Herstellen einer Verbindung zwischen einem VPN Gateway (VNet-Gateway) und Virtual WAN

  • Artikel

Dieser Artikel unterstützt Sie beim Einrichten einer Verbindung zwischen einem Azure VPN Gateway (VNet-Gateway) und einem Azure Virtual WAN (VPN-Gateway). Das Erstellen einer Verbindung von einem VPN-Gateway (VNet-Gateway) zu einem Virtual WAN (VPN Gateway) weist Ähnlichkeit mit dem Einrichten einer Verbindung zu einem Virtual WAN ausgehend von VPN-Zweigstellen auf.

Um mögliche Verwechslungen zwischen zwei Funktionen zu minimieren, wird dem Gateway der Name der Funktion vorangestellt, auf die verwiesen wird. Beispiel: VPN Gateway VNet-Gateway und Virtual WAN VPN-Gateway.

Voraussetzungen

Erstellen Sie die folgenden Ressourcen, bevor Sie beginnen:

Azure Virtual WAN

Virtuelles Netzwerk (für virtuelles Netzwerk-Gateway)

  • Erstellen Sie ein virtuelles Netzwerk ohne VNet-Gateways. Dieses virtuelle Netzwerk wird in späteren Schritten mit einem aktiven/aktiven virtuellen Netzwerk-Gateway konfiguriert. Stellen Sie sicher, dass sich kein Subnetz Ihres lokalen Netzwerks mit den virtuellen Netzwerken für die Verbindungsherstellung überschneidet.

1. Konfigurieren Sie das virtuelle Netzwerk-Gateway VPN Gateway

In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk-Gateway VPN Gateway im Aktiv-Aktiv-Modus für Ihr virtuelles Netzwerk. Beim Erstellen des Gateways können Sie entweder vorhandene öffentliche IP-Adressen für die beiden Instanzen des Gateways verwenden oder neue öffentliche IP-Adressen erstellen. Diese öffentlichen IP-Adressen werden beim Einrichten der Virtual WAN-Standorte verwendet.

  1. Erstellen Sie ein virtuellen Netzwerk-Gateway für VPN Gateways im Aktiv/Aktiv-Modus für das virtuelle Netzwerk. Weitere Informationen zu Aktiv/Aktiv-VPN-Gateways und Konfigurationsschritten finden Sie unter Konfigurieren von Aktiv/Aktiv-VPN-Gateways.

  2. In den folgenden Abschnitten finden Sie Beispiele für die Einstellungen Ihres virtuellen Netzwerk-Gateways.

    • Einstellung des aktiv-aktiv-Modus – Stellen Sie auf der Seite Konfiguration des virtuellen Netzwerk-Gateways sicher, dass der aktiv-aktiv-Modus aktiviert ist.

      Screenshot zeigt einen virtuellen Netzwerkgateway mit aktiviertem Aktiv-Aktiv-Modus.

    • BGP-Einstellung – Auf der Seite Konfiguration des virtuellen Netzwerk-Gateways können Sie (optional) BGP ASN konfigurieren auswählen. Wenn Sie BGP konfigurieren, ändern Sie den Standardwert der ASN, der im Portal angezeigt wird. Für diese Konfiguration darf die BGP-ASN nicht 65515 lauten. 65515 wird von Azure Virtual WAN verwendet.

      Screenshot der Seite „Konfiguration“ des Gateways eines virtuellen Netzwerks mit Auswahl von „BGP-ASN konfigurieren“.

    • Öffentliche IP-Adressen – Sobald das Gateway erstellt ist, gehen Sie auf die Seite Eigenschaften. Die Eigenschaften und Konfigurationseinstellungen sehen ähnlich aus wie im folgenden Beispiel. Beachten Sie die beiden öffentlichen IP-Adressen, die für das Gateway verwendet werden.

      Screenshot zeigt die Seite „Eigenschaften des virtuellen Netzwerkgateways“ mit ausgewählten Eigenschaften.

2. Erstellen von Virtual WAN VPN-Standorten

In diesem Abschnitt erstellen Sie zwei Virtual WAN VPN-Standorte, die den im vorherigen Abschnitt erstellten VNet-Gateways entsprechen.

  1. Gehen Sie auf der Seite Virtuelles WAN auf VPN-Standorte.

  2. Wählen Sie auf der Seite VPN-Standorte die Option +Standort erstellen aus.

  3. Füllen Sie auf der Seite VPN-Standort erstellen auf der Registerkarte Grundlagen die folgenden Felder aus:

    • Region: Geben Sie dieselbe Region wie für das Gateway für virtuelle Netzwerke von Azure VPN Gateway ein.
    • Name: Beispiel: Standort1
    • Gerätehersteller: Der Name des VPN-Geräteherstellers (z. B. Citrix, Cisco, Barracuda). Das Hinzufügen des Geräteherstellers kann dem Azure-Team helfen, Ihre Umgebung besser zu verstehen, um in Zukunft weitere Optimierungsmöglichkeiten hinzuzufügen oder Sie bei der Problembehandlung zu unterstützen.
    • Privater Adressraum: Geben Sie einen Wert ein, oder lassen Sie das Feld leer, wenn BGP aktiviert ist.

  4. Wählen Sie Weiter: Links>, um zur Seite Links zu gelangen.

  5. Füllen Sie auf der Seite Links die folgenden Felder aus:

    • Linkname: Ein Name, den Sie für die physische Verbindung am VPN-Standort angeben möchten. Beispiel: Link1.
    • Verbindungsgeschwindigkeit: Die Geschwindigkeit des VPN-Geräts am Zweigstellenstandort. Beispiel: Der Wert 50 entspricht einer Geschwindigkeit von 50 MBit/s für das VPN-Gerät am Zweigstellenstandort.
    • Link provider name (Verbindungsanbietername): Der Name des Anbieters der physischen Verbindung am VPN-Standort. Beispiel: ATT, Verizon.
    • Link IP-Addresse – Geben Sie die IP-Adresse ein. Bei dieser Konfiguration ist es dieselbe wie die erste öffentliche IP-Adresse, die unter den Eigenschaften des virtuellen Netzwerk-Gateways (VPN Gateway) angezeigt wird.
    • BGP-Adresse und ASN – Diese müssen mit einer der BGP-Peer-IP-Adressen und ASN des virtuellen Netzwerk-Gateways VPN Gateway übereinstimmen, das Sie in Schritt 1 konfiguriert haben.

  6. Nachdem Sie die Felder ausgefüllt haben, wählen Sie Überprüfen + erstellen aus, um die Eingaben zu überprüfen. Wählen Sie Erstellen aus, um den Standort zu erstellen.

  7. Wiederholen Sie die vorherigen Schritte, um den zweiten Standort entsprechend der zweiten Instanz des VPN Gateway VNet-Gateways zu erstellen. Sie übernehmen die gleichen Einstellungen, verwenden allerdings die zweite öffentliche IP-Adresse und die zweite BGP-Peer-IP-Adresse der VPN Gateway-Konfiguration.

  8. Sie haben nun zwei Standorte erfolgreich eingerichtet.

3. Verbinden Sie Standorte mit dem virtuellen Hub

Als nächstes verbinden Sie beide Standorte mit Ihrem virtuellen Hub, indem Sie die folgenden Schritte ausführen. Weitere Informationen zum Verbinden von Standorten finden Sie unter Verbinden von VPN-Standorten mit einem virtuellen Hub.

  1. Wechseln Sie auf der Seite Ihrer Virtual WAN-Instanz zu Hubs.

  2. Klicken Sie auf der Seite Hubs auf den Hub, den Sie erstellt haben.

  3. Wählen Sie auf der Seite für den Hub, den Sie erstellt haben, im linken Bereich VPN (Standort zu Standort).

  4. Auf der Seite VPN (Standort zu Standort) sollten Ihre Standorte angezeigt werden. Falls nicht, müssen Sie möglicherweise auf die Blase Hubzuordnung:x klicken, um die Filter zu löschen und Ihre Website anzeigen zu können.

  5. Aktivieren Sie das Kontrollkästchen neben den Namen der beiden Standorte (klicken Sie nicht direkt auf den Standortnamen), und klicken Sie dann auf VPN-Standorte verbinden.

  6. Konfigurieren Sie auf der Seite Standorte verbinden die erforderlichen Einstellungen. Achten Sie darauf, dass Sie den Wert des Vorinstallierter Schlüssels notieren, den Sie verwenden. Er wird später in der Übung wieder verwendet, wenn Sie Ihre Verbindungen erstellen.

  7. Wählen Sie am unteren Rand der Seite die Option Verbinden aus. Es dauert eine kurze Zeit, bis der Hub mit den Einstellungen des Standorts aktualisiert wird.

4. Laden Sie die VPN-Konfigurationsdateien herunter

In diesem Abschnitt laden Sie die VPN-Konfigurationsdatei für die Standorte herunter, die Sie im vorherigen Abschnitt erstellt haben.

  1. Gehen Sie auf der Seite Virtuelles WAN auf VPN-Standorte.

  2. Wählen Sie auf der Seite VPN-Standorte oben auf der Seite die Option Standort-zu-Standort-VPN-Konfiguration herunterladen und laden Sie die Datei herunter. Azure erstellt eine Konfigurationsdatei mit den erforderlichen Werten, die im nächsten Abschnitt zur Konfiguration Ihrer lokalen Netzwerk-Gateways verwendet werden.

    Screenshot der Seite „VPN-Sites“ mit ausgewählter Aktion „Site-to-Site-VPN-Konfiguration herunterladen“.

5. Erstellen Sie die lokalen Netzwerk-Gateways

In diesem Abschnitt erstellen Sie zwei lokale Azure VPN Gateway Netzwerkgateways. Die Konfigurationsdateien aus dem vorherigen Schritt enthalten die Gatewaykonfigurationseinstellungen. Verwenden Sie diese Einstellungen, um die lokalen Azure VPN Gateway Netzwerkgateways zu erstellen und zu konfigurieren.

  1. Erstellen Sie das Netzwerkgateway mit diesen Einstellungen. Informationen zum Erstellen eines lokalen VPN Gateway Netzwerkgateways finden Sie im VPN Gateway-Artikel Erstellen eines lokalen Netzwerkgateways.

    • IP-Adresse: Verwenden Sie die IP-Adresse von Instance0 für gatewayconfiguration aus der Konfigurationsdatei.
    • BGP: Wenn die Verbindung über BGP erfolgt, wählen Sie BGP-Einstellungen konfigurieren aus und geben Sie die ASN „65515“ ein. Geben Sie die BGP-Peer-IP-Adresse ein. Verwenden Sie „Instance0 BgpPeeringAddresses“ für gatewayconfiguration aus der Konfigurationsdatei.
    • Adressraum – Wenn die Verbindung nicht über BGP erfolgt, stellen Sie sicher, dass BGP-Einstellungen konfigurieren deaktiviert bleibt. Geben Sie die Adressräume ein, die Sie über die Gatewayseite des virtuellen Netzwerks ankündigen werden. Sie können mehrere Adressraumbereiche hinzufügen. Achten Sie darauf, dass sich die hier angegebenen Bereiche nicht mit den Bereichen anderer Netzwerke überschneiden, mit denen Sie eine Verbindung herstellen möchten.
    • Abonnement, Ressourcengruppe und Standort stimmen mit den Werten für den Virtual WAN-Hub überein.

  2. Überprüfen und erstellen Sie das lokalen Netzwerkgateway. Das lokale Netzwerkgateway sollte ungefähr wie in diesem Beispiel aussehen.

    Screenshot zeigt die Seite „Konfiguration“ mit hervorgehobener IP-Adresse für das lokale Netzwerkgateway 1.

  3. Wiederholen Sie diese Schritte, um ein weiteres lokales Netzwerkgateway zu erstellen. Verwenden Sie jedoch dieses Mal die Werte für Instance1 anstelle der Werte für Instance0 aus der Konfigurationsdatei.

    Screenshot zeigt die Seite „Konfiguration“ mit hervorgehobener IP-Adresse für das lokale Netzwerkgateway 2.

Wichtig

Hinweis: Wenn Sie eine BGP-über-IPsec-Verbindung mit einer öffentlichen IP-Adresse konfigurieren, bei der es sich NICHT um eine öffentliche IP-Adresse des vWAN-Gateways mit der Remote-ASN „65515“ handelt, ist die Bereitstellung des lokalen Netzwerkgateways nicht erfolgreich, da die ASN „65515“ eine dokumentierte reservierte ASN ist, wie unter Welche autonomen Systemnummern (ASNs) kann ich verwenden? erläutert. Wenn das lokale Netzwerkgateway dagegen die öffentliche vWAN-Adresse mit der Remote-ASN „65515“ liest, wird diese Einschränkung durch die Plattform aufgehoben.

6. Erstellen Sie Verbindungen

In diesem Abschnitt erstellen Sie eine Verbindung zwischen den lokalen VPN Gateway Netzwerkgateways und dem VNet-Gateway. Weitere Informationen zu den Schritten zum Erstellen einer VPN Gateway-Verbindung finden Sie unter Konfigurieren einer Verbindung.

  1. Gehen Sie im Portal zu Ihrem virtuellen Netzwerk-Gateway und wählen Sie Verbindungen. Wählen Sie oben auf der Seite „Verbindungen“ die Option +Hinzufügen aus, um die Seite Verbindung hinzufügen zu öffnen.

  2. Konfigurieren Sie auf der Seite Verbindung hinzufügen die folgenden Werte für Ihre Verbindung:

    • Name: Benennen Sie Ihre Verbindung.
    • Verbindungstyp: Wählen Sie Standort-zu-Standort (IPsec) aus.
    • Gateway für virtuelle Netzwerke: Der Wert ist festgelegt, da Sie von diesem Gateway aus die Verbindung herstellen.
    • Lokales Netzwerkgateway: Diese Verbindung verbindet das VNet-Gateway mit dem lokalen Netzwerkgateway. Wählen Sie eines der lokalen Netzwerkgateways aus, das Sie zuvor erstellt haben.
    • Freigegebener Schlüssel: Geben Sie den freigegebenen Schlüssel von vorhin ein.
    • IKE-Protokoll: Wählen Sie das IKE-Protokoll aus.

  3. Wählen Sie OK, um die Verbindung zu erstellen.

  4. Die Verbindung wird auf der Seite Verbindungen des Gateways für virtuelle Netzwerke angezeigt.

  5. Wiederholen Sie anschließend die oben aufgeführten Schritte, um eine weitere Verbindung zu erstellen. Wählen Sie für die zweite Verbindung das andere lokale Netzwerkgateway aus, das Sie erstellt haben.

  6. Wenn die Verbindungen über BGP hergestellt wurden, gehen Sie nach dem Erstellen der Verbindungen zu der Verbindung, und wählen Sie Konfiguration aus. Wählen Sie auf der Seite Konfiguration für BGP die Option Aktiviert aus. Wählen Sie anschließend Speichern aus.

  7. Wiederholen Sie dies für die zweite Verbindung.

7. Testen Sie die Verbindungen

Sie können die Konnektivität testen, indem Sie zwei virtuelle Computer erstellen, einen auf der Seite des VPN Gateway VNet-Gateways und einen in einem virtuellen Netzwerk für das Virtual WAN. Anschließend können Sie die beiden virtuellen Computer pingen.

  1. Erstellen Sie einen virtuellen Computer im virtuellen Netzwerk (Test1-VNet) für das Azure VPN Gateway (Test1-VNG). Erstellen Sie den virtuellen Computer nicht im GatewaySubnet.

  2. Erstellen Sie ein weiteres virtuelles Netzwerk, das mit dem Virtual WAN verbunden werden soll. Erstellen Sie einen virtuellen Computer in einem Subnetz dieses virtuellen Netzwerks. Dieses virtuelle Netzwerk darf keine virtuellen Netzwerk-Gateways enthalten. Sie können mit den PowerShell-Schritten im Artikel Site-to-Site-Verbindung schnell ein virtuelles Netzwerk erstellen. Achten Sie darauf, die Werte zu ändern, bevor Sie das Cmdlet ausführen.

  3. Verbinden Sie das VNet mit dem Virtual WAN-Hub. Klicken Sie auf der Seite für das Virtual WAN auf Virtuelle Netzwerkverbindungen und dann auf + Verbindung hinzufügen. Füllen Sie auf der Seite Add connection (Verbindung hinzufügen) die folgenden Felder aus:

    • Verbindungsname: Dies ist der Name Ihrer Verbindung.
    • Hubs: Wählen Sie den Hub aus, den Sie dieser Verbindung zuordnen möchten.
    • Abonnement: Überprüfen Sie das Abonnement.
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, das Sie mit diesem Hub verbinden möchten. Für das virtuelle Netzwerk kann nicht bereits ein Gateway für virtuelle Netzwerke vorhanden sein.

  4. Wählen Sie OK, um die VNet-Verbindung zu erstellen.

  5. Zwischen den VMs besteht jetzt eine Verbindung. Sie sollten in der Lage sein, eine VM ausgehend von der anderen zu pingen, sofern es keine Firewalls oder andere Richtlinien gibt, die die Kommunikation blockieren.

Nächste Schritte