Delen via


Veelgestelde vragen VPN Gateway

Verbinding maken met virtuele netwerken

Kan ik virtuele netwerken in verschillende Azure-regio's verbinden?

Ja. Er is geen regiobeperking. Een virtueel netwerk kan verbinding maken met een ander virtueel netwerk in dezelfde regio of in een andere Azure-regio.

Kan ik virtuele netwerken uit verschillende abonnementen verbinden?

Ja.

Kan ik privé-DNS-servers opgeven in mijn VNet bij het configureren van een VPN-gateway?

Als u een DNS-server of -servers hebt opgegeven bij het maken van uw virtuele netwerk, gebruikt VPN Gateway de DNS-servers die u hebt opgegeven. Als u een DNS-server opgeeft, controleert u of uw DNS-server de domeinnamen kan omzetten die nodig zijn voor Azure.

Kan ik vanuit één virtueel netwerk verbinding maken met meerdere sites?

U kunt verbinding maken met meerdere sites met behulp van Windows PowerShell en de REST-API's van Azure. Raadpleeg de sectie Veelgestelde vragen bij Multi-site- en VNet-naar-VNet-connectiviteit.

Zijn er extra kosten verbonden aan het instellen van een VPN-gateway als actief-actief?

Nee Er worden echter kosten in rekening gebracht voor eventuele extra openbare IP-adressen. Zie prijzen voor IP-adressen.

Wat zijn de opties voor cross-premises-verbinding?

De volgende cross-premises virtuele netwerkgatewayverbindingen worden ondersteund:

  • Site-naar-site: VPN-verbinding via IPsec (IKE v1 en IKE v2). Voor dit type verbinding is een VPN-apparaat of RRAS vereist. Zie site-naar-site voor meer informatie.
  • Punt-naar-site: VPN-verbinding via SSTP (Secure Socket Tunneling Protocol) of IKE v2. Voor deze verbinding is geen VPN-apparaat vereist. Zie Punt-naar-site voor meer informatie.
  • VNet-naar-VNet: dit type verbinding is hetzelfde als een site-naar-site-configuratie. VNet-naar-VNet is een VPN-verbinding via IPsec (IKE v1 en IKE v2). Hiervoor is geen VPN-apparaat vereist. Zie VNet-naar-VNet voor meer informatie.
  • ExpressRoute: ExpressRoute is een privéverbinding met Azure vanuit uw WAN, niet een VPN-verbinding via het openbare internet. Raadpleeg het Technisch overzicht van ExpressRoute en de Veelgestelde vragen over ExpressRoute voor meer informatie.

Zie Over VPN Gateway voor meer informatie over VPN Gateway-verbindingen.

Wat is het verschil tussen een site-naar-site-verbinding en punt-naar-site?

Site-naar-site-configuraties (IPsec/IKE VPN-tunnel) bevinden zich tussen uw on-premises locatie en Azure. Dit betekent dat u vanaf elke computer op uw locatie verbinding kunt maken met elke virtuele machine of rolinstantie binnen uw virtuele netwerk, afhankelijk van hoe u routering en machtigingen wilt configureren. Het is een uitstekende optie voor een altijd beschikbare cross-premises verbinding en is zeer geschikt voor hybride configuraties. Dit type verbinding is afhankelijk van een IPsec-VPN-apparaat (hardwareapparaat of software) dat aan de rand van uw netwerk moet worden geïmplementeerd. Als u dit type verbinding wilt maken, moet u een extern gericht IPv4-adres hebben.

Met punt-naar-site-configuraties (VPN via SSTP) kunt u vanaf één computer vanaf elke locatie verbinding maken met alles wat zich in uw virtuele netwerk bevindt. Hiervoor wordt de met Windows meegeleverde VPN-client gebruikt. Als onderdeel van de punt-naar-site-configuratie installeert u een certificaat en een VPN-clientconfiguratiepakket, dat de instellingen bevat waarmee uw computer verbinding kan maken met een virtuele machine of rolinstantie in het virtuele netwerk. Het is ideaal wanneer u verbinding wilt maken met een virtueel netwerk maar u zich niet on-premises bevindt. Het is ook een goede optie wanneer u geen toegang hebt tot VPN-hardware of een extern gericht IPv4-adres, die beide vereist zijn voor een site-naar-site-verbinding.

U kunt uw virtuele netwerk zo configureren dat zowel site-naar-site als punt-naar-site gelijktijdig worden gebruikt, zolang u uw site-naar-site-verbinding maakt met een op route gebaseerd VPN-type voor uw gateway. Op route gebaseerde VPN-typen worden in het klassieke implementatiemodel dynamische gateways genoemd.

Onderbreekt een onjuiste configuratie van aangepaste DNS de normale werking van Azure VPN Gateway?

Voor een normale werking moet de Azure VPN Gateway een beveiligde, verplichte verbinding met het Azure-besturingsvlak tot stand brengen, mogelijk gemaakt via openbare IP-adressen. Deze verbinding is afhankelijk van het omzetten van communicatie-eindpunten via openbare URL's. Azure Virtual Networks (VNets) maken standaard gebruik van de ingebouwde Azure DNS (168.63.129.16) om deze openbare URL's op te lossen, waardoor naadloze communicatie tussen de Azure VPN Gateway en het Azure-besturingsvlak mogelijk is.

Bij de implementatie van een aangepaste DNS binnen het VNet is het van cruciaal belang om een DNS-doorstuurserver te configureren die verwijst naar de systeemeigen DNS van Azure (168.63.129.16), om ononderbroken communicatie tussen de VPN-gateway en het besturingsvlak te behouden. Het instellen van een DNS-doorstuurserver naar de systeemeigen Azure DNS kan voorkomen dat Microsoft bewerkingen en onderhoud uitvoert op de Azure VPN Gateway, waardoor er een beveiligingsrisico bestaat.

Overweeg een van de volgende DNS-configuraties in VNet om de juiste functionaliteiten en een goede status voor uw VPN-gateway te hebben:

  1. Ga terug naar de standaardeigen Azure DNS door de aangepaste DNS te verwijderen in de VNet-instellingen (aanbevolen configuratie).
  2. Voeg uw aangepaste DNS-configuratie toe aan een DNS-doorstuurserver die verwijst naar de systeemeigen Azure DNS (IP-adres: 168.63.129.16). Gezien de specifieke regels en aard van uw aangepaste DNS, kan dit probleem mogelijk niet worden opgelost en opgelost zoals verwacht.

Privacy

Slaat de VPN-service klantgegevens op of verwerkt deze?

Nee

Virtuele netwerkgateways

Is een VPN-gateway een virtuele netwerkgateway?

Een VPN Gateway is een type virtuele netwerkgateway. Een VPN-gateway verzendt via een openbare verbinding versleuteld verkeer tussen uw virtuele netwerk en uw on-premises locatie. U kunt ook een VPN-gateway gebruiken om verkeer te verzenden tussen virtuele netwerken. Wanneer u een VPN-gateway maakt, kunt u de waarde -GatewayType-waarde Vpn gebruiken. Zie Informatie over VPN-gatewayconfiguratie-instellingen voor meer informatie.

Waarom kan ik geen VPN-typen op basis van beleid en route opgeven?

Vanaf 1 oktober 2023 kunt u geen op beleid gebaseerde VPN-gateway maken via Azure Portal. Alle nieuwe VPN-gateways worden automatisch gemaakt als op route gebaseerd. Als u al een op beleid gebaseerde gateway hebt, hoeft u uw gateway niet te upgraden naar op route gebaseerd. U kunt Powershell/CLI gebruiken om de op beleid gebaseerde gateways te maken.

Voorheen bieden de oudere gateway-SKU's geen ondersteuning voor IKEv1 voor op route gebaseerde gateways. De meeste huidige gateway-SKU's ondersteunen nu zowel IKEv1 als IKEv2.

VPN-type gateway Gateway-SKU ONDERSTEUNDE IKE-versies
Gateway op basis van beleid Basis IKEv1
Gateway op basis van route Basis IKEv2
Gateway op basis van route VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 en IKEv2
Gateway op basis van route VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 en IKEv2

Kan ik mijn op beleid gebaseerde VPN-gateway bijwerken naar op route gebaseerd?

Nee Een gatewaytype kan niet worden gewijzigd van op beleid gebaseerd op route of van op route gebaseerd op beleid. Als u een gatewaytype wilt wijzigen, moet de gateway worden verwijderd en opnieuw worden gemaakt. Dit proces duurt ongeveer 60 minuten. Wanneer u de nieuwe gateway maakt, kunt u het IP-adres van de oorspronkelijke gateway niet behouden.

  1. Verwijder alle verbindingen die zijn gekoppeld aan de gateway.

  2. Verwijder de gateway met behulp van een van de volgende artikelen:

  3. Maak een nieuwe gateway met het gewenste gatewaytype en voltooi vervolgens de VPN-installatie. Zie de zelfstudie site-naar-site voor stappen.

Kan ik mijn eigen op beleid gebaseerde verkeersselectors opgeven?

Ja, verkeersselectors kunnen worden gedefinieerd via het kenmerk trafficSelectorPolicies op een verbinding via de opdracht New-AzIpsecTrafficSelectorPolicy PowerShell. Zorg ervoor dat de optie Op beleid gebaseerde verkeerskiezers is ingeschakeld om de opgegeven verkeerskiezer van kracht te laten worden.

De aangepaste geconfigureerde verkeerskiezers worden alleen voorgesteld wanneer een Azure VPN-gateway de verbinding initieert. Een VPN-gateway accepteert alle verkeerkiezers die worden voorgesteld door een externe gateway (on-premises VPN-apparaat). Dit gedrag is consistent tussen alle verbindingsmodi (Default, InitiatorOnly en ResponderOnly).

Heb ik een gatewaysubnet nodig?

Ja. Het gatewaysubnet bevat de IP-adressen waarvan de virtuele-netwerkgatewayservices gebruik van maken. U moet een gatewaysubnet voor uw virtuele netwerk maken om een virtuele netwerkgateway te configureren. Voor een goede werking moeten alle gatewaysubnetten de naam GatewaySubnet krijgen. Geef het gatewaysubnet geen andere naam. Implementeer ook geen VM's of iets anders in het gatewaysubnet.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gatewayservice. Bij sommige configuraties moeten er meer IP-adressen worden toegewezen aan de gatewayservices dan bij andere. U moet ervoor zorgen dat uw gatewaysubnet voldoende IP-adressen bevat om groei mogelijk te maken en om mogelijke nieuwe verbindingsconfiguraties toe te kunnen voegen. U kunt dus wel een gatewaysubnet maken met een grootte van slechts /29, maar het wordt aangeraden om een gatewaysubnet van /27 of groter te maken (/27, /26, /25 enz.). Bekijk de vereisten voor de configuratie die u wilt gebruiken en controleer of het gatewaysubnet dat u hebt, voldoet aan deze vereisten.

Kan ik Virtual Machines of rolinstanties implementeren in het gatewaysubnet?

Nee

Kan ik het IP-adres van de VPN-gateway verkrijgen voordat ik de gateway maak?

Openbare IP-resources van Azure Standard SKU moeten een statische toewijzingsmethode gebruiken. Daarom hebt u het openbare IP-adres voor uw VPN-gateway zodra u de openbare IP-resource van de Standard-SKU maakt die u hiervoor wilt gebruiken.

Kan ik een statisch openbaar IP-adres aanvragen voor mijn VPN-gateway?

Openbare IP-adresbronnen van standaard-SKU gebruiken een statische toewijzingsmethode. In de toekomst moet u een openbaar IP-adres van de Standard-SKU gebruiken wanneer u een nieuwe VPN-gateway maakt. Dit geldt voor alle gateway-SKU's, met uitzondering van de Basic-SKU. De Basic-gateway-SKU ondersteunt momenteel alleen openbare IP-adressen van de Basic-SKU. Binnenkort voegen we ondersteuning toe voor openbare IP-adressen van standard-SKU's voor Basic-gateway-SKU's.

Voor niet-zone-redundante en niet-zonegebonden gateways die eerder zijn gemaakt (gateway-SKU's zonder AZ in de naam), wordt dynamische IP-adrestoewijzing ondersteund, maar wordt uitgefaseerd. Wanneer u een dynamisch IP-adres gebruikt, verandert het IP-adres niet nadat het is toegewezen aan uw VPN-gateway. De enige keer dat het IP-adres van de VPN-gateway wordt gewijzigd, is wanneer de gateway wordt verwijderd en vervolgens opnieuw wordt gemaakt. Het openbare IP-adres van de VPN-gateway verandert niet wanneer u het formaat wijzigt, opnieuw instelt of andere interne onderhoud en upgrades van uw VPN-gateway voltooit.

Hoe is de buitengebruikstelling van openbare IP-adressen van invloed op mijn VPN-gateways?

We ondernemen actie om ervoor te zorgen dat de geïmplementeerde VPN-gateways die gebruikmaken van openbare IP-adressen van de Basic SKU, blijven werken. Als u al VPN-gateways hebt met openbare IP-adressen van de Basic SKU, hoeft u geen actie te ondernemen.

Het is echter belangrijk om te weten dat openbare IP-adressen van de basic-SKU worden uitgefaseerd. Als u in de toekomst een nieuwe VPN-gateway maakt, moet u het openbare IP-adres van de Standard-SKU gebruiken. Meer informatie over het buiten gebruik stellen van openbare IP-adressen van basic-SKU's vindt u hier.

Hoe wordt mijn VPN-tunnel geverifieerd?

Azure VPN maakt gebruik van PSK-verificatie (verificatie op basis van een vooraf gedeelde sleutel). Er wordt een PSK (vooraf gedeelde sleutel) gegenereerd wanneer de VPN-tunnel wordt gemaakt. U kunt de automatisch gegenereerde PSK wijzigen in uw eigen met de PowerShell-cmdlet voor vooraf gedeelde sleutels of REST API instellen.

Kan ik de API Set Pre-Shared Key gebruiken om een op beleid gebaseerde VPN-gateway (statische routering) te configureren?

Ja, u kunt de API en PowerShell-cmdlet Set Pre-Shared Key gebruiken om zowel op beleid gebaseerde (statische) VPN's als op route gebaseerde VPN's (dynamische routering) van Azure te configureren.

Kan ik andere verificatieopties gebruiken?

We zijn beperkt tot het gebruik van vooraf gedeelde sleutels (PSK) voor verificatie.

Hoe geef ik op welk verkeer via de VPN-gateway loopt?

Resource Manager-implementatiemodel

  • PowerShell: gebruik 'AddressPrefix' om verkeer voor de gateway van het lokale netwerk op te geven.
  • Azure Portal: navigeer naar de adresruimte voor de configuratie > van de lokale netwerkgateway>.

Klassiek implementatiemodel

  • Azure Portal: navigeer naar de klassieke VPN-verbindingen van virtuele netwerken > site-naar-site-VPN-verbindingen > lokale sitenaam > lokale site > clientadresruimte.>

Kan ik NAT-T gebruiken op mijn VPN-verbindingen?

Ja, NAT-traversal (NAT-T) wordt ondersteund. Azure VPN Gateway voert geen NAT-achtige functionaliteit uit op de binnenste pakketten naar/van de IPsec-tunnels. Zorg ervoor dat het on-premises apparaat de IPSec-tunnel initieert in deze configuratie.

Kan ik mijn eigen VPN-server in Azure instellen en deze gebruiken om verbinding te maken met mijn on-premises netwerk?

Ja, kunt u uw eigen VPN-gateways of -servers in Azure implementeren vanuit de Azure Marketplace of door uw eigen VPN-routers te implementeren. U moet door de gebruiker gedefinieerde routes in uw virtuele netwerk configureren om ervoor te zorgen dat verkeer correct wordt gerouteerd tussen uw on-premises netwerken en de subnetten van uw virtuele netwerk.

Waarom worden bepaalde poorten geopend op mijn virtuele netwerkgateway?

Ze zijn vereist voor communicatie met de Azure-infrastructuur. Ze worden beveiligd (vergrendeld) door Azure-certificaten. Zonder de juiste certificaten kunnen externe entiteiten, inclusief de klanten van deze gateways, geen effect hebben op deze eindpunten.

Een virtuele netwerkgateway is in wezen een multi-homed apparaat met één NIC die gebruikmaakt van het particuliere netwerk van de klant en één NIC die gericht is op het openbare netwerk. Azure-infrastructuurentiteiten kunnen om nalevingsredenen geen gebruik maken van particuliere netwerken van klanten, zodat ze openbare eindpunten moeten gebruiken voor infrastructuurcommunicatie. De openbare eindpunten worden periodiek gescand door de beveiligingscontrole van Azure.

Kan ik een VPN-gateway maken met de Basic-gateway-SKU in de portal?

Nee De Basic-SKU is niet beschikbaar in de portal. U kunt een Basic SKU VPN-gateway maken met behulp van Azure CLI of PowerShell.

Waar vind ik informatie over gatewaytypen, vereisten en doorvoer?

Zie de volgende artikelen:

Afschaffing van SKU's voor verouderde SKU's

De Standard- en High Performance-SKU's worden op 30 september 2025 afgeschaft. U kunt de aankondiging hier bekijken. Het productteam maakt tegen 30 november 2024 een migratiepad beschikbaar voor deze SKU's. Zie het artikel over verouderde SKU's van VPN Gateway voor meer informatie. Op dit moment is er geen actie die u moet ondernemen.

Kan ik een nieuwe Standard/High Performance SKU maken na de afschaffingsaankondiging op 30 november 2023?

Nee Vanaf 1 december 2023 kunt u geen nieuwe gateways maken met Standard- of High Performance-SKU's. U kunt nieuwe gateways maken met VpnGw1 en VpnGw2 voor dezelfde prijs als de Standard- en High Performance-SKU's, die respectievelijk op onze prijspagina worden vermeld.

Hoe lang worden mijn bestaande gateways ondersteund op Standard-/High Performance-SKU's?

Alle bestaande gateways die gebruikmaken van Standard- of High Performance-SKU's, worden ondersteund tot 30 september 2025.

Moet ik nu mijn Standard/High Performance gateway-SKU's migreren?

Nee, er is momenteel geen actie vereist. Vanaf december 2024 kunt u uw SKU's migreren. We sturen communicatie met gedetailleerde documentatie over de migratiestappen.

Naar welke SKU kan ik mijn gateway migreren?

Wanneer gateway-SKU-migratie beschikbaar komt, kunnen SKU's als volgt worden gemigreerd:

  • Standaard -> VpnGw1
  • Hoge prestaties -> VpnGw2

Wat moet ik doen als ik wil migreren naar een AZ-SKU?

U kunt uw verouderde SKU niet migreren naar een AZ-SKU. Houd er echter rekening mee dat alle gateways die na 30 september 2025 nog steeds gebruikmaken van Standard- of High Performance-SKU's, automatisch worden gemigreerd en bijgewerkt naar de volgende SKU's:

  • Standaard -> VpnGw1AZ
  • Hoge prestaties -> VpnGw2AZ

U kunt deze strategie gebruiken om ervoor te zorgen dat uw SKU's automatisch worden gemigreerd en geüpgraded naar een AZ-SKU. U kunt vervolgens de grootte van uw SKU binnen die SKU-familie wijzigen, indien nodig. Bekijk onze pagina met prijzen voor AZ SKU. Zie Over gateway-SKU's voor doorvoerinformatie per SKU.

Is er een prijsverschil voor mijn gateways na de migratie?

Als u uw SKU's tegen 30 september 2025 migreert, is er geen prijsverschil. VpnGw1- en VpnGw2-SKU's worden aangeboden tegen dezelfde prijs als respectievelijk Standard- en High Performance-SKU's. Als u op die datum niet migreert, worden uw SKU's automatisch gemigreerd en geüpgraded naar AZ-SKU's. In dat geval is er een prijsverschil.

Heeft dit invloed op de prestaties van mijn gateways met deze migratie?

Ja, u krijgt betere prestaties met VpnGw1 en VpnGw2. Op dit moment biedt VpnGw1 met 650 Mbps een 6,5x en VpnGw2 bij 1 Gbps een prestatieverbetering van 5x tegen dezelfde prijs als de verouderde Standard- en High Performance-gateways. Zie Over gateway-SKU's voor meer informatie over SKU-doorvoer.

Wat gebeurt er als ik SKU's niet per 30 september 2025 migreer?

Alle gateways die nog steeds gebruikmaken van Standard- of High Performance-SKU's, worden automatisch gemigreerd en bijgewerkt naar de volgende AZ-SKU's:

  • Standaard -> VpnGw1AZ
  • Hoge prestaties -> VpnGw2AZ

De uiteindelijke communicatie wordt verzonden voordat de migratie op gateways wordt gestart.

Wordt de basic SKU van VPN Gateway ook buiten gebruik gesteld?

Nee, de BASIC SKU van VPN Gateway is er om te blijven. U kunt een VPN-gateway maken met behulp van de Basic-gateway-SKU via PowerShell of CLI. Momenteel ondersteunen VPN Gateway Basic-gateway-SKU's alleen de openbare IP-adresresource van de Basic-SKU (die zich op een pad naar buitengebruikstelling bevindt). We werken aan het toevoegen van ondersteuning aan de basic-gateway-SKU voor de openbare IP-adresresource van de Standard-SKU.

Site-naar-site-verbindingen en VPN-apparaten

Waaraan moet ik denken bij het selecteren van een VPN-apparaat?

We hebben een set standaard site-naar-site VPN-apparaten gevalideerd in samenwerking met apparaatleveranciers. In het artikel Over VPN-apparaten vindt u een lijst met bekende compatibele VPN-apparaten, de bijbehorende configuratie-instructies of -voorbeelden en apparaatspecificaties. Alle apparaten in de vermelde apparaatfamilies die als compatibel worden weergegeven, zouden met Virtual Network moeten werken. Als hulp bij de configuratie van uw VPN-apparaat kunt u het voorbeeld van de apparaatconfiguratie raadplegen of de koppeling bij de betreffende apparaatfamilie.

Waar vind ik configuratie-instellingen voor VPN-apparaten?

Om configuratiescripts voor VPN-apparaten te downloaden

Afhankelijk van het VPN-apparaat dat u hebt, kunt u mogelijk een script van VPN-apparaatconfiguratie downloaden. Zie voor meer informatie Configuratiescripts van VPN-apparaat downloaden.

Zie de volgende links voor meer informatie over configuratie:

Hoe bewerk ik voorbeelden van VPN-apparaatconfiguraties?

Zie Bewerkingsvoorbeelden voor voorbeelden van het bewerken van de apparaatconfiguratie.

Waar vind ik IPsec- en IKE-parameters?

Zie Parameters voor de IPsec-/IKE-parameters.

Waarom wordt mijn op beleid gebaseerde VPN-tunnel inactief als er geen verkeer is?

Dit is normaal voor op beleid gebaseerde VPN-gateways (ook wel bekend als statische routering genoemd). Wanneer het verkeer over de tunnel langer dan 5 minuten inactief is, wordt de tunnel afgebroken. Wanneer het verkeer in beide richtingen stroomt, wordt de tunnel onmiddellijk hersteld.

Kan ik software-VPN's gebruiken om verbinding te maken met Azure?

We ondersteunen Windows Server 2012 Routing and Remote Access (RRAS) servers voor site-naar-site cross-premises configuratie.

Andere VPN-softwareoplossingen zouden in principe met onze gateway moeten werken zolang ze voldoen aan de standaard-IPSec-implementaties. Neem contact op met de leverancier van de software voor configuratie- en ondersteuningsinstructies.

Kan ik via punt-naar-site verbinding maken met een VPN-gateway wanneer ik me op een site bevindt die een actieve site-naar-site-verbinding heeft?

Ja, maar het openbare IP-adres(en) van de punt-naar-site-client moet afwijken van het openbare IP-adres(en) dat wordt gebruikt door het site-naar-site-VPN-apparaat, anders werkt de punt-naar-site-verbinding niet. punt-naar-site-verbindingen met IKEv2 kunnen niet worden gestart vanuit dezelfde openbare IP-adressen waar een site-naar-site-VPN-verbinding is geconfigureerd op dezelfde Azure VPN-gateway.

Punt-naar-site - Certificaatverificatie

Deze sectie is van toepassing op het Resource Manager-implementatiemodel.

Hoeveel VPN-clienteindpunten kan ik hebben in mijn punt-naar-site-configuratie?

Dit is afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.

Welke clientbesturingssystemen kan ik gebruiken met punt-naar-site?

De volgende clientbesturingssystemen worden ondersteund:

  • Windows Server 2008 R2 (alleen 64-bits)
  • Windows 8.1 (32-bits en 64-bits)
  • Windows Server 2012 (alleen 64-bits)
  • Windows Server 2012 R2 (alleen 64-bits)
  • Windows Server 2016 (alleen 64-bits)
  • Windows Server 2019 (alleen 64-bits)
  • Windows Server 2022 (alleen 64-bits)
  • Windows 10
  • Windows 11
  • macOS versie 10.11 of hoger
  • Linux (StrongSwan)
  • iOS

Kan ik proxy's en firewalls doorkruisen met behulp van punt-naar-site-functionaliteit?

ondersteuning voor Azure drie typen punt-naar-site-VPN-opties:

  • Secure Socket Tunneling Protocol (SSTP). SSTP is een bedrijfseigen, op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • OpenVPN. OpenVPN is een op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • IKEv2 VPN. IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van uitgaande UDP-poorten 500 en 4500 en IP-protocol nr. 50. Firewalls openen deze poorten niet altijd, dus er is een mogelijkheid dat IKEv2 VPN geen proxy's en firewalls kan doorkruisen.

Als ik een clientcomputer die is geconfigureerd voor punt-naar-site opnieuw opstart, wordt de VPN automatisch opnieuw verbonden?

Automatische opnieuw verbinding maken is een functie van de client die wordt gebruikt. Windows biedt ondersteuning voor automatische opnieuw verbinding maken door de functie AlwaysOn VPN-client te configureren.

Biedt punt-naar-site ondersteuning voor DDNS op de VPN-clients?

DDNS wordt momenteel niet ondersteund in punt-naar-site-VPN's.

Kan ik site-naar-site- en punt-naar-site-configuraties naast elkaar gebruiken voor hetzelfde virtuele netwerk?

Ja. Voor het Resource Manager-implementatiemodel moet u een RouteBased VPN-type hebben voor uw gateway. Voor het klassieke implementatiemodel hebt u een dynamische gateway nodig. Punt-naar-site wordt niet ondersteund voor VPN-gateways voor statische routering of PolicyBased VPN-gateways.

Kan ik een punt-naar-site-client configureren om tegelijkertijd verbinding te maken met meerdere virtuele netwerkgateways?

Afhankelijk van de gebruikte VPN-clientsoftware, kunt u mogelijk verbinding maken met meerdere virtuele netwerkgateways, mits de virtuele netwerken waarmee verbinding wordt gemaakt geen conflicterende adresruimten hebben of het netwerk van waaruit de client verbinding maakt. Hoewel de Azure VPN Client ondersteuning biedt voor veel VPN-verbindingen, kan er maar één verbinding tegelijk Verbonden zijn.

Kan ik een punt-naar-site-client configureren om tegelijkertijd verbinding te maken met meerdere virtuele netwerken?

Ja, punt-naar-site-clientverbindingen met een virtuele netwerkgateway die is geïmplementeerd in een VNet dat is gekoppeld aan andere VNets, heeft mogelijk toegang tot andere gekoppelde VNets. Punt-naar-site-clients kunnen verbinding maken met gekoppelde VNets zolang de gekoppelde VNets gebruikmaken van de functies UseRemoteGateway/AllowGatewayTransit. Zie Over punt-naar-site-routering voor meer informatie.

Hoeveel doorvoer kan ik verwachten via site-naar-site- of punt-naar-site-verbindingen?

Het is moeilijk om de exacte doorvoer van de VPN-tunnels te onderhouden. IPSec en SSTP zijn cryptografisch zware VPN-protocollen. Doorvoer wordt ook beperkt door de latentie en bandbreedte tussen uw locatie en het internet. Voor een VPN-gateway met alleen IKEv2-punt-naar-site-VPN-verbindingen is de totale doorvoer die u kunt verwachten, afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over doorvoer.

Kan ik een software-VPN-client gebruiken voor punt-naar-site die ondersteuning biedt voor SSTP en/of IKEv2?

Nee U kunt alleen de systeemeigen VPN-client van Windows voor SSTP en de systeemeigen VPN-client van Mac voor IKEv2 gebruiken. U kunt echter de OpenVPN-client op alle platforms gebruiken om verbinding te maken via het OpenVPN-protocol. Raadpleeg de lijst met ondersteunde clientbesturingssystemen.

Kan ik het verificatietype voor een punt-naar-site-verbinding wijzigen?

Ja. Navigeer in de portal naar de VPN-gateway -> punt-naar-site-configuratiepagina . Selecteer voor verificatietype de verificatietypen die u wilt gebruiken. Nadat u een wijziging hebt aangebracht in een verificatietype, kunnen huidige clients mogelijk geen verbinding maken totdat een nieuw CONFIGURATIEprofiel voor de VPN-client is gegenereerd, gedownload en toegepast op elke VPN-client.

Wanneer moet ik een nieuw configuratiepakket voor vpn-clientprofielen genereren?

Wanneer u wijzigingen aanbrengt in de configuratie-instellingen van de P2S VPN-gateway, zoals het toevoegen van een tunneltype of het wijzigen van een verificatietype, moet u een nieuw configuratiepakket voor vpn-clientprofielen genereren. Het nieuwe pakket bevat de bijgewerkte instellingen die VPN-clients nodig hebben om correct verbinding te maken met de P2S-gateway. Nadat u het pakket hebt gegenereerd, gebruikt u de instellingen in de bestanden om de VPN-clients bij te werken.

Biedt Azure ondersteuning voor IKEv2-VPN met Windows?

IKEv2 wordt ondersteund op Windows 10 en Server 2016. Als u IKEv2 echter in bepaalde versies van het besturingssysteem wilt gebruiken, moet u updates installeren en een registersleutelwaarde lokaal instellen. Besturingssysteemversies vóór Windows 10 worden niet ondersteund en kunnen alleen SSTP of OpenVPN® Protocol gebruiken.

Notitie

Voor het windows-besturingssysteem worden nieuwere versies dan Windows 10 versie 1709 en Windows Server 2016 versie 1607 niet vereist.

Windows 10 of Server 2016 voorbereiden voor IKEv2:

  1. Installeer de update op basis van uw besturingssysteemversie:

    Besturingssysteemversie Datum Aantal/koppeling
    Windows Server 2016
    Windows 10 versie 1607
    17 januari 2018 KB4057142
    Windows 10 versie 1703 17 januari 2018 KB4057144
    Windows 10 versie 1709 22 maart 2018 KB4089848
  2. De registersleutelwaarde instellen. Maak of stel de REG_DWORD-sleutel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload' in het register in op 1.

Wat is de LIMIET van de IKEv2-verkeersselector voor punt-naar-site-verbindingen?

Windows 10 versie 2004 (uitgebracht september 2021) verhoogde de limiet voor verkeersselector tot 255. Versies van Windows ouder dan deze hebben een verkeersselectorlimiet van 25.

De limiet voor verkeersselectors in Windows bepaalt het maximum aantal adresruimten in uw virtuele netwerk en de maximale som van uw lokale netwerken, VNet-naar-VNet-verbindingen en gekoppelde VNet's die zijn verbonden met de gateway. Op Windows gebaseerde punt-naar-site-clients kunnen geen verbinding maken via IKEv2 als deze limiet wordt overschreden.

Wat is de limiet voor de OpenVPN-verkeersselector voor punt-naar-site-verbindingen?

De limiet voor verkeerskiezers voor OpenVPN is 1000 routes.

Wat gebeurt er als ik zowel SSTP als IKEv2 voor P2S-VPN-verbindingen configureer?

Wanneer u zowel SSTP als IKEv2 configureert in een gemengde omgeving (bestaande uit Windows- en Mac-apparaten), zal de Windows VPN-client altijd eerst IKEv2-tunnel proberen, maar terugvallen op SSTP als de IKEv2-verbinding niet lukt. MacOSX maakt alleen verbinding via IKEv2.

Wanneer U zowel SSTP als IKEv2 hebt ingeschakeld op de gateway, wordt de punt-naar-site-adresgroep statisch verdeeld tussen de twee, zodat clients die verschillende protocollen gebruiken IP-adressen uit een subbereik zijn. Het maximum aantal SSTP-clients is altijd 128, zelfs als het adresbereik groter is dan /24, wat resulteert in een groter aantal adressen dat beschikbaar is voor IKEv2-clients. Voor kleinere bereiken is het zwembad even gehalveerd. Verkeersselectors die door de gateway worden gebruikt, bevatten mogelijk niet het punt-naar-site-adresbereik CIDR, maar de twee subbereik-CIDR's.

Welke platformen, naast Windows en Mac, worden door Azure ondersteund voor P25-VPN?

ondersteuning voor Azure s Windows, Mac en Linux voor P2S VPN.

Ik heb al een Azure VPN-gateway geïmplementeerd. Kan ik er RADIUS en/of IKEv2 VPN voor inschakelen?

Ja, als de gateway-SKU die u gebruikt RADIUS en/of IKEv2 ondersteunt, kunt u deze functies inschakelen op gateways die u al hebt geïmplementeerd met behulp van PowerShell of Azure Portal. De Basic-SKU biedt geen ondersteuning voor RADIUS of IKEv2.

Hoe kan ik de configuratie van een P2S-verbinding verwijderen?

Een P2S-configuratie kan worden verwijderd met behulp van Azure CLI en PowerShell met behulp van de volgende opdrachten:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Wat moet ik doen als een certificaat niet overeenkomt wanneer ik verbinding maak met certificaatverificatie?

Schakel 'De identiteit van de server controleren door het certificaat te valideren' uit of voeg de FQDN van de server toe samen met het certificaat wanneer u handmatig een profiel maakt. U doet dit door rasphone uit te voeren vanuit de opdrachtprompt en het profiel te selecteren uit het vervolgkeuzemenu.

Het omzeilen van serveridentiteitsvalidatie wordt in het algemeen niet aanbevolen, maar met Azure-certificaatverificatie wordt hetzelfde certificaat gebruikt voor servervalidatie in het VPN-tunnelingprotocol (IKEv2/SSTP) en het EAP-protocol. Omdat het servercertificaat en de FQDN al zijn gevalideerd door het VPN-tunnelingprotocol, is het redundant om hetzelfde opnieuw te valideren in EAP.

Verificatie van punt-naar-site

Kan ik mijn eigen interne PKI basis-CA gebruiken om certificaten te genereren voor een punt-naar-site-verbinding?

Ja. Voorheen konen alleen zelfondertekende basiscertificaten worden gebruikt. U kunt nog steeds 20 basiscertificaten uploaden.

Kan ik certificaten gebruiken uit Azure Key Vault?

Nee

Welke hulpprogramma's kan ik gebruiken om certificaten te maken?

U kunt uw Enterprise PKI-oplossing (uw interne PKI), Azure PowerShell, MakeCert en OpenSSL gebruiken.

Zijn er instructies voor het instellen van het certificaat en de parameters?

  • Interne PKI/Enterprise PKI-oplossing: zie de stappen om certificaten te genereren.

  • Azure PowerShell: zie het Azure PowerShell-artikel voor een stappenplan.

  • MakeCert: zie het MakeCert-artikel voor een stappenplan.

  • OpenSSL:

    • Bij het exporteren van certificaten, moet u het basiscertificaat naar Base64 converteren.

    • Voor het clientcertificaat:

      • Bij het maken van de persoonlijke sleutel, moet u de lengte 4096 opgeven.
      • Bij het maken van het certificaat moet u voor de paramter -extensies de waarde usr_cert opgeven.

Punt-naar-site - RADIUS-verificatie

Deze sectie is van toepassing op het Resource Manager-implementatiemodel.

Hoeveel VPN-clienteindpunten kan ik hebben in mijn punt-naar-site-configuratie?

Dit is afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.

Welke clientbesturingssystemen kan ik gebruiken met punt-naar-site?

De volgende clientbesturingssystemen worden ondersteund:

  • Windows Server 2008 R2 (alleen 64-bits)
  • Windows 8.1 (32-bits en 64-bits)
  • Windows Server 2012 (alleen 64-bits)
  • Windows Server 2012 R2 (alleen 64-bits)
  • Windows Server 2016 (alleen 64-bits)
  • Windows Server 2019 (alleen 64-bits)
  • Windows Server 2022 (alleen 64-bits)
  • Windows 10
  • Windows 11
  • macOS versie 10.11 of hoger
  • Linux (StrongSwan)
  • iOS

Kan ik proxy's en firewalls doorkruisen met behulp van punt-naar-site-functionaliteit?

ondersteuning voor Azure drie typen punt-naar-site-VPN-opties:

  • Secure Socket Tunneling Protocol (SSTP). SSTP is een bedrijfseigen, op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • OpenVPN. OpenVPN is een op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • IKEv2 VPN. IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van uitgaande UDP-poorten 500 en 4500 en IP-protocol nr. 50. Firewalls openen deze poorten niet altijd, dus er is een mogelijkheid dat IKEv2 VPN geen proxy's en firewalls kan doorkruisen.

Als ik een clientcomputer die is geconfigureerd voor punt-naar-site opnieuw opstart, wordt de VPN automatisch opnieuw verbonden?

Automatische opnieuw verbinding maken is een functie van de client die wordt gebruikt. Windows biedt ondersteuning voor automatische opnieuw verbinding maken door de functie AlwaysOn VPN-client te configureren.

Biedt punt-naar-site ondersteuning voor DDNS op de VPN-clients?

DDNS wordt momenteel niet ondersteund in punt-naar-site-VPN's.

Kan ik site-naar-site- en punt-naar-site-configuraties naast elkaar gebruiken voor hetzelfde virtuele netwerk?

Ja. Voor het Resource Manager-implementatiemodel moet u een RouteBased VPN-type hebben voor uw gateway. Voor het klassieke implementatiemodel hebt u een dynamische gateway nodig. Punt-naar-site wordt niet ondersteund voor VPN-gateways voor statische routering of PolicyBased VPN-gateways.

Kan ik een punt-naar-site-client configureren om tegelijkertijd verbinding te maken met meerdere virtuele netwerkgateways?

Afhankelijk van de gebruikte VPN-clientsoftware, kunt u mogelijk verbinding maken met meerdere virtuele netwerkgateways, mits de virtuele netwerken waarmee verbinding wordt gemaakt geen conflicterende adresruimten hebben of het netwerk van waaruit de client verbinding maakt. Hoewel de Azure VPN Client ondersteuning biedt voor veel VPN-verbindingen, kan er maar één verbinding tegelijk Verbonden zijn.

Kan ik een punt-naar-site-client configureren om tegelijkertijd verbinding te maken met meerdere virtuele netwerken?

Ja, punt-naar-site-clientverbindingen met een virtuele netwerkgateway die is geïmplementeerd in een VNet dat is gekoppeld aan andere VNets, heeft mogelijk toegang tot andere gekoppelde VNets. Punt-naar-site-clients kunnen verbinding maken met gekoppelde VNets zolang de gekoppelde VNets gebruikmaken van de functies UseRemoteGateway/AllowGatewayTransit. Zie Over punt-naar-site-routering voor meer informatie.

Hoeveel doorvoer kan ik verwachten via site-naar-site- of punt-naar-site-verbindingen?

Het is moeilijk om de exacte doorvoer van de VPN-tunnels te onderhouden. IPSec en SSTP zijn cryptografisch zware VPN-protocollen. Doorvoer wordt ook beperkt door de latentie en bandbreedte tussen uw locatie en het internet. Voor een VPN-gateway met alleen IKEv2-punt-naar-site-VPN-verbindingen is de totale doorvoer die u kunt verwachten, afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over doorvoer.

Kan ik een software-VPN-client gebruiken voor punt-naar-site die ondersteuning biedt voor SSTP en/of IKEv2?

Nee U kunt alleen de systeemeigen VPN-client van Windows voor SSTP en de systeemeigen VPN-client van Mac voor IKEv2 gebruiken. U kunt echter de OpenVPN-client op alle platforms gebruiken om verbinding te maken via het OpenVPN-protocol. Raadpleeg de lijst met ondersteunde clientbesturingssystemen.

Kan ik het verificatietype voor een punt-naar-site-verbinding wijzigen?

Ja. Navigeer in de portal naar de VPN-gateway -> punt-naar-site-configuratiepagina . Selecteer voor verificatietype de verificatietypen die u wilt gebruiken. Nadat u een wijziging hebt aangebracht in een verificatietype, kunnen huidige clients mogelijk geen verbinding maken totdat een nieuw CONFIGURATIEprofiel voor de VPN-client is gegenereerd, gedownload en toegepast op elke VPN-client.

Wanneer moet ik een nieuw configuratiepakket voor vpn-clientprofielen genereren?

Wanneer u wijzigingen aanbrengt in de configuratie-instellingen van de P2S VPN-gateway, zoals het toevoegen van een tunneltype of het wijzigen van een verificatietype, moet u een nieuw configuratiepakket voor vpn-clientprofielen genereren. Het nieuwe pakket bevat de bijgewerkte instellingen die VPN-clients nodig hebben om correct verbinding te maken met de P2S-gateway. Nadat u het pakket hebt gegenereerd, gebruikt u de instellingen in de bestanden om de VPN-clients bij te werken.

Biedt Azure ondersteuning voor IKEv2-VPN met Windows?

IKEv2 wordt ondersteund op Windows 10 en Server 2016. Als u IKEv2 echter in bepaalde versies van het besturingssysteem wilt gebruiken, moet u updates installeren en een registersleutelwaarde lokaal instellen. Besturingssysteemversies vóór Windows 10 worden niet ondersteund en kunnen alleen SSTP of OpenVPN® Protocol gebruiken.

Notitie

Voor het windows-besturingssysteem worden nieuwere versies dan Windows 10 versie 1709 en Windows Server 2016 versie 1607 niet vereist.

Windows 10 of Server 2016 voorbereiden voor IKEv2:

  1. Installeer de update op basis van uw besturingssysteemversie:

    Besturingssysteemversie Datum Aantal/koppeling
    Windows Server 2016
    Windows 10 versie 1607
    17 januari 2018 KB4057142
    Windows 10 versie 1703 17 januari 2018 KB4057144
    Windows 10 versie 1709 22 maart 2018 KB4089848
  2. De registersleutelwaarde instellen. Maak of stel de REG_DWORD-sleutel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload' in het register in op 1.

Wat is de LIMIET van de IKEv2-verkeersselector voor punt-naar-site-verbindingen?

Windows 10 versie 2004 (uitgebracht september 2021) verhoogde de limiet voor verkeersselector tot 255. Versies van Windows ouder dan deze hebben een verkeersselectorlimiet van 25.

De limiet voor verkeersselectors in Windows bepaalt het maximum aantal adresruimten in uw virtuele netwerk en de maximale som van uw lokale netwerken, VNet-naar-VNet-verbindingen en gekoppelde VNet's die zijn verbonden met de gateway. Op Windows gebaseerde punt-naar-site-clients kunnen geen verbinding maken via IKEv2 als deze limiet wordt overschreden.

Wat is de limiet voor de OpenVPN-verkeersselector voor punt-naar-site-verbindingen?

De limiet voor verkeerskiezers voor OpenVPN is 1000 routes.

Wat gebeurt er als ik zowel SSTP als IKEv2 voor P2S-VPN-verbindingen configureer?

Wanneer u zowel SSTP als IKEv2 configureert in een gemengde omgeving (bestaande uit Windows- en Mac-apparaten), zal de Windows VPN-client altijd eerst IKEv2-tunnel proberen, maar terugvallen op SSTP als de IKEv2-verbinding niet lukt. MacOSX maakt alleen verbinding via IKEv2.

Wanneer U zowel SSTP als IKEv2 hebt ingeschakeld op de gateway, wordt de punt-naar-site-adresgroep statisch verdeeld tussen de twee, zodat clients die verschillende protocollen gebruiken IP-adressen uit een subbereik zijn. Het maximum aantal SSTP-clients is altijd 128, zelfs als het adresbereik groter is dan /24, wat resulteert in een groter aantal adressen dat beschikbaar is voor IKEv2-clients. Voor kleinere bereiken is het zwembad even gehalveerd. Verkeersselectors die door de gateway worden gebruikt, bevatten mogelijk niet het punt-naar-site-adresbereik CIDR, maar de twee subbereik-CIDR's.

Welke platformen, naast Windows en Mac, worden door Azure ondersteund voor P25-VPN?

ondersteuning voor Azure s Windows, Mac en Linux voor P2S VPN.

Ik heb al een Azure VPN-gateway geïmplementeerd. Kan ik er RADIUS en/of IKEv2 VPN voor inschakelen?

Ja, als de gateway-SKU die u gebruikt RADIUS en/of IKEv2 ondersteunt, kunt u deze functies inschakelen op gateways die u al hebt geïmplementeerd met behulp van PowerShell of Azure Portal. De Basic-SKU biedt geen ondersteuning voor RADIUS of IKEv2.

Hoe kan ik de configuratie van een P2S-verbinding verwijderen?

Een P2S-configuratie kan worden verwijderd met behulp van Azure CLI en PowerShell met behulp van de volgende opdrachten:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Wordt RADIUS-verificatie ondersteund op alle Azure VPN Gateway SKU’s?

RADIUS-verificatie wordt ondersteund voor alle SKU's, met uitzondering van de Basic-SKU.

Voor verouderde SKU's wordt RADIUS-verificatie ondersteund op Standard- en High Performance-SKU's. Dit wordt niet ondersteund in de Basic Gateway-SKU.

Wordt RADIUS-verificatie ondersteund voor het klassieke implementatiemodel?

Nee RADIUS-verificatie wordt niet ondersteund voor het klassieke implementatiemodel.

Wat is de time-outperiode voor RADIUS-aanvragen die naar de RADIUS-server worden verzonden?

RADIUS-aanvragen worden na 30 seconden ingesteld op time-out. Door de gebruiker gedefinieerde time-outwaarden worden momenteel niet ondersteund.

Worden RADIUS-servers van derden ondersteund?

Ja, RADIUS-servers van derden worden ondersteund.

Wat zijn de connectiviteitsvereisten om ervoor te zorgen dat de Azure-gateway een on-premises RADIUS-server kan bereiken?

Een site-naar-site-VPN-verbinding met de on-premises site, waarbij de juiste routes zijn geconfigureerd, is vereist.

Kan het verkeer naar een on-premises RADIUS-server (van de Azure VPN-gateway) worden gerouteerd via een ExpressRoute-verbinding?

Nee Het kan alleen worden gerouteerd via een site-naar-site-verbinding.

Is er een wijziging in het aantal SSTP-verbindingen dat met RADIUS-verificatie wordt ondersteund? Wat is het maximumaantal ondersteunde SSTP- en IKEv2-verbindingen?

Er is geen wijziging in het maximum aantal SSTP-verbindingen dat wordt ondersteund op een gateway met RADIUS-verificatie. Dit blijft 128 voor SSTP, maar is afhankelijk van de gateway-SKU voor IKEv2. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.

Wat is het verschil tussen het uitvoeren van certificaatverificatie met behulp van een RADIUS-server versus het gebruik van systeemeigen Azure-certificaatverificatie (door een vertrouwd certificaat te uploaden naar Azure)?

Bij RADIUS-certificaatverificatie wordt de verificatieaanvraag doorgestuurd naar een RADIUS-server, waar de werkelijke certificaatvalidatie wordt uitgevoerd. Deze optie is nuttig als u via RADIUS wilt integreren met een certificaatverificatie-infrastructuur die u al hebt.

Wanneer u Azure gebruikt voor certificaatverificatie, voert de Azure VPN-gateway de validatie van het certificaat uit. U moet de openbare sleutel van uw certificaat uploaden naar de gateway. U kunt ook een lijst opgeven met ingetrokken certificaten die niet mogen worden gebruikt om verbinding te maken.

Biedt Radius-verificatie ondersteuning voor NPS-integratie (Network Policy Server) voor meervoudige autorisatie (MFA)?

Als uw MFA is gebaseerd op tekst (sms, verificatiecode voor mobiele apps, enzovoort) en de gebruiker een code of tekst moet invoeren in de gebruikersinterface van de VPN-client, slaagt de verificatie niet en wordt dit scenario niet ondersteund. Zie RADIUS-verificatie van Azure VPN-gateway integreren met NPS-server voor meervoudige verificatie

Werkt RADIUS-verificatie met zowel IKEv2 als SSTP VPN?

Ja, RADIUS-verificatie wordt ondersteund voor zowel IKEv2 als SSTP VPN.

Werkt RADIUS-verificatie met de OpenVPN client?

RADIUS-verificatie wordt ondersteund voor het OpenVPN-protocol.

VNet-naar-VNET- en multi-site-verbindingen

De veelgestelde vragen voor VNet-naar-VNet zijn van toepassing op VPN Gateway-verbindingen. Zie Peering op virtueel netwerk voor informatie over VNet-peering.

Worden er door Azure kosten in rekening gebracht voor verkeer tussen VNets?

VNet-naar-VNet-verkeer binnen dezelfde regio is gratis in beide richtingen wanneer u een VPN Gateway-verbinding gebruikt. Voor uitgaand VNet-naar-VNet-verkeer tussen regio's gelden de tarieven voor uitgaande gegevensoverdracht tussen VNets op basis van de bronregio's. Zie de pagina Prijzen van VPN Gateway voor meer informatie. Zie Prijzen voor virtuele netwerken als u uw VNets verbindt op basis van VNet-peering in plaats van VPN Gateway.

Verloopt VNet-naar-VNet-verkeer via internet?

Nee Voor VNet-naar-VNet-verkeer wordt het Microsoft-netwerk gebruikt in plaats van internet.

Kan ik een VNet-naar-VNet-verbinding tot stand brengen tussen Microsoft Entra-tenants?

Ja, VNet-naar-VNet-verbindingen die gebruikmaken van Azure VPN-gateways werken in Microsoft Entra-tenants.

Is het VNet-naar-VNet-verkeer beveiligd?

Ja, het is beveiligd met IPsec/IKE-versleuteling.

Heb ik een VPN-apparaat nodig om VNets met elkaar te verbinden?

Nee Om meerdere virtuele netwerken van Azure met elkaar te verbinden, hebt u geen VPN-apparaat nodig, tenzij cross-premises connectiviteit is vereist.

Moeten mijn VNets zich in dezelfde regio bevinden?

Nee De virtuele netwerken kunnen zich in dezelfde of verschillende Azure-regio's (locaties) bevinden.

Als de VNets niet tot hetzelfde abonnement behoren, moeten de abonnementen dan aan dezelfde Active Directory-tenant zijn gekoppeld?

Nee

Kan ik VNet-naar-VNet-verbindingen gebruiken tussen virtuele netwerken in verschillende Azure-exemplaren?

Nee VNet-naar-VNet ondersteunt het verbinden van virtuele netwerken binnen hetzelfde Azure-exemplaar. U kunt bijvoorbeeld geen verbinding maken tussen wereldwijde Azure-exemplaren en Chinese/Duitse/US government Azure-exemplaren. Voor deze scenario's kunt u een site-naar-site-VPN-verbinding gebruiken.

Kan ik VNet-naar-VNet- én multi-site-verbindingen gebruiken?

Ja. U kunt virtuele-netwerkverbindingen tegelijk gebruiken met multi-site-VPN’s.

Met hoeveel on-premises sites en virtuele netwerken kan één virtueel netwerk verbinding maken?

Zie de tabel Gatewayvereisten.

Kan ik VNet-naar-VNet gebruiken om virtuele machines of cloudservices met elkaar te verbinden buiten een VNet?

Nee VNet naar VNet ondersteunt het verbinden van virtuele netwerken. Er is geen ondersteuning voor het verbinden van virtuele machines of cloudservices die geen deel uitmaken van een virtueel netwerk.

Kan een cloudservice of een taakverdelingseindpunt VNets overbruggen?

Nee Een cloudservice of een taakverdelingseindpunt kan geen virtuele netwerken overbruggen, zelfs niet als ze met elkaar zijn verbonden.

Kan ik een op beleid gebaseerd VPN-type gebruiken voor VNet-naar-VNet- of multi-site-verbindingen?

Nee VNet-naar-VNet- en multi-site-verbindingen vereisen Azure VPN-gateways met op route gebaseerde VPN-typen (voorheen dynamische routering genoemd).

Kan ik een VNet met een op route gebaseerd VPN-type verbinden met een op beleid gebaseerd VPN-type?

Nee, voor beide virtuele netwerken MOET gebruik worden gemaakt van op route gebaseerde VPN's (voorheen dynamische routering genoemd).

Delen VPN-tunnels bandbreedte?

Ja. Alle VPN-tunnels van het virtuele netwerk delen de beschikbare bandbreedte op de Azure VPN-gateway en dezelfde SLA voor VPN-gatewaybedrijfstijd in Azure.

Worden redundante tunnels ondersteund?

Redundante tunnels tussen twee virtuele netwerken worden ondersteund, mits één virtuele-netwerkgateway is geconfigureerd als actief-actief.

Mogen er overlappende adresruimten zijn voor VNet-naar-VNet-configuraties?

Nee Er mag geen sprake zijn van overlappende IP-adresbereiken.

Mogen er overlappende adresruimten zijn tussen de verbonden virtuele netwerken en on-premises lokale sites?

Nee Er mag geen sprake zijn van overlappende IP-adresbereiken.

Hoe kan ik routering tussen mijn site-naar-site-VPN-verbinding en mijn ExpressRoute inschakelen?

Als u routering wilt inschakelen tussen uw vertakking die is verbonden met ExpressRoute en uw vertakking die is verbonden met een site-naar-site-VPN-verbinding, moet u Azure Route Server instellen.

Kan ik Azure VPN-gateway gebruiken om verkeer tussen mijn on-premises sites of naar een ander virtueel netwerk over te brengen?

Resource Manager-implementatiemodel
Ja. Raadpleeg de sectie BGP voor meer informatie.

Klassiek implementatiemodel
Transitverkeer via Azure VPN-gateway is mogelijk met het klassieke implementatiemodel, maar is afhankelijk van statisch gedefinieerde adresruimten in het netwerkconfiguratiebestand. BGP wordt nog niet ondersteund met Azure Virtual Networks en VPN-gateways met behulp van het klassieke implementatiemodel. Zonder BGP is het handmatig definiëren van adresruimten voor doorvoer zeer foutgevoelig en het wordt daarom niet aanbevolen.

Genereert Azure dezelfde vooraf gedeelde IPsec/IKE-sleutel voor al mijn VPN-verbindingen voor hetzelfde virtuele netwerk?

Nee, Azure genereert standaard verschillende vooraf gedeelde sleutels voor verschillende VPN-verbindingen. U kunt echter de Set VPN Gateway Key REST API of PowerShell-cmdlet gebruiken om de gewenste sleutelwaarde in te stellen. De sleutel MAG alleen afdrukbare ASCII-tekens bevatten, behalve spatie, afbreekstreepje (-) of tilde (~).

Krijg ik meer bandbreedte met meer site-naar-site VPN's dan voor één virtueel netwerk?

Nee, alle VPN-tunnels, inclusief punt-naar-site-VPN's, delen dezelfde Azure VPN-gateway en de beschikbare bandbreedte.

Kan ik meerdere tunnels tussen mijn virtuele netwerk en mijn on-premises site configureren met multi-site-VPN?

Ja, maar u moet BGP op beide tunnels op dezelfde locatie instellen.

Voldoet Azure VPN Gateway aan AS Path prepending om routeringsbeslissingen tussen meerdere verbindingen met mijn on-premises sites te beïnvloeden?

Ja, Azure VPN-gateway houdt rekening met as-padvoorverlening om routeringsbeslissingen te nemen wanneer BGP is ingeschakeld. Een korter AS-pad heeft de voorkeur in de selectie van het BGP-pad.

Kan ik de eigenschap RoutingWeight gebruiken bij het maken van een nieuwe VPN VirtualNetworkGateway-verbinding?

Nee, deze instelling is gereserveerd voor ExpressRoute-gatewayverbindingen. Als u routeringsbeslissingen tussen meerdere verbindingen wilt beïnvloeden, moet u as-padvoorverlening gebruiken.

Kan ik punt-naar-site VPN's gebruiken met mijn virtuele netwerk met meerdere VPN-tunnels?

Ja, punt-naar-site-VPN's (P2S) kunnen worden gebruikt met de VPN-gateways die verbinding maken met meerdere on-premises sites en andere virtuele netwerken.

Kan ik een virtueel netwerk met IPsec-VPN's verbinden met mijn ExpressRoute-circuit?

Ja, dit wordt ondersteund. Zie ExpressRoute- en site-naar-site-VPN-verbindingen configureren die naast elkaar bestaan voor meer informatie.

IPsec/IKE-beleid

Wordt het aangepaste beleid voor IPsec/IKE op alle Azure VPN Gateway-SKU's ondersteund?

Aangepast IPsec-/IKE-beleid wordt ondersteund in alle Azure-SKU's, behalve Basic.

Hoeveel beleidsregels kan ik opgeven voor een verbinding?

U kunt maar één beleidscombinatie opgeven voor een bepaalde verbinding.

Kan ik een gedeeltelijk beleid opgeven voor een verbinding? (Bijvoorbeeld alleen IKE-algoritmen, maar geen IPsec-algoritmen)

Nee, u moet alle algoritmen en parameters opgeven voor zowel IKE (Main Mode) en IPsec (Quick Mode). Gedeeltelijke beleidsspecificatie is niet toegestaan.

Wat zijn de algoritmen en belangrijkste sterke punten die in het aangepaste beleid worden ondersteund?

De volgende tabel bevat de ondersteunde cryptografische algoritmen en belangrijke sterke punten die u kunt configureren. U moet voor elk veld een optie selecteren.

IPsec/IKEv2 Opties
IKEv2-versleuteling GCMAES256, GCMAES128, AES256, AES192, AES128
IKEv2-integriteit SHA384, SHA256, SHA1, MD5
DH-groep DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec-versleuteling GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geen
IPsec-integriteit GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-groep PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, geen
QM SA-levensduur (Optioneel: standaardwaarden worden gebruikt indien niet opgegeven)
Seconden (geheel getal; min. 300 /standaard 27000 seconden)
KB (geheel getal; min. 1024/standaard 102400000 KB)
Verkeersselector UsePolicyBasedTrafficSelectors** ($True/$False; Optioneel, standaard $False indien niet opgegeven)
Time-out van DPD Seconden (geheel getal: min. 9/max. 3600; standaard 45 seconden)
  • De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u in het Azure IPsec/IKE-beleid opgeeft:

    • IKE-versleutelingsalgoritmen (hoofdmodus/fase 1)
    • IKE-integriteitsalgoritmen (hoofdmodus/fase 1)
    • DH-groep (hoofdmodus / fase 1)
    • IPsec-versleutelingsalgoritmen (snelle modus/fase 2)
    • IPsec-integriteitsalgoritmen (snelle modus/fase 2)
    • PFS-groep (snelle modus/ fase 2)
    • Verkeersselector (als UsePolicyBasedTrafficSelectors wordt gebruikt)
    • De SA-levensduur is alleen lokale specificaties en hoeft niet overeen te komen.
  • Als GCMAES wordt gebruikt als voor IPsec-versleutelingsalgoritmen, moet u dezelfde GCMAES-algoritme en sleutellengte voor IPsec-integriteit selecteren; Gebruik bijvoorbeeld GCMAES128 voor beide.

  • In de tabel Algoritmen en sleutels :

    • IKE komt overeen met de hoofdmodus of fase 1.
    • IPsec komt overeen met de snelle modus of fase 2.
    • DH Group specificeert de Diffie-Hellman Group die wordt gebruikt in de hoofdmodus of fase 1.
    • PFS-groep heeft de Diffie-Hellman-groep opgegeven die wordt gebruikt in de snelle modus of fase 2.
  • De SA-levensduur van DE IKE-hoofdmodus is vastgesteld op 28.800 seconden op de Azure VPN-gateways.

  • UsePolicyBasedTrafficSelectors is een optionele parameter voor de verbinding. Als u UsePolicyBasedTrafficSelectors instelt op $True op een verbinding, wordt de Azure VPN-gateway geconfigureerd om on-premises verbinding te maken met op beleid gebaseerde VPN-firewall. Als u PolicyBasedTrafficSelectors inschakelt, moet u ervoor zorgen dat uw VPN-apparaat beschikt over de overeenkomende verkeersselectors die zijn gedefinieerd met alle combinaties van uw on-premises netwerkvoorvoegsels (lokale netwerkgateway) naar/van de voorvoegsels van het virtuele Azure-netwerk in plaats van any-to-any. De Azure VPN-gateway accepteert elke verkeerskiezer die wordt voorgesteld door de externe VPN-gateway, ongeacht wat is geconfigureerd op de Azure VPN-gateway.

    Als uw lokale netwerkvoorvoegsels bijvoorbeeld 10.1.0.0/16 en 10.2.0.0/16 zijn, en de voorvoegsels van uw virtuele netwerk 192.168.0.0/16 en 172.16.0.0/16, moet u de volgende verkeersselectoren opgeven:

    • 10.1.0.0/16 <===> 192.168.0.0/16
    • 10.1.0.0/16 <===> 172.16.0.0/16
    • 10.2.0.0/16 <===> 192.168.0.0/16
    • 10.2.0.0/16 <===> 172.16.0.0/16

    Zie Verbinding maken met meerdere on-premises op beleid gebaseerde VPN-apparaten voor meer informatie over verkeerskiezers op basis van beleid.

  • DPD-time-out: de standaardwaarde is 45 seconden op Azure VPN-gateways. Als u de time-out instelt op kortere perioden, wordt IKE agressief opnieuw versleuteld, waardoor de verbinding in sommige gevallen wordt verbroken. Dit is mogelijk niet wenselijk als uw on-premises locaties verder weg zijn van de Azure-regio waar de VPN-gateway zich bevindt, of als de fysieke koppelingsvoorwaarde pakketverlies kan veroorzaken. De algemene aanbeveling is om de time-out tussen 30 en 45 seconden in te stellen.

Zie Connect multiple on-premises policy-based VPN devices (Verbinding maken met meerdere on-premises, op beleid gebaseerde VPN-apparaten) voor meer informatie.

Welke Diffie-Hellman-groepen worden ondersteund?

De volgende tabel bevat de bijbehorende Diffie-Hellman-groepen die worden ondersteund door het aangepaste beleid:

Diffie-Hellman-groep DHGroup PFSGroup Sleutellengte
1 DHGroup1 PFS1 768-bits MODP
2 DHGroup2 PFS2 1024-bits MODP
14 DHGroup14
DHGroup2048
PFS2048 2048-bits MODP
19 ECP256 ECP256 256-bits ECP
20 ECP384 ECP384 384-bits ECP
24 DHGroup24 PFS24 2048-bits MODP

Raadpleeg RFC3526 en RFC5114 voor meer informatie.

Vervangt het aangepaste beleid de standaard IPsec/IKE-beleidssets voor Azure VPN-gateways?

Ja, zodra een aangepast beleid is opgegeven voor een verbinding, gebruikt de Azure VPN-gateway alleen het beleid op de verbinding, zowel als IKE-initiator als IKE-beantwoorder.

Als ik een aangepast beleid voor IPsec/IKE verwijder, wordt de verbinding dan onbeveiligd?

Nee, de verbinding wordt nog steeds beveiligd met IPsec/IKE. Wanneer u het aangepaste beleid van een verbinding verwijdert, wordt de Azure VPN-gateway teruggezet naar de standaardlijst met IPsec/IKE-voorstellen en wordt de IKE-handshake opnieuw gestart met uw on-premises VPN-apparaat.

Kan het toevoegen of bijwerken van een beleid voor IPsec/IKE mijn VPN-verbinding verstoren?

Ja, dit kan tot een onderbreking van een paar seconden leiden, omdat de Azure VPN-gateway de bestaande verbinding verbreekt en de IKE-handshake opnieuw start om de IPsec-tunnel opnieuw in te stellen met de nieuwe cryptografische algoritmen en parameters. Zorg ervoor dat uw on-premises VPN-apparaat met dezelfde algoritmen en sleutelsterkten wordt geconfigureerd om de onderbreking te minimaliseren.

Kan ik verschillende beleidsregels voor verschillende verbindingen gebruiken?

Ja. Aangepast beleid wordt per verbinding toegepast. U kunt verschillende IPsec/IKE-beleidsregels toepassen op verschillende verbindingen. U kunt ook aangepaste beleidsregels toepassen op een subset van verbindingen. Voor de resterende verbindingen worden de standaard IPsec/IKE-beleidssets voor Azure toegepast.

Kan ik het aangepaste beleid ook voor een VNet-naar-VNet-verbinding gebruiken?

Ja, u kunt een aangepast beleid toepassen op zowel cross-premises IPsec-verbindingen als VNet-naar-VNet-verbindingen.

Moet ik hetzelfde beleid opgeven voor beide VNet-naar-VNet-verbindingsresources?

Ja. Een VNet-naar-VNet-tunnel bestaat uit twee verbindingsresources in Azure, één voor elke richting. Zorg dat beide verbindingsresources hetzelfde beleid hebben, anders kan de VNet-naar-VNet-verbinding niet tot stand worden gebracht.

Wat is de standaard time-outwaarde voor DPD? Kan ik een andere time-out voor DPD opgeven?

De standaard time-out voor DPD is 45 seconden. U kunt een andere DPD-time-outwaarde opgeven voor elke IPsec- of VNet-naar-VNet-verbinding, van 9 seconden tot 3600 seconden.

Notitie

De standaardwaarde is 45 seconden op Azure VPN-gateways. Als u de time-out instelt op kortere perioden, wordt IKE agressief opnieuw versleuteld, waardoor de verbinding in sommige gevallen wordt verbroken. Dit is mogelijk niet wenselijk als uw on-premises locaties verder weg liggen van de Azure-regio waar de VPN-gateway zich bevindt, of wanneer de fysieke koppelingsvoorwaarde pakketverlies kan veroorzaken. De algemene aanbeveling is om de time-out tussen 30 en 45 seconden in te stellen.

Werkt een aangepast IPsec/IKE-beleid op een ExpressRoute-verbinding?

Nee IPsec/IKE-beleid werkt alleen op S2S-VPN- en VNet-naar-VNet-verbindingen via de Azure VPN-gateways.

Hoe maak ik verbindingen met IKEv1- of IKEv2-protocoltypen?

IKEv1-verbindingen kunnen worden gemaakt op alle RouteBased VPN-type SKU's, met uitzondering van de Basic, Standard en andere verouderde SKU's. U kunt een verbindingsprotocol opgeven van IKEv1 of IKEv2 wanneer u een verbinding maakt. Als u geen verbindingsprotocoltype opgeeft, wordt IKEv2 indien van toepassing gebruikt als standaardoptie. Raadpleeg de documentatie voor PowerShell-cmdlets voor meer informatie. Voor SKY-typen en IKEv1-/IKEv2-ondersteuning, raadpleegt u Gateways verbinden met op beleid gebaseerde VPN-apparaten.

Is transit tussen IKEv1- en IKEv2-verbindingen toegestaan?

Ja. Doorvoer tussen IKEv1- en IKEv2-verbindingen wordt ondersteund.

Kan ik een IKEv1-site-naar-site-verbindingen hebben in het VPN-type Basic SKU of RouteBased?

Nee De Basic-SKU biedt geen ondersteuning voor dit.

Kan ik het verbindingsprotocoltype wijzigen nadat de verbinding is gemaakt (IKEv1 naar IKEv2 en vice versa)?

Nee Zodra de verbinding is gemaakt, kunnen DE PROTOCOLLEN IKEv1/IKEv2 niet meer worden gewijzigd. U moet een verbinding verwijderen en een nieuwe maken met het gewenste protocoltype.

Waarom maakt mijn IKEv1-verbinding vaak opnieuw verbinding?

Als uw statische routering of routegebaseerde IKEv1-verbinding met routineintervallen wordt verbroken, is dit waarschijnlijk het gevolg van VPN-gateways die geen in-place hersleutels ondersteunen. Wanneer de hoofdmodus opnieuw wordt versleuteld, worden uw IKEv1-tunnels verbroken en duurt het maximaal 5 seconden om opnieuw verbinding te maken. De time-outwaarde van de hoofdmodusonderhandeling bepaalt de frequentie van opnieuw versleutelen. Als u wilt voorkomen dat deze opnieuw verbinding maken, kunt u overschakelen naar IKEv2, dat ondersteuning biedt voor in-place hersleutels.

Als uw verbinding willekeurig opnieuw verbinding maakt, volgt u onze gids voor probleemoplossing.

Waar vind ik configuratie-informatie en -stappen?

Zie de volgende artikelen voor meer informatie en configuratiestappen.

BGP en routering

Wordt BGP ondersteunt op alle Azure VPN-gateway SKU’s?

BGP wordt ondersteund op alle Azure VPN Gateawy SKU's, behalve Basic SKU.

Kan ik BGP gebruiken met VPN-gateways van Azure?

Nee, BGP wordt alleen ondersteund op route-gebaseerde VPN-gateways.

Welke ASN's (autonome systeemnummers) kan ik gebruiken?

U kunt uw eigen openbare ASN's of persoonlijke ASN's voor zowel uw on-premises netwerken en virtuele netwerken van Azure gebruiken. U kunt de bereiken die door Azure of IANA zijn gereserveerd niet gebruiken.

De volgende ASN's zijn gereserveerd voor Azure of IANA:

  • ASN's die zijn gereserveerd voor Azure:

    • Openbare ASN's: 8074, 8075, 12076
    • Privé-ASN's: 65515, 65517, 65518, 65519, 65520
  • ASN's die zijn gereserveerd door IANA:

    • 23456, 64496-64511, 65535-65551 en 429496729

U kunt deze ASN's niet opgeven voor uw on-premises VPN-apparaten wanneer u verbinding maakt met Azure VPN-gateways.

Kan ik 32-bits (4-byte) ASN's gebruiken?

Ja, VPN Gateway ondersteunt nu 32-bits (4-bytes) ASN's. Als u ASN wilt configureren voor gebruik in decimaal formaat, gebruikt u PowerShell, de Azure-CLI of de Azure-SDK.

Welke privé-ASN's kan ik gebruiken?

De bruikbare bereiken van privé-ASN's zijn:

  • 64512-65514 en 65521-65534

Deze ASN's zijn niet gereserveerd voor gebruik door IANA of Azure en kunnen daarom worden gebruikt om te worden toegewezen aan uw Azure-VPN Gateway.

Welk adres gebruikt VPN Gateway voor BGP-peer-IP?

Standaard wijst VPN Gateway één IP-adres uit het GatewaySubnet-bereik toe voor active-standby VPN-gateways, of twee IP-adressen voor active-active VPN-gateways. Deze adressen worden automatisch toegewezen wanneer u de VPN-gateway maakt. U kunt het werkelijke BGP IP-adres dat is toegewezen ophalen met PowerShell of door het te zoeken in de Azure Portal. Gebruik in PowerShell Get-AzVirtualNetworkGateway en zoek naar de eigenschap bgpPeeringAddress. Ga in Azure Portal naar de pagina Gatewayconfiguratie en zoek naar de eigenschap BGP ASN configureren.

Als uw on-premises VPN-routers APIPA IP-adressen (169.254.x.x) gebruiken als de BGP-IP-adressen, moet u een of meer AZURE APIPA BGP IP-adressen opgeven op uw Azure VPN-gateway. Azure VPN Gateway selecteert de APIPA-adressen die moeten worden gebruikt met de on-premises APIPA BGP-peer die is opgegeven in de lokale netwerkgateway, of het privé-IP-adres voor een niet-APIPA, on-premises BGP-peer. Raadpleeg BGP configureren voor meer informatie.

Wat zijn de vereisten voor de BGP-peer-IP-adressen op mijn VPN-apparaat?

Het adres van uw on-premises BGP-peer mag niet gelijk zijn aan het openbare IP-adres van uw VPN-apparaat of de virtuele netwerkadresruimte van de VPN-gateway. Gebruik een ander IP-adres op het VPN-apparaat voor uw BGP-peer-IP. Het kan een adres zijn dat is toegewezen aan de loopback-interface op het apparaat (zowel een normaal IP-adres of een APIPA-adres). Als uw apparaat gebruikmaakt van een APIPA-adres voor BGP, moet u een of meer APIPA BGP IP-adressen opgeven op uw Azure VPN-gateway, zoals beschreven in BGP configureren. Geef deze adressen op in de bijbehorende lokale netwerkgateway die de locatie vertegenwoordigt.

Wat moet ik opgeven als adresvoorvoegsels voor mijn lokale netwerkgateway wanneer ik BGP gebruik?

Belangrijk

Dit is een wijziging van een eerder vastgelegde vereiste. Als u BGP gebruikt voor een verbinding, moet u het veld Adresruimte leeg houden voor de corresponderende lokale netwerkgateway-resource. Azure VPN-gateway voegt een hostroute intern toe aan het IP-adres van de on-premises BGP-peer via de IPsec-tunnel. Voeg de route /32 niet toe in het veld Adresruimte. Het is overbodig en als u een APIPA-adres gebruikt als het BGP-IP-adres van het on-premises VPN-apparaat, kan het niet aan het veld worden toegevoegd. Als u andere voorvoegsels toevoegt aan het veld Adresruimte, worden ze toegevoegd als statische routes in de Azure VPN-gateway, in aanvulling op de routes die via BGP zijn aangeleerd.

Kan ik hetzelfde ASN gebruiken voor on-premises VPN-netwerken en virtuele Azure-netwerken?

Nee, u moet verschillende ASN’s toewijzen aan uw on-premises netwerken en uw virtuele Azure-netwerken als u ze beide verbindt met BGP. Aan Azure VPN-gateways wordt standaard een ASN van 65515 toegewezen, onafhankelijk van of BGP is ingeschakeld voor verbinding tussen gebouwen. U kunt deze standaardwaarde onderdrukken door een andere ASN toe te wijzen bij het aanmaken van de VPN-gateway of door het ASN te wijzigen nadat de gateway is aangemaakt. U moet uw on-premises ASN's toewijzen aan de bijbehorende lokale Azure-netwerkgateways.

Welke adresvoorvoegsels maakt Azure VPN-gateways aan mij bekend?

De gateway maakt de volgende routes bekend aan uw on-premises BGP-apparaten:

  • Voorvoegsels van uw virtuele netwerkadres.
  • Adresvoorvoegsels voor alle lokale netwerkgateways die zijn verbonden met de Azure VPN-gateway.
  • Routes die afkomstig zijn van andere BGP-peeringsessies die zijn verbonden met de Azure VPN-gateway, behalve standaardroutes of routes die overlappen met een voorvoegsel van een virtueel netwerk.

Hoeveel voorvoegsels kan ik adverteren voor Azure VPN Gateway?

Azure VPN Gateway ondersteunt tot 4000 voorvoegsels. De BGP-sessie wordt verwijderd als het aantal voorvoegsels de limiet overschrijdt.

Kan ik standaardroute (0.0.0.0/0) adverteren naar Azure VPN-gateways?

Ja. Onthoud dat dit al het uitgaand verkeer van het virtueel netwerk richting uw on-premises site dwingt. Het voorkomt ook dat virtuele netwerk-VM's openbare communicatie rechtstreeks van het internet accepteren, zoals RDP of SSH vanaf het internet naar de VM's.

Kan ik de exacte voorvoegsels als de voorvoegsels van mijn virtuele netwerk adverteren?

Nee, het adverteren van dezelfde voorvoegsels als een van de adresvoorvoegsels van uw virtuele netwerk wordt door Azure geblokkeerd of gefilterd. U kunt echter een voorvoegsel aankondigen dat een superset is van wat u in Virtual Network hebt.

Als uw virtueel netwerk bijvoorbeeld adresruimte 10.0.0.0/16 gebruikt, kunt u 10.0.0.0/8 adverteren. U kunt echter niet 10.0.0.0/16 of 10.0.0.0/24 adverteren.

Kan ik BGP gebruiken met mijn verbindingen tussen virtuele netwerken?

Ja, u kunt BGP zowel gebruiken voor verbindingen tussen premises en verbindingen tussen virtuele netwerken.

Kan ik BGP combineren met niet-BGP-verbindingen voor mijn Azure VPN-gateways?

Ja, u kunt zowel BGP- als niet-BGP-verbindingen combineren voor dezelfde VPN-gateway.

Biedt Azure VPN Gateway ondersteuning voor BGP-transitroutering?

Ja, BGP-transitroutering wordt ondersteund, met uitzondering dat Azure VPN-gateways geen standaardroutes bekendmaakt aan andere BGP-peers. Om transitroutering op meerdere VPN-gateways mogelijk te maken, moet u BGP op alle tussenliggende verbindingen tussen virtuele netwerken inschakelen. Zie Over BGP voor meer informatie.

Kan ik meer dan één tunnel aanbrengen tussen een Azure VPN-gateway en mijn on-premises netwerk?

Ja, u kunt meer dan één S2S-VPN-tunnel (site naar site) aanbrengen tussen een Azure VPN-gateway en uw on-premises netwerk. Houd er wel rekening mee dat deze tunnels meetellen voor het totaal aantal tunnels voor uw Azure VPN-gateways, en dat u BGP op beide tunnels moet inschakelen.

Als u bijvoorbeeld twee redundante tunnels heeft tussen uw Azure VPN-gateway en een van uw on-premises netwerken, gebruiken ze 2 tunnels van het totaalaantal voor uw Azure VPN-gateway.

Kan ik meerdere tunnels tussen twee virtuele Azure-netwerken met BGP hebben?

Ja, maar minimaal één van de gateways voor het virtuele netwerk moet de actief/actief-configuratie hebben.

Kan ik BGP gebruiken voor S2S-VPN in een configuratie waarin zowel Azure ExpressRoute als S2S-VPN wordt gebruikt?

Ja.

Wat moet ik toevoegen aan mijn on-premises VPN-apparaat voor de BGP-peeringsessie?

Voeg een hostroute van het IP-adres van de Azure BGP-peer toe aan uw VPN-apparaat. Deze route verwijst naar de IPsec S2S-VPN-tunnel. Als het Azure VPN-peer-IP-adres bijvoorbeeld 10.12.255.30 is, dient u een hostroute toe te voegen voor 10.12.255.30 met een nexthop-interface van de overeenkomende IPsec-tunnelinterface op uw VPN-apparaat.

Ondersteunt de virtuele netwerkgateway BFD voor S2S-verbindingen met BGP?

Nee Bidirectional Forwarding Detection (BFD) is een protocol dat u met BGP kunt gebruiken om downtime van buren sneller te detecteren dan u kunt met behulp van standaard BGP 'keepalives'. BFD maakt gebruik van subseconde timers die zijn ontworpen om te werken in LAN-omgevingen, maar niet via openbare internet- of Wide Area Network-verbindingen.

Voor verbindingen via het openbare internet is het niet ongebruikelijk dat bepaalde pakketten worden vertraagd of zelfs wegvallen. Door deze agressieve timers te introduceren, ontstaat er instabiliteit. Die instabiliteit zorgt er mogelijk voor dat routes worden gedempt door BGP. Als alternatief kunt u uw on-premises apparaat configureren met timers die lager zijn dan de standaard keepalive-interval van 60 seconden en de holdtimer van 180 seconden. Dat leidt tot een snellere convergentietijd. Timers onder het standaard interval van 60 seconden keepalive of onder de standaardtimer van 180 seconden zijn echter niet betrouwbaar. Het is raadzaam om timers op of boven de standaardwaarden te houden.

Starten Azure VPN-gateways BGP-peeringsessies of -verbindingen?

De gateway initieert BGP-peeringsessies naar de on-premises BGP-peer-IP-adressen die zijn opgegeven in de resources van de lokale netwerkgateway met behulp van de privé-IP-adressen op de VPN-gateways. Dit is ongeacht of de on-premises BGP-IP-adressen zich in het APIPA-bereik of gewone privé-IP-adressen bevinden. Als uw on-premises VPN-apparaten APIPA-adressen als BGP-IP gebruiken, moet u uw BGP-spreker configureren om de verbindingen te initiëren.

Kan ik geforceerde tunneling configureren?

Ja. Zie Configure forced tunneling (Geforceerde tunneling configureren).

NAT

Wordt NAT ondersteund op alle Azure VPN Gateway-SKU's?

NAT wordt ondersteund op VpnGw2~5 en VpnGw2AZ~5AZ.

Kan ik NAT gebruiken voor VNet-naar-VNet- of P2S-verbindingen?

Nee

Hoeveel NAT-regels kan ik gebruiken op een VPN-gateway?

U kunt maximaal 100 NAT-regels (regels voor inkomend en uitgaand verkeer gecombineerd) maken op een VPN-gateway.

Kan ik /in een NAT-regelnaam gebruiken?

Nee Er wordt een foutmelding weergegeven.

Wordt NAT toegepast op alle verbindingen op een VPN-gateway?

NAT wordt toegepast op de verbindingen met NAT-regels. Als een verbinding geen NAT-regel heeft, wordt NAT niet van kracht op die verbinding. Op dezelfde VPN-gateway kunt u enkele verbindingen met NAT en andere verbindingen hebben zonder NAT samen te werken.

Welke typen NAT worden ondersteund in Azure VPN-gateways?

Alleen statische 1:1 NAT en Dynamische NAT worden ondersteund. NAT64 wordt NIET ondersteund.

Werkt NAT op actief-actieve VPN-gateways?

Ja. NAT werkt op zowel actief-actief als actief-stand-by VPN-gateways. Elke NAT-regel wordt toegepast op één exemplaar van de VPN-gateway. Maak in actief-actieve gateways een afzonderlijke NAT-regel voor elk gateway-exemplaar via het veld IP-configuratie-id.

Werkt NAT met BGP-verbindingen?

Ja, u kunt BGP gebruiken met NAT. Hier volgen enkele belangrijke overwegingen:

  • Selecteer BGP-routeomzetting inschakelen op de configuratiepagina nat-regels om ervoor te zorgen dat de geleerde routes en geadverteerde routes worden vertaald naar voorvoegsels (externe toewijzingen) op basis van de NAT-regels die zijn gekoppeld aan de verbindingen. U moet ervoor zorgen dat de on-premises BGP-routers de exacte voorvoegsels adverteren zoals gedefinieerd in de regels voor inkomend verkeer.

  • Als de on-premises VPN-router gebruikmaakt van een normaal, niet-APIPA-adres en het conflicteert met de adresruimte van het virtuele netwerk of andere on-premises netwerkruimten, moet u ervoor zorgen dat de regel InkomendSNAT het IP-adres van de BGP-peer vertaalt naar een uniek, niet-overlappend adres en het post-NAT-adres in het veld BGP-peer-IP-adres van de lokale netwerkgateway plaatst.

  • NAT wordt niet ondersteund met BGP APIPA-adressen.

Moet ik de overeenkomende DNAT-regels voor de SNAT-regel maken?

Nee Eén SNAT-regel definieert de vertaling voor beide richtingen van een bepaald netwerk:

  • Een ingressSNAT-regel definieert de vertaling van de bron-IP-adressen die binnenkomen in de Azure VPN-gateway vanuit het on-premises netwerk. Het verwerkt ook de vertaling van de doel-IP-adressen die van het virtuele netwerk naar hetzelfde on-premises netwerk vertrekken.

  • Een EgressSNAT-regel definieert de vertaling van de IP-adressen van de bron van het virtuele netwerk, waardoor de Azure VPN-gateway wordt overgelaten aan on-premises netwerken. Het verwerkt ook de vertaling van de doel-IP-adressen voor pakketten die binnenkomen in het virtuele netwerk via die verbindingen met de EgressSNAT-regel.

  • In beide gevallen zijn er geen DNAT-regels nodig.

Wat moet ik doen als mijn VNet- of lokale netwerkgatewayadresruimte twee of meer voorvoegsels heeft? Kan ik NAT toepassen op al deze? Of gewoon een subset?

U moet één NAT-regel maken voor elk voorvoegsel dat u nodig hebt voor NAT, omdat elke NAT-regel slechts één adresvoorvoegsel voor NAT kan bevatten. Als de adresruimte van de lokale netwerkgateway bijvoorbeeld bestaat uit 10.0.1.0/24 en 10.0.2.0/25, kunt u twee regels maken, zoals hieronder wordt weergegeven:

  • IngressSNAT-regel 1: Wijs 10.0.1.0/24 toe aan 100.0.1.0/24
  • IngressSNAT-regel 2: 10.0.2.0/25 toewijzen aan 100.0.2.0/25

De twee regels moeten overeenkomen met de lengte van het voorvoegsel van de bijbehorende adresvoorvoegsels. Hetzelfde geldt voor EgressSNAT-regels voor de adresruimte van het virtuele netwerk.

Belangrijk

Als u slechts één regel koppelt aan de bovenstaande verbinding, wordt de andere adresruimte NIET vertaald.

Welke IP-bereiken kan ik gebruiken voor externe toewijzing?

U kunt elk geschikt IP-bereik gebruiken dat u wilt gebruiken voor externe toewijzing, inclusief openbare en persoonlijke IP-adressen.

Kan ik verschillende EgressSNAT-regels gebruiken om mijn VNet-adresruimte te vertalen naar verschillende voorvoegsels naar verschillende on-premises netwerken?

Ja, u kunt meerdere EgressSNAT-regels maken voor dezelfde VNet-adresruimte en de EgressSNAT-regels toepassen op verschillende verbindingen.

Kan ik dezelfde ingressSNAT-regel gebruiken voor verschillende verbindingen?

Ja, dit wordt meestal gebruikt wanneer de verbindingen voor hetzelfde on-premises netwerk redundantie bieden. U kunt dezelfde regel voor inkomend verkeer niet gebruiken als de verbindingen voor verschillende on-premises netwerken zijn.

Heb ik zowel regels voor inkomend verkeer als uitgaand verkeer nodig voor een NAT-verbinding?

U hebt zowel regels voor inkomend verkeer als uitgaand verkeer nodig voor dezelfde verbinding wanneer de adresruimte van het on-premises netwerk overlapt met de adresruimte van het virtuele netwerk. Als de adresruimte van het virtuele netwerk uniek is voor alle verbonden netwerken, hebt u de EgressSNAT-regel voor deze verbindingen niet nodig. U kunt de regels voor inkomend verkeer gebruiken om te voorkomen dat adressen elkaar overlappen tussen de on-premises netwerken.

Wat kies ik als IP-configuratie-id?

'IP-configuratie-id' is gewoon de naam van het IP-configuratieobject dat u wilt gebruiken met de NAT-regel. Met deze instelling kiest u gewoon welk openbaar IP-adres van de gateway van toepassing is op de NAT-regel. Als u tijdens het maken van de gateway geen aangepaste naam hebt opgegeven, wordt het primaire IP-adres van de gateway toegewezen aan de standaard-IPconfiguration en wordt het secundaire IP-adres toegewezen aan de IPconfiguration 'activeActive'.

Cross-premises-connectiviteit en virtuele machines

Als de virtuele machine zich in een virtueel netwerk bevindt en ik een cross-premises-verbinding heb, hoe moet ik dan verbinding maken met de virtuele machine?

U hebt een aantal opties. Als u RDP hebt ingeschakeld voor uw virtuele machine, kunt u het particuliere IP-adres gebruiken om verbinding te maken met uw virtuele machine. In dat geval geeft u het particuliere IP-adres op en de poort waarmee u verbinding wilt maken (meestal 3389). U moet de poort op de virtuele machine configureren voor het verkeer.

U kunt uw virtuele machine ook verbinden met behulp van het particuliere IP-adres van een andere virtuele machine die zich in hetzelfde virtuele netwerk bevindt. U kunt geen RDP naar uw virtuele machine uitvoeren met behulp van het privé-IP-adres als u verbinding maakt vanaf een locatie buiten uw virtuele netwerk. Als u bijvoorbeeld een punt-naar-site-virtueel netwerk hebt geconfigureerd en u geen verbinding maakt vanaf uw computer, kunt u geen verbinding maken met de virtuele machine via een privé-IP-adres.

Als mijn virtuele machine zich in een virtueel netwerk met cross-premises-connectiviteit bevindt, gaat al het verkeer vanuit mijn VM dan langs die verbinding?

Nee Alleen het verkeer met een doel-IP dat zich bevindt in de door u opgegeven IP-adresbereiken van het lokale netwerk van het virtuele netwerk, loopt via de gateway van het virtuele netwerk. Verkeer met een doel-IP binnen het virtuele netwerk blijft in het virtuele netwerk. Ander verkeer wordt via de load balancer verzonden naar de openbare netwerken, tenzij geforceerde tunneling wordt gebruikt. In dat geval wordt het verzonden via de Azure VPN-gateway.

Hoe los ik problemen met de RDP-verbinding met een VM op?

Als u problemen ondervindt bij het maken van verbinding met een virtuele machine via uw VPN-verbinding, controleert u de volgende items:

  • Controleer of uw VPN-verbinding tot stand is gebracht.
  • Controleer of u verbinding maakt met het privé-IP-adres voor de VM.
  • Als u verbinding met de VM kunt maken met behulp van het privé-IP-adres, maar niet met de computernaam, controleert u of DNS correct is geconfigureerd. Zie Naamomzetting voor VM's voor meer informatie over de werking van naamomzetting voor VM's.

Als u verbinding via punt-naar-site maakt, controleert u de volgende extra items:

  • Gebruik ipconfig om het IPv4-adres te controleren dat is toegewezen aan de Ethernet-adapter op de computer waaruit u verbinding maakt. Als het IP-adres zich binnen het adresbereik bevindt van het virtuele netwerk waarmee u verbinding maakt, of binnen het adresbereik van uw VPNClientAddressPool, wordt dit een overlappende adresruimte genoemd. Als uw adresruimte op deze manier overlapt, kan het netwerkverkeer Azure niet bereiken en blijft het in het lokale netwerk.
  • Controleer of het configuratiepakket voor de VPN-client is gegenereerd nadat de IP-adressen van de DNS-server zijn opgegeven voor het virtuele netwerk. Als u de IP-adressen van de DNS-server hebt bijgewerkt, genereert en installeert u een nieuw configuratiepakket voor de VPN-client.

Zie Problemen met Extern-bureaubladverbindingen met een VM oplossen voor meer informatie over het oplossen van problemen met Extern-bureaubladverbindingen.

Door de klant beheerde gatewayonderhoud

Welke services zijn opgenomen in het bereik Onderhoudsconfiguratie van netwerkgateways?

Het bereik Netwerkgateways bevat gatewayresources in netwerkservices. Er zijn vier typen resources in het bereik netwerkgateways:

  • Virtuele netwerkgateway in de ExpressRoute-service.
  • Virtuele netwerkgateway in de VPN Gateway-service.
  • VPN-gateway (site-naar-site) in de Virtual WAN-service.
  • ExpressRoute-gateway in de Virtual WAN-service.

Welk onderhoud wordt ondersteund of niet ondersteund door door de klant beheerd onderhoud?

Azure-services doorlopen periodieke onderhoudsupdates om de functionaliteit, betrouwbaarheid, prestaties en beveiliging te verbeteren. Zodra u een onderhoudsvenster voor uw resources hebt geconfigureerd, worden onderhoud van gastbesturingssystemen en services uitgevoerd tijdens dat venster. Hostupdates, naast de hostupdates (TOR, Power enzovoort) en essentiële beveiligingsupdates, vallen niet onder het door de klant beheerde onderhoud.

Kan ik geavanceerde meldingen krijgen over het onderhoud?

Op dit moment kan geavanceerde melding niet worden ingeschakeld voor het onderhoud van netwerkgatewayresources.

Kan ik een onderhoudsvenster korter dan vijf uur configureren?

Op dit moment moet u minimaal een periode van vijf uur configureren in de tijdzone van uw voorkeur.

Kan ik een ander onderhoudsvenster dan de dagelijkse planning configureren?

Op dit moment moet u een dagelijks onderhoudsvenster configureren.

Zijn er gevallen waarin ik bepaalde updates niet kan beheren?

Door de klant beheerd onderhoud ondersteunt updates voor gastbesturingssysteem en services. Deze updates zijn verantwoordelijk voor de meeste onderhoudsitems die zorgen voor de klanten veroorzaken. Sommige andere typen updates, waaronder hostupdates, vallen buiten het bereik van door de klant beheerd onderhoud.

Als er bovendien een beveiligingsprobleem met hoge ernst is dat onze klanten in gevaar kan brengen, moet Azure mogelijk het beheer van de klant overschrijven van het onderhoudsvenster en de wijziging pushen. Dit zijn zeldzame gevallen die alleen in extreme gevallen zouden worden gebruikt.

Moeten onderhoudsconfiguratieresources zich in dezelfde regio bevinden als de gatewayresource?

Ja

Welke gateway-SKU's kunnen worden geconfigureerd voor het gebruik van door de klant beheerd onderhoud?

Alle gateway-SKU's (met uitzondering van de Basic SKU voor VPN Gateway) kunnen worden geconfigureerd voor het gebruik van door de klant beheerd onderhoud.

Hoe lang duurt het voordat het configuratiebeleid voor onderhoud van kracht wordt nadat het is toegewezen aan de gatewayresource?

Het kan tot 24 uur duren voordat netwerkgateways het onderhoudsschema volgen nadat het onderhoudsbeleid is gekoppeld aan de gatewayresource.

Zijn er beperkingen voor het gebruik van door de klant beheerd onderhoud op basis van het openbare IP-adres van de Basic SKU?

Ja. Gateway-resources die gebruikmaken van een openbaar IP-adres van de Basic SKU kunnen alleen service-updates hebben volgens het onderhoudsschema dat door de klant wordt beheerd. Voor deze gateways volgt onderhoud van het gastbesturingssysteem niet het door de klant beheerde onderhoudsschema vanwege infrastructuurbeperkingen.

Hoe moet ik onderhoudsvensters plannen bij het gebruik van VPN en ExpressRoute in een co-existentiescenario?

Bij het werken met VPN en ExpressRoute in een co-existentiescenario of wanneer u resources hebt die fungeren als back-ups, raden we u aan afzonderlijke onderhoudsvensters in te stellen. Deze aanpak zorgt ervoor dat onderhoud niet tegelijkertijd van invloed is op uw back-upbronnen.

Ik heb een onderhoudsvenster gepland voor een toekomstige datum voor een van mijn resources. Worden onderhoudsactiviteiten tot die tijd onderbroken voor deze resource?

Nee, onderhoudsactiviteiten worden tijdens de periode vóór het geplande onderhoudsvenster niet onderbroken op uw resource. Voor de dagen die niet in uw onderhoudsplanning vallen, wordt het onderhoud op de gebruikelijke manier voortgezet op de resource.

Hoe kan ik meer informatie over door de klant beheerde gatewayonderhoud?

Zie het artikel over door de klant beheerde gateway-onderhoud van VPN Gateway voor meer informatie.

Volgende stappen

"OpenVPN" is een handelsmerk van OpenVPN Inc.