Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Über ein Point-to-Site-VPN-Gateway (P2S) können Sie von einem einzelnen Clientcomputer aus eine sichere Verbindung mit Ihrem virtuellen Netzwerk herstellen. Eine P2S-Verbindung wird hergestellt, indem Sie die Verbindung vom Clientcomputer aus starten. In diesem Artikel wird erläutert, wie Sie den Grenzwert von 128 gleichzeitigen Verbindungen von SSTP durch den Übergang zum OpenVPN-Protokoll oder zu IKEv2 überschreiten können.
Welches Protokoll verwendet P2S?
P2S-VPN kann eins der folgenden Protokolle verwenden:
OpenVPN®-Protokoll, ein auf SSL/TLS basierendes VPN-Protokoll. Eine SSL-VPN-Lösung kann Firewalls durchdringen, da die meisten Firewalls den von SSL verwendeten TCP-Port 443 für ausgehenden Datenverkehr öffnen. OpenVPN kann zum Herstellen einer Verbindung von Android-, iOS- (Version 11.0 und höher), Windows-, Linux- und Mac-Geräten (macOS-Version 12.x und höher) verwendet werden.
Secure Socket Tunneling-Protokoll (SSTP) , ein proprietäres SSL-basiertes VPN-Protokoll. Eine SSL-VPN-Lösung kann Firewalls durchdringen, da die meisten Firewalls den von SSL verwendeten TCP-Port 443 für ausgehenden Datenverkehr öffnen. SSTP wird nur auf Windows-Geräten unterstützt. Azure unterstützt alle Versionen von Windows, die über SSTP verfügen (Windows 7 und höher). SSTP unterstützt unabhängig von der Gateway-SKU nur bis zu 128 gleichzeitige Verbindungen.
IKEv2-VPN, eine standardbasierte IPsec-VPN-Lösung. IKEv2-VPN kann zum Herstellen einer Verbindung von Mac-Geräten (macOS-Version 10.11 und höher) verwendet werden.
Hinweis
Die Gateway-SKU „Basic“ bietet keine Unterstützung für die Protokolle IKEv2 und OpenVPN. Wenn Sie die Basic-SKU verwenden, müssen Sie das Gateway löschen und ein neues VNET-Gateway mit Produktions-SKU erstellen.
Migrieren von SSTP zu IKEv2 oder OpenVPN
In einigen Fällen möchten Sie möglicherweise mehr als 128 gleichzeitige P2S-Verbindungen mit einem VPN-Gateway unterstützen, verwenden jedoch SSTP. In einem solchen Fall müssen Sie zu einem der Protokolle IKEv2 oder OpenVPN wechseln.
Option 1: Hinzufügen von IKEv2 als Ergänzung zu SSTP auf dem Gateway
Dies ist die einfachste Möglichkeit. SSTP und IKEv2 können gleichzeitig auf demselben Gateway vorhanden sein und eine größere Anzahl gleichzeitiger Verbindungen ermöglichen. Sie können IKEv2 für das vorhandene Gateway aktivieren und das Clientkonfigurationspaket herunterladen, das die aktualisierten Einstellungen enthält.
Das Hinzufügen von IKEv2 zu einem vorhandenen SSTP-VPN-Gateway hat keine Auswirkungen auf vorhandene Clients, und Sie können sie für die Verwendung von IKEv2 in kleinen Batches konfigurieren oder nur die neuen Clients für die Verwendung von IKEv2 konfigurieren. Wenn ein Windows-Client sowohl für SSTP als auch für IKEv2 konfiguriert ist, wird zunächst versucht, eine Verbindung über IKEv2 herzustellen. Wenn dies nicht funktioniert, wird auf SSTP zurückgegriffen.
IKEv2 verwendet nicht die UDP-Standardports. Daher müssen Sie sicherstellen, dass diese Ports nicht durch die Firewall des Benutzers blockiert werden. Die verwendeten Ports sind UDP 500 und 4500.
- Wenn Sie IKEv2 zu einem vorhandenen Gateway hinzufügen möchten, wechseln Sie zum VNET-Gateway im Portal.
- Wählen Sie im linken Bereich Point-to-Site-Konfiguration aus.
- Wählen Sie auf der Seite „Point-to-Site-Konfiguration“ für Tunneltyp im Dropdownfeld IKEv2 und SSTP (SSL) aus.
- Wenden Sie Ihre Änderungen an.
Hinweis
Wenn Sie sowohl SSTP als auch IKEv2 auf dem Gateway aktiviert haben, wird der Point-to-Site-Adresspool statisch zwischen beiden Protokollen aufgeteilt, sodass Clients, die unterschiedliche Protokolle verwenden, IP-Adressen aus beiden Unterbereichen zugewiesen werden. Beachten Sie, dass die maximale Anzahl von SSTP-Clients immer 128 beträgt. Dies gilt auch, wenn der Adressbereich größer als /24 ist, was zu einer größeren Menge von Adressen führt, die für IKEv2-Clients verfügbar sind. Bei kleineren Bereichen wird der Pool in zwei gleiche Teile geteilt. Datenverkehrsselektoren, die vom Gateway verwendet werden, enthalten möglicherweise nicht den CIDR für den Point-to-Site-Adressbereich, sondern die beiden Unterbereichs-CIDRs.
Option 2: Entfernen von SSTP und Aktivieren von OpenVPN auf dem Gateway
Da sowohl SSTP als auch OpenVPN TLS-basierte Protokolle sind, können sie nicht auf demselben Gateway gleichzeitig vorhanden sein. Wenn Sie von SSTP zu OpenVPN wechseln möchten, müssen Sie SSTP deaktivieren und OpenVPN auf dem Gateway aktivieren. Dieser Vorgang bewirkt, dass die vorhandenen Clients ihre Verbindung mit dem VPN-Gateway verlieren, bis das neue Profil auf dem Client konfiguriert wurde.
Wenn Sie möchten, können Sie OpenVPN neben IKEv2 aktivieren. OpenVPN ist TLS-basiert und verwendet den TCP-Standardport 443.
- Um zu OpenVPN zu wechseln, navigieren Sie zu Ihrem VNET-Gateway im Portal.
- Wählen Sie im linken Bereich Point-to-Site-Konfiguration aus.
- Wählen Sie auf der Seite „Point-to-Site-Konfiguration“ für Tunneltyp im Dropdownfeld OpenVPN (SSL) oder IKEv2 und OpenVPN (SSL) aus.
- Wenden Sie Ihre Änderungen an.
Nachdem das Gateway konfiguriert wurde, können vorhandene Clients erst wieder eine Verbindung herstellen, wenn Sie die OpenVPN-Clients bereitstellen und konfigurieren. Wenn Sie Windows 10 oder höher verwenden, können Sie auch den Azure VPN Client verwenden.
Häufig gestellte Fragen
Welche Anforderungen an die Clientkonfiguration müssen erfüllt sein?
Hinweis
Bei Windows-Clients müssen Sie über Administratorrechte auf dem Clientgerät verfügen, um die VPN-Verbindung von dem Clientgerät zu Azure zu initiieren.
Benutzer verwenden die nativen VPN-Clients auf Windows- und Mac-Geräten für P2S. Azure bietet eine ZIP-Datei mit der VPN-Clientkonfiguration, die Einstellungen enthält, die diese nativen Clients zum Herstellen einer Verbindung mit Azure benötigen.
- Bei Windows-Geräten besteht die VPN-Clientkonfiguration aus einem Installer-Paket, das Benutzer auf ihren Geräten installieren.
- Bei Mac-Geräten besteht sie aus der Datei „mobileconfig“, die Benutzer auf ihren Geräten installieren.
Die ZIP-Datei enthält zudem die Werte einiger wichtiger Einstellungen in Azure, mit denen Sie ein eigenes Profil für diese Geräte erstellen können. Zu den Werten zählen die VPN-Gatewayadresse, konfigurierte Tunneltypen, Routen und das Stammzertifikat für die Gatewayüberprüfung.
Hinweis
Ab dem 1. Juli 2018 wird die Unterstützung für TLS 1.0 und 1.1 vom Azure-VPN-Gateway entfernt. Das VPN-Gateway unterstützt dann nur noch TLS 1.2. Nur Point-to-Site-Verbindungen sind betroffen, Site-to-Site-Verbindungen sind nicht betroffen. Wenn Sie TLS für Point-to-Site-VPNs auf Clients unter Windows 10 oder höher verwenden, müssen Sie keine Maßnahmen ergreifen. Bei Verwendung von TLS für Point-to-Site-Verbindungen auf Windows 7- und Windows 8-Clients finden Sie die Updateanweisungen unter VPN-Gateway – häufig gestellte Fragen.
Welche Gateway-SKUs unterstützen P2S-VPN?
Die folgende Tabelle zeigt Gateway-SKUs nach Tunnel, Verbindung und Durchsatz. Weitere Tabellen und weitere Informationen zu dieser Tabelle finden Sie im Abschnitt zu Gateway-SKUs des Artikels Einstellungen für VPN-Gateway.
|
VPN Gateway Generation |
SKU |
S2S/VNet-zu-VNet Tunnel |
P2S SSTP-Verbindungen |
P2S IKEv2/OpenVPN-Verbindungen |
Aggregat aggregierten Durchsatz |
BGP | Zonenredundant | Unterstützte Anzahl der virtuellen Computer im virtuellen Netzwerk |
|---|---|---|---|---|---|---|---|---|
| Generation 1 | Grundlegend | Maximal 10 | Maximal 128 | Nicht unterstützt | 100 MBit/s | Nicht unterstützt | Nein | 200 |
| Generation 1 | VpnGw1 | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Nein | 450 |
| Generation 1 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Nein | 1300 |
| Generation 1 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Nein | 4000 |
| Generation 1 | VpnGw1AZ | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Ja | 1.000 |
| Generation 1 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Ja | 2.000 |
| Generation 1 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Ja | 5000 |
| Generation 2 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Nein | 685 |
| Generation 2 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Nein | 2240 |
| Generation 2 | VpnGw4 | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Nein | 5300 |
| Generation 2 | VpnGw5 | Maximal 100* | Maximal 128 | Maximal 10000 | 10 GBit/s | Unterstützt | Nein | 6700 |
| Generation 2 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Ja | 2.000 |
| Generation 2 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Ja | 3300 |
| Generation 2 | VpnGw4AZ | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Ja | 4400 |
| Generation 2 | VpnGw5AZ | Maximal 100* | Maximal 128 | Maximal 10000 | 10 GBit/s | Unterstützt | Ja | 9000 |
Hinweis
Die Basic-SKU weist Einschränkungen auf und unterstützt keine IKEv2- oder RADIUS-Authentifizierung.
Welche IKE/IPsec-Richtlinien werden in VPN-Gateways für P2S konfiguriert?
IKEv2
| Verschlüsselung | Integrität | PRF | DH-Gruppe |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Verschlüsselung | Integrität | PFS-Gruppe |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Welche TLS-Richtlinien werden in VPN-Gateways für P2S konfiguriert?
TLS
| Richtlinien |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Nur unterstützt auf TLS1.3 mit OpenVPN
Wie konfiguriere ich eine P2S-Verbindung?
Eine P2S-Konfiguration erfordert einige bestimmte Schritte. Die folgenden Artikel enthalten die Schritte, anhand derer Sie eine P2S-Konfiguration durchführen können, und Links zur Konfiguration der VPN-Clientgeräte:
Nächste Schritte
Konfigurieren einer Point-to-Site-Verbindung unter Verwendung der RADIUS-Authentifizierung
Konfigurieren einer Point-to-Site-Verbindung unter Verwendung der Azure-Zertifikatauthentifizierung
„OpenVPN“ ist eine Marke von OpenVPN Inc.