Veelgestelde vragen VPN-gateways

Verbinding maken met virtuele netwerken

Kan ik virtuele netwerken in verschillende Azure-regio's verbinden?

Ja. Er is geen regiobeperking. Een virtueel netwerk kan verbinding maken met een ander virtueel netwerk in dezelfde regio of in een andere Azure-regio.

Kan ik virtuele netwerken uit verschillende abonnementen verbinden?

Ja.

Kan ik privé-DNS-servers in mijn VNet opgeven bij het configureren van een VPN-gateway?

Als u tijdens het maken van uw VNet een DNS-server of -servers hebt opgegeven, gebruikt VPN Gateway de DNS-servers die u hebt opgegeven. Als u een DNS-server opgeeft, controleert u of uw DNS-server de domeinnamen kan omzetten die nodig zijn voor Azure.

Kan ik vanuit één virtueel netwerk verbinding maken met meerdere sites?

U kunt verbinding maken met meerdere sites met behulp van Windows PowerShell en de REST-API's van Azure. Raadpleeg de sectie Veelgestelde vragen bij Multi-site- en VNet-naar-VNet-connectiviteit.

Zijn er extra kosten voor het instellen van een VPN-gateway als actief-actief?

Nee.

Wat zijn de opties voor cross-premises-verbinding?

De volgende cross-premises virtuele netwerkgatewayverbindingen worden ondersteund:

  • Site-naar-site: VPN-verbinding via IPsec (IKE v1 en IKE v2). Voor dit type verbinding is een VPN-apparaat of RRAS vereist. Zie Site-naar-site voor meer informatie.
  • Punt-naar-site: VPN-verbinding via SSTP (Secure Socket Tunneling Protocol) of IKE v2. Voor deze verbinding is geen VPN-apparaat vereist. Zie Punt-naar-site voor meer informatie.
  • VNet-naar-VNet: Dit type verbinding is hetzelfde als een site-naar-site-configuratie. VNet-naar-VNet is een VPN-verbinding via IPsec (IKE v1 en IKE v2). Hiervoor is geen VPN-apparaat vereist. Zie VNet-naar-VNet voor meer informatie.
  • Meerdere sites: Dit is een variant van een site-naar-site-configuratie waarmee u meerdere on-premises sites kunt verbinden met een virtueel netwerk. Zie Multi-site voor meer informatie.
  • ExpressRoute: ExpressRoute is een privéverbinding met Azure vanaf uw WAN, geen VPN-verbinding via het openbare internet. Raadpleeg het Technisch overzicht van ExpressRoute en de Veelgestelde vragen over ExpressRoute voor meer informatie.

Zie Over VPN Gateway voor meer informatie over VPN Gateway verbindingen.

Wat is het verschil tussen een site-naar-site-verbinding en punt-naar-site?

Site-naar-site-configuraties (IPsec/IKE VPN-tunnel) bevinden zich tussen uw on-premises locatie en Azure. Dit betekent dat u vanaf elke computer op uw locatie verbinding kunt maken met elke virtuele machine of rolinstantie binnen uw virtuele netwerk, afhankelijk van hoe u routering en machtigingen wilt configureren. Het is een geweldige optie voor een altijd beschikbare cross-premises verbinding en is zeer geschikt voor hybride configuraties. Dit type verbinding is afhankelijk van een IPsec-VPN-apparaat (hardwareapparaat of software) dat aan de rand van uw netwerk moet worden geïmplementeerd. Als u dit type verbinding wilt maken, moet u een extern gericht IPv4-adres hebben.

Met punt-naar-site-configuraties (VPN via SSTP) kunt u vanaf één computer vanaf elke locatie verbinding maken met alles in uw virtuele netwerk. Hiervoor wordt de met Windows meegeleverde VPN-client gebruikt. Als onderdeel van de punt-naar-site-configuratie installeert u een certificaat en een VPN-clientconfiguratiepakket, dat de instellingen bevat waarmee uw computer verbinding kan maken met elke virtuele machine of rolinstantie in het virtuele netwerk. Het is ideaal wanneer u verbinding wilt maken met een virtueel netwerk maar u zich niet on-premises bevindt. Het is ook een goede optie wanneer u geen toegang hebt tot VPN-hardware of een extern gericht IPv4-adres. Beide zijn vereist voor een site-naar-site-verbinding.

U kunt uw virtuele netwerk configureren om zowel site-naar-site als punt-naar-site gelijktijdig te gebruiken, zolang u de site-naar-site-verbinding maakt met behulp van een op route gebaseerd VPN-type voor uw gateway. Op route gebaseerde VPN-typen worden in het klassieke implementatiemodel dynamische gateways genoemd.

Privacy

Worden klantgegevens opgeslagen of verwerkt de VPN-service?

Nee.

Virtuele netwerkgateways

Is een VPN-gateway een virtuele netwerkgateway?

Een VPN-gateway is een type virtuele netwerkgateway. Een VPN-gateway verzendt via een openbare verbinding versleuteld verkeer tussen uw virtuele netwerk en uw on-premises locatie. U kunt ook een VPN-gateway gebruiken om verkeer te verzenden tussen virtuele netwerken. Wanneer u een VPN-gateway maakt, kunt u de waarde -GatewayType-waarde Vpn gebruiken. Zie Informatie over VPN-gatewayconfiguratie-instellingen voor meer informatie.

Wat is een op beleid gebaseerde gateway (statische routering)?

Op beleid gebaseerde gateways implementeren op beleid gebaseerde VPN's. Op beleid gebaseerde VPN-verbindingen versleutelen pakketten en versturen deze op basis van de combinaties van adresvoorvoegsels tussen uw on-premises netwerk en het Azure-VNET. Het beleid (of de verkeersselector) wordt gewoonlijk gedefinieerd als een toegangslijst in de VPN-configuratie.

Wat is een op route gebaseerde gateway (dynamische routering)?

Op route gebaseerde gateways implementeren op route gebaseerde VPN's. VPN-verbindingen op basis van een route gebruiken "routes" in de IP-doorstuurtabel of routeringstabel om pakketten naar de bijbehorende tunnelinterfaces te sturen. De tunnelinterfaces versleutelen of ontsleutelen de pakketten vervolgens naar en vanuit de tunnels. Het beleid of de verkeersselectors voor op route gebaseerde VPN's zijn geconfigureerd als any-to-any (of jokertekens).

Kan ik mijn eigen op beleid gebaseerde verkeersselectors opgeven?

Ja, verkeerkiezers kunnen worden gedefinieerd via het kenmerk trafficSelectorPolicies voor een verbinding via de PowerShell-opdracht New-AzIpsecTrafficSelectorPolicy . Zorg ervoor dat de optie Op beleid gebaseerde verkeerskiezers gebruiken is ingeschakeld om de opgegeven verkeersselector van kracht te laten worden.

De aangepaste geconfigureerde verkeersselectors worden alleen voorgesteld wanneer een Azure VPN-gateway de verbinding initieert. Een VPN-gateway accepteert alle verkeersselectors die worden voorgesteld door een externe gateway (on-premises VPN-apparaat). Dit gedrag is consistent tussen alle verbindingsmodi (Default, InitiatorOnly en ResponderOnly).

Kan ik mijn op beleid gebaseerde VPN-gateway bijwerken naar op route gebaseerd?

Nee. Een gatewaytype kan niet worden gewijzigd van op beleid gebaseerd in op route gebaseerd, of van op route gebaseerd naar op beleid gebaseerd. Als u een gatewaytype wilt wijzigen, moet de gateway worden verwijderd en opnieuw worden gemaakt. Dit proces duurt ongeveer 60 minuten. Wanneer u de nieuwe gateway maakt, kunt u het IP-adres van de oorspronkelijke gateway niet behouden.

  1. Verwijder alle verbindingen die zijn gekoppeld aan de gateway.

  2. Verwijder de gateway met behulp van een van de volgende artikelen:

  3. Maak een nieuwe gateway met behulp van het gewenste gatewaytype en voltooi vervolgens de VPN-installatie. Zie de zelfstudie site-naar-site voor stappen.

Heb ik een gatewaysubnet nodig?

Ja. Het gatewaysubnet bevat de IP-adressen waarvan de virtuele-netwerkgatewayservices gebruik van maken. U moet een gatewaysubnet maken voor uw VNet om een virtuele netwerkgateway te kunnen configureren. Voor een goede werking moeten alle gatewaysubnetten de naam GatewaySubnet krijgen. Geef het gatewaysubnet geen andere naam. Implementeer ook geen VM's of iets anders in het gatewaysubnet.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gatewayservice. Bij sommige configuraties moeten er meer IP-adressen worden toegewezen aan de gatewayservices dan bij andere. U moet ervoor zorgen dat uw gatewaysubnet voldoende IP-adressen bevat om groei mogelijk te maken en om mogelijke nieuwe verbindingsconfiguraties toe te kunnen voegen. U kunt dus wel een gatewaysubnet maken met een grootte van slechts /29, maar het wordt aangeraden om een gatewaysubnet van /27 of groter te maken (/27, /26, /25 enz.). Bekijk de vereisten voor de configuratie die u wilt gebruiken en controleer of het gatewaysubnet dat u hebt, voldoet aan deze vereisten.

Kan ik Virtual Machines of rolinstanties implementeren in het gatewaysubnet?

Nee.

Kan ik het IP-adres van de VPN-gateway verkrijgen voordat ik de gateway maak?

Zone-redundante en zonegebonden gateways (gateway-SKU's met AZ in de naam) zijn beide afhankelijk van een standaard-SKU Azure public IP-resource. Openbare IP-resources van Azure Standard SKU moeten een statische toewijzingsmethode gebruiken. Daarom hebt u het openbare IP-adres voor uw VPN-gateway zodra u de openbare IP-resource van de Standard-SKU maakt die u hiervoor wilt gebruiken.

Voor niet-zone-redundante en niet-zonegebonden gateways (gateway-SKU's die geenAZ in de naam hebben), kunt u het IP-adres van de VPN-gateway niet verkrijgen voordat het wordt gemaakt. Het IP-adres wordt alleen gewijzigd als u de VPN-gateway verwijdert en opnieuw maakt.

Kan ik een statisch openbaar IP-adres voor mijn VPN-gateway aanvragen?

Zone-redundante en zonegebonden gateways (gateway-SKU's met AZ in de naam) zijn beide afhankelijk van een standaard-SKU Azure public IP-resource. Openbare IP-resources van Azure Standard SKU moeten een statische toewijzingsmethode gebruiken.

Voor niet-zone-redundante en niet-zonegebonden gateways (gateway-SKU's die geenAZ in de naam hebben), wordt alleen dynamische IP-adrestoewijzing ondersteund. Dit betekent echter niet dat het IP-adres wordt gewijzigd nadat het is toegewezen aan uw VPN-gateway. De enige keer dat het IP-adres van de VPN-gateway wordt gewijzigd, is wanneer de gateway wordt verwijderd en vervolgens opnieuw wordt gemaakt. Het openbare IP-adres van de VPN-gateway verandert niet wanneer u het formaat van uw VPN-gateway wijzigt, opnieuw instelt of ander intern onderhoud en upgrades van uw VPN-gateway voltooit.

Hoe wordt mijn VPN-tunnel geverifieerd?

Azure VPN maakt gebruik van PSK-verificatie (verificatie op basis van een vooraf gedeelde sleutel). Er wordt een PSK (vooraf gedeelde sleutel) gegenereerd wanneer de VPN-tunnel wordt gemaakt. U kunt de automatisch gegenereerde PSK wijzigen in uw eigen met de PowerShell-cmdlet Set Pre-Shared Key of REST API.

Kan ik de API Set Pre-Shared Key gebruiken om een op beleid gebaseerde VPN-gateway (statische routering) te configureren?

Ja, u kunt de API en PowerShell-cmdlet Set Pre-Shared Key gebruiken om zowel op beleid gebaseerde (statische) VPN's als op route gebaseerde VPN's (dynamische routering) van Azure te configureren.

Kan ik andere verificatieopties gebruiken?

We zijn beperkt tot het gebruik van vooraf gedeelde sleutels (PSK) voor verificatie.

Hoe geef ik op welk verkeer via de VPN-gateway loopt?

Resource Manager-implementatiemodel

  • PowerShell: gebruik 'AddressPrefix' om verkeer voor de gateway van het lokale netwerk op te geven.
  • Azure Portal: navigeer naar de lokale netwerkgateway > Configuratieadresruimte>.

Klassiek implementatiemodel

  • Azure Portal: navigeer naar het klassieke virtuele netwerk > VPN-verbindingen > Site-naar-site-VPN-verbindingen > Lokale sitenaam > Lokale site > Clientadresruimte.

Kan ik NAT-T gebruiken voor mijn VPN-verbindingen?

Ja, NAT-traversal (NAT-T) wordt ondersteund. Azure VPN Gateway voert GEEN NAT-achtige functionaliteit uit op de interne pakketten naar/van de IPsec-tunnels. Zorg er in deze configuratie voor dat het on-premises apparaat de IPSec-tunnel initieert.

Kan ik mijn eigen VPN-server in Azure instellen en deze gebruiken om verbinding te maken met mijn on-premises netwerk?

Ja, kunt u uw eigen VPN-gateways of -servers in Azure implementeren vanuit de Azure Marketplace of door uw eigen VPN-routers te implementeren. U moet door de gebruiker gedefinieerde routes in uw virtuele netwerk configureren om ervoor te zorgen dat verkeer correct wordt gerouteerd tussen uw on-premises netwerken en uw virtuele netwerksubnetten.

Waarom worden bepaalde poorten geopend op mijn virtuele netwerkgateway?

Ze zijn vereist voor communicatie met de Azure-infrastructuur. Ze worden beveiligd (vergrendeld) door Azure-certificaten. Zonder de juiste certificaten kunnen externe entiteiten, inclusief de klanten van deze gateways, geen effect hebben op deze eindpunten.

Een virtuele netwerkgateway is in wezen een multi-homed apparaat met één NIC die gebruikmaakt van het particuliere netwerk van de klant en één NIC die gericht is op het openbare netwerk. Azure-infrastructuurentiteiten kunnen om nalevingsredenen geen gebruik maken van particuliere netwerken van klanten, dus ze moeten openbare eindpunten gebruiken voor communicatie met de infrastructuur. De openbare eindpunten worden periodiek gescand door de beveiligingscontrole van Azure.

Meer informatie over gatewaytypen, vereisten en doorvoer

Zie Informatie over VPN-gatewayconfiguratie-instellingen voor meer informatie.

Site-naar-site-verbindingen en VPN-apparaten

Waaraan moet ik denken bij het selecteren van een VPN-apparaat?

We hebben een set standaard site-naar-site-VPN-apparaten gevalideerd in samenwerking met apparaatleveranciers. In het artikel Over VPN-apparaten vindt u een lijst met bekende compatibele VPN-apparaten, de bijbehorende configuratie-instructies of -voorbeelden en apparaatspecificaties. Alle apparaten in de vermelde apparaatfamilies die als compatibel worden weergegeven, zouden met Virtual Network moeten werken. Als hulp bij de configuratie van uw VPN-apparaat kunt u het voorbeeld van de apparaatconfiguratie raadplegen of de koppeling bij de betreffende apparaatfamilie.

Waar vind ik configuratie-instellingen voor VPN-apparaten?

Om configuratiescripts voor VPN-apparaten te downloaden

Afhankelijk van het VPN-apparaat dat u hebt, kunt u mogelijk een script van VPN-apparaatconfiguratie downloaden. Zie voor meer informatie Configuratiescripts van VPN-apparaat downloaden.

Zie de volgende links voor meer informatie over configuratie:

Hoe bewerk ik voorbeelden van VPN-apparaatconfiguraties?

Zie Bewerkingsvoorbeelden voor voorbeelden van het bewerken van de apparaatconfiguratie.

Waar vind ik IPsec- en IKE-parameters?

Zie Parameters voor de IPsec/IKE-parameters.

Waarom wordt mijn op beleid gebaseerde VPN-tunnel inactief als er geen verkeer is?

Dit is normaal voor op beleid gebaseerde VPN-gateways (ook wel bekend als statische routering genoemd). Wanneer er langer dan vijf minuten geen verkeer is via de tunnel, wordt de tunnel verwijderd. Zodra er verkeer is in een van de richtingen, wordt de tunnel onmiddellijk opnieuw ingesteld.

Kan ik software-VPN's gebruiken om verbinding te maken met Azure?

We ondersteunen Windows Server 2012 RRAS-servers (Routing and Remote Access) voor site-naar-site cross-premises configuratie.

Andere VPN-softwareoplossingen zouden in principe met onze gateway moeten werken zolang ze voldoen aan de standaard-IPSec-implementaties. Neem contact op met de leverancier van de software voor configuratie- en ondersteuningsinstructies.

Kan ik verbinding maken met een VPN-gateway via punt-naar-site op een site die een actieve site-naar-site-verbinding heeft?

Ja, maar de openbare IP-adressen van de punt-naar-site-client moeten afwijken van de openbare IP-adressen die worden gebruikt door het site-naar-site-VPN-apparaat, anders werkt de punt-naar-site-verbinding niet. punt-naar-site-verbindingen met IKEv2 kunnen niet worden gestart vanaf hetzelfde openbare IP-adres of de openbare IP-adressen waarop een site-naar-site-VPN-verbinding is geconfigureerd op dezelfde Azure VPN-gateway.

Punt-naar-site - Certificaatverificatie

Deze sectie is van toepassing op het Resource Manager-implementatiemodel.

Hoeveel VPN-clienteindpunten kan ik hebben in mijn punt-naar-site-configuratie?

Dit is afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.

Welke clientbesturingssystemen kan ik gebruiken met punt-naar-site?

De volgende clientbesturingssystemen worden ondersteund:

  • Windows Server 2008 R2 (alleen 64-bits)
  • Windows 8.1 (32-bits en 64-bits)
  • Windows Server 2012 (alleen 64-bits)
  • Windows Server 2012 R2 (alleen 64-bits)
  • Windows Server 2016 (alleen 64-bits)
  • Windows Server 2019 (alleen 64-bits)
  • Windows Server 2022 (alleen 64-bits)
  • Windows 10
  • Windows 11
  • macOS versie 10.11 of hoger
  • Linux (StrongSwan)
  • iOS

Kan ik proxy's en firewalls doorkruisen met behulp van punt-naar-site-functionaliteit?

Azure ondersteunt drie soorten point-to-site-VPN-opties:

  • Secure Socket Tunneling Protocol (SSTP). SSTP is een bedrijfseigen, op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • OpenVPN. OpenVPN is een op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • IKEv2 VPN. IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van uitgaande UDP-poorten 500 en 4500 en IP-protocol nr. 50. Firewalls openen deze poorten niet altijd, dus het is mogelijk dat IKEv2 VPN niet door proxy's en firewalls kan gaan.

Als ik een clientcomputer die is geconfigureerd voor punt-naar-site opnieuw opstart, maakt de VPN dan automatisch opnieuw verbinding?

Automatisch opnieuw verbinding maken is een functie van de client die wordt gebruikt. Windows ondersteunt automatisch opnieuw verbinding maken door de functie AlwaysOn VPN-client te configureren.

Ondersteunt punt-naar-site DDNS op de VPN-clients?

DDNS wordt momenteel niet ondersteund in punt-naar-site-VPN's.

Kan ik site-naar-site- en punt-naar-site-configuraties naast elkaar hebben voor hetzelfde virtuele netwerk?

Ja. Voor het Resource Manager-implementatiemodel moet u een RouteBased VPN-type hebben voor uw gateway. Voor het klassieke implementatiemodel hebt u een dynamische gateway nodig. We bieden geen ondersteuning voor punt-naar-site voor VPN-gateways voor statische routering of op beleid gebaseerde VPN-gateways.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerkgateways tegelijk?

Afhankelijk van de gebruikte VPN-clientsoftware kunt u mogelijk verbinding maken met meerdere Virtual Network Gateways, mits de virtuele netwerken waarmee verbinding wordt gemaakt, geen conflicterende adresruimten hebben of het netwerk van met de client verbinding maakt. Hoewel de Azure VPN Client ondersteuning biedt voor veel VPN-verbindingen, kan er maar één verbinding tegelijk Verbonden zijn.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerken tegelijk?

Ja, punt-naar-site-clientverbindingen met een virtuele netwerkgateway die is geïmplementeerd in een VNet dat is gekoppeld met andere VNets, hebben mogelijk toegang tot andere gekoppelde VNets. punt-naar-site-clients kunnen verbinding maken met gekoppelde VNets zolang de gekoppelde VNets gebruikmaken van de useRemoteGateway/AllowGatewayTransit-functies. Zie Over punt-naar-site-routering voor meer informatie.

Hoeveel doorvoer kan ik verwachten via site-naar-site- of punt-naar-site-verbindingen?

Het is moeilijk om de exacte doorvoer van de VPN-tunnels te onderhouden. IPSec en SSTP zijn cryptografisch zware VPN-protocollen. Doorvoer wordt ook beperkt door de latentie en bandbreedte tussen uw locatie en het internet. Voor een VPN Gateway met alleen PUNT-naar-site-VPN-verbindingen van IKEv2 is de totale doorvoer die u kunt verwachten, afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over doorvoer.

Kan ik een VPN-softwareclient gebruiken voor punt-naar-site die ondersteuning biedt voor SSTP en/of IKEv2?

Nee. U kunt alleen de systeemeigen VPN-client van Windows voor SSTP en de systeemeigen VPN-client van Mac voor IKEv2 gebruiken. U kunt echter de OpenVPN-client op alle platforms gebruiken om verbinding te maken via het OpenVPN-protocol. Raadpleeg de lijst met ondersteunde clientbesturingssystemen.

Kan ik het verificatietype voor een punt-naar-site-verbinding wijzigen?

Ja. Navigeer in de portal naar de pagina VPN-gateway -> Punt-naar-site-configuratie . Selecteer bij Verificatietype de verificatietypen die u wilt gebruiken. Houd er rekening mee dat nadat u een wijziging hebt aangebracht in een verificatietype, huidige clients mogelijk geen verbinding kunnen maken totdat een nieuw configuratieprofiel voor de VPN-client is gegenereerd, gedownload en toegepast op elke VPN-client.

Biedt Azure ondersteuning voor IKEv2-VPN met Windows?

IKEv2 wordt ondersteund op Windows 10 en Server 2016. Als u IKEv2 echter in bepaalde versies van het besturingssysteem wilt gebruiken, moet u updates installeren en lokaal een registersleutelwaarde instellen. Versies van het besturingssysteem vóór Windows 10 worden niet ondersteund en kunnen alleen gebruikmaken van SSTP of Het OpenVPN-protocol®.

Notitie

Voor builds van het Windows-besturingssysteem nieuwer dan Windows 10 versie 1709 en Windows Server 2016 versie 1607 zijn deze stappen niet vereist.

Windows 10 of Server 2016 voorbereiden voor IKEv2:

  1. Installeer de update op basis van uw versie van het besturingssysteem:

    Besturingssysteemversie Date Aantal/koppeling
    Windows Server 2016
    Windows 10 versie 1607
    17 januari 2018 KB4057142
    Windows 10 versie 1703 17 januari 2018 KB4057144
    Windows 10 versie 1709 22 maart 2018 KB4089848
  2. De registersleutelwaarde instellen. Maak of stel de REG_DWORD-sleutel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload' in het register in op 1.

Wat is de ikEv2-verkeersselectorlimiet voor punt-naar-site-verbindingen?

Windows 10 versie 2004 (uitgebracht in september 2021) verhoogde de verkeersselectorlimiet naar 255. Versies van Windows ouder dan deze hebben een verkeersselectorlimiet van 25.

De limiet voor verkeerkiezers in Windows bepaalt het maximum aantal adresruimten in uw virtuele netwerk en de maximale som van uw lokale netwerken, VNet-naar-VNet-verbindingen en gekoppelde VNets die zijn verbonden met de gateway. Punt-naar-site-clients op basis van Windows kunnen geen verbinding maken via IKEv2 als deze limiet wordt overschreden.

Wat gebeurt er als ik zowel SSTP als IKEv2 voor P2S-VPN-verbindingen configureer?

Wanneer u zowel SSTP als IKEv2 configureert in een gemengde omgeving (bestaande uit Windows- en Mac-apparaten), zal de Windows VPN-client altijd eerst de IKEv2-tunnel proberen, maar terugvallen op SSTP als de IKEv2-verbinding niet lukt. MacOSX maakt alleen verbinding via IKEv2.

Welke platformen, naast Windows en Mac, worden door Azure ondersteund voor P25-VPN?

Azure ondersteunt Windows, Mac en Linux voor P2S VPN.

Ik heb al een Azure VPN-gateway geïmplementeerd. Kan ik er RADIUS en/of IKEv2 VPN voor inschakelen?

Ja, als de gateway-SKU die u gebruikt RADIUS en/of IKEv2 ondersteunt, kunt u deze functies inschakelen op gateways die u al hebt geïmplementeerd met behulp van PowerShell of de Azure Portal. De Basic-SKU biedt geen ondersteuning voor RADIUS of IKEv2.

Hoe kan ik de configuratie van een P2S-verbinding verwijderen?

Een P2S-configuratie kan worden verwijderd met behulp van Azure CLI en PowerShell met behulp van de volgende opdrachten:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Wat moet ik doen als een certificaat niet overeenkomt wanneer ik verbinding maak met certificaatverificatie?

Schakel het vakje De identiteit van de server verifiëren door het certificaat te valideren of voeg de server-FQDN toe met het certificaat uit wanneer u handmatig een profiel maakt. U doet dit door rasphone uit te voeren vanuit de opdrachtprompt en het profiel te selecteren uit het vervolgkeuzemenu.

Het overslaan van de validatie van de serveridentiteit wordt in het algemeen niet aanbevolen, maar met Azure-certificaatverificatie wordt hetzelfde certificaat gebruikt voor servervalidatie in het VPN-tunnelingprotocol (IKEv2/SSTP) en het EAP-protocol. Omdat het servercertificaat en de FQDN al zijn gevalideerd door het VPN-tunnelingprotocol, is het overbodig om hetzelfde opnieuw te valideren in EAP.

servercertificaat voor punt-naar-site-verificatie

Kan ik mijn eigen interne PKI basis-CA gebruiken om certificaten te genereren voor een punt-naar-site-verbinding?

Ja. Voorheen konen alleen zelfondertekende basiscertificaten worden gebruikt. U kunt nog steeds 20 basiscertificaten uploaden.

Kan ik certificaten gebruiken uit Azure Key Vault?

Nee.

Welke hulpprogramma's kan ik gebruiken om certificaten te maken?

U kunt uw Enterprise PKI-oplossing (uw interne PKI), Azure PowerShell, MakeCert en OpenSSL gebruiken.

Zijn er instructies voor het instellen van het certificaat en de parameters?

  • Interne PKI/Enterprise PKI-oplossing: zie de stappen om certificaten te genereren.

  • Azure PowerShell: zie het Azure PowerShell-artikel voor een stappenplan.

  • MakeCert: zie het MakeCert-artikel voor een stappenplan.

  • OpenSSL:

    • Bij het exporteren van certificaten, moet u het basiscertificaat naar Base64 converteren.

    • Voor het clientcertificaat:

      • Bij het maken van de persoonlijke sleutel, moet u de lengte 4096 opgeven.
      • Bij het maken van het certificaat moet u voor de paramter -extensies de waarde usr_cert opgeven.

Punt-naar-site - RADIUS-verificatie

Deze sectie is van toepassing op het Resource Manager-implementatiemodel.

Hoeveel VPN-clienteindpunten kan ik hebben in mijn punt-naar-site-configuratie?

Dit is afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.

Welke clientbesturingssystemen kan ik gebruiken met punt-naar-site?

De volgende clientbesturingssystemen worden ondersteund:

  • Windows Server 2008 R2 (alleen 64-bits)
  • Windows 8.1 (32-bits en 64-bits)
  • Windows Server 2012 (alleen 64-bits)
  • Windows Server 2012 R2 (alleen 64-bits)
  • Windows Server 2016 (alleen 64-bits)
  • Windows Server 2019 (alleen 64-bits)
  • Windows Server 2022 (alleen 64-bits)
  • Windows 10
  • Windows 11
  • macOS versie 10.11 of hoger
  • Linux (StrongSwan)
  • iOS

Kan ik proxy's en firewalls doorkruisen met behulp van punt-naar-site-functionaliteit?

Azure ondersteunt drie soorten point-to-site-VPN-opties:

  • Secure Socket Tunneling Protocol (SSTP). SSTP is een bedrijfseigen, op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • OpenVPN. OpenVPN is een op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • IKEv2 VPN. IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van uitgaande UDP-poorten 500 en 4500 en IP-protocol nr. 50. Firewalls openen deze poorten niet altijd, dus het is mogelijk dat IKEv2 VPN niet door proxy's en firewalls kan gaan.

Als ik een clientcomputer die is geconfigureerd voor punt-naar-site opnieuw opstart, maakt de VPN dan automatisch opnieuw verbinding?

Automatisch opnieuw verbinding maken is een functie van de client die wordt gebruikt. Windows ondersteunt automatisch opnieuw verbinding maken door de functie AlwaysOn VPN-client te configureren.

Ondersteunt punt-naar-site DDNS op de VPN-clients?

DDNS wordt momenteel niet ondersteund in punt-naar-site-VPN's.

Kan ik site-naar-site- en punt-naar-site-configuraties naast elkaar hebben voor hetzelfde virtuele netwerk?

Ja. Voor het Resource Manager-implementatiemodel moet u een RouteBased VPN-type hebben voor uw gateway. Voor het klassieke implementatiemodel hebt u een dynamische gateway nodig. We bieden geen ondersteuning voor punt-naar-site voor VPN-gateways voor statische routering of op beleid gebaseerde VPN-gateways.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerkgateways tegelijk?

Afhankelijk van de gebruikte VPN-clientsoftware kunt u mogelijk verbinding maken met meerdere Virtual Network Gateways, mits de virtuele netwerken waarmee verbinding wordt gemaakt, geen conflicterende adresruimten hebben of het netwerk van met de client verbinding maakt. Hoewel de Azure VPN Client ondersteuning biedt voor veel VPN-verbindingen, kan er maar één verbinding tegelijk Verbonden zijn.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerken tegelijk?

Ja, punt-naar-site-clientverbindingen met een virtuele netwerkgateway die is geïmplementeerd in een VNet dat is gekoppeld met andere VNets, hebben mogelijk toegang tot andere gekoppelde VNets. punt-naar-site-clients kunnen verbinding maken met gekoppelde VNets zolang de gekoppelde VNets gebruikmaken van de useRemoteGateway/AllowGatewayTransit-functies. Zie Over punt-naar-site-routering voor meer informatie.

Hoeveel doorvoer kan ik verwachten via site-naar-site- of punt-naar-site-verbindingen?

Het is moeilijk om de exacte doorvoer van de VPN-tunnels te onderhouden. IPSec en SSTP zijn cryptografisch zware VPN-protocollen. Doorvoer wordt ook beperkt door de latentie en bandbreedte tussen uw locatie en het internet. Voor een VPN Gateway met alleen PUNT-naar-site-VPN-verbindingen van IKEv2 is de totale doorvoer die u kunt verwachten, afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over doorvoer.

Kan ik een VPN-softwareclient gebruiken voor punt-naar-site die ondersteuning biedt voor SSTP en/of IKEv2?

Nee. U kunt alleen de systeemeigen VPN-client van Windows voor SSTP en de systeemeigen VPN-client van Mac voor IKEv2 gebruiken. U kunt echter de OpenVPN-client op alle platforms gebruiken om verbinding te maken via het OpenVPN-protocol. Raadpleeg de lijst met ondersteunde clientbesturingssystemen.

Kan ik het verificatietype voor een punt-naar-site-verbinding wijzigen?

Ja. Navigeer in de portal naar de pagina VPN-gateway -> Punt-naar-site-configuratie . Selecteer bij Verificatietype de verificatietypen die u wilt gebruiken. Houd er rekening mee dat nadat u een wijziging hebt aangebracht in een verificatietype, huidige clients mogelijk geen verbinding kunnen maken totdat een nieuw configuratieprofiel voor de VPN-client is gegenereerd, gedownload en toegepast op elke VPN-client.

Biedt Azure ondersteuning voor IKEv2-VPN met Windows?

IKEv2 wordt ondersteund op Windows 10 en Server 2016. Als u IKEv2 echter in bepaalde versies van het besturingssysteem wilt gebruiken, moet u updates installeren en lokaal een registersleutelwaarde instellen. Versies van het besturingssysteem vóór Windows 10 worden niet ondersteund en kunnen alleen gebruikmaken van SSTP of Het OpenVPN-protocol®.

Notitie

Voor builds van het Windows-besturingssysteem nieuwer dan Windows 10 versie 1709 en Windows Server 2016 versie 1607 zijn deze stappen niet vereist.

Windows 10 of Server 2016 voorbereiden voor IKEv2:

  1. Installeer de update op basis van uw versie van het besturingssysteem:

    Besturingssysteemversie Date Aantal/koppeling
    Windows Server 2016
    Windows 10 versie 1607
    17 januari 2018 KB4057142
    Windows 10 versie 1703 17 januari 2018 KB4057144
    Windows 10 versie 1709 22 maart 2018 KB4089848
  2. De registersleutelwaarde instellen. Maak of stel de REG_DWORD-sleutel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload' in het register in op 1.

Wat is de ikEv2-verkeersselectorlimiet voor punt-naar-site-verbindingen?

Windows 10 versie 2004 (uitgebracht in september 2021) verhoogde de verkeersselectorlimiet naar 255. Versies van Windows ouder dan deze hebben een verkeersselectorlimiet van 25.

De limiet voor verkeerkiezers in Windows bepaalt het maximum aantal adresruimten in uw virtuele netwerk en de maximale som van uw lokale netwerken, VNet-naar-VNet-verbindingen en gekoppelde VNets die zijn verbonden met de gateway. Punt-naar-site-clients op basis van Windows kunnen geen verbinding maken via IKEv2 als deze limiet wordt overschreden.

Wat gebeurt er als ik zowel SSTP als IKEv2 voor P2S-VPN-verbindingen configureer?

Wanneer u zowel SSTP als IKEv2 configureert in een gemengde omgeving (bestaande uit Windows- en Mac-apparaten), zal de Windows VPN-client altijd eerst de IKEv2-tunnel proberen, maar terugvallen op SSTP als de IKEv2-verbinding niet lukt. MacOSX maakt alleen verbinding via IKEv2.

Welke platformen, naast Windows en Mac, worden door Azure ondersteund voor P25-VPN?

Azure ondersteunt Windows, Mac en Linux voor P2S VPN.

Ik heb al een Azure VPN-gateway geïmplementeerd. Kan ik er RADIUS en/of IKEv2 VPN voor inschakelen?

Ja, als de gateway-SKU die u gebruikt RADIUS en/of IKEv2 ondersteunt, kunt u deze functies inschakelen op gateways die u al hebt geïmplementeerd met behulp van PowerShell of de Azure Portal. De Basic-SKU biedt geen ondersteuning voor RADIUS of IKEv2.

Hoe kan ik de configuratie van een P2S-verbinding verwijderen?

Een P2S-configuratie kan worden verwijderd met behulp van Azure CLI en PowerShell met behulp van de volgende opdrachten:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Wordt RADIUS-verificatie ondersteund op alle Azure VPN Gateway SKU’s?

RADIUS-verificatie wordt ondersteund voor alle SKU's, met uitzondering van de Basic-SKU.

Voor verouderde SKU's wordt RADIUS-verificatie ondersteund op Standard- en High Performance-SKU's. Het wordt niet ondersteund op de Basic Gateway-SKU.

Wordt RADIUS-verificatie ondersteund voor het klassieke implementatiemodel?

Nee. RADIUS-verificatie wordt niet ondersteund voor het klassieke implementatiemodel.

Wat is de time-outperiode voor RADIUS-aanvragen die naar de RADIUS-server worden verzonden?

RADIUS-aanvragen worden na 30 seconden ingesteld op time-out. Door de gebruiker gedefinieerde time-outwaarden worden momenteel niet ondersteund.

Worden RADIUS-servers van derden ondersteund?

Ja, RADIUS-servers van derden worden ondersteund.

Wat zijn de connectiviteitsvereisten om ervoor te zorgen dat de Azure-gateway een on-premises RADIUS-server kan bereiken?

Een site-naar-site-VPN-verbinding met de on-premises site, met de juiste routes geconfigureerd, is vereist.

Kan het verkeer naar een on-premises RADIUS-server (van de Azure VPN-gateway) worden gerouteerd via een ExpressRoute-verbinding?

Nee. Deze kan alleen worden gerouteerd via een site-naar-site-verbinding.

Is er een wijziging in het aantal SSTP-verbindingen dat met RADIUS-verificatie wordt ondersteund? Wat is het maximumaantal ondersteunde SSTP- en IKEv2-verbindingen?

Het maximumaantal SSTP-verbindingen dat op een gateway met RADIUS-verificatie wordt ondersteund, is niet gewijzigd. Dit blijft 128 voor SSTP, maar is afhankelijk van de gateway-SKU voor IKEv2.  Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.

Wat is het verschil tussen het uitvoeren van certificaatverificatie met behulp van een RADIUS-server en het gebruik van systeemeigen Azure-certificaatverificatie (door een vertrouwd certificaat te uploaden naar Azure)?

Bij RADIUS-certificaatverificatie wordt de verificatieaanvraag doorgestuurd naar een RADIUS-server, waar de werkelijke certificaatvalidatie wordt uitgevoerd. Deze optie is nuttig als u via RADIUS wilt integreren met een certificaatverificatie-infrastructuur die u al hebt.

Wanneer u Azure gebruikt voor certificaatverificatie, voert de Azure VPN-gateway de validatie van het certificaat uit. U moet de openbare sleutel van uw certificaat uploaden naar de gateway. U kunt ook een lijst opgeven met ingetrokken certificaten die niet mogen worden gebruikt om verbinding te maken.

Werkt RADIUS-verificatie met zowel IKEv2 als SSTP VPN?

Ja, RADIUS-verificatie wordt ondersteund voor zowel IKEv2 als SSTP VPN.

Werkt RADIUS-verificatie met de OpenVPN client?

RADIUS-verificatie wordt ondersteund voor het OpenVPN-protocol.

VNet-naar-VNET- en multi-site-verbindingen

De veelgestelde vragen voor VNet-naar-VNet zijn van toepassing op VPN Gateway-verbindingen. Zie Peering op virtueel netwerk voor informatie over VNet-peering.

Worden er door Azure kosten in rekening gebracht voor verkeer tussen VNets?

VNet-naar-VNet-verkeer binnen dezelfde regio is gratis in beide richtingen wanneer u een VPN Gateway-verbinding gebruikt. Voor uitgaand VNet-naar-VNet-verkeer tussen regio's gelden de tarieven voor uitgaande gegevensoverdracht tussen VNets op basis van de bronregio's. Zie de pagina Prijzen van VPN Gateway voor meer informatie. Zie Prijzen voor virtuele netwerken als u uw VNets verbindt op basis van VNet-peering in plaats van VPN Gateway.

Verloopt VNet-naar-VNet-verkeer via internet?

Nee. Voor VNet-naar-VNet-verkeer wordt het Microsoft-netwerk gebruikt in plaats van internet.

Kan ik een VNet-naar-VNet-verbinding tot stand brengen tussen Azure Active Directory-tenants?

Ja, VNet-naar-VNet-verbindingen die gebruikmaken van Azure VPN-gateways werken in Azure AD tenants.

Is het VNet-naar-VNet-verkeer beveiligd?

Ja, het is beveiligd met IPsec/IKE-versleuteling.

Heb ik een VPN-apparaat nodig om VNets met elkaar te verbinden?

Nee. Om meerdere virtuele netwerken van Azure met elkaar te verbinden, hebt u geen VPN-apparaat nodig, tenzij cross-premises connectiviteit is vereist.

Moeten mijn VNets zich in dezelfde regio bevinden?

Nee. De virtuele netwerken kunnen zich in dezelfde of verschillende Azure-regio's (locaties) bevinden.

Als de VNets niet tot hetzelfde abonnement behoren, moeten de abonnementen dan aan dezelfde Active Directory-tenant zijn gekoppeld?

Nee.

Kan ik VNet-naar-VNet-verbindingen gebruiken tussen virtuele netwerken in verschillende Azure-exemplaren?

Nee. VNet-naar-VNet ondersteunt het verbinden van virtuele netwerken binnen hetzelfde Azure-exemplaar. U kunt bijvoorbeeld geen verbinding maken tussen globale Azure-instanties en Chinese/Duitse/Amerikaanse azure-instanties. Voor deze scenario's kunt u een site-naar-site-VPN-verbinding gebruiken.

Kan ik VNet-naar-VNet- én multi-site-verbindingen gebruiken?

Ja. U kunt virtuele-netwerkverbindingen tegelijk gebruiken met multi-site-VPN’s.

Met hoeveel on-premises sites en virtuele netwerken kan één virtueel netwerk verbinding maken?

Zie de tabel Gatewayvereisten.

Kan ik VNet-naar-VNet gebruiken om virtuele machines of cloudservices met elkaar te verbinden buiten een VNet?

Nee. VNet naar VNet ondersteunt het verbinden van virtuele netwerken. Er is geen ondersteuning voor het verbinden van virtuele machines of cloudservices die geen deel uitmaken van een virtueel netwerk.

Kan een cloudservice of een taakverdelingseindpunt VNets overbruggen?

Nee. Een cloudservice of een taakverdelingseindpunt kan geen virtuele netwerken overbruggen, zelfs niet als ze met elkaar zijn verbonden.

Kan ik een op beleid gebaseerd VPN-type gebruiken voor VNet-naar-VNet- of multi-site-verbindingen?

Nee. VNet-naar-VNet- en multi-site-verbindingen vereisen Azure VPN-gateways met op route gebaseerde VPN-typen (voorheen dynamische routering genoemd).

Kan ik een VNet met een op route gebaseerd VPN-type verbinden met een op beleid gebaseerd VPN-type?

Nee, voor beide virtuele netwerken MOET gebruik worden gemaakt van op route gebaseerde VPN's (voorheen dynamische routering genoemd).

Delen VPN-tunnels bandbreedte?

Ja. Alle VPN-tunnels van het virtuele netwerk delen de beschikbare bandbreedte op de Azure VPN-gateway en dezelfde SLA voor VPN-gatewaybedrijfstijd in Azure.

Worden redundante tunnels ondersteund?

Redundante tunnels tussen twee virtuele netwerken worden ondersteund, mits één virtuele-netwerkgateway is geconfigureerd als actief-actief.

Mogen er overlappende adresruimten zijn voor VNet-naar-VNet-configuraties?

Nee. Er mag geen sprake zijn van overlappende IP-adresbereiken.

Mogen er overlappende adresruimten zijn tussen de verbonden virtuele netwerken en on-premises lokale sites?

Nee. Er mag geen sprake zijn van overlappende IP-adresbereiken.

Hoe kan ik routering tussen mijn site-naar-site-VPN-verbinding en mijn ExpressRoute inschakelen?

Als u routering wilt inschakelen tussen uw vertakking die is verbonden met ExpressRoute en uw vertakking die is verbonden met een site-naar-site-VPN-verbinding, moet u Azure Route Server instellen.

Kan ik Azure VPN-gateway gebruiken om verkeer tussen mijn on-premises sites of naar een ander virtueel netwerk over te brengen?

Resource Manager-implementatiemodel
Ja. Raadpleeg de sectie BGP voor meer informatie.

Klassiek implementatiemodel
Transitverkeer via Azure VPN-gateway is mogelijk met het klassieke implementatiemodel, maar is afhankelijk van statisch gedefinieerde adresruimten in het netwerkconfiguratiebestand. BGP wordt nog niet ondersteund met Azure Virtual Networks en VPN-gateways die gebruikmaken van het klassieke implementatiemodel. Zonder BGP is het handmatig definiëren van adresruimten voor doorvoer zeer foutgevoelig en het wordt daarom niet aanbevolen.

Genereert Azure dezelfde vooraf gedeelde IPsec/IKE-sleutel voor al mijn VPN-verbindingen voor hetzelfde virtuele netwerk?

Nee, Azure genereert standaard verschillende vooraf gedeelde sleutels voor verschillende VPN-verbindingen. U kunt echter de Set VPN Gateway Key REST API of PowerShell-cmdlet gebruiken om de gewenste sleutelwaarde in te stellen. De sleutel MAG alleen afdrukbare ASCII-tekens bevatten, behalve spatie, afbreekstreepje (-) of tilde (~).

Krijg ik meer bandbreedte met meer site-naar-site-VPN's dan voor één virtueel netwerk?

Nee, alle VPN-tunnels, inclusief punt-naar-site-VPN's, delen dezelfde Azure VPN-gateway en de beschikbare bandbreedte.

Kan ik meerdere tunnels tussen mijn virtuele netwerk en mijn on-premises site configureren met multi-site-VPN?

Ja, maar u moet BGP op beide tunnels op dezelfde locatie instellen.

Houdt Azure VPN Gateway rekening met AS Path prepending om routeringsbeslissingen tussen meerdere verbindingen met mijn on-premises sites te beïnvloeden?

Ja, Azure VPN-gateway houdt rekening met as-padvoorvoeging om routeringsbeslissingen te nemen wanneer BGP is ingeschakeld. Een korter AS-pad heeft de voorkeur in de selectie van het BGP-pad.

Kan ik de eigenschap RoutingWeight gebruiken bij het maken van een nieuwe VPN VirtualNetworkGateway-verbinding?

Nee, deze instelling is gereserveerd voor ExpressRoute-gatewayverbindingen. Als u de routeringsbeslissingen tussen meerdere verbindingen wilt beïnvloeden, moet u AS Path prepending gebruiken.

Kan ik punt-naar-site-VPN's gebruiken met mijn virtuele netwerk met meerdere VPN-tunnels?

Ja, punt-naar-site-VPN's (P2S) kunnen worden gebruikt met de VPN-gateways die verbinding maken met meerdere on-premises sites en andere virtuele netwerken.

Kan ik een virtueel netwerk met IPsec-VPN's verbinden met mijn ExpressRoute-circuit?

Ja, dit wordt ondersteund. Zie ExpressRoute- en site-naar-site-VPN-verbindingen configureren die naast elkaar bestaan voor meer informatie.

IPsec/IKE-beleid

Wordt het aangepaste beleid voor IPsec/IKE op alle Azure VPN Gateway-SKU's ondersteund?

Aangepast IPsec-/IKE-beleid wordt ondersteund in alle Azure-SKU's, behalve Basic.

Hoeveel beleidsregels kan ik opgeven voor een verbinding?

U kunt slechts één beleidscombinatie opgeven voor een bepaalde verbinding.

Kan ik een gedeeltelijk beleid opgeven voor een verbinding? (Bijvoorbeeld alleen IKE-algoritmen, maar geen IPsec-algoritmen)

Nee, u moet alle algoritmen en parameters opgeven voor zowel IKE (Main Mode) en IPsec (Quick Mode). Gedeeltelijke beleidsspecificatie is niet toegestaan.

Wat zijn de algoritmen en belangrijkste sterke punten die in het aangepaste beleid worden ondersteund?

De volgende tabel bevat de ondersteunde cryptografische algoritmen en sleutelsterkten die door klanten kunnen worden geconfigureerd. U moet voor elk veld een optie selecteren.

IPsec/IKEv2 Opties
IKEv2-versleuteling GCMAES256, GCMAES128, AES256, AES192, AES128, DES3, DES
IKEv2-integriteit GCMAES256, GCMAES128, SHA384, SHA256, SHA1, MD5
DH-groep DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, geen
IPsec-versleuteling GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geen
IPsec-integriteit GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-groep PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, geen
QM SA-levensduur Seconden (geheel getal; min. 300 /standaard 27000 seconden)
KB (geheel getal; min. 1024/standaard 102400000 KB)
Verkeersselector UsePolicyBasedTrafficSelectors ($True/$False; standaard $False)

Belangrijk

  • DHGroup2048 & PFS2048 zijn hetzelfde als Diffie-Hellman groep 14 in IKE en IPsec PFS. Zie Diffie-Hellman-groepen voor de volledige toewijzingen.
  • Voor GCMAES-algoritmen moet u de hetzelfde GCMAES-algoritme en dezelfde lengte van de sleutel voor de IPsec-codering en -integriteit opgeven.
  • SA-levensduur voor IKEv2 Main Mode staat vastgesteld op 28.800 seconden op de Azure VPN-gateways.
  • De QM SA-levensduur is een optionele parameter. Als niets is opgegeven, worden de standaardwaarden 27.000 seconden (7,5 uur) en 102400000 kilobytes (102 GB) gebruikt.
  • UsePolicyBasedTrafficSelector is een optieparameter voor de verbinding. Zie het volgende veelgestelde vragenitem voor UsePolicyBasedTrafficSelectors.

Moeten het beleid van de Azure VPN-gateway en de configuraties van mijn on-premises VPN-apparaat volledig overeenkomen?

De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u in het Azure IPsec/IKE-beleid opgeeft:

  • IKE-versleutelingsalgoritme
  • IKE-integriteitsalgoritme
  • DH-groep
  • IPsec-versleutelingsalgoritme
  • IPsec-integriteitsalgoritme
  • PFS-groep
  • Verkeersselector (*)

De SA-levensduur is alleen lokale specificaties en hoeft niet overeen te komen.

Als u UsePolicyBasedTrafficSelectors inschakelt, moet u ervoor zorgen dat voor uw VPN-apparaat dezelfde verkeersselectoren zijn gedefinieerd voor alle combinaties van de voorvoegsels van uw lokale netwerk (lokale netwerkgateway) naar/vanuit de voorvoegsels van het virtuele Azure-netwerk, in plaats van any-to-any. Als uw lokale netwerkvoorvoegsels bijvoorbeeld 10.1.0.0/16 en 10.2.0.0/16 zijn, en de voorvoegsels van uw virtuele netwerk 192.168.0.0/16 en 172.16.0.0/16, moet u de volgende verkeersselectoren opgeven:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

Zie Connect multiple on-premises policy-based VPN devices (Verbinding maken met meerdere on-premises, op beleid gebaseerde VPN-apparaten) voor meer informatie.

Welke Diffie-Hellman-groepen worden ondersteund?

De volgende tabel bevat de ondersteunde Diffie-Hellman-groepen voor IKE (DHGroup) en IPsec (PFSGroup):

Diffie-Hellman-groep DHGroup PFSGroup Sleutellengte
1 DHGroup1 PFS1 768-bits MODP
2 DHGroup2 PFS2 1024-bits MODP
14 DHGroup14
DHGroup2048
PFS2048 2048-bits MODP
19 ECP256 ECP256 256-bits ECP
20 ECP384 ECP384 384-bits ECP
24 DHGroup24 PFS24 2048-bits MODP

Zie RFC3526 en RFC5114 voor meer informatie.

Vervangt het aangepaste beleid de standaard IPsec/IKE-beleidssets voor Azure VPN-gateways?

Ja, zodra een aangepast beleid is opgegeven voor een verbinding, gebruikt de Azure VPN-gateway alleen het beleid op de verbinding, zowel als IKE-initiator als IKE-beantwoorder.

Als ik een aangepast beleid voor IPsec/IKE verwijder, wordt de verbinding dan onbeveiligd?

Nee, de verbinding wordt nog steeds beveiligd met IPsec/IKE. Wanneer u het aangepaste beleid van een verbinding verwijdert, wordt de Azure VPN-gateway teruggezet naar de standaardlijst met IPsec/IKE-voorstellen en wordt de IKE-handshake opnieuw gestart met uw on-premises VPN-apparaat.

Kan het toevoegen of bijwerken van een beleid voor IPsec/IKE mijn VPN-verbinding verstoren?

Ja, dit kan tot een onderbreking van een paar seconden leiden, omdat de Azure VPN-gateway de bestaande verbinding verbreekt en de IKE-handshake opnieuw start om de IPsec-tunnel opnieuw in te stellen met de nieuwe cryptografische algoritmen en parameters. Zorg ervoor dat uw on-premises VPN-apparaat met dezelfde algoritmen en sleutelsterkten wordt geconfigureerd om de onderbreking te minimaliseren.

Kan ik verschillende beleidsregels voor verschillende verbindingen gebruiken?

Ja. Aangepast beleid wordt per verbinding toegepast. U kunt verschillende IPsec/IKE-beleidsregels toepassen op verschillende verbindingen. U kunt ook aangepaste beleidsregels toepassen op een subset van verbindingen. Voor de resterende verbindingen worden de standaard IPsec/IKE-beleidssets voor Azure toegepast.

Kan ik het aangepaste beleid ook voor een VNet-naar-VNet-verbinding gebruiken?

Ja, u kunt een aangepast beleid toepassen op zowel cross-premises IPsec-verbindingen als VNet-naar-VNet-verbindingen.

Moet ik hetzelfde beleid opgeven voor beide VNet-naar-VNet-verbindingsresources?

Ja. Een VNet-naar-VNet-tunnel bestaat uit twee verbindingsresources in Azure, één voor elke richting. Zorg dat beide verbindingsresources hetzelfde beleid hebben, anders kan de VNet-naar-VNet-verbinding niet tot stand worden gebracht.

Wat is de standaard time-outwaarde voor DPD? Kan ik een andere time-out voor DPD opgeven?

De standaard time-out voor DPD is 45 seconden. U kunt een andere time-outwaarde voor DPD opgeven voor elke IPsec of VNet-naar-VNet-verbinding tussen 9 tot 3600 seconden.

Werkt een aangepast IPsec/IKE-beleid op een ExpressRoute-verbinding?

Nee. IPsec/IKE-beleid werkt alleen op S2S-VPN- en VNet-naar-VNet-verbindingen via de Azure VPN-gateways.

Hoe maak ik verbindingen met IKEv1- of IKEv2-protocoltypen?

IKEv1-verbindingen kunnen worden gemaakt op alle RouteBased VPN-type SKU's, met uitzondering van de Basic, Standard en andere verouderde SKU's. U kunt een verbindingsprotocol opgeven van IKEv1 of IKEv2 wanneer u een verbinding maakt. Als u geen type verbindingsprotocol opgeeft, wordt IKEv2 als standaardoptie gebruikt, indien van toepassing. Raadpleeg de documentatie voor PowerShell-cmdlets voor meer informatie. Voor SKY-typen en IKEv1-/IKEv2-ondersteuning, raadpleegt u Gateways verbinden met op beleid gebaseerde VPN-apparaten.

Is transit tussen IKEv1- en IKEv2-verbindingen toegestaan?

Ja. Doorvoer tussen IKEv1- en IKEv2-verbindingen wordt ondersteund.

Kan ik een IKEv1-site-naar-site-verbindingen hebben in het VPN-type Basic SKU of RouteBased?

Nee. De Basic-SKU biedt hier geen ondersteuning voor.

Kan ik het verbindingsprotocoltype wijzigen nadat de verbinding is gemaakt (IKEv1 naar IKEv2 en vice versa)?

Nee. Zodra de verbinding is gemaakt, kunnen IKEv1/IKEv2-protocollen niet meer worden gewijzigd. U moet een verbinding verwijderen en een nieuwe maken met het gewenste protocoltype.

Waarom wordt mijn IKEv1-verbinding regelmatig opnieuw verbonden?

Als uw statische routering of routegebaseerde IKEv1-verbinding met routineintervallen wordt verbroken, komt dit waarschijnlijk doordat VPN-gateways geen ondersteuning bieden voor hersleutels ter plaatse. Wanneer de hoofdmodus opnieuw wordt versleuteld, wordt de verbinding met uw IKEv1-tunnels verbroken en duurt het tot 5 seconden om opnieuw verbinding te maken. De time-outwaarde voor de hoofdmodusonderhandeling bepaalt de frequentie van opnieuw versleutelen. Als u wilt voorkomen dat deze opnieuw verbinding maken, kunt u overschakelen naar IKEv2, dat ondersteuning biedt voor in-place opnieuw versleuteling.

Als uw verbinding op willekeurige momenten opnieuw verbinding maakt, volgt u onze gids voor probleemoplossing.

Waar vind ik meer configuratie-informatie voor IPsec?

Zie IPsec-/IKE-beleid configureren voor S2S- of VNet-naar-VNet-verbindingen.

BGP en routering

Wordt BGP ondersteund op alle Azure VPN-gateway SKU’s?

BGP wordt ondersteund op alle Azure VPN Gateawy SKU's, behalve Basic SKU.

Kan ik BGP gebruiken met VPN-gateways van Azure?

Nee, BGP wordt alleen ondersteund op route-gebaseerde VPN-gateways.

Welke ASN's (autonome systeemnummers) kan ik gebruiken?

U kunt uw eigen openbare ASN's of persoonlijke ASN's voor zowel uw on-premises netwerken en virtuele netwerken van Azure gebruiken. U kunt de bereiken die door Azure of IANA zijn gereserveerd niet gebruiken.

De volgende ASN's zijn gereserveerd voor Azure of IANA:

  • ASN's die zijn gereserveerd voor Azure:

    • Openbare ASN's: 8074, 8075, 12076
    • Privé-ASNs: 65515, 65517, 65518, 65519, 65520
  • ASN's die zijn gereserveerd door IANA:

    • 23456, 64496-64511, 65535-65551 en 429496729

U kunt deze ASN's niet opgeven voor uw on-premises VPN-apparaten wanneer u verbinding maakt met Azure VPN-gateways.

Kan ik 32-bits (4-byte) ASN's gebruiken?

Ja, VPN Gateway ondersteunt nu 32-bits (4-bytes) ASN's. Als u ASN wilt configureren voor gebruik in decimaal formaat, gebruikt u PowerShell, de Azure-CLI of de Azure-SDK.

Welke privé-ASN's kan ik gebruiken?

De bruikbare bereiken van privé-ASN's zijn:

  • 64512-65514 en 65521-65534

Deze ASN's zijn niet gereserveerd voor gebruik door IANA of Azure en kunnen daarom worden gebruikt om te worden toegewezen aan uw Azure-VPN Gateway.

Welk adres gebruikt VPN Gateway voor BGP-peer-IP?

Standaard wijst VPN Gateway één IP-adres uit het GatewaySubnet-bereik toe voor active-standby VPN-gateways, of twee IP-adressen voor active-active VPN-gateways. Deze adressen worden automatisch toegewezen wanneer u de VPN-gateway maakt. U kunt het werkelijke BGP IP-adres dat is toegewezen ophalen met PowerShell of door het te zoeken in de Azure Portal. Gebruik in PowerShell Get-AzVirtualNetworkGateway en zoek naar de eigenschap bgpPeeringAddress. Ga in Azure Portal naar de pagina Gatewayconfiguratie en zoek naar de eigenschap BGP ASN configureren.

Als uw on-premises VPN-routers APIPA-IP-adressen (169.254.x.x) gebruiken als de BGP-IP-adressen, moet u een of meer Azure APIPA BGP IP-adressen opgeven op uw Azure VPN-gateway. Azure VPN Gateway selecteert de APIPA-adressen die moeten worden gebruikt met de on-premises APIPA BGP-peer die is opgegeven in de lokale netwerkgateway, of het privé-IP-adres voor een niet-APIPA, on-premises BGP-peer. Raadpleeg BGP configureren voor meer informatie.

Wat zijn de vereisten voor de BGP-peer-IP-adressen op mijn VPN-apparaat?

Het adres van uw on-premises BGP-peer mag niet gelijk zijn aan het openbare IP-adres van uw VPN-apparaat of de virtuele netwerkadresruimte van de VPN-gateway. Gebruik een ander IP-adres op het VPN-apparaat voor uw BGP-peer-IP. Het kan een adres zijn dat is toegewezen aan de loopback-interface op het apparaat (zowel een normaal IP-adres of een APIPA-adres). Als uw apparaat gebruikmaakt van een APIPA-adres voor BGP, moet u een of meer APIPA BGP-IP-adressen opgeven op uw Azure VPN-gateway, zoals beschreven in BGP configureren. Geef deze adressen op in de bijbehorende lokale netwerkgateway die de locatie vertegenwoordigt.

Wat moet ik opgeven als adresvoorvoegsels voor mijn lokale netwerkgateway wanneer ik BGP gebruik?

Belangrijk

Dit is een wijziging van een eerder vastgelegde vereiste. Als u BGP gebruikt voor een verbinding, moet u het veld Adresruimte leeg houden voor de corresponderende lokale netwerkgateway-resource. Azure VPN-gateway voegt een hostroute intern toe aan het IP-adres van de on-premises BGP-peer via de IPsec-tunnel. Voeg de route /32 niet toe in het veld Adresruimte. Het is overbodig en als u een APIPA-adres gebruikt als het BGP-IP-adres van het on-premises VPN-apparaat, kan het niet aan het veld worden toegevoegd. Als u andere voorvoegsels toevoegt aan het veld Adresruimte, worden ze toegevoegd als statische routes in de Azure VPN-gateway, in aanvulling op de routes die via BGP zijn aangeleerd.

Kan ik hetzelfde ASN gebruiken voor on-premises VPN-netwerken en virtuele Azure-netwerken?

Nee, u moet verschillende ASN’s toewijzen aan uw on-premises netwerken en uw virtuele Azure-netwerken als u ze beide verbindt met BGP. Aan Azure VPN-gateways wordt standaard een ASN van 65515 toegewezen, onafhankelijk van of BGP is ingeschakeld voor verbinding tussen gebouwen. U kunt deze standaardwaarde onderdrukken door een andere ASN toe te wijzen bij het aanmaken van de VPN-gateway of door het ASN te wijzigen nadat de gateway is aangemaakt. U moet uw on-premises ASN's toewijzen aan de bijbehorende lokale Azure-netwerkgateways.

Welke adresvoorvoegsels maakt Azure VPN-gateways aan mij bekend?

De gateway maakt de volgende routes bekend aan uw on-premises BGP-apparaten:

  • Voorvoegsels van uw virtuele netwerkadres.
  • Adresvoorvoegsels voor alle lokale netwerkgateways die zijn verbonden met de Azure VPN-gateway.
  • Routes die afkomstig zijn van andere BGP-peeringsessies die zijn verbonden met de Azure VPN-gateway, behalve standaardroutes of routes die overlappen met een voorvoegsel van een virtueel netwerk.

Hoeveel voorvoegsels kan ik adverteren voor Azure VPN Gateway?

Azure VPN Gateway ondersteunt tot 4000 voorvoegsels. De BGP-sessie wordt verwijderd als het aantal voorvoegsels de limiet overschrijdt.

Kan ik standaardroute (0.0.0.0/0) adverteren naar Azure VPN-gateways?

Ja. Onthoud dat dit al het uitgaand verkeer van het virtueel netwerk richting uw on-premises site dwingt. Het voorkomt ook dat virtuele netwerk-VM's openbare communicatie rechtstreeks van het internet accepteren, zoals RDP of SSH vanaf het internet naar de VM's.

Kan ik de exacte voorvoegsels als de voorvoegsels van mijn virtuele netwerk adverteren?

Nee, het adverteren van dezelfde voorvoegsels als een van de adresvoorvoegsels van uw virtuele netwerk wordt door Azure geblokkeerd of gefilterd. U kunt echter een voorvoegsel aankondigen dat een superset is van wat u in Virtual Network hebt.

Als uw virtueel netwerk bijvoorbeeld adresruimte 10.0.0.0/16 gebruikt, kunt u 10.0.0.0/8 adverteren. U kunt echter niet 10.0.0.0/16 of 10.0.0.0/24 adverteren.

Kan ik BGP gebruiken met mijn verbindingen tussen virtuele netwerken?

Ja, u kunt BGP zowel gebruiken voor verbindingen tussen premises en verbindingen tussen virtuele netwerken.

Kan ik BGP combineren met niet-BGP-verbindingen voor mijn Azure VPN-gateways?

Ja, u kunt zowel BGP- als niet-BGP-verbindingen combineren voor dezelfde VPN-gateway.

Biedt Azure VPN Gateway ondersteuning voor BGP-transitroutering?

Ja, BGP-transitroutering wordt ondersteund, met uitzondering dat Azure VPN-gateways geen standaardroutes bekendmaakt aan andere BGP-peers. Om transitroutering op meerdere VPN-gateways mogelijk te maken, moet u BGP op alle tussenliggende verbindingen tussen virtuele netwerken inschakelen. Zie Over BGP voor meer informatie.

Kan ik meer dan één tunnel aanbrengen tussen een Azure VPN-gateway en mijn on-premises netwerk?

Ja, u kunt meer dan één S2S-VPN-tunnel (site naar site) aanbrengen tussen een Azure VPN-gateway en uw on-premises netwerk. Houd er wel rekening mee dat deze tunnels meetellen voor het totaal aantal tunnels voor uw Azure VPN-gateways, en dat u BGP op beide tunnels moet inschakelen.

Als u bijvoorbeeld twee redundante tunnels heeft tussen uw Azure VPN-gateway en een van uw on-premises netwerken, gebruiken ze 2 tunnels van het totaalaantal voor uw Azure VPN-gateway.

Kan ik meerdere tunnels tussen twee virtuele Azure-netwerken met BGP hebben?

Ja, maar minimaal één van de gateways voor het virtuele netwerk moet de actief/actief-configuratie hebben.

Kan ik BGP gebruiken voor S2S-VPN in een configuratie waarin zowel Azure ExpressRoute als S2S-VPN wordt gebruikt?

Ja.

Wat moet ik toevoegen aan mijn on-premises VPN-apparaat voor de BGP-peeringsessie?

Voeg een hostroute van het IP-adres van de Azure BGP-peer toe aan uw VPN-apparaat. Deze route verwijst naar de IPsec S2S-VPN-tunnel. Als het Azure VPN-peer-IP-adres bijvoorbeeld 10.12.255.30 is, dient u een hostroute toe te voegen voor 10.12.255.30 met een nexthop-interface van de overeenkomende IPsec-tunnelinterface op uw VPN-apparaat.

Ondersteunt de virtuele netwerkgateway BFD voor S2S-verbindingen met BGP?

Nee. Bidirectional Forwarding Detection (BFD) is een protocol dat u met BGP kunt gebruiken om downtime van buren sneller te detecteren dan met behulp van standaard BGP -keepalives. BFD maakt gebruik van timers van minder dan een tweede die zijn ontworpen om te werken in LAN-omgevingen, maar niet via de openbare internet- of Wide Area Network-verbindingen.

Voor verbindingen via het openbare internet is het niet ongebruikelijk dat bepaalde pakketten worden vertraagd of zelfs wegvallen. Door deze agressieve timers te introduceren, ontstaat er instabiliteit. Die instabiliteit zorgt er mogelijk voor dat routes worden gedempt door BGP. Als alternatief kunt u uw on-premises apparaat configureren met timers die lager zijn dan de standaard keepalive-interval van 60 seconden en de holdtimer van 180 seconden. Dat leidt tot een snellere convergentietijd.

Initiëren Azure VPN-gateways BGP-peeringsessies of -verbindingen?

De gateway initieert BGP-peeringsessies naar de on-premises BGP-peer-IP-adressen die zijn opgegeven in de resources van de lokale netwerkgateway met behulp van de privé-IP-adressen op de VPN-gateways. Dit is ongeacht of de on-premises BGP-IP-adressen zich in het APIPA-bereik bevinden of normale privé-IP-adressen. Als uw on-premises VPN-apparaten APIPA-adressen als BGP-IP gebruiken, moet u uw BGP-luidspreker configureren om de verbindingen te initiëren.

Kan ik geforceerde tunneling configureren?

Ja. Zie Configure forced tunneling (Geforceerde tunneling configureren).

NAT

Wordt NAT ondersteund op alle Azure VPN Gateway-SKU's?

NAT wordt ondersteund op VpnGw2~5 en VpnGw2AZ~5AZ.

Kan ik NAT gebruiken voor VNet-naar-VNet- of P2S-verbindingen?

Nee, NAT wordt alleen ondersteund voor IPsec-cross-premises verbindingen.

Hoeveel NAT-regels kan ik gebruiken op een VPN-gateway?

U kunt maximaal 100 NAT-regels maken (regels voor inkomend en uitgaand verkeer gecombineerd) op een VPN-gateway.

Kan ik / gebruiken in de naam van een NAT-regel?

Nee. Er wordt een foutmelding weergegeven.

Wordt NAT toegepast op alle verbindingen op een VPN-gateway?

NAT wordt toegepast op de verbindingen met NAT-regels. Als een verbinding geen NAT-regel heeft, wordt NAT niet van kracht op die verbinding. Op dezelfde VPN-gateway kunt u sommige verbindingen met NAT hebben en andere verbindingen zonder DAT NAT samenwerken.

Welke typen NAT worden ondersteund op Azure VPN-gateways?

Alleen statische 1:1 NAT en Dynamische NAT worden ondersteund. NAT64 wordt NIET ondersteund.

Werkt NAT op actief-actief VPN-gateways?

Ja. NAT werkt op zowel actief-actief- als actief-stand-by VPN-gateways.

Werkt NAT met BGP-verbindingen?

Ja, u kunt BGP gebruiken met NAT. Hier volgen enkele belangrijke overwegingen:

  • Selecteer BGP-routeomzetting inschakelen op de configuratiepagina nat-regels om ervoor te zorgen dat de geleerde routes en geadverteerde routes worden omgezet in post-NAT-adresvoorvoegsels (externe toewijzingen) op basis van de NAT-regels die zijn gekoppeld aan de verbindingen. U moet ervoor zorgen dat de on-premises BGP-routers de exacte voorvoegsels adverteren zoals gedefinieerd in de IngressSNAT-regels.

  • Als de on-premises VPN-router een gewoon, niet-APIPA-adres gebruikt en deze botst met de VNet-adresruimte of andere on-premises netwerkruimten, moet u ervoor zorgen dat de regel IngressSNAT het ip-adres van de BGP-peer vertaalt naar een uniek, niet-overlappend adres en het post-NAT-adres in het veld BGP-peer-IP-adres van de lokale netwerkgateway plaatst.

  • NAT wordt niet ondersteund met BGP APIPA-adressen.

Moet ik de overeenkomende DNAT-regels maken voor de SNAT-regel?

Nee. Eén SNAT-regel definieert de vertaling voor beide richtingen van een bepaald netwerk:

  • Een ingressSNAT-regel definieert de vertaling van de bron-IP-adressen die vanuit het on-premises netwerk naar de Azure VPN-gateway komen. Het verwerkt ook de vertaling van de doel-IP-adressen die van het VNet naar hetzelfde on-premises netwerk vertrekken.

  • Een EgressSNAT-regel definieert de vertaling van de VNet-bron-IP-adressen die de Azure VPN-gateway verlaten op on-premises netwerken. Het verwerkt ook de vertaling van de doel-IP-adressen voor pakketten die in het VNet komen via deze verbindingen met de EgressSNAT-regel.

  • In beide gevallen zijn er geen DNAT-regels nodig.

Wat moet ik doen als mijn VNet- of lokale netwerkgatewayadresruimte twee of meer voorvoegsels heeft? Kan ik NAT op al deze taken toepassen? Of gewoon een subset?

U moet één NAT-regel maken voor elk voorvoegsel dat u nodig hebt voor NAT, omdat elke NAT-regel slechts één adresvoorvoegsel voor NAT kan bevatten. Als de adresruimte van de lokale netwerkgateway bijvoorbeeld bestaat uit 10.0.1.0/24 en 10.0.2.0/25, kunt u twee regels maken, zoals hieronder wordt weergegeven:

  • Regel 1 voor inkomend verkeer: Wijs 10.0.1.0/24 toe aan 100.0.1.0/24
  • Regel 2 voor inkomend verkeer: 10.0.2.0/25 toewijzen aan 100.0.2.0/25

De twee regels moeten overeenkomen met de lengte van het voorvoegsel van de bijbehorende adresvoorvoegsels. Hetzelfde geldt voor EgressSNAT-regels voor VNet-adresruimte.

Belangrijk

Als u slechts één regel koppelt aan de bovenstaande verbinding, wordt de andere adresruimte NIET vertaald.

Welke IP-bereiken kan ik gebruiken voor externe toewijzing?

U kunt elk geschikt IP-bereik gebruiken dat u wilt gebruiken voor externe toewijzing, inclusief openbare en persoonlijke IP-adressen.

Kan ik verschillende EgressSNAT-regels gebruiken om mijn VNet-adresruimte te vertalen naar verschillende voorvoegsels naar verschillende on-premises netwerken?

Ja, u kunt meerdere EgressSNAT-regels maken voor dezelfde VNet-adresruimte en de EgressSNAT-regels toepassen op verschillende verbindingen. Voor de verbindingen zonder een EgressSNAT-regel:

Kan ik dezelfde regel voor inkomend verkeer gebruiken voor verschillende verbindingen?

Ja, dit wordt meestal gebruikt wanneer de verbindingen voor hetzelfde on-premises netwerk zijn bedoeld om redundantie te bieden. U kunt niet dezelfde regel voor inkomend verkeer gebruiken als de verbindingen voor verschillende on-premises netwerken zijn.

Heb ik zowel regels voor inkomend verkeer als regels voor uitgaand verkeer nodig voor een NAT-verbinding?

U hebt zowel regels voor inkomend verkeer als regels voor uitgaand verkeer nodig op dezelfde verbinding wanneer de adresruimte van het on-premises netwerk overlapt met de VNet-adresruimte. Als de VNet-adresruimte uniek is tussen alle verbonden netwerken, hebt u de EgressSNAT-regel niet nodig voor deze verbindingen. U kunt de regels voor inkomend verkeer gebruiken om adresoverlapping tussen de on-premises netwerken te voorkomen.

Wat kies ik als 'IP-configuratie-id'?

'IP-configuratie-id' is gewoon de naam van het IP-configuratieobject dat u wilt gebruiken voor de NAT-regel. Met deze instelling kiest u eenvoudig welk openbaar IP-adres van de gateway van toepassing is op de NAT-regel. Als u geen aangepaste naam hebt opgegeven tijdens het maken van de gateway, wordt het primaire IP-adres van de gateway toegewezen aan de 'standaard'-IP-configuratie en wordt het secundaire IP-adres toegewezen aan de IPconfiguration 'activeActive'.

Connectiviteit en virtuele machines voor meerdere gebouwen

Als de virtuele machine zich in een virtueel netwerk bevindt en ik een cross-premises-verbinding heb, hoe moet ik dan verbinding maken met de virtuele machine?

U hebt een aantal opties. Als u RDP hebt ingeschakeld voor uw virtuele machine, kunt u het particuliere IP-adres gebruiken om verbinding te maken met uw virtuele machine. In dat geval geeft u het particuliere IP-adres op en de poort waarmee u verbinding wilt maken (meestal 3389). U moet de poort op de virtuele machine configureren voor het verkeer.

U kunt uw virtuele machine ook verbinden met behulp van het particuliere IP-adres van een andere virtuele machine die zich in hetzelfde virtuele netwerk bevindt. U kunt geen RDP uitvoeren naar uw virtuele machine met behulp van het privé-IP-adres als u verbinding maakt vanaf een locatie buiten uw virtuele netwerk. Als u bijvoorbeeld een punt-naar-site-virtueel netwerk hebt geconfigureerd en u geen verbinding tot stand brengt vanaf uw computer, kunt u geen verbinding maken met de virtuele machine via een privé-IP-adres.

Als mijn virtuele machine zich in een virtueel netwerk met cross-premises-connectiviteit bevindt, gaat al het verkeer vanuit mijn VM dan langs die verbinding?

Nee. Alleen het verkeer met een doel-IP dat zich bevindt in de door u opgegeven IP-adresbereiken van het lokale netwerk van het virtuele netwerk, loopt via de gateway van het virtuele netwerk. Verkeer met een doel-IP binnen het virtuele netwerk blijft in het virtuele netwerk. Ander verkeer wordt via de load balancer verzonden naar de openbare netwerken, tenzij geforceerde tunneling wordt gebruikt. In dat geval wordt het verzonden via de Azure VPN-gateway.

Hoe los ik problemen met de RDP-verbinding met een VM op?

Als u problemen ondervindt bij het verbinding maken met een virtuele machine via de VPN-verbinding, controleert u het volgende:

  • Controleer of uw VPN-verbinding tot stand is gebracht.
  • Controleer of u verbinding maakt met het privé-IP-adres voor de VM.
  • Als u verbinding met de VM kunt maken met behulp van het privé-IP-adres, maar niet met de computernaam, controleert u of DNS correct is geconfigureerd. Zie Naamomzetting voor VM's voor meer informatie over de werking van naamomzetting voor VM's.

Als u verbinding via punt-naar-site maakt, controleert u de volgende extra items:

  • Gebruik de opdracht 'ipconfig' om het IPv4-adres te controleren dat is toegewezen aan de ethernetadapter op de computer waarmee u de verbinding tot stand brengt. Als het IP-adres zich binnen het adresbereik bevindt van het VNet waarmee u verbinding maakt of binnen het adresbereik van uw VPNClientAddressPool, wordt dit een overlappende adresruimte genoemd. Als uw adresruimte op deze manier overlapt, kan het netwerkverkeer Azure niet bereiken en blijft het in het lokale netwerk.
  • Controleer of het configuratiepakket voor de VPN-client is gegenereerd nadat de IP-adressen van de DNS-server zijn opgegeven voor het VNet. Als u de IP-adressen van de DNS-server hebt bijgewerkt, genereert en installeert u een nieuw configuratiepakket voor de VPN-client.

Zie Problemen met Extern-bureaubladverbindingen met een VM oplossen voor meer informatie over het oplossen van problemen met Extern-bureaubladverbindingen.

Veelgestelde vragen over Virtual Network

U kunt aanvullende informatie over het virtuele netwerk bekijken in de veelgestelde vragen over Virtual Network.

Volgende stappen

"OpenVPN" is een handelsmerk van OpenVPN Inc.