Vanliga frågor och svar om VPN Gateway

  • Artikel

Ansluta till virtuella nätverk

Kan jag ansluta till virtuella nätverk i olika Azure-regioner?

Ja. Det finns ingen regionbegränsning. Ett virtuellt nätverk kan ansluta till ett annat virtuellt nätverk i samma region eller i en annan Azure-region.

Kan jag ansluta till virtuella nätverk i olika prenumerationer?

Ja.

Kan jag ange privata DNS-servrar i mitt virtuella nätverk när jag konfigurerar en VPN-gateway?

Om du angav en DNS-server eller -servrar när du skapade ditt virtuella nätverk använder VPN Gateway de DNS-servrar som du angav. Om du anger en DNS-server kontrollerar du att DNS-servern kan matcha de domännamn som behövs för Azure.

Kan jag ansluta till flera platser från en enda virtuellt nätverk?

Du kan ansluta till flera platser med hjälp av Windows PowerShell och Azure REST-API:er. Se Multisite- och VNet-till-VNet-anslutning, avsnittet Vanliga frågor och svar.

Finns det en extra kostnad för att konfigurera en VPN-gateway som aktiv-aktiv?

Nej. Kostnader för ytterligare offentliga IP-adresser debiteras dock i enlighet med detta. Se Prissättning för IP-adresser.

Vilka alternativ finns det för min anslutning till flera platser?

Följande anslutningar mellan lokala virtuella nätverksgatewayer stöds:

  • Plats-till-plats: VPN-anslutning via IPsec (IKE v1 och IKE v2). Den här typen av anslutning kräver en VPN-enhet eller RRAS. Mer information finns i Plats-till-plats.
  • Punkt-till-plats: VPN-anslutning via SSTP (Secure Socket Tunneling Protocol) eller IKE v2. Den här anslutningen kräver ingen VPN-enhet. Mer information finns i Punkt-till-plats.
  • VNet-till-VNet: Den här typen av anslutning är samma som en plats-till-plats-konfiguration. VNet-till-VNet är en VPN-anslutning via IPsec (IKE v1 och IKE v2). Det kräver ingen VPN-enhet. Mer information finns i VNet-till-VNet.
  • ExpressRoute: ExpressRoute är en privat anslutning till Azure från ditt WAN, inte en VPN-anslutning via det offentliga Internet. Mer information finns i Teknisk översikt för ExpressRoute och Vanliga frågor och svar om ExpressRoute.

Mer information om VPN Gateway-anslutningar finns i Om VPN Gateway.

Vad är skillnaden mellan en plats-till-plats-anslutning och punkt-till-plats?

Konfigurationer för plats-till-plats (IPsec/IKE VPN-tunnel) finns mellan din lokala plats och Azure. Detta innebär att du kan ansluta mellan datorer i dina lokaler till valfri virtuell dator eller rollinstans i det virtuella nätverket, beroende på hur du väljer att konfigurera routning och behörigheter. Det är ett bra alternativ för en alltid tillgänglig anslutning mellan platser och passar bra för hybridkonfigurationer. Den här typen av anslutning bygger på en IPsec VPN-installation (maskinvara eller programinstallation), som måste distribueras i utkanten av nätverket. Om du vill skapa den här typen av anslutning måste du ha en externT riktad IPv4-adress.

Med punkt-till-plats-konfigurationer (VPN via SSTP) kan du ansluta från en enda dator var som helst till allt som finns i ditt virtuella nätverk. Den använder Windows som ingår i VPN-klienten. Som en del av punkt-till-plats-konfigurationen installerar du ett certifikat och ett VPN-klientkonfigurationspaket som innehåller de inställningar som gör att datorn kan ansluta till valfri virtuell dator eller rollinstans i det virtuella nätverket. Detta är användbart om du vill ansluta till ett virtuellt nätverk som inte finns lokalt. Det är också ett bra alternativ när du inte har åtkomst till VPN-maskinvara eller en externT ansluten IPv4-adress, som båda krävs för en plats-till-plats-anslutning.

Du kan konfigurera ditt virtuella nätverk att använda både plats-till-plats och punkt-till-plats samtidigt, så länge du skapar din plats-till-plats-anslutning med hjälp av en routningsbaserad VPN-typ för din gateway. Routningsbaserade VPN-typer kallas för dynamiska gateways i den klassiska distributionsmodellen.

Sekretess

Lagrar eller bearbetar VPN-tjänsten kunddata?

Nej.

Virtuella nätverksgatewayer

Är en VPN-gateway en virtuell nätverksgateway?

En VPN-gateway är en typ av virtuell nätverksgateway. En VPN-gateway skickar krypterad trafik mellan det virtuella nätverket och lokal plats via en offentlig anslutning. Du kan också använda en VPN-gateway för att skicka trafik mellan virtuella nätverk. När du skapar en VPN-gateway använder du värdet ”Vpn” för -GatewayType. Mer information finns i Om konfigurationsinställningar för VPN Gateway.

Varför kan jag inte ange principbaserade och routningsbaserade VPN-typer?

Från och med den 1 oktober 2023 kan du inte skapa en principbaserad VPN-gateway via Azure-portalen. Alla nya VPN-gatewayer skapas automatiskt som routningsbaserade. Om du redan har en principbaserad gateway behöver du inte uppgradera din gateway till routningsbaserad. Du kan använda Powershell/CLI för att skapa de principbaserade gatewayerna.

Tidigare hade de äldre gateway-SKU:erna inte stöd för IKEv1 för routningsbaserade gatewayer. Nu har de flesta av de aktuella gateway-SKU:erna stöd för både IKEv1 och IKEv2.

Gateway-VPN-typ Gateway-SKU IKE-versioner som stöds
Principbaserad gateway Grundläggande IKEv1
Routningsbaserad gateway Grundläggande IKEv2
Routningsbaserad gateway VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 och IKEv2
Routningsbaserad gateway VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 och IKEv2

Kan jag uppdatera min principbaserade VPN-gateway till routningsbaserad?

Nej. En gatewaytyp kan inte ändras från principbaserad till routningsbaserad eller från routningsbaserad till principbaserad. Om du vill ändra en gatewaytyp måste gatewayen tas bort och återskapas. Den här processen tar cirka 60 minuter. När du skapar den nya gatewayen kan du inte behålla IP-adressen för den ursprungliga gatewayen.

  1. Ta bort alla anslutningar som är associerade med gatewayen.

  2. Ta bort gatewayen med någon av följande artiklar:

  3. Skapa en ny gateway med den gatewaytyp som du vill använda och slutför sedan VPN-konfigurationen. Anvisningar finns i självstudien plats-till-plats.

Kan jag ange mina egna principbaserade trafikväljare?

Ja, trafikväljare kan definieras via attributet trafficSelectorPolicies på en anslutning via kommandot New-AzIpsecTrafficSelectorPolicy PowerShell. För att den angivna trafikväljaren ska börja gälla kontrollerar du att alternativet Använd principbaserade trafikväljare är aktiverat.

De anpassade konfigurerade trafikväljarna föreslås bara när en Azure VPN-gateway initierar anslutningen. En VPN-gateway accepterar alla trafikväljare som föreslås av en fjärrgateway (lokal VPN-enhet). Det här beteendet är konsekvent mellan alla anslutningslägen (Standard, InitiatorOnly och ResponderOnly).

Behöver jag ett gatewayundernät?

Ja. Gatewayundernätet innehåller de IP-adresser som gatewaytjänsterna för virtuella nätverk använder. Du måste skapa ett gateway-undernät för ditt virtuella nätverk för att kunna konfigurera en virtuell nätverksgateway. Alla gatewayundernät måste ha namnet ”GatewaySubnet” för att fungera korrekt. Ge inte något annat namn till gateway-undernätet. Och distribuera inte virtuella datorer eller något annat till gateway-undernätet.

När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. IP-adresserna i gatewayundernätet allokeras till gatewaytjänsten. Vissa konfigurationer kräver att fler IP-adresser allokeras till gatewaytjänsterna än andra. Du måste kontrollera att gatewayundernätet innehåller tillräckligt med IP-adresser för att hantera framtida tillväxt och eventuella ytterligare nya anslutningskonfigurationer. Även om du kan skapa ett gatewayundernät som är så litet som /29, rekommenderar vi att du skapar ett gatewayundernät på /27 eller större (/27, /26, /25 osv.). Granska kraven för den konfiguration som du vill skapa och kontrollera att gatewayundernätet som du har kommer att uppfylla dessa krav.

Kan jag distribuera virtuella datorer eller rollinstanser till mitt gateway-undernät?

Nej.

Kan jag få min IP-adress för VPN-gatewayen innan jag skapar den?

Offentliga IP-resurser för Azure Standard SKU måste använda en statisk allokeringsmetod. Därför har du den offentliga IP-adressen för din VPN-gateway så snart du skapar den offentliga IP-resursen standard-SKU som du tänker använda för den.

Kan jag begära en statisk offentlig IP-adress för min VPN-gateway?

Offentliga IP-adressresurser för standard-SKU använder en statisk allokeringsmetod. Framöver måste du använda en offentlig IP-adress för Standard SKU när du skapar en ny VPN-gateway. Detta gäller för alla gateway-SKU:er utom Basic SKU. SKU:n för Basic-gatewayen stöder för närvarande endast offentliga IP-adresser för Basic SKU. Vi kommer snart att lägga till stöd för offentliga IP-adresser för Standard SKU för Basic Gateway-SKU:er.

För icke-zonredundanta och icke-zonindelade gatewayer som tidigare har skapats (gateway-SKU:er som inte har AZ i namnet) stöds dynamisk IP-adresstilldelning, men fasas ut. När du använder en dynamisk IP-adress ändras inte IP-adressen när den har tilldelats till din VPN-gateway. Den enda gången SOM VPN-gatewayens IP-adress ändras är när gatewayen tas bort och sedan återskapas. Den offentliga IP-adressen för VPN-gatewayen ändras inte när du ändrar storlek på, återställer eller slutför annat internt underhåll och uppgraderingar av vpn-gatewayen.

Hur påverkar offentlig IP-adress Basic SKU-tillbakadragning mina VPN-gatewayer?

Vi vidtar åtgärder för att säkerställa fortsatt drift av distribuerade VPN-gatewayer som använder offentliga IP-adresser för Basic SKU. Om du redan har VPN-gatewayer med offentliga IP-adresser för Basic SKU behöver du inte vidta några åtgärder.

Det är dock viktigt att observera att offentliga IP-adresser för grundläggande SKU håller på att fasas ut. När du skapar en ny VPN-gateway måste du använda den offentliga IP-adressen för Standard SKU . Mer information om tillbakadragande av offentliga IP-adresser för Basic SKU finns här.

Hur blir min VPN-tunnel autentiserad?

Azure VPN använder PSK-autentisering (I förväg delad nyckel). Vi kan generera en i förväg delad nyckel (PSK) när vi skapar VPN-tunneln. Du kan ändra den automatiskt genererade PSK:n till din egen med PowerShell-cmdleten Set Pre-Shared Key eller REST API.

Kan jag använda API:n Set Pre-Shared Key till att konfigurera min principbaserade gateway-VPN (statisk routning)?

Ja, både API:n och PowerShell-cmdleten Set Pre-Shared Key kan användas för att konfigurera Azures principbaserade (statiska) VPN:er och routningsbaserade (dynamisk) routning-VPN:er.

Kan jag använda andra autentiseringsalternativ?

Vi är begränsade till att använda i förväg delade nycklar (PSK) för autentisering.

Hur anger jag vilken trafik som ska passera VPN-gatewayen?

Distributionsmodell med Resource Manager

  • PowerShell: Använd ”AddressPrefix” för att ange trafik för den lokala nätverksgatewayen.
  • Azure-portalen: navigera till konfigurationsadressutrymmet för den lokala nätverksgatewayen >> .

Klassisk distributionsmodell

  • Azure-portalen: Navigera till de klassiska VPN-anslutningarna > för virtuella nätverk > plats-till-plats VPN-anslutningar > Lokalt platsnamn > Lokal plats > Klientadressutrymme.

Kan jag använda NAT-T på mina VPN-anslutningar?

Ja, NAT-bläddering (NAT-T) stöds. Azure VPN Gateway utför INTE några NAT-liknande funktioner på de inre paketen till/från IPsec-tunnlarna. I den här konfigurationen kontrollerar du att den lokala enheten initierar IPSec-tunneln.

Kan jag installera min egen VPN-server i Azure och använda den för att ansluta till mitt lokala nätverk?

Ja, du kan distribuera egna VPN-gatewayer eller servrar i Azure, antingen från Azure Marketplace eller genom att skapa egna VPN-routrar. Du måste konfigurera användardefinierade vägar i det virtuella nätverket för att säkerställa att trafiken dirigeras korrekt mellan dina lokala nätverk och dina virtuella nätverksundernät.

Varför öppnas vissa portar på min virtuella nätverksgateway?

De krävs för azure-infrastrukturkommunikation. De är skyddade (låsta) av Azure-certifikat. Utan rätt certifikat kan externa entiteter, inklusive kunderna för dessa gatewayer, inte orsaka någon effekt på dessa slutpunkter.

En virtuell nätverksgateway är i grunden en enhet med flera enheter med ett nätverkskort som utnyttjar kundens privata nätverk och ett nätverkskort mot det offentliga nätverket. Azure-infrastrukturentiteter kan inte utnyttja kundens privata nätverk av efterlevnadsskäl, så de måste använda offentliga slutpunkter för infrastrukturkommunikation. De offentliga slutpunkterna genomsöks regelbundet av Azures säkerhetsgranskning.

Kan jag skapa en VPN-gateway med Basic Gateway SKU i portalen?

Nej. Basic SKU är inte tillgängligt i portalen. Du kan skapa en Grundläggande SKU VPN-gateway med Hjälp av Azure CLI eller PowerShell.

Var hittar jag information om gatewaytyper, krav och dataflöde?

Mer information finns i följande artiklar:

SKU-utfasning för äldre SKU:er

SKU:er för standard och höga prestanda kommer att vara inaktuella den 30 september 2025. Du kan visa meddelandet här. Produktteamet kommer att göra en migreringssökväg tillgänglig för dessa SKU:er senast den 30 november 2024. Mer information finns i artikeln äldre SKU:er för VPN Gateway. För närvarande finns det ingen åtgärd som du behöver vidta.

Kan jag skapa en ny standard-/högpresterande SKU efter utfasningsmeddelandet den 30 november 2023?

Nej. Från och med den 1 december 2023 kan du inte skapa nya gatewayer med SKU:er med standard- eller högpresterande SKU:er. Du kan skapa nya gatewayer med hjälp av VpnGw1 och VpnGw2 till samma pris som SKU:erna Standard respektive High Performance, som visas på vår prissida.

Hur länge kommer mina befintliga gatewayer att stödjas på SKU:er med standard/höga prestanda?

Alla befintliga gatewayer som använder SKU:er med standard- eller högpresterande prestanda stöds fram till den 30 september 2025.

Behöver jag migrera mina SKU:er för standard-/högpresterande gateway just nu?

Nej, det krävs ingen åtgärd just nu. Du kommer att kunna migrera dina SKU:er från och med december 2024. Vi skickar kommunikation med detaljerad dokumentation om migreringsstegen.

Vilken SKU kan jag migrera min gateway till?

När gateway-SKU-migrering blir tillgänglig kan SKU:er migreras på följande sätt:

  • Standard –> VpnGw1
  • Höga prestanda –> VpnGw2

Vad händer om jag vill migrera till en AZ SKU?

Du kan inte migrera din äldre SKU till en AZ SKU. Observera dock att alla gatewayer som fortfarande använder SKU:er för standard- eller högprestanda efter den 30 september 2025 migreras och uppgraderas automatiskt till följande SKU:er:

  • Standard –> VpnGw1AZ
  • Höga prestanda –> VpnGw2AZ

Du kan använda den här strategin för att migrera och uppgradera dina SKU:er automatiskt till en AZ SKU. Du kan sedan ändra storlek på din SKU inom den SKU-familjen om det behövs. Se vår prissättningssida för AZ SKU-priser. Information om dataflöde via SKU finns i Om gateway-SKU :er.

Kommer det att finnas någon prisskillnad för mina gatewayer efter migreringen?

Om du migrerar dina SKU:er senast den 30 september 2025 blir det ingen prisskillnad. VpnGw1- och VpnGw2-SKU:er erbjuds till samma pris som SKU:er för standard- respektive högpresterande SKU:er. Om du inte migrerar vid det datumet migreras och uppgraderas dina SKU:er automatiskt till AZ-SKU:er. I så fall finns det en prisskillnad.

Kommer det att finnas någon prestandapåverkan på mina gatewayer med den här migreringen?

Ja, du får bättre prestanda med VpnGw1 och VpnGw2. För närvarande tillhandahåller VpnGw1 på 650 Mbit/s en 6,5 x och VpnGw2 på 1 Gbit/s en prestandaförbättring på 5 x till samma pris som de äldre standard- respektive högpresterande gatewayerna. Mer information om SKU-dataflöde finns i Om gateway-SKU :er.

Vad händer om jag inte migrerar SKU:er senast den 30 september 2025?

Alla gatewayer som fortfarande använder SKU:er med standard- eller högpresterande prestanda migreras automatiskt och uppgraderas till följande AZ-SKU:er:

  • Standard –> VpnGw1AZ
  • Höga prestanda –> VpnGw2AZ

Slutlig kommunikation skickas innan migreringen påbörjas på alla gatewayer.

Går ÄVEN VPN Gateway Basic SKU ur bruk?

Nej, VPN Gateway Basic SKU är här för att stanna. Du kan skapa en VPN-gateway med hjälp av Basic Gateway SKU via PowerShell eller CLI. För närvarande stöder VPN Gateway Basic-gateway-SKU:er endast den offentliga IP-adressresursen Basic SKU (som är på väg att dras tillbaka). Vi arbetar med att lägga till stöd till VPN Gateway Basic Gateway SKU för den offentliga IP-adressresursen standard SKU.

Plats-till-plats-anslutningar och VPN-enheter

Vad bör jag tänka på när jag väljer en VPN-enhet?

Vi har verifierat en uppsättning standard-VPN-enheter för plats-till-plats i samarbete med enhetsleverantörer. En lista med kända kompatibla VPN-enheter, deras konfigurationsanvisningar eller exempel, samt specifikationer för enheten finns i artikeln Om VPN-enheter. Alla enheter i enhetsfamiljerna som är kompatibla bör fungera tillsammans med Virtual Network. Om du behöver hjälp med att konfigurera din VPN-enhet kan du se enhetens konfigurationsexempel eller den länk som leder till lämplig enhetsfamilj.

Var hittar jag konfigurationsinställningar för VPN-enheter?

För att ladda ned konfigurationsskript för VPN-enheten:

Beroende på vilken VPN-enhet du har kan du eventuellt hämta ett skript för VPN-enhetskonfiguration. Mer information finns i Ladda ned konfigurationsskript för VPN-enheten.

Se följande länkar för ytterligare information om konfiguration:

Hur redigerar jag konfigurationsexempel för VPN-enheter?

Mer information om att redigera enhetens konfigurationsexempel finns i Redigera exempel.

Var hittar jag IPsec- och IKE-parametrar?

Mer information om IPsec-/IKE-parametrar finns i Parametrar.

Varför stängs min principbaserade VPN-tunnel när trafiken är inaktiv?

Detta är ett förväntat beteende för principbaserade VPN-gatewayer (även kallat statisk routning). När trafiken över tunneln är inaktiv i mer än 5 minuter rivs tunneln. När trafiken börjar flöda i båda riktningarna återupprättas tunneln omedelbart.

Kan jag använda programvaru-VPN:er för att ansluta till Azure?

Vi stöder Windows Server 2012-routnings- och fjärråtkomstservrar (RRAS) för plats-till-plats-konfiguration mellan platser.

Andra VPN-programlösningar bör fungera med vår gateway så länge de uppfyller branschens standardimplementeringar för IPsec. Kontakta leverantören av programvaran för konfigurations- och supportinstruktioner.

Kan jag ansluta till en VPN-gateway via punkt-till-plats när den finns på en plats som har en aktiv plats-till-plats-anslutning?

Ja, men den offentliga IP-adressen(es) för punkt-till-plats-klienten måste vara annorlunda än de offentliga IP-adresser som används av plats-till-plats-VPN-enheten, annars fungerar inte punkt-till-plats-anslutningen. punkt-till-plats-anslutningar med IKEv2 kan inte initieras från samma offentliga IP-adress (es) där en PLATS-till-plats VPN-anslutning konfigureras på samma Azure VPN-gateway.

Punkt-till-plats – Certifikatautentisering

Det här avsnittet gäller distributionsmodellen i Resource Manager.

Hur många VPN-klientslutpunkter kan jag ha i min punkt-till-plats-konfiguration?

Det beror på gateway-SKU. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.

Vilka klientoperativsystem kan jag använda med punkt-till-plats?

Följande klientoperativsystem stöds:

  • Windows Server 2008 R2 (endast 64-bitars)
  • Windows 8.1 (32-bitars och 64-bitars)
  • Windows Server 2012 (endast 64-bitars)
  • Windows Server 2012 R2 (endast 64-bitars)
  • Windows Server 2016 (endast 64-bitars)
  • Windows Server 2019 (endast 64-bitars)
  • Windows Server 2022 (endast 64-bitars)
  • Windows 10
  • Windows 11
  • macOS version 10.11 eller senare
  • Linux (StrongSwan)
  • iOS

Kan jag gå igenom proxyservrar och brandväggar med hjälp av punkt-till-plats-funktioner?

Azure stöder tre alternativ för VPN för punkt-till-plats:

  • SSTP (Secure Socket Tunneling Protocol). SSTP är en SSL-baserad lösning från Microsoft som kan ta sig igenom brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443 som SSL använder.

  • OpenVPN OpenVPN är en SSL-baserad lösning som kan ta sig igenom brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443 som SSL använder.

  • IKEv2 VPN. IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder utgående UDP-portar 500 och 4500 och IP-protokoll nr 50. Brandväggar öppnar inte alltid dessa portar, så det finns en möjlighet att IKEv2 VPN inte kan passera proxyservrar och brandväggar.

Kommer VPN automatiskt att återansluta om jag startar om en klientdator som konfigurerats för punkt-till-plats?

Automatisk återanslutning är en funktion av klienten som används. Windows stöder automatisk återanslutning genom att konfigurera funktionen Always On VPN-klient .

Stöder punkt-till-plats DDNS på VPN-klienterna?

DDNS stöds för närvarande inte i punkt-till-plats-VPN.

Kan jag ha plats-till-plats- och punkt-till-plats-konfigurationer samexisterade för samma virtuella nätverk?

Ja. Med Resource Manager-distributionsmodellen krävs en gateway med routningsbaserad VPN. I den klassiska distributionsmodellen måste du ha en dynamisk gateway. Vi stöder inte punkt-till-plats för statisk routning av VPN-gatewayer eller principbaserade VPN-gatewayer.

Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverksgatewayer samtidigt?

Beroende på vilken VPN-klientprogramvara som används kan du kanske ansluta till flera virtuella nätverksgatewayer, förutsatt att de virtuella nätverk som är anslutna till inte har motstridiga adressutrymmen mellan dem eller om nätverket från med klienten ansluter från. Azure VPN-klienten stöder många VPN-anslutningar men bara en anslutning kan anslutas vid en viss tidpunkt.

Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverk samtidigt?

Ja, punkt-till-plats-klientanslutningar till en virtuell nätverksgateway som distribueras i ett virtuellt nätverk som är peer-kopplat till andra virtuella nätverk kan ha åtkomst till andra peerkopplade virtuella nätverk. punkt-till-plats-klienter kommer att kunna ansluta till peerkopplade virtuella nätverk så länge de peerkopplade virtuella nätverken använder funktionerna UseRemoteGateway/AllowGatewayTransit. Mer information finns i Om punkt-till-plats-routning.

Hur mycket dataflöde kan jag förvänta mig via plats-till-plats- eller punkt-till-plats-anslutningar?

Det är svårt att bibehålla ett exakt dataflöde i VPN-tunnlarna. IPsec och SSTP är kryptografifrekventa VPN-protokoll. Dataflödet är också begränsat av svarstiden och bandbredden mellan din lokala plats och Internet. För en VPN Gateway med endast IKEv2 punkt-till-plats VPN-anslutningar beror det totala dataflödet som du kan förvänta dig på gateway-SKU:n. Mer information om dataflödet finns i avsnittet om Gateway-SKU:er.

Kan jag använda någon VPN-klient för programvara för punkt-till-plats som stöder SSTP och/eller IKEv2?

Nej. Du kan bara använda den inbyggda VPN-klienten i Windows för SSTP, och den inbyggda VPN-klienten i Mac för IKEv2. Men du kan använda OpenVPN-klienten på alla plattformar för att ansluta över OpenVPN-protokollet. Se listan över klientoperativsystem som stöds.

Kan jag ändra autentiseringstypen för en punkt-till-plats-anslutning?

Ja. I portalen går du till konfigurationssidan för VPN-gateway –> punkt-till-plats . Som Autentiseringstyp väljer du de autentiseringstyper som du vill använda. Observera att när du har ändrat till en autentiseringstyp kanske de aktuella klienterna inte kan ansluta förrän en ny VPN-klientkonfigurationsprofil har genererats, laddats ned och tillämpats på varje VPN-klient.

Har Azure stöd för IKEv2 VPN-anslutningar i Windows?

IKEv2 stöds på Windows 10 och Server 2016. Men för att kunna använda IKEv2 i vissa os-versioner måste du installera uppdateringar och ange ett registernyckelvärde lokalt. OS-versioner före Windows 10 stöds inte och kan bara använda SSTP eller OpenVPN® Protocol.

Kommentar

Windows OS-versioner som är nyare än Windows 10 Version 1709 och Windows Server 2016 Version 1607 kräver inte dessa steg.

Förbereda Windows 10 eller Server 2016 för IKEv2:

  1. Installera uppdateringen baserat på din operativsystemversion:

    OS-version Datum Antal/länk
    Windows Server 2016
    Windows 10, version 1607    		 17 januari 2018 KB4057142
    Windows 10, version 1703 17 januari 2018 KB4057144
    Windows 10 version 1709 22 mars 2018 KB4089848

  2. Ange registernyckelvärdet. Skapa eller ange "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD-nyckeln i registret till 1.

Vad är IKEv2-trafikväljarens gräns för punkt-till-plats-anslutningar?

Windows 10 version 2004 (släpptes september 2021) ökade trafikväljarens gräns till 255. Versioner av Windows tidigare än detta har en trafikväljargräns på 25.

Gränsen för trafikväljare i Windows avgör det maximala antalet adressutrymmen i det virtuella nätverket och den maximala summan av dina lokala nätverk, VNet-till-VNet-anslutningar och peerkopplade virtuella nätverk som är anslutna till gatewayen. Windows-baserade punkt-till-plats-klienter kan inte ansluta via IKEv2 om de överskrider den här gränsen.

Vad händer när jag konfigurerar både SSTP och IKEv2 för P2S VPN-anslutningar?

När du konfigurerar både SSTP och IKEv2 i en blandad miljö (bestående av Windows- och Mac-enheter) provar Windows VPN-klienten alltid IKEv2-tunneln först, men återgår till SSTP om IKEv2-anslutningen inte lyckas. MacOSX ansluter endast via IKEv2.

När du har både SSTP och IKEv2 aktiverat på gatewayen delas punkt-till-plats-adresspoolen statiskt mellan de två, så klienter som använder olika protokoll tilldelas IP-adresser från något av underintervallen. Observera att den maximala mängden SSTP-klienter alltid är 128 även om adressintervallet är större än /24, vilket resulterar i en större mängd adresser som är tillgängliga för IKEv2-klienter. För mindre intervall halveras poolen lika mycket. Trafikväljare som används av gatewayen kanske inte innehåller punkt-till-plats-adressintervallet CIDR, utan de två CIDR:erna för underintervallet.

För vilka andra plattformar förutom Windows och Mac har Azure stöd för P2S VPN?

Azure stöder Windows, Mac och Linux för P2S VPN.

Jag har redan en Azure VPN Gateway distribuerad. Kan jag aktivera RADIUS och/eller IKEv2 VPN på den?

Ja, om gateway-SKU:n som du använder stöder RADIUS och/eller IKEv2 kan du aktivera dessa funktioner på gatewayer som du redan har distribuerat med hjälp av PowerShell eller Azure-portalen. Basic SKU stöder inte RADIUS eller IKEv2.

Hur tar jag bort konfigurationen av en P2S-anslutning?

En P2S-konfiguration kan tas bort med hjälp av Azure CLI och PowerShell med följande kommandon:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Vad ska jag göra om jag får ett felmatchat certifikat när jag ansluter med certifikatautentisering?

Avmarkera "Verifiera serverns identitet genom att verifiera certifikatet" eller lägg till serverns FQDN tillsammans med certifikatet när du skapar en profil manuellt. Du kan göra detta genom att köra rasphone från en kommandotolk och välja profilen från listrutan.

Att kringgå serveridentitetsverifiering rekommenderas inte i allmänhet, men med Azure-certifikatautentisering används samma certifikat för servervalidering i VPN-tunnelprotokollet (IKEv2/SSTP) och EAP-protokollet. Eftersom servercertifikatet och FQDN redan har verifierats av VPN-tunnelprotokollet är det redundant att verifiera samma sak igen i EAP.

punkt-till-plats-autentisering

Kan jag använda min egen interna PKI-rotcertifikatutfärdare för att generera certifikat för punkt-till-plats-anslutning?

Ja. Tidigare kunde bara självsignerade rotcertifikat användas. Du kan fortfarande överföra 20 rotcertifikat.

Kan jag använda certifikat från Azure Key Vault?

Nej.

Vilka verktyg kan jag använda för att skapa certifikat?

Du kan använda lösningen för företags-PKI (din interna PKI), Azure PowerShell, MakeCert och OpenSSL.

Finns det anvisningar för certifikatinställningar och -parametrar?

  • Lösning för intern PKI/företags-PKI: Se hur du kan generera certifikat.

  • Azure PowerShell: Se anvisningarna i artikeln om Azure PowerShell.

  • MakeCert: Se anvisningarna i artikeln om MakeCert.

  • OpenSSL:

    • Se till att konvertera rotcertifikatet till Base64 när du exporterar certifikat.

    • För klientcertifikatet:

      • Ange längden 4096 när du skapar den privata nyckeln.
      • För parametern -tillägg anger du usr_cert när du skapar certifikatet.

Punkt-till-plats – RADIUS-autentisering

Det här avsnittet gäller distributionsmodellen i Resource Manager.

Hur många VPN-klientslutpunkter kan jag ha i min punkt-till-plats-konfiguration?

Det beror på gateway-SKU. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.

Vilka klientoperativsystem kan jag använda med punkt-till-plats?

Följande klientoperativsystem stöds:

  • Windows Server 2008 R2 (endast 64-bitars)
  • Windows 8.1 (32-bitars och 64-bitars)
  • Windows Server 2012 (endast 64-bitars)
  • Windows Server 2012 R2 (endast 64-bitars)
  • Windows Server 2016 (endast 64-bitars)
  • Windows Server 2019 (endast 64-bitars)
  • Windows Server 2022 (endast 64-bitars)
  • Windows 10
  • Windows 11
  • macOS version 10.11 eller senare
  • Linux (StrongSwan)
  • iOS

Kan jag gå igenom proxyservrar och brandväggar med hjälp av punkt-till-plats-funktioner?

Azure stöder tre alternativ för VPN för punkt-till-plats:

  • SSTP (Secure Socket Tunneling Protocol). SSTP är en SSL-baserad lösning från Microsoft som kan ta sig igenom brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443 som SSL använder.

  • OpenVPN OpenVPN är en SSL-baserad lösning som kan ta sig igenom brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443 som SSL använder.

  • IKEv2 VPN. IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder utgående UDP-portar 500 och 4500 och IP-protokoll nr 50. Brandväggar öppnar inte alltid dessa portar, så det finns en möjlighet att IKEv2 VPN inte kan passera proxyservrar och brandväggar.

Kommer VPN automatiskt att återansluta om jag startar om en klientdator som konfigurerats för punkt-till-plats?

Automatisk återanslutning är en funktion av klienten som används. Windows stöder automatisk återanslutning genom att konfigurera funktionen Always On VPN-klient .

Stöder punkt-till-plats DDNS på VPN-klienterna?

DDNS stöds för närvarande inte i punkt-till-plats-VPN.

Kan jag ha plats-till-plats- och punkt-till-plats-konfigurationer samexisterade för samma virtuella nätverk?

Ja. Med Resource Manager-distributionsmodellen krävs en gateway med routningsbaserad VPN. I den klassiska distributionsmodellen måste du ha en dynamisk gateway. Vi stöder inte punkt-till-plats för statisk routning av VPN-gatewayer eller principbaserade VPN-gatewayer.

Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverksgatewayer samtidigt?

Beroende på vilken VPN-klientprogramvara som används kan du kanske ansluta till flera virtuella nätverksgatewayer, förutsatt att de virtuella nätverk som är anslutna till inte har motstridiga adressutrymmen mellan dem eller om nätverket från med klienten ansluter från. Azure VPN-klienten stöder många VPN-anslutningar men bara en anslutning kan anslutas vid en viss tidpunkt.

Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverk samtidigt?

Ja, punkt-till-plats-klientanslutningar till en virtuell nätverksgateway som distribueras i ett virtuellt nätverk som är peer-kopplat till andra virtuella nätverk kan ha åtkomst till andra peerkopplade virtuella nätverk. punkt-till-plats-klienter kommer att kunna ansluta till peerkopplade virtuella nätverk så länge de peerkopplade virtuella nätverken använder funktionerna UseRemoteGateway/AllowGatewayTransit. Mer information finns i Om punkt-till-plats-routning.

Hur mycket dataflöde kan jag förvänta mig via plats-till-plats- eller punkt-till-plats-anslutningar?

Det är svårt att bibehålla ett exakt dataflöde i VPN-tunnlarna. IPsec och SSTP är kryptografifrekventa VPN-protokoll. Dataflödet är också begränsat av svarstiden och bandbredden mellan din lokala plats och Internet. För en VPN Gateway med endast IKEv2 punkt-till-plats VPN-anslutningar beror det totala dataflödet som du kan förvänta dig på gateway-SKU:n. Mer information om dataflödet finns i avsnittet om Gateway-SKU:er.

Kan jag använda någon VPN-klient för programvara för punkt-till-plats som stöder SSTP och/eller IKEv2?

Nej. Du kan bara använda den inbyggda VPN-klienten i Windows för SSTP, och den inbyggda VPN-klienten i Mac för IKEv2. Men du kan använda OpenVPN-klienten på alla plattformar för att ansluta över OpenVPN-protokollet. Se listan över klientoperativsystem som stöds.

Kan jag ändra autentiseringstypen för en punkt-till-plats-anslutning?

Ja. I portalen går du till konfigurationssidan för VPN-gateway –> punkt-till-plats . Som Autentiseringstyp väljer du de autentiseringstyper som du vill använda. Observera att när du har ändrat till en autentiseringstyp kanske de aktuella klienterna inte kan ansluta förrän en ny VPN-klientkonfigurationsprofil har genererats, laddats ned och tillämpats på varje VPN-klient.

Har Azure stöd för IKEv2 VPN-anslutningar i Windows?

IKEv2 stöds på Windows 10 och Server 2016. Men för att kunna använda IKEv2 i vissa os-versioner måste du installera uppdateringar och ange ett registernyckelvärde lokalt. OS-versioner före Windows 10 stöds inte och kan bara använda SSTP eller OpenVPN® Protocol.

Kommentar

Windows OS-versioner som är nyare än Windows 10 Version 1709 och Windows Server 2016 Version 1607 kräver inte dessa steg.

Förbereda Windows 10 eller Server 2016 för IKEv2:

  1. Installera uppdateringen baserat på din operativsystemversion:

    OS-version Datum Antal/länk
    Windows Server 2016
    Windows 10, version 1607    		 17 januari 2018 KB4057142
    Windows 10, version 1703 17 januari 2018 KB4057144
    Windows 10 version 1709 22 mars 2018 KB4089848

  2. Ange registernyckelvärdet. Skapa eller ange "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD-nyckeln i registret till 1.

Vad är IKEv2-trafikväljarens gräns för punkt-till-plats-anslutningar?

Windows 10 version 2004 (släpptes september 2021) ökade trafikväljarens gräns till 255. Versioner av Windows tidigare än detta har en trafikväljargräns på 25.

Gränsen för trafikväljare i Windows avgör det maximala antalet adressutrymmen i det virtuella nätverket och den maximala summan av dina lokala nätverk, VNet-till-VNet-anslutningar och peerkopplade virtuella nätverk som är anslutna till gatewayen. Windows-baserade punkt-till-plats-klienter kan inte ansluta via IKEv2 om de överskrider den här gränsen.

Vad händer när jag konfigurerar både SSTP och IKEv2 för P2S VPN-anslutningar?

När du konfigurerar både SSTP och IKEv2 i en blandad miljö (bestående av Windows- och Mac-enheter) provar Windows VPN-klienten alltid IKEv2-tunneln först, men återgår till SSTP om IKEv2-anslutningen inte lyckas. MacOSX ansluter endast via IKEv2.

När du har både SSTP och IKEv2 aktiverat på gatewayen delas punkt-till-plats-adresspoolen statiskt mellan de två, så klienter som använder olika protokoll tilldelas IP-adresser från något av underintervallen. Observera att den maximala mängden SSTP-klienter alltid är 128 även om adressintervallet är större än /24, vilket resulterar i en större mängd adresser som är tillgängliga för IKEv2-klienter. För mindre intervall halveras poolen lika mycket. Trafikväljare som används av gatewayen kanske inte innehåller punkt-till-plats-adressintervallet CIDR, utan de två CIDR:erna för underintervallet.

För vilka andra plattformar förutom Windows och Mac har Azure stöd för P2S VPN?

Azure stöder Windows, Mac och Linux för P2S VPN.

Jag har redan en Azure VPN Gateway distribuerad. Kan jag aktivera RADIUS och/eller IKEv2 VPN på den?

Ja, om gateway-SKU:n som du använder stöder RADIUS och/eller IKEv2 kan du aktivera dessa funktioner på gatewayer som du redan har distribuerat med hjälp av PowerShell eller Azure-portalen. Basic SKU stöder inte RADIUS eller IKEv2.

Hur tar jag bort konfigurationen av en P2S-anslutning?

En P2S-konfiguration kan tas bort med hjälp av Azure CLI och PowerShell med följande kommandon:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Stöds RADIUS-autentisering med alla Azure VPN Gateway-SKU:er?

RADIUS-autentisering stöds för alla SKU:er utom Basic SKU.

För äldre SKU:er stöds RADIUS-autentisering på SKU:er med standard- och högpresterande prestanda. Det stöds inte på Basic Gateway SKU.

Stöds RADIUS-autentisering med den klassiska distributionsmodellen?

Nej. RADIUS-autentisering stöds inte för den klassiska distributionsmodellen.

Vad är tidsgränsen för RADIUS-begäranden som skickas till RADIUS-servern?

RADIUS-begäranden är inställda på timeout efter 30 sekunder. Användardefinierade tidsgränsvärden stöds inte i dag.

Stöds RADIUS-servrar från tredje part?

Ja, RADIUS-servrar från tredje part stöds.

Vilka anslutningskrav måste vara uppfyllda för att Azure-gatewayen ska kunna ansluta till en lokal RADIUS-server?

En plats-till-plats-VPN-anslutning till den lokala platsen, med rätt vägar konfigurerade, krävs.

Kan trafik till en lokal RADIUS-server (från Azure VPN-gatewayen) skickas via en ExpressRoute-anslutning?

Nej. Den kan bara dirigeras via en plats-till-plats-anslutning.

Har antalet SSTP-anslutningar som stöds med RADIUS-autentisering ändrats? Hur många SSTP- och IKEv2-anslutningar stöds?

Det finns ingen ändring i det maximala antalet SSTP-anslutningar som stöds på en gateway med RADIUS-autentisering. Den är fortfarande 128 för SSTP, men är beroende av gateway-SKU:n för IKEv2. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.

Vad är skillnaden mellan att göra certifikatautentisering med hjälp av en RADIUS-server jämfört med azure-intern certifikatautentisering (genom att ladda upp ett betrott certifikat till Azure)?

När RADIUS-certifikatautentisering används vidarebefordras autentiseringsbegäran till en RADIUS-server som hanterar själva certifikatverifieringen. Det här alternativet är bra om du vill integrera med en infrastruktur för certifikatautentisering som du redan har via RADIUS.

När Azure används för certifikatautentisering utförs certifikatverifieringen av Azure VPN-gatewayen. Du måste ladda upp den offentliga nyckeln för ditt certifikat till gatewayen. Du kan också ange en lista med återkallade certifikat som inte har tillåtelse att ansluta.

Fungerar RADIUS-autentisering med både IKEv2 och SSTP VPN?

Ja, RADIUS-autentisering stöds för både IKEv2 och SSTP VPN.

Fungerar RADIUS-autentisering med OpenVPN-klienten?

RADIUS-autentisering stöds för OpenVPN-protokollet.

Anslutning mellan virtuella nätverk och flera platser

Vanliga frågor och svar om VNet-till-VNet gäller vpn-gatewayanslutningar. Information om VNet-peering finns i Peering för virtuellt nätverk.

Tar Azure ut avgifter för trafik mellan virtuella nätverk?

VNet-till-VNet-trafik inom samma region är kostnadsfri för båda riktningarna när du använder en VPN-gatewayanslutning. Utgående trafik mellan regioner för VNet-till-VNet debiteras med utgående dataöverföringshastigheter mellan virtuella nätverk baserat på källregionerna. Mer information finns på sidan med priser för VPN Gateway. Om du ansluter dina virtuella nätverk med VNet-peering i stället för en VPN-gateway läser du Priser för virtuella nätverk.

Reser VNet-till-VNet-trafik över Internet?

Nej. VNet-till-VNet-trafik färdas över Microsoft Azure-stamnätet, inte internet.

Kan jag upprätta en VNet-till-VNet-anslutning mellan Microsoft Entra-klienter?

Ja, VNet-till-VNet-anslutningar som använder Azure VPN-gatewayer fungerar mellan Microsoft Entra-klienter.

Är trafiken mellan virtuella nätverk säker?

Ja, den skyddas av IPsec/IKE-kryptering.

Behöver jag en VPN-enhet för att koppla ihop virtuella nätverk?

Nej. Att ansluta flera virtuella Azure-nätverk till varandra kräver inte någon VPN-enhet, såvida inte en anslutning mellan flera platser krävs.

Behöver mina virtuella nätverk finnas inom samma region?

Nej. De virtuella nätverken kan finnas i samma eller olika Azure-regioner (platser).

Behöver prenumerationerna associeras med samma Active Directory-klientorganisation om de inte finns i samma prenumeration?

Nej.

Kan jag använda VNet-till-VNet för att ansluta virtuella nätverk i separata Azure-instanser?

Nej. Du kan använda VNet-till-VNet för att ansluta virtuella nätverk inom samma Azure-instans. Du kan till exempel inte skapa en anslutning mellan globala Azure- och kinesiska/tyska/amerikanska azure-instanser. Överväg att använda en VPN-anslutning från plats till plats för dessa scenarier.

Kan jag använda anslutningar mellan virtuella nätverk tillsammans med anslutningar mellan flera platser?

Ja. Virtuell nätverksanslutning kan användas samtidigt med VPN på flera platser.

Hur många lokala platser och virtuella nätverk kan ett virtuellt nätverk ansluta till?

Se tabellen Gateway-krav .

Kan jag använda anslutningar mellan virtuella nätverk för att ansluta virtuella datorer eller molntjänster utanför en virtuellt nätverk?

Nej. VNet-till-VNet stöder anslutning av virtuella nätverk. Den stöder inte anslutning av virtuella datorer eller molntjänster som inte finns i ett virtuellt nätverk.

Kan en molntjänst eller en belastningsutjämningsslutpunkt sträcka sig över virtuella nätverk?

Nej. En molntjänst eller en belastningsutjämningsslutpunkt kan inte sträcka sig över virtuella nätverk, även om de är anslutna tillsammans.

Kan jag använda en principbaserad VPN-typ för VNet-till-VNet- eller Multi-Site-anslutningar?

Nej. VNet-till-VNet- och Multi-Site-anslutningar kräver Azure VPN-gatewayer med Routningsbaserade (tidigare kallade dynamisk routning) VPN-typer.

Kan jag ansluta ett VNet med en routningsbaserad VPN-typ till ett annat VNet med en policybaserad VPN-typ?

Nej, båda de virtuella nätverken MÅSTE använda routningsbaserade (tidigare kallade dynamisk routning) VPN.

Delar VPN-tunnlar bandbredd?

Ja. Alla VPN-tunnlar i det virtuella nätverket delar på den tillgängliga bandbredden i Azures VPN-gateway och samma VPN-gateways upptids-SLA i Azure.

Finns det stöd för redundanta tunnlar?

Redundanta tunnlar mellan ett par med virtuella nätverk stöds när en virtuell nätverksgateway är konfigurerad som aktiv-aktiv.

Kan jag har överlappande adressutrymmen för konfigurationer mellan virtuella nätverk?

Nej. Du kan inte ha överlappande IP-adressintervall.

Får det finnas överlappande adressutrymmen i anslutna virtuella nätverk och på lokala platser?

Nej. Du kan inte ha överlappande IP-adressintervall.

Hur gör jag för att aktivera routning mellan min plats-till-plats VPN-anslutning och min ExpressRoute?

Om du vill aktivera routning mellan din gren som är ansluten till ExpressRoute och din gren som är ansluten till en plats-till-plats-VPN-anslutning måste du konfigurera Azure Route Server.

Kan jag använda Azures VPN-gateway till att överföra trafik mellan mina lokala platser eller till ett annat virtuellt nätverk?

Distributionsmodell för Resource Manager
Ja. Mer information finns i avsnittet om BGP.

Klassisk distributionsmodell
Överföringstrafik via Azures VPN-gateway är möjlig med den klassiska distributionsmodellen, men den förlitar sig på statiska definierade adressutrymmen i nätverkskonfigurationsfilen. BGP stöds ännu inte med Azure Virtual Networks och VPN-gatewayer med den klassiska distributionsmodellen. Utan BGP är manuellt definierade överföringsadressutrymmen mycket felbenägna och rekommenderas inte.

Genererar Azure samma i förväg delade IPsec/IKE-nyckel för alla mina VPN-anslutningar för samma virtuella nätverk?

Nej, Azure genererar som standard olika nycklar för olika VPN-anslutningar. Du kan dock använda REST-API:et Set VPN Gateway Key eller PowerShell-cmdleten för att ange det nyckelvärde du föredrar. Nyckeln MÅSTE endast innehålla utskrivbara ASCII-tecken förutom blanksteg, bindestreck (-) eller tilde (~).

Får jag mer bandbredd med fler plats-till-plats-VPN än för ett enda virtuellt nätverk?

Nej, alla VPN-tunnlar, inklusive punkt-till-plats-VPN, delar samma Azure VPN-gateway och den tillgängliga bandbredden.

Kan jag konfigurera flera tunnlar mellan mitt virtuella nätverk och min lokala plats med hjälp av multisite-VPN?

Ja, men du måste konfigurera BGP för båda tunnlarna till samma plats.

Uppfyller Azure VPN Gateway as Path-prepending för att påverka routningsbeslut mellan flera anslutningar till mina lokala platser?

Ja, Azure VPN-gatewayen respekterar as path prepending för att fatta routningsbeslut när BGP är aktiverat. En kortare AS-sökväg föredras i BGP-sökvägsval.

Kan jag använda egenskapen RoutingWeight när jag skapar en ny VPN VirtualNetworkGateway-anslutning?

Nej, den här inställningen är reserverad för ExpressRoute-gatewayanslutningar. Om du vill påverka routningsbeslut mellan flera anslutningar måste du använda väntande AS-sökväg.

Kan jag använda punkt-till-plats-VPN med mitt virtuella nätverk med flera VPN-tunnlar?

Ja, punkt-till-plats-VPN(P2S) kan användas med VPN-gatewayer som ansluter till flera lokala platser och andra virtuella nätverk.

Kan jag ansluta ett virtuellt nätverk med IPsec-VPN:er till min ExpressRoute-krets?

Ja, det stöds. Mer information finns i Konfigurera ExpressRoute- och plats-till-plats-VPN-anslutningar som samexisterar.

IPsec/IKE-princip

Stöds anpassade IPsec/IKE-principer på alla Azure VPN Gateway-SKU: er?

Anpassad IPsec/IKE-princip stöds på alla Azure-SKU:er utom Basic SKU.

Hur många principer kan jag ställa in för en anslutning?

Du kan bara ange en principkombination för en viss anslutning.

Kan jag ange en partiell princip på en anslutning? (till exempel endast IKE-algoritmer, men inte IPsec)

Nej, du måste ange alla algoritmer och parametrar för både IKE (huvudläge) och IPsec (snabbläge). Partiell principspecifikation tillåts inte.

Vilka är de algoritmer och viktiga fördelar som stöds i den anpassade principen?

I följande tabell visas de kryptografiska algoritmer och nyckelstyrkor som du kan konfigurera. Du måste välja ett alternativ för varje fält.

IPsec/IKEv2 Alternativ
IKEv2-kryptering GCMAES256, GCMAES128, AES256, AES192, AES128
IKEv2 Integrity SHA384, SHA256, SHA1, MD5
DH-grupp DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec-kryptering GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-grupp PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA-livstid (Valfritt: standardvärden används om de inte anges)
Sekunder (heltal. min. 300/standard 27 000 sekunder)
Kilobyte (heltal. min. 1024/standard 102400000 kilobyte)
Trafikväljare UsePolicyBasedTrafficSelectors** ($True/$False; Valfritt, standard $False om det inte anges)
DPD-timeout Sekunder (heltal: min. 9/max. 3600; standard 45 sekunder)

  • Din lokala konfiguration för VPN-enheten måste stämma överens med eller innehålla följande algoritmer och parametrar som du anger på Azure IPsec/IKE-principen:

    • IKE-krypteringsalgoritm (huvudläge/fas 1)
    • IKE-integritetsalgoritm (huvudläge/fas 1)
    • DH-grupp (huvudläge/fas 1)
    • IPsec-krypteringsalgoritm (snabbläge/fas 2)
    • IPsec-integritetsalgoritm (snabbläge/fas 2)
    • PFS-grupp (snabbläge/fas 2)
    • Trafikväljare (om UsePolicyBasedTrafficSelectors används)
    • SA-livslängden är endast lokala specifikationer och behöver inte matchas.

  • Om GCMAES används som för IPsec Encryption-algoritmen måste du välja samma GCMAES-algoritm och nyckellängd för IPsec-integritet. till exempel att använda GCMAES128 för båda.

  • I tabellen Algoritmer och nycklar :

    • IKE motsvarar huvudläget eller fas 1.
    • IPsec motsvarar snabbläge eller fas 2.
    • DH-gruppen anger den Diffie-Hellman-grupp som används i huvudläget eller fas 1.
    • PFS-gruppen angav den Diffie-Hellman-grupp som används i snabbläge eller fas 2.

  • IKE Main Mode SA-livslängden är fast i 28 800 sekunder på Azure VPN-gatewayerna.

  • "UsePolicyBasedTrafficSelectors" är en valfri parameter för anslutningen. Om du ställer in UsePolicyBasedTrafficSelectors på $True på en anslutning konfigureras Azure VPN-gatewayen så att den ansluter till en principbaserad VPN-brandvägg lokalt. Om du aktiverar PolicyBasedTrafficSelectors måste du se till att VPN-enheten har de matchande trafikväljarna definierade med alla kombinationer av dina lokala nätverksprefix (lokal nätverksgateway) till/från prefixen för virtuella Azure-nätverk i stället för valfria. Azure VPN-gatewayen accepterar den trafikväljare som föreslås av den fjärranslutna VPN-gatewayen oavsett vad som är konfigurerat på Azure VPN-gatewayen.

    Om ditt prefix för det lokala nätverket är 10.1.0.0/16 och 10.2.0.0/16 och ditt prefix för det virtuella nätverket är 192.168.0.0/16 och 172.16.0.0/16, måste du ange följande trafik väljare:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    Mer information om principbaserade trafikväljare finns i Anslut flera lokala principbaserade VPN-enheter.

  • DPD-timeout – standardvärdet är 45 sekunder på Azure VPN-gatewayer. Om tidsgränsen anges till kortare perioder blir IKE mer aggressivt nyckelfärdigt, vilket gör att anslutningen verkar vara frånkopplad i vissa instanser. Detta kanske inte är önskvärt om dina lokala platser ligger längre bort från Den Azure-region där VPN-gatewayen finns, eller om det fysiska länkvillkoret kan medföra paketförlust. Den allmänna rekommendationen är att ange tidsgränsen mellan 30 och 45 sekunder.

Mer information finns i avsnittet Connect multiple on-premises policy-based VPN devices (Ansluta flera lokala principbaserade VPN-enheter).

Vilka Diffie-Hellman-grupper stöds?

I följande tabell visas motsvarande Diffie-Hellman-grupper som stöds av den anpassade principen:

Diffie-Hellman-grupp DHGroup PFSGroup Nyckellängd
1 DHGroup1 PFS1 768-bitars MODP
2 DHGroup2 PFS2 1024-bitars MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048-bitars MODP
19 ECP256 ECP256 256-bitars ECP
20 ECP384 ECP384 384-bitars ECP
24 DHGroup24 PFS24 2048-bitars MODP

Se RFC3526 och RFC5114 för mer information.

Ersätter den anpassade principen standardprincipuppsättningar för IPsec/IKE för Azure VPN-gatewayer?

Ja, när en anpassad princip har angetts på en anslutning kommer Azure VPN-gatewayen bara använda principen på anslutningen, både som IKE-initierare och IKE-responder.

Om jag tar bort en anpassad princip för IPsec/IKE, blir anslutningen mindre säker?

Nej, anslutningen kommer att skyddas av IPsec/IKE. När du tar bort den anpassade principen från en anslutning återgår Azure VPN-gatewayen till standardlistan med IPsec/IKE-förslag och startar om IKE-handskakningen med din lokala VPN-enhet.

Kan det störa VPN-anslutningen att lägga till eller uppdatera en IPsec/IKE-princip?

Ja, det kan uppstå ett kort avbrott (några sekunder) när Azure VPN-gatewayen bryter den befintliga anslutningen och startar om IKE-handskakningen för att återupprätta IPsec-tunneln med de nya krypteringsalgoritmerna och parametrarna. Kontrollera att din lokala VPN-enhet har konfigurerats med matchande algoritmer och nyckellängder för att minimera avbrottet.

Kan jag använda olika principer för olika anslutningar?

Ja. Anpassade principer tillämpats på per-anslutningbasis. Du kan skapa och tillämpa olika IPsec/IKE-principer på olika anslutningar. Du kan också välja att använda anpassade principer för en delmängd av anslutningar. Övriga principer använder de fördefinierade IPsec/IKE-principuppsättningarna i Azure.

Kan jag använda den anpassade principen på VNet-till-VNet-anslutningen?

Ja, du kan använda anpassade principen på både IPSec-anslutningar mellan lokala anslutningar eller VNet-till-VNet-anslutningar.

Behöver jag ange samma princip på båda resurserna för VNet-till-VNet-anslutningen?

Ja. En VNet-till-VNet-tunnel består av två anslutningsresurser i Azure, en för varje riktning. Kontrollera att båda anslutningsresurserna har samma princip, annars upprättas inte anslutningen mellan de virtuella nätverken.

Vad är standardvärdet för DPD-timeout? Kan jag ange en annan DPD-tidsgräns?

Standardtidsgränsen för DPD är 45 sekunder. Du kan ange ett annat DPD-timeoutvärde för varje IPsec- eller VNet-till-VNet-anslutning, från 9 sekunder till 3 600 sekunder.

Kommentar

Standardvärdet är 45 sekunder på Azure VPN-gatewayer. Om tidsgränsen anges till kortare perioder blir IKE mer aggressivt nyckelfärdigt, vilket gör att anslutningen verkar vara frånkopplad i vissa instanser. Detta kanske inte är önskvärt om dina lokala platser ligger längre bort från Den Azure-region där VPN-gatewayen finns, eller när det fysiska länkvillkoret kan medföra paketförlust. Den allmänna rekommendationen är att ange tidsgränsen mellan 30 och 45 sekunder.

Fungerar en anpassad IPsec/IKE-princip på ExpressRoute-anslutningen?

Nej. IPSec-/ princip fungerar bara på S2S VPN- och VNet-till-VNet-anslutningar via Azure VPN-gatewayer.

Hur gör jag för att skapa anslutningar med protokolltypen IKEv1 eller IKEv2?

IKEv1-anslutningar kan skapas på alla RouteBased VPN-typ-SKU:er, förutom Basic SKU, Standard SKU och andra äldre SKU:er. Du kan ange en anslutningsprotokolltyp för IKEv1 eller IKEv2 när du skapar anslutningar. Om du inte anger någon anslutningsprotokolltyp används IKEv2 som standardalternativ där så är tillämpligt. Mer information finns i PowerShell-cmdlet-dokumentationen. För SKU-typer och IKEv1/IKEv2-stöd, se Anslut gatewayer till principbaserade VPN-enheter.

Tillåts överföring mellan IKEv1- och IKEv2-anslutningar?

Ja. Överföring mellan IKEv1- och IKEv2-anslutningar stöds.

Kan jag ha IKEv1-plats-till-plats-anslutningar på grundläggande SKU:er av routningsbaserad VPN-typ?

Nej. Basic SKU stöder inte detta.

Kan jag ändra anslutningsprotokolltypen när anslutningen har skapats (IKEv1 till IKEv2 och vice versa)?

Nej. När anslutningen har skapats kan inte IKEv1/IKEv2-protokoll ändras. Du måste ta bort och återskapa en ny anslutning med önskad protokolltyp.

Varför återansluter min IKEv1-anslutning ofta?

Om din statiska routnings- eller routningsbaserade IKEv1-anslutning kopplas från med rutinintervall beror det sannolikt på att VPN-gatewayer inte stöder på plats-nycklar. När huvudläget är på nytt anslutet kopplas IKEv1-tunnlarna från och det tar upp till 5 sekunder att återansluta. Tidsgränsvärdet för förhandling i huvudläget avgör frekvensen för nyckelåterställningar. Om du vill förhindra dessa återanslutningar kan du växla till att använda IKEv2, som stöder på plats-nycklar.

Om anslutningen återansluts slumpmässigt följer du vår felsökningsguide.

Var hittar jag konfigurationsinformation och -steg?

Mer information och konfigurationssteg finns i följande artiklar.

BGP och routning

Stöds BGP på alla Azure VPN Gateway-SKU:er?

BGP stöds på alla Azure VPN Gateway-SKU:er utom Basic SKU.

Kan jag använda BGP med Azure Policy VPN-gatewayer?

Nej, BGP stöds endast på routningsbaserade VPN-gatewayer.

Vilka ASN:er (autonoma systemnummer) kan jag använda?

Du kan använda dina egna offentliga ASN:er eller privata ASN:er för både dina lokala nätverk och virtuella Azure-nätverk. Du kan inte använda de intervall som är reserverade av Azure eller IANA.

Följande ASN reserveras av Azure eller IANA:

  • ASN:er reserverade av Azure:

    • Offentliga ASN:er: 8074, 8075, 12076
    • Privata ASN:er: 65515, 65517, 65518, 65519, 65520

  • ASN reserverade av IANA:

    • 23456, 64496-64511, 65535-65551 och 429496729

Du kan inte ange dessa ASN:er för dina lokala VPN-enheter när du ansluter till Azure VPN-gatewayer.

Kan jag använda 32-bitars (4 byte) ASN?

Ja, VPN Gateway stöder nu 32-bitars (4 byte) ASN. Om du vill konfigurera med hjälp av ASN i decimalformat använder du PowerShell, Azure CLI eller Azure SDK.

Vilka privata ASN:er kan jag använda?

De användbara intervallen för privata ASN:er är:

  • 64512-65514 och 65521-65534

Dessa ASN:er är inte reserverade av IANA eller Azure för användning och kan därför användas för att tilldela till din Azure VPN-gateway.

Vilken adress använder VPN Gateway för BGP-peer-IP?

Som standard allokerar VPN Gateway en enda IP-adress från GatewaySubnet-intervallet för VPN-gatewayer i aktivt vänteläge eller två IP-adresser för aktiva vpn-gatewayer. Dessa adresser allokeras automatiskt när du skapar VPN-gatewayen. Du kan få den faktiska BGP-IP-adressen allokerad med hjälp av PowerShell eller genom att hitta den i Azure-portalen. I PowerShell använder du Get-AzVirtualNetworkGateway och letar efter egenskapen bgpPeeringAddress . I Azure-portalen går du till sidan Gatewaykonfiguration och tittar under egenskapen Konfigurera BGP ASN .

Om dina lokala VPN-routrar använder APIPA IP-adresser (169.254.x.x) som BGP IP-adresser måste du ange en eller flera Azure APIPA BGP IP-adresser på din Azure VPN-gateway. Azure VPN Gateway väljer de APIPA-adresser som ska användas med den lokala APIPA BGP-peer som anges i den lokala nätverksgatewayen eller den privata IP-adressen för en lokal BGP-peer som inte är APIPA. Mer information finns i Konfigurera BGP.

Vilka är kraven för BGP-peer-IP-adresserna på min VPN-enhet?

Din lokala BGP-peeradress får inte vara samma som vpn-enhetens offentliga IP-adress eller från VPN-gatewayens virtuella nätverksadressutrymme. Använd en annan IP-adress som BGP-peeradress på VPN-enheten. Det kan vara en adress som tilldelats loopback-gränssnittet på enheten (antingen en vanlig IP-adress eller en APIPA-adress). Om enheten använder en APIPA-adress för BGP måste du ange en eller flera APIPA BGP-IP-adresser på din Azure VPN-gateway enligt beskrivningen i Konfigurera BGP. Ange dessa adresser i motsvarande lokala nätverksgateway som representerar platsen.

Vad ska jag ange som adressprefix för den lokala nätverksgatewayen när jag använder BGP?

Viktigt!

Detta är en ändring från det tidigare dokumenterade kravet. Om du använder BGP för en anslutning lämnar du fältet Adressutrymme tomt för motsvarande lokala nätverksgatewayresurs. Azure VPN Gateway lägger till en värdväg internt till den lokala BGP-peer-IP-adressen via IPsec-tunneln. Lägg inte till vägen /32 i fältet Adressutrymme . Det är redundant och om du använder en APIPA-adress som den lokala VPN-enhetens BGP-IP kan den inte läggas till i det här fältet. Om du lägger till andra prefix i fältet Adressutrymme läggs de till som statiska vägar på Azure VPN-gatewayen, utöver de vägar som har lärts via BGP.

Kan jag använda samma ASN för både lokala VPN-nätverk och virtuella Azure-nätverk?

Nej, du måste tilldela olika ASN mellan dina lokala nätverk och dina virtuella Azure-nätverk om du ansluter dem tillsammans med BGP. Azure VPN-gatewayer har ett standard-ASN på 65515 tilldelat, oavsett om BGP är aktiverat eller inte för din lokala anslutning. Du kan åsidosätta den här standardinställningen genom att tilldela ett annat ASN när du skapar VPN-gatewayen, eller så kan du ändra ASN när gatewayen har skapats. Du måste tilldela dina lokala ASN:er till motsvarande lokala Azure-nätverksgatewayer.

Vilka adressprefix kommer Azure VPN-gatewayer att meddela mig?

Gatewayerna annonserar följande vägar till dina lokala BGP-enheter:

  • Adressprefix för det virtuella nätverket.
  • Adressprefix för varje lokal nätverksgateway som är ansluten till Azure VPN-gatewayen.
  • Vägar som har lärts från andra BGP-peeringsessioner som är anslutna till Azure VPN-gatewayen, förutom standardvägen eller vägarna som överlappar alla virtuella nätverksprefix.

Hur många prefix kan jag annonsera till Azure VPN Gateway?

Azure VPN Gateway stöder upp till 4 000 prefix. BGP-sessionen kommer att tas bort om antalet prefix överskrider gränsen.

Kan jag annonsera standardväg (0.0.0.0/0) till Azure VPN-gatewayer?

Ja. Observera att detta tvingar all utgående trafik för virtuella nätverk mot din lokala plats. Det förhindrar också att virtuella nätverksdatorer accepterar offentlig kommunikation direkt från Internet, till exempel RDP eller SSH från Internet till de virtuella datorerna.

Kan jag annonsera de exakta prefixen som mitt virtuella nätverksprefix?

Nej, annonsering av samma prefix som något av adressprefixen för ditt virtuella nätverk blockeras eller filtreras av Azure. Du kan dock annonsera ett prefix som är en superuppsättning av det du har i ditt virtuella nätverk.

Om ditt virtuella nätverk till exempel använde adressutrymmet 10.0.0.0/16 kan du annonsera 10.0.0.0/8. Men du kan inte annonsera 10.0.0.0/16 eller 10.0.0.0/24.

Kan jag använda BGP med mina anslutningar mellan virtuella nätverk?

Ja, du kan använda BGP för både lokala anslutningar och anslutningar mellan virtuella nätverk.

Kan jag blanda BGP- med icke-BGP-anslutningar för mina Azure VPN- gatewayer?

Ja, du kan blanda både BGP- och icke-BGP-anslutningar för samma Azure VPN-gateway.

Har Azure VPN Gateway stöd för BGP-överföringsroutning?

Ja, BGP-överföringsroutning stöds, med undantag för att Azure VPN-gatewayer inte annonserar standardvägar till andra BGP-peer-datorer. Om du vill aktivera överföringsroutning över flera Azure VPN-gatewayer måste du aktivera BGP på alla mellanliggande anslutningar mellan virtuella nätverk. Mer information finns i Om BGP.

Kan jag ha mer än en tunnel mellan en Azure VPN-gateway och mitt lokala nätverk?

Ja, du kan upprätta mer än en plats-till-plats-VPN-tunnel (S2S) mellan en Azure VPN-gateway och ditt lokala nätverk. Observera att alla dessa tunnlar räknas mot det totala antalet tunnlar för dina Azure VPN-gatewayer, och du måste aktivera BGP i båda tunnlarna.

Om du till exempel har två redundanta tunnlar mellan din Azure VPN-gateway och ett av dina lokala nätverk förbrukar de två tunnlar av den totala kvoten för din Azure VPN-gateway.

Kan jag ha flera tunnlar mellan två virtuella Azure-nätverk med BGP?

Ja, men minst en av dina virtuella nätverksgateways måste ha en aktiv-aktiv-konfiguration.

Kan jag använda BGP för S2S VPN i en azure ExpressRoute- och S2S VPN-samexistenskonfiguration?

Ja.

Vad bör jag lägga till på min lokala VPN-enhet för BGP-peeringsessionen?

Lägg till en värdväg för Azure BGP-peer-IP-adressen på vpn-enheten. Den här vägen pekar på IPsec S2S VPN-tunneln. Om Azure VPN-peer-IP till exempel är 10.12.255.30 lägger du till en värdväg för 10.12.255.30 med ett nästa hopp-gränssnitt för det matchande IPsec-tunnelgränssnittet på VPN-enheten.

Stöder den virtuella nätverksgatewayen BFD för S2S-anslutningar med BGP?

Nej. Dubbelriktad vidarebefordransidentifiering (BFD) är ett protokoll som du kan använda med BGP för att identifiera närliggande driftstopp snabbare än du kan med hjälp av standard BGP "keepalives". BFD använder tidsinställda undersekunder som är utformade för att fungera i LAN-miljöer, men inte över offentliga Internet- eller wide area-nätverksanslutningar.

För anslutningar via det offentliga Internet är det inte ovanligt att vissa paket fördröjs eller till och med tas bort, så att introducera dessa aggressiva timers kan öka instabiliteten. Den här instabiliteten kan orsaka att vägar dämpas av BGP. Alternativt kan du konfigurera din lokala enhet med timers som är lägre än standardintervallet, 60 sekunders "keepalive"-intervall och 180-sekunders holdtimer. Detta resulterar i en snabbare konvergenstid. Timers under standardintervallet "keepalive" på 60 sekunder eller under standardtidsintervallet på 180 sekunder är dock inte tillförlitliga. Vi rekommenderar att du behåller timers vid eller över standardvärdena.

Initierar Azure VPN-gatewayer BGP-peeringsessioner eller anslutningar?

Gatewayen initierar BGP-peeringsessioner till de lokala BGP-peer-IP-adresserna som anges i de lokala nätverksgatewayresurserna med hjälp av de privata IP-adresserna på VPN-gatewayerna. Detta gäller oavsett om de lokala BGP IP-adresserna finns i APIPA-intervallet eller vanliga privata IP-adresser. Om dina lokala VPN-enheter använder APIPA-adresser som BGP IP måste du konfigurera BGP-högtalaren för att initiera anslutningarna.

Kan jag konfigurera tvingad tunneltrafik?

Ja. Se Konfigurera tvingad tunneltrafik.

NAT

Stöds NAT på alla Azure VPN Gateway-SKU:er?

NAT stöds på VpnGw2~5 och VpnGw2AZ~5AZ.

Kan jag använda NAT på VNet-till-VNet- eller P2S-anslutningar?

Nej.

Hur många NAT-regler kan jag använda på en VPN-gateway?

Du kan skapa upp till 100 NAT-regler (ingress- och utgående regler tillsammans) på en VPN-gateway.

Kan jag använda/i ett NAT-regelnamn?

Nej. Du får ett felmeddelande.

Tillämpas NAT på alla anslutningar på en VPN-gateway?

NAT tillämpas på anslutningarna med NAT-regler. Om en anslutning inte har någon NAT-regel börjar NAT inte gälla för anslutningen. På samma VPN-gateway kan du ha vissa anslutningar med NAT och andra anslutningar utan att NAT fungerar tillsammans.

Vilka typer av NAT stöds på Azure VPN-gatewayer?

Endast statisk 1:1 NAT och dynamisk NAT stöds. NAT64 stöds INTE.

Fungerar NAT på aktiv-aktiva VPN-gatewayer?

Ja. NAT fungerar på både aktiva och aktiva VPN-gatewayer i vänteläge. Varje NAT-regel tillämpas på en enda instans av VPN-gatewayen. I aktiva-aktiva gatewayer skapar du en separat NAT-regel för varje gatewayinstans via fältet "IP-konfigurations-ID".

Fungerar NAT med BGP-anslutningar?

Ja, du kan använda BGP med NAT. Här följer några viktiga överväganden:

  • Välj Aktivera BGP-vägöversättning på konfigurationssidan för NAT-regler för att säkerställa att de inlärda vägarna och de annonserade vägarna översätts till adressprefix efter NAT (externa mappningar) baserat på NAT-reglerna som är associerade med anslutningarna. Du måste se till att de lokala BGP-routrarna annonserar de exakta prefixen enligt definitionen i IngressSNAT-reglerna.

  • Om den lokala VPN-routern använder vanlig, icke-APIPA-adress och den kolliderar med det virtuella nätverkets adressutrymme eller andra lokala nätverksutrymmen kontrollerar du att IngressSNAT-regeln översätter BGP-peer-IP till en unik, icke-överlappande adress och placerar adressen efter NAT i fältet BGP-peer-IP-adress i den lokala nätverksgatewayen.

  • NAT stöds inte med BGP APIPA-adresser.

Behöver jag skapa matchande DNAT-regler för SNAT-regeln?

Nej. En enda SNAT-regel definierar översättningen för båda riktningarna i ett visst nätverk:

  • En IngressSNAT-regel definierar översättningen av käll-IP-adresserna som kommer till Azure VPN-gatewayen från det lokala nätverket. Den hanterar även översättningen av mål-IP-adresserna som lämnar från det virtuella nätverket till samma lokala nätverk.

  • En EgressSNAT-regel definierar översättningen av IP-adresserna för den virtuella nätverkskällan som lämnar Azure VPN-gatewayen till lokala nätverk. Den hanterar också översättningen av mål-IP-adresserna för paket som kommer till det virtuella nätverket via dessa anslutningar med EgressSNAT-regeln.

  • I båda fallen behövs inga DNAT-regler .

Vad gör jag om adressutrymmet för mitt virtuella nätverk eller min lokala nätverksgateway har två eller flera prefix? Kan jag tillämpa NAT på dem alla? Eller bara en delmängd?

Du måste skapa en NAT-regel för varje prefix som du behöver NAT eftersom varje NAT-regel bara kan innehålla ett adressprefix för NAT. Om adressutrymmet för den lokala nätverksgatewayen till exempel består av 10.0.1.0/24 och 10.0.2.0/25 kan du skapa två regler enligt nedan:

  • IngressSNAT-regel 1: Mappa 10.0.1.0/24 till 100.0.1.0/24
  • IngressSNAT-regel 2: Mappa 10.0.2.0/25 till 100.0.2.0/25

De två reglerna måste matcha prefixlängderna för motsvarande adressprefix. Samma sak gäller för EgressSNAT-regler för adressutrymme för virtuella nätverk.

Viktigt!

Om du bara länkar en regel till anslutningen ovan översätts inte det andra adressutrymmet.

Vilka IP-intervall kan jag använda för extern mappning?

Du kan använda alla lämpliga IP-intervall som du vill för extern mappning, inklusive offentliga och privata IP-adresser.

Kan jag använda olika EgressSNAT-regler för att översätta mitt VNet-adressutrymme till olika prefix till olika lokala nätverk?

Ja, du kan skapa flera EgressSNAT-regler för samma VNet-adressutrymme och tillämpa EgressSNAT-reglerna på olika anslutningar.

Kan jag använda samma IngressSNAT-regel för olika anslutningar?

Ja, detta används vanligtvis när anslutningarna är för samma lokala nätverk för att tillhandahålla redundans. Du kan inte använda samma ingressregel om anslutningarna gäller för olika lokala nätverk.

Behöver jag både regler för ingress och utgående trafik för en NAT-anslutning?

Du behöver både regler för inkommande och utgående trafik på samma anslutning när det lokala nätverksadressutrymmet överlappar adressutrymmet för det virtuella nätverket. Om det virtuella nätverkets adressutrymme är unikt för alla anslutna nätverk behöver du inte EgressSNAT-regeln för dessa anslutningar. Du kan använda ingångsreglerna för att undvika adress överlappning mellan de lokala nätverken.

Vad väljer jag som "IP-konfigurations-ID"?

"IP-konfigurations-ID" är bara namnet på det IP-konfigurationsobjekt som du vill att NAT-regeln ska använda. Med den här inställningen väljer du helt enkelt vilken gateway offentlig IP-adress som gäller för NAT-regeln. Om du inte har angett något anpassat namn när gatewayen skapas tilldelas gatewayens primära IP-adress till IP-konfigurationen "standard" och den sekundära IP-adressen tilldelas till IP-konfigurationen "activeActive".

Anslutning på flera platser och virtuella datorer

Om min virtuella dator finns i ett virtuellt nätverk och jag har en anslutning mellan flera platser, hur ansluter jag då till den virtuella datorn?

Du har några alternativ att välja mellan. Om du har aktiverat RDP för din virtuella dator kan du ansluta till den genom att använda den privata IP-adressen. I detta fall anger du den privata IP-adressen och den port som du vill ansluta till (vanligtvis 3389). Du måste konfigurera porten på den virtuella datorn för trafiken.

Du kan också ansluta till den virtuella datorn med en privat IP-adress från en annan virtuell dator som finns i samma virtuella nätverk. Du kan inte använda RDP till den virtuella datorn med hjälp av den privata IP-adressen om du ansluter från en plats utanför det virtuella nätverket. Om du till exempel har konfigurerat ett virtuellt punkt-till-plats-nätverk och inte upprättar någon anslutning från datorn kan du inte ansluta till den virtuella datorn med en privat IP-adress.

Om min virtuella dator finns i ett virtuellt nätverk med flera platsanslutningar, går då all trafik från min virtuella dator via den anslutningen?

Nej. Bara den trafik som har ett mål-IP som finns i det virtuella nätverkets lokala nätverks-IP-adressintervall som du har angett passerar den virtuella nätverksgatewayen. Trafik med ett mål-IP som finns i det virtuella nätverket stannar kvar i det virtuella nätverket. Annan trafik skickas via lastbalanseraren till offentliga nätverk. Om tvingad tunneltrafik används skickas den via Azures VPN-gateway.

Hur felsöker jag en RDP-anslutning till en virtuell dator

Om du har problem med att ansluta till en virtuell dator via VPN-anslutningen kontrollerar du följande:

  • Kontrollera att VPN-anslutningen har genomförts.
  • Kontrollera att du ansluter till den virtuella datorns privata IP-adress.
  • Om du kan ansluta till den virtuella datorn med hjälp av den privata IP-adressen, men inte med namnet på datorn, kontrollerar du att du har konfigurerat DNS korrekt. Mer information om hur namnmatchningen fungerar för virtuella datorer finns i Namnmatchning för virtuella datorer.

Kontrollera följande funktioner när du ansluter via punkt-till-plats:

  • Använd "ipconfig" för att kontrollera den IPv4-adress som tilldelats Ethernet-adaptern på datorn som du ansluter från. Om IP-adressen ligger inom adressintervallet för det virtuella nätverk som du ansluter till, eller inom adressintervallet för vpnClientAddressPool, kallas detta för ett överlappande adressutrymme. När ditt adressutrymme överlappar på det här sättet når inte nätverkstrafiken Azure, utan stannar i det lokala nätverket.
  • Kontrollera att VPN-klientkonfigurationspaketet genererades efter att DNS-serverns IP-adresser har angetts för det virtuella nätverket. Om du uppdaterade IP-adresserna för DNS-servern skapar och installerar du ett nytt paket för VPN-klientkonfiguration.

Mer information om att felsöka en RDP-anslutning finns i Felsöka fjärrskrivbordsanslutningar till en virtuell dator.

Kundkontrollerat gatewayunderhåll

Vilka tjänster ingår i omfånget underhållskonfiguration för nätverksgatewayer?

Omfånget Nätverksgatewayer innehåller gatewayresurser i nätverkstjänster. Det finns fyra typer av resurser i omfånget Nätverksgatewayer:

  • Virtuell nätverksgateway i ExpressRoute-tjänsten.
  • Virtuell nätverksgateway i VPN Gateway-tjänsten.
  • VPN-gateway (plats-till-plats) i Virtual WAN-tjänsten.
  • ExpressRoute-gateway i Virtual WAN-tjänsten.

Vilket underhåll stöds eller stöds inte av kundkontrollerat underhåll?

Azure-tjänster genomgår regelbundna underhållsuppdateringar för att förbättra funktioner, tillförlitlighet, prestanda och säkerhet. När du har konfigurerat en underhållsperiod för dina resurser utförs underhåll av gästoperativsystem och tjänster under det fönstret. Värduppdateringar utöver värduppdateringarna (TOR, Power osv.) och kritiska säkerhetsuppdateringar omfattas inte av det kundkontrollerade underhållet.

Kan jag få ett avancerat meddelande om underhållet?

För närvarande kan avancerade meddelanden inte aktiveras för underhåll av Network Gateway-resurser.

Kan jag konfigurera en underhållsperiod som är kortare än fem timmar?

För närvarande måste du konfigurera minst ett femtimmarsfönster i önskad tidszon.

Kan jag konfigurera ett annat underhållsfönster än dagligt schema?

För närvarande måste du konfigurera ett dagligt underhållsperiod.

Finns det fall där jag inte kan kontrollera vissa uppdateringar?

Kundkontrollerat underhåll stöder uppdateringar av gästoperativsystem och tjänster. De här uppdateringarna står för de flesta underhållsobjekt som orsakar problem för kunderna. Vissa andra typer av uppdateringar, inklusive värduppdateringar, ligger utanför omfånget för kundkontrollerat underhåll.

Om det finns ett säkerhetsproblem med hög allvarlighetsgrad som kan äventyra våra kunder kan Azure dessutom behöva åsidosätta kundens kontroll över underhållsfönstret och push-överföra ändringen. Det här är sällsynta förekomster som endast skulle användas i extrema fall.

Måste underhållskonfigurationsresurser finnas i samma region som gatewayresursen?

Ja

Vilka gateway-SKU:er kan konfigureras för att använda kundkontrollerat underhåll?

Alla gateway-SKU:er (förutom Basic SKU för VPN Gateway) kan konfigureras för att använda kundkontrollerat underhåll.

Hur lång tid tar det innan underhållskonfigurationsprincipen börjar gälla när den har tilldelats till gatewayresursen?

Det kan ta upp till 24 timmar innan Nätverksgatewayer följer underhållsschemat när underhållsprincipen är associerad med gatewayresursen.

Finns det några begränsningar för att använda kundkontrollerat underhåll baserat på den offentliga IP-adressen för Basic SKU?

Ja. Gatewayresurser som använder en offentlig IP-adress för grundläggande SKU kan bara få tjänstuppdateringar enligt det kundkontrollerade underhållsschemat. För dessa gatewayer följer underhåll av gästoperativsystem INTE det kundkontrollerade underhållsschemat på grund av infrastrukturbegränsningar.

Hur ska jag planera underhållsperioder när jag använder VPN och ExpressRoute i ett samexistensscenario?

När du arbetar med VPN och ExpressRoute i ett samexistensscenario eller när du har resurser som fungerar som säkerhetskopior rekommenderar vi att du konfigurerar separata underhållsperioder. Den här metoden säkerställer att underhåll inte påverkar dina säkerhetskopieringsresurser samtidigt.

Jag har schemalagt ett underhållsperiod för ett framtida datum för en av mina resurser. Kommer underhållsaktiviteter att pausas på den här resursen tills dess?

Nej, underhållsaktiviteter pausas inte på resursen under perioden före det schemalagda underhållsfönstret. Under de dagar som inte omfattas av underhållsschemat fortsätter underhållet som vanligt på resursen.

Hur gör jag för att ta reda på mer om kundkontrollerat gatewayunderhåll?

Mer information finns i artikeln om kundkontrollerat gatewayunderhåll för VPN Gateway.

Nästa steg

"OpenVPN" är ett varumärke som tillhör OpenVPN Inc.