte, že vaše zařízení VPN podporuje brány v aktivně-aktivním režimu. Tento článek vytváří bránu VPN v režimu active-active, která se doporučuje pro připojení s vysokou dostupností. Režim aktivní-aktivní určuje, že obě instance virtuálních počítačů brány jsou aktivní a každá z nich využívá jednu ze dvou veřejných IP adres. Zařízení VPN nakonfigurujete tak, aby se připojilo k IP adrese pro každou instanci virtuálního počítače brány. Pokud vaše zařízení VPN tento režim nepodporuje, nepovolujte tento režim pro bránu. Pro další informace si přečtěte Jak navrhnout vysoce dostupné připojení pro mezilokální a VNet-to-VNet připojení a Informace o VPN bránách v režimu aktivní-aktivní.

Vytvoření virtuální sítě

V této části vytvoříte virtuální síť pomocí následujících hodnot:

• Skupina zdrojů: TestRG1
• Název: VNet1
• Oblast: USA – východ
• Adresní prostor IPv4: 10.1.0.0/16
• Název podsítě: FrontEnd
• Adresní prostor podsítě:

Poznámka:

Pokud používáte virtuální síť jako součást architektury mezi místy, nezapomeňte koordinovat se správcem místní sítě, abyste vyhradili rozsah IP adres, který můžete použít speciálně pro tuto virtuální síť. Pokud je na obou stranách připojení VPN duplicitní rozsah adres, provoz se bude směrovat neočekávaným způsobem. Navíc pokud chcete tuto virtuální síť připojit k jiné virtuální síti, adresní prostor se nemůže překrývat s druhou virtuální sítí. Odpovídajícím způsobem naplánujte konfiguraci sítě.

1. Přihlaste se k portálu Azure.

2. Do části Hledat prostředky, služby a dokumenty (G+/) v horní části stránky portálu zadejte virtuální síť. Vyberte Virtuální síť z výsledků hledání na Marketplace a otevřete stránku Virtuální síť.

3. Na stránce Virtuální síť vyberte Vytvořit a otevřete stránku Vytvořit virtuální síť.

4. Na kartě Základy nakonfigurujte nastavení virtuální sítě pro podrobnosti projektu a podrobnosti instance. Po ověření hodnot, které zadáte, se zobrazí zelená značka zaškrtnutí. Hodnoty zobrazené v příkladu můžete upravit podle požadovaných nastavení.

   

   • Předplatné: Zkontrolujte, jestli je uvedeno správné předplatné. Předplatná můžete změnit pomocí rozevíracího seznamu.
   • Skupina prostředků: Vyberte existující skupinu prostředků nebo vyberte Vytvořit novou a vytvořte novou. Další informace o skupinách prostředků najdete v tématu Přehled Azure Resource Manageru.
   • Název: Zadejte název své virtuální sítě.
   • Oblast: Vyberte umístění pro vaši virtuální síť. Umístění určuje, kde se budou nacházet prostředky, které do této virtuální sítě nasadíte.

5. Výběrem možnosti Další nebo Zabezpečení přejděte na kartu Zabezpečení. Pro toto cvičení ponechte výchozí hodnoty pro všechny služby na této stránce.

6. Vyberte IP adresy , abyste přešli na kartu IP adresy . Na kartě IP adresy nakonfigurujte nastavení.

   • Adresní prostor IPv4: Ve výchozím nastavení se automaticky vytvoří adresní prostor. Můžete vybrat adresní prostor a upravit ho tak, aby odrážel vaše vlastní hodnoty. Můžete také přidat jiný adresní prostor a odebrat výchozí vytvořený automaticky. Můžete například zadat počáteční adresu jako 10.1.0.0 a zadat velikost adresního prostoru jako /16. Pak vyberte Přidat a přidejte tento adresní prostor.

   • + Přidat podsíť: Pokud použijete výchozí adresní prostor, vytvoří se výchozí podsíť automaticky. Pokud změníte adresní prostor, přidejte do daného adresního prostoru novou podsíť. Výběrem + Přidat podsíť otevřete okno Přidat podsíť . Nakonfigurujte následující nastavení a pak výběrem možnosti Přidat v dolní části stránky přidejte hodnoty.

     • Název podsítě: Můžete použít výchozí nebo zadat název. Příklad: FrontEnd.
     • Rozsah adres podsítě: Rozsah adres této podsítě. Příklady jsou 10.1.0.0 a /24.

7. Zkontrolujte stránku IP adres a odeberte všechny adresní prostory nebo podsítě, které nepotřebujete.

8. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení virtuální sítě.

9. Po ověření nastavení vyberte Vytvořit a vytvořte virtuální síť.

Po vytvoření virtuální sítě můžete volitelně nakonfigurovat službu Azure DDoS Protection. Azure DDoS Protection je jednoduché povolit v jakékoli nové nebo existující virtuální síti a nevyžaduje žádné změny aplikací ani prostředků. Další informace o službě Azure DDoS Protection najdete v tématu Co je Azure DDoS Protection?.

Vytvořte podsíť brány

Brána virtuální sítě vyžaduje konkrétní podsíť s názvem GatewaySubnet. Podsíť brány je součástí rozsahu IP adres pro vaši virtuální síť a obsahuje IP adresy, které používají prostředky a služby brány virtuální sítě.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. Potřebný počet IP adres závisí na konfiguraci brány VPN, kterou chcete vytvořit. Některé konfigurace vyžadují víc IP adres než jiné. Nejlepší je zadat /27 nebo větší (/26, /25 atd.) pro podsíť vaší brány.

1. Na stránce vaší virtuální sítě v levém podokně vyberte Podsítě a otevřete stránku Podsítě .
2. V horní části stránky vyberte + Podsíť a otevřete podokno Přidat podsíť .
3. Pro účely podsítě vyberte v rozevíracím seznamu Bránu Virtuální Sítě.
4. Název se automaticky zadá jako GatewaySubnet. V případě potřeby upravte počáteční IP adresu a velikost. Například 10.1.255.0/27.
5. Neupravujte ostatní hodnoty na stránce. Kliknutím na Přidat přidáte podsíť.

Důležité

Skupiny zabezpečení sítě (NSG) v podsíti brány nejsou podporovány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.

Vytvoření brány VPN

V tomto kroku vytvoříte bránu virtuální sítě (bránu VPN) pro virtuální síť. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány.

Vytvoření brány VPN

Vytvořte bránu virtuální sítě (bránu VPN) pomocí následujících hodnot:

• Název: VNet1GW
• Typ brány: Síť VPN
• Skladová položka: VpnGw2AZ
• Generování: generace 2
• Virtuální síť: VNet1
• Rozsah adres podsítě brány: 10.1.255.0/27
• Veřejná IP adresa: Vytvoření nové
• Název veřejné IP adresy: VNet1GWpip1
• Veřejná IP adresa SKU: Standard
• Přiřazení: Statické
• Druhý název veřejné IP adresy: VNet1GWpip2
• Povolit režim active-active: Povoleno
• Konfigurace protokolu BGP: Zakázáno

1. V části Hledat prostředky, služby a dokumenty (G+/) zadejte bránu virtuální sítě. Ve výsledcích hledání na Marketplace vyhledejte bránu virtuální sítě a vyberte ji, aby se otevřela stránka Vytvořit bránu virtuální sítě.

2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

   

   • Předplatné: V rozevíracím seznamu vyberte předplatné, které chcete použít.

   • Skupina prostředků: Tato hodnota se automaticky vyplňuje, když vyberete virtuální síť na této stránce.

   • Název: Toto je název objektu brány, který vytváříte. Liší se od podsítě brány, do které budou nasazeny prostředky brány.

   • Oblast: Vyberte oblast, ve které chcete tento prostředek vytvořit. Oblast brány musí být stejná jako virtuální síť.

   • Typ brány: Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.

   • SKU: V rozevíracím seznamu vyberte SKU brány, která podporuje funkce, které chcete použít.

     • Doporučujeme vybrat skladovou položku, která končí az, pokud je to možné. SKU AZ podporují zóny dostupnosti.
     • Skladová položka Basic není na portálu dostupná. Pokud chcete nakonfigurovat bránu skladové položky Basic, musíte použít PowerShell nebo rozhraní příkazového řádku.

   • Generování: V rozevíracím seznamu vyberte generaci 2 .

   • Virtuální síť: V rozevíracím seznamu vyberte virtuální síť, do které chcete tuto bránu přidat. Pokud nevidíte virtuální síť, kterou chcete použít, ujistěte se, že jste v předchozím nastavení vybrali správné předplatné a oblast.

   • Adresní rozsah podsítě brány nebo podsítě: Pro vytvoření brány VPN je nutná podsíť brány.

     V současné době toto pole může zobrazovat různé možnosti nastavení v závislosti na adresní prostoru virtuální sítě a na tom, jestli jste pro virtuální síť už vytvořili podsíť s názvem GatewaySubnet .

     Pokud nemáte podsíť brány a nevidíte možnost vytvořit ji na této stránce, vraťte se do své virtuální sítě a vytvořte podsíť brány. Pak se vraťte na tuto stránku a nakonfigurujte bránu VPN.

3. Zadejte hodnoty pro veřejnou IP adresu. Tato nastavení určují objekty veřejných IP adres, které budou přidružené k bráně VPN. Při vytváření brány VPN se každému objektu veřejné IP adresy přiřadí veřejná IP adresa. Jedinou dobou, kdy se přiřazená veřejná IP adresa změní, je odstranění a opětovné vytvoření brány. IP adresy se nemění při změně velikosti, resetování nebo jiných interních údržbách nebo upgradech brány VPN.

   

   • Typ veřejné IP adresy: Pokud se tato možnost zobrazí, vyberte Standardní.

   • Veřejná IP adresa: Nechte vybranou možnost 'Vytvořit novou'.

   • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.

   • SKU veřejné IP adresy: Nastavení je automaticky zvoleno na Standardní SKU.

   • Přiřazení: Přiřazení je obvykle automaticky vybráno a mělo by být statické.

   • Zóna dostupnosti: Toto nastavení je dostupné pro skladové položky brány AZ v oblastech, které podporují zóny dostupnosti. Vyberte zónově redundantní, pokud nemáte v plánu specifikovat konkrétní zónu.

   • Povolit režim aktivní-aktivní: Doporučujeme vybrat Povoleno pro využití výhod brány v režimu aktivní-aktivní. Pokud plánujete používat tuto bránu pro připojení typu site-to-site, vezměte v úvahu následující skutečnosti:

     • Ověřte návrh aktivní-aktivní, který chcete použít. Připojení k vaší místnímu zařízení VPN musejí být nakonfigurována speciálně tak, aby využívala aktivně-aktivní režim.
     • Některá zařízení VPN nepodporují režim aktivní-aktivní. Pokud si nejste jistí, obraťte se na dodavatele zařízení VPN. Pokud používáte zařízení VPN, které nepodporuje režim aktivní-aktivní, můžete pro toto nastavení vybrat Zakázáno .

   • Druhá veřejná IP adresa: Vyberte Vytvořit novou. Tato možnost je dostupná pouze v případě, že jste vybrali Povoleno pro nastavení Povolit režim aktivní-aktivní.

   • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.

   • SKU veřejné IP adresy: Nastavení je automaticky zvoleno na Standardní SKU.

   • Zóna dostupnosti: Vyberte možnost zónově redundantní, pokud nevíte, že chcete zónu specifikovat.

   • Konfigurace protokolu BGP: Vyberte Zakázáno, pokud konfigurace výslovně nevyžaduje toto nastavení. Pokud toto nastavení vyžadujete, výchozí hodnota ASN je 65515, i když tuto hodnotu můžete změnit.

   • Povolit přístup ke službě Key Vault: Pokud konfigurace výslovně nevyžaduje toto nastavení, vyberte Zakázáno.

4. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit .

5. Po úspěšném ověření vyberte Vytvořit a nasaďte bránu VPN.

Úplné vytvoření a nasazení brány může trvat 45 minut nebo déle. Stav nasazení můžete zobrazit na stránce Přehled vaší brány.

Důležité

Skupiny zabezpečení sítě (NSG) v podsíti brány nejsou podporovány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.

Zobrazení veřejné IP adresy

Pokud chcete zobrazit IP adresu přidruženou ke každé instanci virtuálního počítače brány virtuální sítě, přejděte ve portálu na svou bránu virtuální sítě.

1. Přejděte na stránku Vlastnosti virtuální sítě brány (ne na stránku Přehled). Možná budete muset rozbalit Nastavení , aby se v seznamu zobrazila stránka Vlastnosti .
2. Pokud je brána v režimu aktivní-pasivní, uvidíte jenom jednu IP adresu. Pokud je vaše brána v režimu aktivní-aktivní, zobrazí se dvě veřejné IP adresy, jedna pro každou instanci virtuálního počítače brány. Při vytváření připojení typu site-to-site musíte při konfiguraci zařízení VPN zadat každou IP adresu, protože oba virtuální počítače brány jsou aktivní.
3. Chcete-li zobrazit další informace o objektu IP adresy, klikněte na přidružený odkaz IP adresy.

Vytvoření brány místní sítě

Brána místní sítě je konkrétní objekt nasazený do Azure, který představuje vaše místní umístění (lokalitu) pro účely směrování. Web pojmenujete, podle kterého ho Azure může odkazovat, a pak zadáte IP adresu místního zařízení VPN, ke kterému vytvoříte připojení. Zadáte také předpony IP adres směrované přes bránu VPN do zařízení VPN. Předpony adres, které zadáte, jsou předpony ve vaší lokální síti. Pokud se změní vaše místní síť nebo potřebujete změnit veřejnou IP adresu pro zařízení VPN, můžete hodnoty snadno aktualizovat později. Pro každé zařízení VPN, ke kterému se chcete připojit, vytvoříte samostatnou bránu místní sítě. Některé návrhy připojení s vysokou dostupností určují několik místních zařízení VPN.

Vytvořte bránu místní sítě pomocí následujících hodnot:

• Název: Site1
• Skupina prostředků: TestRG1
• Umístění: USA – východ

Aspekty konfigurace:

• Služba VPN Gateway podporuje pro každý plně kvalifikovaný název domény pouze jednu adresu IPv4. Pokud se název domény přeloží na více IP adres, služba VPN Gateway použije první IP adresu vrácenou servery DNS. Doporučujeme, aby váš FQDN byl vždy přeložen na jednu adresu IPv4, abyste eliminovali nejistotu. Protokol IPv6 se nepodporuje.
• Služba VPN Gateway udržuje mezipaměť DNS, která se aktualizuje každých 5 minut. Brána se pokusí přeložit plně kvalifikované názvy domén pouze pro odpojené tunely. Resetováním brány se aktivuje také překládání plně kvalifikovaných názvů domén.
• Ačkoli VPN Gateway podporuje více připojení k různým branám místní sítě s různými plně kvalifikovanými názvy domén, všechny plně kvalifikované názvy domén musí být přeloženy na různé IP adresy.

1. Na portálu přejděte na brány místní sítě a otevřete stránku Vytvořit bránu místní sítě.

2. Na kartě Základní informace zadejte hodnoty pro bránu místní sítě.

   

   • Předplatné: Zkontrolujte, že se zobrazuje správné předplatné.
   • Skupina prostředků: Vyberte skupinu prostředků, kterou chcete použít. Můžete buď vytvořit novou skupinu prostředků, nebo vybrat skupinu prostředků, kterou jste už vytvořili.
   • Oblast: Vyberte oblast pro tento objekt. Možná budete chtít vybrat stejné umístění, ve kterém se nachází vaše virtuální síť, ale nemusíte to udělat.
   • Název: Zadejte název objektu brány místní sítě.
   • Koncový bod: Vyberte typ koncového bodu pro místní zařízení VPN, jako je IP adresa nebo plně kvalifikovaný název domény (FQDN).
     • IP adresa: Pokud máte statickou veřejnou IP adresu přidělenou poskytovateli internetových služeb (ISP) pro vaše zařízení VPN, vyberte možnost IP adresy. Vyplňte IP adresu, jak je znázorněno v příkladu. Tato adresa je veřejná IP adresa zařízení VPN, ke kterému se má azure VPN Gateway připojit. Pokud teď IP adresu nemáte, můžete použít hodnoty uvedené v příkladu. Později se musíte vrátit a nahradit zástupnou IP adresu veřejnou IP adresou vašeho zařízení VPN. Jinak se Azure nemůže připojit.
     • Plně kvalifikovaný název domény: Pokud máte dynamickou veřejnou IP adresu, která se může po určité době změnit, kterou často určuje poskytovatel internetových služeb, můžete k nasměrování na aktuální veřejnou IP adresu vašeho zařízení VPN použít konstantní DNS název prostřednictvím dynamické DNS služby. Brána Azure VPN přeloží FQDN a určí veřejnou IP adresu pro připojení.
   • Adresní prostor: Adresní prostor odkazuje na rozsahy adres pro síť, kterou tato místní síť představuje. Můžete přidat více rozsahů adresního prostoru. Zkontrolujte, že se zadané rozsahy nepřekrývají s rozsahy jiných sítí, ke kterým se budete chtít připojit. Azure směruje rozsah adres, který zadáte, na IP adresu místního zařízení VPN. Pokud se chcete připojit ke své místní lokalitě, použijte tady vlastní hodnoty, a ne hodnoty uvedené v příkladu.

3. Na kartě Upřesnit můžete v případě potřeby nakonfigurovat nastavení protokolu BGP.

4. Po zadání hodnot vyberte Zkontrolovat a vytvořit v dolní části stránky a ověřte stránku.

5. Vybráním Vytvořit vytvořte objekt brány místní sítě.

Konfigurace zařízení VPN

Připojení typu Site-to-Site k místní síti vyžadují zařízení VPN. V tomto kroku nakonfigurujete zařízení VPN. Při konfiguraci zařízení VPN potřebujete následující hodnoty:

• Sdílený klíč: Tento sdílený klíč je stejný, který zadáte při vytváření připojení VPN typu site-to-site. V našich příkladech používáme jednoduchý sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.
• Veřejné IP adresy instancí brány virtuální sítě: Získejte IP adresu pro každou instanci virtuálního počítače. Pokud je vaše brána v režimu aktivní-aktivní, budete mít IP adresu pro každou bránu VM instance. Nezapomeňte nakonfigurovat zařízení s oběma IP adresami, jedno pro každý aktivní virtuální počítač brány. Brány v aktivním-pohotovostním režimu mají pouze jednu IP adresu.

Poznámka:

U připojení typu site-to-site (S2S) s VPN bránou v režimu aktivní-aktivní se ujistěte, že jsou tunely navázány na každou instanci VM brány. Pokud navážete tunel pouze na jednu instanci brány VM, připojení bude během údržby přerušeno. Pokud vaše zařízení VPN toto nastavení nepodporuje, nakonfigurujte bránu pro režim aktivního pohotovostního režimu.

V závislosti na zařízení VPN, které máte, si možná budete moct stáhnout konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Další informace o konfiguraci najdete na následujících odkazech:

• Informace o kompatibilních zařízeních VPN najdete v tématu Zařízení VPN.
• Odkazy na nastavení konfigurace zařízení najdete v tématu Ověřená zařízení VPN. Odkazy na konfiguraci zařízení jsou poskytovány podle našich nejlepších možností. Vždycky je nejlepší obrátit se na výrobce zařízení a vyžádat si nejnovější informace o konfiguraci. V seznamu jsou uvedeny verze, které jsme otestovali. Pokud váš operační systém není v seznamu, je stále možné, že je verze kompatibilní. Obraťte se na výrobce zařízení a ověřte, jestli je verze operačního systému pro vaše zařízení VPN kompatibilní.
• Přehled konfigurace zařízení VPN najdete v tématu Přehled konfigurací zařízení VPN třetích stran.
• Informace o úpravách ukázek konfigurace zařízení najdete v části Úpravy ukázek.
• Kryptografické požadavky najdete v tématu O kryptografických požadavcích a branách Azure VPN.
• Informace o parametrech IPsec/IKE najdete v tématu O zařízeních VPN a parametrech IPsec/IKE pro připojení brány VPN typu site-to-site. Tento odkaz ukazuje informace o verzi protokolu IKE, diffie-Hellman Group, metodě ověřování, šifrovacích a hashovacích algoritmech, životnosti SA, PFS a DPD a dalších informací o parametrech, které potřebujete k dokončení konfigurace.
• Postup konfigurace zásad IPsec/IKE najdete v tématu Konfigurace zásad IPsec/IKE pro připojení site-to-site VPN nebo VNet-to-VNet.
• Informace o připojení několika zařízení VPN na základě zásad najdete v tématu Připojení bran VPN Azure k několika místním zařízením VPN založeným na zásadách s využitím PowerShellu.

Vytvoření připojení VPN

Vytvořte připojení VPN typu site-to-site mezi bránou virtuální sítě a místním zařízením VPN. Pokud používáte bránu v režimu aktivní-aktivní (doporučeno), každá virtuální instance počítače brány má samostatnou IP adresu. Pokud chcete správně nakonfigurovat připojení s vysokou dostupností, musíte vytvořit tunel mezi jednotlivými instancemi virtuálních počítačů a zařízením VPN. Oba tunely jsou součástí stejného připojení.

Vytvořte připojení pomocí následujících hodnot:

• Název brány místní sítě: Site1
• Název připojení: VNet1toSite1
• Sdílený klíč: V tomto příkladu použijete abc123. Můžete ale použít cokoli, co je kompatibilní s hardwarem VPN. Důležité je, že si tyto hodnoty odpovídají na obou stranách připojení.

1. Na portálu přejděte do brány virtuální sítě a otevřete ji.

2. Na stránce brány vyberte Připojení.

3. V horní části stránky Připojení vyberte + Přidat a otevřete stránku Vytvořit připojení .

   

4. Na stránce Vytvořit připojení na kartě Základy nakonfigurujte hodnoty pro vaše připojení:

   • V části Podrobnosti o Projectu vyberte předplatné a skupinu prostředků, ve které se nacházejí vaše prostředky.

   • V části Podrobnosti o instanci nakonfigurujte následující nastavení:

     • Typ připojení: Vyberte Protokol IPSec (Site-to-Site).
     • Název: Zadejte název připojení.
     • Oblast: Vyberte oblast pro toto připojení.

5. Vyberte kartu Nastavení a nakonfigurujte následující hodnoty:

   

   • Brána virtuální sítě: V rozevíracím seznamu vyberte bránu virtuální sítě.
   • Brána místní sítě: V rozevíracím seznamu vyberte bránu místní sítě.
   • Sdílený klíč: Hodnota musí odpovídat hodnotě, kterou používáte pro místní zařízení VPN. Pokud se toto pole na stránce portálu nezobrazí nebo chcete tento klíč později aktualizovat, můžete to udělat po vytvoření objektu připojení. Přejděte k objektu připojení, který jste vytvořili (příklad názvu: VNet1toSite1) a aktualizujte klíč na stránce Ověřování .
   • Protokol IKE: Vyberte IKEv2.
   • Použijte privátní IP adresu Azure: Nevybírejte.
   • Povolit protokol BGP: Nezvolte.
   • FastPath: Neselektujte.
   • Zásady IPsec/IKE: Vyberte výchozí.
   • Použijte selektor provozu založený na zásadách: Vyberte Zakázat.
   • Časový limit DPD v sekundách: Vyberte 45.
   • Režim připojení: Vyberte výchozí. Toto nastavení slouží k určení, která brána může zahájit připojení. Další informace najdete v tématu Nastavení služby VPN Gateway – Režimy připojení.

6. U Asociací NAT pravidel ponechte obě možnosti Příchozí a Výchozí jako 0 vybráno.

7. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení připojení.

8. Výběrem Vytvořit vytvoříte propojení.

9. Po dokončení nasazení můžete připojení zobrazit na stránce Připojení brány virtuální sítě. Stav se změní z Neznámý na Připojení a potom na Úspěch.

Konfigurace dalších nastavení připojení (volitelné)

V případě potřeby můžete pro připojení nakonfigurovat další nastavení. V opačném případě tento oddíl přeskočte a ponechte výchozí hodnoty. Další informace najdete v tématu Konfigurace vlastních zásad připojení IPsec/IKE.

1. Přejděte na bránu virtuální sítě a výběrem možnosti Připojení otevřete stránku Připojení .

2. Vyberte název připojení, které chcete nakonfigurovat, aby se otevřela stránka Připojení .

3. Na levé straně stránky Připojení vyberte Konfigurace a otevřete stránku Konfigurace . Proveďte potřebné změny a pak vyberte Uložit.

   Na následujících snímcích obrazovky jsou nastavení povolená, abyste viděli nastavení konfigurace, která jsou k dispozici na portálu. Výběrem snímku obrazovky zobrazíte rozbalené zobrazení. Při konfiguraci připojení nastavujte pouze potřebná nastavení. V opačném případě ponechte výchozí nastavení na místě.

   

   

Ověření připojení VPN

Na webu Azure Portal můžete zobrazit stav připojení brány VPN tak, že přejdete na připojení. Následující kroky ukazují jeden ze způsobů, jak přejít k připojení a ověřit.

1. V nabídce webu Azure Portal vyberte Všechny prostředky nebo vyhledejte a na libovolné stránce vyberte Všechny prostředky .
2. Vyberte bránu virtuální sítě.
3. V podokně brány virtuální sítě vyberte Připojení. Můžete zobrazit stav každého připojení.
4. Vyberte název připojení, které chcete ověřit, aby se otevřela základní informace. V podokně Základy můžete zobrazit další informace o připojení. Po úspěšném připojení je stav Úspěšné a Připojeno .

Volitelné kroky

Resetujte bránu

Resetování brány Azure VPN je užitečné v případě ztráty připojení VPN mezi lokalitami na jednom nebo více tunelech site-to-site VPN. V takové situaci vaše místní zařízení VPN fungují správně, ale nejsou schopná vytvořit tunelová propojení prostřednictvím protokolu IPsec s branami Azure VPN. Pokud potřebujete resetovat bránu typu aktivní-aktivní, můžete obě instance resetovat pomocí portálu. Pomocí PowerShellu nebo rozhraní příkazového řádku můžete samostatně resetovat každou instanci brány pomocí VIP adres instancí. Další informace najdete v tématu Resetování připojení nebo brány.

1. Na portálu přejděte na bránu virtuální sítě, kterou chcete resetovat.
2. Na stránce brány virtuální sítě se v levém podokně posuňte a vyhledejte nápovědu –> Resetovat.
3. Na stránce Obnovit vyberte Obnovit. Po vydání příkazu se aktuální aktivní instance služby Azure VPN Gateway okamžitě restartuje. Resetování brány způsobí mezeru v připojení VPN a může omezit budoucí analýzu původní příčiny problému.

Přidání dalšího připojení

Brána může mít více připojení. Pokud chcete nakonfigurovat připojení k více místním lokalitám ze stejné brány VPN, adresní prostory se mezi žádným z těchto připojení nemůžou překrývat.

1. Pokud se připojujete pomocí sítě VPN typu site-to-site a nemáte bránu místní sítě pro lokalitu, ke které se chcete připojit, vytvořte další bránu místní sítě a zadejte podrobnosti o lokalitě. Další informace najdete v tématu Vytvoření brány místní sítě.
2. Pokud chcete přidat připojení, přejděte do brány VPN a pak výběrem možnosti Připojení otevřete stránku Připojení .
3. Pokud chcete přidat připojení, vyberte + Přidat . Upravte typ připojení tak, aby odrážel buď připojení typu VNet-to-VNet (pokud se připojujete k jiné bráně virtuální sítě), nebo site-to-site.
4. Zadejte sdílený klíč, který chcete použít, a pak výběrem ok vytvořte připojení.

Aktualizace sdíleného klíče připojení

Pro připojení můžete zadat jiný sdílený klíč.

1. V portálu přejděte na připojení.
2. Změňte sdílený klíč na stránce Ověřování .
3. Uložte provedené změny.
4. Podle potřeby aktualizujte zařízení VPN novým sdíleným klíčem.

Změna velikosti nebo typu SKU brány

Můžete změnit velikost skladové položky brány nebo můžete změnit skladovou položku brány. Existují konkrétní pravidla týkající se toho, která možnost je dostupná, v závislosti na SKU, kterou vaše brána aktuálně používá. Další informace najdete v tématu Změna velikosti nebo změny skladových položek brány.

Další aspekty konfigurace

Konfigurace typu site-to-site můžete přizpůsobit různými způsoby. Další informace najdete v následujících článcích:

• Informace o protokolu BGP najdete v přehledu protokolu BGP a postupu konfigurace protokolu BGP.
• Informace o vynuceném tunelování najdete v tématu Informace o vynuceném tunelování.
• Informace o připojeních typu aktivní-aktivní s vysokou dostupností najdete v tématu Připojení s vysokou dostupností mezi lokalitami a připojení typu VNet-to-VNet.
• Informace o tom, jak omezit síťový provoz na prostředky ve virtuální síti, najdete v tématu Zabezpečení sítě.
• Informace o tom, jak Azure směruje provoz mezi Azure, místním prostředím a internetovými prostředky, najdete v tématu Směrování provozu virtuální sítě.

Vyčištění prostředků

Pokud nebudete tuto aplikaci dál používat nebo přejdete k dalšímu kurzu, odstraňte tyto prostředky.

1. Do vyhledávacího pole v horní části portálu zadejte název vaší skupiny prostředků a vyberte ji z výsledků hledání.
2. Vyberte Odstranit skupinu prostředků.
3. Zadejte svůj název skupiny prostředků pro NAPIŠTE NÁZEV SKUPINY PROSTŘEDKŮ a vyberte Odstranit.

Další kroky

Po konfiguraci připojení typu site-to-site můžete ke stejné bráně přidat připojení typu point-to-site.

Připojení VPN typu Point-to-Site