Добавление или удаление подключений VPN-шлюз типа "сеть — сеть"

В этой статье показано, как добавить или удалить подключения типа "сеть — сеть" (S2S) для VPN-шлюза. Вы также можете добавить подключения S2S к VPN-шлюзу, который уже имеет подключение S2S, подключение типа "точка — сеть" или подключение "виртуальная сеть — виртуальная сеть". При добавлении подключения есть некоторые ограничения. Прежде чем начать настройку, просмотрите раздел Перед началом работы в этой статье.

Сведения о соединениях ExpressRoute/site-to-site

• Инструкции, описанные в этой статье, позволяют добавить новое VPN-подключение к уже существующему соединению ExpressRoute/site-to-site.
• Инструкции, описанные в этой статье, нельзя использовать для настройки нового соединения ExpressRoute/site-to-site. Чтобы создать новое сосуществующее соединение, см. статью "ExpressRoute/S2S" сосуществующих подключений.

Необходимые компоненты

Проверьте следующее.

• Вы не настраиваете новое совместное подключение ExpressRoute и VPN-шлюз подключение типа "сеть — сеть".
• У вас должна быть подключенная виртуальная сеть, созданная с помощью модели развертывания Resource Manager.
• Шлюз виртуальной сети для виртуальной сети — RouteBased. При наличии VPN-шлюза типа PolicyBased необходимо удалить шлюз виртуальной сети и создать VPN-шлюз типа RouteBased.
• Ни один из диапазонов адресов не перекрывается для любых виртуальных сетей, к которым подключается эта виртуальная сеть.
• У вас есть совместимое VPN-устройство и пользователь, который может настроить его. См. статью о VPN-устройствах. Если вы не умеете настраивать VPN-устройство или не знаете диапазоны IP-адресов в своей локальной сети, вам следует найти того, кто сможет предоставить вам нужную информацию.
• Имеется внешний общедоступный IP-адрес для VPN-устройства.

Создание локального сетевого шлюза

Шлюз локальной сети — это конкретный объект, развернутый в Azure, который представляет локальное расположение (сайт) для маршрутизации. Присвойте сайту имя, по которому Azure может обращаться к этому сайту, а затем укажите IP-адрес локального VPN-устройства, к которому вы подключитесь. Вы можете также указать префиксы IP-адресов, которые будут направляться через VPN-шлюз к VPN-устройству. Указываемые префиксы адресов расположены в локальной сети. Если вы внесли изменения в локальной сети или вам нужно изменить общедоступный IP-адрес для VPN-устройства, значения можно легко обновить позже.

Создайте шлюз локальной сети с помощью следующих примеров значений:

• Имя: Site1
• Группа ресурсов: TestRG1.
• Расположение: восточная часть США.

Рекомендации по конфигурации:

• VPN-шлюз поддерживает только один IPv4-адрес для каждого полного доменного имени. Если доменное имя разрешается на несколько IP-адресов, VPN-шлюз использует первый IP-адрес, возвращаемый DNS-серверами. Чтобы устранить такую неопределенность, мы рекомендуем всегда разрешать полное доменное имя на один IPv4-адрес. IPv6 не поддерживается.
• VPN-шлюз поддерживает кэш DNS, обновляемый каждые 5 минут. Шлюз пытается разрешить полные доменные имена только для отключенных туннелей. Сброс шлюза также активирует полное доменное имя.
• Хотя VPN-шлюз поддерживает несколько подключений к разным шлюзам локальной сети с разными полными доменными именами, все полные доменные имена должны разрешаться для разных IP-адресов.

1. На портале перейдите к шлюзам локальной сети и откройте страницу "Создание шлюза локальной сети".

2. На вкладке Основные сведения укажите значения для шлюза локальной сети.

   

   • Подписка — убедитесь, что указана правильная подписка.
   • Группа ресурсов: выберите группу ресурсов, которую вы хотите использовать. Вы можете создать новую группу ресурсов или выбрать уже существующую.
   • Регион: выберите регион для этого объекта. Может потребоваться выбрать то же расположение, где находится виртуальная сеть, но это не требуется.
   • Имя — укажите имя для объекта шлюза локальной сети.
   • Конечная точка: выберите тип конечной точки для локального VPN-устройства в качестве IP-адреса или полного доменного имени (полное доменное имя).
     • IP-адрес. Если у вас есть статический общедоступный IP-адрес, выделенный поставщиком услуг Интернета (ISP) для VPN-устройства, выберите параметр IP-адреса. Заполните IP-адрес, как показано в примере. Этот адрес — это общедоступный IP-адрес VPN-устройства, к которому требуется подключиться к Azure VPN-шлюз. Если у вас нет IP-адреса прямо сейчас, можно использовать значения, показанные в примере. Позже необходимо вернуться и заменить заполнитель IP-адрес общедоступным IP-адресом VPN-устройства. В противном случае Azure не удается подключиться.
     • Полное доменное имя. Если у вас есть динамический общедоступный IP-адрес, который может измениться через определенный период времени, часто определяемый поставщиком услуг интернета вещей, можно использовать постоянное DNS-имя с динамическим DNS-службой, чтобы указать текущий общедоступный IP-адрес vpn-устройства. VPN-шлюз Azure разрешает полное доменное имя, чтобы определить общедоступный IP-адрес для подключения.
   • Адресное пространство: адресное пространство ссылается на диапазоны адресов для сети, представляющей эту локальную сеть. Можно добавить несколько диапазонов пространства адресов. Убедитесь, что указанные диапазоны не перекрывают диапазоны других сетей, к которым необходимо подключиться. Azure направляет диапазон адресов, указанный в IP-адрес локального VPN-устройства. Чтобы подключиться к локальному сайту, используйте здесь собственные значения, а не значения из примера.

3. На вкладке "Дополнительно" можно настроить параметры BGP при необходимости.

4. После указания значений нажмите кнопку "Проверить и создать " в нижней части страницы, чтобы проверить страницу.

5. Нажмите кнопку Создать, чтобы создать объект шлюза локальной сети.

Настройка устройства VPN

Для подключения "сеть — сеть" к локальной сети требуется VPN-устройство. На этом этапе мы настроим VPN-устройство. Чтобы настроить локальное VPN-устройство, потребуются следующие значения:

• Общий ключ. Это тот же общий ключ, который указывается при создании VPN-подключения "сеть — сеть". В наших примерах мы используем простые общие ключи. Для практического использования рекомендуется создавать более сложные ключи.
• Общедоступный IP-адрес шлюза виртуальной сети. Общедоступный IP-адрес можно просмотреть с помощью портала Azure, PowerShell или CLI. Чтобы найти общедоступный IP-адрес VPN-шлюза с помощью портал Azure, перейдите к шлюзам виртуальной сети, а затем выберите имя шлюза.

В зависимости от используемого VPN-устройства можно скачать скрипт конфигурации VPN-устройства. Дополнительные сведения см. в статье о скачивании скриптов конфигурации для VPN-устройств.

Дополнительные сведения о конфигурации см. по следующим ссылкам:

• Сведения о совместимых VPN-устройствах см. в разделе "VPN-устройства".
• Перед настройкой VPN-устройства проверьте наличие проблем совместимости известных устройств для VPN-устройства, которое вы хотите использовать.
• Ссылки на параметры конфигурации устройства см. в разделе "Проверенные VPN-устройства". Ссылки на инструкции по настройке устройств будут предоставляться по мере возможности. Актуальные сведения о конфигурации всегда лучше проверять у производителей устройств. В списке перечислены протестированные нами версии. Если вашей ОС нет в этом списке, эта версия все равно может быть совместимой. Обратитесь к изготовителю устройства, чтобы убедиться, что версия ОС для VPN-устройства совместима.
• Общие сведения о конфигурации VPN-устройства см. в разделе "Общие сведения о конфигурациях СТОРОННИХ VPN-устройств".
• См. дополнительные сведения о примерах изменения конфигурации устройств.
• См. дополнительные сведения о требованиях к шифрованию и VPN-шлюзах Azure.
• Дополнительные сведения см. в статье VPN-устройства и параметры IPsec/IKE для подключений типа "сеть — сеть" через VPN-шлюз. Эта ссылка содержит сведения о версии IKE, Diffie-Hellman Group, методе проверки подлинности, алгоритмах шифрования и хэширования, времени существования SA, PFS и DPD, а также о других сведениях о параметрах, необходимых для завершения настройки.
• Инструкции по настройке политики IPsec/IKE см. в разделе "Настройка политики IPsec/IKE" для подключений VPN типа "сеть — сеть" или "виртуальная сеть — виртуальная сеть".
• Сведения о подключении нескольких VPN-устройств на основе политик см. в статье Подключение VPN-шлюзов Azure к нескольким локальным VPN-устройствам на основе политики с помощью PowerShell.

Настройка подключения

Создайте подключение VPN типа "сеть — сеть" между шлюзом виртуальной сети и локальным VPN-устройством. В этом разделе мы используем следующие примеры значений:

• Имя шлюза локальной сети: Site1.
• Имя подключения: VNet1toSite1.
• Общий ключ: в этом примере мы используем abc123. Но можно использовать любой ключ, совместимый с оборудованием VPN. Важно, чтобы значения совпадали на обеих сторонах подключения.

1. На портале перейдите к шлюзу виртуальной сети и откройте его.

2. На странице шлюза выберите элемент Подключения.

3. В верхней части страницы "Подключения" нажмите кнопку "Добавить ", чтобы открыть страницу "Создать подключение ".

   

4. На странице "Создание подключения" на вкладке "Основные сведения" настройте значения для подключения:

   • В разделе "Сведения о проекте" выберите подписку и группу ресурсов, в которой находятся ресурсы.

   • В разделе "Сведения об экземпляре" настройте следующие параметры:

     • Тип подключения: выберите Сеть — сеть (IPSec).
     • Имя — имя подключения.
     • Регион: выберите регион этого подключения.

5. Выберите вкладку "Параметры" и настройте следующие значения:

   

   • Шлюз виртуальной сети: выберите шлюз виртуальной сети из раскрывающегося списка.
   • Шлюз локальной сети: выберите шлюз локальной сети из раскрывающегося списка.
   • Общий ключ: значение здесь должно соответствовать значению, используемому для локального VPN-устройства. Если это поле не отображается на странице портала или вы хотите позже обновить этот ключ, можно сделать это после создания объекта подключения. Перейдите к созданному объекту подключения (например, имени VNet1toSite1) и обновите ключ на странице проверки подлинности .
   • Протокол IKE: select IKEv2.
   • Используйте частный IP-адрес Azure: не выбирайте.
   • Включение BGP: не выбирайте.
   • FastPath: не выбирайте.
   • Политика IPsec/IKE: выберите значение по умолчанию.
   • Используйте селектор трафика на основе политики: нажмите кнопку "Отключить".
   • Время ожидания DPD в секундах: выберите 45.
   • Режим подключения: выберите значение по умолчанию. Этот параметр используется для указания того, какой шлюз может инициировать подключение. Дополнительные сведения см. в разделе VPN-шлюз параметров — режимы подключения.

6. Для ассоциаций правил NAT оставьте как входящий, так и исходящий трафик, как выбрано значение 0.

7. Выберите "Проверка и создание ", чтобы проверить параметры подключения.

8. Выберите Создать, чтобы создать подключение.

9. После завершения развертывания можно просмотреть подключение на странице "Подключения " шлюза виртуальной сети. Состояние изменяется с "Неизвестно" на "Подключение", а затем на "Успешно".

Просмотр и проверка VPN-подключения

Чтобы на портале Azure просмотреть состояние подключения VPN-шлюза, перейдите к нужному подключению. В следующих шагах показано, как перейти к подключению и проверить его.

1. В меню портал Azure выберите "Все ресурсы" или найдите и выберите "Все ресурсы" на любой странице.
2. Выберите шлюз виртуальной сети.
3. На панели шлюза виртуальной сети выберите "Подключения". Вы увидите состояние каждого подключения.
4. Выберите имя подключения, которое необходимо проверить, чтобы открыть Essentials. На панели Essentials можно просмотреть дополнительные сведения о подключении. Состояние успешно выполнено и подключено после успешного подключения.

Удаление подключения

1. На портале перейдите на страницу подключений VPN-шлюза.
2. Щелкните подключение, которое нужно удалить. Откроется страница подключения.
3. Нажмите кнопку " Удалить" , чтобы удалить подключение.

Следующие шаги

Дополнительные сведения о конфигурациях VPN-шлюза типа "сеть — сеть" см. в руководстве . Настройка конфигурации VPN-шлюза типа "сеть — сеть".