Tentang pengaturan konfigurasi VPN Gateway
Arsitektur koneksi gateway VPN bergantung pada konfigurasi beberapa sumber daya, yang masing-masing berisi pengaturan yang dapat dikonfigurasi. Bagian di artikel ini membahas sumber daya dan pengaturan yang terkait dengan VPN gateway untuk jaringan virtual yang dibuat dalam model penyebaran Resource Manager. Anda dapat menemukan deskripsi dan diagram topologi untuk setiap solusi koneksi di artikel topologi dan desain VPN Gateway.
Nilai dalam artikel ini secara khusus berlaku untuk gateway VPN (gateway jaringan virtual yang menggunakan Vpn -GatewayType). Jika Anda mencari informasi tentang tipe gateway berikut ini, lihat artikel berikut ini:
- Untuk nilai yang berlaku untuk -GatewayType 'ExpressRoute', lihat Gateway jaringan virtual untuk ExpressRoute.
- Untuk gateway zone-redundant, lihat Tentang gateway zone-redundant.
- Untuk gateway aktif-aktif, lihat Tentang konektivitas yang sangat tersedia.
- Untuk gateway Virtual WAN, lihat Tentang Virtual WAN.
Gateway dan jenis gateway
Gateway jaringan virtual terdiri dari dua atau beberapa VM yang dikelola Azure yang secara otomatis dikonfigurasi dan disebarkan ke subnet tertentu yang Anda buat yang disebut subnet gateway. Gateway mesin virtual berisi tabel perutean dan menjalankan layanan gateway tertentu.
Saat Anda membuat gateway jaringan virtual, gateway VM secara otomatis disebarkan ke subnet gateway (selalu bernama GatwaySubnet), dan dikonfigurasi dengan pengaturan yang Anda tentukan. Proses ini dapat memakan waktu 45 menit atau lebih untuk melengkapi, tergantung pada SKU gateway yang Anda pilih.
Salah satu pengaturan yang Anda tentukan saat membuat gateway jaringan virtual adalah jenis gateway. Jenis gateway menentukan bagaimana gateway jaringan virtual digunakan dan tindakan yang dilakukan gateway. Satu jaringan virtual dapat memiliki dua gateway jaringan virtual; satu gateway VPN dan satu gateway ExpressRoute. Jenis gateway 'Vpn' menentukan bahwa jenis gateway jaringan virtual yang dibuat adalah gateway VPN. Ini membedakannya dari gateway ExpressRoute, yang menggunakan jenis gateway yang berbeda.
Saat membuat gateway jaringan virtual, pastikan jenis gateway sudah benar untuk konfigurasi Anda. Nilai yang tersedia untuk -GatewayType adalah:
- Vpn
- ExpressRoute
VPN gateway memerlukan -GatewayTypeVpn.
Contoh:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKU dan performa Gateway
Lihat Artikel Tentang SKU Gateway untuk informasi terbaru tentang SKU gateway, performa, dan fitur yang didukung.
Jenis VPN
Azure mendukung dua jenis VPN yang berbeda untuk gateway VPN: berbasis kebijakan dan berbasis rute. Gateway VPN berbasis rute dibangun di platform yang berbeda dari gateway VPN berbasis kebijakan. Ini menghasilkan spesifikasi gateway yang berbeda.
Dalam kebanyakan kasus, Anda akan membuat gateway VPN berbasis rute. Sebelumnya, SKU gateway yang lebih lama tidak mendukung IKEv1 untuk gateway berbasis rute. Sekarang, sebagian besar SKU gateway saat ini mendukung IKEv1 dan IKEv2. Jika Anda sudah memiliki gateway berbasis kebijakan, Anda tidak diharuskan untuk memutakhirkan gateway Anda ke berbasis rute.
Jika Anda ingin membuat gateway berbasis kebijakan, gunakan PowerShell atau CLI. Pada 1 Oktober 2023, Anda tidak dapat membuat gateway VPN berbasis kebijakan melalui portal Azure, hanya gateway berbasis rute yang tersedia.
| Jenis VPN Gateway | SKU Gateway | Versi IKE didukung |
|---|---|---|
| Gateway berbasis kebijakan | Dasar | IKEv1 |
| Gateway berbasis rute | Dasar | IKEv2 |
| Gateway berbasis rute | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 dan IKEv2 |
| Gateway berbasis rute | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 dan IKEv2 |
Jenis koneksi
Dalam model penyebaran Resource Manager, setiap konfigurasi memerlukan jenis koneksi gateway jaringan virtual tertentu. Nilai PowerShell Resource Manager yang tersedia untuk -ConnectionType adalah:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
Dalam contoh PowerShell berikut, kita buat koneksi S2S yang memerlukan tipe koneksi IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Mode koneksi
Properti Mode Koneksi ion hanya berlaku untuk gateway VPN berbasis rute yang menggunakan koneksi IKEv2. mode Koneksi ion menentukan arah inisiasi koneksi dan hanya berlaku untuk pembentukan koneksi IKE awal. Setiap pihak dapat memulai pengulangan dan pesan lebih lanjut. InisiatorOnly berarti koneksi perlu dimulai oleh Azure. ResponderOnly berarti koneksi perlu dimulai oleh perangkat lokal. Perilaku Default adalah menerima dan melakukan dial mana saja yang tersambung terlebih dahulu.
Subnet gateway
Sebelum membuat VPN gateway, Anda harus membuat subnet gateway. Subnet gateway berisi alamat IP yang digunakan layanan dan komputer virtual gateway jaringan virtual. Saat Anda membuat gateway jaringan virtual, gateway VM disebarkan ke subnet gateway dan dikonfigurasi dengan pengaturan VPN gateway yang diperlukan. Jangan pernah menyebarkan hal lain (misalnya, lebih banyak VM) ke subnet gateway. Semua subnet gateway harus diberi nama 'GatewaySubnet' agar berfungsi dengan baik. Penamaan subnet gateway 'GatewaySubnet' memberi tahu Azure bahwa ini adalah subnet yang harus digunakan untuk menyebarkan VM dan layanan gateway jaringan virtual.
Saat Anda membuat subnet gateway, Anda menentukan jumlah alamat IP yang ditampung subnet. Alamat IP di subnet gateway dialokasikan ke gateway VM dan layanan gateway. Beberapa konfigurasi memerlukan lebih banyak alamat IP daripada yang lain.
Saat Anda merencanakan ukuran subnet gateway, lihat dokumentasi untuk konfigurasi yang ingin Anda buat. Misalnya, konfigurasi berdampingan ExpressRoute/VPN Gateway memerlukan subnet gateway yang lebih besar daripada kebanyakan konfigurasi lainnya. Meskipun dimungkinkan untuk membuat subnet gateway sekurang /29 (berlaku untuk SKU Dasar saja), semua SKU lainnya memerlukan subnet gateway berukuran /27 atau lebih besar (/27, /26, /25 dll.). Anda mungkin ingin membuat subnet gateway yang lebih besar dari /27 sehingga subnet memiliki alamat IP yang cukup untuk mengakomodasi kemungkinan konfigurasi di masa mendatang.
Contoh Resource Manager PowerShell berikut ini memperlihatkan subnet gateway bernama GatewaySubnet. Seperti yang Anda lihat, notasi CIDR menetapkan /27, sehingga alamat IP cukup untuk sebagian besar konfigurasi yang saat ini sudah ada.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Pertimbangan:
Rute yang ditentukan pengguna dengan tujuan 0.0.0.0/0 dan NSGs di GatewaySubnet tidak didukung. Gateway dengan konfigurasi ini diblokir agar tidak dibuat. Gateway memerlukan akses ke pengontrol manajemen agar berfungsi dengan baik. Penyebaran rute BGP harus diatur ke "Diaktifkan" di GatewaySubnet untuk memastikan ketersediaan gateway. Jika penyebaran rute BGP diatur ke dinonaktifkan, gateway tidak akan berfungsi.
Diagnostik, jalur data, dan jalur kontrol dapat terpengaruh jika rute yang ditentukan pengguna tumpang tindih dengan rentang subnet Gateway atau rentang IP publik gateway.
Gateway jaringan lokal
Gateway jaringan lokal berbeda dari gateway jaringan virtual. Saat Anda bekerja dengan arsitektur situs-ke-situs gateway VPN, gateway jaringan lokal biasanya mewakili jaringan lokal Anda dan perangkat VPN yang sesuai. Dalam model penyebaran klasik, gateway jaringan lokal disebut sebagai Situs Lokal.
Saat mengonfigurasi gateway jaringan lokal, Anda menentukan nama, alamat IP publik, atau nama domain yang sepenuhnya memenuhi syarat (FQDN) perangkat VPN lokal, dan awalan alamat yang terletak di lokasi lokal. Azure melihat awalan alamat tujuan untuk lalu lintas jaringan, berkonsultasi dengan konfigurasi yang Anda tentukan untuk gateway jaringan lokal Anda, dan merutekan paket yang sesuai. Jika Anda menggunakan Border Gateway Protocol (BGP) di perangkat VPN, Anda menyediakan alamat IP serekan BGP perangkat VPN Anda dan nomor sistem otonom (ASN) jaringan lokal Anda. Anda juga menentukan gateway jaringan lokal untuk konfigurasi VNet-to-VNet yang menggunakan koneksi gateway VPN.
Contoh PowerShell berikut ini membuat gateway jaringan lokal baru:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Terkadang Anda perlu mengubah pengaturan gateway jaringan lokal. Misalnya, saat Anda menambahkan atau mengubah rentang alamat, atau jika alamat IP perangkat VPN berubah. Untuk informasi selengkapnya, lihat Mengubah pengaturan gateway jaringan lokal.
REST API, PowerShell cmdlets, dan CLI
Untuk sumber daya teknis dan persyaratan sintaksis tertentu saat menggunakan REST API, cmdlet PowerShell, atau Azure CLI untuk konfigurasi VPN Gateway, lihat halaman berikut ini:
| Klasik | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| Tidak didukung | Azure CLI |
Langkah berikutnya
Untuk informasi selengkapnya tentang konfigurasi koneksi yang tersedia, lihat Tentang VPN Gateway.