Vanliga frågor och svar om VPN Gateway

Ansluta till virtuella nätverk

Kan jag ansluta till virtuella nätverk i olika Azure-regioner?

Ja. Det finns ingen regionbegränsning. Ett virtuellt nätverk kan ansluta till ett annat virtuellt nätverk i samma region eller i en annan Azure-region.

Kan jag ansluta till virtuella nätverk i olika prenumerationer?

Ja.

Kan jag ange privata DNS-servrar i mitt virtuella nätverk när jag konfigurerar en VPN-gateway?

Om du angav en DNS-server eller -servrar när du skapade ditt virtuella nätverk använder VPN Gateway de DNS-servrar som du angav. Om du anger en DNS-server kontrollerar du att DNS-servern kan matcha de domännamn som behövs för Azure.

Kan jag ansluta till flera platser från en enda virtuellt nätverk?

Du kan ansluta till flera platser med hjälp av Windows PowerShell och Azure REST-API:er. Se Multisite- och VNet-till-VNet-anslutning, avsnittet Vanliga frågor och svar.

Finns det en extra kostnad för att konfigurera en VPN-gateway som aktiv-aktiv?

Nej.

Vilka alternativ finns det för min anslutning till flera platser?

Följande anslutningar för virtuella nätverksgatewayer mellan olika platser stöds:

  • Plats-till-plats: VPN-anslutning över IPsec (IKE v1 och IKE v2). Den här typen av anslutning kräver en VPN-enhet eller RRAS. Mer information finns i Plats-till-plats.
  • Punkt-till-plats: VPN-anslutning via SSTP (Secure Socket Tunneling Protocol) eller IKE v2. Den här anslutningen kräver ingen VPN-enhet. Mer information finns i Punkt-till-plats.
  • VNet-till-VNet: Den här typen av anslutning är samma som en plats-till-plats-konfiguration. VNet-till-VNet är en VPN-anslutning via IPsec (IKE v1 och IKE v2). Det kräver ingen VPN-enhet. Mer information finns i VNet-till-VNet.
  • Flera platser: Det här är en variant av en plats-till-plats-konfiguration som gör att du kan ansluta flera lokala platser till ett virtuellt nätverk. Mer information finns i Flera platser.
  • ExpressRoute: ExpressRoute är en privat anslutning till Azure från ditt WAN, inte en VPN-anslutning via det offentliga Internet. Mer information finns i Teknisk översikt för ExpressRoute och Vanliga frågor och svar om ExpressRoute.

Mer information om VPN Gateway anslutningar finns i Om VPN Gateway.

Vad är skillnaden mellan en plats-till-plats-anslutning och punkt-till-plats?

Konfigurationer för plats-till-plats (IPsec/IKE VPN-tunnel) finns mellan din lokala plats och Azure. Detta innebär att du kan ansluta mellan datorer i dina lokaler till valfri virtuell dator eller rollinstans i det virtuella nätverket, beroende på hur du väljer att konfigurera routning och behörigheter. Det är ett bra alternativ för en alltid tillgänglig anslutning mellan platser och passar bra för hybridkonfigurationer. Den här typen av anslutning bygger på en IPsec VPN-installation (maskinvara eller programinstallation), som måste distribueras i utkanten av nätverket. Om du vill skapa den här typen av anslutning måste du ha en externT riktad IPv4-adress.

Med punkt-till-plats-konfigurationer (VPN över SSTP) kan du ansluta från en enda dator var som helst till allt som finns i ditt virtuella nätverk. Den använder Windows som ingår i VPN-klienten. Som en del av punkt-till-plats-konfigurationen installerar du ett certifikat och ett VPN-klientkonfigurationspaket som innehåller de inställningar som gör att datorn kan ansluta till valfri virtuell dator eller rollinstans i det virtuella nätverket. Detta är användbart om du vill ansluta till ett virtuellt nätverk som inte finns lokalt. Det är också ett bra alternativ när du inte har åtkomst till VPN-maskinvara eller en externT riktad IPv4-adress, som båda krävs för en plats-till-plats-anslutning.

Du kan konfigurera ditt virtuella nätverk att använda både plats-till-plats och punkt-till-plats samtidigt, så länge du skapar din plats-till-plats-anslutning med hjälp av en routningsbaserad VPN-typ för din gateway. Routningsbaserade VPN-typer kallas för dynamiska gateways i den klassiska distributionsmodellen.

Sekretess

Lagrar eller bearbetar VPN-tjänsten kunddata?

Nej.

Virtuella nätverksgatewayer

Är en VPN-gateway en virtuell nätverksgateway?

En VPN-gateway är en typ av virtuell nätverksgateway. En VPN-gateway skickar krypterad trafik mellan det virtuella nätverket och lokal plats via en offentlig anslutning. Du kan också använda en VPN-gateway för att skicka trafik mellan virtuella nätverk. När du skapar en VPN-gateway använder du värdet ”Vpn” för -GatewayType. Mer information finns i Om konfigurationsinställningar för VPN Gateway.

Vad är en principbaserad gateway (statisk routning)?

Principbaserade gateways implementerar principbaserade VPN:er. Principbaserade VPN:er krypterar och dirigerar paket via IPsec-tunnlar, baserat på kombinationerna av adressprefix mellan ditt lokala nätverk och Azure VNet. Principen (eller trafikväljaren) definieras vanligtvis som en åtkomstlista i VPN-konfigurationen.

Vad är en routningsbaserad gateway (dynamisk routning)?

Routningsbaserade gateways implementerar routningsbaserade VPN:er. Routningsbaserade VPN:er använder ”vägar” i IP-vidarebefordringen eller i routningstabellen för att dirigera paket till sina respektive tunnelgränssnitt. Tunnelgränssnitten krypterar eller dekrypterar sedan paketen in och ut från tunnlarna. Princip- eller trafikväljare för routningsbaserade VPN:er konfigureras som valfria (eller jokertecken).

Kan jag ange mina egna principbaserade trafikväljare?

Ja, trafikväljare kan definieras via attributet trafficSelectorPolicies på en anslutning via kommandot New-AzIpsecTrafficSelectorPolicy PowerShell. För att den angivna trafikväljaren ska börja gälla kontrollerar du att alternativet Använd principbaserade trafikväljare är aktiverat.

De anpassade konfigurerade trafikväljarna föreslås bara när en Azure VPN-gateway initierar anslutningen. En VPN-gateway accepterar alla trafikväljare som föreslås av en fjärrgateway (lokal VPN-enhet). Det här beteendet är konsekvent mellan alla anslutningslägen (Standard, InitiatorOnly och ResponderOnly).

Kan jag uppdatera min principbaserade VPN-gateway till routningsbaserad?

Nej. En gatewaytyp kan inte ändras från principbaserad till routningsbaserad eller från routningsbaserad till principbaserad. Om du vill ändra en gatewaytyp måste gatewayen tas bort och återskapas. Den här processen tar cirka 60 minuter. När du skapar den nya gatewayen kan du inte behålla IP-adressen för den ursprungliga gatewayen.

  1. Ta bort alla anslutningar som är associerade med gatewayen.

  2. Ta bort gatewayen med någon av följande artiklar:

  3. Skapa en ny gateway med den gatewaytyp som du vill använda och slutför sedan VPN-konfigurationen. Anvisningar finns i självstudien Plats-till-plats.

Behöver jag ett gatewayundernät?

Ja. Gatewayundernätet innehåller de IP-adresser som gatewaytjänsterna för virtuella nätverk använder. Om du vill konfigurera en virtuell nätverksgateway måste du först skapa ett gatewayundernät för det virtuella nätverket. Alla gatewayundernät måste ha namnet ”GatewaySubnet” för att fungera korrekt. Ge inte något annat namn till gateway-undernätet. Och distribuera inte virtuella datorer eller något annat till gateway-undernätet.

När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. IP-adresserna i gatewayundernätet allokeras till gatewaytjänsten. Vissa konfigurationer kräver att fler IP-adresser allokeras till gatewaytjänsterna än andra. Du måste kontrollera att gatewayundernätet innehåller tillräckligt med IP-adresser för att hantera framtida tillväxt och eventuella ytterligare nya anslutningskonfigurationer. Även om du kan skapa ett gatewayundernät som är så litet som /29, rekommenderar vi att du skapar ett gatewayundernät på /27 eller större (/27, /26, /25 osv.). Granska kraven för den konfiguration som du vill skapa och kontrollera att gatewayundernätet som du har kommer att uppfylla dessa krav.

Kan jag distribuera virtuella datorer eller rollinstanser till mitt gateway-undernät?

Nej.

Kan jag få min IP-adress för VPN-gatewayen innan jag skapar den?

Zonredundanta och zonredundanta gatewayer (gateway-SKU:er som har AZ i namnet) förlitar sig båda på en offentlig IP-resurs för Standard SKU Azure. Offentliga IP-resurser för Azure Standard SKU måste använda en statisk allokeringsmetod. Därför har du den offentliga IP-adressen för din VPN-gateway så snart du skapar den offentliga IP-resursen standard-SKU som du tänker använda för den.

För icke-zonredundanta och icke-zonbaserade gatewayer (gateway-SKU:er som inte har AZ i namnet) kan du inte hämta IP-adressen för VPN-gatewayen innan den skapas. IP-adressen ändras bara om du tar bort och återskapar din VPN-gateway.

Kan jag begära en statisk offentlig IP-adress för min VPN-gateway?

Zonredundanta och zonredundanta gatewayer (gateway-SKU:er som har AZ i namnet) förlitar sig båda på en offentlig IP-resurs för Standard SKU Azure. Offentliga IP-resurser för Azure Standard SKU måste använda en statisk allokeringsmetod.

För icke-zonredundanta och icke-zonbaserade gatewayer (gateway-SKU:er som inte har AZ i namnet) stöds endast dynamisk IP-adresstilldelning. Detta innebär dock inte att IP-adressen ändras när den har tilldelats till din VPN-gateway. Den enda gången SOM IP-adressen för VPN-gatewayen ändras är när gatewayen tas bort och sedan återskapas. Den offentliga IP-adressen för VPN-gatewayen ändras inte när du ändrar storlek på, återställer eller slutför annat internt underhåll och uppgraderingar av vpn-gatewayen.

Hur blir min VPN-tunnel autentiserad?

Azure VPN använder PSK-autentisering (I förväg delad nyckel). Vi kan generera en i förväg delad nyckel (PSK) när vi skapar VPN-tunneln. Du kan ändra den automatiskt genererade PSK:n till din egen med PowerShell-cmdleten Eller REST-API:et Ange i förväg delad nyckel.

Kan jag använda API:n Set Pre-Shared Key till att konfigurera min principbaserade gateway-VPN (statisk routning)?

Ja, både API:n och PowerShell-cmdleten Set Pre-Shared Key kan användas för att konfigurera Azures principbaserade (statiska) VPN:er och routningsbaserade (dynamisk) routning-VPN:er.

Kan jag använda andra autentiseringsalternativ?

Vi är begränsade till att använda I förväg delade nycklar (PSK) för autentisering.

Hur anger jag vilken trafik som ska passera VPN-gatewayen?

Distributionsmodell med Resource Manager

  • PowerShell: Använd ”AddressPrefix” för att ange trafik för den lokala nätverksgatewayen.
  • Azure-Portal: navigera till den lokala nätverksgatewayen > Konfigurationsadressutrymme>.

Klassisk distributionsmodell

  • Azure-Portal: navigera till det klassiska virtuella nätverket > VPN-anslutningar > Plats-till-plats-VPN-anslutningar > Lokalt platsnamn > Lokal plats > Klientadressutrymme.

Kan jag använda NAT-T på mina VPN-anslutningar?

Ja, NAT-bläddering (NAT-T) stöds. Azure VPN Gateway utför INTE NAT-liknande funktioner på de inre paketen till och från IPsec-tunnlarna. I den här konfigurationen kontrollerar du att den lokala enheten initierar IPSec-tunneln.

Kan jag installera min egen VPN-server i Azure och använda den för att ansluta till mitt lokala nätverk?

Ja, du kan distribuera egna VPN-gatewayer eller servrar i Azure, antingen från Azure Marketplace eller genom att skapa egna VPN-routrar. Du måste konfigurera användardefinierade vägar i det virtuella nätverket för att säkerställa att trafiken dirigeras korrekt mellan dina lokala nätverk och dina virtuella nätverksundernät.

Varför öppnas vissa portar på min virtuella nätverksgateway?

De krävs för kommunikation i Azure-infrastrukturen. De skyddas (låsta) av Azure-certifikat. Utan rätt certifikat kan externa entiteter, inklusive kunder till dessa gatewayer, inte orsaka någon effekt på dessa slutpunkter.

En virtuell nätverksgateway är i grunden en enhet med flera enheter med ett nätverkskort som utnyttjar kundens privata nätverk och ett nätverkskort som är vänd mot det offentliga nätverket. Azure-infrastrukturentiteter kan inte utnyttja kundens privata nätverk av efterlevnadsskäl, så de måste använda offentliga slutpunkter för infrastrukturkommunikation. De offentliga slutpunkterna genomsöks regelbundet av Azures säkerhetsgranskning.

Mer information om gateway-typer, krav och dataflöde

Mer information finns i Om konfigurationsinställningar för VPN Gateway.

Plats-till-plats-anslutningar och VPN-enheter

Vad bör jag tänka på när jag väljer en VPN-enhet?

Vi har verifierat en uppsättning standard vpn-enheter för plats-till-plats i samarbete med enhetsleverantörer. En lista med kända kompatibla VPN-enheter, deras konfigurationsanvisningar eller exempel, samt specifikationer för enheten finns i artikeln Om VPN-enheter. Alla enheter i enhetsfamiljerna som är kompatibla bör fungera tillsammans med Virtual Network. Om du behöver hjälp med att konfigurera din VPN-enhet kan du se enhetens konfigurationsexempel eller den länk som leder till lämplig enhetsfamilj.

Var hittar jag konfigurationsinställningar för VPN-enheter?

För att ladda ned konfigurationsskript för VPN-enheten:

Beroende på vilken VPN-enhet du har kan du eventuellt hämta ett skript för VPN-enhetskonfiguration. Mer information finns i Ladda ned konfigurationsskript för VPN-enheten.

Se följande länkar för ytterligare information om konfiguration:

Hur redigerar jag konfigurationsexempel för VPN-enheter?

Mer information om att redigera enhetens konfigurationsexempel finns i Redigera exempel.

Var hittar jag IPsec- och IKE-parametrar?

Mer information om IPsec-/IKE-parametrar finns i Parametrar.

Varför stängs min principbaserade VPN-tunnel när trafiken är inaktiv?

Detta är ett förväntat beteende för principbaserade VPN-gatewayer (även kallat statisk routning). När trafiken i tunneln varit inaktiv i mer än 5 minuter kommer tunneln att stängas. När trafik börjar flöda i båda riktningarna, upprättas tunneln på nytt omedelbart.

Kan jag använda programvaru-VPN:er för att ansluta till Azure?

Vi stöder Windows Server 2012-servrar för routning och fjärråtkomst (RRAS) för plats-till-plats-konfiguration mellan platser.

Andra VPN-programlösningar bör fungera med vår gateway så länge de uppfyller branschens standardimplementeringar för IPsec. Kontakta leverantören av programvaran för konfigurations- och supportinstruktioner.

Kan jag ansluta till en VPN-gateway via punkt-till-plats när den finns på en plats som har en aktiv plats-till-plats-anslutning?

Ja, men den offentliga IP-adressen för punkt-till-plats-klienten måste skilja sig från de offentliga IP-adresserna som används av plats-till-plats-VPN-enheten, annars fungerar inte punkt-till-plats-anslutningen. Punkt-till-plats-anslutningar med IKEv2 kan inte initieras från samma offentliga IP-adress(er) där en VPN-anslutning från plats till plats har konfigurerats på samma Azure VPN-gateway.

Punkt-till-plats – Certifikatautentisering

Det här avsnittet gäller distributionsmodellen i Resource Manager.

Hur många VPN-klientslutpunkter kan jag ha i min punkt-till-plats-konfiguration?

Det beror på gateway-SKU:n. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.

Vilka klientoperativsystem kan jag använda med punkt-till-plats?

Följande klientoperativsystem stöds:

  • Windows Server 2008 R2 (endast 64-bitars)
  • Windows 8.1 (32-bitars och 64-bitars)
  • Windows Server 2012 (endast 64-bitars)
  • Windows Server 2012 R2 (endast 64-bitars)
  • Windows Server 2016 (endast 64-bitars)
  • Windows Server 2019 (endast 64-bitars)
  • Windows Server 2022 (endast 64-bitars)
  • Windows 10
  • Windows 11
  • macOS version 10.11 eller senare
  • Linux (StrongSwan)
  • iOS

Kan jag gå igenom proxyservrar och brandväggar med hjälp av punkt-till-plats-funktioner?

Azure stöder tre typer av VPN-alternativ för punkt-till-plats:

  • SSTP (Secure Socket Tunneling Protocol). SSTP är en Microsoft-patentskyddad SSL-baserad lösning som kan penetrera brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-port som 443 SSL använder.

  • Openvpn. OpenVPN är en SSL-baserad lösning som kan penetrera brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-port som 443 SSL använder.

  • IKEv2 VPN. IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder utgående UDP-portar 500 och 4500 och IP-protokoll nr 50. Brandväggar öppnar inte alltid dessa portar, så det finns en möjlighet att IKEv2 VPN inte kan passera proxyservrar och brandväggar.

Kommer VPN automatiskt att återansluta om jag startar om en klientdator som konfigurerats för punkt-till-plats?

Automatisk återanslutning är en funktion för klienten som används. Windows stöder automatisk återanslutning genom att konfigurera Always On VPN-klientfunktionen.

Stöder punkt-till-plats DDNS på VPN-klienterna?

DDNS stöds för närvarande inte i punkt-till-plats-VPN.

Kan jag ha plats-till-plats- och punkt-till-plats-konfigurationer som samexisterar för samma virtuella nätverk?

Ja. Med Resource Manager-distributionsmodellen krävs en gateway med routningsbaserad VPN. I den klassiska distributionsmodellen måste du ha en dynamisk gateway. Vi stöder inte punkt-till-plats för statisk routning av VPN-gatewayer eller principbaserade VPN-gatewayer.

Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverksgatewayer samtidigt?

Beroende på vilken VPN-klientprogramvara som används kan du kanske ansluta till flera Virtual Network gatewayer förutsatt att de virtuella nätverk som är anslutna till inte har motstridiga adressutrymmen mellan sig eller om nätverket från med klienten ansluter från. Azure VPN-klienten stöder många VPN-anslutningar, men endast en anslutning kan anslutas vid en viss tidpunkt.

Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverk samtidigt?

Ja, punkt-till-plats-klientanslutningar till en virtuell nätverksgateway som distribueras i ett virtuellt nätverk som är peerkopplat med andra virtuella nätverk kan ha åtkomst till andra peerkopplade virtuella nätverk. punkt-till-plats-klienter kommer att kunna ansluta till peerkopplade virtuella nätverk så länge de peerkopplade virtuella nätverken använder funktionerna UseRemoteGateway/AllowGatewayTransit. Mer information finns i Om punkt-till-plats-routning.

Hur mycket dataflöde kan jag förvänta mig via plats-till-plats- eller punkt-till-plats-anslutningar?

Det är svårt att bibehålla ett exakt dataflöde i VPN-tunnlarna. IPsec och SSTP är kryptografifrekventa VPN-protokoll. Dataflödet är också begränsat av svarstiden och bandbredden mellan din lokala plats och Internet. För en VPN Gateway med endast IKEv2 punkt-till-plats VPN-anslutningar beror det totala dataflödet som du kan förvänta dig på gateway-SKU:n. Mer information om dataflödet finns i avsnittet om Gateway-SKU:er.

Kan jag använda en VPN-klient för programvara för punkt-till-plats som stöder SSTP och/eller IKEv2?

Nej. Du kan bara använda den inbyggda VPN-klienten i Windows för SSTP, och den inbyggda VPN-klienten i Mac för IKEv2. Du kan dock använda OpenVPN-klienten på alla plattformar för att ansluta över OpenVPN-protokollet. Se listan över klientoperativsystem som stöds.

Kan jag ändra autentiseringstypen för en punkt-till-plats-anslutning?

Ja. I portalen navigerar du till sidan VPN-gateway –> punkt-till-plats-konfiguration . Som Autentiseringstyp väljer du de autentiseringstyper som du vill använda. Observera att när du har ändrat en autentiseringstyp kanske aktuella klienter inte kan ansluta förrän en ny VPN-klientkonfigurationsprofil har genererats, laddats ned och tillämpats på varje VPN-klient.

Har Azure stöd för IKEv2 VPN-anslutningar i Windows?

IKEv2 stöds på Windows 10 och Server 2016. Men för att kunna använda IKEv2 i vissa operativsystemversioner måste du installera uppdateringar och ange ett registernyckelvärde lokalt. Operativsystemversioner före Windows 10 stöds inte och kan bara använda SSTP eller OpenVPN® Protocol.

Anteckning

Windows OS-versioner som är nyare än Windows 10 version 1709 och Windows Server 2016 version 1607 kräver inte dessa steg.

Förbereda Windows 10 eller Server 2016 för IKEv2:

  1. Installera uppdateringen baserat på din operativsystemversion:

    OS-version Date Antal/länk
    Windows Server 2016
    Windows 10, version 1607
    17 januari 2018 KB4057142
    Windows 10, version 1703 17 januari 2018 KB4057144
    Windows 10 version 1709 den 22 mars 2018 KB4089848
  2. Ange registernyckelvärdet. Skapa eller ange "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD-nyckeln i registret till 1.

Vad är IKEv2-trafikväljarens gräns för punkt-till-plats-anslutningar?

Windows 10 version 2004 (släpptes september 2021) ökade trafikväljarens gräns till 255. Tidigare versioner av Windows har en trafikväljaregräns på 25.

Gränsen för trafikväljare i Windows avgör det maximala antalet adressutrymmen i det virtuella nätverket och den maximala summan av dina lokala nätverk, VNet-till-VNet-anslutningar och peerkopplade virtuella nätverk som är anslutna till gatewayen. Windows-baserade punkt-till-plats-klienter kan inte ansluta via IKEv2 om de överskrider den här gränsen.

Vad händer när jag konfigurerar både SSTP och IKEv2 för P2S VPN-anslutningar?

När du konfigurerar både SSTP och IKEv2 i en blandad miljö (bestående av Windows- och Mac-enheter) försöker Windows VPN-klienten alltid med IKEv2-tunneln först, men återgår till SSTP om IKEv2-anslutningen inte lyckas. MacOSX ansluter endast via IKEv2.

För vilka andra plattformar förutom Windows och Mac har Azure stöd för P2S VPN?

Azure stöder Windows, Mac och Linux för P2S VPN.

Jag har redan en Azure VPN Gateway distribuerad. Kan jag aktivera RADIUS och/eller IKEv2 VPN på den?

Ja, om gateway-SKU:n som du använder stöder RADIUS och/eller IKEv2 kan du aktivera dessa funktioner på gatewayer som du redan har distribuerat med hjälp av PowerShell eller Azure-Portal. Basic SKU stöder inte RADIUS eller IKEv2.

如何实现 ta bort konfigurationen av en P2S-anslutning?

En P2S-konfiguration kan tas bort med hjälp av Azure CLI och PowerShell med hjälp av följande kommandon:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Vad ska jag göra om jag får ett felmatchat certifikat när jag ansluter med certifikatautentisering?

Avmarkera "Verifiera serverns identitet genom att verifiera certifikatet" eller lägg till serverns FQDN tillsammans med certifikatet när du skapar en profil manuellt. Du kan göra detta genom att köra rasphone från en kommandotolk och välja profilen från listrutan.

Att kringgå verifiering av serveridentiteter rekommenderas inte i allmänhet, men med Azure-certifikatautentisering används samma certifikat för servervalidering i VPN-tunnelprotokollet (IKEv2/SSTP) och EAP-protokollet. Eftersom servercertifikatet och FQDN redan har verifierats av VPN-tunnelprotokollet är det redundant att verifiera samma sak igen i EAP.

punkt-till-plats-autentiseringsservercertifikat

Kan jag använda min egen interna PKI-rotcertifikatutfärdare för att generera certifikat för punkt-till-plats-anslutning?

Ja. Tidigare kunde bara självsignerade rotcertifikat användas. Du kan fortfarande överföra 20 rotcertifikat.

Kan jag använda certifikat från Azure 密钥保管库?

Nej.

Vilka verktyg kan jag använda för att skapa certifikat?

Du kan använda lösningen för företags-PKI (din interna PKI), Azure PowerShell, MakeCert och OpenSSL.

Finns det anvisningar för certifikatinställningar och -parametrar?

  • Lösning för intern PKI/företags-PKI: Se hur du kan generera certifikat.

  • Azure PowerShell: Se anvisningarna i artikeln om Azure PowerShell.

  • MakeCert: Se anvisningarna i artikeln om MakeCert.

  • Openssl:

    • Se till att konvertera rotcertifikatet till Base64 när du exporterar certifikat.

    • För klientcertifikatet:

      • Ange längden 4096 när du skapar den privata nyckeln.
      • För parametern -tillägg anger du usr_cert när du skapar certifikatet.

Punkt-till-plats – RADIUS-autentisering

Det här avsnittet gäller distributionsmodellen i Resource Manager.

Hur många VPN-klientslutpunkter kan jag ha i min punkt-till-plats-konfiguration?

Det beror på gateway-SKU:n. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.

Vilka klientoperativsystem kan jag använda med punkt-till-plats?

Följande klientoperativsystem stöds:

  • Windows Server 2008 R2 (endast 64-bitars)
  • Windows 8.1 (32-bitars och 64-bitars)
  • Windows Server 2012 (endast 64-bitars)
  • Windows Server 2012 R2 (endast 64-bitars)
  • Windows Server 2016 (endast 64-bitars)
  • Windows Server 2019 (endast 64-bitars)
  • Windows Server 2022 (endast 64-bitars)
  • Windows 10
  • Windows 11
  • macOS version 10.11 eller senare
  • Linux (StrongSwan)
  • iOS

Kan jag bläddra igenom proxyservrar och brandväggar med hjälp av punkt-till-plats-funktioner?

Azure stöder tre typer av punkt-till-plats-VPN-alternativ:

  • SSTP (Secure Socket Tunneling Protocol). SSTP är en Microsoft-skyddad SSL-baserad lösning som kan tränga in i brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-porten som 443 SSL använder.

  • Openvpn. OpenVPN är en SSL-baserad lösning som kan tränga in i brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-porten som 443 SSL använder.

  • IKEv2 VPN. IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder utgående UDP-portar 500 och 4500 och IP-protokoll nr 50. Brandväggar öppnar inte alltid dessa portar, så det finns en möjlighet att IKEv2 VPN inte kan passera proxyservrar och brandväggar.

Kommer VPN automatiskt att återansluta om jag startar om en klientdator som har konfigurerats för punkt-till-plats?

Automatisk återanslutning är en funktion i klienten som används. Windows stöder automatisk återanslutning genom att konfigurera Always On VPN-klientfunktionen.

Stöder punkt-till-plats DDNS på VPN-klienterna?

DDNS stöds för närvarande inte i punkt-till-plats-VPN.

Kan jag ha plats-till-plats- och punkt-till-plats-konfigurationer samexisterande för samma virtuella nätverk?

Ja. Med Resource Manager-distributionsmodellen krävs en gateway med routningsbaserad VPN. I den klassiska distributionsmodellen måste du ha en dynamisk gateway. Vi stöder inte punkt-till-plats för vpn-gatewayer för statisk routning eller principbaserade VPN-gatewayer.

Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverksgatewayer samtidigt?

Beroende på vilken VPN-klientprogramvara som används kanske du kan ansluta till flera Virtual Network gatewayer förutsatt att de virtuella nätverk som är anslutna till inte har motstridiga adressutrymmen mellan sig eller nätverket från med klienten ansluter från. Azure VPN-klienten stöder många VPN-anslutningar, men endast en anslutning kan anslutas vid en viss tidpunkt.

Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverk samtidigt?

Ja, punkt-till-plats-klientanslutningar till en virtuell nätverksgateway som distribueras i ett virtuellt nätverk som är peerkopplat med andra virtuella nätverk kan ha åtkomst till andra peerkopplade virtuella nätverk. punkt-till-plats-klienter kan ansluta till peerkopplade virtuella nätverk så länge de peerkopplade virtuella nätverken använder funktionerna UseRemoteGateway/AllowGatewayTransit. Mer information finns i Om punkt-till-plats-routning.

Hur mycket dataflöde kan jag förvänta mig via plats-till-plats- eller punkt-till-plats-anslutningar?

Det är svårt att bibehålla ett exakt dataflöde i VPN-tunnlarna. IPsec och SSTP är kryptografifrekventa VPN-protokoll. Dataflödet är också begränsat av svarstiden och bandbredden mellan din lokala plats och Internet. För en VPN Gateway med endast IKEv2 punkt-till-plats-VPN-anslutningar beror det totala dataflödet som du kan förvänta dig på gateway-SKU:n. Mer information om dataflödet finns i avsnittet om Gateway-SKU:er.

Kan jag använda valfri VPN-klient för programvara för punkt-till-plats som stöder SSTP och/eller IKEv2?

Nej. Du kan bara använda den inbyggda VPN-klienten i Windows för SSTP, och den inbyggda VPN-klienten i Mac för IKEv2. Du kan dock använda OpenVPN-klienten på alla plattformar för att ansluta via OpenVPN-protokollet. Se listan över klientoperativsystem som stöds.

Kan jag ändra autentiseringstypen för en punkt-till-plats-anslutning?

Ja. I portalen går du till sidan VPN-gateway –> punkt-till-plats-konfiguration . Som Autentiseringstyp väljer du de autentiseringstyper som du vill använda. Observera att när du har ändrat en autentiseringstyp kan det hända att aktuella klienter inte kan ansluta förrän en ny VPN-klientkonfigurationsprofil har genererats, laddats ned och tillämpats på varje VPN-klient.

Har Azure stöd för IKEv2 VPN-anslutningar i Windows?

IKEv2 stöds på Windows 10 och Server 2016. Men för att kunna använda IKEv2 i vissa os-versioner måste du installera uppdateringar och ange ett registernyckelvärde lokalt. Operativsystemversioner före Windows 10 stöds inte och kan bara använda SSTP eller OpenVPN® Protocol.

Anteckning

Windows OS-versioner som är nyare än Windows 10 version 1709 och Windows Server 2016 version 1607 kräver inte dessa steg.

Förbereda Windows 10 eller Server 2016 för IKEv2:

  1. Installera uppdateringen baserat på din operativsystemversion:

    OS-version Date Antal/länk
    Windows Server 2016
    Windows 10, version 1607
    17 januari 2018 KB4057142
    Windows 10, version 1703 17 januari 2018 KB4057144
    Windows 10 version 1709 den 22 mars 2018 KB4089848
  2. Ange registernyckelvärdet. Skapa eller ange "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD-nyckeln i registret till 1.

Vad är IKEv2-trafikväljarens gräns för punkt-till-plats-anslutningar?

Windows 10 version 2004 (släpptes september 2021) ökade trafikväljarens gräns till 255. Tidigare versioner av Windows har en trafikväljargräns på 25.

Trafikväljargränsen i Windows avgör det maximala antalet adressutrymmen i ditt virtuella nätverk och den maximala summan av dina lokala nätverk, VNet-till-VNet-anslutningar och peerkopplade virtuella nätverk som är anslutna till gatewayen. Windows-baserade punkt-till-plats-klienter kan inte ansluta via IKEv2 om de överskrider den här gränsen.

Vad händer när jag konfigurerar både SSTP och IKEv2 för P2S VPN-anslutningar?

När du konfigurerar både SSTP och IKEv2 i en blandad miljö (som består av Windows- och Mac-enheter) försöker Windows VPN-klienten alltid med IKEv2-tunneln först, men återgår till SSTP om IKEv2-anslutningen inte lyckas. MacOSX ansluter endast via IKEv2.

För vilka andra plattformar förutom Windows och Mac har Azure stöd för P2S VPN?

Azure stöder Windows, Mac och Linux för P2S VPN.

Jag har redan en Azure VPN Gateway distribuerad. Kan jag aktivera RADIUS och/eller IKEv2 VPN på den?

Ja, om gateway-SKU:n som du använder stöder RADIUS och/eller IKEv2 kan du aktivera dessa funktioner på gatewayer som du redan har distribuerat med hjälp av PowerShell eller Azure-Portal. Basic-SKU:n stöder inte RADIUS eller IKEv2.

如何实现 ta bort konfigurationen av en P2S-anslutning?

En P2S-konfiguration kan tas bort med hjälp av Azure CLI och PowerShell med hjälp av följande kommandon:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Stöds RADIUS-autentisering med alla Azure VPN Gateway-SKU:er?

RADIUS-autentisering stöds för alla SKU:er utom basic-SKU:n.

För äldre SKU:er stöds RADIUS-autentisering på SKU:er med standard- och höga prestanda. Det stöds inte på Basic Gateway-SKU:n.

Stöds RADIUS-autentisering med den klassiska distributionsmodellen?

Nej. RADIUS-autentisering stöds inte för den klassiska distributionsmodellen.

Vad är tidsgränsen för RADIUS-begäranden som skickas till RADIUS-servern?

RADIUS-begäranden anges till tidsgräns efter 30 sekunder. Användardefinierade tidsgränsvärden stöds inte i dag.

Stöds RADIUS-servrar från tredje part?

Ja, RADIUS-servrar från tredje part stöds.

Vilka anslutningskrav måste vara uppfyllda för att Azure-gatewayen ska kunna ansluta till en lokal RADIUS-server?

En plats-till-plats-VPN-anslutning till den lokala platsen, med rätt konfigurerade vägar, krävs.

Kan trafik till en lokal RADIUS-server (från Azure VPN-gatewayen) skickas via en ExpressRoute-anslutning?

Nej. Den kan bara dirigeras via en plats-till-plats-anslutning.

Har antalet SSTP-anslutningar som stöds med RADIUS-autentisering ändrats? Hur många SSTP- och IKEv2-anslutningar stöds?

Det högsta antalet SSTP-anslutningar som stöds på en gateway med RADIUS-autentisering har inte ändrats. Den är fortfarande 128 för SSTP, men är beroende av gateway-SKU:n för IKEv2. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.

Vad är skillnaden mellan att göra certifikatautentisering med hjälp av en RADIUS-server jämfört med azure-intern certifikatautentisering (genom att ladda upp ett betrott certifikat till Azure)?

När RADIUS-certifikatautentisering används vidarebefordras autentiseringsbegäran till en RADIUS-server som hanterar själva certifikatverifieringen. Det här alternativet är bra om du vill integrera med en infrastruktur för certifikatautentisering som du redan har via RADIUS.

När Azure används för certifikatautentisering utförs certifikatverifieringen av Azure VPN-gatewayen. Du måste ladda upp den offentliga nyckeln för ditt certifikat till gatewayen. Du kan också ange en lista med återkallade certifikat som inte har tillåtelse att ansluta.

Fungerar RADIUS-autentisering med både IKEv2 och SSTP VPN?

Ja, RADIUS-autentisering stöds för både IKEv2 och SSTP VPN.

Fungerar RADIUS-autentisering med OpenVPN-klienten?

RADIUS-autentisering stöds för OpenVPN-protokollet.

Anslutning mellan virtuella nätverk och flera platser

Vanliga frågor och svar om VNet-till-VNet gäller vpn-gatewayanslutningar. Information om VNet-peering finns i Peering för virtuella nätverk.

Tar Azure ut avgifter för trafik mellan virtuella nätverk?

VNet-till-VNet-trafik inom samma region är kostnadsfri i båda riktningarna när du använder en VPN-gatewayanslutning. Utgående trafik mellan regioner för VNet-till-VNet debiteras med de utgående dataöverföringshastigheterna mellan virtuella nätverk baserat på källregionerna. Mer information finns på sidan VPN Gateway prissättning. Om du ansluter dina virtuella nätverk med VNet-peering i stället för en VPN-gateway kan du läsa priser för virtuella nätverk.

Överförs VNet-till-VNet-trafik via Internet?

Nej. VNet-till-VNet-trafik skickas via Microsoft Azure-stamnätet, inte via Internet.

Kan jag upprätta en VNet-till-VNet-anslutning mellan Azure Active Directory-klientorganisationer?

Ja, VNet-till-VNet-anslutningar som använder Azure VPN-gatewayer fungerar mellan Azure AD-klientorganisationer.

Är trafiken mellan virtuella nätverk säker?

Ja, den skyddas av IPsec/IKE-kryptering.

Behöver jag en VPN-enhet för att koppla ihop virtuella nätverk?

Nej. Att ansluta flera virtuella Azure-nätverk till varandra kräver inte någon VPN-enhet, såvida inte en anslutning mellan flera platser krävs.

Behöver mina virtuella nätverk finnas inom samma region?

Nej. De virtuella nätverken kan finnas i samma eller olika Azure-regioner (platser).

Behöver prenumerationerna associeras med samma Active Directory-klientorganisation om de inte finns i samma prenumeration?

Nej.

Kan jag använda VNet-till-VNet för att ansluta virtuella nätverk i separata Azure-instanser?

Nej. Du kan använda VNet-till-VNet för att ansluta virtuella nätverk inom samma Azure-instans. Du kan till exempel inte skapa en anslutning mellan globala Azure-instanser och Azure-instanser för kinesiska/tyska/amerikanska myndigheter. Överväg att använda en VPN-anslutning från plats till plats för dessa scenarier.

Kan jag använda anslutningar mellan virtuella nätverk tillsammans med anslutningar mellan flera platser?

Ja. Virtuell nätverksanslutning kan användas samtidigt med VPN på flera platser.

Hur många lokala platser och virtuella nätverk kan ett virtuellt nätverk ansluta till?

Se tabellen Gatewaykrav .

Kan jag använda anslutningar mellan virtuella nätverk för att ansluta virtuella datorer eller molntjänster utanför en virtuellt nätverk?

Nej. VNet-till-VNet stöder anslutning av virtuella nätverk. Den stöder inte anslutning av virtuella datorer eller molntjänster som inte finns i ett virtuellt nätverk.

Kan en molntjänst eller en belastningsutjämningsslutpunkt sträcka sig över virtuella nätverk?

Nej. En molntjänst eller en belastningsutjämningsslutpunkt kan inte sträcka sig över virtuella nätverk, även om de är anslutna tillsammans.

Kan jag använda en principbaserad VPN-typ för VNet-till-VNet- eller multiplatsanslutningar?

Nej. Anslutningar mellan virtuella nätverk och flera platser kräver Azure VPN-gatewayer med VPN-typerna RouteBased (kallades tidigare dynamisk routning).

Kan jag ansluta ett VNet med en routningsbaserad VPN-typ till ett annat VNet med en policybaserad VPN-typ?

Nej, båda de virtuella nätverken MÅSTE använda routningsbaserade VPN:er (kallades tidigare dynamisk routning).

Delar VPN-tunnlar bandbredd?

Ja. Alla VPN-tunnlar i det virtuella nätverket delar på den tillgängliga bandbredden i Azures VPN-gateway och samma VPN-gateways upptids-SLA i Azure.

Finns det stöd för redundanta tunnlar?

Redundanta tunnlar mellan ett par med virtuella nätverk stöds när en virtuell nätverksgateway är konfigurerad som aktiv-aktiv.

Kan jag har överlappande adressutrymmen för konfigurationer mellan virtuella nätverk?

Nej. Du kan inte ha överlappande IP-adressintervall.

Får det finnas överlappande adressutrymmen i anslutna virtuella nätverk och på lokala platser?

Nej. Du kan inte ha överlappande IP-adressintervall.

如何实现 aktivera routning mellan min plats-till-plats-VPN-anslutning och min ExpressRoute?

Om du vill aktivera routning mellan din gren som är ansluten till ExpressRoute och din gren som är ansluten till en PLATS-till-plats-VPN-anslutning måste du konfigurera Azure Route Server.

Kan jag använda Azures VPN-gateway till att överföra trafik mellan mina lokala platser eller till ett annat virtuellt nätverk?

Distributionsmodell med Resource Manager
Ja. Mer information finns i avsnittet om BGP.

Klassisk distributionsmodell
Överföringstrafik via Azures VPN-gateway är möjlig med den klassiska distributionsmodellen, men den förlitar sig på statiska definierade adressutrymmen i nätverkskonfigurationsfilen. BGP stöds ännu inte med virtuella Azure-nätverk och VPN-gatewayer som använder den klassiska distributionsmodellen. Utan BGP är manuellt definierade överföringsadressutrymmen mycket felbenägna och rekommenderas inte.

Genererar Azure samma i förväg delade IPsec/IKE-nyckel för alla mina VPN-anslutningar för samma virtuella nätverk?

Nej, Azure genererar som standard olika nycklar för olika VPN-anslutningar. Du kan dock använda REST-API:et Set VPN Gateway Key eller PowerShell-cmdleten för att ange det nyckelvärde som du föredrar. Nyckeln MÅSTE bara innehålla utskrivbara ASCII-tecken utom blanksteg, bindestreck (-) eller tilde (~).

Får jag mer bandbredd med fler plats-till-plats-VPN än för ett enda virtuellt nätverk?

Nej, alla VPN-tunnlar, inklusive punkt-till-plats-VPN, delar samma Azure VPN-gateway och tillgänglig bandbredd.

Kan jag konfigurera flera tunnlar mellan mitt virtuella nätverk och min lokala plats med hjälp av multisite-VPN?

Ja, men du måste konfigurera BGP för båda tunnlarna till samma plats.

Respekterar Azure VPN Gateway AS Path-prepending för att påverka routningsbeslut mellan flera anslutningar till mina lokala platser?

Ja, Azure VPN-gatewayen följer as path-prepending för att fatta routningsbeslut när BGP är aktiverat. En kortare AS-sökväg föredras i valet av BGP-sökväg.

Kan jag använda egenskapen RoutingWeight när jag skapar en ny VPN VirtualNetworkGateway-anslutning?

Nej, den här inställningen är reserverad för ExpressRoute-gatewayanslutningar. Om du vill påverka routningsbeslut mellan flera anslutningar måste du använda väntande AS-sökväg.

Kan jag använda punkt-till-plats-VPN med mitt virtuella nätverk med flera VPN-tunnlar?

Ja, punkt-till-plats-VPN (P2S) kan användas med VPN-gatewayer som ansluter till flera lokala platser och andra virtuella nätverk.

Kan jag ansluta ett virtuellt nätverk med IPsec-VPN:er till min ExpressRoute-krets?

Ja, det stöds. Mer information finns i Konfigurera ExpressRoute- och vpn-anslutningar från plats till plats som samexisterar.

IPsec/IKE-princip

Stöds anpassade IPsec/IKE-principer på alla Azure VPN Gateway-SKU: er?

Anpassad IPsec/IKE-princip stöds på alla Azure-SKU:er utom basic-SKU:n.

Hur många principer kan jag ställa in för en anslutning?

Du kan bara ange en principkombination för en viss anslutning.

Kan jag ange en partiell princip på en anslutning? (till exempel endast IKE-algoritmer, men inte IPsec)

Nej, du måste ange alla algoritmer och parametrar för både IKE (huvudläge) och IPsec (snabbläge). Partiell principspecifikation tillåts inte.

Vilka är de algoritmer och viktiga fördelar som stöds i den anpassade principen?

Tabellen nedan innehåller de krypteringsalgoritmer och nyckellängder som stöds och som kan konfigureras av kunden. Du måste välja ett alternativ för varje fält.

IPsec/IKEv2 Alternativ
IKEv2-kryptering GCMAES256, GCMAES128, AES256, AES192, AES128, DES3, DES
IKEv2 Integrity GCMAES256, GCMAES128, SHA384, SHA256, SHA1, MD5
DH-grupp DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
IPsec-kryptering GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-grupp PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA-livstid Sekunder (heltal. min. 300/standard 27 000 sekunder)
Kilobyte (heltal. min. 1024/standard 102400000 kilobyte)
Trafikväljare UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Viktigt

  • DHGroup2048 & PFS2048 är samma som Diffie-Hellman grupp 14 i IKE och IPsec PFS. De fullständiga mappningarna finns i avsnittet om Diffie-Hellman-grupper.
  • För GCMAES-algoritmer måste du ange samma GCMAES-algoritm och nyckellängd för både IPsec-kryptering och -integritet.
  • Livslängden för IKEv2 Main Mode SA är fast i 28 800 sekunder på Azure VPN-gatewayerna.
  • QM SA-livslängder är valfria parametrar. Om inget har angetts används standardvärdena på 27 000 sekunder (7,5 timmar) och 102 400 000 kB (102 GB).
  • UsePolicyBasedTrafficSelector är en valfri parameter för anslutningen. Se nästa vanliga frågor och svar för "UsePolicyBasedTrafficSelectors".

Behöver allt matcha mellan Azure VPN gateway-principen och mina lokala konfigurationer för VPN-enheter?

Din lokala konfiguration för VPN-enheten måste stämma överens med eller innehålla följande algoritmer och parametrar som du anger på Azure IPsec/IKE-principen:

  • IKE-krypteringsalgoritm
  • IKE-integritetsalgoritm
  • DH-grupp
  • IPsec-krypteringsalgoritm
  • IPsec-integritetsalgoritm
  • PFS-grupp
  • Trafikväljare (*)

SA-livslängden är endast lokala specifikationer, behöver inte matcha.

Om du aktiverar UsePolicyBasedTrafficSelectors, måste du se till att din VPN-enhet har matchande trafikväljare som har definierats med alla prefixkombinationer i ditt lokala nätverk (lokal nätverksgateway) till eller från de virtuella Azure-nätverksprefixen, i stället för alla-till-alla. Om ditt prefix för det lokala nätverket är 10.1.0.0/16 och 10.2.0.0/16 och ditt prefix för det virtuella nätverket är 192.168.0.0/16 och 172.16.0.0/16, måste du ange följande trafik väljare:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

Mer information finns i avsnittet Connect multiple on-premises policy-based VPN devices (Ansluta flera lokala principbaserade VPN-enheter).

Vilka Diffie-Hellman-grupper stöds?

Tabellen nedan visar de Diffie-Hellman-grupper som stöds för IKE (DHGroup) och IPsec (PFSGroup):

Diffie-Hellman-grupp DHGroup PFSGroup Nyckellängd
1 DHGroup1 PFS1 768-bitars MODP
2 DHGroup2 PFS2 1024-bitars MODP
14 DHGroup14
DHGroup2048
PFS2048 2048-bitars MODP
19 ECP256 ECP256 256-bitars ECP
20 ECP384 ECP384 384-bitars ECP
24 DHGroup24 PFS24 2048-bitars MODP

Mer information finns i RFC3526 och RFC5114.

Ersätter den anpassade principen standardprincipuppsättningar för IPsec/IKE för Azure VPN-gatewayer?

Ja, när en anpassad princip har angetts på en anslutning kommer Azure VPN-gatewayen bara använda principen på anslutningen, både som IKE-initierare och IKE-responder.

Om jag tar bort en anpassad princip för IPsec/IKE, blir anslutningen mindre säker?

Nej, anslutningen kommer att skyddas av IPsec/IKE. När du tar bort den anpassade principen från en anslutning återgår Azure VPN-gatewayen till standardlistan med IPsec/IKE-förslag och startar om IKE-handskakningen med din lokala VPN-enhet.

Kan det störa VPN-anslutningen att lägga till eller uppdatera en IPsec/IKE-princip?

Ja, det kan uppstå ett kort avbrott (några sekunder) när Azure VPN-gatewayen bryter den befintliga anslutningen och startar om IKE-handskakningen för att återupprätta IPsec-tunneln med de nya krypteringsalgoritmerna och parametrarna. Kontrollera att din lokala VPN-enhet har konfigurerats med matchande algoritmer och nyckellängder för att minimera avbrottet.

Kan jag använda olika principer för olika anslutningar?

Ja. Anpassade principer tillämpats på per-anslutningbasis. Du kan skapa och tillämpa olika IPsec/IKE-principer på olika anslutningar. Du kan också välja att använda anpassade principer för en delmängd av anslutningar. Övriga principer använder de fördefinierade IPsec/IKE-principuppsättningarna i Azure.

Kan jag använda den anpassade principen på VNet-till-VNet-anslutningen?

Ja, du kan använda anpassade principen på både IPSec-anslutningar mellan lokala anslutningar eller VNet-till-VNet-anslutningar.

Behöver jag ange samma princip på båda resurserna för VNet-till-VNet-anslutningen?

Ja. En VNet-till-VNet-tunnel består av två anslutningsresurser i Azure, en för varje riktning. Kontrollera att båda anslutningsresurserna har samma princip, annars upprättas inte anslutningen mellan de virtuella nätverken.

Vad är standardvärdet för DPD-timeout? Kan jag ange en annan DPD-tidsgräns?

Standardtidsgränsen för DPD är 45 sekunder. Du kan ange ett annat DPD-timeoutvärde för varje IPsec- eller VNet-till-VNet-anslutning mellan 9 sekunder och 3 600 sekunder.

Fungerar en anpassad IPsec/IKE-princip på ExpressRoute-anslutningen?

Nej. IPSec-/ princip fungerar bara på S2S VPN- och VNet-till-VNet-anslutningar via Azure VPN-gatewayer.

如何实现 skapa anslutningar med protokolltypen IKEv1 eller IKEv2?

IKEv1-anslutningar kan skapas på alla SKU:er av RouteBased VPN-typ, förutom Basic SKU, Standard SKU och andra äldre SKU:er. Du kan ange anslutningsprotokolltypen IKEv1 eller IKEv2 när du skapar anslutningar. Om du inte anger någon anslutningsprotokolltyp används IKEv2 som standardalternativ i förekommande fall. Mer information finns i PowerShell-cmdlet-dokumentationen . SKU-typer och IKEv1/IKEv2-stöd finns i Ansluta gatewayer till principbaserade VPN-enheter.

Tillåts överföring mellan IKEv1- och IKEv2-anslutningar?

Ja. Överföring mellan IKEv1- och IKEv2-anslutningar stöds.

Kan jag ha plats-till-plats-anslutningar för IKEv1 på grundläggande SKU:er av typen RouteBased VPN?

Nej. Basic-SKU:n stöder inte detta.

Kan jag ändra anslutningsprotokolltypen när anslutningen har skapats (IKEv1 till IKEv2 och vice versa)?

Nej. När anslutningen har skapats kan inte IKEv1/IKEv2-protokoll ändras. Du måste ta bort och återskapa en ny anslutning med önskad protokolltyp.

Varför återansluter min IKEv1-anslutning ofta?

Om din statiska routnings- eller routningsbaserade IKEv1-anslutning kopplas från med rutinintervall beror det sannolikt på att VPN-gatewayer inte stöder nycklar på plats. När huvudläget uppdateras kopplas IKEv1-tunnlarna från och tar upp till 5 sekunder att återansluta. Tidsgränsvärdet för förhandlingen i huvudläget avgör frekvensen för nyckelåternycklar. Om du vill förhindra dessa återanslutningar kan du växla till att använda IKEv2, som stöder på plats-nycklar.

Om anslutningen återansluter slumpmässigt följer du vår felsökningsguide.

Var hittar jag mer konfigurationsinformation för IPsec?

Se Konfigurera IPsec/IKE-princip för S2S- eller VNet-till-VNet-anslutningar.

BGP och routning

Stöds BGP på alla Azure VPN Gateway-SKU:er?

BGP stöds på alla Azure VPN Gateway-SKU:er utom Basic SKU.

Kan jag använda BGP med Azure Policy VPN-gatewayer?

Nej, BGP stöds endast på routningsbaserade VPN-gatewayer.

Vilka ASN:er (autonoma systemnummer) kan jag använda?

Du kan använda dina egna offentliga ASN:er eller privata ASN:er för både dina lokala nätverk och virtuella Azure-nätverk. Du kan inte använda intervall som reserverats av Azure eller IANA.

Följande ASN:er är reserverade av Azure eller IANA:

  • ASN:er som reserverats av Azure:

    • Offentliga ASN:er: 8074, 8075, 12076
    • Privata ASN:er: 65515, 65517, 65518, 65519, 65520
  • ASN:er som reserverats av IANA:

    • 23456, 64496-64511, 65535-65551 och 429496729

Du kan inte ange dessa ASN:er för dina lokala VPN-enheter när du ansluter till Azure VPN-gatewayer.

Kan jag använda 32-bitars (4 byte) ASN?.

Ja, VPN Gateway stöder nu 32-bitars (4 byte) ASN. Om du vill konfigurera med hjälp av ASN i decimalformat använder du PowerShell, Azure CLI eller Azure SDK.

Vilka privata ASN:er kan jag använda?

De användbara intervallen med privata ASN:er är:

  • 64512-65514 och 65521-65534

Dessa ASN:er är inte reserverade av IANA eller Azure för användning och kan därför användas för att tilldela till din Azure VPN-gateway.

Vilken adress använder VPN Gateway för BGP-peer-IP?

Som standard allokerar VPN Gateway en enda IP-adress från GatewaySubnet-intervallet för VPN-gatewayer i aktivt vänteläge eller två IP-adresser för aktiv-aktiv VPN-gatewayer. Dessa adresser allokeras automatiskt när du skapar VPN-gatewayen. Du kan hämta den faktiska BGP-IP-adressen som allokerats med hjälp av PowerShell eller genom att hitta den i Azure-Portal. I PowerShell använder du Get-AzVirtualNetworkGateway och letar efter egenskapen bgpPeeringAddress . I Azure-Portal går du till sidan Gatewaykonfiguration och tittar under egenskapen Konfigurera BGP ASN.

Om dina lokala VPN-routrar använder APIPA IP-adresser (169.254.x.x) som BGP IP-adresser måste du ange en eller flera Azure APIPA BGP IP-adresser på din Azure VPN-gateway. Azure VPN Gateway väljer de APIPA-adresser som ska användas med den lokala APIPA BGP-peer som anges i den lokala nätverksgatewayen eller den privata IP-adressen för en lokal BGP-peer som inte är APIPA. Mer information finns i Konfigurera BGP.

Vilka är kraven för BGP-peer-IP-adresser på min VPN-enhet?

Din lokala BGP-peeradress får inte vara samma som den offentliga IP-adressen för VPN-enheten eller från VPN-gatewayens adressutrymme för det virtuella nätverket. Använd en annan IP-adress som BGP-peeradress på VPN-enheten. Det kan vara en adress som tilldelas till loopback-gränssnittet på enheten (antingen en vanlig IP-adress eller en APIPA-adress). Om enheten använder en APIPA-adress för BGP måste du ange en eller flera APIPA BGP IP-adresser på din Azure VPN-gateway enligt beskrivningen i Konfigurera BGP. Ange dessa adresser i motsvarande lokala nätverksgateway som representerar platsen.

Vad ska jag ange som adressprefix för den lokala nätverksgatewayen när jag använder BGP?

Viktigt

Detta är en ändring från det tidigare dokumenterade kravet. Om du använder BGP för en anslutning lämnar du fältet Adressutrymme tomt för motsvarande lokala nätverksgatewayresurs. Azure VPN Gateway lägger till en värdväg internt till den lokala BGP-peer-IP-adressen via IPsec-tunneln. Lägg inte till vägen /32 i fältet Adressutrymme . Det är redundant och om du använder en APIPA-adress som den lokala VPN-enhetens BGP-IP kan den inte läggas till i det här fältet. Om du lägger till andra prefix i fältet Adressutrymme läggs de till som statiska vägar på Azure VPN-gatewayen, förutom de vägar som lärts via BGP.

Kan jag använda samma ASN för både lokala VPN-nätverk och virtuella Azure-nätverk?

Nej, du måste tilldela olika ASN:er mellan dina lokala nätverk och dina virtuella Azure-nätverk om du ansluter dem tillsammans med BGP. Azure VPN-gatewayer har ett standard-ASN på 65515 tilldelat, oavsett om BGP är aktiverat eller inte för din anslutning mellan platser. Du kan åsidosätta det här standardvärdet genom att tilldela ett annat ASN när du skapar VPN-gatewayen, eller så kan du ändra ASN när gatewayen har skapats. Du måste tilldela dina lokala ASN:er till motsvarande lokala Azure-nätverksgatewayer.

Vilka adressprefix kommer Azure VPN-gatewayer att meddela mig?

Gatewayerna annonserar följande vägar till dina lokala BGP-enheter:

  • Adressprefix för det virtuella nätverket.
  • Adressprefix för varje lokal nätverksgateway som är ansluten till Azure VPN-gatewayen.
  • Vägar som har lärts från andra BGP-peeringsessioner som är anslutna till Azure VPN-gatewayen, förutom standardvägen eller vägarna som överlappar alla virtuella nätverksprefix.

Hur många prefix kan jag annonsera till Azure VPN Gateway?

Azure VPN Gateway stöder upp till 4 000 prefix. BGP-sessionen kommer att tas bort om antalet prefix överskrider gränsen.

Kan jag annonsera standardväg (0.0.0.0/0) till Azure VPN-gatewayer?

Ja. Observera att detta tvingar all utgående trafik för virtuella nätverk mot din lokala plats. Det förhindrar också att virtuella datorer i det virtuella nätverket accepterar offentlig kommunikation direkt från Internet, till exempel RDP eller SSH från Internet till de virtuella datorerna.

Kan jag annonsera de exakta prefixen som mitt virtuella nätverksprefix?

Nej, annonsering av samma prefix som något av adressprefixen för ditt virtuella nätverk blockeras eller filtreras av Azure. Du kan dock annonsera ett prefix som är en supermängd av det du har i ditt virtuella nätverk.

Om ditt virtuella nätverk till exempel använde adressutrymmet 10.0.0.0/16 kan du annonsera 10.0.0.0/8. Men du kan inte annonsera 10.0.0.0/16 eller 10.0.0.0/24.

Kan jag använda BGP med mina anslutningar mellan virtuella nätverk?

Ja, du kan använda BGP för både anslutningar mellan platser och anslutningar mellan virtuella nätverk.

Kan jag blanda BGP- med icke-BGP-anslutningar för mina Azure VPN- gatewayer?

Ja, du kan blanda både BGP- och icke-BGP-anslutningar för samma Azure VPN-gateway.

Stöder Azure VPN Gateway BGP-överföringsroutning?

Ja, BGP-överföringsroutning stöds, med undantag för att Azure VPN-gatewayer inte annonserar standardvägar till andra BGP-peer-datorer. Om du vill aktivera överföringsroutning över flera Azure VPN-gatewayer måste du aktivera BGP på alla mellanliggande anslutningar mellan virtuella nätverk. Mer information finns i Om BGP.

Kan jag ha fler än en tunnel mellan en Azure VPN-gateway och mitt lokala nätverk?

Ja, du kan upprätta mer än en plats-till-plats-VPN-tunnel (S2S) mellan en Azure VPN-gateway och ditt lokala nätverk. Observera att alla dessa tunnlar räknas mot det totala antalet tunnlar för dina Azure VPN-gatewayer, och du måste aktivera BGP på båda tunnlarna.

Om du till exempel har två redundanta tunnlar mellan din Azure VPN-gateway och ett av dina lokala nätverk förbrukar de 2 tunnlar av den totala kvoten för din Azure VPN-gateway.

Kan jag ha flera tunnlar mellan två virtuella Azure-nätverk med BGP?

Ja, men minst en av dina virtuella nätverksgateways måste ha en aktiv-aktiv-konfiguration.

Kan jag använda BGP för S2S VPN i en Azure ExpressRoute- och S2S VPN-samexistenskonfiguration?

Ja.

Vad bör jag lägga till på min lokala VPN-enhet för BGP-peeringsessionen?

Lägg till en värdväg för Azure BGP-peer-IP-adressen på VPN-enheten. Den här vägen pekar på IPsec S2S VPN-tunneln. Om Azure VPN-peer-IP till exempel är 10.12.255.30 lägger du till en värdväg för 10.12.255.30 med ett nästa hopp-gränssnitt för det matchande IPsec-tunnelgränssnittet på VPN-enheten.

Stöder den virtuella nätverksgatewayen BFD för S2S-anslutningar med BGP?

Nej. Dubbelriktad identifiering av vidarebefordran (BFD) är ett protokoll som du kan använda med BGP för att identifiera grannes stilleståndstid snabbare än du kan genom att använda standard-BGP "keepalives". BFD använder tidsinställda undersekunder som utformats för att fungera i LAN-miljöer, men inte via offentligt Internet eller wide area-nätverksanslutningar.

För anslutningar via det offentliga Internet är det inte ovanligt att vissa paket fördröjs eller till och med tas bort, så att införa dessa aggressiva timers kan öka instabiliteten. Den här instabiliteten kan orsaka att vägar dämpas av BGP. Alternativt kan du konfigurera din lokala enhet med timers som är lägre än standardvärdet, 60 sekunders "keepalive"-intervall och 180 sekunders holdtimer. Detta resulterar i en snabbare konvergenstid.

Initierar Azure VPN-gatewayer BGP-peeringsessioner eller -anslutningar?

Gatewayen initierar BGP-peeringsessioner till de lokala BGP-peer-IP-adresserna som anges i de lokala nätverksgatewayresurserna med hjälp av de privata IP-adresserna på VPN-gatewayerna. Detta gäller oavsett om de lokala BGP IP-adresserna finns i APIPA-intervallet eller vanliga privata IP-adresser. Om dina lokala VPN-enheter använder APIPA-adresser som BGP IP måste du konfigurera BGP-talaren för att initiera anslutningarna.

Kan jag konfigurera tvingad tunneltrafik?

Ja. Se Konfigurera tvingad tunneltrafik.

NAT

Stöds NAT på alla Azure VPN Gateway-SKU:er?

NAT stöds på VpnGw2~5 och VpnGw2AZ~5AZ.

Kan jag använda NAT på VNet-till-VNet- eller P2S-anslutningar?

Nej, NAT stöds endast på IPsec-anslutningar mellan platser.

Hur många NAT-regler kan jag använda på en VPN-gateway?

Du kan skapa upp till 100 NAT-regler (inkommande och utgående regler tillsammans) på en VPN-gateway.

Kan jag använda/i ett NAT-regelnamn?

Nej. Du får ett felmeddelande.

Tillämpas NAT på alla anslutningar på en VPN-gateway?

NAT tillämpas på anslutningarna med NAT-regler. Om en anslutning inte har någon NAT-regel börjar NAT inte gälla för den anslutningen. På samma VPN-gateway kan du ha vissa anslutningar med NAT och andra anslutningar utan att NAT fungerar tillsammans.

Vilka typer av NAT stöds på Azure VPN-gatewayer?

Endast statisk 1:1 NAT och dynamisk NAT stöds. NAT64 stöds INTE.

Fungerar NAT på aktiv-aktiv VPN-gatewayer?

Ja. NAT fungerar på vpn-gatewayer med både aktiv-aktiv och aktiv-standby.

Fungerar NAT med BGP-anslutningar?

Ja, du kan använda BGP med NAT. Här följer några viktiga överväganden:

  • Välj Aktivera BGP-vägöversättning på konfigurationssidan för NAT-regler för att se till att inlärda vägar och annonserade vägar översätts till adressprefix efter NAT (externa mappningar) baserat på DE NAT-regler som är associerade med anslutningarna. Du måste se till att de lokala BGP-routrarna annonserar de exakta prefixen enligt definitionen i IngressSNAT-reglerna.

  • Om den lokala VPN-routern använder en vanlig icke-APIPA-adress och den kolliderar med VNet-adressutrymmet eller andra lokala nätverksutrymmen, kontrollerar du att IngressSNAT-regeln översätter BGP-peer-IP-adressen till en unik, icke-överlappande adress och placerar adressen efter NAT i fältet BGP-peer-IP-adress i den lokala nätverksgatewayen.

  • NAT stöds inte med BGP APIPA-adresser.

Behöver jag skapa matchande DNAT-regler för SNAT-regeln?

Nej. En enda SNAT-regel definierar översättningen för båda riktningarna i ett visst nätverk:

  • En IngressSNAT-regel definierar översättningen av käll-IP-adresserna som kommer till Azure VPN-gatewayen från det lokala nätverket. Den hanterar också översättningen av mål-IP-adresserna som lämnar det virtuella nätverket till samma lokala nätverk.

  • En EgressSNAT-regel definierar översättningen av VNet-källans IP-adresser och lämnar Azure VPN-gatewayen till lokala nätverk. Den hanterar också översättningen av mål-IP-adresserna för paket som kommer till det virtuella nätverket via dessa anslutningar med EgressSNAT-regeln.

  • I båda fallen behövs inga DNAT-regler .

Vad gör jag om adressutrymmet för mitt virtuella nätverk eller min lokala nätverksgateway har två eller flera prefix? Kan jag använda NAT för alla? Eller bara en delmängd?

Du måste skapa en NAT-regel för varje prefix som du behöver nat eftersom varje NAT-regel bara kan innehålla ett adressprefix för NAT. Om adressutrymmet för den lokala nätverksgatewayen till exempel består av 10.0.1.0/24 och 10.0.2.0/25 kan du skapa två regler enligt nedan:

  • IngressSNAT-regel 1: Mappa 10.0.1.0/24 till 100.0.1.0/24
  • IngressSNAT-regel 2: Mappa 10.0.2.0/25 till 100.0.2.0/25

De två reglerna måste matcha prefixlängderna för motsvarande adressprefix. Samma sak gäller för EgressSNAT-regler för VNet-adressutrymme.

Viktigt

Om du bara länkar en regel till anslutningen ovan översätts INTE det andra adressutrymmet.

Vilka IP-intervall kan jag använda för extern mappning?

Du kan använda valfritt lämpligt IP-intervall som du vill för extern mappning, inklusive offentliga och privata IP-adresser.

Kan jag använda olika EgressSNAT-regler för att översätta mitt VNet-adressutrymme till olika prefix till olika lokala nätverk?

Ja, du kan skapa flera EgressSNAT-regler för samma VNet-adressutrymme och tillämpa EgressSNAT-reglerna på olika anslutningar. För anslutningar utan en EgressSNAT-regel,

Kan jag använda samma IngressSNAT-regel för olika anslutningar?

Ja, detta används vanligtvis när anslutningarna är för samma lokala nätverk för att tillhandahålla redundans. Du kan inte använda samma ingressregel om anslutningarna gäller för olika lokala nätverk.

Behöver jag både regler för inkommande och utgående trafik för en NAT-anslutning?

Du behöver både regler för inkommande och utgående trafik på samma anslutning när det lokala nätverksadressutrymmet överlappar VNet-adressutrymmet. Om VNet-adressutrymmet är unikt bland alla anslutna nätverk behöver du inte regeln EgressSNAT för dessa anslutningar. Du kan använda ingressreglerna för att undvika adress överlappning mellan de lokala nätverken.

Vad väljer jag som "IP-konfigurations-ID"?

"IP-konfigurations-ID" är bara namnet på det IP-konfigurationsobjekt som du vill att NAT-regeln ska använda. Med den här inställningen väljer du helt enkelt vilken gateway offentlig IP-adress som gäller för NAT-regeln. Om du inte har angett något anpassat namn när gatewayen skapades tilldelas gatewayens primära IP-adress till standard-IP-konfigurationen och den sekundära IP-adressen tilldelas till IP-konfigurationen "activeActive".

Anslutning mellan platser och VM:ar

Om min virtuella dator finns i ett virtuellt nätverk och jag har en anslutning mellan flera platser, hur ansluter jag då till den virtuella datorn?

Du har några alternativ att välja mellan. Om du har aktiverat RDP för din virtuella dator kan du ansluta till den genom att använda den privata IP-adressen. I detta fall anger du den privata IP-adressen och den port som du vill ansluta till (vanligtvis 3389). Du måste konfigurera porten på den virtuella datorn för trafiken.

Du kan också ansluta till den virtuella datorn med en privat IP-adress från en annan virtuell dator som finns i samma virtuella nätverk. Du kan inte använda RDP till den virtuella datorn med hjälp av den privata IP-adressen om du ansluter från en plats utanför det virtuella nätverket. Om du till exempel har konfigurerat ett virtuellt punkt-till-plats-nätverk och inte upprättar en anslutning från datorn kan du inte ansluta till den virtuella datorn med en privat IP-adress.

Om min virtuella dator finns i ett virtuellt nätverk med flera platsanslutningar, går då all trafik från min virtuella dator via den anslutningen?

Nej. Bara den trafik som har ett mål-IP som finns i det virtuella nätverkets lokala nätverks-IP-adressintervall som du har angett passerar den virtuella nätverksgatewayen. Trafik med ett mål-IP som finns i det virtuella nätverket stannar kvar i det virtuella nätverket. Annan trafik skickas via lastbalanseraren till offentliga nätverk. Om tvingad tunneltrafik används skickas den via Azures VPN-gateway.

Hur felsöker jag en RDP-anslutning till en virtuell dator

Om du har problem med att ansluta till en virtuell dator via VPN-anslutningen kan du kontrollera följande:

  • Kontrollera att VPN-anslutningen har genomförts.
  • Kontrollera att du ansluter till den virtuella datorns privata IP-adress.
  • Om du kan ansluta till den virtuella datorn med hjälp av den privata IP-adressen, men inte med namnet på datorn, kontrollerar du att du har konfigurerat DNS korrekt. Mer information om hur namnmatchningen fungerar för virtuella datorer finns i Namnmatchning för virtuella datorer.

Kontrollera följande funktioner när du ansluter via punkt-till-plats:

  • Använd ”ipconfig” för att kontrollera vilken IPv4-adress som har tilldelats till Ethernet-adaptern på den dator som du ansluter från. Om IP-adressen ligger inom adressintervallet för det virtuella nätverk som du ansluter till eller inom adressintervallet för din VPNClientAddressPool, kallas detta för ett överlappande adressutrymme. När ditt adressutrymme överlappar på det här sättet når inte nätverkstrafiken Azure, utan stannar i det lokala nätverket.
  • Kontrollera att paketet för VPN-klientkonfiguration har skapats efter att IP-adresser för DNS-server har angetts för VNet. Om du uppdaterade IP-adresserna för DNS-servern skapar och installerar du ett nytt paket för VPN-klientkonfiguration.

Mer information om att felsöka en RDP-anslutning finns i Felsöka fjärrskrivbordsanslutningar till en virtuell dator.

Vanliga frågor och svar om Virtual Network

Du kan visa ytterligare information om virtuella nätverk i vanliga frågor och svar om Virtual Network.

Nästa steg

"OpenVPN" är ett varumärke som tillhör OpenVPN Inc.