Een VPN-gatewayverbinding tussen VNets configureren - Azure Portal

Dit artikel helpt u bij het verbinden van virtuele netwerken (VNets) met behulp van het VNet-naar-VNet-verbindingstype met behulp van Azure Portal. De virtuele netwerken kunnen zich in verschillende regio's en vanuit verschillende abonnementen bevinden. Wanneer u VNets van verschillende abonnementen verbindt, hoeven de abonnementen niet aan dezelfde tenant te zijn gekoppeld. Met dit type configuratie maakt u een verbinding tussen twee virtuele netwerkgateways. Dit artikel is niet van toepassing op VNet-peering. Zie het artikel Virtual Network-peering voor VNet-peering .

U kunt deze configuratie maken met behulp van verschillende hulpprogramma's, afhankelijk van het implementatiemodel van uw VNet. De stappen in dit artikel zijn van toepassing op het Azure Resource Manager-implementatiemodel en de Azure-portal. Gebruik de vervolgkeuzelijst om over te schakelen naar een ander implementatiemodel of een ander artikel over de implementatiemethode.

• Azure-portal
• PowerShell
• Azure-CLI

Over het verbinden van VNet's

In de volgende secties worden de verschillende manieren voor het koppelen van virtuele netwerken beschreven.

VNet-naar-VNet

Het configureren van een VNet-naar-VNet-verbinding is een eenvoudige manier om VNet's te koppelen. Het verbinden van een virtueel netwerk met een ander virtueel netwerk met behulp van het verbindingstype VNet-naar-VNet (VNet2VNet) is vergelijkbaar met het maken van een site-naar-site-IPsec-verbinding met een on-premises locatie. Voor beide verbindingstypen wordt een VPN-gateway gebruikt om een beveiligde tunnel met IPsec/IKE te bieden en beide typen werken tijdens het communiceren op dezelfde manier. Het verschil zit hem in de configuratie van de lokale netwerkgateway.

Als u een VNet-naar-VNet-verbinding maakt, wordt de adresruimte voor de lokale netwerkgateway automatisch gemaakt en gevuld. Wanneer u de adresruimte voor een VNet bijwerkt, wordt de route naar de bijgewerkte adresruimte automatisch ingesteld voor het andere VNet. Het maken van een VNet-naar-VNet-verbinding gaat meestal sneller en makkelijker dan het maken van een site-naar-site-verbinding. De lokale netwerkgateway is echter niet zichtbaar in deze configuratie.

• Als u weet dat u meer adresruimten voor de lokale netwerkgateway wilt opgeven of later meer verbindingen wilt toevoegen en de lokale netwerkgateway wilt aanpassen, moet u de configuratie maken met behulp van de stappen voor site-naar-site.
• De VNet-naar-VNet-verbinding bevat geen adresruimte voor punt-naar-site-clientgroepen. Als u transitieve routering nodig hebt voor punt-naar-site-clients, maakt u een site-naar-site-verbinding tussen de gateways van het virtuele netwerk of gebruikt u VNet-peering.

Site-naar-site (IPsec)

Als u met een gecompliceerde netwerkconfiguratie werkt, kunt u uw VNets beter verbinden met behulp van een site-naar-site-verbinding . Als u de stappen voor site-naar-site-IPsec volgt, maakt en configureert u de lokale netwerkgateways handmatig. De lokale netwerkgateway voor elke VNet behandelt de andere VNet als een lokale site. Met deze stappen kunt u meer adresruimten opgeven voor de lokale netwerkgateway om verkeer te routeren. Als de adresruimte voor een VNet wordt gewijzigd, moet u de bijbehorende lokale netwerkgateway handmatig bijwerken.

VNet-peering

U kunt uw Vnet's ook verbinden met behulp van VNet-peering.

• Bij VNET-peering wordt geen VPN-gateway gebruikt en er gelden diverse beperkingen voor.
• Prijzen voor VNet-peering worden anders berekend dan de prijzen van VNet-naar-VNet VPN Gateway.
• Zie het artikel Virtual Network-peering voor meer informatie over VNet-peering .

Waarom een VNet-met-VNet-verbinding maken?

Mogelijk wilt u virtuele netwerken verbinden met behulp van een VNet-naar-VNet-verbinding om de volgende redenen:

Geografische redundantie en aanwezigheid tussen regio's

• U kunt uw eigen geo-replicatie of synchronisatie met beveiligde connectiviteit instellen zonder gebruik te maken van internetgerichte eindpunten.
• Met Azure Traffic Manager en Azure Load Balancer kunt u workloads met maximale beschikbaarheid instellen met behulp van geografische redundantie over meerdere Azure-regio's. U kunt bijvoorbeeld SQL Server AlwaysOn-beschikbaarheidsgroepen instellen voor meerdere Azure-regio's.

Regionale toepassingen met meerdere lagen met isolatie- of beheergrenzen

• Binnen dezelfde regio kunt u vanwege isolatie- of beheervereisten toepassingen met meerdere lagen instellen met meerdere virtuele netwerken die met elkaar zijn verbonden.

VNet-naar-VNet-communicatie kan worden gecombineerd met configuraties voor meerdere locaties. Met deze configuraties kunt u netwerktopologieën maken die cross-premises connectiviteit combineren met connectiviteit tussen virtuele netwerken, zoals wordt weergegeven in het volgende diagram:

In dit artikel leest u hoe u VNet's verbindt met behulp van het verbindingstype VNet-naar-VNet. Wanneer u deze stappen uitvoert als oefening, kunt u de volgende voorbeeldinstellingswaarden gebruiken. In het voorbeeld vallen de virtuele netwerken onder hetzelfde abonnement, maar behoren ze tot verschillende resourcegroepen. Als uw VNet's onder verschillende abonnementen vallen, kunt u de verbinding niet via de portal maken. Gebruik in plaats daarvan PowerShell of de CLI. Zie Veelgestelde vragen over VNet-naar-VNet voor meer informatie over VNet-naar-VNet-verbindingen.

Voorbeeldinstellingen

Waarden voor VNet1:

• Virtuele-netwerkinstellingen

  • Naam: VNet1
  • Adresruimte: 10.1.0.0/16
  • Abonnement: selecteer het abonnement dat u wilt gebruiken.
  • Resourcegroep: TestRG1
  • Locatie: VS - oost
  • Subnet
    • Naam: FrontEnd
    • Adresbereik: 10.1.0.0/24

• Instellingen voor virtuele-netwerkgateway

  • Naam: VNet1GW
  • Resourcegroep: VS - oost
  • Generatie: Generatie 2
  • Gatewaytype: selecteer VPN.
  • VPN-type: selecteer routegebaserd.
  • SKU: VpnGw2
  • Generatie: Generation2
  • Virtueel netwerk: VNet1
  • Adresbereik van gatewaysubnet: 10.1.255.0/27
  • Openbaar IP-adres: nieuwe maken
  • Openbare IP-adresnaam: VNet1GWpip
  • Actief-actiefmodus inschakelen: Uitgeschakeld
  • BGP configureren: uitgeschakeld

• Verbinding

  • Naam: VNet1toVNet4
  • Gedeelde sleutel: U kunt de gedeelde sleutel zelf maken. Wanneer u de verbinding tussen de VNets maakt, moeten de waarden overeenkomen. Gebruik abc123 voor deze oefening.

Waarden voor VNet4:

• Virtuele-netwerkinstellingen

  • Naam: VNet4
  • Adresruimte: 10.41.0.0/16
  • Abonnement: selecteer het abonnement dat u wilt gebruiken.
  • Resourcegroep: TestRG4
  • Locatie: VS - west
  • Subnet
  • Naam: FrontEnd
  • Adresbereik: 10.41.0.0/24

• Instellingen voor virtuele-netwerkgateway

  • Naam: VNet4GW
  • Resourcegroep: VS - west
  • Generatie: Generatie 2
  • Gatewaytype: selecteer VPN.
  • VPN-type: selecteer routegebaserd.
  • SKU: VpnGw2
  • Generatie: Generation2
  • Virtueel netwerk: VNet4
  • Adresbereik van gatewaysubnet: 10.41.255.0/27
  • Openbaar IP-adres: nieuwe maken
  • Naam van openbaar IP-adres: VNet4GWpip
  • Actief-actiefmodus inschakelen: Uitgeschakeld
  • BGP configureren: uitgeschakeld

• Verbinding

  • Naam: VNet4toVNet1
  • Gedeelde sleutel: U kunt de gedeelde sleutel zelf maken. Wanneer u de verbinding tussen de VNets maakt, moeten de waarden overeenkomen. Gebruik abc123 voor deze oefening.

VNet1 maken en configureren

Als u al beschikt over een VNet, controleert u of de instellingen compatibel zijn met het ontwerp van de VPN-gateway. Let met name op subnetten die mogelijk overlappen met andere netwerken. Als u overlappende subnetten hebt, werkt de verbinding mogelijk niet goed.

Een virtueel netwerk maken

Notitie

Wanneer u een virtueel netwerk gebruikt als onderdeel van een cross-premises architectuur, moet u contact opnemen met uw on-premises netwerkbeheerder om een IP-adresbereik te maken dat u specifiek voor dit virtuele netwerk kunt gebruiken. Als er een dubbel adresbereik bestaat aan beide zijden van de VPN-verbinding, wordt verkeer niet correct gerouteerd. Als u dit virtuele netwerk wilt verbinden met een ander virtueel netwerk, kan de adresruimte niet overlappen met het andere virtuele netwerk. Houd hier rekening mee als u uw netwerkconfiguratie gaan plannen.

1. Meld u aan bij de Azure-portal.

2. Voer in Zoekbronnen, service en documenten (G+/) boven aan de portalpagina het virtuele netwerk in. Selecteer Virtueel netwerk in de zoekresultaten van Marketplace om de pagina Virtueel netwerk te openen.

3. Selecteer Maken op de pagina Virtueel netwerk om de pagina Virtueel netwerk maken te openen.

4. Configureer op het tabblad Basis de instellingen van het virtuele netwerk voor projectdetails en instantiedetails. U ziet een groen vinkje wanneer de waarden die u invoert, worden gevalideerd. U kunt de waarden in het voorbeeld aanpassen op basis van de instellingen die u nodig hebt.

   

   • Abonnement: controleer of het weergegeven abonnement het juiste is. U kunt abonnementen wijzigen met behulp van de vervolgkeuzelijst.
   • Resourcegroep: Selecteer een bestaande resourcegroep of selecteer Nieuwe maken om een nieuwe te maken. Zie Overzicht van Azure Resource Manager voor meer informatie over resourcegroepen.
   • Naam: geef de naam op voor het virtuele netwerk.
   • Regio: Selecteer de locatie voor uw virtuele netwerk. De locatie bepaalt waar de resources die u in dit virtuele netwerk implementeert, zich bevinden.

5. Selecteer Volgende of Beveiliging om naar het tabblad Beveiliging te gaan. Laat voor deze oefening de standaardwaarden voor alle services op deze pagina staan.

6. Selecteer IP-adressen om naar het tabblad IP-adressen te gaan. Configureer de instellingen op het tabblad IP-adressen .

   • IPv4-adresruimte: standaard wordt er automatisch een adresruimte gemaakt. U kunt de adresruimte selecteren en deze aanpassen om uw eigen waarden weer te geven. U kunt ook een andere adresruimte toevoegen en de standaardwaarde verwijderen die automatisch is gemaakt. U kunt bijvoorbeeld het beginadres opgeven als 10.1.0.0 en de adresruimtegrootte opgeven als /16. Selecteer Vervolgens Toevoegen om die adresruimte toe te voegen.

   • + Subnet toevoegen: Als u de standaardadresruimte gebruikt, wordt automatisch een standaardsubnet gemaakt. Als u de adresruimte wijzigt, voegt u een nieuw subnet toe binnen die adresruimte. Selecteer + Subnet toevoegen om het venster Subnet toevoegen te openen. Configureer de volgende instellingen en selecteer vervolgens Toevoegen onder aan de pagina om de waarden toe te voegen.

     • Subnetnaam: Een voorbeeld is FrontEnd.
     • Subnetadresbereik: Het adresbereik voor dit subnet. Voorbeelden zijn 10.1.0.0 en /24.

7. Controleer de pagina IP-adressen en verwijder eventuele adresruimten of subnetten die u niet nodig hebt.

8. Selecteer Beoordelen en maken om de instellingen voor het virtuele netwerk te valideren.

9. Nadat de instellingen zijn gevalideerd, selecteert u Maken om het virtuele netwerk te maken.

De VNet1-gateway maken

In deze stap maakt u de virtuele netwerkgateway VNet. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU. Zie Prijzen voor gateway-SKU's. Zie de voorbeeldinstellingen als u deze configuratie bij wijze van oefening maakt.

Voor de virtuele netwerkgateway is een specifiek subnet met de naam GatewaySubnet vereist. Het gatewaysubnet maakt deel uit van het IP-adresbereik voor uw virtuele netwerk en bevat de IP-adressen die door de resources en services van de virtuele netwerkgateway worden gebruikt.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. Hoeveel IP-adressen er nodig zijn, is afhankelijk van de configuratie van de VPN-gateway die u wilt maken. Sommige configuraties vereisen meer IP-adressen dan andere. U kunt het beste /27 of groter (/26, /25, enzovoort) opgeven voor uw gatewaysubnet.

Als er een fout wordt weergegeven waarin wordt aangegeven dat de adresruimte overlapt met een subnet of dat het subnet zich niet in de adresruimte voor uw virtuele netwerk bevindt, controleert u het adresbereik van het virtuele netwerk. Mogelijk hebt u niet voldoende IP-adressen beschikbaar in het adresbereik dat u voor uw virtuele netwerk hebt gemaakt. Als uw standaardsubnet bijvoorbeeld het hele adresbereik omvat, zijn er geen IP-adressen meer subnetten te maken. U kunt uw subnetten in de bestaande adresruimte aanpassen om IP-adressen vrij te maken of een ander adresbereik opgeven en daar het gatewaysubnet maken.

De gateway van een virtueel netwerk maken

1. Voer in Zoekbronnen, -services en -documenten (G+/) de gateway van het virtuele netwerk in. Zoek virtuele netwerkgateway in de zoekresultaten van Marketplace en selecteer deze om de pagina Gateway van het virtuele netwerk maken te openen.

   

2. Vul op het tabblad Basisinformatie de waarden in voor projectdetails en instantiedetails.

   

   • Abonnement: Selecteer het abonnement dat u wilt gebruiken in de vervolgkeuzelijst.

   • Resourcegroep: Deze instelling wordt automatisch ingevuld wanneer u uw virtuele netwerk op deze pagina selecteert.

   • Naam: naam van uw gateway. De naam van uw gateway is niet hetzelfde als het benoemen van een gatewaysubnet. Hier gaat het om de naam van het gatewayobject dat u maakt.

   • Regio: Selecteer de regio waarin u deze resource wilt maken. De regio voor de gateway moet hetzelfde zijn als die voor het virtuele netwerk.

   • Gatewaytype: selecteer VPN. VPN-gateways maken gebruik van een gateway van het virtuele netwerk van het type VPN.

   • SKU: Selecteer in de vervolgkeuzelijst de gateway-SKU die ondersteuning biedt voor de functies die u wilt gebruiken. Zie Gateway-SKU's. In de portal zijn de SKU's die beschikbaar zijn in de vervolgkeuzelijst, afhankelijk van de VPN type door u geselecteerde SKU's. De Basic-SKU kan alleen worden geconfigureerd met behulp van Azure CLI of PowerShell. U kunt de Basic-SKU niet configureren in Azure Portal.

   • Generatie: selecteer de generatie die u wilt gebruiken. U wordt aangeraden een Generation2-SKU te gebruiken. Zie Gateway-SKU's voor meer informatie.

   • Virtueel netwerk: Selecteer in de vervolgkeuzelijst het virtuele netwerk waaraan u deze gateway wilt toevoegen. Als u het virtuele netwerk waarvoor u een gateway wilt maken niet ziet, controleert u of u het juiste abonnement en de juiste regio hebt geselecteerd in de vorige instellingen.

   • Gatewaysubnetadresbereik of subnet: het gatewaysubnet is vereist om een VPN-gateway te maken.

     Op dit moment heeft dit veld een aantal verschillende gedragingen, afhankelijk van de adresruimte van het virtuele netwerk en of u al een subnet met de naam GatewaySubnet voor uw virtuele netwerk hebt gemaakt.

     Als u geen gatewaysubnet hebt en u geen optie ziet om er een te maken op deze pagina, gaat u terug naar uw virtuele netwerk en maakt u het gatewaysubnet. Ga vervolgens terug naar deze pagina en configureer de VPN-gateway.

3. Geef de waarden op voor het openbare IP-adres. Met deze instellingen geeft u het openbare IP-adresobject op dat wordt gekoppeld aan de VPN-gateway. Het openbare IP-adres wordt toegewezen aan dit object wanneer de VPN-gateway wordt gemaakt. De enige keer dat het primaire openbare IP-adres wordt gewijzigd, is wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet wanneer de grootte van uw VPN Gateway verandert, wanneer deze gateway opnieuw wordt ingesteld of wanneer andere interne onderhoudswerkzaamheden of upgrades worden uitgevoerd.

   

   • Type openbaar IP-adres: als u voor deze oefening de optie hebt om het adrestype te kiezen, selecteert u Standard.
   • Openbaar IP-adres: Laat Nieuwe maken geselecteerd.
   • Naam van openbaar IP-adres: Voer in het tekstvak een naam in voor uw exemplaar van het openbare IP-adres.
   • Openbare IP-adres-SKU: Instelling wordt automatisch geselecteerd.
   • Toewijzing: De toewijzing wordt doorgaans automatisch geselecteerd en kan dynamisch of statisch zijn.
   • Actief-actiefmodus inschakelen: Selecteer Uitgeschakeld. Schakel deze instelling alleen in als u een actief-actief-gatewayconfiguratie maakt.
   • BGP configureren: Selecteer Uitgeschakeld, tenzij voor uw configuratie specifiek deze instelling is vereist. Als u deze instelling wel nodig hebt, is de standaard-ASN 65515, hoewel deze waarde kan worden gewijzigd.

4. Selecteer Beoordelen en maken om de validatie uit te voeren.

5. Nadat de validatie is geslaagd, selecteert u Maken om de VPN-gateway te implementeren.

U kunt de implementatiestatus bekijken op de overzichtspagina van uw gateway. Het kan 45 minuten of langer duren voordat een gateway volledig is gemaakt en geïmplementeerd. Nadat de gateway is aangemaakt, kunt u het IP-adres dat eraan is toegewezen bekijken door naar het virtuele netwerk in de portal te kijken. De gateway wordt weergegeven als verbonden apparaat.

Belangrijk

Wanneer u met gatewaysubnetten werkt, moet u voorkomen dat u een netwerkbeveiligingsgroep (NSG) koppelt aan het gatewaysubnet. Als u een netwerkbeveiligingsgroep koppelt aan dit subnet, werkt uw virtuele netwerkgateway (VPN en ExpressRoute-gateways) mogelijk niet meer zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.

VNet4 maken en configureren

Nadat u VNet1 hebt geconfigureerd, maakt u VNet4 en de VNet4-gateway door de vorige stappen te herhalen en de waarden te vervangen door VNet4-waarden. U hoeft niet te wachten totdat de gateway van het virtuele netwerk voor VNet1 is gemaakt voordat u VNet4 configureert. Als u uw eigen waarden gebruikt, mogen de adresruimten niet overlappen met een van de VNet's waarmee u verbinding wilt maken.

Uw verbindingen configureren

Wanneer de VPN-gateways voor zowel VNet1 als VNet4 zijn voltooid, kunt u uw virtuele netwerkgatewayverbindingen maken.

VNets in hetzelfde abonnement kunnen worden verbonden via de portal, zelfs als ze zich in verschillende resourcegroepen bevinden. Als uw VNets zich echter in verschillende abonnementen bevinden, moet u PowerShell gebruiken om de verbindingen te maken.

U kunt een tweerichtingsverbinding of een verbinding met één richting maken. Voor deze oefening geven we een bidirectionele verbinding op. De tweerichtingsverbindingswaarde maakt twee afzonderlijke verbindingen, zodat verkeer in beide richtingen kan stromen.

1. Ga in de portal naar VNet1GW.

2. Ga op de pagina van de gateway van het virtuele netwerk naar Verbinding maken ions. Selecteer +Toevoegen.

   

3. Vul op de pagina Verbinding maken de verbindingswaarden in.

   

   • Verbinding maken iontype: Selecteer VNet-naar-VNet in de vervolgkeuzelijst.
   • Bidirectionele connectiviteit tot stand brengen: selecteer deze waarde
   • Voornaam van verbinding: VNet1-naar-VNet4
   • Tweede verbindingsnaam: VNet4-naar-VNet1
   • Regio: VS - oost (de regio voor VNet1GW)

4. Klik op Volgende: Instellingen > onder aan de pagina om naar de Instellingen pagina te gaan.

5. Geef op de pagina Instellingen de volgende waarden op:

   • Eerste virtuele netwerkgateway: selecteer VNet1GW in de vervolgkeuzelijst.
   • Tweede virtuele netwerkgateway: selecteer VNet4GW in de vervolgkeuzelijst.
   • Gedeelde sleutel (PSK): Voer in dit veld een gedeelde sleutel in voor uw verbinding. U kunt deze sleutel ook zelf maken of genereren. In een verbinding tussen sites is de sleutel gelijk aan de sleutel voor het on-premises apparaat en uw virtuele netwerkgatewayverbinding. Het concept is hier vergelijkbaar, maar in plaats van een verbinding te maken met een VPN-apparaat, maakt u verbinding met een andere virtuele netwerkgateway.
   • IKE-protocol: IKEv2

6. Voor deze oefening kunt u de rest van de instellingen laten staan als standaardwaarden.

7. Selecteer Beoordelen en maken en vervolgens Maken om uw verbindingen te valideren en te maken.

Uw verbindingen controleren

1. Zoek de virtuele netwerkgateway in Azure Portal. Bijvoorbeeld VNet1GW

2. Selecteer Verbindingen op de pagina Virtuele netwerkgateway om de pagina Verbindingen weer te geven voor de virtuele netwerkgateway. Nadat de verbinding tot stand is gebracht, worden de statuswaarden gewijzigd in Verbinding maken ed.

   

3. Selecteer onder de kolom Naam een van de verbindingen om meer informatie weer te geven. Wanneer de gegevensstromen op gang komen, ziet u waarden voor Inkomende gegevens en Uitgaande gegevens.

   

Meer verbindingen toevoegen

Als u meer verbindingen wilt toevoegen, gaat u naar de gateway van het virtuele netwerk waaruit u de verbinding wilt maken en selecteert u Verbinding maken ions. U kunt een andere VNet-naar-VNet-verbinding maken, of een site-naar-site-verbinding (IPsec) met een on-premises locatie. Stel Verbindingstype in op het gewenste type voor de verbinding die u wilt maken. Voordat u meer verbindingen maakt, controleert u of de adresruimte voor uw virtuele netwerk niet overlapt met een van de adresruimten waarmee u verbinding wilt maken. Zie Een site-naar-site-verbinding maken voor stappen voor het maken van een site-naar-site-verbinding.

Veelgestelde vragen over VNet-naar-VNet

Zie de veelgestelde vragen over VPN Gateway voor veelgestelde vragen over VNet-naar-VNet.

Volgende stappen

• Zie Netwerkbeveiliging voor informatie over het beperken van netwerkverkeer tot resources in een virtueel netwerk.

• Zie Routering van verkeer in virtuele netwerken voor informatie over hoe Azure verkeer routeert tussen Azure-resources, on-premises resources en resources op internet.