Tanya Jawab Umum VPN Gateway
Artikel ini menjawab pertanyaan umum tentang koneksi lintas lokasi Azure VPN Gateway, koneksi konfigurasi hibrid, dan gateway jaringan virtual (VNet). Ini berisi informasi komprehensif tentang pengaturan konfigurasi point-to-site (P2S), situs-ke-situs (S2S), dan VNet-ke-VNet, termasuk protokol Internet Protocol Security (IPsec) dan Internet Key Exchange (IKE).
Menyambungkan ke jaringan virtual
Dapatkah saya menyambungkan jaringan virtual di berbagai wilayah Azure?
Ya. Tidak ada batasan wilayah. Satu jaringan virtual dapat terhubung ke jaringan virtual lain di wilayah Azure yang sama atau di wilayah yang berbeda.
Dapatkah saya menyambungkan jaringan virtual di berbagai langganan?
Ya.
Dapatkah saya menentukan server DNS privat di VNet saat mengonfigurasi gateway VPN?
Jika Anda menentukan server atau server Sistem Nama Domain (DNS) saat membuat jaringan virtual, gateway jaringan privat virtual (VPN) menggunakan server DNS tersebut. Verifikasi bahwa server DNS yang Anda tentukan dapat mengatasi nama domain yang diperlukan untuk Azure.
Dapatkah saya tersambung ke beberapa situs dari satu jaringan virtual?
Anda dapat tersambung ke beberapa situs dengan menggunakan Windows PowerShell dan REST API Azure. Lihat bagian Tanya Jawab Umum konektivitas Multi-situs dan VNet-ke-VNet.
Apakah ada biaya tambahan untuk menyiapkan VPN gateway sebagai aktif-aktif?
Nomor. Namun, biaya untuk IP publik tambahan dikenakan biaya yang sesuai. Lihat Harga alamat IP.
Apa saja opsi koneksi lintas lokasi saya?
Azure VPN Gateway mendukung koneksi gateway lintas lokasi berikut:
- Situs-ke-situs: Koneksi VPN melalui IPsec (IKEv1 dan IKEv2). Jenis koneksi ini memerlukan perangkat VPN atau Perutean Windows Server dan Akses Jarak Jauh. Untuk informasi selengkapnya, lihat Membuat koneksi VPN situs-ke-situs di portal Azure.
- Titik-ke-situs: Koneksi VPN melalui Secure Socket Tunneling Protocol (SSTP) atau IKEv2. Koneksi ini tidak memerlukan perangkat VPN. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan server untuk autentikasi sertifikat VPN Gateway titik-ke-situs.
- VNet-ke-VNet: Jenis koneksi ini sama dengan konfigurasi situs-ke-situs. VNet-ke-VNet adalah koneksi VPN melalui IPsec (IKEv1 dan IKEv2). Koneksi ini tidak memerlukan perangkat VPN. Untuk informasi selengkapnya, lihat Mengonfigurasi koneksi gateway VPN VNet-ke-VNet.
- Azure ExpressRoute: ExpressRoute adalah koneksi privat ke Azure dari jaringan area luas (WAN), bukan koneksi VPN melalui internet publik. Untuk informasi selengkapnya, lihat gambaran umum teknis ExpressRoute dan FAQ ExpressRoute.
Untuk informasi selengkapnya tentang koneksi gateway VPN, lihat Apa itu Azure VPN Gateway?.
Apa perbedaan antara koneksi situs-ke-situs dan titik-ke-situs?
Konfigurasi situs-ke-situs (terowongan IPsec/IKE VPN) berada di antara lokasi lokal Anda dan Azure. Anda dapat terhubung dari salah satu komputer yang terletak di tempat Anda ke komputer virtual (VM) atau instans peran apa pun dalam jaringan virtual Anda, tergantung pada cara Anda memilih untuk mengonfigurasi perutean dan izin. Ini merupakan opsi yang bagus untuk koneksi lintas lokasi yang selalu tersedia dan sangat cocok untuk konfigurasi hibrid.
Jenis koneksi ini bergantung pada appliance VPN IPsec (perangkat keras atau appliance lunak). Appliance harus disebarkan di tepi jaringan Anda. Untuk membuat jenis koneksi ini, Anda harus memiliki alamat IPv4 ke arah eksternal.
Konfigurasi titik-ke-situs (VPN melalui SSTP) memungkinkan Anda tersambung dari satu komputer di mana saja ke segala sesuatu yang terletak di jaringan virtual Anda. Ini menggunakan klien VPN bawaan Windows.
Sebagai bagian dari konfigurasi titik-ke-situs, Anda menginstal sertifikat dan paket konfigurasi klien VPN. Paket berisi pengaturan yang memungkinkan komputer Anda terhubung ke komputer virtual atau instans peran apa pun dalam jaringan virtual.
Konfigurasi ini berguna ketika Anda ingin terhubung ke jaringan virtual tetapi tidak terletak di tempat. Ini juga merupakan opsi yang baik jika Anda tidak memiliki akses ke perangkat keras VPN atau alamat IPv4 ke arah eksternal, yang keduanya diperlukan untuk koneksi Situs-ke-situs.
Anda dapat mengonfigurasi jaringan virtual untuk menggunakan situs-ke-situs dan titik-ke-situs secara bersamaan, selama Anda membuat koneksi situs-ke-situs Anda dengan menggunakan jenis VPN berbasis rute untuk gateway Anda. Jenis VPN berbasis rute disebut gateway dinamis dalam model penyebaran klasik.
Apakah kesalahan konfigurasi DNS kustom merusak operasi normal gateway VPN?
Untuk fungsi normal, gateway VPN harus membuat koneksi aman dengan sarana kontrol Azure, yang difasilitasi melalui alamat IP publik. Koneksi ini bergantung pada penyelesaian titik akhir komunikasi melalui URL publik. Secara default, Azure VNets menggunakan layanan Azure DNS bawaan (168.63.129.16) untuk mengatasi URL publik ini. Perilaku default ini membantu memastikan komunikasi yang mulus antara gateway VPN dan sarana kontrol Azure.
Saat Anda menerapkan DNS kustom dalam VNet, sangat penting untuk mengonfigurasi penerus DNS yang menunjuk ke Azure DNS (168.63.129.16). Konfigurasi ini membantu mempertahankan komunikasi yang tidak terganggu antara gateway VPN dan sarana kontrol. Kegagalan untuk menyiapkan penerus DNS ke Azure DNS dapat mencegah Microsoft melakukan operasi dan pemeliharaan di gateway VPN, yang menimbulkan risiko keamanan.
Untuk membantu memastikan fungsionalitas yang tepat dan status sehat untuk gateway VPN Anda, pertimbangkan salah satu konfigurasi DNS berikut di VNet:
- Kembali ke default Azure DNS dengan menghapus DNS kustom dalam pengaturan VNet (konfigurasi yang direkomendasikan).
- Tambahkan konfigurasi DNS kustom Anda penerus DNS yang menunjuk ke Azure DNS (168.63.129.16). Bergantung pada aturan tertentu dan sifat DNS kustom Anda, penyetelan ini mungkin tidak menyelesaikan masalah seperti yang diharapkan.
Bisakah dua klien VPN tersambung di titik-ke-situs ke gateway VPN yang sama berkomunikasi?
Tidak. Klien VPN yang terhubung di titik-ke-situs ke gateway VPN yang sama tidak dapat berkomunikasi satu sama lain.
Ketika dua klien VPN terhubung ke gateway VPN titik-ke-situs yang sama, gateway dapat secara otomatis merutekan lalu lintas di antara mereka dengan menentukan alamat IP yang ditetapkan setiap klien dari kumpulan alamat. Namun, jika klien VPN terhubung ke gateway VPN yang berbeda, perutean antara klien VPN tidak dimungkinkan karena setiap gateway VPN tidak mengetahui alamat IP yang ditetapkan gateway lain ke klien.
Mungkinkah potensi kerentanan yang dikenal sebagai "visi terowongan" memengaruhi koneksi VPN titik-ke-situs?
Microsoft mengetahui laporan tentang teknik jaringan yang melewati enkapsulasi VPN. Ini adalah masalah di seluruh industri. Ini mempengaruhi sistem operasi apa pun yang menerapkan klien Dynamic Host Configuration Protocol (DHCP) sesuai dengan spesifikasi RFC-nya dan memiliki dukungan untuk rute opsi DHCP 121, termasuk Windows.
Seperti catatan penelitian, mitigasi termasuk menjalankan VPN di dalam VM yang mendapatkan sewa dari server DHCP virtual untuk mencegah server DHCP jaringan lokal menginstal rute sama sekali. Anda dapat menemukan informasi selengkapnya tentang kerentanan ini di Database Kerentanan Nasional NIST.
Privasi
Apakah layanan VPN menyimpan atau memproses data pelanggan?
Nomor.
Gateway jaringan virtual
Apakah VPN gateway merupakan gateway jaringan virtual?
Gateway VPN adalah tipe gateway jaringan virtual. VPN gateway mengirim lalu lintas terenkripsi antara jaringan virtual Anda dan lokasi lokal Anda di seluruh koneksi publik. Anda juga dapat menggunakan VPN gateway untuk mengirim lalu lintas di antara jaringan virtual. Saat membuat gateway VPN, Anda menggunakan -GatewayType
nilai Vpn
. Untuk informasi selengkapnya, lihat Tentang pengaturan konfigurasi VPN Gateway.
Mengapa saya tidak dapat menentukan jenis VPN berbasis kebijakan dan berbasis rute?
Mulai 1 Oktober 2023, Anda tidak dapat membuat gateway VPN berbasis kebijakan melalui portal Azure. Semua VPN gateway yang baru secara otomatis dibuat berbasis rute. Jika Anda sudah memiliki gateway berbasis kebijakan, Anda tidak perlu memutakhirkan gateway Anda ke berbasis rute. Anda dapat menggunakan Azure PowerShell atau Azure CLI untuk membuat gateway berbasis kebijakan.
Sebelumnya, tingkat produk gateway (SKU) yang lebih lama tidak mendukung IKEv1 untuk gateway berbasis rute. Sekarang, sebagian besar SKU gateway saat ini mendukung IKEv1 dan IKEv2.
Jenis VPN Gateway | SKU Gateway | Versi IKE didukung |
---|---|---|
Gateway berbasis kebijakan | Dasar | IKEv1 |
Gateway berbasis rute | Dasar | IKEv2 |
Gateway berbasis rute | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 dan IKEv2 |
Gateway berbasis rute | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 dan IKEv2 |
Dapatkah saya memperbarui VPN gateway berbasis kebijakan saya ke berbasis rute?
Nomor. Jenis gateway tidak dapat diubah dari berbasis kebijakan menjadi berbasis rute, atau dari berbasis rute menjadi berbasis kebijakan. Untuk mengubah jenis gateway, Anda harus menghapus dan membuat ulang gateway dengan mengambil langkah-langkah berikut. Proses ini memerlukan waktu sekitar 60 menit. Saat Anda membuat gateway baru, Anda tidak dapat mempertahankan alamat IP gateway asli.
Hapus semua koneksi yang berkaitan dengan gateway tersebut.
Hapus gateway dengan menggunakan salah satu artikel berikut ini:
Buat gateway baru dengan menggunakan jenis gateway yang Anda inginkan, lalu selesaikan penyiapan VPN. Untuk langkah-langkahnya , lihat tutorial situs-ke-situs.
Dapatkah saya menentukan pemilih lalu lintas berbasis kebijakan saya sendiri?
Ya, Anda dapat menentukan pemilih lalu lintas dengan menggunakan trafficSelectorPolicies
atribut pada koneksi melalui perintah New-AzIpsecTrafficSelectorPolicy Azure PowerShell. Agar pemilih lalu lintas yang ditentukan berlaku, pastikan untuk mengaktifkan pemilih lalu lintas berbasis kebijakan.
Pemilih lalu lintas yang dikonfigurasi khusus hanya diusulkan ketika gateway VPN memulai koneksi. Gateway VPN menerima pemilih lalu lintas apa pun yang diusulkan oleh gateway jarak jauh (perangkat VPN lokal). Perilaku ini konsisten di antara semua mode koneksi (Default
, InitiatorOnly
, dan ResponderOnly
).
Apakah saya memerlukan subnet gateway?
Ya. Subnet gateway berisi alamat IP yang digunakan layanan gateway jaringan virtual. Anda perlu membuat subnet gateway untuk jaringan virtual Anda untuk mengonfigurasi gateway jaringan virtual.
Semua subnet gateway harus diberi nama GatewaySubnet
agar berfungsi dengan baik. Jangan beri subnet gateway Anda dengan nama lain. Dan jangan menyebarkan VM atau apa pun ke subnet gateway.
Saat Anda membuat subnet gateway, Anda menentukan jumlah alamat IP yang ditampung subnet. Alamat IP dalam subnet gateway dialokasikan ke layanan gateway.
Beberapa konfigurasi memerlukan lebih banyak alamat IP untuk dialokasikan ke layanan gateway dibandingkan yang lain. Pastikan subnet gateway Anda berisi alamat IP yang cukup untuk mengakomodasi pertumbuhan di masa mendatang dan kemungkinan konfigurasi koneksi baru.
Meskipun Anda dapat membuat subnet gateway sekucil /29, kami sarankan Anda membuat subnet gateway /27 atau lebih besar (/27, /26, /25, dan sebagainya). Verifikasi bahwa subnet gateway yang ada memenuhi persyaratan untuk konfigurasi yang ingin Anda buat.
Dapatkah saya menyebarkan komputer virtual atau instans peran ke subnet gateway saya?
Nomor.
Dapatkah saya mendapatkan alamat IP VPN gateway sebelum membuatnya?
Sumber daya IP publik Azure Standard SKU harus menggunakan metode alokasi statis. Anda akan memiliki alamat IP publik untuk gateway VPN Anda segera setelah Anda membuat sumber daya IP publik SKU Standar yang ingin Anda gunakan untuk itu.
Bisakah saya meminta alamat IP publik statis untuk gateway VPN saya?
Sumber daya alamat IP publik SKU standar menggunakan metode alokasi statis. Ke depannya, Anda harus menggunakan alamat IP publik SKU Standar saat membuat gateway VPN baru. Persyaratan ini berlaku untuk semua SKU gateway kecuali SKU Dasar. SKU Dasar saat ini hanya mendukung alamat IP publik SKU Dasar. Kami sedang berupaya menambahkan dukungan untuk alamat IP publik SKU Standar untuk SKU Dasar.
Untuk gateway non-zona-redundan dan non-zonal yang sebelumnya dibuat (SKU gateway yang tidak memiliki AZ dalam nama), penetapan alamat IP dinamis didukung tetapi sedang di-fase keluar. Saat Anda menggunakan alamat IP dinamis, alamat IP tidak berubah setelah ditetapkan ke gateway VPN Anda. Satu-satunya waktu alamat IP gateway VPN berubah adalah ketika gateway dihapus lalu dibuat ulang. Alamat IP publik tidak berubah saat Anda mengubah ukuran, mengatur ulang, atau menyelesaikan pemeliharaan internal dan peningkatan gateway VPN Anda.
Bagaimana penghentian alamat IP publik SKU Dasar memengaruhi gateway VPN saya?
Kami mengambil tindakan untuk memastikan operasi berkelanjutan gateway VPN yang disebarkan yang menggunakan alamat IP publik SKU Dasar hingga penghentian IP Dasar pada Bulan September 2025. Sebelum penghentian ini, kami akan memberi pelanggan jalur migrasi dari IP Dasar ke Standar.
Namun, alamat IP publik SKU Dasar sedang di-fase. Ke depannya, saat membuat gateway VPN, Anda harus menggunakan alamat IP publik SKU Standar. Anda dapat menemukan detail tentang penghentian alamat IP publik SKU Dasar di pengumuman Pembaruan Azure.
Bagaimana terowongan VPN saya diautentikasi?
Azure VPN Gateway menggunakan autentikasi kunci yang dibagikan sebelumnya (PSK). Kami menghasilkan PSK saat membuat terowongan VPN. Anda dapat mengubah PSK yang dibuat secara otomatis menjadi milik Anda sendiri dengan menggunakan cmdlet Set Pre-Shared Key REST API atau PowerShell.
Dapatkah saya menggunakan SET PRE-Shared Key REST API untuk mengonfigurasi VPN gateway berbasis kebijakan (perutean statis) saya?
Ya. Anda dapat menggunakan cmdlet Atur REST API Kunci Pra-Bersama dan PowerShell untuk mengonfigurasi VPN berbasis kebijakan Azure (statis) dan VPN perutean berbasis rute (dinamis).
Dapatkah saya menggunakan opsi autentikasi lainnya?
Anda dibatasi untuk menggunakan kunci prabayar untuk autentikasi.
Bagaimana cara menentukan lalu lintas mana yang melewati VPN gateway?
Untuk model penerapan Azure Resource Manager:
- Azure PowerShell: Gunakan
AddressPrefix
untuk menentukan lalu lintas untuk gateway jaringan lokal. - portal Azure: Buka ruang Alamat Konfigurasi>gateway>jaringan lokal.
Untuk model penerapan klasik:
- portal Azure: Buka jaringan virtual klasik, lalu buka Koneksi>VPN Koneksi>VPN situs-ke-situs nama>situs lokal ruang alamat klien situs>lokal.
Dapatkah saya menggunakan NAT-T pada sambungan VPN saya?
Ya, traversal terjemahan alamat jaringan (NAT-T) didukung. Azure VPN Gateway tidak melakukan fungsionalitas seperti NAT pada paket dalam ke atau dari terowongan IPsec. Dalam konfigurasi ini, pastikan bahwa perangkat lokal memulai terowongan IPSec.
Dapatkah saya menyiapkan server VPN saya sendiri di Azure dan menggunakannya agar tersambung ke jaringan lokal saya?
Ya. Anda dapat menyebarkan gateway atau server VPN Anda sendiri di Azure dari Marketplace Azure atau dengan membuat router VPN Anda sendiri. Anda harus mengonfigurasi rute yang ditentukan pengguna di jaringan virtual Anda untuk memastikan bahwa lalu lintas dirutekan dengan benar antara jaringan lokal Anda dan subnet jaringan virtual Anda.
Mengapa port tertentu dibuka pada gateway jaringan virtual saya?
Port tersebut diperlukan untuk komunikasi infrastruktur Azure. Sertifikat Azure membantu melindunginya dengan menguncinya. Tanpa sertifikat yang tepat, entitas eksternal, termasuk pelanggan gateway tersebut, tidak dapat menyebabkan efek apa pun pada titik akhir tersebut.
Gateway jaringan virtual pada dasarnya adalah perangkat multihomed. Satu adaptor jaringan masuk ke jaringan privat pelanggan, dan satu adaptor jaringan menghadapi jaringan publik. Entitas infrastruktur Azure tidak dapat memanfaatkan jaringan privat pelanggan karena alasan kepatuhan, sehingga mereka perlu menggunakan titik akhir publik untuk komunikasi infrastruktur. Audit keamanan Azure secara berkala memindai titik akhir publik.
Bisakah saya membuat gateway VPN dengan menggunakan SKU Dasar di portal?
Tidak. SKU Dasar tidak tersedia di portal. Anda dapat membuat gateway VPN SKU Dasar dengan menggunakan Azure CLI atau langkah-langkah Azure PowerShell .
Di mana saya dapat menemukan informasi tentang jenis gateway, persyaratan, dan throughput?
Lihat artikel berikut:
Penghentian SKU yang lebih lama
SKU Standar dan Performa Tinggi tidak akan digunakan lagi pada 30 September 2025. Anda dapat melihat pengumuman di situs Pembaruan Azure. Tim produk akan menyediakan jalur migrasi untuk SKU ini selambat-lambatnya pada tanggal 30 November 2024. Untuk informasi selengkapnya, lihat artikel SKU warisan VPN Gateway.
Saat ini, tidak ada tindakan yang perlu Anda ambil.
Bisakah saya membuat gateway baru yang menggunakan SKU Standar atau Performa Tinggi setelah pengumuman penghentian pada 30 November 2023?
Tidak. Mulai 1 Desember 2023, Anda tidak dapat membuat gateway yang menggunakan SKU Standar atau Performa Tinggi. Anda dapat membuat gateway yang menggunakan SKU VpnGw1 dan VpnGw2 dengan harga yang sama dengan SKU Standar dan Performa Tinggi, yang masing-masing tercantum di halaman harga.
Berapa lama gateway saya yang ada akan didukung pada SKU Standar dan Performa Tinggi?
Semua gateway yang ada yang menggunakan SKU Standar atau Performa Tinggi akan didukung hingga 30 September 2025.
Apakah saya perlu memigrasikan gateway saya dari SKU Standar atau Performa Tinggi sekarang?
Tidak, tidak ada tindakan yang diperlukan sekarang. Anda dapat memigrasikan gateway Anda mulai Desember 2024. Kami akan mengirim komunikasi dengan dokumentasi terperinci tentang langkah-langkah migrasi.
SKU mana yang dapat saya migrasikan gateway saya?
Saat migrasi SKU gateway tersedia, SKU dapat dimigrasikan sebagai berikut:
- Standar ke VpnGw1
- Performa Tinggi ke VpnGw2
Bagaimana jika saya ingin bermigrasi ke SKU AZ?
Anda tidak dapat memigrasikan SKU yang tidak digunakan lagi ke SKU AZ. Namun, semua gateway yang masih menggunakan SKU Standar atau Performa Tinggi setelah 30 September 2025, akan dimigrasikan dan ditingkatkan secara otomatis ke SKU AZ sebagai berikut:
- Standar untuk VpnGw1AZ
- Performa Tinggi untuk VpnGw2AZ
Anda dapat menggunakan strategi ini agar SKU Anda dimigrasikan dan ditingkatkan secara otomatis ke SKU AZ. Anda kemudian dapat mengubah ukuran SKU Anda dalam keluarga SKU tersebut jika perlu. Untuk harga AZ SKU, lihat halaman harga. Untuk informasi throughput oleh SKU, lihat Tentang SKU gateway.
Apakah ada perbedaan harga untuk gateway saya setelah migrasi?
Jika Anda memigrasikan SKU Anda pada 30 September 2025, tidak akan ada perbedaan harga. SKU VpnGw1 dan VpnGw2 ditawarkan dengan harga yang sama dengan SKU Standar dan Performa Tinggi.
Jika Anda tidak bermigrasi pada tanggal tersebut, SKU Anda akan secara otomatis dimigrasikan dan ditingkatkan ke SKU AZ. Dalam hal ini, ada perbedaan harga.
Apakah akan ada dampak performa pada gateway saya dengan migrasi ini?
Ya. Anda mendapatkan performa yang lebih baik dengan VpnGw1 dan VpnGw2. Saat ini, VpnGw1 pada 650 Mbps memberikan peningkatan performa 6,5x dengan harga yang sama dengan SKU Standar. VpnGw2 pada 1 Gbps memberikan peningkatan performa 5x dengan harga yang sama dengan SKU Performa Tinggi. Untuk informasi selengkapnya tentang throughput SKU, lihat Tentang SKU gateway.
Apa yang terjadi jika saya tidak bermigrasi pada 30 September 2025?
Semua gateway yang masih menggunakan SKU Standar atau Performa Tinggi akan dimigrasikan secara otomatis dan ditingkatkan ke SKU AZ berikut:
- Standar untuk VpnGw1AZ
- Performa Tinggi untuk VpnGw2AZ
Kami akan mengirim komunikasi sebelum memulai migrasi di gateway apa pun.
Apakah VPN Gateway Basic SKU juga dihentikan?
Tidak, VPN Gateway Basic SKU tidak dihentikan. Anda dapat membuat gateway VPN dengan menggunakan SKU Dasar melalui Azure PowerShell atau Azure CLI.
Saat ini, VPN Gateway Basic SKU hanya mendukung sumber daya alamat IP publik SKU Dasar (yang berada di jalur untuk pensiun). Kami sedang berupaya menambahkan dukungan untuk sumber daya alamat IP publik SKU Standar ke VPN Gateway Basic SKU.
Koneksi situs-ke-situs dan perangkat VPN
Apa yang harus saya pertimbangkan saat memilih perangkat VPN?
Kami telah memvalidasi serangkaian perangkat VPN situs-ke-situs standar sebagai bentuk kemitraan dengan vendor perangkat. Anda dapat menemukan daftar perangkat VPN yang kompatibel yang diketahui, instruksi atau sampel konfigurasi yang sesuai, dan spesifikasi perangkat di artikel Tentang perangkat VPN.
Semua perangkat dalam keluarga perangkat yang tercantum sebagai kompatibel yang diketahui harus bekerja dengan jaringan virtual. Untuk membantu mengonfigurasi perangkat VPN Anda, lihat sampel atau tautan konfigurasi perangkat yang sesuai dengan keluarga perangkat yang sesuai.
Di mana saya dapat menemukan pengaturan pengonfigurasian perangkat VPN?
Bergantung pada perangkat VPN yang Anda miliki, Anda mungkin dapat mengunduh skrip konfigurasi perangkat VPN. Untuk mengetahui informasi selengkapnya, lihat Mengunduh skrip konfigurasi perangkat VPN.
Tautan berikut ini menyediakan informasi konfigurasi lainnya:
Untuk informasi tentang perangkat VPN yang kompatibel, lihat Tentang perangkat VPN.
Sebelum Mengonfigurasi perangkat VPN, periksa masalah kompatibilitas perangkat yang diketahui.
Untuk tautan ke pengaturan konfigurasi perangkat, lihat Perangkat VPN yang divalidasi. Kami menyediakan tautan konfigurasi perangkat berdasarkan upaya terbaik, tetapi selalu yang terbaik untuk memeriksa dengan produsen perangkat Anda untuk informasi konfigurasi terbaru.
Daftar menunjukkan versi yang kami uji. Jika versi OS untuk perangkat VPN Anda tidak ada dalam daftar, versi TERSEBUT mungkin masih kompatibel. Tanyakan kepada produsen perangkat Anda.
Untuk informasi dasar tentang konfigurasi perangkat VPN, lihat Gambaran umum konfigurasi perangkat VPN mitra.
Untuk mengetahui informasi tentang pengeditan sampel konfigurasi perangkat, lihat Pengeditan sampel.
Untuk persyaratan kriptografis, lihat Tentang persyaratan kriptografis dan gateway VPN Azure.
Untuk informasi tentang parameter yang Anda butuhkan untuk menyelesaikan konfigurasi Anda, lihat Parameter IPsec/IKE Default. Informasi tersebut termasuk versi IKE, grup Diffie-Hellman (DH), metode autentikasi, algoritma enkripsi dan hashing, masa pakai asosiasi keamanan (SA), perfect forward secrecy (PFS), dan Dead Peer Detection (DPD).
Untuk langkah-langkah konfigurasi kebijakan IPsec/IKE, lihat Mengonfigurasi kebijakan koneksi IPsec/IKE kustom untuk VPN S2S dan VNet-ke-VNet.
Untuk menyambungkan beberapa perangkat VPN berbasis kebijakan, lihat Menyambungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan lokal.
Bagaimana cara saya mengedit sampel konfigurasi perangkat VPN?
Lihat Mengedit sampel konfigurasi perangkat.
Di mana saya dapat menemukan parameter IPsec dan IKE?
Lihat Parameter IPsec/IKE default.
Mengapa performa terowongan VPN berbasis kebijakan saya turun ketika lalu lintas tanpa aktivitas?
Perilaku ini diharapkan untuk gateway VPN berbasis kebijakan (juga dikenal sebagai perutean statis). Ketika lalu lintas di atas terowongan diam selama lebih dari lima menit, terowongan diruntuhkan. Ketika lalu lintas mulai mengalir di kedua arah, terowongan segera dibangun kembali.
Dapatkah saya menggunakan VPN perangkat lunak untuk menyambungkan ke Azure?
Kami mendukung server Perutean windows Server 2012 dan Akses Jarak Jauh untuk konfigurasi lintas lokasi situs-ke-situs.
Solusi VPN perangkat lunak lainnya harus bekerja dengan gateway, selama sesuai dengan implementasi IPsec standar industri. Untuk petunjuk konfigurasi dan dukungan, hubungi vendor perangkat lunak.
Bisakah saya menyambungkan ke gateway VPN melalui titik-ke-situs ketika terletak di situs yang memiliki koneksi situs-ke-situs aktif?
Ya, tetapi alamat IP publik klien titik-ke-situs harus berbeda dari alamat IP publik yang digunakan perangkat VPN situs-ke-situs, atau koneksi titik-ke-situs tidak akan berfungsi. Koneksi titik-ke-situs dengan IKEv2 tidak dapat dimulai dari alamat IP publik yang sama di mana koneksi VPN situs-ke-situs dikonfigurasi pada gateway VPN yang sama.
Koneksi titik ke situs
Berapa banyak titik akhir klien VPN yang saya miliki di konfigurasi Titik-ke-Situs saya?
Ini tergantung pada SKU gateway. Untuk informasi selengkapnya tentang jumlah koneksi yang didukung, lihat SKU Gateway.
Sistem operasi klien apa yang dapat saya gunakan dengan titik-ke-situs?
Sistem operasi klien berikut didukung:
- Windows Server 2008 R2 (hanya 64 bit)
- Windows 8.1 (32-bit dan 64-bit)
- Windows Server 2012 (hanya 64 bit)
- Windows Server 2012 R2 (hanya 64 bit)
- Windows Server 2016 (hanya 64 bit)
- Windows Server 2019 (hanya 64 bit)
- Windows Server 2022 (hanya 64 bit)
- Windows 10
- Windows 11
- macOS versi 10.11 atau yang lebih baru
- Linux (strongSwan)
- iOS
Dapatkah saya melintasi proksi dan firewall dengan menggunakan kemampuan titik-ke-situs?
Azure mendukung tiga jenis opsi VPN titik-ke-situs:
Secure Socket Tunneling Protocol (SSTP): Solusi berbasis SSL milik Microsoft yang dapat menembus firewall karena sebagian besar firewall membuka port TCP keluar yang digunakan 443 SSL.
OpenVPN: Solusi berbasis SSL yang dapat menembus firewall karena sebagian besar firewall membuka port TCP keluar yang digunakan 443 SSL.
VPN IKEv2: Solusi VPN IPsec berbasis standar yang menggunakan port UDP keluar 500 dan 4500, bersama dengan protokol IP nomor 50. Firewall tidak selalu membuka port ini, jadi ada kemungkinan bahwa VPN IKEv2 tidak dapat melintasi proksi dan firewall.
Jika saya menghidupkan ulang komputer klien yang saya konfigurasi untuk titik-ke-situs, apakah VPN akan terhubung kembali secara otomatis?
Koneksi ulang otomatis adalah fungsi klien yang Anda gunakan. Windows mendukung koneksi ulang otomatis melalui fitur klien AlwaysOn VPN .
Apakah Titik-ke-Situs mendukung DDNS pada klien VPN?
DNS Dinamis (DDNS) saat ini tidak didukung dalam VPN titik-ke-situs.
Bisakah konfigurasi situs-ke-situs dan titik-ke-situs hidup berdampingan untuk jaringan virtual yang sama?
Ya. Untuk model penyebaran Resource Manager, Anda harus memiliki jenis VPN berbasis rute untuk gateway Anda. Untuk model penyebaran klasik, Anda memerlukan gateway dinamis. Kami tidak mendukung titik-ke-situs untuk gateway VPN perutean statis atau gateway VPN berbasis kebijakan.
Bisakah saya mengonfigurasi klien Titik ke Situs untuk tersambung ke beberapa gateway jaringan virtual secara bersamaan?
Bergantung pada perangkat lunak klien VPN yang Anda gunakan, Anda mungkin dapat terhubung ke beberapa gateway jaringan virtual. Tetapi itulah masalahnya hanya jika jaringan virtual yang Anda sambungkan tidak memiliki ruang alamat yang bertentangan di antara mereka atau dengan jaringan tempat klien terhubung. Meskipun klien Azure VPN mendukung banyak koneksi VPN, Anda hanya dapat memiliki satu koneksi kapan saja.
Bisakah saya mengonfigurasi klien Titik ke Situs untuk tersambung ke beberapa jaringan virtual secara bersamaan?
Ya. Koneksi klien titik-ke-situs ke gateway VPN yang disebarkan di VNet yang di-peering dengan VNet lain dapat memiliki akses ke VNet lain yang di-peering, selama memenuhi kriteria konfigurasi tertentu. Agar klien titik-ke-situs memiliki akses ke VNet yang di-peering, VNet yang di-peering (VNet tanpa gateway) harus dikonfigurasi dengan atribut Gunakan gateway jarak jauh. VNet dengan gateway VPN harus dikonfigurasi dengan Izinkan transit gateway. Untuk informasi selengkapnya, lihat Tentang perutean VPN titik-ke-situs.
Berapa banyak throughput yang dapat saya harapkan melalui koneksi situs-ke-situs atau titik-ke-situs?
Sulit untuk mempertahankan throughput yang tepat dari terowongan VPN. IPsec dan SSTP adalah protokol VPN yang sangat terenkripsi. Latensi dan bandwidth antara tempat Anda dan internet juga dapat membatasi throughput.
Untuk gateway VPN hanya dengan koneksi VPN titik-ke-situs IKEv2, total throughput yang dapat Anda harapkan bergantung pada SKU gateway. Untuk informasi selengkapnya tentang throughput, lihat SKU Gateway.
Dapatkah saya menggunakan klien VPN perangkat lunak apa pun untuk titik-ke-situs yang mendukung SSTP atau IKEv2?
Tidak. Anda hanya dapat menggunakan klien VPN asli di Windows untuk SSTP, dan klien VPN asli di Mac untuk IKEv2. Namun, Anda dapat menggunakan klien OpenVPN di semua platform untuk terhubung melalui protokol OpenVPN. Lihat daftar sistem operasi klien yang didukung.
Dapatkah saya mengubah jenis autentikasi untuk sambungan titik-ke-situs?
Ya. Di portal, buka konfigurasi Titik-ke-situs gateway>VPN. Untuk Jenis autentikasi, pilih jenis autentikasi yang ingin Anda gunakan.
Setelah Anda mengubah jenis autentikasi, klien saat ini mungkin tidak dapat tersambung hingga Anda membuat profil konfigurasi klien VPN baru, mengunduhnya, dan menerapkannya ke setiap klien VPN.
Kapan saya perlu membuat paket konfigurasi baru untuk profil klien VPN?
Saat Anda membuat perubahan pada pengaturan konfigurasi untuk gateway VPN P2S, seperti menambahkan jenis terowongan atau mengubah jenis autentikasi, Anda perlu membuat paket konfigurasi baru untuk profil klien VPN. Paket baru mencakup pengaturan yang diperbarui yang dibutuhkan klien VPN untuk menyambungkan ke gateway P2S. Setelah Anda membuat paket, gunakan pengaturan dalam file untuk memperbarui klien VPN.
Apakah Azure mendukung IKEv2 VPN dengan Windows?
IKEv2 didukung pada Windows 10 dan Windows Server 2016. Namun, untuk menggunakan IKEv2 dalam versi OS tertentu, Anda harus menginstal pembaruan dan mengatur nilai kunci registri secara lokal. Versi OS yang lebih lama dari Windows 10 tidak didukung dan hanya dapat menggunakan SSTP atau protokol OpenVPN.
Catatan
Windows OS membangun yang lebih baru dari Windows 10 Versi 1709 dan Windows Server 2016 Versi 1607 tidak memerlukan langkah-langkah ini.
Untuk menyiapkan Windows 10 atau Windows Server 2016 untuk IKEv2:
Pasang pembaruan berdasarkan versi OS Anda:
Versi OS Tanggal Angka/Tautan Server Windows 2016
Windows 10 Versi 160717 Januari 2018 KB4057142 Windows 10 Versi 1703 17 Januari 2018 KB4057144 Windows 10 Versi 1709 22 Maret 2018 KB4089848 Tetapkan nilai kunci registrasi. Buat atau atur
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload
REG_DWORD
kunci dalam registri ke1
.
Berapa batas pemilih lalu lintas IKEv2 untuk koneksi titik-ke-situs?
Windows 10 versi 2004 (dirilis September 2021) meningkatkan batas pemilih lalu lintas menjadi 255. Versi Windows yang lebih lama memiliki batas pemilih lalu lintas 25.
Batas pemilih lalu lintas di Windows menentukan jumlah maksimum ruang alamat di jaringan virtual Anda dan jumlah maksimum jaringan lokal Anda, koneksi VNet-ke-VNet, dan VNet yang di-peering yang tersambung ke gateway. Klien titik-ke-situs berbasis Windows gagal tersambung melalui IKEv2 jika mereka melampaui batas ini.
Apa batas pemilih lalu lintas OpenVPN untuk koneksi titik-ke-situs?
Batas pemilih lalu lintas untuk OpenVPN adalah 1.000 rute.
Apa yang terjadi ketika saya mengonfigurasi SSTP dan IKEv2 untuk sambungan VPN P2S?
Saat Anda mengonfigurasi SSTP dan IKEv2 di lingkungan campuran yang terdiri dari perangkat Windows dan Mac, klien WINDOWS VPN selalu mencoba terowongan IKEv2 terlebih dahulu. Klien kembali ke SSTP jika koneksi IKEv2 tidak berhasil. MacOS hanya terhubung melalui IKEv2.
Ketika Anda mengaktifkan SSTP dan IKEv2 di gateway, kumpulan alamat titik-ke-situs secara statis dibagi antara keduanya, sehingga klien yang menggunakan protokol yang berbeda adalah alamat IP dari kedua subrange. Jumlah maksimum klien SSTP selalu 128, bahkan jika rentang alamat lebih besar dari /24. Hasilnya adalah sejumlah besar alamat yang tersedia untuk klien IKEv2. Untuk rentang yang lebih kecil, kumpulan sama-sama diparved. Pemilih lalu lintas yang digunakan gateway mungkin tidak menyertakan blok Classless Inter-Domain Routing (CIDR) untuk rentang alamat titik-ke-situs tetapi menyertakan blok CIDR untuk dua subrang.
Platform mana yang didukung Azure untuk P2S VPN?
Azure mendukung Windows, Mac, dan Linux untuk P2S VPN.
Saya sudah memiliki gateway VPN yang disebarkan. Dapatkah saya mengaktifkan RADIUS atau IKEv2 VPN di dalamnya?
Ya. Jika SKU gateway yang Anda gunakan mendukung RADIUS atau IKEv2, Anda dapat mengaktifkan fitur ini pada gateway yang sudah Anda sebarkan dengan menggunakan Azure PowerShell atau portal Azure. SKU Dasar tidak mendukung RADIUS atau IKEv2.
Mengapa saya terputus dari klien Azure VPN saya? Apa yang dapat saya lakukan untuk mengurangi frekuensi pemutusan sambungan?
Anda mungkin melihat salah satu pesan berikut:
- Di klien Azure VPN untuk Windows ver. 3.4.0.0: "Autentikasi Anda dengan Microsoft Entra kedaluwarsa. Anda perlu mengautentikasi ulang di Entra untuk memperoleh token baru. Batas waktu autentikasi dapat disetel oleh administrator Anda."
- Di klien Azure VPN untuk macOS ver. 2.7.101: "Autentikasi Anda dengan Microsoft Entra telah kedaluwarsa sehingga Anda perlu mengautentikasi ulang untuk memperoleh token baru. Silakan coba menyambungkan lagi. Kebijakan autentikasi dan batas waktu dikonfigurasi oleh administrator Anda di penyewa Entra."
Koneksi titik-ke-situs terputus karena token refresh saat ini di klien Azure VPN, yang diperoleh dari ID Entra, telah kedaluwarsa atau menjadi tidak valid. Token ini diperbarui sekitar setiap jam. Administrator penyewa Entra dapat memperpanjang frekuensi masuk dengan menambahkan kebijakan akses bersyarat. Silakan bekerja sama dengan administrator penyewa Entra Anda untuk memperpanjang interval kedaluwarsa token refresh.
Untuk informasi selengkapnya, lihat: Kesalahan klien VPN: Autentikasi Anda dengan Microsoft Entra kedaluwarsa.
Bagaimana cara menghapus konfigurasi sambungan P2S?
Anda dapat menghapus konfigurasi P2S dengan menggunakan perintah Azure PowerShell atau Azure CLI berikut:
$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`
$gw.VPNClientConfiguration = $null`
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`
az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"
Koneksi titik-ke-situs dengan autentikasi sertifikat
Apa yang harus saya lakukan jika saya mendapatkan ketidakcocokan sertifikat untuk koneksi autentikasi sertifikat titik-ke-situs?
Kosongkan kotak centang Verifikasi identitas server dengan memvalidasi sertifikat . Atau, tambahkan nama domain server yang sepenuhnya memenuhi syarat (FQDN) bersama dengan sertifikat saat Anda membuat profil secara manual. Anda dapat melakukan ini dengan menjalankan rasphone
dari prompt perintah dan memilih profil dari daftar dropdown.
Kami tidak merekomendasikan melewati validasi identitas server secara umum. Tetapi dengan autentikasi sertifikat Azure, sertifikat yang sama digunakan untuk validasi server dalam protokol penerowongan VPN (IKEv2 atau SSTP) dan Extensible Authentication Protocol (EAP). Karena protokol penerowongan VPN sudah memvalidasi sertifikat server dan FQDN, redundan untuk memvalidasinya lagi di EAP.
Dapatkah saya menggunakan CA akar PKI internal saya sendiri untuk menghasilkan sertifikat untuk konektivitas titik-ke-situs?
Ya. Sebelumnya, Anda hanya dapat menggunakan sertifikat akar yang ditandatangani sendiri. Anda masih dapat mengunggah 20 sertifikat akar.
Bisakah saya menggunakan sertifikat dari Azure Key Vault?
Nomor.
Alat apa yang dapat saya gunakan untuk membuat sertifikat?
Anda dapat menggunakan solusi infrastruktur kunci umum (PKI) perusahaan Anda (PKI internal Anda), Azure PowerShell, MakeCert, dan OpenSSL.
Apakah ada petunjuk untuk pengaturan dan parameter sertifikat?
Untuk format file .cer dan .pfx, lihat:
Untuk format file .pem, lihat:
Koneksi titik-ke-situs dengan autentikasi RADIUS
Apakah autentikasi RADIUS didukung di semua SKU Gateway Azure VPN?
Autentikasi RADIUS didukung untuk semua SKU, kecuali SKU Dasar.
Untuk SKU sebelumnya, autentikasi RADIUS didukung pada SKU Standar dan Performa Tinggi.
Apakah autentikasi RADIUS didukung untuk model penyebaran klasik?
Nomor.
Berapa batas waktu untuk permintaan RADIUS yang dikirim ke server RADIUS?
Permintaan RADIUS diatur ke waktu habis setelah 30 detik. Nilai batas waktu yang ditentukan pengguna saat ini tidak didukung.
Apakah server RADIUS pihak ketiga didukung?
Ya.
Apa saja persyaratan konektivitas untuk memastikan bahwa gateway Azure dapat menjangkau server RADIUS lokal?
Anda memerlukan koneksi VPN situs-ke-situs ke situs ke situs lokal, dengan rute yang tepat dikonfigurasi.
Dapatkah lalu lintas ke server RADIUS lokal (dari gateway VPN) dirutekan melalui koneksi ExpressRoute?
Tidak. Ini hanya dapat dirutekan melalui koneksi situs-ke-situs.
Apakah ada perubahan jumlah koneksi SSTP yang didukung dengan autentikasi RADIUS? Berapa jumlah maksimum koneksi SSTP dan IKEv2 yang didukung?
Tidak ada perubahan dalam jumlah maksimum koneksi SSTP yang didukung pada gateway dengan autentikasi RADIUS. Ini tetap 128 untuk SSTP, tetapi tergantung pada SKU gateway untuk IKEv2. Untuk informasi selengkapnya tentang jumlah koneksi yang didukung, lihat Tentang SKU gateway.
Apa perbedaan antara autentikasi sertifikat melalui server RADIUS dan autentikasi sertifikat asli Azure melalui unggahan sertifikat tepercaya?
Dalam autentikasi sertifikat RADIUS, permintaan autentikasi diteruskan ke server RADIUS yang menangani validasi sertifikat. Opsi ini berguna jika Anda ingin terintegrasi dengan infrastruktur autentikasi sertifikat yang sudah Anda miliki melalui RADIUS.
Saat Anda menggunakan Azure untuk autentikasi sertifikat, gateway VPN melakukan validasi sertifikat. Anda perlu mengunggah kunci umum sertifikat Anda ke gateway. Anda juga dapat menentukan daftar sertifikat yang dicabut yang seharusnya tidak diizinkan untuk tersambung.
Apakah autentikasi RADIUS mendukung integrasi Server Kebijakan Jaringan untuk autentikasi multifaktor?
Jika autentikasi multifaktor Anda berbasis teks (misalnya, SMS atau kode verifikasi aplikasi seluler) dan mengharuskan pengguna memasukkan kode atau teks di UI klien VPN, autentikasi tidak akan berhasil dan bukan skenario yang didukung. Lihat Mengintegrasikan autentikasi RADIUS gateway Azure VPN dengan server NPS untuk autentikasi multifaktor.
Apakah autentikasi RADIUS berfungsi dengan IKEv2 dan SSTP VPN?
Ya, autentikasi RADIUS didukung untuk IKEv2 dan SSTP VPN.
Apakah autentikasi RADIUS berfungsi dengan klien OpenVPN?
Autentikasi RADIUS didukung untuk protokol OpenVPN.
Koneksi VNet-ke-VNet dan multi-situs
Informasi VNet-ke-VNet di bagian ini berlaku untuk koneksi gateway VPN. Untuk informasi tentang peering VNet, lihat Peering jaringan virtual.
Apakah Azure mengenakan biaya untuk lalu lintas antar VNet?
Lalu lintas VNet-ke-VNet dalam wilayah yang sama gratis untuk kedua arah saat Anda menggunakan koneksi gateway VPN. Lalu lintas keluar lintas wilayah VNet-ke-VNet dibebankan dengan kecepatan transfer data antar-VNet keluar berdasarkan wilayah sumber. Untuk informasi selengkapnya, lihat Harga Azure VPN Gateway. Jika Anda menyambungkan VNet dengan menggunakan peering VNet alih-alih gateway VPN, lihat Harga Azure Virtual Network.
Apakah lalu lintas VNet-ke-VNet melintasi internet?
Nomor. Lalu lintas VNet-ke-VNet melintasi tulang punggung Microsoft Azure, bukan internet.
Dapatkah saya membuat koneksi VNet-ke-VNet di seluruh penyewa Microsoft Entra?
Ya. Koneksi VNet-ke-VNet yang menggunakan gateway VPN berfungsi di seluruh penyewa Microsoft Entra.
Apakah lalu lintas VNet-ke-VNet aman?
Enkripsi IPsec dan IKE membantu melindungi lalu lintas VNet-ke-VNet.
Apakah saya memerlukan perangkat VPN untuk menghubungkan VNet secara bersamaan?
Nomor. Menyambungkan beberapa jaringan virtual Azure bersama-sama tidak memerlukan perangkat VPN kecuali Anda memerlukan konektivitas lintas lokasi.
Apakah VNet saya harus berada di wilayah yang sama?
Nomor. Jaringan virtual dapat berada di wilayah (lokasi) Azure yang sama atau berbeda.
Jika VNet tidak berada dalam langganan yang sama, apakah langganan perlu dikaitkan dengan penyewa Microsoft Entra yang sama?
Nomor.
Dapatkah saya menggunakan VNet-to-VNet untuk menghubungkan jaringan virtual dalam contoh Azure terpisah?
Nomor. VNet-to-VNet mendukung menghubungkan jaringan virtual dalam contoh Azure yang sama. Misalnya, Anda tidak dapat membuat koneksi antara azure global dan instans Azure pemerintah Tiongkok, Jerman, atau AS. Pertimbangkan untuk menggunakan koneksi VPN situs-ke-situs untuk skenario ini.
Dapatkah saya menggunakan VNet-to-VNet bersama dengan koneksi multi-situs?
Ya. Anda dapat menggunakan konektivitas jaringan virtual secara bersamaan dengan VPN multi-situs.
Berapa banyak situs lokal dan jaringan virtual yang dapat dihubungkan oleh satu jaringan virtual?
Lihat tabel persyaratan gateway.
Dapatkah saya menggunakan VNet-ke-VNet untuk menyambungkan VM atau layanan cloud di luar VNet?
Nomor. VNet-to-VNet mendukung menghubungkan jaringan virtual. Itu tidak mendukung menghubungkan mesin virtual atau layanan cloud yang tidak ada dalam jaringan virtual.
Bisakah layanan cloud atau titik akhir penyeimbang beban menjangkau VNets?
Nomor. Layanan cloud atau titik akhir penyeimbangan beban tidak dapat menjangkau jaringan virtual, bahkan jika mereka terhubung bersama-sama.
Dapatkah saya menggunakan jenis VPN berbasis kebijakan untuk koneksi VNet-ke-VNet atau multi-situs?
Tidak. Koneksi VNet-ke-VNet dan multi-situs memerlukan gateway VPN dengan jenis VPN berbasis rute (sebelumnya disebut perutean dinamis).
Dapatkah saya menyambungkan VNet dengan jenis VPN berbasis rute ke VNet lain dengan jenis VPN berbasis kebijakan?
Tidak. Kedua jaringan virtual harus menggunakan VPN berbasis rute (sebelumnya disebut perutean dinamis).
Apakah terowongan VPN berbagi bandwidth?
Ya. Semua terowongan VPN dari jaringan virtual berbagi bandwidth yang tersedia di gateway VPN dan perjanjian tingkat layanan yang sama untuk waktu aktif gateway VPN di Azure.
Apakah terowongan berulang didukung?
Terowongan redundan antara sepasang jaringan virtual didukung ketika satu gateway jaringan virtual dikonfigurasi sebagai aktif-aktif.
Dapatkah saya memiliki ruang alamat yang tumpang tindih untuk konfigurasi VNet-ke-VNet?
Nomor. Anda tidak boleh memiliki rentang alamat IP yang tumpang tindih.
Bisakah ada ruang alamat yang tumpang tindih di antara jaringan virtual yang terhubung dan situs lokal?
Nomor. Anda tidak boleh memiliki rentang alamat IP yang tumpang tindih.
Bagaimana cara mengaktifkan perutean antara koneksi VPN situs-ke-situs saya dan ExpressRoute?
Jika Anda ingin mengaktifkan perutean antara cabang Anda yang tersambung ke ExpressRoute dan cabang Anda yang tersambung ke VPN situs-ke-situs, Anda perlu menyiapkan Azure Route Server.
Bisakah saya menggunakan gateway VPN untuk transit lalu lintas antara situs lokal saya atau ke jaringan virtual lain?
Model penyebaran Resource Manager
Ya. Lihat bagian BGP dan perutean untuk informasi selengkapnya.
Model penyebaran klasik
Transit lalu lintas melalui gateway VPN dimungkinkan saat Anda menggunakan model penyebaran klasik, tetapi bergantung pada ruang alamat yang ditentukan secara statis dalam file konfigurasi jaringan. Border Gateway Protocol (BGP) saat ini tidak didukung dengan jaringan virtual Azure dan gateway VPN melalui model penyebaran klasik. Tanpa BGP, menentukan ruang alamat transit secara manual rawan kesalahan dan tidak disarankan.
Apakah Azure menghasilkan kunci preshared IPsec/IKE yang sama untuk semua koneksi VPN saya untuk jaringan virtual yang sama?
Tidak. Secara default, Azure menghasilkan kunci prabayar yang berbeda untuk koneksi VPN yang berbeda. Namun, Anda dapat menggunakan cmdlet Set VPN Gateway Key REST API atau PowerShell untuk mengatur nilai kunci yang Anda inginkan. Kunci hanya boleh berisi karakter ASCII yang dapat dicetak, kecuali spasi, tanda hubung (-), atau tanda hubung (~).
Apakah saya mendapatkan lebih banyak bandwidth dengan VPN situs-ke-situs yang lebih banyak dibandingkan satu jaringan virtual?
Tidak. Semua terowongan VPN, termasuk VPN titik-ke-situs, berbagi gateway VPN yang sama dan bandwidth yang tersedia.
Dapatkah saya mengonfigurasi beberapa terowongan antara jaringan virtual saya dan situs lokal saya dengan menggunakan VPN multi-situs?
Ya, namun Anda harus mengonfigurasikan BGP di kedua terowongan ke lokasi yang sama.
Apakah Azure VPN Gateway menghormati jalur AS yang sebelumnya memengaruhi keputusan perutean antara beberapa koneksi ke situs lokal saya?
Ya, Azure VPN Gateway menghormati jalur sistem otonom (AS) yang sebelumnya untuk membantu membuat keputusan perutean saat BGP diaktifkan. Jalur AS yang lebih pendek lebih disukai dalam pemilihan jalur BGP.
Dapatkah saya menggunakan properti RoutingWeight saat membuat koneksi VPN VirtualNetworkGateway baru?
Tidak. Pengaturan seperti itu dicadangkan untuk koneksi gateway ExpressRoute. Jika Anda ingin memengaruhi keputusan perutean antara beberapa koneksi, Anda perlu menggunakan prepending jalur AS.
Dapatkah saya menggunakan VPN titik-ke-situs dengan jaringan virtual saya dengan beberapa terowongan VPN?
Ya. Anda dapat menggunakan VPN titik-ke-situs dengan gateway VPN yang terhubung ke beberapa situs lokal dan jaringan virtual lainnya.
Dapatkah saya menyambungkan jaringan virtual dengan VPN IPsec ke sirkuit ExpressRoute saya?
Ya, ini didukung. Untuk informasi selengkapnya, lihat Mengonfigurasi ExpressRoute dan koneksi berdampingan situs-ke-situs.
Kebijakan IPsec/IKE
Apakah kebijakan IPsec/IKE kustom didukung di semua SKU Azure VPN Gateway?
Kebijakan IPsec/IKE kustom didukung pada semua SKU Azure VPN Gateway kecuali SKU Dasar.
Berapa banyak kebijakan yang dapat saya tentukan pada koneksi?
Anda hanya dapat menentukan satu kombinasi kebijakan untuk koneksi.
Dapatkah saya menentukan kebijakan parsial pada koneksi (misalnya, hanya algoritma IKE tetapi bukan IPsec)?
Tidak, Anda harus menentukan semua algoritma dan parameter untuk IKE (Mode Utama) dan IPsec (Mode Cepat). Spesifikasi kebijakan sebagian tidak diperbolehkan.
Algoritma dan kekuatan utama apa yang didukung oleh kebijakan kustom?
Tabel berikut mencantumkan algoritma kriptografi dan kekuatan kunci yang didukung yang dapat Anda konfigurasi. Anda harus memilih satu opsi untuk setiap bidang.
IPsec/IKEv2 | Opsi |
---|---|
Enkripsi IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
Integritas IKEv2 | SHA384, SHA256, SHA1, MD5 |
Grup DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
Enkripsi IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Kosong |
Integritas IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
Grup PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Kosong |
Masa pakai SA Mode Cepat | (Opsional; nilai default jika tidak ditentukan) Detik (bilangan bulat; minimum 300, default 27.000) Kilobyte (bilangan bulat; minimum 1.024, default 10.2400.000) |
Pemilih lalu lintas | UsePolicyBasedTrafficSelectors ($True atau $False , tetapi opsional; default $False jika tidak ditentukan) |
Batas waktu DPD | Detik (bilangan bulat; minimum 9, maksimum 3.600, default 45) |
Konfigurasi perangkat VPN lokal Anda harus cocok atau berisi algoritma dan parameter berikut yang Anda tentukan pada kebijakan Azure IPsec atau IKE:
- Algoritma enkripsi IKE (Mode Utama, Fase 1)
- Algoritma integritas IKE (Mode Utama, Fase 1)
- Grup DH (Mode Utama, Fase 1)
- Algoritma enkripsi IPsec (Mode Cepat, Fase 2)
- Algoritma integritas IPsec (Mode Cepat, Fase 2)
- Grup PFS (Mode Cepat, Fase 2)
- Pemilih lalu lintas (jika Anda menggunakan
UsePolicyBasedTrafficSelectors
) - Masa pakai SA (spesifikasi lokal yang tidak perlu cocok)
Jika Anda menggunakan GCMAES untuk algoritma enkripsi IPsec, Anda harus memilih algoritma GCMAES yang sama dan panjang kunci untuk integritas IPsec. Misalnya, gunakan GCMAES128 untuk keduanya.
Dalam tabel algoritma dan kunci:
- IKE sesuai dengan Mode Utama atau Fase 1.
- IPsec sesuai dengan Mode Cepat atau Fase 2.
- Grup DH menentukan grup Diffie-Hellman yang digunakan dalam Mode Utama atau Fase 1.
- Grup PFS menentukan grup Diffie-Hellman yang digunakan dalam Mode Cepat atau Fase 2.
Masa pakai IKE Main Mode SA diperbaiki pada 28.800 detik di gateway Azure VPN.
UsePolicyBasedTrafficSelectors
adalah parameter opsional pada koneksi. Jika Anda mengaturUsePolicyBasedTrafficSelectors
ke$True
pada koneksi, itu mengonfigurasi gateway VPN untuk menyambungkan ke firewall VPN berbasis kebijakan lokal.Jika Anda mengaktifkan
UsePolicyBasedTrafficSelectors
, pastikan bahwa perangkat VPN Anda memiliki pemilih lalu lintas yang cocok yang ditentukan dengan semua kombinasi awalan jaringan lokal (gateway jaringan lokal) Anda ke atau dari awalan jaringan virtual Azure, bukan prefiks apa pun. Gateway VPN menerima pemilih lalu lintas apa pun yang diusulkan gateway VPN jarak jauh, terlepas dari apa yang dikonfigurasi di gateway VPN.Misalnya, jika awalan jaringan lokal Anda adalah 10.1.0.0/16 dan 10.2.0.0/16, dan awalan jaringan virtual Anda adalah 192.168.0.0/16 dan 172.16.0.0/16, Anda perlu menentukan pemilih lalu lintas berikut:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Untuk informasi selengkapnya tentang pemilih lalu lintas berbasis kebijakan, lihat Menyambungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan lokal.
Mengatur batas waktu ke periode yang lebih singkat menyebabkan IKE melakukan rekey lebih agresif. Koneksi kemudian dapat tampak terputus dalam beberapa instans. Situasi ini mungkin tidak diinginkan jika lokasi lokal Anda lebih jauh dari wilayah Azure tempat gateway VPN berada, atau jika kondisi tautan fisik dapat menyebabkan kehilangan paket. Kami umumnya menyarankan Agar Anda mengatur batas waktu menjadi antara 30 dan 45 detik.
Untuk informasi selengkapnya, lihat Menyambungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan lokal.
Grup Diffie-Hellman mana yang didukung oleh kebijakan kustom?
Tabel berikut mencantumkan grup Diffie-Hellman terkait yang didukung kebijakan kustom:
Grup Diffie-Hellman | DHGroup | PFSGroup | Panjang kunci |
---|---|---|---|
1 | DHGroup1 | PFS1 | MODP 768-bit |
2 | DHGroup2 | PFS2 | MODP 1024-bit |
14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP 2048-bit |
19 | ECP256 | ECP256 | ECP 256-bit |
20 | ECP384 | ECP384 | 384-bit ECP |
24 | DHGroup24 | PFS24 | MODP 2048-bit |
Untuk informasi selengkapnya, lihat RFC3526 dan RFC5114.
Apakah kebijakan kustom menggantikan kumpulan kebijakan IPsec/IKE default untuk gateway VPN?
Ya. Setelah Anda menentukan kebijakan kustom pada koneksi, Azure VPN Gateway hanya menggunakan kebijakan tersebut pada koneksi, baik sebagai inisiator IKE maupun responden IKE.
Jika saya menghapus kebijakan IPsec/IKE kustom, apakah koneksi menjadi tidak terlindungi?
Tidak, IPsec/IKE masih membantu melindungi koneksi. Setelah Anda menghapus kebijakan kustom dari koneksi, gateway VPN kembali ke daftar default proposal IPsec/IKE dan memulai ulang jabat tangan IKE dengan perangkat VPN lokal Anda.
Apakah menambahkan atau memperbarui kebijakan IPsec/IKE akan mengganggu koneksi VPN saya?
Ya. Ini dapat menyebabkan gangguan kecil (beberapa detik) karena gateway VPN merobek koneksi yang ada dan memulai ulang jabat tangan IKE untuk membangun kembali terowongan IPsec dengan algoritma dan parameter kriptografi baru. Pastikan perangkat VPN lokal Anda juga dikonfigurasi dengan algoritma yang cocok dan kekuatan kunci untuk meminimalkan gangguan.
Bisakah saya menggunakan kebijakan yang berbeda pada koneksi yang berbeda?
Ya. Kebijakan kustom diterapkan berdasarkan per koneksi. Anda dapat membuat dan menerapkan kebijakan IPsec/IKE yang berbeda pada koneksi yang berbeda.
Anda juga dapat memilih untuk menerapkan kebijakan kustom pada subset koneksi. Sisanya menggunakan kumpulan kebijakan IPsec/IKE default Azure.
Dapatkah saya menggunakan kebijakan kustom pada koneksi VNet-ke-VNet?
Ya. Anda dapat menerapkan kebijakan kustom pada koneksi lintas lokasi IPsec dan koneksi VNet-ke-VNet.
Apakah saya perlu menentukan kebijakan yang sama pada sumber daya koneksi VNet-ke-VNet?
Ya. Tunnel VNet-ke-VNet terdiri dari dua sumber daya koneksi di Azure, satu untuk setiap arah. Pastikan kedua sumber daya koneksi memiliki kebijakan yang sama. Jika tidak, koneksi VNet-ke-VNet tidak akan dibuat.
Berapa nilai batas waktu habis DPD default? Bisakah saya menentukan batas waktu habis DPD yang berbeda?
Batas waktu DPD default adalah 45 detik pada gateway VPN. Anda dapat menentukan nilai batas waktu DPD yang berbeda pada setiap koneksi IPsec atau VNet-ke-VNet, dari 9 detik hingga 3.600 detik.
Catatan
Mengatur batas waktu ke periode yang lebih singkat menyebabkan IKE melakukan rekey lebih agresif. Koneksi kemudian dapat tampak terputus dalam beberapa instans. Situasi ini mungkin tidak diinginkan jika lokasi lokal Anda lebih jauh dari wilayah Azure tempat gateway VPN berada, atau jika kondisi tautan fisik dapat menyebabkan kehilangan paket. Kami umumnya menyarankan Agar Anda mengatur batas waktu menjadi antara 30 dan 45 detik.
Apakah kebijakan IPsec/IKE kustom berfungsi pada koneksi ExpressRoute?
Tidak. Kebijakan IPsec/IKE hanya berfungsi pada koneksi VPN S2S dan VNet-ke-VNet melalui gateway VPN.
Bagaimana cara membuat koneksi dengan jenis protokol IKEv1 atau IKEv2?
Anda dapat membuat koneksi IKEv1 pada semua SKU jenis VPN berbasis rute, kecuali SKU Dasar, SKU Standar, dan SKU sebelumnya lainnya.
Anda dapat menentukan jenis protokol koneksi IKEv1 atau IKEv2 saat membuat koneksi. Jika Anda tidak menentukan jenis protokol koneksi, IKEv2 digunakan sebagai opsi default jika berlaku. Untuk informasi selengkapnya, lihat dokumentasi cmdlet Azure PowerShell.
Untuk informasi tentang jenis dan dukungan SKU untuk IKEv1 dan IKEv2, lihat Menyambungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan lokal.
Apakah transit antara koneksi IKEv1 dan IKEv2 diizinkan?
Ya.
Dapatkah saya memiliki koneksi situs-ke-situs IKEv1 pada SKU Dasar untuk jenis VPN berbasis rute?
Tidak. SKU Dasar tidak mendukung konfigurasi ini.
Bisakah saya mengubah jenis protokol koneksi setelah koneksi dibuat (IKEv1 ke IKEv2 dan sebaliknya)?
Nomor. Setelah membuat koneksi, Anda tidak dapat mengubah protokol IKEv1 dan IKEv2. Anda harus menghapus dan membuat ulang koneksi baru dengan jenis protokol yang diinginkan.
Mengapa koneksi IKEv1 saya sering terhubung kembali?
Jika perutean statis atau koneksi IKEv1 berbasis rute Anda terputus pada interval rutin, kemungkinan karena gateway VPN Anda tidak mendukung kunci ulang di tempat. Ketika Mode Utama sedang di-rekey, terowongan IKEv1 Anda terputus dan membutuhkan waktu hingga 5 detik untuk terhubung kembali. Nilai batas waktu negosiasi Mode Utama Anda menentukan frekuensi kunci ulang. Untuk mencegah koneksi kembali ini, Anda dapat beralih menggunakan IKEv2, yang mendukung kunci ulang di tempat.
Jika koneksi Anda terhubung kembali pada waktu acak, ikuti panduan pemecahan masalah.
Di mana saya dapat menemukan informasi dan langkah-langkah selengkapnya untuk konfigurasi?
Lihat artikel berikut:
- Mengonfigurasi kebijakan koneksi IPsec/IKE kustom untuk VPN S2S dan VNet-ke-VNet: portal Azure
- Mengonfigurasi kebijakan koneksi IPsec/IKE kustom untuk VPN S2S dan VNet-ke-VNet: PowerShell
BGP dan perutean
Apakah BGP didukung di semua SKU Azure VPN Gateway?
BGP didukung pada semua SKU Azure VPN Gateway kecuali SKU Dasar.
Bisakah saya menggunakan BGP dengan gateway VPN Azure Policy?
Tidak, BGP hanya didukung pada gateway VPN berbasis rute.
ASN apa yang dapat saya gunakan?
Anda dapat menggunakan Nomor Sistem Otonom (ASN) publik Anda sendiri atau ASN privat untuk jaringan lokal dan jaringan virtual Azure Anda.
Anda tidak dapat menggunakan ASN cadangan berikut:
Dicadangkan oleh Azure:
- ASN Umum: 8074, 8075, 12076
- ASN Privat: 65515, 65517, 65518, 65519, 65520
-
- 23456, 64496-64511, 65535-65551, 429496729
Anda tidak dapat menentukan ASN ini untuk perangkat VPN lokal anda saat menyambungkan ke gateway VPN.
Bisakah saya menggunakan ASN 32-bit (4-byte)?
Ya, Azure VPN Gateway sekarang mendukung ASN 32-bit (4-byte). Untuk mengonfigurasi dengan menggunakan ASN dalam format desimal, gunakan Azure PowerShell, Azure CLI, atau Azure SDK.
ASN privat apa yang dapat saya gunakan?
Rentang ASN privat yang dapat digunakan adalah:
- 64512-65514 dan 65521-65534
Baik IANA maupun Azure tidak mencadangkan ASN ini, sehingga Anda dapat menetapkannya ke gateway VPN Anda.
Alamat apa yang digunakan Azure VPN Gateway untuk IP peer BGP?
Secara default, Azure VPN Gateway mengalokasikan satu alamat IP dari GatewaySubnet
rentang untuk gateway VPN siaga aktif, atau dua alamat IP untuk gateway VPN aktif-aktif. Alamat ini dialokasikan secara otomatis saat Anda membuat gateway VPN.
Anda dapat menemukan alamat IP BGP yang dialokasikan dengan menggunakan Azure PowerShell atau portal Azure. Di PowerShell, gunakan Get-AzVirtualNetworkGateway
, dan cari bgpPeeringAddress
properti . Di portal Microsoft Azure, pada halaman Konfigurasi Gateway, lihat di bawah properti Konfigurasi BGP ASN.
Jika router VPN lokal Anda menggunakan alamat IP Alamat IP Privat Otomatis (APIPA) (169.254.x.x) sebagai alamat IP BGP, Anda harus menentukan satu atau beberapa alamat IP Azure APIPA BGP di gateway VPN Anda. Azure VPN Gateway memilih alamat APIPA untuk digunakan dengan peer APIPA BGP lokal yang ditentukan di gateway jaringan lokal, atau alamat IP pribadi untuk peer BGP non-APIPA lokal. Untuk informasi selengkapnya, lihat Mengonfigurasi BGP untuk Azure VPN Gateway.
Apa saja persyaratan untuk alamat IP serekan BGP pada perangkat VPN saya?
Alamat serekan BGP lokal Anda tidak boleh sama dengan alamat IP publik perangkat VPN Anda atau dari ruang alamat VNet gateway VPN. Gunakan alamat IP yang berbeda pada perangkat VPN untuk IP serekan BGP Anda. Ini bisa berupa alamat yang ditetapkan ke antarmuka loopback pada perangkat (baik alamat IP biasa atau alamat APIPA).
Jika perangkat Anda menggunakan alamat APIPA untuk BGP, Anda harus menentukan satu atau beberapa alamat IP APIPA BGP di gateway VPN Anda, seperti yang dijelaskan dalam Mengonfigurasi BGP untuk Azure VPN Gateway. Tentukan alamat ini di gateway jaringan lokal terkait yang mewakili lokasi.
Apa yang harus saya tentukan sebagai awalan alamat saya untuk gateway jaringan lokal saat saya menggunakan BGP?
Penting
Ini adalah perubahan dari persyaratan yang didokumentasikan sebelumnya.
Azure VPN Gateway menambahkan rute host secara internal ke IP peer BGP lokal melalui terowongan IPsec. Jangan tambahkan rute /32 di bidang Ruang alamat , karena berlebihan. Jika Anda menggunakan alamat APIPA sebagai IP BGP perangkat VPN lokal, Anda tidak dapat menambahkannya ke bidang ini.
Jika Anda menambahkan awalan lain di bidang Ruang alamat , mereka ditambahkan sebagai rute statis di gateway Azure VPN, selain rute yang dipelajari melalui BGP.
Dapatkah saya menggunakan ASN yang sama untuk jaringan VPN lokal dan jaringan virtual Azure?
Tidak. Anda harus menetapkan ASN yang berbeda antara jaringan lokal dan jaringan virtual Azure jika Anda menyambungkannya bersama dengan BGP.
Gateway VPN Azure memiliki ASN default 65515 yang ditetapkan, baik BGP diaktifkan atau tidak untuk konektivitas lintas lokal Anda. Anda dapat mengganti default ini dengan menetapkan ASN yang berbeda saat Anda membuat gateway VPN, atau Anda dapat mengubah ASN setelah gateway dibuat. Anda perlu menetapkan ASN lokal Anda ke gateway jaringan lokal Azure yang sesuai.
Awalan alamat apa yang diiklankan gateway Vpn Azure kepada saya?
Gateway memberitahukan rute berikut ke perangkat BGP lokal Anda:
- Awalan alamat VNet Anda
- Awalan alamat untuk setiap gateway jaringan lokal yang tersambung ke gateway VPN
- Rute yang dipelajari dari sesi peering BGP lainnya yang terhubung ke gateway VPN, kecuali untuk rute atau rute default yang tumpang tindih dengan awalan jaringan virtual apa pun
Berapa banyak awalan yang dapat saya iklankan ke Azure VPN Gateway?
Azure VPN Gateway mendukung hingga 4.000 awalan. Sesi BGP dihilangkan jika jumlah awalan melebihi batas.
Dapatkah saya mengiklankan rute default (0.0.0.0/0) ke gateway VPN?
Ya. Perlu diingat bahwa mengiklankan rute default memaksa semua lalu lintas keluar VNet ke situs lokal Anda. Ini juga mencegah VM jaringan virtual menerima komunikasi publik dari internet secara langsung, seperti Remote Desktop Protocol (RDP) atau Secure Shell (SSH) dari internet ke VM.
Dapatkah saya memberitahukan awalan yang tepat sebagai awalan jaringan virtual saya?
Tidak. Azure memblokir atau memfilter iklan dengan awalan yang sama dengan salah satu awalan alamat VNet Anda. Namun, Anda dapat mengiklankan awalan yang merupakan superset dari apa yang Anda miliki di dalam jaringan virtual Anda.
Misalnya, jika jaringan virtual Anda menggunakan ruang alamat 10.0.0.0/16, Anda dapat mengiklankan 10.0.0.0/8. Tetapi Anda tidak dapat memberitahukan 10.0.0.0/16 atau 10.0.0.0/24.
Dapatkah saya menggunakan BGP dengan sambungan antar jaringan virtual?
Ya. Anda dapat menggunakan BGP untuk koneksi lintas lokasi dan koneksi antara jaringan virtual.
Bisakah saya menggabungkan sambungan BGP dengan non-BGP untuk gateway VPN Azure saya?
Ya, Anda dapat menggabungkan sambungan BGP dan non-BGP untuk gateway VPN Azure yang sama.
Apakah Azure VPN Gateway mendukung perutean transit BGP?
Ya. Perutean transit BGP didukung, dengan pengecualian bahwa gateway VPN tidak mengiklankan rute default ke rekan BGP lainnya. Untuk mengaktifkan perutean transit di beberapa gateway VPN, Anda harus mengaktifkan BGP pada semua koneksi perantara antar jaringan virtual. Untuk informasi selengkapnya, lihat Tentang BGP dan VPN Gateway.
Dapatkah saya memiliki lebih dari satu terowongan antara gateway VPN dan jaringan lokal saya?
Ya, Anda dapat membuat lebih dari satu terowongan VPN situs-ke-situs antara gateway VPN dan jaringan lokal Anda. Semua terowongan ini dihitung terhadap jumlah total terowongan untuk gateway AZURE VPN Anda, dan Anda harus mengaktifkan BGP di kedua terowongan.
Misalnya, jika Anda memiliki dua terowongan redundan antara gateway VPN dan salah satu jaringan lokal Anda, mereka mengonsumsi dua terowongan dari total kuota untuk gateway VPN Anda.
Bisakah saya memiliki beberapa terowongan antara dua jaringan virtual Azure dengan BGP?
Ya, tetapi setidaknya salah satu gateway jaringan virtual harus dalam konfigurasi aktif-aktif.
Dapatkah saya menggunakan BGP untuk VPN S2S dalam konfigurasi koeksistensi Azure ExpressRoute dan S2S VPN?
Ya.
Apa yang harus saya tambahkan ke perangkat VPN lokal saya untuk sesi peering BGP?
Menambahkan rute host alamat IP rekan Azure BGP di perangkat VPN Anda. Rute ini menunjuk ke terowongan IPsec S2S VPN.
Misalnya, jika IP peer Azure VPN adalah 10.12.255.30, Anda menambahkan rute host untuk 10.12.255.30 dengan antarmuka hop berikutnya dari antarmuka terowongan IPsec yang cocok pada perangkat VPN Anda.
Apakah gateway jaringan virtual mendukung BFD untuk koneksi S2S dengan BGP?
Nomor. Deteksi Penerusan Dua Arah (BFD) adalah protokol yang dapat Anda gunakan dengan BGP untuk mendeteksi waktu henti tetangga lebih cepat daripada yang Anda bisa dengan menggunakan interval keepalive BGP standar. BFD menggunakan timer subdetik yang dirancang untuk bekerja di lingkungan LAN, tetapi tidak di seluruh internet publik atau koneksi WAN.
Untuk koneksi melalui internet umum, menunda atau bahkan menjatuhkan paket tertentu bukanlah hal yang aneh, jadi memperkenalkan pengatur waktu yang agresif ini dapat menambah ketidakstabilan. Ketidakstabilan ini dapat menyebabkan BGP meredam rute.
Sebagai alternatif, Anda dapat mengonfigurasi perangkat lokal Anda dengan timer yang lebih rendah dari interval keepalive default 60 detik atau lebih rendah dari timer penahanan 180 detik. Konfigurasi ini menghasilkan waktu konvergensi yang lebih cepat. Namun, timer di bawah interval keepalive default 60 detik atau di bawah timer penahanan default 180 detik tidak dapat diandalkan. Kami menyarankan agar Anda menyimpan timer pada atau di atas nilai default.
Apakah gateway VPN memulai sesi atau koneksi peering BGP?
Gateway VPN memulai sesi peering BGP ke alamat IP serekan BGP lokal yang ditentukan dalam sumber daya gateway jaringan lokal dengan menggunakan alamat IP privat di gateway VPN. Proses ini terlepas dari apakah alamat IP BGP lokal berada dalam rentang APIPA atau merupakan alamat IP privat reguler. Jika perangkat VPN lokal Anda menggunakan alamat APIPA sebagai IP BGP, Anda perlu mengonfigurasi speaker BGP Anda untuk memulai koneksi.
Dapatkah saya mengonfigurasi penerowongan paksa?
Ya. Lihat Mengonfigurasikan penerowongan paksa.
NAT
Apakah NAT didukung di semua SKU Azure VPN Gateway?
NAT didukung pada VpnGw2 ke VpnGw25 dan di VpnGw2AZ ke VpnGw5AZ.
Dapatkah saya menggunakan NAT pada koneksi VNet-ke-VNet atau P2S?
Tidak.
Berapa banyak aturan NAT yang dapat saya gunakan pada gateway VPN?
Anda dapat membuat hingga 100 aturan NAT (aturan masuk dan keluar digabungkan) pada gateway VPN.
Dapatkah saya menggunakan garis miring (/) dalam nama aturan NAT?
Tidak. Anda akan menerima kesalahan.
Apakah NAT disebarkan ke semua koneksi di gateway VPN?
NAT diterapkan ke koneksi yang memiliki aturan NAT. Jika koneksi tidak memiliki aturan NAT, NAT tidak akan berpengaruh pada koneksi tersebut. Di gateway VPN yang sama, Anda dapat memiliki beberapa koneksi dengan NAT dan koneksi lain tanpa NAT bekerja sama.
Jenis NAT apa yang didukung gateway VPN?
Gateway VPN hanya mendukung NAT statis 1:1 dan NAT dinamis. Mereka tidak mendukung NAT64.
Apakah NAT berfungsi pada gateway VPN aktif-aktif?
Ya. NAT bekerja pada gateway VPN aktif-aktif dan aktif-siaga. Setiap aturan NAT diterapkan ke satu instans gateway VPN. Di gateway aktif-aktif, buat aturan NAT terpisah untuk setiap instans gateway melalui bidang ID konfigurasi IP.
Apakah NAT bekerja dengan koneksi BGP?
Ya, Anda dapat menggunakan BGP dengan NAT. Berikut adalah beberapa pertimbangan penting:
Untuk memastikan bahwa rute yang dipelajari dan rute yang diiklankan diterjemahkan ke awalan alamat pasca-NAT (pemetaan eksternal) berdasarkan aturan NAT yang terkait dengan koneksi, pilih Aktifkan Terjemahan Rute BGP pada halaman konfigurasi untuk aturan NAT. Router BGP lokal harus mengiklankan awalan yang tepat seperti yang didefinisikan dalam aturan IngressSNAT .
Jika router VPN lokal menggunakan alamat non-APIPA reguler dan bertabrakan dengan ruang alamat VNet atau ruang jaringan lokal lainnya, pastikan bahwa aturan IngressSNAT akan menerjemahkan IP peer BGP ke alamat unik yang tidak tumpang tindih. Letakkan alamat pasca-NAT di bidang alamat IP serekan BGP gateway jaringan lokal.
NAT tidak didukung dengan alamat BGP APIPA.
Apakah saya perlu membuat aturan DNAT yang cocok untuk aturan SNAT?
Nomor. Aturan terjemahan alamat jaringan sumber tunggal (SNAT) menentukan terjemahan untuk kedua arah jaringan tertentu:
Aturan IngressSNAT menentukan terjemahan alamat IP sumber yang masuk ke gateway VPN dari jaringan lokal. Ini juga menangani terjemahan alamat IP tujuan yang berangkat dari jaringan virtual ke jaringan lokal yang sama.
Aturan EgressSNAT menentukan terjemahan alamat IP sumber VNet yang meninggalkan gateway VPN ke jaringan lokal. Ini juga menangani terjemahan alamat IP tujuan untuk paket yang masuk ke jaringan virtual melalui koneksi yang memiliki aturan EgressSNAT .
Dalam kedua kasus, Anda tidak memerlukan aturan terjemahan alamat jaringan tujuan (DNAT).
Apa yang harus saya lakukan jika VNet atau ruang alamat gateway jaringan lokal saya memiliki dua atau lebih awalan? Dapatkah saya menerapkan NAT ke semuanya atau hanya subset?
Anda perlu membuat satu aturan NAT untuk setiap awalan, karena setiap aturan NAT hanya dapat menyertakan satu awalan alamat untuk NAT. Misalnya, jika ruang alamat untuk gateway jaringan lokal terdiri dari 10.0.1.0/24 dan 10.0.2.0/25, Anda dapat membuat dua aturan:
- Aturan IngressSNAT 1: Peta 10.0.1.0/24 ke 192.168.1.0/24.
- Aturan IngressSNAT 2: Peta 10.0.2.0/25 ke 192.168.2.0/25.
Kedua aturan harus cocok dengan panjang prefiks dari awalan alamat yang sesuai. Pedoman yang sama berlaku untuk aturan EgressSNAT untuk ruang alamat VNet.
Penting
Jika Anda hanya menautkan satu aturan ke koneksi sebelumnya, ruang alamat lainnya tidak akan diterjemahkan.
Rentang IP apa yang dapat saya gunakan untuk pemetaan eksternal?
Anda dapat menggunakan rentang IP yang sesuai yang Anda inginkan untuk pemetaan eksternal, termasuk IP publik dan privat.
Dapatkah saya menggunakan aturan EgressSNAT yang berbeda untuk menerjemahkan ruang alamat VNet saya ke awalan yang berbeda untuk jaringan lokal?
Ya. Anda dapat membuat beberapa aturan EgressSNAT untuk ruang alamat VNet yang sama, lalu menerapkan aturan EgressSNAT ke koneksi yang berbeda.
Bisakah saya menggunakan aturan IngressSNAT yang sama pada koneksi yang berbeda?
Ya. Anda biasanya menggunakan aturan IngressSNAT yang sama ketika koneksi adalah untuk jaringan lokal yang sama, untuk memberikan redundansi. Anda tidak dapat menggunakan aturan ingress yang sama jika koneksi untuk jaringan lokal yang berbeda.
Apakah saya memerlukan aturan masuk dan keluar pada koneksi NAT?
Anda memerlukan aturan masuk dan keluar pada koneksi yang sama ketika ruang alamat jaringan lokal tumpang tindih dengan ruang alamat VNet. Jika ruang alamat VNet unik di antara semua jaringan yang terhubung, Anda tidak memerlukan aturan EgressSNAT pada koneksi tersebut. Anda dapat menggunakan aturan masuk untuk menghindari tumpang tindih alamat di antara jaringan lokal.
Apa yang harus saya pilih sebagai ID konfigurasi IP?
ID konfigurasi IP hanyalah nama objek konfigurasi IP yang Anda inginkan untuk digunakan aturan NAT. Dengan pengaturan ini, Anda hanya memilih alamat IP publik gateway mana yang berlaku untuk aturan NAT. Jika Anda belum menentukan nama kustom apa pun pada waktu pembuatan gateway, alamat IP utama gateway ditetapkan ke konfigurasi IP default , dan IP sekunder ditetapkan ke konfigurasi IP activeActive .
Konektivitas lintas lokasi dan VM
Jika komputer virtual saya berada di jaringan virtual dan saya memiliki koneksi lintas lokasi, bagaimana cara agar saya tersambung ke VM?
Jika Anda telah mengaktifkan RDP untuk VM, Anda dapat tersambung ke komputer virtual dengan menggunakan alamat IP privat. Dalam hal ini, Anda menentukan alamat IP privat dan port yang ingin Anda sambungkan (biasanya 3389). Anda perlu mengonfigurasi port pada komputer virtual Anda untuk lalu lintas.
Anda juga dapat tersambung ke komputer virtual Anda dengan alamat IP privat dari komputer virtual lain yang terletak di jaringan virtual yang sama. Anda tidak dapat melakukan RDP ke komputer virtual dengan menggunakan alamat IP privat jika Anda tersambung dari lokasi di luar jaringan virtual Anda. Misalnya, jika Anda memiliki jaringan virtual titik-ke-situs yang dikonfigurasi dan Anda tidak membuat koneksi dari komputer, Anda tidak dapat tersambung ke komputer virtual dengan alamat IP privat.
Jika komputer virtual saya berada di jaringan virtual dengan konektivitas lintas lokasi, apakah semua lalu lintas dari VM saya melalui koneksi tersebut?
Nomor. Hanya lalu lintas yang memiliki IP tujuan yang terkandung dalam rentang alamat IP jaringan lokal jaringan virtual yang Anda tentukan yang melewati gateway jaringan virtual.
Lalu lintas yang memiliki IP tujuan yang terletak di dalam jaringan virtual tetap berada dalam jaringan virtual. Lalu lintas lain dikirim melalui load balancer ke jaringan publik. Atau jika Anda menggunakan penerowongan paksa, lalu lintas dikirim melalui gateway VPN.
Bagaimana cara pemecahan masalah koneksi RDP ke VM
Jika Anda mengalami masalah saat menyambungkan ke komputer virtual melalui koneksi VPN Anda, periksa item berikut:
- Pastikan sambungan VPN Anda aktif.
- Verifikasi bahwa Anda menyambungkan ke alamat IP private untuk VM itu.
- Jika Anda bisa tersambung ke VM dengan menggunakan alamat IP privat tetapi bukan nama komputer, verifikasi bahwa Anda mengonfigurasi DNS dengan benar. Untuk informasi selengkapnya tentang cara kerja resolusi nama untuk VM, lihat Resolusi nama untuk sumber daya di jaringan virtual Azure.
Saat Anda tersambung melalui titik-ke-situs, periksa item tambahan berikut:
- Gunakan
ipconfig
untuk memeriksa alamat IPv4 yang ditetapkan ke adaptor Ethernet di komputer tempat Anda tersambung. Jika alamat IP berada dalam rentang alamat jaringan virtual yang Anda sambungkan, atau dalam rentang alamat kumpulan alamat klien VPN Anda, itu adalah ruang alamat yang tumpang tindih. Saat ruang alamat Anda tumpang tindih dengan cara ini, lalu lintas jaringan tidak mencapai Azure. Tetap berada di jaringan lokal. - Verifikasi bahwa paket konfigurasi klien VPN dihasilkan setelah Anda menentukan alamat IP server DNS untuk jaringan virtual. Jika Anda memperbarui alamat IP server DNS, hasilkan dan instal paket konfigurasi klien VPN baru.
Untuk informasi selengkapnya tentang pemecahan masalah koneksi RDP, lihat Memecahkan masalah sambungan Desktop Jauh ke VM.
Pemeliharaan gateway yang dikontrol pelanggan
Layanan mana yang disertakan dalam konfigurasi pemeliharaan untuk cakupan Gateway Jaringan?
Cakupan Gateway Jaringan menyertakan sumber daya gateway dalam layanan jaringan. Ada empat jenis sumber daya dalam cakupan Gateway Jaringan:
- Gateway jaringan virtual di layanan ExpressRoute
- Gateway jaringan virtual di layanan VPN Gateway
- Gateway VPN (situs-ke-situs) di layanan Azure Virtual WAN
- Gateway ExpressRoute di layanan Virtual WAN
Pemeliharaan mana yang didukung pemeliharaan yang dikontrol pelanggan?
Layanan Azure melalui pembaruan pemeliharaan berkala untuk meningkatkan fungsionalitas, keandalan, performa, dan keamanan. Setelah Anda mengonfigurasi jendela pemeliharaan untuk sumber daya Anda, pemeliharaan OS tamu dan pemeliharaan layanan dilakukan selama jendela tersebut. Pemeliharaan yang dikontrol pelanggan tidak mencakup pembaruan host (di luar pembaruan host untuk Power, misalnya) dan pembaruan keamanan penting.
Bisakah saya mendapatkan pemberitahuan lanjutan tentang pemeliharaan?
Saat ini, Anda tidak bisa mendapatkan pemberitahuan tingkat lanjut untuk pemeliharaan sumber daya Gateway Jaringan.
Dapatkah saya mengonfigurasi jendela pemeliharaan lebih pendek dari lima jam?
Saat ini, Anda perlu mengonfigurasi minimal jendela lima jam di zona waktu pilihan Anda.
Dapatkah saya mengonfigurasi jendela pemeliharaan selain jadwal harian?
Saat ini, Anda perlu mengonfigurasi jendela pemeliharaan harian.
Apakah ada kasus di mana saya tidak dapat mengontrol pembaruan tertentu?
Pemeliharaan yang dikontrol pelanggan mendukung pembaruan OS dan layanan tamu. Pembaruan ini memperhitungkan sebagian besar item pemeliharaan yang menyebabkan kekhawatiran bagi pelanggan. Beberapa jenis pembaruan lainnya, termasuk pembaruan host, berada di luar cakupan pemeliharaan yang dikontrol pelanggan.
Jika masalah keamanan dengan tingkat keparahan tinggi dapat membahmari pelanggan, Azure mungkin perlu mengambil alih kontrol pelanggan atas jendela pemeliharaan dan mendorong perubahan. Perubahan ini jarang terjadi yang kita gunakan hanya dalam kasus ekstrem.
Apakah sumber daya konfigurasi pemeliharaan harus berada di wilayah yang sama dengan sumber daya gateway?
Ya.
SKU gateway mana yang dapat saya konfigurasi untuk menggunakan pemeliharaan yang dikontrol pelanggan?
Semua SKU Azure VPN Gateway (kecuali SKU Dasar) dapat dikonfigurasi untuk menggunakan pemeliharaan yang dikontrol pelanggan.
Berapa lama waktu yang diperlukan agar kebijakan konfigurasi pemeliharaan menjadi efektif setelah ditetapkan ke sumber daya gateway?
Mungkin perlu waktu hingga 24 jam agar Gateway Jaringan mengikuti jadwal pemeliharaan setelah kebijakan pemeliharaan dikaitkan dengan sumber daya gateway.
Apakah ada batasan dalam menggunakan pemeliharaan yang dikontrol pelanggan berdasarkan alamat IP publik SKU Dasar?
Ya. Pemeliharaan yang dikontrol pelanggan tidak berfungsi untuk sumber daya yang menggunakan alamat IP publik SKU Dasar, kecuali dalam kasus pembaruan layanan. Untuk gateway ini, pemeliharaan OS tamu tidak mengikuti jadwal pemeliharaan yang dikontrol pelanggan karena keterbatasan infrastruktur.
Bagaimana cara merencanakan jendela pemeliharaan saat menggunakan VPN dan ExpressRoute dalam skenario koeksistensi?
Saat Anda bekerja dengan VPN dan ExpressRoute dalam skenario koeksistensi atau setiap kali Anda memiliki sumber daya yang bertindak sebagai cadangan, sebaiknya siapkan jendela pemeliharaan terpisah. Pendekatan ini memastikan bahwa pemeliharaan tidak memengaruhi sumber daya cadangan Anda secara bersamaan.
Saya menjadwalkan jendela pemeliharaan untuk tanggal mendatang untuk salah satu sumber daya saya. Apakah aktivitas pemeliharaan dijeda pada sumber daya ini hingga saat itu?
Tidak, aktivitas pemeliharaan tidak dijeda pada sumber daya Anda selama periode sebelum jendela pemeliharaan terjadwal. Untuk hari-hari yang tidak tercakup dalam jadwal pemeliharaan Anda, pemeliharaan berlanjut seperti biasa pada sumber daya.
Bagaimana cara mengetahui selengkapnya tentang pemeliharaan gateway yang dikontrol pelanggan?
Untuk informasi selengkapnya, lihat artikel Mengonfigurasi pemeliharaan gateway yang dikontrol pelanggan untuk VPN Gateway .
Konten terkait
- Untuk informasi selengkapnya tentang VPN Gateway, lihat Apa itu Azure VPN Gateway?.
- Untuk informasi selengkapnya tentang pengaturan konfigurasi VPN Gateway, lihat Tentang pengaturan konfigurasi VPN Gateway.
"OpenVPN" adalah merek dagang OpenVPN Inc.