VPN Gateway-Topologie und -Entwurf
Für VPN Gateway-Verbindungen sind viele verschiedene Konfigurationsoptionen verfügbar. Orientieren Sie sich bei der Wahl einer Verbindungstopologie, die Ihren Anforderungen entspricht, an den Diagrammen und Beschreibungen in den folgenden Abschnitten. Die Diagramme zeigen die grundlegenden Topologien, aber Sie können auch komplexere Topologien erstellen, indem Sie die Diagramme als Anhaltspunkte verwenden.
Standort-zu-Standort-VPN-Verbindung
Eine VPN Gateway-S2S-Verbindung (Site-to-Site) ist eine Verbindung über einen VPN-Tunnel vom Typ „IPsec/IKE“ (IKEv1 oder IKEv2). Standort-zu-Standort-Verbindungen können für standortübergreifende Konfigurationen und Hybridkonfigurationen verwendet werden. Für Site-to-Site-Verbindungen wird ein lokales VPN-Gerät benötigt, dem eine öffentliche IP-Adresse zugewiesen ist.
Sie erstellen mehrere VPN-Verbindungen über Ihr Gateway für virtuelle Netzwerke, durch die in der Regel mehrere lokale Standorte verbunden werden. Wenn Sie mit mehreren Verbindungen arbeiten, müssen Sie den VPN-Typ „RouteBased“ verwenden. Da jedes virtuelle Netzwerk nur über ein einzelnes VPN-Gateway verfügen kann, wird die verfügbare Bandbreite von allen über das Gateway laufenden Verbindungen gemeinsam genutzt. Diese Art von Verbindungsdesign wird manchmal als Multi-Site-Konfiguration bezeichnet.
Wenn Sie ein Design für hoch verfügbare Gatewaykonnektivität erstellen möchten, können Sie Ihr Gateway so konfigurieren, dass es sich im Aktiv/Aktiv-Modus befindet. Mit diesem Modus können Sie zwei aktive Tunnel (eine von jeder Instanz des virtuellen Gatewaycomputers) für dasselbe VPN-Gerät konfigurieren, um hoch verfügbare Konnektivität zu erstellen. Ein weiterer Vorteil des Aktiv/Aktiv-Modus ist neben der hohen Verfügbarkeit der Verbindungen der höhere Durchsatz für die Kunden.
- Informationen zum Auswählen eines VPN-Geräts finden Sie unter Häufig gestellte Fragen zum VPN-Gateway.
- Informationen zu hoch verfügbaren Verbindungen finden Sie unter Entwerfen hochverfügbarer Verbindungen.
- Informationen zum Aktiv/Aktiv-Modus finden Sie unter Informationen zu Gateways im Aktiv/Aktiv-Modus.
Bereitstellungsmodelle und -methoden für S2S
| Bereitstellungsmodell | Azure portal | PowerShell | Azure CLI |
|---|---|---|---|
| Ressourcen-Manager | Tutorial | Tutorial | Tutorial |
Point-to-Site-VPN
Über ein Point-to-Site-VPN-Gateway (P2S) können Sie von einem einzelnen Clientcomputer aus eine sichere Verbindung mit Ihrem virtuellen Netzwerk herstellen. Eine Point-to-Site-Verbindung wird hergestellt, indem Sie die Verbindung vom Clientcomputer aus starten. Diese Lösung ist nützlich für Telearbeiter, die an einem Remotestandort (beispielsweise zu Hause oder in einer Konferenz) eine Verbindung mit Azure Virtual Networks herstellen möchten. Wenn nur einige wenige Clients eine Verbindung mit einem virtuellen Netzwerk herstellen müssen, ist ein Point-to-Site-VPN (und nicht ein Site-to-Site-VPN) ebenfalls eine nützliche Lösung.
Im Gegensatz zu Site-to-Site-Verbindungen ist für Point-to-Site-Verbindungen keine lokale öffentliche IP-Adresse bzw. kein VPN-Gerät erforderlich. Point-to-Site-Verbindungen können mit Site-to-Site-Verbindungen über das gleiche VPN-Gateway verwendet werden – vorausgesetzt, alle Konfigurationsanforderungen beider Verbindungen sind kompatibel. Weitere Informationen zu Point-to-Site-Verbindungen finden Sie unter Informationen zu Point-to-Site-VPN.
Bereitstellungsmodelle und -methoden für P2S
| Authentifizierungsmethode | Artikel |
|---|---|
| Zertifikat | Tutorial Vorgehensweise |
| Microsoft Entra ID | Vorgehensweise |
| RADIUS | Vorgehensweise |
P2S-VPN-Clientkonfiguration
| Authentifizierung | Tunneltyp | Clientbetriebssystem | VPN-Client |
|---|---|---|---|
| Zertifikat | |||
| IKEv2, SSTP | Windows | Nativer VPN-Client | |
| IKEv2 | macOS | Nativer VPN-Client | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN Client OpenVPN-Client |
|
| OpenVPN | macOS | OpenVPN-Client | |
| OpenVPN | iOS | OpenVPN-Client | |
| OpenVPN | Linux | Azure VPN Client OpenVPN-Client |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN Client | |
| OpenVPN | macOS | Azure VPN Client | |
| OpenVPN | Linux | Azure VPN Client |
VNet-zu-VNet-Verbindungen (IPsec-/IKE-VPN-Tunnel)
Das Verbinden eines virtuellen Netzwerks mit einem anderen virtuellen Netzwerk (VNet-zu-VNet) ähnelt dem Verbinden eines virtuellen Netzwerks mit einem lokalen Standort. Beide Verbindungstypen verwenden ein VPN-Gateway, um einen sicheren Tunnel mit IPsec/IKE bereitzustellen. Die VNet-zu-VNet-Kommunikation kann sogar mit Multi-Site-Verbindungskonfigurationen kombiniert werden. Auf diese Weise können Sie Netzwerktopologien einrichten, die standortübergreifende Konnektivität mit Konnektivität zwischen virtuellen Netzwerken kombinieren.
Für die Platzierung der virtuellen Netzwerke, die Sie verbinden, gibt es folgende Möglichkeiten:
- In derselben Region oder in verschiedenen Regionen
- In demselben Abonnement oder in verschiedenen Abonnements
- In demselben Bereitstellungsmodell oder in verschiedenen Bereitstellungsmodellen
Bereitstellungsmodelle und -methoden für VNet-zu-VNet
| Bereitstellungsmodell | Azure portal | PowerShell | Azure CLI |
|---|---|---|---|
| Ressourcen-Manager | Tutorial+ | Tutorial | Tutorial |
(+) bedeutet, dass diese Bereitstellungsmethode nur für VNets in demselben Abonnement verfügbar ist.
Manchmal möchten Sie möglicherweise Peering virtueller Netzwerke anstelle von VNet-zu-VNet verwenden, um Ihre virtuellen Netzwerke zu verbinden. Beim Peering virtueller Netzwerke wird kein VNET-Gateway verwendet. Weitere Informationen finden Sie unter Peering in virtuellen Netzwerken.
Parallel bestehende Site-to-Site- und ExpressRoute-Verbindungen
ExpressRoute ist eine direkte, private Verbindung zwischen Ihrem WAN (nicht über das öffentliche Internet) und Microsoft-Diensten, einschließlich Azure. Site-to-Site-VPN-Datenverkehr wird verschlüsselt über das öffentliche Internet gesendet. Die Möglichkeit, Site-to-Site-VPN- und ExpressRoute-Verbindungen für dasselbe virtuelle Netzwerk zu konfigurieren, hat mehrere Vorteile.
Sie können eine Site-to-Site-VPN-Verbindung als sicheren Failoverpfad für ExpressRoute konfigurieren oder für die Verbindung mit Websites nutzen, die nicht Teil Ihres Netzwerks, aber über ExpressRoute verbunden sind. Diese Konfiguration erfordert zwei VNET-Gateways für das gleiche virtuelle Netzwerk: eins mit dem Gatewaytyp Vpn und eins mit dem Gatewaytyp ExpressRoute.
Gleichzeitig bestehende Verbindungen für Bereitstellungsmodelle und -methoden für S2S und ExpressRoute
| Bereitstellungsmodell | Azure portal | PowerShell |
|---|---|---|
| Ressourcen-Manager | Tutorial | Tutorial |
Hoch verfügbare Verbindungen
Informationen zum Planen und Entwerfen von hoch verfügbaren Verbindungen, einschließlich Konfigurationen im Aktiv/Aktiv-Modus, finden Sie unter Entwerfen hoch verfügbarer Gatewaykonnektivität für standortübergreifende Verbindungen und VNet-zu-VNet-Verbindungen.
Nächste Schritte
Weitere Informationen finden Sie unter Häufig gestellte Fragen zum VPN-Gateway.
Erfahren Sie mehr über VPN Gateway-Konfigurationseinstellungen.
Überlegungen zum Border Gateway Protocol für VPN Gateways finden Sie unter Informationen zu BGP.
Sehen Sie sich die Abonnements und Diensteinschränkungen an.
Erfahren Sie mehr über die anderen zentralen Netzwerkfunktionen von Azure.