Een punt-naar-site-VPN-verbinding met een VNet configureren met behulp van meerdere verificatietypen: Azure Portal

  • Artikel

Dit artikel helpt u bij het veilig verbinden van afzonderlijke clients met Windows, Linux of macOS met een Azure-VNet. punt-naar-site-VPN-verbindingen zijn handig wanneer u vanaf een externe locatie verbinding wilt maken met uw VNet, bijvoorbeeld wanneer u thuis of een vergadering thuis bent. U kunt P2S ook in plaats van een site-naar-site-VPN gebruiken wanneer u maar een paar clients hebt die verbinding moeten maken met een VNet. Punt-naar-site-verbindingen vereisen geen VPN-apparaat of een openbaar IP-adres. P2S maakt de VPN-verbinding via SSTP (Secure Socket Tunneling Protocol) of IKEv2. Zie Over punt-naar-site-VPN voor meer informatie over punt-naar-site-VPN.

Verbinding maken van een computer naar een Azure-VNet - punt-naar-site-verbindingsdiagram

Zie Over punt-naar-site-VPN voor meer informatie over punt-naar-site-VPN. Zie Een punt-naar-site-VPN configureren met behulp van Azure PowerShell om deze configuratie te maken met behulp van Azure PowerShell.

Vereisten

Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

Meerdere verificatietypen op dezelfde VPN-gateway worden alleen ondersteund met het type OpenVPN-tunnel.

Voorbeeldwaarden

U kunt de volgende waarden gebruiken om een testomgeving te maken of ze raadplegen om meer inzicht te krijgen in de voorbeelden in dit artikel:

  • VNet-naam: VNet1
  • Adresruimte: 10.1.0.0/16
    In dit voorbeeld gebruiken we slechts één adresruimte. U kunt meer dan één adresruimte voor uw VNet hebben.
  • Subnetnaam: FrontEnd
  • Subnetadresbereik: 10.1.0.0/24
  • Abonnement: controleer of u het juiste abonnement hebt in het geval u er meer dan één hebt.
  • Resourcegroep: TestRG1
  • Locatie: VS - oost
  • GatewaySubnet: 10.1.255.0/27
  • SKU: VpnGw2
  • Generatie: Generatie 2
  • Gatewaytype: VPN
  • VPN-type: op route gebaseerd
  • Openbare IP-adresnaam: VNet1GWpip
  • Verbindingstype: punt-naar-site-verbinding
  • Clientadresgroep: 172.16.201.0/24
    VPN-clients die verbinding maken met het VNet met behulp van deze punt-naar-site-verbinding, ontvangen een IP-adres van de clientadresgroep.

Een virtueel netwerk maken

Controleer eerst of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

Notitie

Wanneer u een virtueel netwerk gebruikt als onderdeel van een cross-premises architectuur, moet u contact opnemen met uw on-premises netwerkbeheerder om een IP-adresbereik te maken dat u specifiek voor dit virtuele netwerk kunt gebruiken. Als er een dubbel adresbereik bestaat aan beide zijden van de VPN-verbinding, wordt verkeer niet correct gerouteerd. Als u dit virtuele netwerk wilt verbinden met een ander virtueel netwerk, kan de adresruimte niet overlappen met het andere virtuele netwerk. Houd hier rekening mee als u uw netwerkconfiguratie gaan plannen.

  1. Meld u aan bij het Azure-portaal.

  2. Voer in Zoekbronnen, service en documenten (G+/) boven aan de portalpagina het virtuele netwerk in. Selecteer Virtueel netwerk in de zoekresultaten van Marketplace om de pagina Virtueel netwerk te openen.

  3. Selecteer Maken op de pagina Virtueel netwerk om de pagina Virtueel netwerk maken te openen.

  4. Configureer op het tabblad Basis de instellingen van het virtuele netwerk voor projectdetails en instantiedetails. U ziet een groen vinkje wanneer de waarden die u invoert, worden gevalideerd. U kunt de waarden in het voorbeeld aanpassen op basis van de instellingen die u nodig hebt.

    Schermopname van het tabblad Basisinformatie.

    • Abonnement: controleer of het weergegeven abonnement het juiste is. U kunt abonnementen wijzigen met behulp van de vervolgkeuzelijst.
    • Resourcegroep: Selecteer een bestaande resourcegroep of selecteer Nieuwe maken om een nieuwe te maken. Zie Overzicht van Azure Resource Manager voor meer informatie over resourcegroepen.
    • Naam: geef de naam op voor het virtuele netwerk.
    • Regio: Selecteer de locatie voor uw virtuele netwerk. De locatie bepaalt waar de resources die u in dit virtuele netwerk implementeert, zich bevinden.

  5. Selecteer Volgende of Beveiliging om naar het tabblad Beveiliging te gaan. Laat voor deze oefening de standaardwaarden voor alle services op deze pagina staan.

  6. Selecteer IP-adressen om naar het tabblad IP-adressen te gaan. Configureer de instellingen op het tabblad IP-adressen .

    • IPv4-adresruimte: standaard wordt er automatisch een adresruimte gemaakt. U kunt de adresruimte selecteren en deze aanpassen om uw eigen waarden weer te geven. U kunt ook een andere adresruimte toevoegen en de standaardwaarde verwijderen die automatisch is gemaakt. U kunt bijvoorbeeld het beginadres opgeven als 10.1.0.0 en de adresruimtegrootte opgeven als /16. Selecteer Vervolgens Toevoegen om die adresruimte toe te voegen.

    • + Subnet toevoegen: Als u de standaardadresruimte gebruikt, wordt automatisch een standaardsubnet gemaakt. Als u de adresruimte wijzigt, voegt u een nieuw subnet toe binnen die adresruimte. Selecteer + Subnet toevoegen om het venster Subnet toevoegen te openen. Configureer de volgende instellingen en selecteer vervolgens Toevoegen onder aan de pagina om de waarden toe te voegen.

      • Subnetnaam: Een voorbeeld is FrontEnd.
      • Subnetadresbereik: Het adresbereik voor dit subnet. Voorbeelden zijn 10.1.0.0 en /24.

  7. Controleer de pagina IP-adressen en verwijder eventuele adresruimten of subnetten die u niet nodig hebt.

  8. Selecteer Beoordelen en maken om de instellingen voor het virtuele netwerk te valideren.

  9. Nadat de instellingen zijn gevalideerd, selecteert u Maken om het virtuele netwerk te maken.

Gateway voor een virtueel netwerk

In deze stap maakt u de virtuele netwerkgateway VNet. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU.

Notitie

De Basic-gateway-SKU biedt geen ondersteuning voor het type OpenVPN-tunnel.

Voor de virtuele netwerkgateway is een specifiek subnet met de naam GatewaySubnet vereist. Het gatewaysubnet maakt deel uit van het IP-adresbereik voor uw virtuele netwerk en bevat de IP-adressen die door de resources en services van de virtuele netwerkgateway worden gebruikt.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. Hoeveel IP-adressen er nodig zijn, is afhankelijk van de configuratie van de VPN-gateway die u wilt maken. Sommige configuraties vereisen meer IP-adressen dan andere. U kunt het beste /27 of groter (/26, /25, enzovoort) opgeven voor uw gatewaysubnet.

Als er een fout wordt weergegeven waarin wordt aangegeven dat de adresruimte overlapt met een subnet of dat het subnet zich niet in de adresruimte voor uw virtuele netwerk bevindt, controleert u het adresbereik van het virtuele netwerk. Mogelijk hebt u niet voldoende IP-adressen beschikbaar in het adresbereik dat u voor uw virtuele netwerk hebt gemaakt. Als uw standaardsubnet bijvoorbeeld het hele adresbereik omvat, zijn er geen IP-adressen meer subnetten te maken. U kunt uw subnetten in de bestaande adresruimte aanpassen om IP-adressen vrij te maken of een ander adresbereik opgeven en daar het gatewaysubnet maken.

  1. Voer in Zoekbronnen, -services en -documenten (G+/) de gateway van het virtuele netwerk in. Zoek virtuele netwerkgateway in de zoekresultaten van Marketplace en selecteer deze om de pagina Gateway van het virtuele netwerk maken te openen.

  2. Vul op het tabblad Basisinformatie de waarden in voor projectdetails en instantiedetails.

    Schermopname van de velden Exemplaar.

    • Abonnement: Selecteer het abonnement dat u wilt gebruiken in de vervolgkeuzelijst.

    • Resourcegroep: Deze instelling wordt automatisch ingevuld wanneer u uw virtuele netwerk op deze pagina selecteert.

    • Naam: naam van uw gateway. De naam van uw gateway is niet hetzelfde als het benoemen van een gatewaysubnet. Hier gaat het om de naam van het gatewayobject dat u maakt.

    • Regio: Selecteer de regio waarin u deze resource wilt maken. De regio voor de gateway moet hetzelfde zijn als die voor het virtuele netwerk.

    • Gatewaytype: selecteer VPN. VPN-gateways maken gebruik van een gateway van het virtuele netwerk van het type VPN.

    • SKU: Selecteer in de vervolgkeuzelijst de gateway-SKU die ondersteuning biedt voor de functies die u wilt gebruiken. Zie Gateway-SKU's. In de portal zijn de SKU's die beschikbaar zijn in de vervolgkeuzelijst, afhankelijk van de VPN type door u geselecteerde SKU's. De Basic-SKU kan alleen worden geconfigureerd met behulp van Azure CLI of PowerShell. U kunt de Basic-SKU niet configureren in Azure Portal.

    • Generatie: selecteer de generatie die u wilt gebruiken. U wordt aangeraden een Generation2-SKU te gebruiken. Zie Gateway-SKU's voor meer informatie.

    • Virtueel netwerk: Selecteer in de vervolgkeuzelijst het virtuele netwerk waaraan u deze gateway wilt toevoegen. Als u het virtuele netwerk waarvoor u een gateway wilt maken niet ziet, controleert u of u het juiste abonnement en de juiste regio hebt geselecteerd in de vorige instellingen.

    • Gatewaysubnetadresbereik of subnet: het gatewaysubnet is vereist om een VPN-gateway te maken.

      Op dit moment kan dit veld verschillende instellingenopties weergeven, afhankelijk van de adresruimte van het virtuele netwerk en of u al een subnet met de naam GatewaySubnet voor uw virtuele netwerk hebt gemaakt.

      Als u geen gatewaysubnet hebt en u geen optie ziet om er een te maken op deze pagina, gaat u terug naar uw virtuele netwerk en maakt u het gatewaysubnet. Ga vervolgens terug naar deze pagina en configureer de VPN-gateway.

  1. Geef de waarden op voor het openbare IP-adres. Met deze instellingen geeft u het openbare IP-adresobject op dat wordt gekoppeld aan de VPN-gateway. Het openbare IP-adres wordt toegewezen aan dit object wanneer de VPN-gateway wordt gemaakt. De enige keer dat het primaire openbare IP-adres wordt gewijzigd, is wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet wanneer de grootte van uw VPN Gateway verandert, wanneer deze gateway opnieuw wordt ingesteld of wanneer andere interne onderhoudswerkzaamheden of upgrades worden uitgevoerd.

    Schermopname van het veld Openbaar IP-adres.

    • Type openbaar IP-adres: Als u deze optie ziet, selecteert u Standard. De openbare IP-adres-SKU Basic wordt alleen ondersteund voor VPN-gateways van de Basic-SKU .
    • Openbaar IP-adres: Laat Nieuwe maken geselecteerd.
    • Naam van openbaar IP-adres: Voer in het tekstvak een naam in voor uw exemplaar van het openbare IP-adres.
    • Openbare IP-adres-SKU: Instelling wordt automatisch geselecteerd.
    • Toewijzing: De toewijzing wordt doorgaans automatisch geselecteerd. Voor de Standard-SKU is toewijzing altijd statisch.
    • Actief-actiefmodus inschakelen: Selecteer Uitgeschakeld. Schakel deze instelling alleen in als u een actief-actief-gatewayconfiguratie maakt.
    • BGP configureren: Selecteer Uitgeschakeld, tenzij voor uw configuratie specifiek deze instelling is vereist. Als u deze instelling wel nodig hebt, is de standaard-ASN 65515, hoewel deze waarde kan worden gewijzigd.

  2. Selecteer Beoordelen en maken om de validatie uit te voeren.

  3. Nadat de validatie is geslaagd, selecteert u Maken om de VPN-gateway te implementeren.

U kunt de implementatiestatus bekijken op de overzichtspagina van uw gateway. Het kan vaak 45 minuten of langer duren voordat een gateway volledig is gemaakt en geïmplementeerd. Nadat de gateway is aangemaakt, kunt u het IP-adres dat eraan is toegewezen bekijken door naar het virtuele netwerk in de portal te kijken. De gateway wordt weergegeven als verbonden apparaat.

Belangrijk

Netwerkbeveiligingsgroepen (NSG's) in het gatewaysubnet worden niet ondersteund. Als u een netwerkbeveiligingsgroep koppelt aan dit subnet, werkt uw virtuele netwerkgateway (VPN en ExpressRoute-gateways) mogelijk niet meer zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.

Clientadresgroep

De clientadrespool bestaat uit een privé-IP-adresbereik dat u opgeeft. De clients die verbinding maken via een punt-naar-site-VPN ontvangen dynamisch een IP-adres uit dit bereik. Gebruik een privé-IP-adresbereik dat niet overlapt met de on-premises locatie waarvanaf u verbinding maakt of met het VNet waarmee u verbinding wilt maken. Als u meerdere protocollen configureert en SSTP een van de protocollen is, wordt de geconfigureerde adresgroep gelijk verdeeld tussen de geconfigureerde protocollen.

  1. Nadat de virtuele netwerkgateway is gemaakt, gaat u naar de sectie Instellingen van de pagina van de virtuele netwerkgateway. Selecteer in Instellingen punt-naar-site-configuratie. Selecteer Nu configureren om de configuratiepagina te openen.

    Schermopname van de pagina punt-naar-site-configuratie.

  2. Op de pagina punt-naar-site-configuratie kunt u verschillende instellingen configureren. Voeg in het vak Adresgroep het privé-IP-adresbereik toe dat u wilt gebruiken. VPN-clients ontvangen dynamisch een IP-adres uit het bereik dat u opgeeft. Het minimale subnetmasker is 29 bits voor actief/passief en 28 bits voor actieve/actieve configuratie.

    Schermopname van clientadresgroep.

  3. Ga door naar de volgende sectie om verificatie- en tunneltypen te configureren.

Verificatie- en tunneltypen

In deze sectie configureert u het verificatietype en het tunneltype. Als u op de pagina punt-naar-site-configuratie geen tunneltype of verificatietype ziet, gebruikt uw gateway de Basic-SKU. De basis-SKU biedt geen ondersteuning voor IKEv2- of RADIUS-verificatie. Als u deze instellingen wilt gebruiken, moet u de gateway verwijderen en opnieuw maken met behulp van een andere gateway-SKU.

Belangrijk

Azure Portal is bezig met het bijwerken van Azure Active Directory-velden naar Entra. Als u microsoft Entra-id ziet waarnaar wordt verwezen en u deze waarden nog niet ziet in de portal, kunt u Azure Active Directory-waarden selecteren.

Schermopname van verificatietypen en tunneltype.

Tunneltype

Selecteer op de pagina punt-naar-site-configuratie de gewenste typen. Opties zijn:

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 en OpenVPN (SSL)
  • IKEv2 en SSTP (SSL)

Authentication type

Selecteer de gewenste typen voor verificatietype. Opties zijn:

  • Azure-certificaat
  • RADIUS
  • Microsoft Entra ID

Zie de onderstaande tabel om te controleren welke verificatiemechanismen compatibel zijn met geselecteerde tunneltypen.

Tunneltype Verificatiemechanisme
OpenVPN Elke subset van Microsoft Entra-id, Radius-verificatie en Azure-certificaat
SSTP Radius-verificatie/Azure-certificaat
IKEv2 Radius-verificatie/Azure-certificaat
IKEv2 en OpenVPN Radius Auth/Azure Certificate/Microsoft Entra ID en Radius Auth/Microsoft Entra ID en Azure Certificate
IKEv2 en SSTP Radius-verificatie/Azure-certificaat

Notitie

Voor tunneltype "IKEv2 en OpenVPN" en geselecteerde verificatiemechanismen "Microsoft Entra ID en Radius" of "Microsoft Entra ID en Azure Certificate", Microsoft Entra ID werkt alleen voor OpenVPN omdat deze niet wordt ondersteund door IKEv2

Afhankelijk van de geselecteerde verificatietypen ziet u verschillende configuratie-instellingsvelden die moeten worden ingevuld. Vul de vereiste gegevens in en selecteer Opslaan boven aan de pagina om alle configuratie-instellingen op te slaan.

Zie voor meer informatie over het verificatietype:

Configuratiepakket voor VPN-client

VPN-clients moeten worden geconfigureerd met clientconfiguratie-instellingen. Het configuratiepakket van de VPN-client bevat bestanden met de instellingen voor het configureren van VPN-clients om via een P2S-verbinding verbinding te maken met een VNet.

Gebruik het artikel dat betrekking heeft op uw configuratie voor instructies voor het genereren en installeren van VPN-clientconfiguratiebestanden:

Verificatie Tunneltype Configuratiebestanden genereren VPN-client configureren
Azure-certificaat IKEv2, SSTP Windows Systeemeigen VPN-client
Azure-certificaat OpenVPN Windows - OpenVPN-client
- Azure VPN-client
Azure-certificaat IKEv2, OpenVPN macOS-iOS macOS-iOS
Azure-certificaat IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) MacOS MacOS
RADIUS - certificaat - Artikel Artikel
RADIUS - wachtwoord - Artikel Artikel
RADIUS - andere methoden - Artikel Artikel

Veelgestelde vragen over punt-naar-site

Zie de punt-naar-site-secties van de veelgestelde vragen over VPN Gateway voor informatie over veelgestelde vragen over punt-naar-site.

Volgende stappen

Wanneer de verbinding is voltooid, kunt u virtuele machines aan uw virtuele netwerken toevoegen. Zie Virtuele machines voor meer informatie. Zie Azure and Linux VM Network Overview (Overzicht van Azure- en Linux-VM-netwerken) voor meer informatie over netwerken en virtuele machines.

Voor informatie over probleemoplossing voor P2S bekijkt u Troubleshooting Azure point-to-site connections (Problemen met punt-naar-site-verbindingen in Azure oplossen).