Een VPN-gatewayverbinding tussen VNet's configureren met behulp van Azure Portal

Dit artikel helpt u bij het verbinden van virtuele netwerken (VNets) met behulp van het verbindingstype VNet-naar-VNet met behulp van de Azure Portal. De virtuele netwerken kunnen zich in verschillende regio's en van verschillende abonnementen bevinden. Wanneer u VNet's uit verschillende abonnementen koppelt, hoeven de abonnementen niet aan dezelfde Active Directory-tenant gekoppeld te zijn. Dit type configuratie maakt een verbinding tussen twee virtuele netwerkgateways. Dit artikel is niet van toepassing op VNet-peering. Zie het artikel Virtual Network peering voor VNet-peering.

Diagram van VNet naar VNet.

U kunt deze configuratie maken met behulp van verschillende hulpprogramma's, afhankelijk van het implementatiemodel van uw VNet. De stappen in dit artikel zijn van toepassing op het Azure Resource Manager-implementatiemodel en de Azure Portal. Als u wilt overschakelen naar een ander implementatiemodel of een andere implementatiemethode, gebruikt u de vervolgkeuzelijst.

Over het verbinden van VNet's

In de volgende secties worden de verschillende manieren voor het koppelen van virtuele netwerken beschreven.

VNet-naar-VNet

Het configureren van een VNet-naar-VNet-verbinding is een eenvoudige manier om VNet's te koppelen. Het verbinden van een virtueel netwerk met een ander virtueel netwerk met behulp van het verbindingstype VNet-naar-VNet (VNet2VNet) is vergelijkbaar met het maken van een site-naar-site-IPsec-verbinding met een on-premises locatie. Voor beide verbindingstypen wordt een VPN-gateway gebruikt om een beveiligde tunnel met IPsec/IKE te bieden en beide typen werken tijdens het communiceren op dezelfde manier. Het verschil zit hem in de configuratie van de lokale netwerkgateway.

Als u een VNet-naar-VNet-verbinding maakt, wordt de adresruimte voor de lokale netwerkgateway automatisch gemaakt en gevuld. Wanneer u de adresruimte voor een VNet bijwerkt, wordt de route naar de bijgewerkte adresruimte automatisch ingesteld voor het andere VNet. Het maken van een VNet-naar-VNet-verbinding gaat meestal sneller en makkelijker dan het maken van een site-naar-site-verbinding. De lokale netwerkgateway is echter niet zichtbaar in deze configuratie.

  • Als u weet dat u extra adresruimten voor de lokale netwerkgateway wilt opgeven, of van plan bent om later extra verbindingen toe te voegen en de lokale netwerkgateway moet aanpassen, moet u de configuratie maken met behulp van de site-naar-site-stappen.
  • De VNet-naar-VNet-verbinding bevat geen adresruimte voor een punt-naar-site-clientgroep. Als u transitieve routering nodig hebt voor punt-naar-site-clients, maakt u een site-naar-site-verbinding tussen de virtuele netwerkgateways of gebruikt u VNet-peering.

Site-naar-site (IPsec)

Als u met een gecompliceerde netwerkconfiguratie werkt, kunt u de VNet's wellicht beter koppelen met een Site-naar-Site-verbinding. Als u de stappen voor site-naar-site-IPsec volgt, maakt en configureert u de lokale netwerkgateways handmatig. De lokale netwerkgateway voor elke VNet behandelt de andere VNet als een lokale site. Hiermee kunt u extra adresruimten voor de lokale netwerkgateway opgeven om het verkeer te routeren. Als de adresruimte voor een VNet wordt gewijzigd, moet u de bijbehorende lokale netwerkgateway handmatig bijwerken.

VNet-peering

U kunt uw Vnet's ook verbinden met behulp van VNet-peering.

Waarom een VNet-met-VNet-verbinding maken?

U kunt omwille van de volgende redenen virtuele netwerken koppelen met een VNet-naar-VNet-verbinding:

Geografische redundantie en aanwezigheid tussen regio's

  • U kunt uw eigen geo-replicatie of synchronisatie met beveiligde connectiviteit instellen zonder gebruik te maken van internetgerichte eindpunten.
  • Met Azure Traffic Manager en Azure Load Balancer kunt u workloads met maximale beschikbaarheid instellen met behulp van geografische redundantie over meerdere Azure-regio's. U kunt bijvoorbeeld SQL Server AlwaysOn-beschikbaarheidsgroepen instellen voor meerdere Azure-regio's.

Regionale toepassingen met meerdere lagen met isolatie- of beheergrenzen

  • Binnen dezelfde regio kunt u vanwege isolatie- of beheervereisten toepassingen met meerdere lagen instellen met meerdere virtuele netwerken die met elkaar zijn verbonden.

VNet-naar-VNet-communicatie kan worden gecombineerd met configuraties voor meerdere locaties. Zoals u in het volgende diagram kunt zien, kunt u met dergelijke configuraties netwerktopologieën maken waarin cross-premises connectiviteit wordt gecombineerd met connectiviteit tussen virtuele netwerken:

Diagram van VNet-verbindingen.

In dit artikel leest u hoe u VNet's verbindt met behulp van het verbindingstype VNet-naar-VNet. Wanneer u deze stappen uitvoert als oefening, kunt u de volgende voorbeeldinstellingswaarden gebruiken. In het voorbeeld vallen de virtuele netwerken onder hetzelfde abonnement, maar behoren ze tot verschillende resourcegroepen. Als uw VNet's onder verschillende abonnementen vallen, kunt u de verbinding niet via de portal maken. Gebruik in plaats daarvan PowerShell of de CLI. Zie Veelgestelde vragen over VNet-naar-VNet voor meer informatie over VNet-naar-VNet-verbindingen.

Voorbeeldinstellingen

Waarden voor VNet1:

  • Virtuele-netwerkinstellingen

    • Naam: VNet1
    • Adresruimte: 10.1.0.0/16
    • Abonnement: Selecteer het abonnement dat u wilt gebruiken.
    • Resourcegroep: TestRG1
    • Locatie: VS - oost
    • Subnet
      • Naam: FrontEnd
      • Adresbereik: 10.1.0.0/24
  • Instellingen voor virtuele-netwerkgateway

    • Naam: VNet1GW
    • Resourcegroep: VS - oost
    • Generatie: Generatie 2
    • Gatewaytype: selecteer VPN.
    • VPN-type: selecteer Op route gebaseerd.
    • SKU: VpnGw2
    • Virtueel netwerk: VNet1
    • Adresbereik van gatewaysubnet: 10.1.255.0/27
    • Openbaar IP-adres: nieuw maken
    • Naam van openbaar IP-adres: VNet1GWpip
  • Verbinding

    • Naam: VNet1toVNet4
    • Gedeelde sleutel: u kunt de gedeelde sleutel zelf maken. Wanneer u de verbinding tussen de VNets maakt, moeten de waarden overeenkomen. Gebruik abc123 voor deze oefening.

Waarden voor VNet4:

  • Virtuele-netwerkinstellingen

    • Naam: VNet4
    • Adresruimte: 10.41.0.0/16
    • Abonnement: Selecteer het abonnement dat u wilt gebruiken.
    • Resourcegroep: TestRG4
    • Locatie: VS - west
    • Subnet
    • Naam: FrontEnd
    • Adresbereik: 10.41.0.0/24
  • Instellingen voor virtuele-netwerkgateway

    • Naam: VNet4GW
    • Resourcegroep: VS - west
    • Generatie: Generatie 2
    • Gatewaytype: selecteer VPN.
    • VPN-type: selecteer Op route gebaseerd.
    • SKU: VpnGw2
    • Virtueel netwerk: VNet4
    • Adresbereik van gatewaysubnet: 10.41.255.0/27
    • Openbaar IP-adres: nieuw maken
    • Naam van openbaar IP-adres: VNet4GWpip
  • Verbinding

    • Naam: VNet4toVNet1
    • Gedeelde sleutel: u kunt de gedeelde sleutel zelf maken. Wanneer u de verbinding tussen de VNets maakt, moeten de waarden overeenkomen. Gebruik abc123 voor deze oefening.

VNet1 maken en configureren

Als u al beschikt over een VNet, controleert u of de instellingen compatibel zijn met het ontwerp van de VPN-gateway. Let vooral op eventuele subnetten die met andere netwerken overlappen. Als u overlappende subnetten hebt, werkt de verbinding mogelijk niet goed.

Een virtueel netwerk maken

Notitie

Wanneer u een virtueel netwerk als onderdeel van een cross-premises-architectuur gebruikt, dient u eerst met uw on-premises netwerkbeheerder een IP-adresbereik te reserveren dat u specifiek voor dit virtuele netwerk kunt gebruiken. Als er een dubbel adresbereik bestaat aan beide zijden van de VPN-verbinding, wordt verkeer niet correct gerouteerd. Als u dit virtuele netwerk wilt verbinden met een ander virtueel netwerk, mogen de adresruimte en het andere virtuele netwerk elkaar daarnaast niet overlappen. Houd hier rekening mee als u uw netwerkconfiguratie gaan plannen.

  1. Meld u aan bij Azure Portal.

  2. Typ virtueel netwerk in Resources, service en documenten (G+/) zoeken. Selecteer Virtueel netwerk in de Marketplace-resultaten om de pagina Virtueel netwerk te openen.

    Schermopname van de resultaten van de Azure Portal zoekbalk en het selecteren van Virtual Network in Marketplace.

  3. Selecteer Maken op de pagina Virtueel netwerk. Hiermee opent u de pagina Virtueel netwerk maken .

  4. Configureer op het tabblad Basisinformatie de VNet-instellingen voor Projectdetails en Exemplaardetails. U ziet een groen vinkje wanneer de waarden die u invoert, zijn gevalideerd. De waarden die in het voorbeeld worden weergegeven, kunnen worden aangepast aan de instellingen die u nodig hebt.

    Schermopname van het tabblad Basisbeginselen.

    • Abonnement: controleer of het weergegeven abonnement het juiste is. U kunt abonnementen wijzigen met behulp van de vervolgkeuzelijst.
    • Resourcegroep: selecteer een bestaande resourcegroep of selecteer Nieuwe maken om een nieuwe te maken. Zie Overzicht van Azure Resource Manager voor meer informatie over resourcegroepen.
    • Naam: Voer de naam in van het virtuele netwerk.
    • Regio: selecteer de locatie voor uw VNet. De locatie bepaalt waar de resources die u naar dit VNet implementeert, zich bevinden.
  5. Selecteer IP-adressen om naar het tabblad IP-adressen te gaan. Configureer de instellingen op het tabblad IP-adressen .

    • IPv4-adresruimte: Standaard wordt er automatisch een adresruimte gemaakt. U kunt de adresruimte selecteren en deze aanpassen aan uw eigen waarden. U kunt ook meer adresruimten toevoegen door het vak onder de bestaande adresruimte te selecteren en de waarden voor de extra adresruimte op te geven. U kunt bijvoorbeeld het veld IPv4-adres wijzigen in 10.1.0.0/16 van de standaardwaarden die automatisch worden ingevuld.
    • + Subnet toevoegen: als u de standaardadresruimte gebruikt, wordt automatisch een standaardsubnet gemaakt. Als u de adresruimte wijzigt, moet u een subnet toevoegen. Selecteer + Subnet toevoegen om het venster Subnet toevoegen te openen. Configureer de volgende instellingen en selecteer vervolgens Toevoegen onderaan de pagina om de waarden toe te voegen.
      • Subnetnaam: Voorbeeld: FrontEnd.
      • Subnetadresbereik: Het adresbereik voor dit subnet. Bijvoorbeeld 10.1.0.0/24.
  6. Selecteer Beveiliging om naar het tabblad Beveiliging te gaan. Laat voor deze oefening de standaardwaarden staan.

    • BastionHost: Uitschakelen
    • DDoS Protection Standard: Uitschakelen
    • Firewall: uitschakelen
  7. Selecteer Beoordelen en maken om de instellingen voor het virtuele netwerk te valideren.

  8. Nadat de instellingen zijn gevalideerd, selecteert u Maken om het virtuele netwerk te maken.

De VNet1-gateway maken

In deze stap maakt u de virtuele netwerkgateway VNet. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU. Zie de voorbeeldinstellingen als u deze configuratie bij wijze van oefening maakt.

De virtuele netwerkgateway maakt gebruik van een specifiek subnet: het gatewaysubnet. Het gatewaysubnet maakt deel uit van het IP-adresbereik van het virtuele netwerk dat u opgeeft bij het configureren ervan. Het bevat de IP-adressen waarvan de resources en services van de virtuele netwerkgateway gebruikmaken.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. Hoeveel IP-adressen er nodig zijn, is afhankelijk van de configuratie van de VPN-gateway die u wilt maken. Sommige configuraties vereisen meer IP-adressen dan andere. We raden u aan om een gatewaysubnet te maken die gebruikmaakt van een /27 of /28.

Als u een fout ziet die aangeeft dat de adresruimte overlapt met een subnet of dat het subnet niet is opgenomen in de adresruimte voor uw virtuele netwerk, controleert u het VNet-adresbereik. U hebt mogelijk onvoldoende beschikbare IP-adressen in het adresbereik dat u voor het virtuele netwerk hebt gemaakt. Als uw standaardsubnet bijvoorbeeld het gehele adresbereik omvat, zijn er geen IP-adressen over om extra subnetten te maken. U kunt uw subnetten in de bestaande adresruimte aanpassen om IP-adressen vrij te maken of een aanvullend adresbereik opgeven en daar het gatewaysubnet maken.

De gateway van een virtueel netwerk maken

  1. In Resources, services en documenten (G+/) zoeken typt u virtuele netwerkgateway. Zoek Virtuele netwerkgateway in de zoekresultaten van Marketplace en selecteer deze om de pagina Virtuele netwerkgateway maken te openen.

    Schermopname van het veld Zoeken.

  2. Vul op het tabblad Basisinformatie de waarden in voor Projectdetails en Exemplaardetails.

    Schermopname van exemplaarvelden.

    • Abonnement: Selecteer in de vervolgkeuzelijst het abonnement dat u wilt gebruiken.
    • Resourcegroep: Deze instelling wordt automatisch ingevuld wanneer u het virtuele netwerk op deze pagina selecteert.
    • Naam: naam van uw gateway. Een naam opgeven voor een gateway is niet hetzelfde als een naam opgeven voor een gatewaysubnet. Hier gaat het om de naam van het gatewayobject dat u maakt.
    • Regio: Selecteer de regio waarin u deze resource wilt maken. De regio voor de gateway moet hetzelfde zijn als die voor het virtuele netwerk.
    • Gatewaytype: selecteer VPN. VPN-gateways maken gebruik van een gateway van het virtuele netwerk van het type VPN.
    • VPN-typeselecteer het VPN-type dat wordt opgegeven voor uw configuratie. De meeste configuraties vereisen een op route gebaseerd VPN-type.
    • SKU: selecteer de gateway-SKU die u wilt gebruiken in de vervolgkeuzelijst. Welke SKU's worden weergegeven in de vervolgkeuzelijst, is afhankelijk van het VPN-type dat u selecteert. Zorg ervoor dat u een SKU selecteert die ondersteuning biedt voor de functies die u wilt gebruiken. Zie Gateway-SKU's voor informatie over gateway-SKU's.
    • Generatie: selecteer de generatie die u wilt gebruiken. Zie Gateway-SKU's voor meer informatie.
    • Virtueel netwerk: Kies in de vervolgkeuzelijst het virtuele netwerk waaraan u deze gateway wilt toevoegen. Als u het VNet waarvoor u een gateway wilt maken niet ziet, controleert u of u in de vorige instellingen het juiste abonnement en de juiste regio hebt geselecteerd.
    • Adresbereik gatewaysubnet: Dit veld wordt alleen weergegeven als uw VNet geen gatewaysubnet heeft. U kunt het beste /27 of groter (/26,/25 enzovoort) opgeven. Hierdoor zijn er voldoende IP-adressen beschikbaar voor toekomstige wijzigingen, zoals het toevoegen van een ExpressRoute-gateway. Het maken van een bereik dat kleiner is dan /28 wordt afgeraden. Als u al een gatewaysubnet hebt, kunt u de gegevens van het gatewaysubnet weergeven door naar uw virtuele netwerk te navigeren. Selecteer Subnetten om het bereik weer te geven. Als u het bereik wilt wijzigen, kunt u het gatewaysubnet verwijderen en opnieuw maken.
  1. Geef op in de waarden voor Openbaar IP-adres. Met deze instellingen wordt het openbare IP-adresobject opgegeven dat aan de VPN-gateway wordt gekoppeld. Het openbare IP-adres wordt aan dit object toegewezen wanneer de VPN-gateway wordt gemaakt. Het openbare IP-adres verandert alleen wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet wanneer de grootte van uw VPN Gateway verandert, wanneer deze gateway opnieuw wordt ingesteld of wanneer andere interne onderhoudswerkzaamheden of upgrades worden uitgevoerd.

    Schermopname van het veld Openbaar IP-adres.

    • Type openbaar IP-adres: u kunt Basic of Standard kiezen.
    • Openbaar IP-adres: Laat Nieuwe maken geselecteerd.
    • Openbare IP-adresnaam: Typ in het tekstvak een naam voor het exemplaar van uw openbare IP-adres.
    • Openbare IP-adres-SKU: dit veld wordt bepaald door de waarde Type openbaar IP-adres .
    • Toewijzing: deze instelling is gebaseerd op de waarde type openbaar IP-adres .
    • Modus actief-actief inschakelen: selecteer Alleen modus actief-actief inschakelen als u een gatewayconfiguratie voor actief-actief maakt. Anders laat u deze instelling Uitgeschakeld.
    • Laat BGP configureren ingesteld Uitgeschakeld, tenzij dit voor uw configuratie-instelling nodig is. Als u deze instelling nodig hebt, is de standaard-ASN 65515, hoewel deze waarde kan worden gewijzigd.
  2. Selecteer Beoordelen en maken om de validatie uit te voeren.

  3. Wanneer de validatie is geslaagd, selecteert u Maken om de VPN-gateway te implementeren.

U kunt de implementatiestatus bekijken op de overzichtspagina van uw gateway. Het kan 45 minuten of langer duren voordat een gateway volledig is gemaakt en geïmplementeerd. Nadat de gateway is aangemaakt, kunt u het IP-adres dat eraan is toegewezen bekijken door naar het virtuele netwerk in de portal te kijken. De gateway wordt weergegeven als verbonden apparaat.

Belangrijk

Als u met gatewaysubnetten werkt, vermijd dan om een netwerkbeveiligingsgroep (NSG) te koppelen aan het gatewaysubnet. Het koppelen van een netwerkbeveiligingsgroep aan dit subnet kan ertoe leiden dat uw virtuele netwerkgateway (VPN- en ExpressRoute-gateways) niet meer werkt zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.

VNet4 maken en configureren

Nadat u VNet1 hebt geconfigureerd, maakt u VNet4 en de VNet4-gateway door de vorige stappen te herhalen en de waarden te vervangen door VNet4-waarden. U hoeft niet te wachten totdat de virtuele netwerkgateway voor VNet1 is gemaakt voordat u VNet4 configureert. Als u uw eigen waarden gebruikt, mogen de adresruimten niet overlappen met een van de VNet's waarmee u verbinding wilt maken.

De VNet1-gatewayverbinding configureren

Wanneer de virtuele netwerkgateways voor zowel VNet1 als VNet4 zijn voltooid, kunt u uw virtuele netwerkgatewayverbindingen maken. In deze sectie maakt u een verbinding tussen VNet1 en VNet4. VNets in hetzelfde abonnement kunnen worden verbonden via de portal, zelfs als ze zich in verschillende resourcegroepen bevinden. Als uw VNets zich echter in verschillende abonnementen bevinden, moet u PowerShell gebruiken om de verbindingen tot stand te brengen.

  1. Ga in de portal naar de gateway van uw virtuele netwerk. Bijvoorbeeld VNet1GW.

  2. Ga op de pagina virtuele netwerkgateway naar Verbindingen. Selecteer +Toevoegen.

    Schermopname van de pagina Verbindingen.

  3. Vul op de pagina Verbinding toevoegen de verbindingswaarden in.

    Schermopname van de pagina Verbinding toevoegen.

    • Naam: voer een naam in voor de verbinding. Bijvoorbeeld VNet1toVNet4.

    • Verbindingstype: selecteer VNet-naar-VNet in de vervolgkeuzelijst.

    • Eerste virtuele netwerkgateway: deze veldwaarde wordt automatisch ingevuld omdat u deze verbinding maakt vanaf de opgegeven gateway van het virtuele netwerk.

    • Tweede virtuele netwerkgateway: dit veld is de virtuele netwerkgateway van het VNet waarmee u een verbinding wilt maken. Selecteer Een andere virtuele netwerkgateway kiezen om de pagina Virtuele netwerkgateway kiezen te openen.

      Schermopname van de pagina Een virtuele netwerkgateway kiezen met een andere gateway geselecteerd.

      • Bekijk de virtuele netwerkgateways die op deze pagina worden vermeld. U ziet dat er alleen virtuele netwerkgateways worden vermeld die binnen uw abonnement vallen. Als u verbinding wilt maken met een virtuele netwerkgateway die geen deel uitmaakt van uw abonnement, gebruikt u PowerShell.

      • Selecteer de virtuele netwerkgateway waarmee u verbinding wilt maken.

    • Gedeelde sleutel (PSK): voer in dit veld een gedeelde sleutel in voor uw verbinding. U kunt deze sleutel ook zelf maken of genereren. In een verbinding tussen sites is de sleutel gelijk aan de sleutel voor het on-premises apparaat en uw virtuele netwerkgatewayverbinding. Het concept is hier vergelijkbaar, maar in plaats van een verbinding te maken met een VPN-apparaat, maakt u verbinding met een andere virtuele netwerkgateway.

  4. Selecteer OK om uw wijzigingen op te slaan.

De VNet4-gatewayverbinding configureren

Maak vervolgens een verbinding van VNet4 naar VNet1. Zoek in de portal de virtuele netwerkgateway die is gekoppeld aan VNet4. Volg de stappen uit de vorige sectie, waarbij u de waarden vervangt om een verbinding te maken van VNet4 naar VNet1. Zorg ervoor dat u dezelfde gedeelde sleutel gebruikt.

Controleer uw verbindingen

  1. Zoek de virtuele netwerkgateway in Azure Portal.

  2. Selecteer Verbindingen op de pagina Virtuele netwerkgateway om de pagina Verbindingen weer te geven voor de virtuele netwerkgateway. Nadat de verbinding tot stand is gebracht, ziet u dat de statuswaarden worden gewijzigd in Verbonden.

    Schermopname van de pagina Verbindingen om de verbindingen te verifiëren.

  3. Selecteer onder de kolom Naam een van de verbindingen om meer informatie weer te geven. Wanneer de gegevensstromen op gang komen, ziet u waarden voor Inkomende gegevens en Uitgaande gegevens.

    Schermopname van een resourcegroep met waarden voor Gegevens in en Gegevens uit.

Extra verbindingen toevoegen

Als u extra verbindingen wilt toevoegen, gaat u naar de virtuele netwerkgateway waarvoor u de verbinding wilt maken en selecteert u Verbindingen. U kunt een andere VNet-naar-VNet-verbinding maken, of een site-naar-site-verbinding (IPsec) met een on-premises locatie. Stel Verbindingstype in op het gewenste type voor de verbinding die u wilt maken. Controleer voordat u extra verbindingen maakt of de adresruimte voor het virtuele netwerk niet overlapt met een van de adresruimten waarmee u verbinding wilt maken. Zie Een site-naar-site-verbinding maken voor stappen voor het maken van een site-naar-site-verbinding.

Veelgestelde vragen over VNet-naar-VNet

Zie de veelgestelde VPN Gateway veelgestelde vragen over VNet-naar-VNet.

Volgende stappen