Site-naar-site-verbindingen van VPN Gateway toevoegen of verwijderen

Dit artikel helpt u bij het toevoegen of verwijderen van site-naar-site-verbindingen (S2S) voor een VPN-gateway. U kunt ook S2S-verbindingen toevoegen aan een VPN-gateway die al een S2S-verbinding, punt-naar-site-verbinding of VNet-naar-VNet-verbinding heeft. Er zijn enkele beperkingen bij het toevoegen van verbindingen. Raadpleeg de sectie Vereisten in dit artikel om te controleren voordat u de configuratie start.

Over gelijktijdige ExpressRoute-/site-naar-site-verbindingen

• U kunt de stappen in dit artikel gebruiken om een nieuwe VPN-verbinding toe te voegen aan een bestaande ExpressRoute-/site-naar-site-verbinding die naast elkaar bestaat.
• U kunt de stappen in dit artikel niet gebruiken om een nieuwe ExpressRoute-/site-naar-site-co-existentieverbinding te configureren. Als u een nieuwe naast elkaar bestaande verbinding wilt maken, raadpleegt u: Gelijktijdige ExpressRoute/S2S-verbindingen.

Vereisten

Controleer de volgende items:

• U configureert geen nieuwe gelijktijdige ExpressRoute- en VPN Gateway-site-naar-site-verbinding.
• U hebt een virtueel netwerk dat is gemaakt met behulp van het Resource Manager-implementatiemodel met een bestaande verbinding.
• De virtuele netwerkgateway voor uw virtuele netwerk is RouteBased. Als u een PolicyBased VPN-gateway hebt, moet u de gateway van het virtuele netwerk verwijderen en een nieuwe VPN-gateway maken als RouteBased.
• Geen van de adresbereiken overlapt voor een van de virtuele netwerken waarmee dit virtuele netwerk verbinding maakt.
• U hebt een compatibel VPN-apparaat en iemand die het kan configureren. Zie About VPN Devices (Over VPN-apparaten). Als u niet weet hoe u uw VPN-apparaat moet configureren of de IP-adresbereiken in uw on-premises netwerkconfiguratie niet kent, moet u contact opnemen met iemand die u hierbij kan helpen en de benodigde gegevens kan verstrekken.
• U hebt een extern gericht openbaar IP-adres voor uw VPN-apparaat.

Een lokale netwerkgateway maken

De lokale netwerkgateway is een specifiek object dat is geïmplementeerd in Azure dat uw on-premises locatie (de site) vertegenwoordigt voor routeringsdoeleinden. U geeft de site een naam waarmee Azure ernaar kan verwijzen en geef vervolgens het IP-adres op van het on-premises VPN-apparaat waarnaar u een verbinding maakt. U geeft ook de IP-adresvoorvoegsels op die via de VPN-gateway worden doorgestuurd naar het VPN-apparaat. De adresvoorvoegsels die u opgeeft, zijn de voorvoegsels die zich in uw on-premises netwerk bevinden. Als uw on-premises netwerk verandert of als u het openbare IP-adres voor het VPN-apparaat moet wijzigen, kunt u de waarden later eenvoudig bijwerken.

Maak een lokale netwerkgateway met behulp van de volgende voorbeeldwaarden:

• Naam: Site1
• Resourcegroep: TestRG1
• Locatie: VS - oost

Overwegingen voor configuratie:

• VPN Gateway ondersteunt slechts één IPv4-adres voor elke FQDN. Als de domeinnaam wordt omgezet in meerdere IP-adressen, gebruikt VPN Gateway het eerste IP-adres dat door de DNS-servers wordt geretourneerd. Om de onzekerheid te beperken, raden we aan dat uw FQDN altijd een enkel IPv4-adres omzet. IPv6 wordt niet ondersteund.
• VPN Gateway onderhoudt een DNS-cache die elke 5 minuten wordt vernieuwd. De gateway probeert alleen de FQDN's voor onderbroken tunnels om te zetten. Het opnieuw instellen van de gateway activeert ook FQDN-resolutie.
• Hoewel VPN Gateway meerdere verbindingen met verschillende lokale netwerkgateways met verschillende FQDN's ondersteunt, moeten alle FQDN's worden omgezet naar verschillende IP-adressen.

1. Ga in de portal naar lokale netwerkgateways en open de pagina Lokale netwerkgateway maken.

2. Vul op het tabblad Basisinformatie de waarden in voor uw lokale netwerkgateway.

   

   • Abonnement: controleer of het juiste abonnement wordt weergegeven.
   • Resourcegroep: Selecteer de resourcegroep die u wilt gebruiken. U kunt een nieuwe resourcegroep maken of een resourcegroep selecteren die u al hebt gemaakt.
   • Regio: Selecteer de regio voor dit object. Mogelijk wilt u dezelfde locatie selecteren waar uw virtuele netwerk zich bevindt, maar u hoeft dit niet te doen.
   • Naam: geef een naam op voor uw lokale netwerkgateway.
   • Eindpunt: selecteer het eindpunttype voor het on-premises VPN-apparaat als IP-adres of FQDN (Fully Qualified Domain Name).
     • IP-adres: Als u een statisch openbaar IP-adres hebt toegewezen van uw internetprovider (ISP) voor uw VPN-apparaat, selecteert u de optie IP-adres. Vul het IP-adres in zoals wordt weergegeven in het voorbeeld. Dit adres is het openbare IP-adres van het VPN-apparaat waarmee u Azure VPN Gateway verbinding wilt laten maken. Als u het IP-adres momenteel niet hebt, kunt u de waarden in het voorbeeld gebruiken. Later moet u teruggaan en uw tijdelijke ip-adres vervangen door het openbare IP-adres van uw VPN-apparaat. Anders kan Azure geen verbinding maken.
     • FQDN: Als u een dynamisch openbaar IP-adres hebt dat na een bepaalde periode kan veranderen, vaak bepaald door uw internetprovider, kunt u een constante DNS-naam met een dynamische DNS-service gebruiken om te verwijzen naar uw huidige openbare IP-adres van uw VPN-apparaat. Uw Azure VPN-gateway zet de FQDN om het openbare IP-adres te bepalen waarmee verbinding moet worden gemaakt.
   • Adresruimte: De adresruimte verwijst naar de adresbereiken voor het netwerk dat dit lokale netwerk vertegenwoordigt. U kunt meerdere adresruimtebereiken toevoegen. Zorg ervoor dat de bereiken die u hier opgeeft, niet overlappen met bereiken van andere netwerken waarmee u verbinding wilt maken. Azure routeert het adresbereik dat u opgeeft naar het IP-adres van het on-premises VPN-apparaat. Gebruik hier uw eigen waarden als u verbinding wilt maken met uw on-premises site, niet de waarden die worden weergegeven in het voorbeeld.

3. Op het tabblad Geavanceerd kunt u zo nodig BGP-instellingen configureren.

4. Nadat u de waarden hebt opgegeven, selecteert u Controleren en maken onderaan de pagina om de pagina te valideren.

5. Klik op Maken om het lokale netwerkgateway-object te maken.

Uw VPN-apparaat configureren

Site-naar-site-verbindingen met een on-premises netwerk vereisen een VPN-apparaat. In deze stap configureert u het VPN-apparaat. Bij de configuratie van uw VPN-apparaat hebt u de volgende waarden nodig:

• Een gedeelde sleutel. Dit is dezelfde gedeelde sleutel die u opgeeft bij het maken van uw site-naar-site-VPN-verbinding. In onze voorbeelden gebruiken we een eenvoudige gedeelde sleutel. We raden u aan een complexere sleutel te genereren.
• Het openbare IP-adres van uw virtuele netwerkgateway. U kunt het openbare IP-adres weergeven met behulp van Azure Portal, PowerShell of de CLI. Als u het openbare IP-adres van uw VPN-gateway wilt vinden met behulp van Azure Portal, gaat u naar gateways van het virtuele netwerk en selecteert u vervolgens de naam van uw gateway.

Afhankelijk van het VPN-apparaat dat u hebt, kunt u mogelijk een configuratiescript voor een VPN-apparaat downloaden. Zie voor meer informatie Configuratiescripts van VPN-apparaat downloaden.

Zie de volgende koppelingen voor meer configuratie-informatie:

• Zie VPN-apparaten voor meer informatie over compatibele VPN-apparaten.
• Controleer voordat u uw VPN-apparaat configureert op bekende compatibiliteitsproblemen met apparaten voor het VPN-apparaat dat u wilt gebruiken.
• Zie Gevalideerde VPN-apparaten voor koppelingen naar instellingen voor apparaatconfiguratie. De koppelingen over apparaatconfiguratie worden naar beste vermogen geleverd. Het is altijd verstandig om de actuele configuratie-informatie op te vragen bij de fabrikant van uw apparaat. De lijst bevat de versies die we hebben getest. Als uw besturingssysteem niet in die lijst staat, is het nog steeds mogelijk dat de versie compatibel is. Neem contact op met de fabrikant van uw apparaat om te controleren of de versie van het besturingssysteem voor uw VPN-apparaat compatibel is.
• Zie Overzicht van VPN-apparaatconfiguraties van derden voor een overzicht van vpn-apparaatconfiguraties van derden.
• Zie Bewerkingsvoorbeelden voor voorbeelden van het bewerken van de apparaatconfiguratie.
• Zie Informatie over cryptografische vereisten en Azure VPN-gateways voor informatie over cryptografische vereisten.
• Zie Vpn-apparaten en IPsec-/IKE-parameters voor site-naar-site-VPN-gatewayverbindingen voor informatie over IPsec-/IKE-parameters. Deze koppeling bevat informatie over IKE-versie, Diffie-Hellman Group, verificatiemethode, versleuteling en hashing-algoritmen, SA-levensduur, PFS en DPD, naast andere parametergegevens die u nodig hebt om uw configuratie te voltooien.
• Zie IPsec-/IKE-beleidsconfiguratiestappen configureren voor site-naar-site-VPN- of VNet-naar-VNet-verbindingen voor IPsec-/IKE-beleid.
• Zie Connect Azure VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Azure VPN-gateways verbinden met meerdere on-premises, op beleid gebaseerde VPN-apparaten met behulp van PowerShell) om meerdere, op beleid gebaseerde VPN-apparaten te verbinden.

Een verbinding configureren

Maak een site-naar-site-VPN-verbinding tussen uw virtuele netwerkgateway en uw on-premises VPN-apparaat. In deze sectie gebruiken we de volgende voorbeeldwaarden:

• Naam van lokale netwerkgateway: Site1
• Verbindingsnaam: VNet1toSite1
• Gedeelde sleutel: In dit voorbeeld gebruiken we abc123. Maar u kunt datgene gebruiken wat compatibel is met uw VPN-hardware. Het belangrijkste is dat de waarden aan beide zijden van de verbinding met elkaar overeenkomen.

1. Ga in de portal naar de gateway van het virtuele netwerk en open deze.

2. Op de pagina voor de gateway selecteert u Verbindingen.

3. Selecteer boven aan de pagina Verbindingen de optie + Toevoegen om de pagina Verbinding maken te openen.

   

4. Configureer op de pagina Verbinding maken op het tabblad Basisbeginselen de waarden voor uw verbinding:

   • Selecteer onder Projectdetails het abonnement en de resourcegroep waar uw resources zich bevinden.

   • Configureer onder Instantiedetails de volgende instellingen:

     • Verbindingstype: Selecteer Site-naar-site (IPSec).
     • Naam: de naam van de verbinding.
     • Regio: selecteer de regio voor deze verbinding.

5. Selecteer het tabblad Instellingen en configureer de volgende waarden:

   

   • Virtuele netwerkgateway: Selecteer de gateway van het virtuele netwerk in de vervolgkeuzelijst.
   • Lokale netwerkgateway: selecteer de lokale netwerkgateway in de vervolgkeuzelijst.
   • Gedeelde sleutel: de waarde moet overeenkomen met de waarde die u gebruikt voor uw lokale on-premises VPN-apparaat. Als dit veld niet wordt weergegeven op de portalpagina of als u deze sleutel later wilt bijwerken, kunt u dit doen zodra het verbindingsobject is gemaakt. Ga naar het verbindingsobject dat u hebt gemaakt (voorbeeldnaam: VNet1toSite1) en werk de sleutel bij op de pagina Verificatie .
   • IKE-protocol: selecteer IKEv2.
   • Privé-IP-adres van Azure gebruiken: selecteer niet.
   • BGP inschakelen: selecteer deze optie niet.
   • FastPath: Selecteer niet.
   • IPsec-/IKE-beleid: Selecteer Standaard.
   • Op beleid gebaseerde verkeersselector gebruiken: Selecteer Uitschakelen.
   • Time-out van DPD in seconden: Selecteer 45.
   • Verbindingsmodus: selecteer Standaard. Deze instelling wordt gebruikt om op te geven welke gateway de verbinding kan initiëren. Zie VPN Gateway-instellingen - Verbindingsmodi voor meer informatie.

6. Voor NAT-regelskoppelingen laat u zowel Inkomend als Uitgaand verkeer geselecteerd als 0.

7. Selecteer Controleren en maken om de verbindingsinstellingen te valideren.

8. Selecteer Maken om de verbinding te maken.

9. Nadat de implementatie is voltooid, kunt u de verbinding bekijken op de pagina Verbindingen van de gateway van het virtuele netwerk. De status wordt gewijzigd van Onbekend in Verbinding maken en vervolgens op Geslaagd.

De VPN-verbinding weergeven en controleren

In Azure Portal kunt u de verbindingsstatus van een VPN-gateway bekijken door naar de verbinding te gaan. In de volgende stappen ziet u een manier om naar uw verbinding te gaan en te controleren.

1. Selecteer in het menu van Azure Portal alle resources of zoek en selecteer alle resources op een willekeurige pagina.
2. Selecteer uw virtuele netwerkgateway.
3. Selecteer Verbindingen in het deelvenster voor uw virtuele netwerkgateway. U ziet de status van elke verbinding.
4. Selecteer de naam van de verbinding die u wilt verifiëren om Essentials te openen. In het deelvenster Essentials kunt u meer informatie over uw verbinding bekijken. De status is Geslaagd en Verbonden nadat u verbinding hebt gemaakt.

Een verbinding verwijderen

1. Ga in de portal naar de pagina Vpn-gatewayverbindingen.
2. Klik op de verbinding die u wilt verwijderen. Hiermee opent u de pagina voor de verbinding.
3. Klik op Verwijderen om de verbinding te verwijderen.

Volgende stappen

Zie zelfstudie: Een site-naar-site-VPN-gatewayconfiguratie configureren voor meer informatie over site-naar-site-VPN-gatewayconfiguraties.