Remotearbeit mit Azure VPN Gateway Point-to-Site

  • Artikel

Hinweis

In diesem Artikel wird beschrieben, wie Sie Azure VPN Gateway, Azure, das Microsoft-Netzwerk und das Azure-Partnerökosystem nutzen können, um remote zu arbeiten und Netzwerkprobleme zu beheben, die Sie aufgrund der COVID-19-Krise bewältigen müssen.

In diesem Artikel werden die Optionen beschrieben, die Organisationen während der COVID-19-Epidemie zur Verfügung stehen, um den Remotezugriff für ihre Benutzer einzurichten oder um ihre vorhandenen Lösungen mit zusätzlicher Kapazität zu ergänzen.

Die Azure Point-to-Site-Lösung ist cloudbasiert und kann in kurzer Zeit bereitgestellt werden, um den höheren Bedarf von Benutzern zu unterstützen, die zu Hause arbeiten. Sie kann einfach zentral hochskaliert sowie ebenso einfach und schnell deaktiviert werden, wenn die größere Kapazität nicht mehr benötigt wird.

Informationen zu Point-to-Site-VPN

Mit einer P2S-VPN-Gatewayverbindung (Point-to-Site) können Sie von einem einzelnen Clientcomputer aus eine sichere Verbindung mit Ihrem virtuellen Netzwerk herstellen. Eine P2S-Verbindung wird hergestellt, indem Sie die Verbindung vom Clientcomputer aus starten. Diese Lösung ist nützlich für Telearbeiter, die an einem Remotestandort (beispielsweise zu Hause oder in einer Konferenz) eine Verbindung mit Azure-VNETs oder lokalen Rechenzentren herstellen möchten. In diesem Artikel wird basierend auf verschiedenen Szenarien beschrieben, wie Sie es Benutzern ermöglichen können, remote zu arbeiten.

Die folgende Tabelle zeigt die Clientbetriebssysteme und die Authentifizierungsoptionen, die ihnen zur Verfügung stehen. Es ist hilfreich, die Authentifizierungsmethode abhängig vom Clientbetriebssystem auszuwählen, das bereits verwendet wird. Wählen Sie beispielsweise OpenVPN mit zertifikatbasierter Authentifizierung aus, wenn Sie über einen Mix von Clientbetriebssystemen verfügen, die eine Verbindung herstellen müssen. Beachten Sie außerdem, dass das Point-to-Site-VPN nur für routenbasierte VPN-Gateways unterstützt wird.

Screenshot that shows client operating systems and available authentication options.

Szenario 1 – Benutzer benötigen nur Zugriff auf Ressourcen in Azure

In diesem Szenario müssen die Remotebenutzer nur auf Ressourcen in Azure zugreifen können.

Diagram that shows a point-to-site scenario for users that need access to resources in Azure only.

Um Benutzern die sichere Verbindung mit Azure-Ressourcen zu ermöglichen, sind die folgenden übergeordneten Schritte erforderlich:

  1. Erstellen Sie ein virtuelles Netzwerkgateway (sofern nicht vorhanden).

  2. Konfigurieren einer Point-to-Site-VPN-Verbindung im Gateway

    • Folgen Sie für die Zertifikatauthentifizierung diesem Link.
    • Folgen Sie für OpenVPN diesem Link.
    • Für die Microsoft Entra-Authentifizierung folgen Sie bitte diesem Link.
    • Informationen zur Problembehandlung bei Point-to-Site-Verbindungen finden Sie unter diesem Link.

  3. Herunterladen und Verteilen der VPN-Clientkonfiguration

  4. Verteilen der Zertifikate (bei Auswahl der Zertifikatauthentifizierung) an die Clients

  5. Herstellen der Azure-VPN-Verbindung

Szenario 2 – Benutzer benötigen Zugriff auf Ressourcen in Azure und/oder lokale Ressourcen

In diesem Szenario müssen die Remotebenutzer auf Ressourcen in Azure und in lokalen Rechenzentren zugreifen können.

Diagram that shows a point-to-site scenario for users that need access to resources in Azure.

Um Benutzern die sichere Verbindung mit Azure-Ressourcen zu ermöglichen, sind die folgenden übergeordneten Schritte erforderlich:

  1. Erstellen Sie ein virtuelles Netzwerkgateway (sofern nicht vorhanden).
  2. Konfigurieren einer Point-to-Site-VPN-Verbindung im Gateway (siehe Szenario 1)
  3. Konfigurieren eines Site-to-Site-Tunnels im Azure-Gateway für virtuelle Netzwerke mit aktiviertem BGP
  4. Konfigurieren eines lokalen Geräts für die Verbindung mit dem Azure-Gateway für virtuelle Netzwerke
  5. Herunterladen des Point-to-Site-Profils vom Azure-Portal und Verteilen an Clients

Informationen zum Einrichten eines Site-to-Site-VPN-Tunnels finden Sie unter diesem Link.

Häufig gestellte Fragen zur nativen Azure-Zertifikatauthentifizierung

Wie viele VPN-Clientendpunkte darf eine Punkt-zu-Standort-Konfiguration enthalten?

Das hängt von der Gateway-SKU ab. Weitere Informationen zur Anzahl von unterstützten Verbindungen finden Sie unter Gateway-SKUs.

Welche Clientbetriebssysteme kann ich für Point-to-Site verwenden?

Folgende Clientbetriebssysteme werden unterstützt:

  • Windows Server 2008 R2 (nur 64 Bit)
  • Windows 8.1 (32 Bit und 64 Bit)
  • Windows Server 2012 (nur 64 Bit)
  • Windows Server 2012 R2 (nur 64 Bit)
  • Windows Server 2016 (nur 64 Bit)
  • Windows Server 2019 (nur 64 Bit)
  • Windows Server 2022 (nur 64 Bit)
  • Windows 10
  • Windows 11
  • macOS Version 10.11 oder höher
  • Linux (StrongSwan)
  • iOS

Können Proxys und Firewalls unter Verwendung der Punkt-zu-Standort-Funktion durchquert werden?

Azure unterstützt drei Arten von P2S-VPN-Optionen:

  • Secure Sockets Tunneling Protocol (SSTP). SSTP ist eine Microsoft-eigene SSL-basierte Lösung, die Firewalls durchdringen kann, da die meisten Firewalls den von SSL verwendeten ausgehenden TCP-Port 443 öffnen.

  • OpenVPN. OpenVPN ist eine SSL-basierte Lösung, die Firewalls durchdringen kann, weil die meisten Firewalls den von SSL verwendeten ausgehenden TCP-Port 443 öffnen.

  • IKEv2-VPN. IKEv2-VPN ist eine standardbasierte IPsec-VPN-Lösung, welche die ausgehenden UDP-Ports 500 und 4500 und die IP-Protokollnummer 50 nutzt. Firewalls öffnen diese Ports nicht immer, daher kann ein IKEv2-VPN möglicherweise Proxys und Firewalls nicht durchlaufen.

Wird das VPN automatisch erneut verbunden, wenn ich einen für Punkt-zu-Standort-Verbindungen konfigurierten Clientcomputer neu starte?

Die automatische Wiederverbindung ist eine Funktion des verwendeten Clients. Windows unterstützt die automatische Wiederverbindung durch Konfiguration der Client-Funktion Always On-VPN.

Unterstützt Point-to-Site DDNS auf den VPN-Clients?

DDNS wird derzeit in Point-to-Site-VPNs nicht unterstützt.

Kann ich im gleichen virtuellen Netzwerk sowohl Site-to-Site- als auch Point-to-Site-Konfigurationen verwenden?

Ja. Beim Resource Manager-Bereitstellungsmodell müssen Sie als VPN-Typ für Ihr Gateway „RouteBased“ festlegen. Für das klassische Bereitstellungsmodell benötigen Sie ein dynamisches Gateway. Point-to-Site-Konfigurationen werden für VPN-Gateways mit statischem Routing oder für richtlinienbasierte Gateways nicht unterstützt.

Kann ich einen Point-to-Site-Client so konfigurieren, dass er gleichzeitig eine Verbindung mit mehreren Gateways für virtuelle Netzwerke herstellt?

Abhängig von der verwendeten VPN-Clientsoftware kannst Du unter Umständen eine Verbindung mit mehreren Gateways für virtuelle Netzwerke herstellen. Voraussetzung dafür ist, dass für die virtuellen Netzwerke, mit denen eine Verbindung hergestellt wird, keine Adressräume vorliegen, die miteinander oder mit dem Netzwerk in Konflikt stehen, aus dem der Client eine Verbindung herstellt. Azure VPN Client unterstützt zwar viele VPN-Verbindungen, es kann jedoch immer nur eine Verbindung aktiv sein.

Kann ein Punkt-zu-Standort-Client so konfiguriert werden, dass er Verbindungen mit mehreren virtuellen Netzwerken gleichzeitig herstellt?

Ja. Point-to-Site-Clientverbindungen mit einem Gateway für virtuelle Netzwerke, das in einem VNet bereitgestellt wird, für das ein Peering mit anderen VNets besteht, haben unter Umständen Zugriff auf andere per Peering verknüpfte VNets. Point-to-Site-Clients können eine Verbindung mit VNets herstellen, die per Peering verknüpft sind, solange diese VNets die Features „UseRemoteGateway“ oder „AllowGatewayTransit“ verwenden. Weitere Informationen hierzu findest Du unter Informationen zu Point-to-Site-Routing.

Wie viel Durchsatz kann ich bei einer Site-to-Site- oder bei einer Point-to-Site-Verbindung erwarten?

Der genaue Durchsatz der VPN-Tunnel lässt sich nur schwer ermitteln. IPsec und SSTP sind VPN-Protokolle mit hohem Kryptografieaufwand. Außerdem wird der Durchsatz durch die Latenz und die Bandbreite zwischen Ihrem Standort und dem Internet eingeschränkt. Bei einem VPN-Gateway nur mit IKEv2-P2S-VPN-Verbindungen hängt der erwartete Gesamtdurchsatz von der Gateway-SKU ab. Weitere Informationen zum Durchsatz finden Sie unter Gateway-SKUs.

Kann ich für Point-to-Site-Verbindungen einen beliebigen VPN-Softwareclient mit SSTP- und/oder IKEv2-Unterstützung verwenden?

Nein. Sie können nur den nativen VPN-Client unter Windows für SSTP und den nativen VPN-Client unter Mac für IKEv2 verwenden. Allerdings können Sie den OpenVPN-Client auf allen Plattformen verwenden, um über das OpenVPN-Protokoll eine Verbindung herzustellen. Informationen finden Sie in der Liste der unterstützten Clientbetriebssysteme.

Kann ich den Authentifizierungstyp für eine Point-to-Site-Verbindung ändern?

Ja. Navigieren Sie im Portal zur Seite VPN-Gateway -> Point-to-Site-Konfiguration. Wähle unter Authentifizierungstyp die Authentifizierungstypen aus, die Du verwenden möchtest. Beachte, dass aktuelle Clients nach einer Änderung an einem Authentifizierungstyp möglicherweise erst dann eine Verbindung herstellen können, wenn ein neues VPN-Clientkonfigurationsprofil generiert, heruntergeladen und auf jeden VPN-Client angewendet wurde.

Unterstützt Azure IKEv2-VPN unter Windows?

IKEv2 wird unter Windows 10 und Server 2016 unterstützt. Bei bestimmten Betriebssystemversionen müssen Sie für die Verwendung von IKEv2 allerdings Updates installieren und lokal einen Registrierungsschlüsselwert festlegen. Betriebssystemversionen vor Windows 10 werden nicht unterstützt und können nur SSTP oder OpenVPN® Protocol verwenden.

Hinweis

Bei Windows-Betriebssystembuilds, die neuer als Version 1709 (Windows 10) bzw. Version 1607 (Windows Server 2016) sind, sind diese Schritte nicht erforderlich.

Vorbereitung von Windows 10 oder Server 2016 für IKEv2:

  1. Installieren Sie das passende Update für Ihre Betriebssystemversion:

    Betriebssystemversion Date Anzahl/Link
    Windows Server 2016
    Windows 10, Version 1607    		 17. Januar 2018 KB4057142
    Windows 10, Version 1703 17. Januar 2018 KB4057144
    Windows 10, Version 1709 22. März 2018 KB4089848

  2. Legen Sie den Registrierungsschlüsselwert fest. Erstellen Sie den REG_DWORD-Schlüssel „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload“, oder legen Sie ihn in der Registrierung auf 1 fest.

Wie sieht die IKEv2-Datenverkehrsauswahlgrenze für Point-to-Site-Verbindungen aus?

Windows 10 Version 2004 (veröffentlicht im September 2021) erhöhte die Datenverkehrsauswahlgrenze auf 255. Frühere Windows-Versionen haben eine Datenverkehrsauswahlgrenze von 25.

Die Datenverkehrsauswahlgrenze in Windows bestimmt die maximale Anzahl von Adressräumen in Ihrem virtuellen Netzwerk und die maximale Summe Ihrer lokalen Netzwerke, VNet-zu-VNet-Verbindungen und mit dem Gateway verbundenen Peered-VNets. Windows-basierte Point-to-Site-Clients können keine Verbindung über IKEv2 herstellen, wenn sie diese Grenze überschreiten.

Was geschieht, wenn ich sowohl SSTP als auch IKEv2 für P2S-VPN-Verbindungen konfiguriere?

Wenn Du sowohl SSTP als auch IKEv2 in einer gemischten Umgebung (bestehend aus Windows- und Mac-Geräten) konfigurierst, versucht der Windows-VPN-Client immer zuerst den IKEv2-Tunnel, weicht jedoch auf SSTP aus, wenn die IKEv2-Verbindung nicht erfolgreich ist. MacOSX stellt nur eine Verbindung über IKEv2 her.

Wenn Sie sowohl SSTP als auch IKEv2 auf dem Gateway aktiviert haben, wird der Point-to-Site-Adresspool statisch zwischen beiden Protokollen aufgeteilt, sodass Clients, die unterschiedliche Protokolle verwenden, IP-Adressen aus beiden Unterbereichen zugewiesen werden. Beachten Sie, dass die maximale Anzahl von SSTP-Clients immer 128 beträgt, auch wenn der Adressbereich größer als /24 ist, was zu einer größeren Anzahl von Adressen führt, die für IKEv2-Clients verfügbar sind. Bei kleineren Bereichen wird der Pool in zwei gleiche Teile geteilt. Datenverkehrsselektoren, die vom Gateway verwendet werden, enthalten möglicherweise nicht den CIDR für den Point-to-Site-Adressbereich, sondern die beiden Unterbereichs-CIDRs.

Welche anderen Plattformen, außer Windows und Mac, werden von Azure für P2S-VPN unterstützt?

Azure unterstützt Windows, Mac und Linux für P2S-VPN.

Ich verfüge bereits über ein bereitgestelltes Azure-VPN-Gateway. Kann ich RADIUS und/oder IKEv2-VPN darauf aktivieren?

Ja, wenn die von Dir verwendete Gateway-SKU RADIUS und/oder IKEv2 unterstützt, kannst Du diese Features auf Gateways, die Du bereits bereitgestellt hast, mithilfe von PowerShell oder dem Azure-Portal aktivieren. Die Basic-SKU unterstützt weder RADIUS noch IKEv2.

Wie entferne ich die Konfiguration einer P2S-Verbindung?

Eine P2S-Konfiguration kann über die Azure CLI und PowerShell mit folgenden Befehlen entfernt werden:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Wie muss ich vorgehen, wenn beim Herstellen einer Verbindung über die Zertifikatauthentifizierung ein Zertifikatkonflikt gemeldet wird?

Deaktivieren Sie „Identität des Servers durch Validierung des Zertifikat überprüfen“, oder fügen Sie den Server-FQDN zusammen mit dem Zertifikat hinzu, wenn Sie ein Profil manuell erstellen. Sie können dazu rasphone an einer Eingabeaufforderung ausführen und das Profil in der Dropdown-Liste auswählen.

Es wird im Allgemeinen nicht empfohlen, die Validierung der Serveridentität zu umgehen. Bei der Azure-Zertifikatauthentifizierung wird jedoch für die Servervalidierung im VPN-Tunnelingprotokoll (IKEv2/SSTP) als auch im EAP-Protokoll das gleiche Zertifikat verwendet. Da das Serverzertifikat und der FQDN bereits vom VPN-Tunnelingprotokoll validiert wurden, ist es redundant, das gleiche in EAP erneut zu validieren.

point-to-site auth

Kann ich meine eigene interne PKI-Stammzertifizierungsstelle verwenden, um Zertifikate für Punkt-zu-Standort-Verbindungen zu generieren?

Ja. Bisher konnten nur selbstsignierte Stammzertifikate verwendet werden. Sie können weiterhin 20 Stammzertifikate hochladen.

Kann ich Zertifikate aus Azure Key Vault verwenden?

Nein.

Mit welchen Tools kann ich Zertifikate erstellen?

Sie können Ihre Unternehmens-PKI-Lösung (interne PKI), Azure PowerShell, MakeCert und OpenSSL verwenden.

Gibt es Anleitungen für Zertifikateinstellungen und -parameter?

  • Interne PKI/Unternehmens-PKI-Lösung: Sehen Sie sich die Schritte zum Generieren von Zertifikaten an.

  • Azure PowerShell: Entsprechende Schritte finden Sie im Artikel zu Azure PowerShell.

  • MakeCert: Die erforderlichen Schritte finden Sie im Artikel zu MakeCert.

  • OpenSSL:

    • Stellen Sie beim Exportieren von Zertifikaten sicher, dass das Stammzertifikat in Base64 konvertiert wird.

    • Clientzertifikat:

      • Geben Sie beim Erstellen des privaten Schlüssels als Länge 4096 an.
      • Geben Sie beim Erstellen des Zertifikats für den -extensions-Parameter usr_cert an.

Häufig gestellte Fragen zur RADIUS-Authentifizierung

Wie viele VPN-Clientendpunkte darf eine Punkt-zu-Standort-Konfiguration enthalten?

Das hängt von der Gateway-SKU ab. Weitere Informationen zur Anzahl von unterstützten Verbindungen finden Sie unter Gateway-SKUs.

Welche Clientbetriebssysteme kann ich für Point-to-Site verwenden?

Folgende Clientbetriebssysteme werden unterstützt:

  • Windows Server 2008 R2 (nur 64 Bit)
  • Windows 8.1 (32 Bit und 64 Bit)
  • Windows Server 2012 (nur 64 Bit)
  • Windows Server 2012 R2 (nur 64 Bit)
  • Windows Server 2016 (nur 64 Bit)
  • Windows Server 2019 (nur 64 Bit)
  • Windows Server 2022 (nur 64 Bit)
  • Windows 10
  • Windows 11
  • macOS Version 10.11 oder höher
  • Linux (StrongSwan)
  • iOS

Können Proxys und Firewalls unter Verwendung der Punkt-zu-Standort-Funktion durchquert werden?

Azure unterstützt drei Arten von P2S-VPN-Optionen:

  • Secure Sockets Tunneling Protocol (SSTP). SSTP ist eine Microsoft-eigene SSL-basierte Lösung, die Firewalls durchdringen kann, da die meisten Firewalls den von SSL verwendeten ausgehenden TCP-Port 443 öffnen.

  • OpenVPN. OpenVPN ist eine SSL-basierte Lösung, die Firewalls durchdringen kann, weil die meisten Firewalls den von SSL verwendeten ausgehenden TCP-Port 443 öffnen.

  • IKEv2-VPN. IKEv2-VPN ist eine standardbasierte IPsec-VPN-Lösung, welche die ausgehenden UDP-Ports 500 und 4500 und die IP-Protokollnummer 50 nutzt. Firewalls öffnen diese Ports nicht immer, daher kann ein IKEv2-VPN möglicherweise Proxys und Firewalls nicht durchlaufen.

Wird das VPN automatisch erneut verbunden, wenn ich einen für Punkt-zu-Standort-Verbindungen konfigurierten Clientcomputer neu starte?

Die automatische Wiederverbindung ist eine Funktion des verwendeten Clients. Windows unterstützt die automatische Wiederverbindung durch Konfiguration der Client-Funktion Always On-VPN.

Unterstützt Point-to-Site DDNS auf den VPN-Clients?

DDNS wird derzeit in Point-to-Site-VPNs nicht unterstützt.

Kann ich im gleichen virtuellen Netzwerk sowohl Site-to-Site- als auch Point-to-Site-Konfigurationen verwenden?

Ja. Beim Resource Manager-Bereitstellungsmodell müssen Sie als VPN-Typ für Ihr Gateway „RouteBased“ festlegen. Für das klassische Bereitstellungsmodell benötigen Sie ein dynamisches Gateway. Point-to-Site-Konfigurationen werden für VPN-Gateways mit statischem Routing oder für richtlinienbasierte Gateways nicht unterstützt.

Kann ich einen Point-to-Site-Client so konfigurieren, dass er gleichzeitig eine Verbindung mit mehreren Gateways für virtuelle Netzwerke herstellt?

Abhängig von der verwendeten VPN-Clientsoftware kannst Du unter Umständen eine Verbindung mit mehreren Gateways für virtuelle Netzwerke herstellen. Voraussetzung dafür ist, dass für die virtuellen Netzwerke, mit denen eine Verbindung hergestellt wird, keine Adressräume vorliegen, die miteinander oder mit dem Netzwerk in Konflikt stehen, aus dem der Client eine Verbindung herstellt. Azure VPN Client unterstützt zwar viele VPN-Verbindungen, es kann jedoch immer nur eine Verbindung aktiv sein.

Kann ein Punkt-zu-Standort-Client so konfiguriert werden, dass er Verbindungen mit mehreren virtuellen Netzwerken gleichzeitig herstellt?

Ja. Point-to-Site-Clientverbindungen mit einem Gateway für virtuelle Netzwerke, das in einem VNet bereitgestellt wird, für das ein Peering mit anderen VNets besteht, haben unter Umständen Zugriff auf andere per Peering verknüpfte VNets. Point-to-Site-Clients können eine Verbindung mit VNets herstellen, die per Peering verknüpft sind, solange diese VNets die Features „UseRemoteGateway“ oder „AllowGatewayTransit“ verwenden. Weitere Informationen hierzu findest Du unter Informationen zu Point-to-Site-Routing.

Wie viel Durchsatz kann ich bei einer Site-to-Site- oder bei einer Point-to-Site-Verbindung erwarten?

Der genaue Durchsatz der VPN-Tunnel lässt sich nur schwer ermitteln. IPsec und SSTP sind VPN-Protokolle mit hohem Kryptografieaufwand. Außerdem wird der Durchsatz durch die Latenz und die Bandbreite zwischen Ihrem Standort und dem Internet eingeschränkt. Bei einem VPN-Gateway nur mit IKEv2-P2S-VPN-Verbindungen hängt der erwartete Gesamtdurchsatz von der Gateway-SKU ab. Weitere Informationen zum Durchsatz finden Sie unter Gateway-SKUs.

Kann ich für Point-to-Site-Verbindungen einen beliebigen VPN-Softwareclient mit SSTP- und/oder IKEv2-Unterstützung verwenden?

Nein. Sie können nur den nativen VPN-Client unter Windows für SSTP und den nativen VPN-Client unter Mac für IKEv2 verwenden. Allerdings können Sie den OpenVPN-Client auf allen Plattformen verwenden, um über das OpenVPN-Protokoll eine Verbindung herzustellen. Informationen finden Sie in der Liste der unterstützten Clientbetriebssysteme.

Kann ich den Authentifizierungstyp für eine Point-to-Site-Verbindung ändern?

Ja. Navigieren Sie im Portal zur Seite VPN-Gateway -> Point-to-Site-Konfiguration. Wähle unter Authentifizierungstyp die Authentifizierungstypen aus, die Du verwenden möchtest. Beachte, dass aktuelle Clients nach einer Änderung an einem Authentifizierungstyp möglicherweise erst dann eine Verbindung herstellen können, wenn ein neues VPN-Clientkonfigurationsprofil generiert, heruntergeladen und auf jeden VPN-Client angewendet wurde.

Unterstützt Azure IKEv2-VPN unter Windows?

IKEv2 wird unter Windows 10 und Server 2016 unterstützt. Bei bestimmten Betriebssystemversionen müssen Sie für die Verwendung von IKEv2 allerdings Updates installieren und lokal einen Registrierungsschlüsselwert festlegen. Betriebssystemversionen vor Windows 10 werden nicht unterstützt und können nur SSTP oder OpenVPN® Protocol verwenden.

Hinweis

Bei Windows-Betriebssystembuilds, die neuer als Version 1709 (Windows 10) bzw. Version 1607 (Windows Server 2016) sind, sind diese Schritte nicht erforderlich.

Vorbereitung von Windows 10 oder Server 2016 für IKEv2:

  1. Installieren Sie das passende Update für Ihre Betriebssystemversion:

    Betriebssystemversion Date Anzahl/Link
    Windows Server 2016
    Windows 10, Version 1607    		 17. Januar 2018 KB4057142
    Windows 10, Version 1703 17. Januar 2018 KB4057144
    Windows 10, Version 1709 22. März 2018 KB4089848

  2. Legen Sie den Registrierungsschlüsselwert fest. Erstellen Sie den REG_DWORD-Schlüssel „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload“, oder legen Sie ihn in der Registrierung auf 1 fest.

Wie sieht die IKEv2-Datenverkehrsauswahlgrenze für Point-to-Site-Verbindungen aus?

Windows 10 Version 2004 (veröffentlicht im September 2021) erhöhte die Datenverkehrsauswahlgrenze auf 255. Frühere Windows-Versionen haben eine Datenverkehrsauswahlgrenze von 25.

Die Datenverkehrsauswahlgrenze in Windows bestimmt die maximale Anzahl von Adressräumen in Ihrem virtuellen Netzwerk und die maximale Summe Ihrer lokalen Netzwerke, VNet-zu-VNet-Verbindungen und mit dem Gateway verbundenen Peered-VNets. Windows-basierte Point-to-Site-Clients können keine Verbindung über IKEv2 herstellen, wenn sie diese Grenze überschreiten.

Was geschieht, wenn ich sowohl SSTP als auch IKEv2 für P2S-VPN-Verbindungen konfiguriere?

Wenn Du sowohl SSTP als auch IKEv2 in einer gemischten Umgebung (bestehend aus Windows- und Mac-Geräten) konfigurierst, versucht der Windows-VPN-Client immer zuerst den IKEv2-Tunnel, weicht jedoch auf SSTP aus, wenn die IKEv2-Verbindung nicht erfolgreich ist. MacOSX stellt nur eine Verbindung über IKEv2 her.

Wenn Sie sowohl SSTP als auch IKEv2 auf dem Gateway aktiviert haben, wird der Point-to-Site-Adresspool statisch zwischen beiden Protokollen aufgeteilt, sodass Clients, die unterschiedliche Protokolle verwenden, IP-Adressen aus beiden Unterbereichen zugewiesen werden. Beachten Sie, dass die maximale Anzahl von SSTP-Clients immer 128 beträgt, auch wenn der Adressbereich größer als /24 ist, was zu einer größeren Anzahl von Adressen führt, die für IKEv2-Clients verfügbar sind. Bei kleineren Bereichen wird der Pool in zwei gleiche Teile geteilt. Datenverkehrsselektoren, die vom Gateway verwendet werden, enthalten möglicherweise nicht den CIDR für den Point-to-Site-Adressbereich, sondern die beiden Unterbereichs-CIDRs.

Welche anderen Plattformen, außer Windows und Mac, werden von Azure für P2S-VPN unterstützt?

Azure unterstützt Windows, Mac und Linux für P2S-VPN.

Ich verfüge bereits über ein bereitgestelltes Azure-VPN-Gateway. Kann ich RADIUS und/oder IKEv2-VPN darauf aktivieren?

Ja, wenn die von Dir verwendete Gateway-SKU RADIUS und/oder IKEv2 unterstützt, kannst Du diese Features auf Gateways, die Du bereits bereitgestellt hast, mithilfe von PowerShell oder dem Azure-Portal aktivieren. Die Basic-SKU unterstützt weder RADIUS noch IKEv2.

Wie entferne ich die Konfiguration einer P2S-Verbindung?

Eine P2S-Konfiguration kann über die Azure CLI und PowerShell mit folgenden Befehlen entfernt werden:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Wird RADIUS-Authentifizierung von allen Azure-VPN-Gateway-SKUs unterstützt?

RADIUS-Authentifizierung wird mit Ausnahme der Basic-SKU für alle SKUs unterstützt.

Für ältere SKUs wird die RADIUS-Authentifizierung bei Standard- und High Performance SKUs unterstützt. In der Basic-Gateway-SKU wird sie nicht unterstützt.

Wird die RADIUS-Authentifizierung für das klassische Bereitstellungsmodell unterstützt?

Nein. Die RADIUS-Authentifizierung wird für das klassische Bereitstellungsmodell nicht unterstützt.

Welcher Timeoutwert gilt für RADIUS-Anforderungen, die an den RADIUS-Server gesendet werden?

Für RADIUS-Anforderungen ist ein Timeoutwert von 30 Sekunden festgelegt. Benutzerdefinierte Timeoutwerte werden derzeit nicht unterstützt.

Werden RADIUS-Server von Drittanbietern unterstützt?

Ja, RADIUS-Server von Drittanbietern werden unterstützt.

Mit welchen Konnektivitätsanforderungen wird sichergestellt, dass das Azure-Gateway einen lokalen RADIUS-Server erreicht?

Es ist eine Site-to-Site-VPN-Verbindung mit dem Standort vor Ort erforderlich. (Dabei müssen die korrekten Routen konfiguriert sein.)

Kann Datenverkehr für einen lokalen RADIUS-Server (vom Azure-VPN-Gateway) über eine ExpressRoute-Verbindung weitergeleitet werden?

Nein. Kann nur über eine S2S-Verbindung weitergeleitet werden.

Hat sich die Anzahl von SSTP-Verbindungen geändert, die mit RADIUS-Authentifizierung unterstützt werden? Wie viele SSTP- und IKEv2-Verbindungen werden maximal unterstützt?

Die maximale Anzahl von SSTP-Verbindungen, die für ein Gateway mit RADIUS-Authentifizierung unterstützt werden, hat sich nicht geändert. Es werden nach wie vor maximal 128 SSTP-Verbindungen unterstützt – abhängig von der Gateway-SKU für IKEv2. Weitere Informationen zur Anzahl von unterstützten Verbindungen finden Sie unter Gateway-SKUs.

Was ist der Unterschied zwischen der Zertifikatauthentifizierung mithilfe eines RADIUS-Servers und der systemeigenen Azure-Zertifikatauthentifizierung durch Hochladen eines vertrauenswürdigen Zertifikats in Azure?

Bei der RADIUS-Zertifikatauthentifizierung wird die Authentifizierungsanforderung an einen RADIUS-Server weitergeleitet, der die tatsächliche Zertifikatüberprüfung durchführt. Diese Option ist nützlich für die Integration in eine bereits vorhandene Zertifikatauthentifizierungsinfrastruktur über RADIUS.

Bei Verwendung von Azure für die Zertifikatauthentifizierung führt das Azure-VPN-Gateway die Überprüfung des Zertifikats durch. Sie müssen den öffentlichen Schlüssel des Zertifikats in das Gateway hochladen. Sie können auch eine Liste gesperrter Zertifikate angeben, für die die Verbindung nicht zugelassen werden soll.

Funktioniert die RADIUS-Authentifizierung mit IKEv2 und SSTP VPN?

Ja, die RADIUS-Authentifizierung funktioniert mit IKEv2 und SSTP VPN?

Funktioniert RADIUS-Authentifizierung mit dem OpenVPN-Client?

RADIUS-Authentifizierung wird für das OpenVPN-Protokoll unterstützt.

Nächste Schritte

„OpenVPN“ ist eine Marke von OpenVPN Inc.