Informationen zu VPN Gateway-Einstellungen
Ein VPN Gateway ist eine Art von Gateway für virtuelle Netzwerke, mit dem verschlüsselter Datenverkehr zwischen Ihrem virtuellen Netzwerk und Ihrem lokalen Standort über eine öffentliche Verbindung gesendet wird. Über ein VPN Gateway können Sie auch Datenverkehr zwischen virtuellen Netzwerken über den Azure-Backbone senden.
Für eine VPN Gateway-Verbindung müssen mehrere Ressourcen konfiguriert werden, die jeweils konfigurierbare Einstellungen enthalten. In den Abschnitten in diesem Artikel werden die Ressourcen und Einstellungen beschrieben, die sich auf ein im Resource Manager-Bereitstellungsmodell erstelltes VPN-Gateway beziehen. Beschreibungen und Topologiediagramme für jede Verbindungslösung finden Sie im Artikel Informationen zu VPN Gateway .
Die Werte in diesem Artikel gelten für VPN-Gateways (Gateways für virtuelle Netzwerke, die den Gatewaytyp „Vpn“ verwenden). Darüber hinaus behandelt dieser Artikel viele, aber nicht alle Gatewaytypen und SKUs. Informationen zu Gateways, die die folgenden Einstellungen verwenden, finden Sie in den folgenden Artikeln:
Werte, die für den Gatewaytyp „ExpressRoute“ gelten, finden Sie unter Gateways für virtuelle Netzwerke für ExpressRoute.
Informationen zu zonenredundanten Gateways finden Sie unter Informationen zu zonenredundanten Gateways für das virtuelle Netzwerk in Azure-Verfügbarkeitszonen.
Informationen zu Aktiv/Aktiv-Gateways finden Sie unter Informationen zur hochverfügbaren Konnektivität.
Informationen zu Virtual WAN finden Sie unter Was ist Azure Virtual WAN?.
Gatewaytypen
Jedes virtuelle Netzwerk kann nur über ein einziges virtuelles Netzwerkgateway jedes Typs verfügen. Achten Sie beim Erstellen eines Gateways für virtuelle Netzwerke darauf, dass der Gatewaytyp für Ihre Konfiguration korrekt ist.
Die verfügbaren Werte für -GatewayType lauten:
- VPN
- ExpressRoute
Ein VPN-Gateway erfordert den -GatewayTypeVpn.
Beispiel:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Gateway-SKUs
Beim Erstellen eines Gateways des virtuellen Netzwerks müssen Sie die gewünschte Gateway-SKU angeben. Wählen Sie die SKU aus, die Ihre Anforderungen im Bezug auf Workloadtypen, Durchsatz, Funktionen und SLAs erfüllt. Informationen zu virtuellen Netzwerkgateway-SKUs in Azure-Verfügbarkeitszonen finden Sie unter Zonenredundante Gateway-SKUs.
Gateway-SKUs nach Tunnel, Verbindung und Durchsatz
| VPN Gateway Generation |
SKU | S2S/VNet-zu-VNet Tunnel |
P2S SSTP-Verbindungen |
P2S IKEv2/OpenVPN-Verbindungen |
Aggregat aggregierten Durchsatz |
BGP | Zonenredundant |
|---|---|---|---|---|---|---|---|
| Generation 1 | Grundlegend | Maximal 10 | Maximal 128 | Nicht unterstützt | 100 MBit/s | Nicht unterstützt | Nein |
| Generation 1 | VpnGw1 | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Nein |
| Generation 1 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Nein |
| Generation 1 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Nein |
| Generation 1 | VpnGw1AZ | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Ja |
| Generation 1 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Ja |
| Generation 1 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Ja |
| Generation 2 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Nein |
| Generation 2 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Nein |
| Generation 2 | VpnGw4 | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Nein |
| Generation 2 | VpnGw5 | Maximal 100* | Maximal 128 | Maximal 10000 | 10 GBit/s | Unterstützt | Nein |
| Generation 2 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Ja |
| Generation 2 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Ja |
| Generation 2 | VpnGw4AZ | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Ja |
| Generation 2 | VpnGw5AZ | Maximal 100* | Maximal 128 | Maximal 10000 | 10 GBit/s | Unterstützt | Ja |
(*) Verwenden Sie Virtual WAN, wenn Sie mehr als 100 S2S-VPN-Tunnel benötigen.
Größenänderungen für VpnGw-SKUs sind innerhalb der gleichen Generation möglich. Dies gilt jedoch nicht für die Basic-SKU. Die Basic-SKU ist eine Legacy-SKU und unterliegt Featureeinschränkungen. Wenn Sie von der Basic-SKU zu einer anderen SKU wechseln möchten, müssen Sie das VPN-Gateway der Basic-SKU löschen und ein neues Gateway mit der gewünschten Generation und SKU-Größe erstellen (siehe Arbeiten mit Legacy-SKUs).
Die Basic-SKU kann nur mithilfe von PowerShell oder über die Azure CLI konfiguriert werden.
Diese Verbindungsgrenzwerte sind voneinander getrennt. Sie können beispielsweise 128 SSTP-Verbindungen und 250 IKEv2-Verbindungen in der SKU „VpnGw1“ nutzen.
Informationen zu den Preisen finden Sie auf der Seite Preise .
Informationen zum SLA (Vereinbarung zum Servicelevel) finden Sie auf der SLA-Seite.
Wenn Sie über viele P2S-Verbindungen verfügen, kann dies negative Auswirkungen auf Ihre S2S-Verbindungen haben. Die Benchmarkwerte für den aggregierten Durchsatz wurden anhand einer Kombination aus S2S- und P2S-Verbindungen getestet. Eine einzelne P2S- oder S2S-Verbindung kann einen deutlich niedrigeren Durchsatz aufweisen.
Beachten Sie, dass die Benchmarkwerte nicht garantiert werden können, da sie von den Internetdatenverkehr und dem Verhalten Ihrer Anwendung abhängen
Damit unsere Kunden die relative Leistung von SKUs mit unterschiedlichen Algorithmen besser nachvollziehen können, haben wir für die Leistungsermittlung von S2S-Verbindungen die öffentlich verfügbaren Tools iPerf und CTSTraffic verwendet. Die folgende Tabelle enthält die Ergebnisse von Leistungstests für VpnGw-SKUs. Wie Sie sehen, wird die beste Leistung erzielt, wenn sowohl für die IPSec-Verschlüsselung als auch für die Integrität der GCMAES256-Algorithmus verwendet wird. Bei Verwendung von AES256 für die IPSec-Verschlüsselung und SHA256 für die Integrität wurde eine durchschnittliche Leistung erzielt. Bei Verwendung von DES3 für die IPSec-Verschlüsselung und SHA256 für die Integrität wurde die geringste Leistung erzielt.
Ein VPN-Tunnel stellt eine Verbindung mit einer VPN-Gatewayinstanz her. Jeder Instanzdurchsatz wird in der obigen Durchsatztabelle erwähnt und steht aggregiert über alle Tunnel zur Verfügung, die eine Verbindung mit dieser Instanz herstellen.
Die folgende Tabelle veranschaulicht die beobachtete Bandbreite und den Durchsatz in Paketen pro Sekunde pro Tunnel für die verschiedenen Gateway-SKUs. Alle Tests wurden zwischen Gateways (Endpunkten) in Azure in verschiedenen Regionen mit 100 Verbindungen unter Standardlastbedingungen durchgeführt.
| Generation | SKU | Algorithmen used |
Durchsatz pro Tunnel |
Beobachtete Pakete pro Sekunde und Tunnel |
|---|---|---|---|---|
| Generation 1 | VpnGw1 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
650 MBit/s 500 MBit/s 130 MBit/s |
62.000 47.000 12.000 |
| Generation 1 | VpnGw2 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,2 GBit/s 650 MBit/s 140 MBit/s |
100.000 61.000 13.000 |
| Generation 1 | VpnGw3 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,25 GBit/s 700 MBit/s 140 MBit/s |
120.000 66.000 13.000 |
| Generation 1 | VpnGw1AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
650 MBit/s 500 MBit/s 130 MBit/s |
62.000 47.000 12.000 |
| Generation 1 | VpnGw2AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,2 GBit/s 650 MBit/s 140 MBit/s |
110.000 61.000 13.000 |
| Generation 1 | VpnGw3AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,25 GBit/s 700 MBit/s 140 MBit/s |
120.000 66.000 13.000 |
| Generation 2 | VpnGw2 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,25 GBit/s 550 MBit/s 130 MBit/s |
120.000 52.000 12.000 |
| Generation 2 | VpnGw3 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,5 GBit/s 700 MBit/s 140 MBit/s |
140.000 66.000 13.000 |
| Generation 2 | VpnGw4 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
2,3 GBit/s 700 MBit/s 140 MBit/s |
220.000 66.000 13.000 |
| Generation 2 | VpnGw5 | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
2,3 GBit/s 700 MBit/s 140 MBit/s |
220.000 66.000 13.000 |
| Generation 2 | VpnGw2AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,25 GBit/s 550 MBit/s 130 MBit/s |
120.000 52.000 12.000 |
| Generation 2 | VpnGw3AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
1,5 GBit/s 700 MBit/s 140 MBit/s |
140.000 66.000 13.000 |
| Generation 2 | VpnGw4AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
2,3 GBit/s 700 MBit/s 140 MBit/s |
220.000 66.000 13.000 |
| Generation 2 | VpnGw5AZ | GCMAES256 AES256 und SHA256 DES3 und SHA256 |
2,3 GBit/s 700 MBit/s 140 MBit/s |
220.000 66.000 13.000 |
Hinweis
- Informationen zur Verwendung der Legacy-Gateway-SKUs (Basic, Standard und HighPerformance) finden Sie unter Arbeiten mit SKUs für virtuelle Netzwerkgateways (Legacy-SKUs).
- Informationen zu ExpressRoute-Gateway-SKUs finden Sie unter Informationen zu Gateways für virtuelle Netzwerke für ExpressRoute.
Gateway-SKUs nach Featuregruppe
Die neuen VPN-Gateway-SKUs optimieren die für die Gateways bereitgestellten Features:
| SKU | Funktionen |
|---|---|
| Basic (\*\*) | Routenbasiertes VPN: Zehn Tunnel für S2S/Verbindungen; keine RADIUS-Authentifizierung für P2S; kein IKEv2 für P2S Richtlinienbasiertes VPN: (IKEv1): Ein S2S-/Verbindungstunnel; kein P2S |
| Alle Generation1- und Generation2-SKUs mit Ausnahme von Basic | Routenbasiertes VPN: bis zu 100 Tunnel (\*), P2S, BGP, Aktiv/Aktiv, benutzerdefinierte IPsec-/IKE-Richtlinie, Koexistenz von ExpressRoute/VPN |
(*) Sie können „PolicyBasedTrafficSelectors“ konfigurieren, um eine Verbindung zwischen einem routenbasierten VPN-Gateway und mehreren lokalen richtlinienbasierten Firewallgeräten herzustellen. Ausführliche Informationen finden Sie unter Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Herstellen einer Verbindung zwischen VPN-Gateways und mehreren lokalen richtlinienbasierten VPN-Geräten mit PowerShell).
(\*\*) Die Basic-SKU wird als Legacy-SKU betrachtet. Für die Basic-SKU gelten bestimmte Featurebeschränkungen. Die Größe eines Gateways mit einer Basic-SKU kann nicht auf eine andere SKU festgelegt werden. Stattdessen müssen Sie zu einer neuen SKU wechseln und dazu Ihr VPN-Gateway löschen und neu erstellen. Sie können keine Basic-SKU in einem VNet bereitstellen, das den IPv6-Adressraum verwendet. Die Basic-SKU kann nur mithilfe von PowerShell oder über die Azure CLI konfiguriert werden.
Gateway-SKUs: Gegenüberstellung von Produktions- und Dev-Test-Workloads
Aufgrund der Unterschiede bei SLAs und Features werden die folgenden SKUs für die Produktion bzw. für Dev-Test-Workloads empfohlen:
| Workload | SKUs |
|---|---|
| Produktion, kritische Workloads | Alle Generation1- und Generation2-SKUs mit Ausnahme von Basic |
| Dev-Test oder Proof of Concept | Basic (\*\*) |
(\*\*) Die Basic-SKU wird als Legacy-SKU betrachtet und bietet eingeschränkte Features. Vergewissern Sie sich vor der Verwendung der Basic-SKU, dass das von Ihnen benötigte Feature unterstützt wird.
Wenn Sie die alten SKUs (Legacy-SKUs) verwenden, werden für die Produktion die SKUs „Standard“ und „HighPerformance“ empfohlen. Informationen und Anweisungen für alte SKUs finden Sie unter Arbeiten mit SKUs für virtuelle Netzwerkgateways (Legacy-SKUs).
Konfigurieren einer Gateway-SKU
Azure portal
Wenn Sie das Azure-Portal verwenden, um ein Resource Manager-Gateway für virtuelle Netzwerke zu erstellen, können Sie die Gateway-SKU in der Dropdownliste auswählen. Die angegebenen Optionen entsprechen dem ausgewählten Gateway- und VPN-Typ. Informationen zu den erforderlichen Schritten finden Sie unter Erstellen und Verwalten eines VPN-Gateways.
PowerShell
Im folgenden PowerShell-Beispiel wird -GatewaySku als „VpnGw1“ angegeben. Wenn Sie PowerShell verwenden, um ein Gateway zu erstellen, müssen Sie zuerst die IP-Konfiguration erstellen und dann mittels einer Variablen darauf verweisen. In diesem Beispiel ist die Konfigurationsvariable „$gwipconfig“.
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased
Azure-Befehlszeilenschnittstelle
az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait
Ändern der Größe oder Wechseln der SKU
Wenn Sie über ein VPN-Gateway verfügen und eine andere Gateway-SKU verwenden möchten, können Sie entweder die Größe Ihrer Gateway-SKU ändern oder zu einer anderen SKU wechseln. Wenn Sie zu einer anderen Gateway-SKU wechseln, löschen Sie das vorhandene Gateway vollständig und erstellen ein neues. Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern. Wenn Sie hingegen die Größe einer Gateway-SKU ändern, gibt es nur eine geringe Ausfallzeit, da Sie das Gateway nicht löschen und neu erstellen müssen. Es ist zwar schneller, die Größe Ihrer Gateway-SKU zu ändern, aber es gibt Regeln für die Größenänderung:
- Mit Ausnahme der Basic-SKU können Sie die Größe einer VPN Gateway-SKU in die Größe einer anderen VPN Gateway-SKU innerhalb derselben Generation (Generation1 oder Generation2) und SKU-Familie (VpnGwx or VpnGwxAZ) ändern.
- Beispiel: Die VpnGw1-Größe von Generation1 kann z. B. in die VpnGw2-Größe von Generation1, kann aber nicht in die VpnGw2-Größe von Generation2 geändert werden. Das Gateway muss stattdessen geändert (gelöscht und neu erstellt) werden.
- Beispiel: Die VpnGw2-Größe von Generation2 kann nicht in die VpnGw2AZ-Größe von Generation1 oder Generation2 geändert werden, da die „AZ“-Gateways zonenredundant sind. Um zu einer AZ-SKU zu wechseln, löschen Sie das Gateway, und erstellen Sie es mithilfe der gewünschten AZ-SKU neu.
- Beim Arbeiten mit älteren Legacy-SKUs:
- Sie können die Größe zwischen Standard- und HighPerformance-SKUs ändern.
- Sie können die Größe von Basic/Standard/HighPerformance-SKUs nicht in die Größe von VpnGw-SKUs ändern. Sie müssen stattdessen zu den neuen SKUs wechseln.
So ändern Sie die Größe eines Gateways
Azure portal
Wechseln Sie zur Seite Konfiguration für Ihr virtuelles Netzwerkgateway.
Klicken Sie rechts auf der Seite auf den Dropdownpfeil, um die Liste der verfügbaren SKUs anzuzeigen.
Wählen Sie die SKU aus der Dropdownliste aus. Die Liste enthält nur SKUs, in die Sie die Größe Ihrer SKU ändern können. Wenn die SKU, die Sie verwenden möchten, nicht angezeigt wird, müssen Sie eine SKU ändern, anstatt ihre Größe zu ändern.
PowerShell
Sie können das PowerShell-Cmdlet Resize-AzVirtualNetworkGateway zum Aktualisieren oder Herabstufen einer Generation1- oder Generation2-SKU verwenden (die Größe aller VpnGw-SKUs kann mit Ausnahme von Basic-SKUs geändert werden). Verwenden Sie bei Verwendung der Basic-Gateway-SKU stattdessen diese Anweisungen, um die Größe Ihres Gateways anzupassen.
Im folgenden PowerShell-Beispiel wird das Ändern der Größe einer Gateway-SKU in „VpnGw2“ veranschaulicht.
$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2
So wechseln Sie von einer alten SKU (Legacy) zu einer neuen SKU
Wenn Sie mit dem Resource Manager-Bereitstellungsmodell arbeiten, können Sie zu den neuen Gateway-SKUs wechseln. Wenn Sie von einer älteren Gateway-SKU zu einer neuen SKU wechseln, löschen Sie das vorhandene VPN-Gateway und erstellen ein neues VPN-Gateway.
Workflow:
- Entfernen Sie alle Verbindungen mit dem Gateway des virtuellen Netzwerks.
- Löschen Sie das alte VPN Gateway.
- Erstellen Sie das neue VPN Gateway.
- Aktualisieren Sie Ihre lokalen VPN-Geräte mit der IP-Adresse des neuen VPN Gateways (für Standort-zu-Standort-Verbindungen).
- Aktualisieren Sie den Gateway-IP-Adresswert für alle lokalen VNet-zu-VNet-Netzwerkgateways, die eine Verbindung mit diesem Gateway herstellen.
- Laden Sie neue Client-VPN-Konfigurationspakete für P2S-Clients herunter, die über dieses VPN Gateway eine Verbindung mit dem virtuellen Netzwerk herstellen.
- Stellen Sie die Verbindungen mit dem Gateway des virtuellen Netzwerks erneut her.
Überlegungen:
- Für den Wechsel zu den neuen SKUs muss sich das VPN-Gateway im Resource Manager-Bereitstellungsmodell befinden.
- Wenn Sie ein klassisches VPN-Gateway haben, müssen Sie weiterhin die älteren SKUs für dieses Gateway verwenden. Sie können zwischen den Größen der älteren SKUs wechseln. Sie können nicht zu den neuen SKUs wechseln.
- Während des Wechsels von einer älteren SKU zu einer neuen SKU ist die Konnektivität unterbrochen.
- Wenn Sie zu einer neuen Gateway-SKU wechseln, ändert sich die öffentliche IP-Adresse für Ihr VPN-Gateway. Dies geschieht auch, wenn Sie das gleiche öffentliche IP-Adressobjekt angeben, das Sie bisher verwendet haben.
Verbindungstypen
Im Resource Manager-Bereitstellungsmodell ist für jede Konfiguration ein bestimmter Typ der Verbindung mit dem Gateway eines virtuellen Netzwerks erforderlich. Die verfügbaren Resource Manager-PowerShell-Werte für -ConnectionType sind:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
Im folgenden PowerShell-Beispiel erstellen wir eine S2S-Verbindung, die den Verbindungstyp IPsecerfordert.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Verbindungsmodi
Die Eigenschaft „Verbindungsmodus“ gilt nur für routenbasierte VPN-Gateways, die IKEv2-Verbindungen verwenden. Verbindungsmodi definieren die Richtung der Verbindungsinitiierung und gelten nur für die anfängliche Herstellung der IKE-Verbindung. Jede Partei kann Neuschlüssel und weitere Nachrichten initiieren. InitiatorOnly bedeutet, dass die Verbindung von Azure initiiert werden muss. ResponderOnly bedeutet, dass die Verbindung vom lokalen Gerät initiiert werden muss. Das Standardverhalten ist Akzeptieren und Wählen, unabhängig davon, welche Partei zuerst eine Verbindung herstellt.
VPN-Typen
Wenn Sie das Gateway des virtuellen Netzwerks für eine VPN-Gatewaykonfiguration erstellen, müssen Sie einen VPN-Typ angeben. Der ausgewählte VPN-Typ hängt von der Verbindungstopologie ab, die Sie erstellen möchten. Beispielsweise erfordert eine P2S-Verbindung den VPN-Typ „RouteBased“. Der VPN-Typ kann zudem von der verwendeten Hardware abhängen. S2S-Konfigurationen erfordern ein VPN-Gerät. Einige VPN-Geräte unterstützen nur einen bestimmten VPN-Typ.
Der ausgewählte VPN-Typ muss alle Verbindungsanforderungen für die Lösung erfüllen, die Sie erstellen möchten. Beispiel: Wenn Sie eine S2S-VPN-Gatewayverbindung und eine P2S-VPN-Gatewayverbindung für dasselbe virtuelle Netzwerk erstellen möchten, verwenden Sie den VPN-Typ RouteBased, da P2S diesen VPN-Typ erfordert. Sie müssen auch sicherstellen, dass Ihr VPN-Gerät eine RouteBased-VPN-Verbindung unterstützt.
Nachdem ein Gateway des virtuellen Netzwerks erstellt wurde, können Sie den VPN-Typ nicht mehr ändern. Wenn Sie einen anderen VPN-Typ verwenden möchten, löschen Sie zunächst das Gateway für virtuelle Netzwerke, und erstellen Sie dann ein neues Gateway.
Es gibt zwei VPN-Typen:
PolicyBased: PolicyBased-VPNs wurden im klassischen Bereitstellungsmodell bisher als Gateways mit statischem Routing bezeichnet. Bei richtlinienbasierten VPNs werden Pakete verschlüsselt und durch IPsec-Tunnel geleitet. Grundlage hierfür sind die IPsec-Richtlinien, die jeweils per Kombination aus Adresspräfixen zwischen Ihrem lokalen Netzwerk und dem Azure-VNet konfiguriert werden. Die Richtlinie (auch Datenverkehrsselektor genannt) wird in der Regel als Zugriffsliste in der VPN-Gerätekonfiguration definiert. Der Wert für einen PolicyBased-VPN-Typ lautet PolicyBased. Wenn Sie ein PolicyBased-VPN verwenden, beachten Sie die folgenden Einschränkungen:
- PolicyBased-VPNs können nur in der Basic-Gateway-SKU verwendet werden. Dieser VPN-Typ ist nicht mit anderen Gateway-SKUs kompatibel.
- Bei Verwendung eines PolicyBased-VPNs können Sie nur einen einzigen Tunnel verwenden.
- Für S2S-Verbindungen können Sie nur PolicyBased-VPNs verwenden, und auch dies nur bei bestimmten Konfigurationen. Die meisten VPN-Gatewaykonfigurationen erfordern ein RouteBased-VPN.
RouteBased: RouteBased-VPNs wurden im klassischen Bereitstellungsmodell bisher als Gateways mit dynamischem Routing bezeichnet. Bei RouteBased-VPNs werden Pakete auf der Grundlage der Routen der IP-Weiterleitungstabelle oder -Routingtabelle an die entsprechenden Tunnelschnittstellen weitergeleitet. An den Tunnelschnittstellen werden die Pakete dann ver- bzw. entschlüsselt. Die Richtlinie (bzw. der Datenverkehrsselektor) für RouteBased-VPNs wird im Any-to-Any-Format (bzw. als Platzhalter) konfiguriert. Der Wert für einen RouteBased-VPN-Typ lautet RouteBased.
Das folgende PowerShell-Beispiel gibt -VpnType als RouteBasedan. Achten Sie beim Erstellen eines Gateways darauf, dass -VpnType für Ihre Konfiguration korrekt ist.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Gatewaysubnetz
Bevor Sie ein VPN-Gateway erstellen, müssen Sie ein Gatewaysubnetz erstellen. Das Gatewaysubnetz enthält die IP-Adressen, die von den VMs und Diensten des virtuellen Netzwerkgateways verwendet werden. Bei der Erstellung des Gateways des virtuellen Netzwerks, werden Gateway-VMs für das Gatewaysubnetz bereitgestellt und mit den erforderlichen VPN Gateway-Einstellungen konfiguriert. Stellen Sie für das Gatewaysubnetz nie etwas anderes bereit (beispielsweise zusätzliche virtuelle Computer). Das Gatewaysubnetz muss den Namen „GatewaySubnet“ aufweisen, damit es einwandfrei funktioniert. Wenn Sie dem Gatewaysubnetz den Namen „GatewaySubnet“ zugewiesen haben, erkennt Azure, dass es sich dabei um das Subnetz handelt, für das die VMs und Dienste des virtuellen Netzwerkgateways bereitgestellt werden sollen.
Hinweis
Benutzerdefinierte Routen mit einem 0.0.0.0/0-Ziel und NSGs im Gatewaysubnetz werden nicht unterstützt. Gateways mit dieser Konfiguration können nicht erstellt werden. Gateways benötigen für die ordnungsgemäße Funktion Zugriff auf die Verwaltungscontroller. BGP-Routenverteilung sollte für das Gatewaysubnetz auf „Aktiviert“ festgelegt werden, um die Verfügbarkeit des Gateways zu gewährleisten. Wenn die BGP-Routenverteilung auf deaktiviert festgelegt ist, funktioniert das Gateway nicht.
Diagnose, Datenpfad und Steuerungspfad können beeinträchtigt werden, wenn sich eine benutzerdefinierte Route mit dem Subnetzbereich oder dem öffentlichen IP-Bereich des Gateways überschneidet.
Bei der Gatewayerstellung geben Sie die Anzahl der im Subnetz enthaltenen IP-Adressen an. Die IP-Adressen im Gatewaysubnetz werden den Gatewaydiensten und -VMs zugeordnet. Einige Konfigurationen erfordern mehr IP-Adressen als andere.
Beziehen Sie sich beim Planen der Größe Ihres Gatewaysubnetzes auf die Dokumentation für die Konfiguration, die Sie erstellen möchten. Beispielsweise erfordert die Konfiguration für die parallele Ausführung von ExpressRoute/VPN Gateway ein größeres Subnetz als die meisten anderen Konfigurationen. Es ist zwar möglich, ein kleines Gatewaysubnetz der Größe /29 zu erstellen (gilt nur für die Basic SKU), alle anderen SKUs erfordern jedoch mindestens ein Gatewaysubnetz der Größe /27 (/27, /26, /25 usw.). Möglicherweise möchten Sie ein Gatewaysubnetz erstellen, das größer als /27 ist, damit das Subnetz über genügend IP-Adressen verfügt, um mögliche zukünftige Konfigurationen aufnehmen zu können.
Im folgenden Resource Manager-PowerShell-Beispiel ist ein Gatewaysubnetz mit dem Namen GatewaySubnet zu sehen. Sie erkennen, das mit der CIDR-Notation die Größe /27 angegeben wird. Dies ist für eine ausreichende Zahl von IP-Adressen für die meisten Konfigurationen, die derzeit üblich sind, groß genug.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Wichtig
Vermeiden Sie bei der Verwendung von Gatewaysubnetzen die Zuordnung einer Netzwerksicherheitsgruppe (NSG) zum Gatewaysubnetz. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz kann dazu führen, dass das VNET-Gateway (VPN- und Express Route-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.
Lokale Netzwerkgateways
Ein Gateway des lokalen Netzwerks unterscheidet sich von einem Gateway für virtuelle Netzwerke. Wenn Sie eine VPN-Gatewaykonfiguration erstellen, stellt das Gateway des lokalen Netzwerks in der Regel Ihr lokales Netzwerk und das entsprechende VPN-Gerät dar. Beim klassischen Bereitstellungsmodell wurde das Gateway des lokalen Netzwerks als „Lokaler Standort“ bezeichnet.
Wenn Sie ein lokales Netzwerkgateway konfigurieren, geben Sie den Namen, die öffentliche IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des lokalen VPN-Geräts sowie die Adresspräfixe an, die sich am lokalen Standort befinden. Azure sucht unter den Zieladresspräfixen nach Netzwerkdatenverkehr, sieht in der Konfiguration nach, die Sie für das Gateway des lokalen Netzwerks angegeben haben, und leitet die Pakete entsprechend weiter. Wenn Sie das Border Gateway Protocol (BGP) auf Ihrem VPN-Gerät verwenden, geben Sie die IP-Adresse des BGP-Peers Ihres VPN-Geräts und die autonome Systemnummer (ASN) Ihres lokalen Systems an. Sie geben auch Gateways des lokalen Netzwerks für VNet-zu-VNet-Konfigurationen an, die eine VPN-Gatewayverbindung verwenden.
Mit dem folgenden PowerShell-Beispiel wird ein neues Gateway des lokalen Netzwerks erstellt:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Manchmal müssen Sie die Einstellungen des Gateways des lokalen Netzwerks ändern, beispielsweise wenn Sie den Adressbereich erweitern oder ändern oder wenn sich die IP-Adresse des VPN-Geräts ändert. Weitere Informationen hierzu finden Sie im Artikel Ändern der Einstellungen des lokalen Netzwerkgateways mit PowerShell.
REST-APIs, PowerShell-Cmdlets und CLI
Zusätzliche technische Ressourcen und spezielle Syntaxanforderungen bei der Verwendung von REST-APIs, PowerShell-Cmdlets oder die Azure-CLI für VPN-Gatewaykonfigurationen finden Sie auf den folgenden Seiten:
| Klassisch | Ressourcen-Manager |
|---|---|
| PowerShell | PowerShell |
| REST-API | REST-API |
| Nicht unterstützt | Azure-Befehlszeilenschnittstelle |
Nächste Schritte
Weitere Informationen zu verfügbaren Verbindungskonfigurationen finden Sie unter Informationen zu VPN Gateway.