Tutorial: Erstellen einer Site-to-Site-VPN-Verbindung im Azure-Portal

In diesem Tutorial erfahren Sie, wie Sie das Azure-Portal zum Erstellen einer Site-to-Site-VPN-Gateway-Verbindung zwischen Ihrem lokalen Netzwerk und einem virtuellen Netzwerk (VNET) verwenden. Diese Konfiguration kann auch per Azure PowerShell oder mithilfe der Azure CLI erstellt werden.

In diesem Tutorial lernen Sie Folgendes:

• Erstellen eines virtuellen Netzwerks
• Erstellen eines VPN-Gateways
• Erstellen eines Gateways für das lokale Netzwerk
• Erstellen einer VPN-Verbindung
• Überprüfen der Verbindung
• Herstellen einer Verbindung mit einem virtuellen Computer

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sollten Sie über keine Organisation verfügen, können Sie kostenlos eine erstellen.
• Achten Sie darauf, dass Sie ein kompatibles VPN-Gerät nutzen (und über eine Person verfügen, die es konfigurieren kann). Weitere Informationen zu kompatiblen VPN-Geräten und zur Gerätekonfiguration finden Sie unter Informationen zu VPN-Geräten.
• Vergewissern Sie sich, dass Sie über eine externe öffentliche IPv4-Adresse für Ihr VPN-Gerät verfügen.
• Falls Sie nicht mit den IP-Adressbereichen in Ihrer lokalen Netzwerkkonfiguration vertraut sind, wenden Sie sich an eine Person, die Ihnen diese Informationen zur Verfügung stellen kann. Beim Erstellen dieser Konfiguration müssen Sie die Präfixe für die IP-Adressbereiche angeben, die Azure an Ihren lokalen Standort weiterleitet. Kein Subnetz Ihres lokalen Netzwerks darf sich mit den Subnetzen des virtuellen Netzwerks überschneiden, mit dem Sie eine Verbindung herstellen möchten.

Erstellen eines virtuellen Netzwerks

In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk (VNET) mit den folgenden Werten:

• Ressourcengruppe: TestRG1
• Name: VNet1
• Region: (USA) USA, Osten
• IPv4-Adressraum: 10.1.0.0/16
• Subnetzname: FrontEnd
• Subnetzadressraum: 10.1.0.0/24

Hinweis

Wenn Sie ein virtuelles Netzwerk als Teil einer standortübergreifenden Architektur verwenden, müssen Sie in Zusammenarbeit mit dem Administrator des lokalen Netzwerks einen IP-Adressbereich festlegen, den Sie speziell für dieses virtuelle Netzwerk verwenden können. Wenn ein Adressbereich auf beiden Seiten der VPN-Verbindung und somit doppelt vorhanden ist, wird Datenverkehr nicht wie erwartet weitergeleitet. Wenn Sie dieses virtuelle Netzwerk außerdem mit einem anderen virtuellen Netzwerk verbinden möchten, darf sich der Adressraum nicht mit dem anderen virtuellen Netzwerk überschneiden. Planen Sie Ihre Netzwerkkonfiguration entsprechend.

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie in Nach Ressourcen, Diensten und Dokumenten suchen (G+/) den Begriff virtuelles Netzwerk ein. Wählen Sie aus den Marketplace-Ergebnissen den Eintrag Virtuelles Netzwerk aus, um die Seite Virtuelles Netzwerk zu öffnen.

   

3. Wählen Sie auf der Seite Virtuelles Netzwerk die Option Erstellen aus. Die Seite Virtuelles Netzwerk erstellen wird geöffnet.

4. Konfigurieren Sie auf der Registerkarte Allgemeine Informationen die VNET-Einstellungen für die Details zum Projekt und Details zur Instanz. Wenn die von Ihnen angegebenen Werte validiert wurden, wird ein grünes Häkchen angezeigt. Die im Beispiel gezeigten Werte können gemäß den von Ihnen benötigten Einstellungen angepasst werden.

   

   • Abonnement: Vergewissern Sie sich, dass das richtige Abonnement angegeben ist. Das Abonnement kann über die Dropdownliste geändert werden.
   • Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe oder Neu erstellen aus, um eine neue zu erstellen. Weitere Informationen zu Ressourcengruppen finden Sie unter Azure Resource Manager – Übersicht.
   • Name: Geben Sie den Namen für Ihr virtuelles Netzwerk ein.
   • Region: Wählen Sie den Standort für Ihr VNET aus. Der Standort gibt an, wo sich die in diesem VNET bereitgestellten Ressourcen befinden.

5. Wählen Sie IP-Adressen aus, um zur Registerkarte „IP-Adressen“ zu wechseln. Konfigurieren Sie auf der Registerkarte IP-Adressen die Einstellungen.

   • IPv4-Adressraum: Standardmäßig wird automatisch ein Adressraum erstellt. Sie können den Adressraum auswählen und ihn an Ihre eigenen Werte anpassen. Sie können auch weitere Adressräume hinzufügen, indem Sie das Feld unter dem bestehenden Adressraum auswählen und die Werte für den zusätzlichen Adressraum angeben. Beispielsweise können Sie das IPv4-Adressfeld aus den Standardwerten, die automatisch mit Daten aufgefüllt werden, in 10.1.0.0/16 ändern.
   • + Subnetz hinzufügen: Wenn Sie den Standardadressraum verwenden, wird automatisch ein Standardsubnetz erstellt. Wenn Sie den Adressraum ändern, müssen Sie ein Subnetz hinzufügen. Wählen Sie + Subnetz hinzufügen aus, um das Fenster Subnetz hinzufügen zu öffnen. Konfigurieren Sie die folgenden Einstellungen, und wählen Sie dann unten auf der Seite Hinzufügen aus, um die Werte hinzuzufügen.
     • Subnetzname: Beispiel: FrontEnd.
     • Subnetzadressbereich: Der Adressbereich für dieses Subnetz. Beispiel: 10.1.0.0/24.

6. Wählen Sie Sicherheit aus, um zur Registerkarte „Sicherheit“ zu wechseln. Behalten Sie für diese Übung die Standardwerte bei.

   • BastionHost: Deaktivieren
   • DDoS Protection Standard: Deaktivieren
   • Firewall: Deaktivieren

7. Wählen Sie Bewerten + erstellen aus, um die Einstellungen für das virtuelle Netzwerk zu überprüfen.

8. Wählen Sie nach der Überprüfung der Einstellungen Erstellen aus, um das virtuelle Netzwerk zu erstellen.

Erstellen eines VPN-Gateways

In diesem Schritt erstellen Sie das virtuelle Netzwerkgateway für Ihr VNet. Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern.

Informationen zum Gatewaysubnetz

Das Gateway für virtuelle Netzwerke verwendet ein bestimmtes Subnetz, das als „Gatewaysubnetz“ bezeichnet wird. Das Gatewaysubnetz ist Teil des IP-Adressbereichs für das virtuelle Netzwerk, den Sie beim Konfigurieren Ihres virtuellen Netzwerks angeben. Es enthält die IP-Adressen, die von den Ressourcen und Diensten des Gateways für virtuelle Netzwerke verwendet werden.

Bei der Gatewayerstellung geben Sie die Anzahl der im Subnetz enthaltenen IP-Adressen an. Wie viele IP-Adressen erforderlich sind, hängt von der VPN-Gatewaykonfiguration ab, die Sie erstellen möchten. Einige Konfigurationen erfordern mehr IP-Adressen als andere. Es empfiehlt sich, ein Gatewaysubnetz mit /27 oder /28 zu erstellen.

Wenn ein Fehler mit dem Hinweis angezeigt wird, dass sich der Adressraum mit einem Subnetz überschneidet oder dass das Subnetz nicht im Adressraum für Ihr virtuelles Netzwerk enthalten ist, überprüfen Sie Ihren VNet-Adressbereich. Möglicherweise sind in dem Adressbereich, den Sie für Ihr virtuelles Netzwerk erstellt haben, nicht genügend IP-Adressen verfügbar. Wenn Ihr Standardsubnetz beispielsweise den gesamten Adressbereich umfasst, stehen für die Erstellung zusätzlicher Subnetze keine IP-Adressen mehr zur Verfügung. Sie können entweder Ihre Subnetze innerhalb des vorhandenen Adressraums anpassen, um IP-Adressen freizugeben, oder einen zusätzlichen Adressbereich angeben und das Gatewaysubnetz dort erstellen.

Erstellen des Gateways

Erstellen Sie ein virtuelles Netzwerkgateway (VPN-Gateway) mit den folgenden Werten:

• Name: VNet1GW
• Region: East US
• Gatewaytyp: VPN
• VPN-Typ: routenbasiert
• SKU: VpnGw2
• Generation: Generation 2
• Virtuelles Netzwerk: VNet1
• Adressbereich für Gatewaysubnetz: 10.1.255.0/27
• Öffentliche IP-Adresse: Neu erstellen
• Öffentliche IP-Adresse: VNet1GWpip
• Aktiv/Aktiv-Modus aktivieren: Disabled
• BGP konfigurieren: Disabled

1. Geben Sie unter Nach Ressourcen, Diensten und Dokumenten suchen (G+/) den Begriff VNET-Gateway ein. Suchen Sie in den Marketplace-Suchergebnissen nach Virtuelles Netzwerkgateway. Wählen Sie die Option aus, um die Seite Virtuelles Netzwerkgateway erstellen zu öffnen.

   

2. Geben Sie auf der Registerkarte Grundlagen die Werte für Projektdetails und Details zur Instanz ein.

   

   • Abonnement: Wählen Sie in der Dropdownliste das zu verwendende Abonnement aus.
   • Ressourcengruppe: Diese Einstellung wird automatisch angegeben, wenn Sie auf dieser Seite Ihr virtuelles Netzwerk auswählen.
   • Name: Benennen Sie Ihr Gateway. Das Benennen eines Gateways ist nicht das Gleiche wie das Benennen eines Gatewaysubnetzes. Hierbei handelt es sich um den Namen des Gatewayobjekts, das Sie erstellen.
   • Region: Wählen Sie die Region aus, in der Sie diese Ressource erstellen möchten. Die Region für das Gateway muss der des virtuellen Netzwerks entsprechen.
   • Gatewaytyp: Wählen Sie VPN aus. Bei VPN-Gateways wird ein virtuelles Netzwerkgateway vom Typ VPN verwendet.
   • VPN-Typ: Wählen Sie den für Ihre Konfiguration angegebenen VPN-Typ aus. Bei den meisten Konfigurationen wird ein routenbasierter VPN-Typ benötigt.
   • SKU: Wählen Sie in der Dropdownliste die zu verwendende Gateway-SKU aus. Welche SKUs in der Dropdownliste aufgeführt werden, hängt vom ausgewählten VPN-Typ ab. Wählen Sie unbedingt eine SKU aus, die die von Ihnen gewünschten Features unterstützt. Wenn Sie beispielsweise eine SKU vom Typ AZ (beispielsweise „VPNGw2AZ“) auswählen, wählen Sie eine Verfügbarkeitszonen-SKU aus, die andere Einstellungen aufweist als in diesem Beispiel gezeigt. Weitere Informationen finden Sie unter Informationen zu zonenredundanten Gateways für das virtuelle Netzwerk in Azure-Verfügbarkeitszonen. Weitere Informationen zu Gateway-SKUs finden Sie unter Gateway-SKUs.
   • Generation: Wählen Sie die zu verwendende Generation aus. Weitere Informationen finden Sie unter Gateway-SKUs.
   • Virtuelles Netzwerk: Wählen Sie in der Dropdownliste das virtuelle Netzwerk aus, dem Sie dieses Gateway hinzufügen möchten. Wenn Sie das VNet, für das Sie ein Gateway erstellen möchten, nicht sehen können, vergewissern Sie sich, dass Sie bei den vorherigen Einstellungen das richtige Abonnement und die richtige Region ausgewählt haben.
   • Adressbereich für Gatewaysubnetz: Dieses Feld wird nur angezeigt, wenn Ihr VNet nicht über ein Gatewaysubnetz verfügt. Es wird empfohlen, mindestens „/27“ (/26, /25 usw.) festzulegen. Dadurch stehen genügend IP-Adressen für zukünftige Änderungen zur Verfügung, etwa das Hinzufügen eines ExpressRoute-Gateways. Es empfiehlt sich nicht, einen Bereich zu erstellen, der kleiner als /28 ist. Wenn Sie bereits über ein Gatewaysubnetz verfügen, können Sie die Gatewaysubnetzdetails anzeigen, indem Sie zu Ihrem virtuellen Netzwerk navigieren. Klicken Sie auf Subnetze, um den Bereich anzuzeigen. Wenn Sie den Bereich ändern möchten, können Sie das GatewaySubnet löschen und neu erstellen.

3. Geben Sie die Werte für Öffentliche IP-Adresse an. Mit diesen Einstellungen wird das Objekt für die öffentliche IP-Adresse angegeben, das dem VPN-Gateway zugeordnet wird. Die öffentliche IP-Adresse wird diesem Objekt bei der Erstellung des VPN-Gateways zugewiesen. Die primäre öffentliche IP-Adresse wird nur geändert, wenn das Gateway gelöscht und neu erstellt wird. Sie ändert sich nicht, wenn die Größe geändert wird, das VPN-Gateway zurückgesetzt wird oder andere interne Wartungs-/Upgradevorgänge für das VPN-Gateway durchgeführt werden.

   

   • Typ der öffentlichen IP-Adresse: Sie können „Basic“ oder „Standard“ auswählen.
   • Öffentliche IP-Adresse: Lassen Sie Neu erstellen aktiviert.
   • Öffentliche IP-Adresse: Geben Sie im Textfeld einen Namen für die öffentliche IP-Adressinstanz ein.
   • SKU der öffentlichen IP-Adresse: Dieses Feld wird durch den Wert Typ der öffentlichen IP-Adresse gesteuert.
   • Zuweisung: Diese Einstellung basiert auf dem Wert Typ der öffentlichen IP-Adresse.
   • Aktiv/Aktiv-Modus aktivieren: Wählen Sie Aktiv/Aktiv-Modus aktivieren nur dann aus, wenn Sie eine Aktiv/Aktiv-Gatewaykonfiguration erstellen. Lassen Sie diese Einstellung andernfalls deaktiviert.
   • Belassen Sie für BGP konfigurieren den Wert Deaktiviert, es sei denn, Ihre Konfiguration erfordert diese Einstellung ausdrücklich. Sollte diese Einstellung erforderlich sein, lautet die Standard-ASN 65515. (Dieser Wert kann jedoch geändert werden.)

4. Wählen Sie zum Ausführen der Validierung Bewerten + erstellen aus.

5. Wählen Sie nach Abschluss der Validierung Erstellen aus, um das VPN-Gateway bereitzustellen.

Der Bereitstellungsstatus wird auf der Übersichtsseite für Ihr Gateway angezeigt. Die gesamte Erstellung und Bereitstellung eines Gateways kann bis zu 45 Minuten dauern. Nach der Erstellung des Gateways können Sie die zugewiesene IP-Adresse unter dem Virtual Network im Portal anzeigen. Das Gateway wird als verbundenes Gerät angezeigt.

Wichtig

Vermeiden Sie bei der Verwendung von Gatewaysubnetzen die Zuordnung einer Netzwerksicherheitsgruppe (NSG) zum Gatewaysubnetz. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz kann dazu führen, dass das VNET-Gateway (VPN- und Express Route-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.

Anzeigen der öffentlichen IP-Adresse

Sie können die öffentliche IP-Adresse des Gateways auf der Seite Übersicht für Ihr Gateway anzeigen.

Wählen Sie den Link „Name/IP-Adresse“ neben Öffentliche IP-Adresse aus, um zusätzliche Informationen zum öffentlichen IP-Adressobjekt anzuzeigen.

Erstellen eines Gateways für das lokale Netzwerk

Das lokale Netzwerkgateway ist ein spezielles Objekt, das Ihrem lokalen Standort für Routingzwecke entspricht. Sie geben dem Standort einen Namen, über den Azure darauf verweisen kann, und geben dann die IP-Adresse des lokalen VPN-Geräts an, mit dem Sie eine Verbindung herstellen. Außerdem geben Sie die IP-Adresspräfixe an, die über das VPN-Gateway an das VPN-Gerät weitergeleitet werden. Die von Ihnen angegebenen Adresspräfixe befinden sich in Ihrem lokalen Netzwerk. Wenn bei dem lokalen Netzwerk Änderungen vorgenommen werden oder Sie die öffentliche IP-Adresse des VPN-Geräts ändern müssen, können Sie dies Werte später bequem aktualisieren.

Erstellen Sie ein lokales Netzwerkgateway mit den folgenden Werten:

• Name: Site1
• Ressourcengruppe: TestRG1
• Standort: East US

1. Geben Sie im Azure-Portal unter Search resources, services, and docs (G+/) (Nach Ressourcen, Diensten und Dokumentation suchen (G+/)) Lokales Netzwerkgateway ein. Suchen Sie unter Marketplace in den Suchergebnissen nach Lokales Netzwerkgateway, und wählen Sie es aus. Die Seite Lokales Netzwerkgateway erstellen wird geöffnet.

2. Geben Sie auf der Seite Lokales Netzwerkgateway erstellen auf der Registerkarte Grundlagen die Werte für das lokale Netzwerkgateway ein.

   

   • Abonnement: Vergewissern Sie sich, dass das richtige Abonnement angezeigt wird.
   • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die Sie verwenden möchten. Sie können entweder eine neue Ressourcengruppe erstellen oder eine auswählen, die Sie bereits erstellt haben.
   • Region: Wählen Sie die Region aus, in der dieses Objekt erstellt wird. Es empfiehlt sich unter Umständen, den gleichen Ort auszuwählen, an dem sich auch Ihr VNet befindet, dies ist aber nicht zwingend erforderlich.
   • Name: Geben Sie einen Namen für das lokale Netzwerkgatewayobjekt ein.
   • Endpunkt: Wählen Sie den Endpunkttyp für das lokale VPN-Gerät aus: IP-Adresse oder FQDN (vollqualifizierter Domänen Name) .
     • IP-Adresse: Wenn Sie über eine statische öffentliche IP-Adresse verfügen, die Ihrem VPN-Gerät von Ihrem Internetdienstanbieter zugeordnet wurde, wählen Sie die Option „IP-Adresse“ aus, und geben Sie die IP-Adresse wie im Beispiel gezeigt ein. Dies ist die öffentliche IP-Adresse des VPN-Geräts, mit dem Azure VPN Gateway eine Verbindung herstellen soll. Falls Sie die IP-Adresse gerade nicht zur Hand haben, können Sie die Werte aus dem Beispiel verwenden. In diesem Fall müssen Sie allerdings später die Platzhalter-IP-Adresse durch die öffentliche IP-Adresse Ihres VPN-Geräts ersetzen. Andernfalls kann Azure keine Verbindung herstellen.
     • FQDN: Wenn Sie über eine dynamische öffentliche IP-Adresse verfügen, die sich nach einem bestimmten Zeitraum ändern könnte, der oftmals von Ihrem Internetdienstanbieter festgelegt wird, können Sie einen konstanten DNS-Namen mit einem dynamischen DNS-Dienst verwenden, um auf die aktuelle öffentliche IP-Adresse Ihres VPN-Geräts zu verweisen. Azure VPN Gateway löst den FQDN dann auf, um die öffentliche IP-Adresse für die Verbindungsherstellung zu ermitteln.
   • Adressraum bezieht sich auf die Adressbereiche für das Netzwerk, das dieses lokale Netzwerk darstellt. Sie können mehrere Adressraumbereiche hinzufügen. Achten Sie darauf, dass sich die hier angegebenen Bereiche nicht mit den Bereichen anderer Netzwerke überschneiden, mit denen Sie eine Verbindung herstellen möchten. Azure leitet den Adressbereich, den Sie angeben, an die lokale IP-Adresse des VPN-Geräts weiter. Verwenden Sie hier anstelle der Werte aus dem Beispiel Ihre eigenen Werte, wenn Sie eine Verbindung mit Ihrem lokalen Standort herstellen möchten.

   Hinweis

   • Azure VPN unterstützt nur eine IPv4-Adresse für jeden FQDN. Wenn der Domänenname in mehrere IP-Adressen aufgelöst wird, verwendet Azure VPN Gateway die erste von den DNS-Servern zurückgegebene IP-Adresse. Um die Ungewissheit zu beseitigen, wird empfohlen, dass Ihr FQDN immer in eine einzelne IPv4-Adresse aufgelöst wird. IPv6 wird nicht unterstützt.
   • Azure VPN Gateway verwaltet einen DNS-Cache, der alle fünf Minuten aktualisiert wird. Das Gateway versucht, die vollqualifizierten Domänennamen nur für getrennte Tunnel aufzulösen. Durch das Zurücksetzen des Gateways wird auch die Auflösung eines FQDN ausgelöst.

3. Auf der Registerkarte Erweitert können Sie bei Bedarf BGP-Einstellungen konfigurieren.

4. Wenn Sie mit der Angabe der Werte fertig sind, wählen Sie unten auf der Seite Überprüfen und erstellen aus, um die Seite zu überprüfen.

5. Wählen Sie Erstellen aus, um das lokale Netzwerkgateway-Objekt zu erstellen.

Konfigurieren des VPN-Geräts

Für Site-to-Site-Verbindungen mit einem lokalen Netzwerk ist ein VPN-Gerät erforderlich. In diesem Schritt konfigurieren Sie Ihr VPN-Gerät. Beim Konfigurieren des VPN-Geräts benötigen Sie die folgenden Werte:

• Einen gemeinsam verwendeten Schlüssel. Dies ist derselbe gemeinsame Schlüssel, den Sie beim Erstellen Ihrer Site-to-Site-VPN-Verbindung angeben. In unseren Beispielen verwenden wir einen einfachen gemeinsamen Schlüssel. Es wird empfohlen, einen komplexeren Schlüssel zu generieren.
• Die öffentliche IP-Adresse Ihres Gateways für virtuelle Netzwerke. Sie können die öffentliche IP-Adresse mit dem Azure-Portal, mit PowerShell oder mit der CLI anzeigen. Die öffentliche IP-Adresse Ihres VPN-Gateways können Sie über das Azure-Portal ermitteln, indem Sie zu Gateways für virtuelle Netzwerke navigieren und auf den Namen Ihres Gateways klicken.

So laden Sie VPN-Gerätekonfigurationsskripts herunter:

Abhängig von Ihrem VPN-Gerät können Sie ggf. ein VPN-Gerätekonfigurationsskript herunterladen. Weitere Informationen finden Sie unter Herunterladen von VPN-Gerätekonfigurationsskripts für S2S-VPN-Verbindungen.

Weitere Informationen zur Konfiguration finden Sie unter den folgenden Links:

• Informationen zu kompatiblen VPN-Geräten finden Sie unter VPN-Geräte.

• Führen Sie vor dem Konfigurieren Ihres VPN-Geräts eine Überprüfung auf bekannte Probleme mit der Gerätekompatibilität für das VPN-Gerät durch, das Sie verwenden möchten.

• Links zu Konfigurationseinstellungen für Geräte finden Sie unter Überprüfte VPN-Geräte. Die Links zur Gerätekonfiguration werden nach bestem Wissen bereitgestellt. Die beste Vorgehensweise besteht immer darin, die aktuellen Informationen zur Konfiguration bei Ihrem Gerätehersteller zu erfragen. Die Liste enthält die von uns getesteten Versionen. Ist Ihr Betriebssystem nicht in der Liste enthalten, ist die Version vielleicht dennoch kompatibel. Wenden Sie sich an den Gerätehersteller, um zu erfragen, ob die Betriebssystemversion für Ihr VPN-Gerät kompatibel ist.

• Eine Übersicht über die VPN-Gerätekonfiguration finden Sie unter Übersicht über die Konfigurationen von VPN-Drittanbietergeräten.

• Informationen zur Bearbeitung von Gerätekonfigurationsbeispielen finden Sie unter Bearbeiten von Gerätekonfigurationsbeispielen.

• Kryptografische Anforderungen finden Sie im Artikel zu kryptografischen Anforderungen und Azure-VPN-Gateways.

• Informationen zu IPsec-/IKE-Parametern finden Sie unter Informationen zu VPN-Geräten und IPsec-/IKE-Parametern für VPN-Gatewayverbindungen zwischen Standorten. Unter diesem Link finden Sie Informationen zu IKE-Version, Diffie-Hellman-Gruppe, Authentifizierungsmethode, Verschlüsselungs- und Hashalgorithmus, SA-Gültigkeitsdauer, PFS und DPD sowie weitere Parameterinformationen, die Sie zum Abschließen der Konfiguration benötigen.

• Konfigurationsschritte für IPsec-/IKE-Richtlinien finden Sie im Artikel zum Konfigurieren von IPsec-/IKE-Richtlinien für S2S-VPN- oder VNet-zu-VNet-Verbindungen.

• Informationen zum Herstellen einer Verbindung für mehrere richtlinienbasierte VPN-Geräte finden Sie unter Herstellen einer Verbindung zwischen Azure-VPN-Gateways und mehreren lokalen richtlinienbasierten VPN-Geräten mit PowerShell.

Erstellen von VPN-Verbindungen

Erstellen Sie die Site-to-Site-VPN-Verbindung zwischen dem Gateway Ihres virtuellen Netzwerks und Ihrem lokalen VPN-Gerät.

Erstellen Sie eine Verbindung mit den folgenden Werten:

• Name des Gateways für das lokale Netzwerk: Site1
• Verbindungsname: VNet1toSite1
• Gemeinsam verwendeter Schlüssel: In diesem Beispiel verwenden wir „abc123“. Sie können jedoch einen beliebigen, mit Ihrer VPN-Hardware kompatiblen Wert verwenden. Wichtig ist, dass die Werte auf beiden Seiten der Verbindung übereinstimmen.

1. Navigieren Sie zu Ihrem virtuellen Netzwerk. Wählen Sie auf der Seite für Ihr VNet im linken Bereich Verbundene Geräte aus. Suchen Sie Ihr VPN-Gateway, und klicken Sie, um es zu öffnen.

2. Wählen Sie auf der Seite für Ihr Gateway die Option Verbindungen aus. Wählen Sie oben auf der Seite „Verbindungen“ die Option +Hinzufügen aus, um die Seite Verbindung hinzufügen zu öffnen.

   

3. Konfigurieren Sie auf der Seite Verbindung hinzufügen die Werte für Ihre Verbindung.

   • Name: Benennen Sie Ihre Verbindung.
   • Verbindungstyp: Wählen Sie Site-to-Site (IPsec) aus.
   • Gateway für virtuelle Netzwerke: Der Wert ist festgelegt, da Sie von diesem Gateway aus die Verbindung herstellen.
   • Lokales Netzwerkgateway: Wählen Sie Lokales Netzwerkgateway auswählen und dann das lokale Netzwerkgateway aus, das Sie verwenden möchten.
   • Gemeinsam verwendeter Schlüssel: Dieser Wert muss dem Wert entsprechen, den Sie für Ihr lokales VPN-Gerät verwenden. Im Beispiel wird „abc123“ verwendet. Sie können (und sollten) allerdings einen komplexeren Wert verwenden. Es ist entscheidend, dass der Wert, den Sie hier angeben, dem Wert entspricht, den Sie beim Konfigurieren Ihres VPN-Geräts angeben.
   • Lassen Sie Private Azure-IP-Adresse verwenden deaktiviert.
   • Lassen Sie BGP aktivieren deaktiviert.
   • Wählen Sie IKEv2 aus.

4. Wählen Sie OK, um die Verbindung zu erstellen. Auf dem Bildschirm blinkt der Hinweis Verbindung wird erstellt .

5. Die Verbindung wird auf der Seite Verbindungen des Gateways für virtuelle Netzwerke angezeigt. Der Status wechselt von Unbekannt zu Verbindung wird hergestellt und dann zu Erfolgreich.

So konfigurieren Sie zusätzliche Verbindungseinstellungen (optional)

Sie können bei Bedarf zusätzliche Einstellungen für Ihre Verbindung konfigurieren. Überspringen Sie andernfalls diesen Abschnitt, und übernehmen Sie die Standardeinstellungen. Weitere Informationen finden Sie unter Konfigurieren von benutzerdefinierten IPsec/IKE-Verbindungsrichtlinien.

1. Wechseln Sie zu Ihrem virtuellen Netzwerkgateway, und wählen Sie Verbindungen aus, um die Seite „Verbindungen“ zu öffnen.

2. Wählen Sie den Namen der Verbindung aus, die Sie konfigurieren möchten, um die Seite Verbindung zu öffnen.

3. Wählen Sie im linken Bereich der Seite „Verbindung“ die Option Konfiguration aus, um die Konfigurationsseite zu öffnen. Nehmen Sie alle erforderlichen Änderungen vor, und wählen Sie Speichern aus.

   Im folgenden Screenshot haben wir alle Einstellungen aktiviert, um die im Portal verfügbaren Konfigurationseinstellungen zu veranschaulichen. Klicken Sie auf den Screenshot, um die erweiterte Ansicht anzuzeigen. Konfigurieren Sie bei der Konfiguration Ihrer Verbindungen nur die erforderlichen Einstellungen. Übernehmen Sie andernfalls die Standardeinstellungen.

   

Überprüfen der VPN-Verbindung

Im Azure-Portal können Sie zur gewünschten Verbindung navigieren und den Verbindungsstatus eines VPN-Gateways anzeigen. Die folgenden Schritte zeigen eine Möglichkeit, zu Ihrer Verbindung zu navigieren und sie zu überprüfen.

1. Wählen Sie im Menü im Azure-Portal die Option Alle Ressourcengruppen aus, oder suchen Sie Alle Ressourcengruppen auf einer beliebigen Seite, und wählen Sie die Option aus.
2. Wählen Sie Ihr Gateway für virtuelle Netzwerke aus.
3. Klicken Sie auf dem Blatt für das Gateway für virtuelle Netzwerke auf Verbindungen. Der Status der einzelnen Verbindungen wird angezeigt.
4. Klicken Sie auf den Namen der zu überprüfenden Verbindung, um Zusammenfassung zu öffnen. Unter „Zusammenfassung“ können Sie weitere Informationen zu Ihrer Verbindung anzeigen. Der Status lautet „Erfolgreich“ und „Verbunden“, wenn die Verbindung erfolgreich hergestellt wurde.

Herstellen einer Verbindung mit einem virtuellen Computer

Sie können eine Verbindung mit einer VM herstellen, die in Ihrem VNet bereitgestellt wird, indem Sie eine Remotedesktopverbindung mit Ihrer VM herstellen. Die beste Möglichkeit zur anfänglichen Sicherstellung, dass eine Verbindung mit Ihrer VM hergestellt werden kann, ist die Verwendung der privaten IP-Adresse anstelle des Computernamens. Auf diese Weise können Sie testen, ob die Verbindungsherstellung möglich ist, anstatt zu überprüfen, ob die Namensauflösung richtig konfiguriert ist.

1. Ermitteln Sie die private IP-Adresse. Sie können die private IP-Adresse einer VM ermitteln, indem Sie sich entweder die Eigenschaften für die VM im Azure-Portal ansehen oder PowerShell verwenden.

   • Azure-Portal: Suchen Sie im Azure-Portal nach Ihrem virtuellen Computer. Zeigen Sie die Eigenschaften für die VM an. Die private IP-Adresse ist aufgeführt.

   • PowerShell: Verwenden Sie das Beispiel, um eine Liste mit VMs und privaten IP-Adressen aus Ihren Ressourcengruppen anzuzeigen. Es ist nicht erforderlich, dieses Beispiel vor der Verwendung zu ändern.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Vergewissern Sie sich, dass Sie mit Ihrem VNet verbunden sind.

3. Öffnen Sie eine Remotedesktopverbindung, indem Sie auf der Taskleiste im Suchfeld „RDP“ oder „Remotedesktopverbindung“ eingeben und dann „Remotedesktopverbindung“ wählen. Sie können auch den Befehl „mstsc“ in PowerShell verwenden, um eine Remotedesktopverbindung zu öffnen.

4. Geben Sie in der Remotedesktopverbindung die private IP-Adresse der VM ein. Sie können „Optionen anzeigen“ auswählen, um weitere Einstellungen anzupassen, und dann die Verbindung herstellen.

Problembehandlung für Verbindungen

Falls Sie beim Herstellen einer Verbindung mit einem virtuellen Computer per VPN-Verbindung Probleme haben sollten, überprüfen Sie Folgendes:

• Stellen Sie sicher, dass die Herstellung der VPN-Verbindung erfolgreich war.

• Stellen Sie sicher, dass Sie die Verbindung mit der privaten IP-Adresse für die VM herstellen.

• Falls Sie mit der privaten IP-Adresse eine Verbindung mit der VM herstellen können, aber nicht mit dem Computernamen, sollten Sie sich vergewissern, dass das DNS richtig konfiguriert ist. Weitere Informationen zur Funktionsweise der Namensauflösung für virtuelle Computer finden Sie unter Namensauflösung für virtuelle Computer.

• Weitere Informationen zu RDP-Verbindungen finden Sie unter Behandeln von Problemen bei Remotedesktopverbindungen mit einem virtuellen Azure-Computer.

Optionale Schritte

Ändern der Größe einer Gateway-SKU

Es gibt bestimmte Regeln bezüglich der Größenänderung im Vergleich zur Änderung einer Gateway-SKU. In diesem Abschnitt wird die Größe der SKU geändert. Weitere Informationen finden Sie unter Gatewayeinstellungen: Ändern der Größe und Ändern anderer Eigenschaften von SKUs.

1. Wechseln Sie zur Seite Konfiguration für Ihr virtuelles Netzwerkgateway.

2. Klicken Sie auf der rechten Seite auf den Dropdownpfeil, um die verfügbaren Gateway-SKUs anzuzeigen.

   

3. Wählen Sie die SKU aus der Dropdownliste aus.

Zurücksetzen eines Gateways

Das Zurücksetzen von Azure VPN Gateway-Instanzen ist nützlich, wenn die standortübergreifende VPN-Verbindung bei mindestens einem Site-to-Site-VPN-Tunnel unterbrochen ist. In diesem Fall funktionieren Ihre lokalen VPN-Geräte ordnungsgemäß, können jedoch keine IPsec-Tunnelverbindungen mit Azure VPN Gateway-Instanzen herstellen.

1. Wechseln Sie im Portal zum virtuellen Netzwerkgateway, das Sie zurücksetzen möchten.
2. Scrollen Sie auf der Seite VNET-Gateway im linken Bereich nach unten zum Abschnitt Support + Fehlerbehebung, und wählen Sie Zurücksetzen aus.
3. Klicken Sie auf der Seite Zurücksetzen auf Zurücksetzen. Wenn der Befehl ausgeführt wird, wird die gegenwärtig aktive Instanz der Azure VPN Gateway-Instanz umgehend neu gestartet. Das Zurücksetzen des Gateways führt zu einer Lücke in der VPN-Konnektivität und kann die zukünftige Analyse der Grundursache des Problems einschränken.

Hinzufügen einer weiteren Verbindung

Sie können ausgehend von einem VPN-Gateway Verbindungen zu mehreren lokalen Standorten erstellen. Wenn Sie mehrere Verbindungen konfigurieren möchten, können sich die Adressräume nicht zwischen den Verbindungen überlappen.

1. Um eine weitere Verbindung hinzuzufügen, navigieren Sie zum VPN-Gateway, und klicken Sie auf Verbindungen, um die Seite „Verbindungen“ zu öffnen.
2. Klicken Sie auf + Hinzufügen, um die Verbindung hinzuzufügen. Passen Sie den Verbindungstyp an, um VNET-to-VNET (falls Sie eine Verbindung mit einem anderen VNET-Gateway herstellen) oder Site-to-Site widerzuspiegeln.
3. Wenn Sie eine Verbindung über Site-to-Site herstellen und noch kein lokales Netzwerkgateway für die Website erstellt haben, mit der Sie eine Verbindung herstellen möchten, können Sie ein neues erstellen.
4. Geben Sie den gemeinsam verwendeten Schlüssel ein, den Sie verwenden möchten, und klicken Sie auf OK, um die Verbindung zu erstellen.

Weitere Überlegungen zur Konfiguration

S2S-Konfigurationen können auf verschiedene Arten angepasst werden. Weitere Informationen finden Sie in den folgenden Artikeln:

• Informationen zu BGP finden Sie in der Übersicht über BGP und unter Konfigurieren von BGP.
• Weitere Informationen zur Tunnelerzwingung finden Sie unter Konfigurieren der Tunnelerzwingung mit dem Azure Resource Manager-Bereitstellungsmodell.
• Informationen zu hochverfügbaren Aktiv/Aktiv-Verbindungen finden Sie unter Standortübergreifende Verbindungen und VNET-zu-VNET-Verbindungen mit hoher Verfügbarkeit.
• Informationen zum Beschränken von Netzwerkdatenverkehr auf Ressourcen in einem virtuellen Netzwerk finden Sie unter Netzwerksicherheit.
• Informationen zur Weiterleitung von Datenverkehr zwischen Azure, lokalen Speicherorten und Internetressourcen finden Sie unter Routing von Datenverkehr für virtuelle Netzwerke.

Bereinigen von Ressourcen

Wenn Sie diese Anwendung nicht weiter verwenden oder zum nächsten Tutorial wechseln möchten, löschen Sie diese Ressourcen mithilfe der folgenden Schritte:

1. Geben Sie oben im Portal den Namen Ihrer Ressourcengruppe im Suchfeld Suche ein, und wählen Sie ihn in den Suchergebnissen aus.
2. Wählen Sie die Option Ressourcengruppe löschen.
3. Geben Sie unter GEBEN SIE DEN RESSOURCENGRUPPENNAMEN EIN Ihre Ressourcengruppe ein, und wählen Sie Löschen aus.

Nächste Schritte

Nachdem Sie eine Site-to-Site-Verbindung konfiguriert haben, können Sie dem gleichen Gateway eine Point-to-Site-Verbindung hinzufügen.

Point-to-Site-VPN-Verbindungen