Dela via


Lägg till eller ta bort VPN-gateway för site-to-site-anslutningar

Denna artikel hjälper dig att lägga till eller ta bort site-to-site (S2S) anslutningar för en VPN-gateway. Du kan också lägga till S2S-anslutningar till en VPN-gateway som redan har en S2S-anslutning, punkt-till-plats-anslutning eller VNet-till-VNet-anslutning. Det finns vissa begränsningar när man lägger till anslutningar. Kontrollera Förutsättningar avsnittet i den här artikeln för att verifiera innan du börjar din konfiguration.

Diagram över site-to-site VPN Gateway cross-premises-anslutning med flera platser.

Om ExpressRoute/plats-till-plats-samexisterande anslutningar

  • Du kan använda stegen i den här artikeln för att lägga till en ny VPN-anslutning till en redan befintlig ExpressRoute/platsspecifik samexisterande anslutning.
  • Du kan inte använda stegen i den här artikeln för att konfigurera en ny ExpressRoute/site-to-site-samexisterande anslutning. För att skapa en ny samexisterande anslutning, se: ExpressRoute/S2S samexisterande anslutningar.

Förutsättningar

Bekräfta följande punkter:

  • Du konfigurerar INTE en ny samexisterande ExpressRoute och VPN Gateway plats-till-plats-anslutning.
  • Du har ett virtuellt nätverk som skapades med Resource Manager-distributionsmodellen med en befintlig anslutning.
  • Den virtuella nätverksgatewayen för ditt virtuella nätverk är RouteBased. Om du har en PolicyBased VPN-gateway måste du ta bort den virtuella nätverksgatewayen och skapa en ny VPN-gateway som är RouteBased.
  • Inga av adressintervallen överlappar varandra för något av de virtuella nätverken som detta virtuella nätverk ansluter till.
  • Du har en kompatibel VPN-enhet och någon som kan konfigurera den. Mer information finns i Om VPN-enheter. Om du inte är bekant med hur du konfigurerar din VPN-enhet eller inte är bekant med IP-adressintervallen som finns i din lokala nätverkskonfiguration måste du samordna med någon som kan tillhandahålla dessa uppgifter åt dig.
  • Du har en extern offentlig IP-adress för din VPN-enhet.

Skapa en lokal nätverksgateway

Den lokala nätverksporten är ett specifikt objekt som distribueras till Azure för att representera din lokala plats (platsen) för routingsyften. Du ger webbplatsen ett namn som Azure kan referera till och anger sedan IP-adressen för den lokala VPN-enhet som du ska skapa en anslutning till. Du anger också de IP-adressprefix som ska dirigeras via VPN-gatewayen till VPN-enheten. De adressprefixer som du specificerar är de prefixer som finns på ditt lokala nätverk. Om ditt lokala nätverk ändras eller om du behöver ändra den offentliga IP-adressen för VPN-enheten, kan du enkelt uppdatera värdena senare.

Skapa en lokal nätverksgateway med hjälp av följande exempelvärden:

  • Namn: Plats1
  • Resursgrupp: TestRG1
  • Plats: Östra USA

Konfigurationsöverväganden:

  • VPN Gateway stöder endast en IPv4-adress för varje FQDN. Om domännamnet löser sig till flera IP-adresser, använder VPN Gateway den första IP-adressen som returneras av DNS-servrarna. För att eliminera osäkerheten rekommenderar vi att ditt FQDN alltid löser till en enda IPv4-adress. IPv6 stöds inte.
  • VPN-gatewayen upprätthåller en DNS-cache som uppdateras var 5:e minut. Gatewayen försöker endast matcha FQDN:erna för frånkopplade tunnlar. Återställning av gatewayen utlöser också FQDN-upplösning.
  • Även om VPN Gateway stöder flera anslutningar till olika lokala nätverksgatewayer med olika FQDN:er, måste alla FQDN:er lösas till olika IP-adresser.
  1. I portalen, gå till Lokala nätverksgateways och öppna sidan Skapa lokal nätverksgateway.

  2. På fliken Bas, specificera värdena för din lokala nätverksgateway.

    Skärmdump som visar hur man skapar en lokal nätverksgateway med IP-adress.

    • Prenumeration: Verifiera att rätt prenumeration visas.
    • Resursgrupp: Välj den resursgrupp du vill använda. Du kan antingen skapa en ny resursgrupp eller välja en som du redan har skapat.
    • Region: Välj region för det här objektet. Du kanske vill välja samma plats där det virtuella nätverket finns, men du behöver inte göra det.
    • Namn: Ange ett namn för ditt lokala nätverksgatewayobjekt.
    • Endpoint: Välj endpoint-typ för den lokala VPN-enheten som IP address eller FQDN (Fully Qualified Domain Name).
      • IP-adress: Om du har en statisk offentlig IP-adress tilldelad från din internetleverantör (ISP) för din VPN-enhet, välj IP-adressalternativet. Fyll i IP-adressen enligt exemplet. Den här adressen är den offentliga IP-adressen för den VPN-enhet som du vill att Azure VPN Gateway ska ansluta till. Om du inte har IP-adressen just nu, kan du använda värdena som visas i exemplet. Senare måste du gå tillbaka och ersätta din platshållar-IP-adress med den offentliga IP-adressen för din VPN-enhet. Annars kan Azure inte ansluta.
      • FQDN: Om du har en dynamisk offentlig IP-adress som kan ändras efter en viss tidsperiod, ofta bestämd av din internetleverantör, kan du använda ett konstant DNS-namn med en dynamisk DNS-tjänst för att peka mot din nuvarande offentliga IP-adress för din VPN-enhet. Din Azure VPN-gateway översätter det fullständiga domännamnet för att avgöra vilken offentlig IP-adress som ska anslutas till.
    • Adressutrymme: Adressutrymmet hänvisar till adressområdena för nätverket som detta lokala nätverk representerar. Du kan lägga till flera adresser i olika adressrymdsområden. Se till att de intervall du anger här inte överlappar med intervall för andra nätverk som du vill ansluta till. Azure dirigerar det adressområde som du anger till den lokala VPN-enhetens IP-adress. Använd dina egna värden här om du vill ansluta till din lokala webbplats, inte de värden som visas i exemplet.
  3. På fliken Avancerat kan du konfigurera BGP-inställningar, om det behövs.

  4. När du har angett värdena väljer du Granska + skapa längst ned på sidan för att verifiera sidan.

  5. Välj Skapa för att skapa objektet för den lokala nätverksgatewayen.

Konfigurera din VPN-enhet

Site-to-site-anslutningar till ett lokalt nätverk kräver en VPN-enhet. I det här steget konfigurerar du din VPN-enhet. När du konfigurerar VPN-enheten behöver du följande värden:

  • En delad nyckel Detta är samma delade nyckel som du anger när du skapar din site-to-site VPN-anslutning. I våra exempel använder vi en enkel delad nyckel. Vi rekommenderar att du genererar en mer komplex nyckel att använda.
  • Den publika IP-adressen för din virtuella nätverksgateway. Du kan visa den offentliga IP-adressen genom att använda Azure-portalen, PowerShell eller CLI. För att hitta den offentliga IP-adressen till din VPN-gateway med Azure-portalen, gå till Virtuella nätverksgateways och välj sedan namnet på din gateway.

Beroende på vilken VPN-enhet du har kan du kanske ladda ned ett konfigurationsskript för VPN-enheten. För mer information, se Ladda ner konfigurationsskript för VPN-enheter.

Mer konfigurationsinformation finns i följande länkar:

Konfigurera en anslutning

Skapa en site-to-site VPN-anslutning mellan din virtuella nätverksgateway och din lokala VPN-enhet. I det här avsnittet använder vi följande exempelvärden:

  • Namn på lokal nätverksgateway: Site1
  • Anslutningens namn: VNet1toSite1
  • Delad nyckel: För det här exemplet använder vi abc123. Men, du kan använda vad som helst som är kompatibelt med din VPN-hårdvara. Det viktiga är att värdena matchar på båda sidor av förbindelsen.
  1. I portalen, gå till det virtuella nätverksgatewayet och öppna det.

  2. På sidan för gatewayen väljer du Anslutningar.

  3. Högst upp på Anslutningar-sidan, välj + Lägg till för att öppna sidan Skapa anslutning.

    Skärmbild som visar grunder-sidan.

  4. På sidan Create connection, på fliken Basics, konfigurera värdena för din anslutning:

    • Under Projektdetaljer väljer du prenumerationen och resursgruppen där dina resurser finns.

    • Under Instance detaljer, konfigurera följande inställningar:

      • Anslutningstyp: Välj Plats-till-plats (IPSec).
      • Namn: Namnge din anslutning.
      • Region: Välj region för denna anslutning.
  5. Välj Settings-fliken och konfigurera följande värden:

    Skärmdump som visar sidan Inställningar.

    • Virtual network gateway: Välj den virtuella nätverksgatewayen från rullgardinsmenyn.
    • Local nätverksgateway: Välj den lokala nätverksgatewayen från rullgardinsmenyn.
    • Delad nyckel: Värdet här måste motsvara värdet som du använder för din lokala VPN-enhet på plats. Om detta fält inte visas på din portalsida, eller om du senare vill uppdatera den här nyckeln, kan du göra det när anslutningsobjektet har skapats. Gå till anslutningsobjektet du skapade (exempelnamn: VNet1toSite1) och uppdatera nyckeln på Autentisering-sidan.
    • IKE-protokoll: Välj IKEv2.
    • Use Azure Private IP Address: Välj inte.
    • Aktivera BGP: Välj inte.
    • FastPath: Välj inte.
    • IPsec/IKE-princip: Välj Standard.
    • Använd policybaserad trafikväljare: Välj Inaktivera.
    • DPD timeout i sekunder: Välj 45.
    • Anslutningsläge: Välj Standard. Den här inställningen används för att specificera vilken gateway som kan initiera anslutningen. För mer information, se VPN Gateway-inställningar - Anslutningslägen.
  6. För NAT-regelassociationer, lämna både Ingress och Egress som 0 valda.

  7. Välj Granska + skapa för att validera dina anslutningsinställningar.

  8. Skapa anslutningen genom att välja Skapa.

  9. Efter att implementeringen är avslutad, kan du se anslutningen på sidan Anslutningar i den virtuella nätverksgatewayen. Statusen ändras från Okänd till Ansluter och sedan till Uppkopplad.

Visa och verifiera VPN-anslutningen

I Azure-portalen kan du se anslutningsstatusen för en VPN-gateway genom att gå till anslutningen. Följande steg visar ett sätt att gå till din anslutning och verifiera.

  1. På menyn i Azure-portalen väljer du Alla resurser eller söker efter och väljer Alla resurser från vilken sida som helst.
  2. Välj din virtuella nätverksgateway.
  3. På panelen för din virtuella nätverksgateway, välj Anslutningar. Du kan se statusen för varje anslutning.
  4. Välj namnet på den anslutning som du vill verifiera för att öppna Essentials. På Essentials-panelen kan du se mer information om din anslutning. The status är Lyckat och Ansluten efter att du har gjort en lyckad anslutning.

Ta bort en anslutning

  1. Gå till sidan Connections för din VPN-gateway i portalen.
  2. Klicka på anslutningen du vill ta bort. Detta öppnar sidan för anslutningen.
  3. Klicka på Delete för att ta bort anslutningen.

Nästa steg

För mer information om konfigurationer för site-to-site VPN-gateway, se Handledning: Konfigurera en site-to-site VPN-gatewaykonfiguration.