Kurz: Vytvoření připojení VPN typu site-to-site na webu Azure Portal

V tomto kurzu pomocí webu Azure Portal vytvoříte připojení brány VPN typu site-to-site (S2S) mezi vaší místní sítí a virtuální sítí. Tuto konfiguraci můžete vytvořit také pomocí Azure PowerShellu nebo Azure CLI.

V tomto kurzu se naučíte:

• Vytvořte virtuální síť.
• Vytvořte bránu VPN.
• Vytvořte bránu místní sítě.
• Vytvořte připojení VPN.
• Ověřte připojení.
• Připojte se k virtuálnímu počítači.

Požadavky

• Potřebujete účet Azure s aktivním předplatným. Pokud jej nemáte, můžete si jej zdarma vytvořit.

• Pokud neznáte rozsahy IP adres umístěných v konfiguraci místní sítě, musíte se s někým, kdo vám tyto podrobnosti poskytne, koordinovat. Při vytváření této konfigurace musíte zadat předpony rozsahu IP adres, které Azure směruje do vašeho místního umístění. Žádná z podsítí vaší místní sítě se nemůže překrývat s podsítěmi virtuální sítě, ke kterým se chcete připojit.

• Zařízení VPN:

  • Ujistěte se, že máte kompatibilní zařízení VPN a někdo, kdo ho může nakonfigurovat. Další informace o kompatibilních zařízeních VPN a konfiguraci zařízení najdete v tématu o zařízeních VPN.
  • Ověřte, že máte veřejnou IPv4 adresu pro vaše zařízení VPN.
  • Ověřte, že vaše zařízení VPN podporuje brány v režimu aktivní-aktivní. Tento článek vytvoří bránu VPN v režimu aktivní-aktivní, která se doporučuje pro připojení s vysokou dostupností. Režim aktivní-aktivní určuje, že obě instance virtuálních počítačů brány jsou aktivní a používají dvě veřejné IP adresy, jednu pro každou instanci virtuálního počítače brány. Zařízení VPN nakonfigurujete tak, aby se připojilo k IP adrese pro každou instanci virtuálního počítače brány. Pokud vaše zařízení VPN tento režim nepodporuje, nepovolujte tento režim pro bránu. Další informace najdete v tématu Návrh vysoce dostupného připojení pro připojení mezi místními sítěmi a připojeními typu VNet-to-VNet a Informace o branách VPN v režimu aktivní-aktivní.

Vytvoření virtuální sítě

V této části vytvoříte virtuální síť pomocí následujících hodnot:

• Skupina prostředků: TestRG1
• Název: VNet1
• Oblast: USA – východ
• Adresní prostor IPv4: 10.1.0.0/16
• Název podsítě: FrontEnd
• Adresní prostor podsítě:

Poznámka:

Pokud používáte virtuální síť jako součást architektury mezi místy, nezapomeňte koordinovat správce místní sítě a vyřešovat rozsah IP adres, který můžete použít speciálně pro tuto virtuální síť. Pokud je na obou stranách připojení VPN duplicitní rozsah adres, provoz se bude směrovat neočekávaným způsobem. Navíc pokud chcete tuto virtuální síť připojit k jiné virtuální síti, adresní prostor se nemůže překrývat s druhou virtuální sítí. Odpovídajícím způsobem naplánujte konfiguraci sítě.

1. Přihlaste se k portálu Azure.

2. Do části Hledat prostředky, služby a dokumenty (G+/) v horní části stránky portálu zadejte virtuální síť. Výběrem možnosti Virtuální síť z výsledků hledání na Marketplace otevřete stránku virtuální sítě .

3. Na stránce Virtuální síť vyberte Vytvořit a otevřete stránku Vytvořit virtuální síť.

4. Na kartě Základy nakonfigurujte nastavení virtuální sítě pro podrobnosti projektu a podrobnosti instance. Po ověření hodnot, které zadáte, se zobrazí zelená značka zaškrtnutí. Hodnoty zobrazené v příkladu můžete upravit podle požadovaných nastavení.

   

   • Předplatné: Zkontrolujte, jestli je uvedeno správné předplatné. Předplatná můžete změnit pomocí rozevíracího seznamu.
   • Skupina prostředků: Vyberte existující skupinu prostředků nebo vyberte Vytvořit novou a vytvořte novou. Další informace o skupinách prostředků najdete v tématu Přehled Azure Resource Manageru.
   • Název: Zadejte název své virtuální sítě.
   • Oblast: Vyberte umístění pro vaši virtuální síť. Umístění určuje, kde se budou nacházet prostředky, které do této virtuální sítě nasadíte.

5. Výběrem možnosti Další nebo Zabezpečení přejděte na kartu Zabezpečení. Pro toto cvičení ponechte výchozí hodnoty pro všechny služby na této stránce.

6. Vyberte IP adresy , abyste přešli na kartu IP adresy . Na kartě IP adresy nakonfigurujte nastavení.

   • Adresní prostor IPv4: Ve výchozím nastavení se automaticky vytvoří adresní prostor. Můžete vybrat adresní prostor a upravit ho tak, aby odrážel vaše vlastní hodnoty. Můžete také přidat jiný adresní prostor a odebrat výchozí vytvořený automaticky. Můžete například zadat počáteční adresu jako 10.1.0.0 a zadat velikost adresního prostoru jako /16. Pak vyberte Přidat a přidejte tento adresní prostor.

   • + Přidat podsíť: Pokud použijete výchozí adresní prostor, vytvoří se výchozí podsíť automaticky. Pokud změníte adresní prostor, přidejte do daného adresního prostoru novou podsíť. Výběrem + Přidat podsíť otevřete okno Přidat podsíť . Nakonfigurujte následující nastavení a pak výběrem možnosti Přidat v dolní části stránky přidejte hodnoty.

     • Název podsítě: Příkladem je FrontEnd.
     • Rozsah adres podsítě: Rozsah adres pro tuto podsíť. Příklady jsou 10.1.0.0 a /24.

7. Zkontrolujte stránku IP adres a odeberte všechny adresní prostory nebo podsítě, které nepotřebujete.

8. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení virtuální sítě.

9. Po ověření nastavení vyberte Vytvořit a vytvořte virtuální síť.

Po vytvoření virtuální sítě můžete volitelně nakonfigurovat službu Azure DDoS Protection. Azure DDoS Protection je jednoduché povolit v jakékoli nové nebo existující virtuální síti a nevyžaduje žádné změny aplikací ani prostředků. Další informace o službě Azure DDoS Protection najdete v tématu Co je Azure DDoS Protection?.

Vytvoření podsítě brány

Brána virtuální sítě vyžaduje konkrétní podsíť s názvem GatewaySubnet. Podsíť brány je součástí rozsahu IP adres pro vaši virtuální síť a obsahuje IP adresy, které používají prostředky a služby brány virtuální sítě.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. Potřebný počet IP adres závisí na konfiguraci brány VPN, kterou chcete vytvořit. Některé konfigurace vyžadují víc IP adres než jiné. Nejlepší je zadat /27 nebo větší (/26, /25 atd.) pro vaši podsíť brány.

1. Na stránce vaší virtuální sítě v levém podokně vyberte Podsítě a otevřete stránku Podsítě .
2. V horní části stránky výběrem podsítě + Brána otevřete podokno Přidat podsíť.
3. Název se automaticky zadá jako GatewaySubnet. V případě potřeby upravte hodnotu rozsahu IP adres. Příkladem je 10.1.255.0/27.
4. Neupravujte ostatní hodnoty na stránce. Podsíť uložíte výběrem možnosti Uložit v dolní části stránky.

Důležité

Skupiny zabezpečení sítě (NSG) v podsíti brány se nepodporují. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v článku Co je skupina zabezpečení sítě (NSG).

Vytvoření brány VPN

V tomto kroku vytvoříte bránu virtuální sítě (bránu VPN) pro virtuální síť. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány.

Vytvoření brány VPN

Vytvořte bránu virtuální sítě (bránu VPN) pomocí následujících hodnot:

• Název: VNet1GW
• Typ brány: Síť VPN
• Skladová položka: VpnGw2AZ
• Generování: generace 2
• Virtuální síť: VNet1
• Rozsah adres podsítě brány: 10.1.255.0/27
• Veřejná IP adresa: Vytvoření nové
• Název veřejné IP adresy: VNet1GWpip1
• Skladová položka veřejné IP adresy: Standard
• Přiřazení: Statické
• Druhý název veřejné IP adresy: VNet1GWpip2
• Povolit režim aktivní-aktivní: Povoleno
• Konfigurace protokolu BGP: Zakázáno

1. V části Hledat prostředky, služby a dokumenty (G+/) zadejte bránu virtuální sítě. Ve výsledcích hledání na Marketplace vyhledejte bránu virtuální sítě a vyberte ji, aby se otevřela stránka Vytvořit bránu virtuální sítě.

2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

   

   • Předplatné: V rozevíracím seznamu vyberte předplatné, které chcete použít.

   • Skupina prostředků: Tato hodnota se automaticky vyplňuje, když vyberete virtuální síť na této stránce.

   • Název: Toto je název objektu brány, který vytváříte. Liší se od podsítě brány, do které se nasadí prostředky brány.

   • Oblast: Vyberte oblast, ve které chcete tento prostředek vytvořit. Oblast brány musí být stejná jako virtuální síť.

   • Typ brány: Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.

   • Skladová položka: V rozevíracím seznamu vyberte skladovou položku brány, která podporuje funkce, které chcete použít. Další informace o cenových úrovních najdete v tématu Skladové položky brány. Pokud chcete místo toho nakonfigurovat bránu skladové položky Basic, prohlédni si postup PowerShellu.

   • Generování: V rozevíracím seznamu vyberte generaci 2 .

   • Virtuální síť: V rozevíracím seznamu vyberte virtuální síť, do které chcete tuto bránu přidat. Pokud nevidíte virtuální síť, kterou chcete použít, ujistěte se, že jste v předchozím nastavení vybrali správné předplatné a oblast.

   • Rozsah adres podsítě brány nebo podsíť: Podsíť brány se vyžaduje k vytvoření brány VPN.

     V současné době toto pole může zobrazovat různé možnosti nastavení v závislosti na adresní prostoru virtuální sítě a na tom, jestli jste pro virtuální síť už vytvořili podsíť s názvem GatewaySubnet .

     Pokud nemáte podsíť brány a nevidíte možnost vytvořit ji na této stránce, vraťte se do své virtuální sítě a vytvořte podsíť brány. Pak se vraťte na tuto stránku a nakonfigurujte bránu VPN.

3. Zadejte hodnoty pro veřejnou IP adresu. Tato nastavení určují objekty veřejných IP adres, které budou přidružené k bráně VPN. Při vytváření brány VPN se každému objektu veřejné IP adresy přiřadí veřejná IP adresa. Jedinou dobou, kdy se přiřazená veřejná IP adresa změní, je odstranění a opětovné vytvoření brány. IP adresy se nemění při změně velikosti, resetování nebo jiných interních údržbách nebo upgradech brány VPN.

   

   • Typ veřejné IP adresy: Pokud se tato možnost zobrazí, vyberte Standardní.

   • Veřejná IP adresa: Ponechte vybranou možnost Vytvořit novou .

   • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.

   • Skladová položka veřejné IP adresy: Nastavení je automaticky vybráno na skladovou položku Standard.

   • Přiřazení: Přiřazení je obvykle automaticky vybráno a mělo by být statické.

   • Zóna dostupnosti: Vyberte zónově redundantní, pokud nevíte, že chcete určit zónu.

   • Povolit režim aktivní-aktivní: Vyberte Povoleno. Tím se vytvoří konfigurace brány aktivní-aktivní .

   • Druhá veřejná IP adresa: Vyberte Vytvořit novou.

   • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.

   • Skladová položka veřejné IP adresy: Nastavení je automaticky vybráno na skladovou položku Standard.

   • Zóna dostupnosti: Vyberte zónově redundantní, pokud nevíte, že chcete určit zónu.

   • Konfigurace protokolu BGP: Vyberte Zakázáno, pokud konfigurace výslovně nevyžaduje toto nastavení. Pokud toto nastavení vyžadujete, výchozí hodnota ASN je 65515, i když tuto hodnotu můžete změnit.

4. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit .

5. Po úspěšném ověření vyberte Vytvořit a nasaďte bránu VPN.

Úplné vytvoření a nasazení brány může trvat 45 minut nebo déle. Stav nasazení můžete zobrazit na stránce Přehled vaší brány.

Důležité

Skupiny zabezpečení sítě (NSG) v podsíti brány se nepodporují. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v článku Co je skupina zabezpečení sítě (NSG).

Zobrazení veřejné IP adresy

Pokud chcete zobrazit IP adresu přidruženou ke každé instanci virtuálního počítače brány virtuální sítě, přejděte na portálu na bránu virtuální sítě.

1. Přejděte na stránku Vlastností brány virtuální sítě (ne na stránce Přehled). Možná budete muset rozbalit Nastavení , aby se v seznamu zobrazila stránka Vlastnosti .
2. Pokud je brána v režimu aktivní-pasivní, uvidíte jenom jednu IP adresu. Pokud je brána v režimu aktivní-aktivní, zobrazí se v seznamu dvě veřejné IP adresy, jedna pro každou instanci virtuálního počítače brány. Při vytváření připojení typu site-to-site musíte při konfiguraci zařízení VPN zadat každou IP adresu, protože oba virtuální počítače brány jsou aktivní.
3. Chcete-li zobrazit další informace o objektu IP adresy, klikněte na přidružený odkaz IP adresy.

Vytvoření brány místní sítě

Brána místní sítě je konkrétní objekt nasazený do Azure, který představuje vaše místní umístění (lokalitu) pro účely směrování. Web pojmenujete, podle kterého ho Azure může odkazovat, a pak zadáte IP adresu místního zařízení VPN, ke kterému vytvoříte připojení. Zadáte také předpony IP adres směrované přes bránu VPN do zařízení VPN. Předpony adres, které zadáte, jsou předpony ve vaší místní síti. Pokud se změní vaše místní síť nebo potřebujete změnit veřejnou IP adresu pro zařízení VPN, můžete hodnoty snadno aktualizovat později. Pro každé zařízení VPN, ke kterému se chcete připojit, vytvoříte samostatnou bránu místní sítě. Některé návrhy připojení s vysokou dostupností určují několik místních zařízení VPN.

Vytvořte bránu místní sítě pomocí následujících hodnot:

• Název: Web1
• Skupina prostředků: TestRG1
• Umístění: USA – východ

Aspekty konfigurace:

• Služba VPN Gateway podporuje pro každý plně kvalifikovaný název domény jenom jednu adresu IPv4. Pokud se název domény přeloží na více IP adres, služba VPN Gateway použije první IP adresu vrácenou servery DNS. Pokud chcete eliminovat nejistotu, doporučujeme, aby se plně kvalifikovaný název domény vždy přeložil na jednu adresu IPv4. Protokol IPv6 se nepodporuje.
• Služba VPN Gateway udržuje mezipaměť DNS, která se aktualizuje každých 5 minut. Brána se pokusí přeložit plně kvalifikované názvy domén pouze pro odpojené tunely. Resetováním brány se aktivuje také překlad plně kvalifikovaného názvu domény.
• Přestože služba VPN Gateway podporuje více připojení k různým branám místní sítě s různými plně kvalifikovanými názvy domén, všechny plně kvalifikované názvy domén se musí překládat na různé IP adresy.

1. Na portálu přejděte na brány místní sítě a otevřete stránku Vytvořit bránu místní sítě.

2. Na kartě Základní informace zadejte hodnoty pro bránu místní sítě.

   

   • Předplatné: Zkontrolujte, že se zobrazuje správné předplatné.
   • Skupina prostředků: Vyberte skupinu prostředků, kterou chcete použít. Můžete buď vytvořit novou skupinu prostředků, nebo vybrat skupinu prostředků, kterou jste už vytvořili.
   • Oblast: Vyberte oblast pro tento objekt. Možná budete chtít vybrat stejné umístění, ve kterém se nachází vaše virtuální síť, ale nemusíte to udělat.
   • Název: Zadejte název objektu brány místní sítě.
   • Koncový bod: Jako IP adresu nebo plně kvalifikovaný název domény (plně kvalifikovaný název domény) vyberte typ koncového bodu pro místní zařízení VPN.
     • IP adresa: Pokud máte statickou veřejnou IP adresu přidělenou poskytovateli internetových služeb (ISP) pro vaše zařízení VPN, vyberte možnost IP adresy. Vyplňte IP adresu, jak je znázorněno v příkladu. Tato adresa je veřejná IP adresa zařízení VPN, ke kterému se má azure VPN Gateway připojit. Pokud teď IP adresu nemáte, můžete použít hodnoty uvedené v příkladu. Později se musíte vrátit a nahradit zástupnou IP adresu veřejnou IP adresou vašeho zařízení VPN. Jinak se Azure nemůže připojit.
     • Plně kvalifikovaný název domény: Pokud máte dynamickou veřejnou IP adresu, která se může po určité době změnit, často určená poskytovatelem internetových služeb, můžete k nasměrování na aktuální veřejnou IP adresu vašeho zařízení VPN použít konstantní název DNS s dynamickou službou DNS. Brána Azure VPN přeloží plně kvalifikovaný název domény a určí veřejnou IP adresu, ke které se má připojit.
   • Adresní prostor: Adresní prostor odkazuje na rozsahy adres pro síť, kterou tato místní síť představuje. Můžete přidat více různých rozsahů adres. Zkontrolujte, že se zadané rozsahy nepřekrývají s rozsahy jiných sítí, ke kterým se budete chtít připojit. Azure směruje rozsah adres, který zadáte, na IP adresu místního zařízení VPN. Pokud se chcete připojit ke své místní lokalitě, použijte tady vlastní hodnoty, a ne hodnoty uvedené v příkladu.

3. Na kartě Upřesnit můžete v případě potřeby nakonfigurovat nastavení protokolu BGP.

4. Po zadání hodnot vyberte Zkontrolovat a vytvořit v dolní části stránky a ověřte stránku.

5. Vybráním Vytvořit vytvořte objekt brány místní sítě.

Konfigurace zařízení VPN

Připojení typu Site-to-Site k místní síti vyžadují zařízení VPN. V tomto kroku nakonfigurujete zařízení VPN. Při konfiguraci zařízení VPN potřebujete následující hodnoty:

• Sdílený klíč: Tento sdílený klíč je stejný, který zadáte při vytváření připojení VPN typu site-to-site. V našich příkladech používáme jednoduchý sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.
• Veřejné IP adresy instancí brány virtuální sítě: Získejte IP adresu pro každou instanci virtuálního počítače. Pokud je brána v režimu aktivní-aktivní, budete mít IP adresu pro každou instanci virtuálního počítače brány. Nezapomeňte nakonfigurovat zařízení s oběma IP adresami, jedno pro každý aktivní virtuální počítač brány. Brány režimu aktivní-pohotovostní mají pouze jednu IP adresu.

Poznámka:

U připojení S2S s bránou VPN v režimu aktivní-aktivní se ujistěte, že jsou tunely navázány na každou instanci virtuálního počítače brány. Pokud navážete tunel pouze na jednu instanci virtuálního počítače brány, připojení se během údržby vypne. Pokud vaše zařízení VPN toto nastavení nepodporuje, nakonfigurujte bránu pro režim aktivního pohotovostního režimu.

V závislosti na zařízení VPN, které máte, si možná budete moct stáhnout konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Další informace o konfiguraci najdete na následujících odkazech:

• Informace o kompatibilních zařízeních VPN najdete v tématu Zařízení VPN.
• Než nakonfigurujete zařízení VPN, zkontrolujte všechny známé problémy s kompatibilitou zařízení VPN, které chcete použít.
• Odkazy na nastavení konfigurace zařízení najdete v tématu Ověřená zařízení VPN. Při poskytování odkazů na konfigurace zařízení se snažíme maximálně vyhovět. Vždycky je nejlepší obrátit se na výrobce zařízení a vyžádat si nejnovější informace o konfiguraci. V seznamu jsou uvedeny verze, které jsme otestovali. Pokud váš operační systém není v seznamu, je stále možné, že je verze kompatibilní. Obraťte se na výrobce zařízení a ověřte, jestli je verze operačního systému pro vaše zařízení VPN kompatibilní.
• Přehled konfigurace zařízení VPN najdete v tématu Přehled konfigurací zařízení VPN třetích stran.
• Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.
• Kryptografické požadavky najdete v tématu O kryptografických požadavcích a branách Azure VPN.
• Informace o parametrech IPsec/IKE najdete v tématu O zařízeních VPN a parametrech IPsec/IKE pro připojení brány VPN typu site-to-site. Tento odkaz ukazuje informace o verzi protokolu IKE, diffie-Hellman Group, metodě ověřování, šifrovacích a hashovacích algoritmech, životnosti SA, PFS a DPD a dalších informací o parametrech, které potřebujete k dokončení konfigurace.
• Postup konfigurace zásad IPsec/IKE najdete v tématu Konfigurace zásad IPsec/IKE pro připojení site-to-site VPN nebo VNet-to-VNet.
• Informace o připojení několika zařízení VPN na základě zásad najdete v tématu Připojení bran VPN Azure k několika místním zařízením VPN založeným na zásadách s využitím PowerShellu.

Vytvoření připojení VPN

Vytvořte připojení VPN typu site-to-site mezi bránou virtuální sítě a místním zařízením VPN. Pokud používáte bránu v režimu aktivní-aktivní (doporučeno), každá instance virtuálního počítače brány má samostatnou IP adresu. Pokud chcete správně nakonfigurovat připojení s vysokou dostupností, musíte vytvořit tunel mezi jednotlivými instancemi virtuálních počítačů a zařízením VPN. Oba tunely jsou součástí stejného připojení.

Vytvořte připojení pomocí následujících hodnot:

• Název brány místní sítě: Site1
• Název připojení: VNet1toSite1
• Sdílený klíč: V tomto příkladu použijete abc123. Můžete ale použít cokoli, co je kompatibilní s hardwarem VPN. Důležité je, že si tyto hodnoty odpovídají na obou stranách připojení.

1. Na portálu přejděte do brány virtuální sítě a otevřete ji.

2. Na stránce brány vyberte Připojení.

3. V horní části stránky Připojení vyberte + Přidat a otevřete stránku Vytvořit připojení .

   

4. Na stránce Vytvořit připojení na kartě Základy nakonfigurujte hodnoty pro vaše připojení:

   • V části Podrobnosti o Projectu vyberte předplatné a skupinu prostředků, ve které se nacházejí vaše prostředky.

   • V části Podrobnosti o instanci nakonfigurujte následující nastavení:

     • Typ připojení: Vyberte Protokol IPSec (Site-to-Site).
     • Název: Zadejte název připojení.
     • Oblast: Vyberte oblast pro toto připojení.

5. Vyberte kartu Nastavení a nakonfigurujte následující hodnoty:

   

   • Brána virtuální sítě: V rozevíracím seznamu vyberte bránu virtuální sítě.
   • Brána místní sítě: V rozevíracím seznamu vyberte bránu místní sítě.
   • Sdílený klíč: Hodnota musí odpovídat hodnotě, kterou používáte pro místní zařízení VPN. Pokud se toto pole na stránce portálu nezobrazí nebo chcete tento klíč později aktualizovat, můžete to udělat po vytvoření objektu připojení. Přejděte k objektu připojení, který jste vytvořili (příklad názvu: VNet1toSite1) a aktualizujte klíč na stránce Ověřování .
   • Protokol IKE: Vyberte IKEv2.
   • Použijte privátní IP adresu Azure: Nevybírejte.
   • Povolit protokol BGP: Nevybírejte.
   • FastPath: Nevybírejte.
   • Zásady IPsec/IKE: Vyberte Výchozí.
   • Použití selektoru provozu na základě zásad: Vyberte Zakázat.
   • Časový limit DPD v sekundách: Vyberte 45.
   • Režim připojení: Vyberte výchozí. Toto nastavení slouží k určení, která brána může zahájit připojení. Další informace najdete v tématu Nastavení služby VPN Gateway – Režimy připojení.

6. U přidružení pravidel překladu adres (NAT) ponechte vybranou možnost Příchozí i výchozí přenos dat jako 0.

7. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení připojení.

8. Výběrem Vytvořit vytvoříte propojení.

9. Po dokončení nasazení můžete připojení zobrazit na stránce Připojení brány virtuální sítě. Stav se změní z Neznámý na Připojení a potom na Úspěch.

Konfigurace dalších nastavení připojení (volitelné)

V případě potřeby můžete pro připojení nakonfigurovat další nastavení. V opačném případě tento oddíl přeskočte a ponechte výchozí hodnoty. Další informace najdete v tématu Konfigurace vlastních zásad připojení IPsec/IKE.

1. Přejděte na bránu virtuální sítě a výběrem možnosti Připojení otevřete stránku Připojení .

2. Vyberte název připojení, které chcete nakonfigurovat, aby se otevřela stránka Připojení .

3. Na levé straně stránky Připojení vyberte Konfigurace a otevřete stránku Konfigurace . Proveďte potřebné změny a pak vyberte Uložit.

   Na následujících snímcích obrazovky jsou nastavení povolená, abyste viděli nastavení konfigurace, která jsou k dispozici na portálu. Výběrem snímku obrazovky zobrazíte rozbalené zobrazení. Při konfiguraci připojení nakonfigurujte jenom vyžadovat nastavení. V opačném případě ponechte výchozí nastavení na místě.

   

   

Ověření připojení VPN

Na webu Azure Portal můžete zobrazit stav připojení brány VPN tak, že přejdete na připojení. Následující kroky ukazují jeden ze způsobů, jak přejít k připojení a ověřit.

1. V nabídce webu Azure Portal vyberte Všechny prostředky nebo vyhledejte a na libovolné stránce vyberte Všechny prostředky .
2. Vyberte bránu virtuální sítě.
3. V podokně brány virtuální sítě vyberte Připojení. Můžete zobrazit stav každého připojení.
4. Vyberte název připojení, které chcete ověřit, aby se otevřela základní informace. V podokně Základy můžete zobrazit další informace o připojení. Po úspěšném připojení je stav Úspěšné a Připojeno .

Připojení k virtuálnímu počítači

K virtuálnímu počítači, který je nasazený ve vaší virtuální síti, se můžete připojit vytvořením připojení ke vzdálené ploše k virtuálnímu počítači. Nejlepším způsobem, jak na začátku ověřit, že se k virtuálnímu počítači můžete připojit, je použít k připojení privátní IP adresu místo názvu počítače. Tímto způsobem testujete, jestli se můžete připojit, ne jestli je správně nakonfigurovaný překlad ip adres.

1. Vyhledejte privátní IP adresu. Privátní IP adresu virtuálního počítače najdete tak, že se podíváte na vlastnosti virtuálního počítače na webu Azure Portal nebo pomocí PowerShellu.

   • Azure Portal: Vyhledejte virtuální počítač na webu Azure Portal. Zobrazte vlastnosti virtuálního počítače. Ve výpisu uvidíte privátní IP adresu.

   • PowerShell: Pomocí příkladu můžete zobrazit seznam virtuálních počítačů a privátních IP adres z vašich skupin prostředků. Tento příklad nemusíte před použitím upravovat.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Ověřte, že jste připojení k virtuální síti.

3. Otevřete připojení ke vzdálené ploše zadáním RDP nebo Připojení ke vzdálené ploše do vyhledávacího pole na hlavním panelu. Pak vyberte Připojení ke vzdálené ploše. Připojení ke vzdálené ploše můžete otevřít také pomocí příkazu v PowerShellumstsc.

4. V připojení ke vzdálené ploše zadejte privátní IP adresu virtuálního počítače. Výběrem možnosti Zobrazit možnosti můžete upravit další nastavení a pak se připojit.

Pokud máte potíže s připojením k virtuálnímu počítači přes připojení VPN, zkontrolujte následující body:

• Ověřte, že je úspěšně navázáno připojení VPN.
• Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.
• Pokud se k virtuálnímu počítači můžete připojit pomocí privátní IP adresy, ale ne názvu počítače, ověřte, že jste správně nakonfigurovali DNS. Další informace o tom, jak funguje překlad názvů pro virtuální počítače, najdete v tématu Překlad názvů pro virtuální počítače.

Další informace o připojení ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.

Volitelné kroky

Změna velikosti skladové položky brány

Existují určitá pravidla týkající se změny velikosti a změny skladové položky brány. V této části změníte velikost skladové položky. Další informace najdete v tématu Změna velikosti nebo změny skladových položek brány.

1. Přejděte na stránku Konfigurace brány virtuální sítě.

2. Na pravé straně stránky vyberte šipku rozevíracího seznamu a zobrazte seznam dostupných skladových položek.

   Všimněte si, že seznam naplní jenom skladové položky, které můžete použít ke změně velikosti aktuální skladové položky. Pokud nevidíte skladovou položku, kterou chcete použít, místo změny velikosti, musíte přejít na novou skladovou položku.

   

3. V rozevíracím seznamu vyberte skladovou položku.

Resetování brány

Resetování brány Azure VPN je užitečné v případě ztráty připojení VPN mezi lokalitami na jednom nebo více tunelech site-to-site VPN. V takové situaci vaše místní zařízení VPN fungují správně, ale nejsou schopná vytvořit tunelová propojení prostřednictvím protokolu IPsec s branami Azure VPN. Pokud potřebujete resetovat bránu typu aktivní-aktivní, můžete obě instance resetovat pomocí portálu. Pomocí PowerShellu nebo rozhraní příkazového řádku můžete každou instanci brány resetovat samostatně pomocí virtuálních IP adres instancí. Další informace najdete v tématu Resetování připojení nebo brány.

1. Na portálu přejděte na bránu virtuální sítě, kterou chcete resetovat.
2. Na stránce brány virtuální sítě se v levém podokně posuňte a vyhledejte nápovědu –> Resetovat.
3. Na stránce Obnovit vyberte Obnovit. Po vydání příkazu se aktuální aktivní instance služby Azure VPN Gateway okamžitě restartuje. Resetování brány způsobí mezeru v připojení VPN a může omezit budoucí analýzu původní příčiny problému.

Přidání dalšího připojení

Brána může mít více připojení. Pokud chcete nakonfigurovat připojení k více místním lokalitám ze stejné brány VPN, adresní prostory se mezi žádným z těchto připojení nemůžou překrývat.

1. Pokud se připojujete pomocí sítě VPN typu site-to-site a nemáte bránu místní sítě pro lokalitu, ke které se chcete připojit, vytvořte další bránu místní sítě a zadejte podrobnosti o lokalitě. Další informace najdete v tématu Vytvoření brány místní sítě.
2. Pokud chcete přidat připojení, přejděte do brány VPN a pak výběrem možnosti Připojení otevřete stránku Připojení .
3. Pokud chcete přidat připojení, vyberte + Přidat . Upravte typ připojení tak, aby odrážel buď síť VNet-to-VNet (pokud se připojujete k jiné bráně virtuální sítě), nebo site-to-site.
4. Zadejte sdílený klíč, který chcete použít, a pak výběrem ok vytvořte připojení.

Aktualizace sdíleného klíče připojení

Pro připojení můžete zadat jiný sdílený klíč. Na portálu přejděte na připojení. Změňte sdílený klíč na stránce Ověřování .

Další aspekty konfigurace

Konfigurace typu site-to-site můžete přizpůsobit různými způsoby. Další informace najdete v následujících článcích:

• Informace o protokolu BGP najdete v přehledu protokolu BGP a postupu konfigurace protokolu BGP.
• Informace o vynuceném tunelování najdete v tématu Informace o vynuceném tunelování.
• Informace o připojeních typu aktivní-aktivní s vysokou dostupností najdete v tématu Připojení typu VNet-to-VNet mezi místními sítěmi a připojeními typu VNet-to-VNet.
• Informace o tom, jak omezit síťový provoz na prostředky ve virtuální síti, najdete v tématu Zabezpečení sítě.
• Informace o tom, jak Azure směruje provoz mezi Azure, místním prostředím a internetovými prostředky, najdete v tématu Směrování provozu virtuální sítě.

Vyčištění prostředků

Pokud nebudete tuto aplikaci dál používat nebo přejdete k dalšímu kurzu, odstraňte tyto prostředky.

1. Do vyhledávacího pole v horní části portálu zadejte název vaší skupiny prostředků a vyberte ji z výsledků hledání.
2. Vyberte Odstranit skupinu prostředků.
3. Jako název skupiny prostředků zadejte název skupiny prostředků a vyberte Odstranit.

Další kroky

Po konfiguraci připojení typu site-to-site můžete ke stejné bráně přidat připojení typu point-to-site.

Připojení VPN typu Point-to-Site