Erstellen einer Site-to-Site-Verbindung über das Azure-Portal (klassisch)
In diesem Artikel wird beschrieben, wie Sie das Azure-Portal zum Erstellen einer Site-to-Site-VPN-Gateway-Verbindung zwischen Ihrem lokalen Netzwerk und dem VNET verwenden. Die Schritte in diesem Artikel gelten für das klassische (Legacy-) Bereitstellungsmodell, jedoch nicht für das aktuelle Modell, den Resourcen-Manager. Lesen Sie stattdessen die Resource Manager-Version dieses Artikels.
Wichtig
Sie können keine neuen virtuellen Netzwerkgateways mehr für virtuelle Netzwerke des klassischen Bereitstellungsmodells (Dienstverwaltung) erstellen. Neue virtuelle Netzwerkgateways können nur für virtuelle Ressourcen-Manager-Netzwerke erstellt werden.
Eine Site-to-Site-VPN-Gateway-Verbindung wird verwendet, um Ihr lokales Netzwerk über einen IPsec/IKE-VPN-Tunnel (IKEv1 oder IKEv2) mit einem virtuellen Azure-Netzwerk zu verbinden. Für diese Art von Verbindung wird ein lokales VPN-Gerät benötigt, dem eine extern zugängliche, öffentliche IP-Adresse zugewiesen ist. Weitere Informationen zu VPN-Gateways finden Sie unter Informationen zu VPN Gateway.
Hinweis
Dieser Artikel wurde für das klassische (Legacy-) Bereitstellungsmodell verfasst. Wir empfehlen jedoch, stattdessen das neueste Azure-Bereitstellungsmodell zu verwenden. Das Resource Manager-Bereitstellungsmodell ist das neueste Bereitstellungsmodell. Es bietet mehr Optionen und Funktionskompatibilität als das klassische Modell. Informationen zum Unterschied zwischen diesen beiden Bereitstellungsmodellen finden Sie unter Grundlegendes zu Bereitstellungsmodellen und zum Status Ihrer Ressourcen.
Andere Versionen dieses Artikels finden Sie im Inhaltsverzeichnis im linken Bereich.
Voraussetzungen
Vergewissern Sie sich vor Beginn der Konfiguration, dass die folgenden Voraussetzungen erfüllt sind bzw. Folgendes vorhanden ist:
- Vergewissern Sie sich, dass Sie das klassische Bereitstellungsmodell verwenden möchten. Wenn Sie das Resource Manager-Bereitstellungsmodell nutzen möchten, helfen Ihnen die Informationen unter Erstellen einer Site-to-Site-Verbindung im Azure-Portal weiter. Es wird empfohlen, das Resource Manager-Bereitstellungsmodell zu verwenden, da das klassische Modell veraltet ist.
- Achten Sie darauf, dass Sie ein kompatibles VPN-Gerät nutzen (und über eine Person verfügen, die es konfigurieren kann). Weitere Informationen zu kompatiblen VPN-Geräten und zur Gerätekonfiguration finden Sie unter Informationen zu VPN-Geräten.
- Vergewissern Sie sich, dass Sie über eine externe öffentliche IPv4-Adresse für Ihr VPN-Gerät verfügen.
- Falls Sie nicht mit den IP-Adressbereichen in Ihrer lokalen Netzwerkkonfiguration vertraut sind, wenden Sie sich an eine Person, die Ihnen diese Informationen zur Verfügung stellen kann. Beim Erstellen dieser Konfiguration müssen Sie die Präfixe für die IP-Adressbereiche angeben, die Azure an Ihren lokalen Standort weiterleitet. Kein Subnetz Ihres lokalen Netzwerks darf sich mit den Subnetzen des virtuellen Netzwerks überschneiden, mit dem Sie eine Verbindung herstellen möchten.
- PowerShell ist erforderlich, um den gemeinsam verwendeten Schlüssel anzugeben und die VPN Gateway-Verbindung zu erstellen. Wenn Sie mit dem klassischen Bereitstellungsmodell arbeiten, können Sie Azure Cloud Shell nicht verwenden. Stattdessen müssen Sie die aktuelle Version der PowerShell-Cmdlets der Azure-Dienstverwaltung (Service Management, SM) lokal auf Ihrem Computer installieren. Diese Cmdlets unterscheiden sich von den AzureRM- oder AZ-Cmdlets. Informationen zum Installieren der SM-Cmdlets finden Sie unter Installieren von Cmdlets der Dienstverwaltung. Weitere allgemeine Informationen zu Azure PowerShell finden Sie in der Azure PowerShell-Dokumentation.
Beispielkonfigurationswerte für diese Übung
In den Beispielen dieses Artikels werden die folgenden Werte verwendet. Sie können diese Werte zum Erstellen einer Testumgebung verwenden oder zum besseren Verständnis der Beispiele in diesem Artikel heranziehen. Bei Verwendung von IP-Adresswerten für den Adressraum sollten Sie sich in der Regel mit Ihrem Netzwerkadministrator absprechen, um überlappende Adressräume zu vermeiden, die sich auf das Routing auswirken können. Ersetzen Sie in diesem Fall die IP-Adresswerte durch ihre eigenen Werte, wenn Sie eine funktionierende Verbindung herstellen möchten.
- Ressourcengruppe: TestRG1
- VNet-Name: TestVNet1
- Adressraum: 10.11.0.0/16
- Subnetzname: FrontEnd
- Subnetzadressbereich: 10.11.0.0/24
- GatewaySubnet: 10.11.255.0/27
- Region: (USA) USA, Osten
- Name des lokalen Standorts: Site2
- Clientadressraum: Der Adressraum an Ihrem lokalen Standort.
Erstellen eines virtuellen Netzwerks
Beim Erstellen eines virtuellen Netzwerks für eine S2S-Verbindung müssen Sie darauf achten, dass sich die von Ihnen angegebenen Adressräume nicht mit den Client-Adressräumen der lokalen Standorte überschneiden, zu denen Sie eine Verbindung herstellen möchten. Bei überlappenden Subnetzen funktioniert die Verbindung nicht einwandfrei.
Wenn Sie bereits über ein VNet verfügen, sollten Sie überprüfen, ob die Einstellungen mit Ihrem Entwurf des VPN Gateways kompatibel sind. Achten Sie besonders auf Subnetze, die sich unter Umständen mit anderen Netzwerken überlappen.
Falls Sie noch nicht über ein virtuelles Netzwerk verfügen, erstellen Sie eines. Die Screenshots dienen lediglich zur Veranschaulichung. Achten Sie darauf, dass Sie die Werte durch Ihre eigenen Werte ersetzen.
So erstellen Sie ein virtuelles Netzwerk
- Navigieren Sie in einem Browser zum Azure-Portal , und melden Sie sich, falls erforderlich, mit Ihrem Azure-Konto an.
- Wählen Sie Ressource erstellen aus. Geben Sie im Feld Marketplace durchsuchen die Zeichenfolge „Virtual Network“ ein. Suchen Sie in der zurückgegebenen Liste Virtuelles Netzwerk, und wählen Sie den Eintrag aus, um die Seite Virtuelles Netzwerk zu öffnen.
- Auf der Seite „Virtuelles Netzwerk“ finden Sie unter der Schaltfläche „Erstellen“ „Mit Resource Manager bereitstellen (zu klassischer Darstellung wechseln)“. Resource Manager ist das Standardtool zum Erstellen von VNets. Sie möchten kein Resource Manager-VNet erstellen. Wählen Sie (Zu klassischer Darstellung wechseln) aus, um ein klassisches VNet zu erstellen. Wählen Sie anschließend die Registerkarte Übersicht und dann Erstellen aus.
- Konfigurieren Sie auf der Seite Virtuelles Netzwerk erstellen (klassisch) auf der Registerkarte Grundlagen die VNet-Einstellungen mit den Beispielwerten.
- Wählen Sie Überprüfen und erstellen aus, um Ihr VNet zu überprüfen.
- Die Überprüfung wird ausgeführt. Wählen Sie Erstellen aus, nachdem das VNet überprüft wurde.
Die DNS-Einstellungen sind für diese Konfiguration nicht obligatorisch, aber das DNS wird benötigt, wenn Sie die Namensauflösung zwischen Ihren VMs nutzen möchten. Wenn ein Wert angegeben wird, wird kein neuer DNS-Server erstellt. Die IP-Adresse des angegebenen DNS-Servers muss dazu in der Lage sein, die Namen für die Ressourcen aufzulösen, mit denen Sie eine Verbindung herstellen möchten.
Nach Erstellung des virtuellen Netzwerks können Sie für die Namensauflösung die IP-Adresse eines DNS-Servers hinzufügen. Öffnen Sie die Einstellungen für Ihr virtuelles Netzwerk, wählen Sie „DNS-Server“ aus, und fügen Sie die IP-Adresse des gewünschten DNS-Servers hinzu, den Sie für die Namensauflösung verwenden möchten.
- Suchen Sie im Portal nach dem virtuellen Netzwerk.
- Wählen Sie auf der Seite für Ihr virtuelles Netzwerk im Abschnitt Einstellungen die Option DNS-Server aus.
- Fügen Sie einen DNS-Server hinzu.
- Wählen Sie oben auf der Seite Speichern aus, um Ihre Einstellungen zu speichern.
Konfigurieren von Standort und Gateway
So konfigurieren Sie den Standort
Mit dem lokalen Standort ist in der Regel Ihr lokaler Standort gemeint. Er enthält die IP-Adresse des VPN-Geräts, mit dem Sie eine Verbindung herstellen werden, sowie die IP-Adressbereiche, die über das VPN-Gateway an das VPN-Gerät weitergeleitet werden.
Wählen Sie auf der Seite für Ihr VNET unter Einstellungen die Option Site-to-Site-Verbindungen aus.
Wählen Sie auf der Seite „Site-to-Site-Verbindungen“ + Hinzufügen aus.
Lassen Sie auf der Seite VPN-Verbindung und Gateway konfigurieren für Verbindungstyp die Option Site-to-Site ausgewählt. Für diese Übung brauchen Sie eine Kombination aus Beispielwerten und eigenen Werten.
IP-Adresse des VPN-Gateways: Dies ist die öffentliche IP-Adresse des VPN-Geräts für Ihr lokales Netzwerk. Für das VPN-Gerät wird eine öffentliche IPv4-IP-Adresse benötigt. Geben Sie eine gültige öffentliche IP-Adresse für das VPN-Gerät an, mit dem Sie eine Verbindung herstellen möchten. Es muss in Azure erreichbar sein. Falls Sie die IP-Adresse Ihres VPN-Geräts nicht kennen, können Sie einfach einen Platzhalterwert (im Format einer gültigen öffentlichen IP-Adresse) angeben und den Wert später ändern.
Clientadressraum: Listen Sie die IP-Adressbereiche auf, die über dieses Gateway an das lokale Netzwerk weitergeleitet werden sollen. Sie können mehrere Adressraumbereiche hinzufügen. Stellen Sie sicher, dass sich die hier angegebenen Bereiche nicht mit den Bereichen anderer Netzwerke überlappen, mit denen Ihr virtuelles Netzwerk verbunden wird, oder mit den Adressbereichen des virtuellen Netzwerks selbst.
Wählen Sie unten auf der Seite NICHT die Option „Überprüfen + erstellen“ aus. Wählen Sie stattdessen Weiter: Gateway> aus.
So konfigurieren Sie das Gateway des virtuellen Netzwerks
Wählen Sie auf der Seite Gateway die folgenden Werte aus:
Size: Hierbei handelt es sich um die Gateway-SKU, die Sie bei der Erstellung Ihres Gateways für virtuelle Netzwerke verwenden. Klassische VPN-Gateways verwenden die alten Gateway-SKUs. Weitere Informationen zu den alten Gateway-SKUs finden Sie unter Arbeiten mit SKUs für virtuelle Netzwerkgateways (alte SKUs). Für diese Übung können Sie Standard auswählen.
Gatewaysubnetz: Die Größe des von Ihnen angegebenen Gatewaysubnetzes richtet sich nach der VPN-Gatewaykonfiguration, die Sie erstellen möchten. Obwohl es möglich ist, ein Gatewaysubnetz mit einer Größe von nur /29 zu erstellen, wird /27 oder /28 empfohlen. Dadurch wird ein größeres Subnetz erstellt, das mehr Adressen enthält. Die Verwendung eines größeren Gatewaysubnetzes ermöglicht die Vergabe einer ausreichenden Zahl von IP-Adressen für potenzielle zukünftige Konfigurationen.
Wählen Sie unten auf der Seite die Option Überprüfen + erstellen aus, um die Einstellungen zu überprüfen. Klicken Sie auf Erstellen, um die Bereitstellung durchzuführen. Abhängig von der ausgewählten SKU kann die Erstellung eines Gateways für virtuelle Netzwerke bis zu 45 Minuten dauern.
Konfigurieren des VPN-Geräts
Für Site-to-Site-Verbindungen mit einem lokalen Netzwerk ist ein VPN-Gerät erforderlich. In diesem Schritt konfigurieren Sie Ihr VPN-Gerät. Beim Konfigurieren des VPN-Geräts benötigen Sie die folgenden Werte:
- Einen gemeinsam verwendeten Schlüssel. Dies ist derselbe gemeinsame Schlüssel, den Sie beim Erstellen Ihrer Site-to-Site-VPN-Verbindung angeben. In unseren Beispielen verwenden wir einen einfachen gemeinsamen Schlüssel. Es wird empfohlen, einen komplexeren Schlüssel zu generieren.
- Die öffentliche IP-Adresse Ihres Gateways für virtuelle Netzwerke. Sie können die öffentliche IP-Adresse mit dem Azure-Portal, mit PowerShell oder mit der CLI anzeigen.
Abhängig von Ihrem VPN-Gerät können Sie möglicherweise ein Skript zur Konfiguration des VPN-Geräts herunterladen. Weitere Informationen finden Sie unter Herunterladen von VPN-Gerätekonfigurationsskripts für S2S-VPN-Verbindungen.
Weitere Konfigurationsinformationen finden Sie unter den folgenden Links:
Informationen zu kompatiblen VPN-Geräten finden Sie unter Über VPN-Geräte.
Überprüfen Sie vor dem Konfigurieren Ihres VPN-Geräts auf Bekannte Probleme mit der Gerätekompatibilität.
Links zu Gerätekonfigurationseinstellungen finden Sie unter Überprüfte VPN-Geräte. Wir stellen die Links zur Gerätekonfiguration nach bestem Wissen und Gewissen zur Verfügung, aber es ist immer am besten, sich beim Hersteller Ihres Geräts nach den neuesten Konfigurationsinformationen zu erkundigen.
Die Liste enthält die von uns getesteten Versionen. Wenn die Betriebssystemversion Ihres VPN-Geräts nicht auf der Liste steht, könnte es trotzdem kompatibel sein. Wenden Sie sich an Ihren Gerätehersteller.
Grundlegende Informationen zur Konfiguration von VPN-Geräten finden Sie unter Übersicht über die Konfigurationen von Partner-VPN-Geräten.
Informationen zur Bearbeitung von Gerätekonfigurationsbeispielen finden Sie unter Bearbeiten von Gerätekonfigurationsbeispielen.
Kryptografische Anforderungen finden Sie im Artikel zu kryptografischen Anforderungen und Azure-VPN-Gateways.
Informationen zu den Parametern, die Sie zur Vervollständigung Ihrer Konfiguration benötigen, finden Sie unter Standard IPsec/IKE-Parameter. Zu den Informationen gehören die IKE-Version, die Diffie-Hellman (DH)-Gruppe, die Authentifizierungsmethode, die Verschlüsselungs- und Hash-Algorithmen, die Lebensdauer der Sicherheitsbeziehung (SA), Perfect Forward Secrecy (PFS) und Dead Peer Detection (DPD).
Die Konfigurationsschritte für IPsec/IKE-Richtlinien finden Sie unter Konfigurieren von benutzerdefinierten IPsec/IKE-Verbindungsrichtlinien für S2S VPN und VNet-to-VNet.
Informationen zum Herstellen einer Verbindung für mehrere richtlinienbasierte VPN-Geräte finden Sie unter Herstellen einer Verbindung zwischen einem VPN-Gateway und mehreren lokalen richtlinienbasierten VPN-Geräten.
Abrufen der Werte
Beim Erstellen von klassischen VNETs im Azure-Portal ist der angezeigte Name nicht der vollständige Name, den Sie für PowerShell verwenden. Beispielsweise kann ein VNET, das im Azure-Portal als TestVNet1 angezeigt wird, in der Netzwerkkonfigurationsdatei einen viel längeren Namen haben. Für ein VNET in der Ressourcengruppe „ClassicRG“ kann der Name wie folgt aussehen: Gruppe ClassicRG TestVNet1. Bei der Erstellung Ihrer Verbindungen ist es wichtig, dass Sie die in der Netzwerkkonfigurationsdatei angezeigten Werte verwenden.
In den folgenden Schritten stellen Sie eine Verbindung zu Ihrem Azure-Konto her. Zudem laden Sie die Netzwerkkonfigurationsdatei herunter und zeigen diese an, um die für Ihre Verbindungen erforderlichen Werte abzurufen.
Laden Sie die aktuelle Version der PowerShell-Cmdlets der Azure-Dienstverwaltung herunter, und installieren Sie sie. In den meisten Bereitstellungen sind die Resource Manager-Module lokal installiert, sie verfügen aber nicht über Dienstverwaltungsmodule. Bei Dienstverwaltungsmodulen handelt es sich um Legacy-Software, daher müssen sie separat installiert werden. Weitere Informationen finden Sie unter Installieren von Cmdlets der Dienstverwaltung.
Öffnen Sie die PowerShell-Konsole mit erhöhten Rechten, und stellen Sie eine Verbindung mit Ihrem Konto her. Verwenden Sie die folgenden Beispiele, um eine Verbindung herzustellen. Sie müssen diese Befehle lokal mit dem PowerShell-Dienstverwaltungsmodul ausführen. Stellen Sie eine Verbindung mit Ihrem Konto her. Verwenden Sie das folgende Beispiel, um eine Verbindung herzustellen:
Add-AzureAccount
Überprüfen Sie die Abonnements für das Konto.
Get-AzureSubscription
Wenn Sie über mehr als ein Abonnement verfügen, wählen Sie das Abonnement aus, das Sie verwenden möchten.
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
Erstellen Sie ein Verzeichnis auf Ihrem Computer. Beispiel: C:\AzureVNet
Exportieren Sie die Netzwerkkonfigurationsdatei in das Verzeichnis. In diesem Beispiel wird die Netzwerkkonfigurationsdatei in das Verzeichnis C:\AzureNet exportiert.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
Öffnen Sie die Datei mit einem Texteditor und zeigen Sie die Namen für Ihre VNETs und Standorte an. Dies sind die Namen, die Sie beim Erstellen Ihrer Verbindungen verwenden.
VNET-Namen werden unter VirtualNetworkSite name = aufgelistet.
Standortnamen werden unter LocalNetworkSiteRef name = aufgelistet.
Erstellen der Verbindung
Hinweis
Beim klassischen Bereitstellungsmodell ist dieser Schritt im Azure-Portal oder über Azure Cloud Shell nicht verfügbar. Sie müssen die Dienstverwaltungsversion der Azure PowerShell-Cmdlets lokal auf Ihrem Desktop verwenden.
In diesem Schritt legen Sie den gemeinsam verwendeten Schlüssel unter Verwendung der Werte aus dem vorherigen Schritt fest und erstellen die Verbindung. Der von Ihnen festgelegte Schlüssel muss der gleiche sein, der auch in Ihrer VPN-Gerätekonfiguration verwendet wurde.
Legen Sie den gemeinsam verwendeten Schlüssel fest, und erstellen Sie die Verbindung.
- Ändern Sie den Wert von „-VNetName“ und „-LocalNetworkSiteName“. Setzen Sie den Wert in einfache Anführungszeichen, wenn ein Name Leerzeichen enthält.
- „-SharedKey“ ist ein Wert, den Sie generieren und dann angeben. Im Beispiel wurde „abc123“ verwendet, aber Sie können (und sollten) einen komplexeren Wert generieren. Entscheidend ist Folgendes: Der Wert, den Sie hier angeben, muss dem Wert entsprechen, den Sie beim Konfigurieren Ihres VPN-Geräts angegeben haben.
Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' ` -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
Wenn die Verbindung erstellt wird, lautet das Ergebnis: Status: Erfolgreich zurückgegeben werden.
Überprüfen der Verbindung
Im Azure-Portal können Sie zur gewünschten Verbindung navigieren und den Verbindungsstatus für eine klassische VNet-VPN Gateway-Instanz anzeigen. Die folgenden Schritte zeigen eine Möglichkeit, zu Ihrer Verbindung zu navigieren und sie zu überprüfen.
- Wechseln Sie im Azure-Portal zu Ihrem klassischen virtuellen Netzwerk (VNet).
- Klicken Sie auf der Seite des virtuellen Netzwerks auf die Art der Verbindung, die Sie anzeigen möchten. z. B. Site-to-Site-Verbindungen.
- Klicken Sie auf der Seite Site-to-Site-Verbindungen unter Name auf die Standortverbindung, die Sie anzeigen möchten.
- Sehen Sie sich auf der Seite Eigenschaften die Informationen zur Verbindung an.
Sollten bei der Verbindungsherstellung Probleme auftreten, wechseln Sie über das Inhaltsverzeichnis auf der linken Seite zum Abschnitt Problembehandlung.
Zurücksetzen einer VPN Gateway-Instanz
Das Zurücksetzen von Azure VPN Gateway-Instanzen ist nützlich, wenn die standortübergreifende VPN-Verbindung bei mindestens einem Site-to-Site-VPN-Tunnel unterbrochen ist. In diesem Fall funktionieren Ihre lokalen VPN-Geräte ordnungsgemäß, können jedoch keine IPsec-Tunnelverbindungen mit Azure VPN Gateway-Instanzen herstellen.
Das Cmdlet zum Zurücksetzen eines klassischen Gateways ist Reset-AzureVNetGateway. Die Azure PowerShell-Cmdlets für die Dienstverwaltung müssen lokal auf Ihrem Desktop installiert sein. Azure Cloud Shell können Sie nicht verwenden. Stellen Sie vor dem Zurücksetzen sicher, dass Sie die aktuelle Version der Dienstverwaltungs-PowerShell-Cmdlets installiert haben.
Wenn Sie diesen Befehl verwenden, müssen Sie den vollständigen Namen des virtuellen Netzwerks verwenden. Ein klassisches virtuelles Netzwerk, das über das Portal erstellt wurde, hat einen langen Namen, der für PowerShell erforderlich ist. Sie können den langen Namen mithilfe von Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml
anzeigen.
Im folgenden Beispiel wird das Gateway für ein virtuelles Netzwerk namens „Group TestRG1 TestVNet1“ (das im Portal einfach als „TestVNet1“ angezeigt wird) zurückgesetzt:
Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'
Ergebnis:
Error :
HttpStatusCode : OK
Id : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status : Successful
RequestId : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode : OK
Ändern der Größe einer Gateway-SKU
Um die Größe eines Gateways für das klassische Bereitstellungsmodell zu ändern, müssen Sie die PowerShell-Cmdlets für die Dienstverwaltung verwenden. Verwenden Sie den folgenden Befehl:
Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance
Nächste Schritte
- Sobald die Verbindung hergestellt ist, können Sie Ihren virtuellen Netzwerken virtuelle Computer hinzufügen. Weitere Informationen finden Sie unter Virtuelle Computer .
- Weitere Informationen zur Tunnelerzwingung finden Sie unter Informationen zur Tunnelerzwingung.