Freigeben über

Informationen zu VPN Gateway-Einstellungen

  • Artikel

Die Architektur für eine VPN-Gatewayverbindung verlässt sich auf die Konfiguration mehrerer Ressourcen, die jeweils konfigurierbare Einstellungen enthalten. In den Abschnitten in diesem Artikel werden die Ressourcen und Einstellungen beschrieben, die sich auf ein VPN-Gateway für ein virtuelles Netzwerk beziehen. Beschreibungen und Topologiediagramme für jede Verbindungslösung finden Sie im Artikel VPN Gateway-Topologie und -Entwurf.

Die Werte in diesem Artikel gelten für VPN-Gateways (virtuelle Netzwerkgateways, die „-GatewayType Vpn“ verwenden). Wenn Sie nach Informationen zu den folgenden Typen von Gateways suchen, lesen Sie die folgenden Artikel:

Gateways und Gatewaytypen

Ein virtuelles Netzwerkgateway besteht aus mindestens zwei von Azure verwalteten VMs, die automatisch konfiguriert und in einem von Ihnen erstellten speziellen Subnetz bereitgestellt werden, das als Gatewaysubnetz bezeichnet wird. Die Gateway-VMs enthalten Routingtabellen und führen bestimmte Gatewaydienste aus. Wenn Sie ein virtuelles Netzwerkgateway erstellen, werden die Gateway-VMs automatisch im Gateway-Subnetz (immer GatewaySubnet genannt) bereitgestellt und mit den von Ihnen angegebenen Einstellungen konfiguriert. Der Vorgang kann je nach gewählter Gateway-SKU 45 Minuten oder länger dauern.

Eine der Einstellungen, die Sie beim Erstellen eines virtuellen Netzwerkgateways angeben, ist der Gatewaytyp. Der Gatewaytyp bestimmt, wie das virtuelle Netzwerkgateway verwendet wird und welche Aktionen es ausführt. Ein virtuelles Netzwerk kann zwei virtuelle Netzwerkgateways besitzen, ein VPN-Gateway und ein ExpressRoute-Gateway. Das Argument „VPN“ für -GatewayType gibt an, dass es sich beim Typ des erstellten Gateways des virtuellen Netzwerks um ein VPN-Gateway handelt. Dadurch unterscheidet es sich von einem ExpressRoute-Gateway.

Gateway-SKUs und Leistung

Informationen zu Gateway-SKUs, zu den neuesten Informationen zu Gateway-SKUs, zur Leistung und zu unterstützten Funktionen finden Sie im Artikel Über Gateway-SKUs.

VPN-Typen

Azure unterstützt zwei verschiedene VPN-Typen für VPN-Gateways: richtlinienbasiert und routenbasiert. Routenbasierte VPN-Gateways basieren auf einer anderen Plattform als richtlinienbasierte VPN-Gateways. Dies führt zu unterschiedlichen Gatewayspezifikationen. In der folgenden Tabelle sind die Gateway-SKUs aufgeführt, die die einzelnen VPN-Typen und die zugehörigen unterstützten IKE-Versionen unterstützen.

Gateway-VPN-Typ Gateway-SKU Unterstützte IKE-Versionen
Richtlinienbasiertes Gateway Standard IKEv1
Routenbasiertes Gateway Standard IKEv2
Routenbasiertes Gateway VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 und IKEv2
Routenbasiertes Gateway VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 und IKEv2

In den meisten Fällen erstellen Sie ein routenbasiertes VPN-Gateway. Zuvor hatten die älteren Gateway-SKUs IKEv1 für routenbasierte Gateways nicht unterstützt. Derzeit werden IKEv1 und IKEv2 von den meisten aktuellen Gateway-SKUs unterstützt.

  • Ab dem 1. Oktober 2023 können richtlinienbasierte Gateways nur mithilfe von PowerShell oder CLI konfiguriert werden und sind nicht im Azure-Portal verfügbar. Informationen zum Erstellen eines richtlinienbasierten Gateways finden Sie unter Erstellen eines Basic-SKU-VPN-Gateways mit PowerShell.

  • Wenn Sie bereits über ein richtlinienbasiertes Gateway verfügen, müssen Sie Ihr Gateway nicht zu „routingbasiert“ ändern, es sei denn, Sie möchten eine Konfiguration verwenden, die ein routingbasiertes Gateway erfordert, z. B. Punkt-zu-Site.

  • Sie können ein richtlinienbasiertes Gateway nicht in routingbasiert konvertieren. Sie müssen das vorhandene Gateway löschen und dann ein neues Gateway als routenbasiertes erstellen.

Gateways im Aktiv/Aktiv-Modus

Azure-VPN-Gateways können als „Aktiv/Standby“ oder „Aktiv/Aktiv“ konfiguriert werden. In einer Aktiv/Aktiv-Konfiguration erstellen beide Instanzen der Gateway-VMs jeweils S2S-VPN-Tunnel zu Ihrem lokalen VPN-Gerät. Aktiv/Aktiv-Gateways sind ein wichtiger Bestandteil des Entwurfs für hochverfügbare Gatewaykonnektivität. Weitere Informationen finden Sie in den folgenden Artikeln:

Private Gateway-IP-Adressen

Diese Einstellung wird für bestimmte private Peeringkonfigurationen von ExpressRoute verwendet. Es ist möglich, eine Standort-zu-Standort-VPN-Verbindung über privates ExpressRoute-Peering zu konfigurieren.

Verbindungstypen

Für jede Verbindung ist ein bestimmter Verbindungstyp für virtuelle Netzwerkgateways erforderlich. Die verfügbaren PowerShell-Werte für New-AzVirtualNetworkGatewayConnection -Connection Type lauten: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.

Verbindungsmodi

Die Eigenschaft „Verbindungsmodus“ gilt nur für routenbasierte VPN-Gateways, die IKEv2-Verbindungen verwenden. Verbindungsmodi definieren die Richtung der Verbindungsinitiierung und gelten nur für die anfängliche Herstellung der IKE-Verbindung. Jede Partei kann Neuschlüssel und weitere Nachrichten initiieren. InitiatorOnly bedeutet, dass die Verbindung von Azure initiiert werden muss. ResponderOnly bedeutet, dass die Verbindung vom lokalen Gerät initiiert werden muss. Das Standardverhalten ist Akzeptieren und Wählen, unabhängig davon, welche Partei zuerst eine Verbindung herstellt.

Gatewaysubnetz

Bevor Sie ein VPN-Gateway erstellen, müssen Sie ein Gatewaysubnetz erstellen. Das Gatewaysubnetz enthält die IP-Adressen, die von den VMs und Diensten des virtuellen Netzwerkgateways verwendet werden. Bei der Erstellung des Gateways des virtuellen Netzwerks, werden Gateway-VMs für das Gatewaysubnetz bereitgestellt und mit den erforderlichen VPN Gateway-Einstellungen konfiguriert. Stellen Sie für das Gatewaysubnetz nie etwas anderes bereit (beispielsweise zusätzliche VMs). Das Gatewaysubnetz muss den Namen „GatewaySubnet“ aufweisen, damit es einwandfrei funktioniert. Wenn Sie dem Gatewaysubnetz den Namen „GatewaySubnet“ zugewiesen haben, erkennt Azure, dass es sich dabei um das Subnetz handelt, für das die VMs und Dienste des virtuellen Netzwerkgateways bereitgestellt werden sollen.

Bei der Gatewayerstellung geben Sie die Anzahl der im Subnetz enthaltenen IP-Adressen an. Die IP-Adressen im Gatewaysubnetz werden den Gatewaydiensten und -VMs zugeordnet. Einige Konfigurationen erfordern mehr IP-Adressen als andere.

Beziehen Sie sich beim Planen der Größe Ihres Gatewaysubnetzes auf die Dokumentation für die Konfiguration, die Sie erstellen möchten. Beispielsweise erfordert die Konfiguration für die parallele Ausführung von ExpressRoute/VPN Gateway ein größeres Subnetz als die meisten anderen Konfigurationen. Es ist zwar möglich, ein kleines Gatewaysubnetz der Größe /29 zu erstellen (gilt nur für die Basic SKU), alle anderen SKUs erfordern jedoch mindestens ein Gatewaysubnetz der Größe /27 (/27, /26, /25 usw.). Sie sollten ein Gatewaysubnetz erstellen, das größer als /27 ist, damit das Subnetz über genügend IP-Adressen verfügt, um mögliche künftige Konfigurationen aufnehmen zu können.

Im folgenden PowerShell-Beispiel wird ein Gatewaysubnetz namens GatewaySubnet gezeigt. Sie erkennen, das mit der CIDR-Notation die Größe /27 angegeben wird. Dies ist für eine ausreichende Zahl von IP-Adressen für die meisten Konfigurationen, die derzeit üblich sind, groß genug.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Überlegungen:

  • Benutzerdefinierte Routen mit einem 0.0.0.0/0-Ziel und NSGs im Gatewaysubnetz werden nicht unterstützt. Gateways mit dieser Konfiguration können nicht erstellt werden. Gateways benötigen für die ordnungsgemäße Funktion Zugriff auf die Verwaltungscontroller. BGP-Routenverteilung sollte für das Gatewaysubnetz auf „Aktiviert“ festgelegt werden, um die Verfügbarkeit des Gateways zu gewährleisten. Wenn die BGP-Routenverteilung auf deaktiviert festgelegt ist, funktioniert das Gateway nicht.

  • Diagnose, Datenpfad und Steuerungspfad können betroffen sein, wenn sich eine benutzerdefinierte Route mit dem Subnetzbereich des Gateways oder dem öffentlichen IP-Bereich des Gateways überschneidet.

Lokale Netzwerkgateways

Ein Gateway des lokalen Netzwerks unterscheidet sich von einem Gateway für virtuelle Netzwerke. Wenn Sie mit einer Site-to-Site-Architektur eines VPN-Gateways arbeiten, stellt das lokale Netzwerkgateway in der Regel Ihr lokales Netzwerk und das entsprechende VPN-Gerät dar.

Wenn Sie ein lokales Netzwerkgateway konfigurieren, geben Sie den Namen, die öffentliche IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des lokalen VPN-Geräts sowie die Adresspräfixe an, die sich am lokalen Standort befinden. Azure sucht unter den Zieladresspräfixen nach Netzwerkdatenverkehr, sieht in der Konfiguration nach, die Sie für das lokale Netzwerkgateway angegeben haben, und routet die Pakete entsprechend. Wenn Sie das Border Gateway Protocol (BGP) auf Ihrem VPN-Gerät verwenden, geben Sie die IP-Adresse des BGP-Peers Ihres VPN-Geräts und die autonome Systemnummer (ASN) Ihres lokalen Systems an. Sie geben auch Gateways des lokalen Netzwerks für VNet-zu-VNet-Konfigurationen an, die eine VPN-Gatewayverbindung verwenden.

Mit dem folgenden PowerShell-Beispiel wird ein neues Gateway des lokalen Netzwerks erstellt:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Manchmal müssen Sie die Einstellungen des Gateways des lokalen Netzwerks ändern, beispielsweise wenn Sie den Adressbereich erweitern oder ändern oder wenn sich die IP-Adresse des VPN-Geräts ändert. Weitere Informationen finden Sie unter Ändern der Einstellungen des lokalen Netzwerkgateways.

REST-APIs, PowerShell-Cmdlets und CLI

Zusätzliche technische Ressourcen und spezielle Syntaxanforderungen bei der Verwendung von REST-APIs, PowerShell-Cmdlets oder Azure CLI für VPN Gateway-Konfigurationen finden Sie auf den folgenden Seiten:

Nächste Schritte

Weitere Informationen zu verfügbaren Verbindungskonfigurationen finden Sie unter Informationen zu VPN Gateway.