Tutorial: Erstellen einer P2S-Benutzer-VPN-Verbindung mit Azure Virtual WAN – Zertifikat- oder RADIUS-Authentifizierung
In diesem Tutorial erfahren Sie, wie Sie Virtual WAN verwenden, um eine Verbindung mit Ihren Ressourcen in Azure herzustellen. In diesem Tutorial erstellen Sie eine Point-to-Site-Benutzer-VPN-Verbindung über OpenVPN oder IPsec/IKE (IKEv2) mithilfe des Azure-Portals. Für diese Art von Verbindung muss auf jedem Clientcomputer, der eine Verbindung herstellt, der native VPN-Client konfiguriert sein.
- Dieser Artikel gilt für Zertifikat- und RADIUS-Authentifizierung. Informationen zur Microsoft Entra-Authentifizierung finden Sie unter Konfigurieren einer Benutzer-VPN-Verbindung – Microsoft Entra-Authentifizierung.
- Weitere Informationen zu Virtual WAN finden Sie auf der Seite mit der Übersicht über Virtual WAN.
In diesem Tutorial lernen Sie Folgendes:
- Erstellen eines virtuellen WAN
- Erstellen der Benutzer-VPN-Konfiguration
- Erstellen eines virtuellen Hubs und Gateways
- Generieren der Clientkonfigurationsdateien
- VPN-Clients konfigurieren
- Verbinden mit einem VNet
- Anzeigen Ihrer Virtual WAN-Instanz
- Ändern von Einstellungen
Voraussetzungen
Sie verfügen über ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen.
Sie verfügen über ein virtuelles Netzwerk, zu dem Sie eine Verbindung herstellen möchten.
- Stellen Sie sicher, dass sich kein Subnetz Ihres lokalen Netzwerks mit den virtuellen Netzwerken für die Verbindungsherstellung überschneidet.
- Informationen zum Erstellen eines virtuellen Netzwerks im Azure-Portal finden Sie im Artikel zur Schnellstartanleitung.
Ihr virtuelles Netzwerk darf nicht über vorhandene Gateways für virtuelle Netzwerke verfügen.
- Wenn Ihr virtuelles Netzwerk bereits über Gateways verfügt (VPN oder ExpressRoute), müssen Sie alle Gateways entfernen, bevor Sie fortfahren können.
- Für diese Konfiguration ist es erforderlich, dass virtuelle Netzwerke nur mit dem Gateway des Virtual WAN-Hubs verbunden werden.
Legen Sie den IP-Adressbereich fest, den Sie für den privaten Adressraum Ihres virtuellen Hubs verwenden möchten. Diese Informationen werden beim Konfigurieren Ihres virtuellen Hubs verwendet. Ein virtueller Hub ist ein virtuelles Netzwerk, das von Virtual WAN erstellt und genutzt wird. Es ist der Kern Ihres Virtual WAN-Netzwerks in einer Region. Der Adressraumbereich muss bestimmten Regeln entsprechen:
- Der von Ihnen für den Hub angegebene Adressbereich darf sich nicht mit einem der vorhandenen virtuellen Netzwerke überlappen, mit denen Sie eine Verbindung herstellen.
- Der Adressbereich darf nicht mit den lokalen Adressbereichen überlappen, mit denen Sie eine Verbindung herstellen.
- Falls Sie nicht mit den IP-Adressbereichen in Ihrer lokalen Netzwerkkonfiguration vertraut sind, sollten Sie sich an eine Person wenden, die Ihnen diese Informationen zur Verfügung stellen kann.
Erstellen eines virtuellen WAN
Geben Sie im Portal auf der Leiste Ressourcen suchen die Zeichenfolge Virtual WAN in das Suchfeld ein, und drücken Sie die EINGABETASTE.
Wählen Sie in den Ergebnissen Virtual WAN aus. Wählen Sie auf der Seite „Virtual WAN“ die Option + Erstellen aus, um die Seite WAN erstellen zu öffnen.
Füllen Sie auf der Seite WAN erstellen auf der Registerkarte Grundlagen die Felder aus. Ändern Sie die Beispielwerte, um sie an Ihre Umgebung anzupassen.
- Abonnement: Wählen Sie das Abonnement aus, das Sie verwenden möchten.
- Ressourcengruppe: Erstellen Sie eine neue Ressourcengruppe, oder verwenden Sie eine vorhandene.
- Ressourcengruppenstandort: Wählen Sie in der Dropdownliste einen Ressourcengruppenstandort aus. Ein WAN ist eine globale Ressource, die nicht in einer bestimmten Region angeordnet ist. Sie müssen aber eine Region auswählen, damit Sie die von Ihnen erstellte WAN-Ressource verwalten und finden können.
- Name: Geben Sie den für Ihr virtuelles WAN gewünschten Namen ein.
- Typ: Basic oder Standard. Wählen Sie Standard aus. Wenn Sie „Basic“ wählen, müssen Sie wissen, dass virtuelle Basic-WANs nur Basic-Hubs enthalten können. Basic-Hubs können nur für Site-to-Site-Verbindungen verwendet werden.
Nachdem Sie die Felder ausgefüllt haben, wählen Sie unten auf der Seite Überprüfen und erstellen aus.
Wählen Sie nach bestandener Überprüfung Erstellen aus, um das virtuelle WAN zu erstellen.
Erstellen einer Benutzer-VPN-Konfiguration
Die Benutzer-VPN-Konfiguration (P2S) definiert die Parameter für das Herstellen der Verbindung mit Remoteclients. Sie erstellen Benutzer-VPN-Konfigurationen, bevor Sie den P2S-Gateway im Hub erstellen. Sie können mehrere Benutzer-VPN-Konfigurationen erstellen. Beim Erstellen des P2S-Gateways wählen Sie die zu verwendende Benutzer-VPN-Konfiguration aus.
Welche Anweisungen Sie befolgen, hängt von der Authentifizierungsmethode ab, die Sie verwenden möchten. Für diese Übung wählen wir OpenVpn, IKEv2und Zertifikat-Authentifizierung. Es sind jedoch auch andere Konfigurationen möglich. Jede Authentifizierungsmethode hat spezifische Anforderungen.
Azure-Zertifikate: Für diese Konfiguration sind Zertifikate erforderlich. Sie müssen Zertifikate entweder generieren oder abrufen. Ein Clientzertifikat wird für jeden Client benötigt. Außerdem müssen die Stammzertifikatinformationen (öffentlicher Schlüssel) hochgeladen werden. Weitere Informationen zu den erforderlichen Zertifikaten finden Sie unter Generieren und Exportieren von Zertifikaten für Punkt-zu-Standort-Verbindungen mithilfe von PowerShell.
RADIUS-basierte Authentifizierung: Abrufen der IP-Adresse des RADIUS-Servers, des RADIUS-Servergeheimnisses und der Zertifikatinformationen.
Microsoft Entra-Authentifizierung: Informationen finden Sie unter Konfigurieren einer Benutzer-VPN-Verbindung – Microsoft Entra-Authentifizierung.
Konfigurationsschritte
Navigieren Sie zu dem virtuellen WAN, das Sie erstellt haben.
Wählen Sie im Menü auf der linken Seite Benutzer-VPN-Konfigurationen aus.
Wählen Sie auf der Seite Benutzer-VPN-Konfigurationen oben auf der Seite die Option + Benutzer-VPN-Konfiguration erstellen aus.
Geben Sie auf der Seite Neue Benutzer-VPN-Konfiguration erstellen auf der Registerkarte Grundlagen unter Instanzdetails den Namen ein, den Sie Ihrer VPN-Konfiguration zuweisen möchten.
Wählen Sie für Tunneltyp über das Dropdownmenü den Tunneltyp aus, den Sie verwenden möchten. Es stehen folgende Optionen für den Tunneltyp zur Verfügung: IKEv2-VPN, OpenVPN und OpenVpn und IKEv2. Für jeden Tunneltyp sind bestimmte Einstellungen erforderlich. Der von Ihnen gewählte Tunneltyp entspricht den verfügbaren Optionen für die Authentifizierung.
Anforderungen und Parameter:
IKEv2 VPN
Anforderungen: Wenn Sie den Tunneltyp IKEv2 auswählen, wird eine Meldung angezeigt, die Sie auffordert, eine Authentifizierungsmethode auszuwählen. Für IKEv2 können Sie mehrere Authentifizierungsmethoden angeben. Sie können Azure-Zertifikat, RADIUS-basierte Authentifizierung oder beides wählen.
Benutzerdefinierte IPsec-Parameter: Wenn Sie die Parameter für IKE Phase 1 und IKE Phase 2 anpassen möchten, legen Sie den IPsec-Umschalter auf Custom (Benutzerdefiniert) fest, und wählen Sie die Parameterwerte aus. Weitere Informationen zu anpassbaren Parametern finden Sie im Artikel zu den Benutzerdefinierten IPsec-Richtlinien.
OpenVPN
- Anforderungen: Wenn Sie den OpenVPN-Tunneltyp auswählen, wird eine Meldung angezeigt, die Sie auffordert, einen Authentifizierungsmechanismus auszuwählen. Wenn OpenVPN als Tunneltyp ausgewählt ist, können Sie mehrere Authentifizierungsmethoden angeben. Sie können eine beliebige Teilmenge von Azure-Zertifikat, Microsoft Entra ID oder eine RADIUS-basierte Authentifizierung auswählen. Bei der RADIUS-basierten Authentifizierung können Sie eine sekundäre IP-Adresse des RADIUS-Servers und ein Servergeheimnis bereitstellen.
OpenVPN und IKEv2
- Anforderungen: Wenn Sie den Tunneltyp OpenVPN und IKEv2 auswählen, wird eine Meldung angezeigt, die Sie auffordert, einen Authentifizierungsmechanismus auszuwählen. Wenn OpenVPN und IKEv2 als Tunneltyp ausgewählt ist, können Sie mehrere Authentifizierungsmethoden angeben. Sie können Microsoft Entra ID zusammen mit entweder Azure-Zertifikat oder einer RADIUS-basierten Authentifizierung auswählen. Bei der RADIUS-basierten Authentifizierung können Sie eine sekundäre IP-Adresse des RADIUS-Servers und ein Servergeheimnis bereitstellen.
Konfigurieren Sie die gewünschten Authentifizierungsmethoden. Jede Authentifizierungsmethode befindet sich auf einer separaten Registerkarte: Azure-Zertifikat, RADIUS-basierte Authentifizierung und Microsoft Entra ID. Einige Authentifizierungsmethoden sind nur für bestimmte Tunneltypen verfügbar.
Wählen Sie auf der Registerkarte für die zu konfigurierende Authentifizierungsmethode Ja aus, um die verfügbaren Konfigurationseinstellungen anzuzeigen.
Beispiel: Zertifikatauthentifizierung
Um diese Einstellung zu konfigurieren, kann der Tunneltyp auf der Seite Grundlagen IKEv2, OpenVPN oder OpenVPN und IKEv2 sein.
Beispiel: RADIUS-Authentifizierung
Um diese Einstellung zu konfigurieren, kann der Tunneltyp auf der Seite „Grundeinstellungen“ entweder „Ikev2“, „OpenVPN“ oder „OpenVPN und IKEv2“ sein.
Beispiel – Microsoft Entra-Authentifizierung
Um diese Einstellung zu konfigurieren, muss der Tunneltyp auf der Seite „Grundeinstellungen“ auf „OpenVPN“ festgelegt sein. Die Microsoft Entra ID-basierte Authentifizierung wird nur mit OpenVPN unterstützt.
Wenn Sie mit der Konfiguration der Einstellungen fertig sind, wählen Sie unten auf der Seite Überprüfen + Erstellen.
Wählen Sie Erstellen, um die Benutzer-VPN-Konfiguration zu erstellen.
Erstellen eines virtuellen Hubs und eines Gateways
Seite „Grundlagen“
Navigieren Sie zur Virtual WAN-Instanz, die Sie erstellt haben. Wählen Sie auf der Seite „Virtual WAN“ im linken Bereich unter Konnektivität die Option Hubs aus.
Wählen Sie auf der Seite Hubs die Option + Neuer Hub aus, um die Seite Virtuellen Hub erstellen zu öffnen.
Füllen Sie auf der Seite Virtuellen Hub erstellen auf der Registerkarte Grundlagen die folgenden Felder aus:
- Region: Wählen Sie die Region aus, in der Sie den virtuellen Hub bereitstellen möchten.
- Name: Der Name, der für den virtuellen Hub verwendet werden soll
- Privater Adressraum des Hubs: Der Adressbereich des Hubs in CIDR-Notation. Der minimale Adressraum ist „/24“ zum Erstellen eines Hubs.
- Virtuelle Hub-Kapazität: Wählen Sie aus der Dropdownliste. Weitere Informationen finden Sie unter Einstellungen für virtuelle Hubs.
- Hubroutingpräferenz: Übernehmen Sie die Standardeinstellung. Weitere Informationen finden Sie unter Einstellungen für das Routing virtueller Hubs.
Seite „Point-to-Site“
Klicken Sie auf die Registerkarte Point-to-Site, um die Konfigurationsseite für „Point-to-Site“ zu öffnen. Klicken Sie auf Ja, um die Point-to-Site-Einstellungen anzuzeigen.
Konfigurieren Sie die folgenden Einstellungen:
Gatewayskalierungseinheiten: Steht für die Aggregatkapazität des Benutzer-VPN-Gateways. Wenn Sie 40 oder mehr Gatewayskalierteinheiten auswählen, müssen Sie Ihren Clientadresspool entsprechend planen. Informationen dazu, wie sich diese Einstellung auf den Clientadresspool auswirkt, finden Sie unter Informationen zu Clientadresspools. Informationen zu Gatewayskalierungseinheiten finden Sie in den häufig gestellten Fragen.
Point-to-Site-Konfiguration: Wählen Sie die Benutzer-VPN-Konfiguration aus, die Sie in einem der vorherigen Schritte erstellt haben.
Routingpräferenz: Die Azure-Routingpräferenz ermöglicht es Ihnen zu wählen, wie Ihr Datenverkehr zwischen Azure und dem Internet geleitet wird. Sie können auswählen, ob der Datenverkehr entweder über das Microsoft-Netzwerk oder über das ISP-Netzwerk (öffentliches Internet) geleitet werden soll. Diese Optionen werden auch als Cold Potato-Routing bzw. Hot Potato-Routing bezeichnet. Die öffentliche IP-Adresse in Virtual WAN wird vom Dienst basierend auf der ausgewählten Routingoption zugewiesen. Weitere Informationen zur Routingpräferenz über das Microsoft-Netzwerk oder ISP finden Sie im Artikel Routingpräferenz.
Remote-/lokalen RADIUS-Server verwenden: Wenn ein Benutzer-VPN-Gateway von Virtual WAN für die Verwendung der RADIUS-basierten Authentifizierung konfiguriert ist, fungiert das Benutzer-VPN-Gateway als Proxy und sendet RADIUS-Zugriffsanforderungen an Ihren RADIUS-Server. Die Einstellung „Remote/lokalen RADIUS-Server verwenden“ ist standardmäßig deaktiviert. Das bedeutet, dass das Benutzer-VPN-Gateway nur Authentifizierungsanforderungen an RADIUS-Server in virtuellen Netzwerken, die mit dem Hub des Gateways verbunden sind, weiterleiten kann. Wenn Sie diese Einstellung aktivieren, kann sich das Benutzer-VPN-Gateway bei RADIUS-Servern authentifizieren, die mit Remotehubs verbunden sind oder lokal bereitgestellt werden.
Hinweis
Die Einstellung für „Remote/lokalen RADIUS-Server verwenden“ und die zugehörigen Proxy-IP-Adressen werden nur verwendet, wenn das Gateway für die Verwendung der RADIUS-basierten Authentifizierung konfiguriert ist. Wenn das Gateway nicht für die Verwendung der RADIUS-basierten Authentifizierung konfiguriert ist, wird diese Einstellung ignoriert.
Sie müssen „Remote-/lokalen RADIUS-Server verwenden“ aktivieren, wenn Benutzer eine Verbindung mit dem globalen VPN-Profil anstelle des hubbasierten Profils herstellen. Weitere Informationen finden Sie unter Profile der globalen und Hub-Ebene.
Nachdem Sie das Benutzer-VPN-Gateway erstellt haben, wechseln Sie zum Gateway, und beachten Sie das Feld für die RADIUS-Proxy-IPs. Die RADIUS-Proxy-IPs sind die IP-Quelladressen der RADIUS-Pakete, die das Benutzer-VPN-Gateway an Ihren RADIUS-Server sendet. Daher muss Ihr RADIUS-Server so konfiguriert werden, dass Authentifizierungsanforderungen von den RADIUS-Proxy-IPs akzeptiert werden. Wenn das Feld „RADIUS-Proxy-IPs“ leer ist oder „Keine“ lautet, konfigurieren Sie den RADIUS-Server so, dass Authentifizierungsanforderungen aus dem Adressraum des Hubs akzeptiert werden.
Stellen Sie außerdem sicher, dass die Zuordnungen und Weitergaben der Verbindung (VNet oder lokal), die den RADIUS-Server hostet, an die defaultRouteTable des mit dem Point-to-Site-VPN-Gateway bereitgestellten Hubs erfolgen, und dass die Point-to-Site-VPN-Konfiguration an die Routentabelle der Verbindung weitergegeben wird, die den RADIUS-Server hostet. Dies ist obligatorisch, um sicherzustellen, dass das Gateway mit dem RADIUS-Server kommunizieren kann und umgekehrt.
Clientadresspool: Der Adresspool, aus dem VPN-Clients automatisch IP-Adressen zugewiesen werden. Adresspools müssen unterschiedlich sein. Zwischen Adresspools darf es keine Überschneidungen geben. Weitere Informationen finden Sie unter Informationen zu Clientadresspools.
Benutzerdefinierte DNS-Server: Die IP-Adresse des/der DNS-Server(s), die von den Clients verwendet werden. Sie können bis zu 5 angeben.
Wählen Sie zum Überprüfen Ihrer Einstellungen Überprüfen + erstellen aus.
Klicken Sie nach der Validierung auf Erstellen. Das Erstellen eines Hubs kann 30 Minuten oder länger dauern.
Wenn Sie einen neuen Hub erstellen, wird im Portal möglicherweise eine Warnmeldung angezeigt, die sich auf die Routerversion bezieht. Dies tritt manchmal auf, wenn der Router in Bereitstellung ist. Sobald der Router vollständig bereitgestellt wurde, wird die Meldung nicht mehr angezeigt.
Generieren der Clientkonfigurationsdateien
Wenn Sie sich über User VPN (P2S) mit dem VNet verbinden, können Sie den VPN-Client verwenden, der auf dem Betriebssystem, von dem aus Sie sich verbinden, nativ installiert ist. Alle erforderlichen Konfigurationseinstellungen für die VPN-Clients sind in einer ZIP-Datei für die VPN-Clientkonfiguration enthalten. Mithilfe der Einstellungen in der ZIP-Datei können Sie die VPN-Clients einfach konfigurieren. Die von Ihnen generierten VPN-Clientkonfigurationsdateien gelten speziell für die Benutzer-VPN-Gatewaykonfiguration für Ihr Gateway. In diesem Abschnitt generieren Sie die zum Konfigurieren Ihrer VPN-Clients verwendeten Dateien und laden sie herunter.
Es gibt zwei verschiedene Arten von Konfigurationsprofilen, die Sie herunterladen können: Global und Hub. Das globale Profil ist ein Konfigurationsprofil auf WAN-Ebene. Wenn Sie das Konfigurationsprofil auf WAN-Ebene herunterladen, erhalten Sie ein integriertes Traffic Manager-basiertes Benutzer-VPN-Profil. Wenn Sie ein globales Profil verwenden und ein Hub aus irgendeinem Grund nicht verfügbar ist, stellt das integrierte Verkehrsmanagement des Dienstes die Konnektivität (über einen anderen Hub) zu Azure-Ressourcen für Point-to-Site-Benutzer sicher. Weitere Informationen oder ein VPN-Client-Konfigurationspaket auf Hub-Ebene zum Herunterladen finden Sie unter Globale und Hub-Profile.
Navigieren Sie zum Generieren eines VPN-Clientkonfigurationspakets für ein globales Profil auf WAN-Ebene zu Virtual WAN (nicht zum virtuellen Hub).
Wählen Sie im linken Bereich Benutzer-VPN-Konfigurationen aus.
Wählen Sie die Konfiguration aus, für die Sie das Profil herunterladen möchten. Wenn mehrere Hubs demselben Profil zugewiesen sind, erweitern Sie das Profil, um die Hubs anzuzeigen, und wählen Sie dann einen der Hubs aus, der dieses Profil verwendet.
Wählen Sie VPN-Profil für Virtual WAN-Benutzer herunterladen aus.
Wählen Sie auf der Downloadseite EAPTLS und dann Profil generieren und herunterladen aus. Ein Profilpaket (ZIP-Datei) mit den Clientkonfigurationseinstellungen wird generiert und auf Ihren Computer heruntergeladen. Der Inhalt des Pakets hängt von den für Ihre Konfiguration ausgewählten Authentifizierungs- und Tunneloptionen ab.
VPN-Clients konfigurieren
Verwenden Sie das heruntergeladene Profilpaket, um den nativen VPN-Client auf Ihrem Computer zu konfigurieren. Die Vorgehensweise variiert für die jeweiligen Betriebssysteme. Befolgen Sie die Anweisungen, die für Ihr System gelten. Sobald Sie die Konfiguration Ihres Clients abgeschlossen haben, können Sie eine Verbindung herstellen.
IKEv2
Wenn Sie in der Benutzer-VPN-Konfiguration den VPN-Tunneltyp IKEv2 angegeben haben, können Sie den nativen VPN-Client (Windows und macOS Catalina oder höher) konfigurieren.
Die folgenden Schritte gelten für Windows. Informationen zu macOS finden Sie unter IKEv2-macOS-Schritte.
Wählen Sie die VPN-Clientkonfigurationsdateien, die der Architektur des Windows-Computers entsprechen. Wählen Sie für eine 64-Bit-Prozessorarchitektur das Installer-Paket „VpnClientSetupAmd64“ aus. Wählen Sie für eine 32-Bit-Prozessorarchitektur das Installer-Paket „VpnClientSetupX86“ aus.
Doppelklicken Sie auf das Paket, um es zu installieren. Sollte eine SmartScreen-Popupmeldung angezeigt werden, wählen Sie Weitere Informationen und anschließend Trotzdem ausführen aus.
Navigieren Sie auf dem Clientcomputer zu Netzwerkeinstellungen, und wählen Sie VPN aus. Die VPN-Verbindung zeigt den Namen des virtuellen Netzwerks an, mit dem eine Verbindung hergestellt wird.
Installieren Sie ein Client-Zertifikat auf jedem Computer, den Sie über diese Benutzer-VPN-Konfiguration verbinden möchten. Ein Clientzertifikat ist für die Authentifizierung erforderlich, wenn Sie den Typ „native Azure-Zertifikatauthentifizierung“ verwenden. Weitere Informationen zum Generieren von Zertifikaten finden Sie unter Generieren von Zertifikaten. Weitere Informationen zum Installieren eines Clientzertifikats finden Sie unter Installieren eines Clientzertifikats.
OpenVPN
Wenn Sie in der Benutzer-VPN-Konfiguration den OpenVPN-Tunneltyp angegeben haben, können Sie den Azure VPN-Client herunterladen und konfigurieren oder, in einigen Fällen, die OpenVPN-Client-Software verwenden. Verwenden Sie für die einzelnen Schritte den Link, der zu Ihrer Konfiguration passt.
- Microsoft Entra-Authentifizierung – Azure VPN-Client – Windows
- Microsoft Entra-Authentifizierung – Azure VPN-Client – macOS
- Konfigurieren von OpenVPN-Clientsoftware – Windows, macOS, iOS, Linux
Verbinden eines VNET mit einem Hub
In diesem Abschnitt erstellen Sie eine Verbindung zwischen Ihrem virtuellen Hub und Ihrem VNet. Für dieses Tutorial müssen Sie die Routingeinstellungen nicht konfigurieren.
Navigieren Sie im Azure-Portal zu Ihrem Virtual WAN und wählen Sie im linken Bereich VNet-Verbindungen aus.
Wählen Sie auf der Seite für VNet-Verbindungen+ Verbindung hinzufügen aus.
Konfigurieren Sie auf der Seite Verbindung hinzufügen die Verbindungseinstellungen. Weitere Informationen zu Routingeinstellungen finden Sie unter Informationen zum Routing virtueller Hubs.
- Verbindungsname: Benennen Sie Ihre Verbindung.
- Hubs: Wählen Sie den Hub aus, den Sie dieser Verbindung zuordnen möchten.
- Abonnement: Überprüfen Sie das Abonnement.
- Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die das virtuelle Netzwerk enthält, mit dem Sie eine Verbindung herstellen möchten.
- Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, das Sie mit diesem Hub verbinden möchten. Für das von Ihnen gewählte virtuelle Netzwerk kann nicht bereits ein Gateway für virtuelle Netzwerke vorhanden sein.
- An keine verteilen: Diese Einstellung ist standardmäßig auf Nein festgelegt. Wenn Sie den Schalter auf Ja festlegen, stehen die Konfigurationsoptionen für An Routingtabellen weitergeben und Propagate to labels (An Bezeichnungen weitergeben) nicht mehr für die Konfiguration zur Verfügung.
- Routingtabelle zuordnen: Sie können im Dropdownmenü die Routingtabelle auswählen, die Sie zuordnen möchten.
- An Bezeichnungen weitergeben: Bezeichnungen sind eine logische Gruppe von Routingtabellen. Wählen Sie für diese Einstellung einen Eintrag aus der Dropdownliste aus.
- Statische Routen: Konfigurieren Sie ggf. statische Routen. Konfigurieren Sie statische Routen für virtuelle Netzwerkgeräte (falls zutreffend). Virtual WAN unterstützt eine einzelne IP-Adresse des nächsten Hops für eine statische Route einer VNET-Verbindung. Wenn Sie beispielsweise jeweils über ein separates virtuelles Gerät für ein- und ausgehende Datenverkehrsflüsse verfügen, ist es am besten, die virtuellen Geräte in separaten VNets anzuordnen und die VNets dem virtuellen Hub zuzuordnen.
- IP des nächsten Hops für Workloads innerhalb dieses VNets umgehen: Mit dieser Einstellung können Sie NVAs und andere Workloads im selben VNet bereitstellen, ohne dass der gesamte Datenverkehr über das NVA geleitet werden muss. Diese Einstellung kann nur konfiguriert werden, wenn Sie eine neue Verbindung konfigurieren. Wenn Sie diese Einstellung für eine bereits erstellte Verbindung verwenden möchten, löschen Sie die Verbindung, und fügen Sie dann eine neue Verbindung hinzu.
- Statische Route verteilen: Diese Einstellung wird derzeit eingeführt. Mit dieser Einstellung können Sie statische Routen, die im Abschnitt Statische Routen definiert sind, an Routingtabellen weitergeben, die unter Weitergabe an Routentabellen angegeben sind. Darüber hinaus werden Routen an Routingtabellen weitergegeben, für die Bezeichnungen unter Weitergabe an Bezeichnungen angegeben sind. Diese Routen können mit Ausnahme der Standardroute 0/0 hubübergreifend weitergegeben werden. Dieses Feature wird derzeit eingeführt. Wenn Sie dieses Feature aktivieren müssen, öffnen Sie bitte einen Supportfall.
Wenn Sie die Einstellungen vorgenommen haben, die Sie konfigurieren möchten, klicken Sie auf Erstellen, um die Verbindung zu erstellen.
Dashboard für Point-to-Site-Sitzungen
Um Ihre aktiven Point-to-Site-Sitzungen anzuzeigen, klicken Sie auf Point-to-Site-Sitzungen. Dadurch werden alle aktiven Point-to-Site-Benutzer angezeigt, die mit Ihrem Benutzer-VPN-Gateway verbunden sind.
Um Benutzer vom Benutzer-VPN-Gateway zu trennen, klicken Sie auf das... Kontextmenü, und klicken Sie auf „Trennen“.
Ändern von Einstellungen
Ändern des Clientadresspools
Navigieren Sie zu Virtueller Hub -> Benutzer-VPN (Point-to-Site).
Klicken Sie auf den Wert neben Gateway scale units (Gatewayskalierungseinheiten), um die Seite Edit User VPN gateway (Benutzer-VPN-Gateway bearbeiten) zu öffnen.
Bearbeiten Sie auf der Seite Edit User VPN gateway (Benutzer-VPN-Gateway bearbeiten) die Einstellungen.
Klicken Sie unten auf der Seite auf Bearbeiten, um die Einstellungen zu überprüfen.
Klicken Sie auf Bestätigen, um Ihre Einstellungen zu speichern. Alle Änderungen auf dieser Seite können bis zu 30 Minuten in Anspruch nehmen.
Ändern der DNS-Server
Navigieren Sie zu Virtueller Hub -> Benutzer-VPN (Point-to-Site).
Klicken Sie auf den Wert neben Custom DNS Servers (Benutzerdefinierte DNS-Server), um die Seite Edit User VPN gateway (Benutzer-VPN-Gateway bearbeiten) zu öffnen.
Bearbeiten Sie auf der Seite Edit User VPN gateway (Benutzer-VPN-Gateway bearbeiten) das Feld Custom DNS Servers (Benutzerdefinierte DNS-Server). Geben Sie die IP-Adressen der DNS-Server in die Textfelder Custom DNS Servers (Benutzerdefinierte DNS-Server) ein. Sie können bis zu fünf DNS-Server angeben.
Klicken Sie unten auf der Seite auf Bearbeiten, um die Einstellungen zu überprüfen.
Klicken Sie auf Bestätigen, um Ihre Einstellungen zu speichern. Alle Änderungen auf dieser Seite können bis zu 30 Minuten in Anspruch nehmen.
Bereinigen der Ressourcen
Wenn Sie die von Ihnen erstellten Ressourcen nicht mehr benötigen, können Sie sie löschen. Einige Virtual WAN-Ressourcen müssen aufgrund von Abhängigkeiten in einer bestimmten Reihenfolge gelöscht werden. Das Löschen kann bis zu 30 Minuten dauern.
Öffnen Sie die Virtual WAN-Instanz, die Sie erstellt haben.
Wählen Sie einen virtuellen Hub aus, der der Virtual WAN-Instanz zugeordnet ist, um die Seite für den Hub zu öffnen.
Löschen Sie alle Gatewayentitäten in der unten angegebenen Reihenfolge für jeden Gatewaytyp. Dieser Vorgang kann bis zu 30 Minuten dauern.
VPN:
- VPN-Standorte trennen
- VPN-Verbindungen löschen
- VPN-Gateways löschen
ExpressRoute:
- ExpressRoute-Verbindungen löschen
- ExpressRoute-Gateways löschen
Wiederholen Sie diesen Schritt für alle Hubs, die der Virtual WAN-Instanz zugeordnet sind.
Sie können die Hubs entweder jetzt oder zu einem späteren Zeitpunkt löschen, wenn Sie die Ressourcengruppe löschen.
Navigieren Sie im Azure-Portal zur Ressourcengruppe.
Wählen Sie die Option Ressourcengruppe löschen. Hierdurch werden die anderen in der Ressourcengruppe enthaltenen Ressourcen gelöscht, einschließlich der Hubs und der Virtual WAN-Instanz.