Dela via


Lägga till eller ta bort VPN Gateway-plats-till-plats-anslutningar

Den här artikeln hjälper dig att lägga till eller ta bort plats-till-plats-anslutningar (S2S) för en VPN-gateway. Du kan också lägga till S2S-anslutningar till en VPN-gateway som redan har en S2S-anslutning, punkt-till-plats-anslutning eller VNet-till-VNet-anslutning. Det finns vissa begränsningar när du lägger till anslutningar. Kontrollera kraven i den här artikeln innan du startar konfigurationen.

Diagram över plats-till-plats VPN Gateway-anslutning mellan platser med flera platser.

Om expressroute-/plats-till-plats-samexisterande anslutningar

  • Du kan använda stegen i den här artikeln för att lägga till en ny VPN-anslutning till en redan befintlig ExpressRoute-/plats-till-plats-samexistensanslutning.
  • Du kan inte använda stegen i den här artikeln för att konfigurera en ny ExpressRoute-/plats-till-plats-samexistensanslutning. Information om hur du skapar en ny samexisterande anslutning finns i: ExpressRoute/S2S samexisterande anslutningar.

Förutsättningar

Kontrollera följande:

  • Du konfigurerar INTE en ny samexisterande ExpressRoute- och VPN Gateway-plats-till-plats-anslutning.
  • Du har ett virtuellt nätverk som skapades med hjälp av Resource Manager-distributionsmodellen med en befintlig anslutning.
  • Den virtuella nätverksgatewayen för ditt virtuella nätverk är RouteBased. Om du har en principbaserad VPN-gateway måste du ta bort den virtuella nätverksgatewayen och skapa en ny VPN-gateway som RouteBased.
  • Inget av adressintervallen överlappar något av de virtuella nätverk som det här virtuella nätverket ansluter till.
  • Du har en kompatibel VPN-enhet och någon som kan konfigurera den. Se Om VPN-enheter. Om du inte vet hur man konfigurerar VPN-enheten eller inte känner till IP-adressintervallen i din lokala nätverkskonfiguration måste du vända dig till någon som kan ge den informationen till dig.
  • Du har en externt riktad offentlig IP-adress för VPN-enheten.

Skapa en lokal nätverksgateway

Den lokala nätverksgatewayen är ett specifikt objekt som distribueras till Azure och som representerar din lokala plats (platsen) i routningssyfte. Du ger webbplatsen ett namn som Azure kan referera till och anger sedan IP-adressen för den lokala VPN-enhet som du ska skapa en anslutning till. Du anger också IP-adressprefixen som ska dirigeras via VPN-gatewayen till VPN-enheten. Adressprefixen du anger är de prefix som finns på det lokala nätverket. Om ditt lokala nätverk ändras eller om du behöver ändra den offentliga IP-adressen för VPN-enheten, kan du enkelt uppdatera värden senare.

Skapa en lokal nätverksgateway med hjälp av följande exempelvärden:

  • Namn: Site1
  • Resursgrupp: TestRG1
  • Plats: USA, östra

Konfigurationsöverväganden:

  • VPN Gateway stöder endast en IPv4-adress för varje FQDN. Om domännamnet matchar flera IP-adresser använder VPN Gateway den första IP-adressen som returneras av DNS-servrarna. För att eliminera osäkerheten rekommenderar vi att ditt FQDN alltid matchar en enda IPv4-adress. IPv6 stöds inte.
  • VPN Gateway upprätthåller en DNS-cache som uppdateras var 5:e minut. Gatewayen försöker endast matcha FQDN:erna för frånkopplade tunnlar. Återställning av gatewayen utlöser också FQDN-upplösning.
  • Även om VPN Gateway stöder flera anslutningar till olika lokala nätverksgatewayer med olika FQDN måste alla FQDN matchas mot olika IP-adresser.
  1. I portalen går du till Lokala nätverksgatewayer och öppnar sidan Skapa lokal nätverksgateway .

  2. På fliken Grundläggande information anger du värdena för din lokala nätverksgateway.

    Skärmbild som visar hur du skapar en lokal nätverksgateway med IP-adress.

    • Prenumeration: Kontrollera att korrekt prenumeration visas.
    • Resursgrupp: Välj den resursgrupp som du vill använda. Du kan antingen skapa en ny resursgrupp eller välja en som du redan har skapat.
    • Region: Välj region för det här objektet. Du kanske vill välja samma plats där det virtuella nätverket finns, men du behöver inte göra det.
    • Namn: Ange ett namn för ditt lokala gateway-objekt.
    • Slutpunkt: Välj slutpunktstyp för den lokala VPN-enheten som IP-adress eller FQDN (fullständigt domännamn).
      • IP-adress: Om du har en statisk offentlig IP-adress allokerad från internetleverantören (ISP) för VPN-enheten väljer du alternativet IP-adress. Fyll i IP-adressen enligt exemplet. Den här adressen är den offentliga IP-adressen för den VPN-enhet som du vill att Azure VPN Gateway ska ansluta till. Om du inte har IP-adressen just nu kan du använda de värden som visas i exemplet. Senare måste du gå tillbaka och ersätta platshållar-IP-adressen med vpn-enhetens offentliga IP-adress. Annars kan Azure inte ansluta.
      • FQDN: Om du har en dynamisk offentlig IP-adress som kan ändras efter en viss tidsperiod, som ofta bestäms av internetleverantören, kan du använda ett konstant DNS-namn med en dynamisk DNS-tjänst för att peka på din aktuella offentliga IP-adress för VPN-enheten. Din Azure VPN-gateway löser det fullständiga domännamnet för att fastställa den offentliga IP-adress som ska anslutas till.
    • Adressutrymme: Adressutrymmet refererar till adressintervallen för nätverket som det här lokala nätverket representerar. Du kan lägga till flera adressintervall. Kontrollera att intervallen du anger här inte överlappar intervallen för andra nätverk som du vill ansluta till. Azure dirigerar adressintervallet som du anger till den lokala VPN-enhetens IP-adress. Använd egna värden här om du vill ansluta till din lokala plats. Använd inte de värden som visas i exemplet.
  3. På fliken Avancerat kan du konfigurera BGP-inställningar om det behövs.

  4. När du har angett värdena väljer du Granska + skapa längst ned på sidan för att verifiera sidan.

  5. Välj Skapa för att skapa den lokala nätverksgatewayen.

Konfigurera din VPN-enhet

Plats-till-plats-anslutningar till ett lokalt nätverk kräver en VPN-enhet. I det här steget konfigurerar du VPN-enheten. När du konfigurerar VPN-enheten behöver du följande värden:

  • En delad nyckel. Det här är samma delade nyckel som du anger när du skapar din PLATS-till-plats VPN-anslutning. I vårt exempel använder vi en enkel delad nyckel. Vi rekommenderar att du skapar och använder en mer komplex nyckel.
  • Den offentliga IP-adressen för din virtuella nätverksgateway. Du kan visa den offentliga IP-adressen genom att använda Azure Portal, PowerShell eller CLI. Om du vill hitta den offentliga IP-adressen för din VPN-gateway via Azure-portalen går du till Virtuella nätverksgatewayer och väljer sedan namnet på din gateway.

Beroende på vilken VPN-enhet du har kanske du kan ladda ned ett konfigurationsskript för VPN-enheter. Mer information finns i Ladda ned konfigurationsskript för VPN-enheten.

Mer konfigurationsinformation finns i följande länkar:

Konfigurera en anslutning

Skapa en plats-till-plats-VPN-anslutning mellan din virtuella nätverksgateway och din lokala VPN-enhet. I det här avsnittet använder vi följande exempelvärden:

  • Namn på lokal nätverksgateway: Site1
  • Anslutningsnamn: VNet1toSite1
  • Delad nyckel: I det här exemplet använder vi abc123. Men du kan använda det som är kompatibelt med din VPN-maskinvara. Huvudsaken är att värdena matchar på båda sidorna av anslutningen.
  1. I portalen går du till den virtuella nätverksgatewayen och öppnar den.

  2. På sidan för gatewayen väljer du Anslutningar.

  3. Längst upp på sidan Anslutningar väljer du + Lägg till för att öppna sidan Skapa anslutning .

    Skärmbild som visar sidan Grundläggande.

  4. På sidan Skapa anslutningfliken Grundläggande konfigurerar du värdena för anslutningen:

    • Under Projektinformation väljer du prenumerationen och resursgruppen där dina resurser finns.

    • Under Instansinformation konfigurerar du följande inställningar:

      • Anslutningstyp: Välj Plats-till-plats (IPSec).
      • Namn: Namnge din anslutning.
      • Region: Välj region för den här anslutningen.
  5. Välj fliken Inställningar och konfigurera följande värden:

    Skärmbild som visar sidan Inställningar.

    • Virtuell nätverksgateway: Välj den virtuella nätverksgatewayen i listrutan.
    • Lokal nätverksgateway: Välj den lokala nätverksgatewayen i listrutan.
    • Delad nyckel: Värdet här måste matcha det värde som du använder för din lokala VPN-enhet. Om det här fältet inte visas på portalsidan eller om du vill uppdatera den här nyckeln senare kan du göra det när anslutningsobjektet har skapats. Gå till det anslutningsobjekt som du skapade (exempelnamn: VNet1toSite1) och uppdatera nyckeln på sidan Autentisering .
    • IKE-protokoll: Välj IKEv2.
    • Använd privat IP-adress i Azure: Välj inte.
    • Aktivera BGP: Välj inte.
    • FastPath: Välj inte.
    • IPsec/IKE-princip: Välj Standard.
    • Använd principbaserad trafikväljare: Välj Inaktivera.
    • DPD-timeout i sekunder: Välj 45.
    • Anslutningsläge: Välj Standard. Den här inställningen används för att ange vilken gateway som kan initiera anslutningen. Mer information finns i VPN Gateway-inställningar – Anslutningslägen.
  6. För NAT-regelassociationer lämnar du både Inkommande och Utgående som 0 valt.

  7. Välj Granska + skapa för att verifiera anslutningsinställningarna.

  8. Skapa anslutningen genom att välja Skapa.

  9. När distributionen är klar kan du visa anslutningen på sidan Anslutningar för den virtuella nätverksgatewayen. Statusen ändras från Okänd till Ansluta och sedan till Lyckades.

Visa och verifiera VPN-anslutningen

I Azure-portalen kan du visa anslutningsstatus för en VPN-gateway genom att gå till anslutningen. Följande steg visar ett sätt att gå till anslutningen och verifiera.

  1. På Menyn i Azure-portalen väljer du Alla resurser eller söker efter och väljer Alla resurser på valfri sida.
  2. Välj din virtuella nätverksgateway.
  3. Välj Anslutningar i fönstret för din virtuella nätverksgateway. Du kan se status för varje anslutning.
  4. Välj namnet på den anslutning som du vill verifiera för att öppna Essentials. I fönstret Essentials kan du visa mer information om anslutningen. Statusen är Lyckades och Ansluten när du har upprättat en lyckad anslutning.

Vill du ta bort anslutningen

  1. Gå till sidan VPN-gatewayanslutningar i portalen.
  2. Klicka på den anslutning som du vill ta bort. Då öppnas sidan för anslutningen.
  3. Klicka på Ta bort för att ta bort anslutningen.

Nästa steg

Mer information om vpn-gatewaykonfigurationer för plats-till-plats finns i Självstudie: Konfigurera en vpn-gatewaykonfiguration för plats-till-plats.