Delen via


Over configuratie-instellingen voor VPN Gateway

De vpn-gatewayverbindingsarchitectuur is afhankelijk van de configuratie van meerdere resources, die elk configureerbare instellingen bevatten. In de secties in dit artikel worden de resources en instellingen besproken die betrekking hebben op een VPN-gateway voor een virtueel netwerk dat is gemaakt in het Resource Manager-implementatiemodel. U vindt beschrijvingen en topologiediagrammen voor elke verbindingsoplossing in het artikel over de VPN Gateway-topologie en het ontwerp .

De waarden in dit artikel zijn specifiek van toepassing op VPN-gateways (virtuele netwerkgateways die gebruikmaken van -GatewayType Vpn). Als u op zoek bent naar informatie over de volgende typen gateways, raadpleegt u de volgende artikelen:

  • Zie Virtuele netwerkgateways voor ExpressRoute voor waarden die van toepassing zijn op -GatewayType 'ExpressRoute'.
  • Zie Over zone-redundante gateways voor zone-redundante gateways.
  • Zie Over Virtual WAN voor Virtual WAN-gateways.

Gateways en gatewaytypen

Een virtuele netwerkgateway bestaat uit twee of meer door Azure beheerde VM's die automatisch worden geconfigureerd en geïmplementeerd in een specifiek subnet dat u het gatewaysubnet maakt. De gateway-VM's bevatten routeringstabellen en voeren specifieke gatewayservices uit.

Wanneer u een virtuele netwerkgateway maakt, worden de gateway-VM's automatisch geïmplementeerd in het gatewaysubnet (altijd gatwaySubnet genoemd) en geconfigureerd met de instellingen die u hebt opgegeven. Dit proces kan 45 minuten of langer duren, afhankelijk van de gateway-SKU die u hebt geselecteerd.

Een van de instellingen die u opgeeft bij het maken van een virtuele netwerkgateway is het gatewaytype. Het gatewaytype bepaalt hoe de gateway van het virtuele netwerk wordt gebruikt en welke acties de gateway uitvoert. Een virtueel netwerk kan twee virtuele netwerkgateways hebben: één VPN-gateway en één ExpressRoute-gateway. Het gatewaytype Vpn geeft aan dat het type virtuele netwerkgateway dat is gemaakt een VPN-gateway is. Dit onderscheidt het van een ExpressRoute-gateway, die gebruikmaakt van een ander type gateway.

Wanneer u een gateway voor een virtueel netwerk maakt, moet u ervoor zorgen dat het gatewaytype juist is voor uw configuratie. De beschikbare waarden voor -GatewayType zijn:

  • VPN
  • ExpressRoute

Voor een VPN-gateway is vpn -GatewayType vereist.

Voorbeeld:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

Gateway-SKU's en -prestaties

Zie het artikel Over gateway-SKU's voor de meest recente informatie over gateway-SKU's , prestaties en ondersteunde functies.

VPN-typen

ondersteuning voor Azure twee verschillende VPN-typen voor VPN-gateways: op beleid gebaseerd en op route gebaseerd. Op route gebaseerde VPN-gateways zijn gebouwd op een ander platform dan op beleid gebaseerde VPN-gateways. Dit resulteert in verschillende gatewayspecificaties. In de meeste gevallen maakt u een op route gebaseerde VPN-gateway.

Voorheen bieden de oudere gateway-SKU's geen ondersteuning voor IKEv1 voor op route gebaseerde gateways. De meeste huidige gateway-SKU's ondersteunen nu zowel IKEv1 als IKEv2. Vanaf 1 oktober 2023 kunt u geen op beleid gebaseerde VPN-gateway maken via Azure Portal, maar er zijn alleen op route gebaseerde gateways beschikbaar. Als u een op beleid gebaseerde gateway wilt maken, gebruikt u PowerShell of CLI.

Als u al een op beleid gebaseerde gateway hebt, hoeft u uw gateway niet te wijzigen in op route gebaseerd, tenzij u een configuratie wilt gebruiken waarvoor een op route gebaseerde gateway is vereist, zoals punt-naar-site. U kunt een op beleid gebaseerde gateway niet converteren naar op route gebaseerd. U moet de bestaande gateway verwijderen en vervolgens een nieuwe gateway maken als op route gebaseerd.

VPN-type gateway Gateway-SKU ONDERSTEUNDE IKE-versies
Gateway op basis van beleid Basis IKEv1
Gateway op basis van route Basis IKEv2
Gateway op basis van route VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 en IKEv2
Gateway op basis van route VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 en IKEv2

Actief-actief VPN-gateways

U kunt een Azure VPN-gateway maken in een actief-actief-configuratie, waarbij beide exemplaren van de gateway-VM's S2S VPN-tunnels naar uw on-premises VPN-apparaat tot stand brengen.

In deze configuratie heeft elk Exemplaar van de Azure-gateway een uniek openbaar IP-adres en wordt er een IPsec-/IKE S2S VPN-tunnel ingesteld op uw on-premises VPN-apparaat dat is opgegeven in uw lokale netwerkgateway en -verbinding. Beide VPN-tunnels maken eigenlijk deel uit van dezelfde verbinding. U moet uw on-premises VPN-apparaat nog steeds configureren om twee S2S VPN-tunnels te accepteren of tot stand te brengen voor deze twee openbare IP-adressen van de Azure VPN-gateway.

Omdat de Azure Gateway-exemplaren zich in een actief-actief-configuratie bevinden, wordt het verkeer van uw virtuele Azure-netwerk naar uw on-premises netwerk gelijktijdig gerouteerd via beide tunnels, zelfs als uw on-premises VPN-apparaat de voorkeur kan geven aan één tunnel via de andere. Voor één TCP- of UDP-stroom probeert Azure dezelfde tunnel te gebruiken bij het verzenden van pakketten naar uw on-premises netwerk. Uw on-premises netwerk kan echter een andere tunnel gebruiken om pakketten naar Azure te verzenden.

Wanneer er gepland onderhoud wordt uitgevoerd op een gatewayexemplaar of er zich een niet-gepland voorval voordoet, wordt de verbinding met de IPsec-tunnel vanuit het betreffende exemplaar met uw on-premises VPN-apparaat verbroken. De bijbehorende routes op uw VPN-apparaten moeten automatisch worden verwijderd of ingetrokken zodat het verkeer wordt omgeleid naar de andere actieve IPsec-tunnel. Vanuit Azure gebeurt de overschakeling van het betreffende exemplaar naar het actieve exemplaar automatisch.

Zie Over maximaal beschikbare connectiviteit voor informatie over het gebruik van actief-actieve gateways in een scenario met hoge beschikbaarheid.

Verbindingstypen

In het Resource Manager-implementatiemodel is voor elke configuratie een specifiek verbindingstype voor de virtuele netwerkgateway vereist. De beschikbare Resource Manager PowerShell-waarden voor -ConnectionType zijn:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

In het volgende PowerShell-voorbeeld maken we een S2S-verbinding waarvoor het IPsec-verbindingstype is vereist.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'

Verbindingsmodi

De eigenschap Verbindingsmodus is alleen van toepassing op op route gebaseerde VPN-gateways die IKEv2-verbindingen gebruiken. Verbindingsmodi definiëren de richting van de verbindingsinitiatie en zijn alleen van toepassing op de eerste IKE-verbindingsinstelling. Elke partij kan opnieuw versleutelen en verdere berichten initiëren. InitiatorOnly betekent dat de verbinding moet worden gestart door Azure. ResponderOnly betekent dat de verbinding moet worden gestart door het on-premises apparaat. Het standaardgedrag is om te accepteren en te kiezen welke verbinding eerst wordt gemaakt.

Gatewaysubnet

Voordat u een VPN-gateway maakt, moet u een gatewaysubnet maken. Het gatewaysubnet bevat de IP-adressen die de virtuele netwerkgateway-VM's en -services gebruiken. Wanneer u uw virtuele netwerkgateway maakt, worden gateway-VM's geïmplementeerd in het gatewaysubnet en geconfigureerd met de vereiste VPN-gatewayinstellingen. Implementeer nooit iets anders (bijvoorbeeld meer VM's) naar het gatewaysubnet. Het gatewaysubnet moet de naam GatewaySubnet hebben om goed te kunnen werken. Als u het gatewaysubnet 'GatewaySubnet' noemt, weet Azure dat dit het subnet is waarnaar de virtuele netwerkgateway-VM's en -services moeten worden geïmplementeerd.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gateway-VM's en gatewayservices. Sommige configuraties vereisen meer IP-adressen dan andere.

Wanneer u de grootte van uw gatewaysubnet plant, raadpleegt u de documentatie voor de configuratie die u wilt maken. De co-existentieconfiguratie voor ExpressRoute/VPN Gateway vereist bijvoorbeeld een groter gatewaysubnet dan de meeste andere configuraties. Hoewel het mogelijk is om een gatewaysubnet te maken dat zo klein is als /29 (alleen van toepassing op de Basic-SKU), vereisen alle andere SKU's een gatewaysubnet van grootte /27 of groter (/27, /26, /25 enzovoort). Mogelijk wilt u een gatewaysubnet maken dat groter is dan /27, zodat het subnet voldoende IP-adressen heeft voor mogelijke toekomstige configuraties.

In het volgende PowerShell-voorbeeld van Resource Manager ziet u een gatewaysubnet met de naam GatewaySubnet. U kunt zien dat de CIDR-notatie een /27 opgeeft, waardoor er voldoende IP-adressen zijn voor de meeste configuraties die momenteel bestaan.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Overwegingen:

  • Door gebruikers gedefinieerde routes met de bestemming 0.0.0.0.0/0 en NSG's in het GatewaySubnet worden niet ondersteund. Gateways met deze configuratie mogen niet worden gemaakt. Gateways vereisen toegang tot de management controllers om correct te kunnen funcioneren. Doorgifte van BGP-routes moet worden ingesteld op Ingeschakeld op gatewaysubnet om de beschikbaarheid van de gateway te garanderen. Als de doorgifte van BGP-routes is uitgeschakeld, werkt de gateway niet.

  • Diagnostiek, gegevenspad en controlepad kunnen worden beïnvloed als een door de gebruiker gedefinieerde route overlapt met het gateway-subnetbereik of het openbare IP-bereik van de gateway.

Lokale netwerkgateways

Een lokale netwerkgateway verschilt van een virtuele netwerkgateway. Wanneer u met een site-naar-site-architectuur van een VPN-gateway werkt, vertegenwoordigt de lokale netwerkgateway meestal uw on-premises netwerk en het bijbehorende VPN-apparaat. In het klassieke implementatiemodel wordt de lokale netwerkgateway een lokale site genoemd.

Wanneer u een lokale netwerkgateway configureert, geeft u de naam, het openbare IP-adres of de FQDN (Fully Qualified Domain Name) van het on-premises VPN-apparaat en de adresvoorvoegsels op die zich op de on-premises locatie bevinden. Azure bekijkt de voorvoegsels van het doeladres voor netwerkverkeer, raadpleegt de configuratie die u hebt opgegeven voor uw lokale netwerkgateway en routeert pakketten dienovereenkomstig. Als u Border Gateway Protocol (BGP) op uw VPN-apparaat gebruikt, geeft u het BGP-peer-IP-adres van uw VPN-apparaat en het autonome systeemnummer (ASN) van uw on-premises netwerk op. U geeft ook lokale netwerkgateways op voor VNet-naar-VNet-configuraties die gebruikmaken van een VPN-gatewayverbinding.

In het volgende PowerShell-voorbeeld wordt een nieuwe lokale netwerkgateway gemaakt:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Soms moet u de instellingen van de lokale netwerkgateway wijzigen. Wanneer u bijvoorbeeld het adresbereik toevoegt of wijzigt, of als het IP-adres van het VPN-apparaat wordt gewijzigd. Zie Instellingen voor lokale netwerkgateway wijzigen voor meer informatie.

REST API's, PowerShell-cmdlets en CLI

Zie de volgende pagina's voor technische resources en specifieke syntaxisvereisten bij het gebruik van REST API's, PowerShell-cmdlets of Azure CLI voor VPN Gateway-configuraties:

Klassiek Resource Manager
Powershell Powershell
REST API REST API
Niet ondersteund Azure-CLI

Volgende stappen

Zie Over VPN Gateway voor meer informatie over beschikbare verbindingsconfiguraties.