Informationen zu VPN Gateway-Einstellungen
Die Architektur für eine VPN-Gatewayverbindung verlässt sich auf die Konfiguration mehrerer Ressourcen, die jeweils konfigurierbare Einstellungen enthalten. In den Abschnitten in diesem Artikel werden die Ressourcen und Einstellungen beschrieben, die sich auf ein im Resource Manager-Bereitstellungsmodell erstelltes VPN-Gateway beziehen. Beschreibungen und Topologiediagramme für jede Verbindungslösung finden Sie im Artikel VPN Gateway-Topologie und -Entwurf.
Die Werte in diesem Artikel gelten für VPN-Gateways (virtuelle Netzwerkgateways, die „-GatewayType Vpn“ verwenden). Wenn Sie nach Informationen zu den folgenden Typen von Gateways suchen, lesen Sie die folgenden Artikel:
- Werte, die für „-GatewayType 'ExpressRoute'“ gelten, finden Sie unter Virtuelle Netzwerkgateways für ExpressRoute.
- Informationen zu zonenredundanten Gateways finden Sie unter Informationen zu zonenredundanten Gateways für das virtuelle Netzwerk in Azure-Verfügbarkeitszonen.
- Informationen zu Aktiv/Aktiv-Gateways finden Sie unter Informationen zur hochverfügbaren Konnektivität.
- Informationen zu virtuellen WAN-Gateways finden Sie unter Über Virtual WAN.
Gateways und Gatewaytypen
Ein virtuelles Netzwerkgateway besteht aus mindestens zwei von Azure verwalteten VMs, die automatisch konfiguriert und in einem von Ihnen erstellten speziellen Subnetz bereitgestellt werden, das als Gatewaysubnetz bezeichnet wird. Die Gateway-VMs enthalten Routingtabellen und führen bestimmte Gatewaydienste aus.
Wenn Sie ein virtuelles Netzwerkgateway erstellen, werden die Gateway-VMs automatisch im Gateway-Subnetz (immer GatwaySubnet genannt) bereitgestellt und mit den von Ihnen angegebenen Einstellungen konfiguriert. Dieser Prozess kann je nach gewählter Gateway-SKU 45 Minuten oder länger dauern.
Eine der Einstellungen, die Sie beim Erstellen eines virtuellen Netzwerkgateways angeben, ist der Gatewaytyp. Der Gatewaytyp bestimmt, wie das virtuelle Netzwerkgateway verwendet wird und welche Aktionen es ausführt. Ein virtuelles Netzwerk kann zwei virtuelle Netzwerkgateways besitzen, ein VPN-Gateway und ein ExpressRoute-Gateway. Der Gatewaytyp „VPN“ gibt an, dass es sich beim Typ des erstellten Gateways des virtuellen Netzwerks um ein VPN Gateway handelt. Dadurch unterscheidet es sich von einem ExpressRoute-Gateway, das einen anderen Gatewaytyp verwendet.
Achten Sie beim Erstellen eines Gateways für virtuelle Netzwerke darauf, dass der Gatewaytyp für Ihre Konfiguration korrekt ist. Die verfügbaren Werte für -GatewayType lauten:
- VPN
- ExpressRoute
Ein VPN-Gateway erfordert den -GatewayTypeVpn.
Beispiel:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Gateway-SKUs und Leistung
Informationen zu Gateway-SKUs, zu den neuesten Informationen zu Gateway-SKUs, zur Leistung und zu unterstützten Funktionen finden Sie im Artikel Über Gateway-SKUs.
VPN-Typen
Azure unterstützt zwei verschiedene VPN-Typen für VPN-Gateways: richtlinienbasiert und routenbasiert. Routenbasierte VPN-Gateways basieren auf einer anderen Plattform als richtlinienbasierte VPN-Gateways. Dies führt zu unterschiedlichen Gatewayspezifikationen.
In den meisten Fällen erstellen Sie ein routenbasiertes VPN-Gateway. Zuvor hatten die älteren Gateway-SKUs IKEv1 für routenbasierte Gateways nicht unterstützt. Derzeit werden IKEv1 und IKEv2 von den meisten aktuellen Gateway-SKUs unterstützt. Wenn Sie bereits über ein richtlinienbasiertes Gateway verfügen, müssen Sie Ihr Gateway nicht auf routenbasiert upgraden.
Wenn Sie ein richtlinienbasiertes Gateway erstellen möchten, verwenden Sie PowerShell oder CLI. Seit dem 1. Oktober 2023 können Sie über das Azure-Portal kein richtlinienbasiertes VPN-Gateway mehr erstellen, es sind nur noch routenbasierte Gateways verfügbar.
| Gateway-VPN-Typ | Gateway-SKU | Unterstützte IKE-Versionen |
|---|---|---|
| Richtlinienbasiertes Gateway | Standard | IKEv1 |
| Routenbasiertes Gateway | Standard | IKEv2 |
| Routenbasiertes Gateway | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 und IKEv2 |
| Routenbasiertes Gateway | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 und IKEv2 |
Verbindungstypen
Im Resource Manager-Bereitstellungsmodell ist für jede Konfiguration ein bestimmter Typ der Verbindung mit dem Gateway eines virtuellen Netzwerks erforderlich. Die verfügbaren Resource Manager-PowerShell-Werte für -ConnectionType sind:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
Im folgenden PowerShell-Beispiel erstellen wir eine S2S-Verbindung, die den Verbindungstyp IPsecerfordert.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Verbindungsmodi
Die Eigenschaft „Verbindungsmodus“ gilt nur für routenbasierte VPN-Gateways, die IKEv2-Verbindungen verwenden. Verbindungsmodi definieren die Richtung der Verbindungsinitiierung und gelten nur für die anfängliche Herstellung der IKE-Verbindung. Jede Partei kann Neuschlüssel und weitere Nachrichten initiieren. InitiatorOnly bedeutet, dass die Verbindung von Azure initiiert werden muss. ResponderOnly bedeutet, dass die Verbindung vom lokalen Gerät initiiert werden muss. Das Standardverhalten ist Akzeptieren und Wählen, unabhängig davon, welche Partei zuerst eine Verbindung herstellt.
Gatewaysubnetz
Bevor Sie ein VPN-Gateway erstellen, müssen Sie ein Gatewaysubnetz erstellen. Das Gatewaysubnetz enthält die IP-Adressen, die von den VMs und Diensten des virtuellen Netzwerkgateways verwendet werden. Bei der Erstellung des Gateways des virtuellen Netzwerks, werden Gateway-VMs für das Gatewaysubnetz bereitgestellt und mit den erforderlichen VPN Gateway-Einstellungen konfiguriert. Stellen Sie für das Gatewaysubnetz nie etwas anderes bereit (beispielsweise zusätzliche VMs). Das Gatewaysubnetz muss den Namen „GatewaySubnet“ aufweisen, damit es einwandfrei funktioniert. Wenn Sie dem Gatewaysubnetz den Namen „GatewaySubnet“ zugewiesen haben, erkennt Azure, dass es sich dabei um das Subnetz handelt, für das die VMs und Dienste des virtuellen Netzwerkgateways bereitgestellt werden sollen.
Bei der Gatewayerstellung geben Sie die Anzahl der im Subnetz enthaltenen IP-Adressen an. Die IP-Adressen im Gatewaysubnetz werden den Gatewaydiensten und -VMs zugeordnet. Einige Konfigurationen erfordern mehr IP-Adressen als andere.
Beziehen Sie sich beim Planen der Größe Ihres Gatewaysubnetzes auf die Dokumentation für die Konfiguration, die Sie erstellen möchten. Beispielsweise erfordert die Konfiguration für die parallele Ausführung von ExpressRoute/VPN Gateway ein größeres Subnetz als die meisten anderen Konfigurationen. Es ist zwar möglich, ein kleines Gatewaysubnetz der Größe /29 zu erstellen (gilt nur für die Basic SKU), alle anderen SKUs erfordern jedoch mindestens ein Gatewaysubnetz der Größe /27 (/27, /26, /25 usw.). Sie sollten ein Gatewaysubnetz erstellen, das größer als /27 ist, damit das Subnetz über genügend IP-Adressen verfügt, um mögliche künftige Konfigurationen aufnehmen zu können.
Im folgenden Resource Manager-PowerShell-Beispiel ist ein Gatewaysubnetz mit dem Namen GatewaySubnet zu sehen. Sie erkennen, das mit der CIDR-Notation die Größe /27 angegeben wird. Dies ist für eine ausreichende Zahl von IP-Adressen für die meisten Konfigurationen, die derzeit üblich sind, groß genug.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Überlegungen:
Benutzerdefinierte Routen mit einem 0.0.0.0/0-Ziel und NSGs im Gatewaysubnetz werden nicht unterstützt. Gateways mit dieser Konfiguration können nicht erstellt werden. Gateways benötigen für die ordnungsgemäße Funktion Zugriff auf die Verwaltungscontroller. BGP-Routenverteilung sollte für das Gatewaysubnetz auf „Aktiviert“ festgelegt werden, um die Verfügbarkeit des Gateways zu gewährleisten. Wenn die BGP-Routenverteilung auf deaktiviert festgelegt ist, funktioniert das Gateway nicht.
Diagnose, Datenpfad und Steuerungspfad können betroffen sein, wenn sich eine benutzerdefinierte Route mit dem Subnetzbereich des Gateways oder dem öffentlichen IP-Bereich des Gateways überschneidet.
Lokale Netzwerkgateways
Ein Gateway des lokalen Netzwerks unterscheidet sich von einem Gateway für virtuelle Netzwerke. Wenn Sie mit einer Site-to-Site-Architektur eines VPN-Gateways arbeiten, stellt das lokale Netzwerkgateway in der Regel Ihr lokales Netzwerk und das entsprechende VPN-Gerät dar. Beim klassischen Bereitstellungsmodell wird das lokalen Netzwerkgateway als Lokale Site bezeichnet.
Wenn Sie ein lokales Netzwerkgateway konfigurieren, geben Sie den Namen, die öffentliche IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des lokalen VPN-Geräts sowie die Adresspräfixe an, die sich am lokalen Standort befinden. Azure sucht unter den Zieladresspräfixen nach Netzwerkdatenverkehr, sieht in der Konfiguration nach, die Sie für das lokale Netzwerkgateway angegeben haben, und routet die Pakete entsprechend. Wenn Sie das Border Gateway Protocol (BGP) auf Ihrem VPN-Gerät verwenden, geben Sie die IP-Adresse des BGP-Peers Ihres VPN-Geräts und die autonome Systemnummer (ASN) Ihres lokalen Systems an. Sie geben auch Gateways des lokalen Netzwerks für VNet-zu-VNet-Konfigurationen an, die eine VPN-Gatewayverbindung verwenden.
Mit dem folgenden PowerShell-Beispiel wird ein neues Gateway des lokalen Netzwerks erstellt:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Manchmal müssen Sie die Einstellungen des Gateways des lokalen Netzwerks ändern, beispielsweise wenn Sie den Adressbereich erweitern oder ändern oder wenn sich die IP-Adresse des VPN-Geräts ändert. Weitere Informationen finden Sie unter Ändern der Einstellungen des lokalen Netzwerkgateways.
REST-APIs, PowerShell-Cmdlets und CLI
Zusätzliche technische Ressourcen und spezielle Syntaxanforderungen bei der Verwendung von REST-APIs, PowerShell-Cmdlets oder Azure CLI für VPN Gateway-Konfigurationen finden Sie auf den folgenden Seiten:
| Klassisch | Ressourcen-Manager |
|---|---|
| PowerShell | PowerShell |
| REST-API | REST-API |
| Nicht unterstützt | Azure-Befehlszeilenschnittstelle |
Nächste Schritte
Weitere Informationen zu verfügbaren Verbindungskonfigurationen finden Sie unter Informationen zu VPN Gateway.