VPN Gateway SSS

Sanal ağlara bağlanma

Farklı Azure bölgelerinde sanal ağlara bağlanabilir miyim?

Evet. Bölge kısıtlaması yoktur. Bir sanal ağ aynı bölgedeki veya farklı bir Azure bölgesindeki başka bir sanal ağa bağlanabilir.

Farklı aboneliklerle sanal ağlara bağlanabilir miyim?

Evet.

VPN ağ geçidi yapılandırırken sanal ağımda özel DNS sunucuları belirtebilir miyim?

Sanal ağınızı oluştururken bir DNS sunucusu veya sunucu belirttiyseniz, VPN Gateway belirttiğiniz DNS sunucularını kullanır. Bir DNS sunucusu belirtirseniz, DNS sunucunuzun Azure için gereken etki alanı adlarını çözümleyebildiğini doğrulayın.

Tek bir sanal ağdan birden çok siteye bağlanabilir miyim?

Windows PowerShell ve Azure REST API'lerini kullanarak birden çok siteye bağlanabilirsiniz. Çok siteli ve VNet - VNet Bağlantı SSS bölümüne bakın.

VPN ağ geçidini etkin-etkin olarak ayarlamanın ek bir maliyeti var mı?

Hayır.

Şirket içi ve dışı bağlantı seçeneklerim nelerdir?

Aşağıdaki şirket içi ve dışı sanal ağ geçidi bağlantıları desteklenir:

  • Siteden siteye: IPsec üzerinden VPN bağlantısı (IKE v1 ve IKE v2). Bu bağlantı türüne şirket içi bir VPN cihazı ya da RRAS gerekir. Daha fazla bilgi için bkz . Siteden siteye.
  • Noktadan siteye: SSTP (Güvenli Yuva Tünel Protokolü) veya IKE v2 üzerinden VPN bağlantısı. Bu bağlantı bir VPN cihazı gerektirmez. Daha fazla bilgi için bkz. Noktadan siteye.
  • Sanal Ağdan Sanal Ağa: Bu bağlantı türü siteden siteye yapılandırmayla aynıdır. VNet - VNet, IPsec üzerinden (IKE v1 ve IKE v2) bir VPN bağlantısıdır. Vpn cihazı gerektirmez. Daha fazla bilgi için bkz. Sanal Ağdan Sanal Ağa.
  • Çoklu Site: Bu, birden çok şirket içi siteyi bir sanal ağa bağlamanızı sağlayan siteden siteye yapılandırmanın bir çeşitlemesidir. Daha fazla bilgi için bkz. Çok Siteli.
  • ExpressRoute: ExpressRoute, genel İnternet üzerinden vpn bağlantısı değil WAN'ınızdan Azure'a özel bir bağlantıdır. Daha fazla bilgi için bkz. ExpressRoute’a Teknik Genel Bakış ve ExpressRoute SSS.

VPN Gateway bağlantıları hakkında daha fazla bilgi için bkz. VPN Gateway Hakkında.

Siteden siteye bağlantı ile noktadan siteye bağlantı arasındaki fark nedir?

Siteden siteye (IPsec/IKE VPN tüneli) yapılandırmaları, şirket içi konumunuzla Azure arasında yer alır. Diğer bir deyişle, şirket içinde yer alan bilgisayarlarla sanal makineler arasında ya da yönlendirme ve izin yapılandırmayı nasıl seçtiğinize bağlı olarak sanal ağınızdaki rol örneği ile bağlantı kurabilirsiniz. Her zaman kullanılabilir bir şirket içi ve dışı bağlantı için harika bir seçenektir ve karma yapılandırmalar için çok uygundur. Bu tür bir bağlantı; ağınıza ucuna dağıtılmış olması gereken IPsec VPN uygulamasına bağlıdır (donanım cihazı veya yazılım aracı). Bu tür bir bağlantı oluşturmak için, dışarıdan bakan bir IPv4 adresiniz olmalıdır.

Noktadan siteye (SSTP üzerinden VPN) yapılandırmaları, tek bir bilgisayardan sanal ağınızda bulunan her şeye her yerden bağlanmanızı sağlar. Windows yerleşik VPN istemcisi kullanır. Noktadan siteye yapılandırmanın bir parçası olarak, bilgisayarınızın sanal ağdaki herhangi bir sanal makineye veya rol örneğine bağlanmasına izin veren ayarları içeren bir sertifika ve VPN istemcisi yapılandırma paketi yüklersiniz. Şirket içi olmayan sanal ağa bağlanmak istediğinizde çok yararlıdır. VPN donanımına veya dışarıdan bakan bir IPv4 adresine erişiminiz olmadığında da iyi bir seçenektir; her ikisi de siteden siteye bağlantı için gereklidir.

Ağ geçidiniz için rota tabanlı bir VPN türü kullanarak siteden siteye bağlantınızı oluşturduğunuz sürece sanal ağınızı hem siteden siteye hem de noktadan siteye eşzamanlı olarak kullanacak şekilde yapılandırabilirsiniz. Rota tabanlı VPN türlerine klasik dağıtım modelinde dinamik ağ geçitleri adı verilir.

Gizlilik

VPN hizmeti müşteri verilerini depolar veya işler mi?

Hayır.

Sanal ağ geçitleri

VPN ağ geçidi bir sanal ağ geçidi midir?

VPN ağ geçidi bir sanal ağ geçidi türüdür. VPN ağ geçidi, şifrelenmiş trafiği bir genel bağlantı üzerinden sanal ağınız ile şirket içi konumunuz arasında gönderir. Sanal ağlar arasında trafik göndermek için de VPN ağ geçidi kullanabilirsiniz. Bir VPN ağ geçidi oluştururken 'Vpn' -GatewayType değerini kullanın. Daha fazla bilgi için bkz. VPN Gateway yapılandırma ayarları hakkında.

İlke tabanlı (statik yönlendirme) ağ geçidi nedir?

İlke tabanlı ağ geçitleri, ilke tabanlı VPN'leri uygular. İlke temelli VPN'ler, şirket içi ağınızla Azure VNet'iniz arasında adres öneklerinin birleşimleri temelindeki IPsec tüneller üzerinden paketleri şifreler ve yönlendirirler. İlke (veya Trafik Seçici) çoğunlukla VPN yapılandırmasında bir erişim listesi olarak tanımlanır.

Rota tabanlı (dinamik yönlendirme) ağ geçidi nedir?

Rota tabanlı ağ geçitleri yol tabanlı VPN'leri uygular. Rota temelli VPN'ler, paketleri kendi ilgili arabirimlerine yönlendirmek için IP iletme veya yönlendirme tablosunda "yolları" seçeneğini kullanır. Bundan sonra tünel arabirimleri, paketleri tünellerin içinde veya dışında şifreler veya şifrelerini çözer. Rota tabanlı VPN'ler için ilke veya trafik seçicileri herhangi bir noktadan herhangi birine (veya joker karakterler) olarak yapılandırılır.

Kendi ilke tabanlı trafik seçicilerimi belirtebilir miyim?

Evet, trafik seçicileri New-AzIpsecTrafficSelectorPolicy PowerShell komutu aracılığıyla bir bağlantıdaki trafficSelectorPolicies özniteliği aracılığıyla tanımlanabilir. Belirtilen trafik seçicinin etkili olması için İlke Tabanlı Trafik Seçicilerini Kullan seçeneğinin etkinleştirildiğinden emin olun.

Özel olarak yapılandırılmış trafik seçicileri yalnızca bir Azure VPN ağ geçidi bağlantıyı başlattığında önerilecektir. VPN ağ geçidi, uzak ağ geçidi (şirket içi VPN cihazı) tarafından önerilen tüm trafik seçicilerini kabul eder. Bu davranış tüm bağlantı modları (Default, InitiatorOnly ve ResponderOnly) arasında tutarlıdır.

İlke tabanlı VPN ağ geçidimi rota tabanlı olarak güncelleştirebilir miyim?

Hayır. Ağ geçidi türü, ilke tabanlıdan rota tabanlıya veya rota tabanlıdan ilke tabanlıya değiştirilemez. Ağ geçidi türünü değiştirmek için ağ geçidinin silinmesi ve yeniden oluşturulması gerekir. Bu işlem yaklaşık 60 dakika sürer. Yeni ağ geçidini oluşturduğunuzda, özgün ağ geçidinin IP adresini tutamazsınız.

  1. Ağ geçidiyle ilişkili tüm bağlantıları silin.

  2. Aşağıdaki makalelerden birini kullanarak ağ geçidini silin:

  3. İstediğiniz ağ geçidi türünü kullanarak yeni bir ağ geçidi oluşturun ve vpn kurulumunu tamamlayın. Adımlar için siteden siteye öğreticisine bakın.

'GatewaySubnet' gerekli mi?

Evet. Ağ geçidi alt ağı, sanal ağ geçidi hizmetlerinin kullandığı IP adreslerini içerir. Bir sanal ağ geçidi yapılandırmak için sanal ağınıza yönelik bir ağ geçidi alt ağı oluşturmanız gerekir. Tüm ağ geçidi alt ağlarının düzgün çalışması için GatewaySubnet şeklinde adlandırılması gerekir. Ağ geçidi alt ağını başka şekilde adlandırmayın. VM’leri veya herhangi başka bir şeyi de ağ geçidi alt ağına dağıtmayın.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Ağ geçidi alt ağındaki IP adresleri, ağ geçidi hizmetine ayrılır. Bazı yapılandırmalar, ağ geçidi hizmetlerine daha fazla IP adresi ayrılmasını gerektirir. Gelecekteki büyümeye ve meydana gelebilecek diğer yeni bağlantı yapılandırmalarına uyum sağlaması için ağ geçidi alt ağınızın yeterince IP adresi içerdiğinden emin olmanız gerekir. Bu nedenle, /29 kadar küçük bir ağ geçidi alt ağı oluşturmanız mümkün olsa da /27 veya daha büyük bir (/27, /26, /25 vb.) ağ geçidi alt ağı oluşturmanız önerilir. Oluşturmak istediğiniz yapılandırmanın gereksinimlerine bakın ve sahip olduğunuz ağ geçidi alt ağının bu gereksinimleri karşıladığından emin olun.

Sanal Makineleri veya rol örneklerini ağ geçidi alt ağıma dağıtabilir miyim?

Hayır.

Oluşturmadan önce VPN ağ geçidi IP adresimi alabilir miyim?

Alanlar arası yedekli ve bölgesel ağ geçitleri (adında AZ bulunan ağ geçidi SKU'ları) standart bir SKU Azure genel IP kaynağına dayanır. Azure Standart SKU genel IP kaynakları statik ayırma yöntemi kullanmalıdır. Bu nedenle, vpn ağ geçidiniz için kullanmak istediğiniz Standart SKU genel IP kaynağını oluşturur oluşturmaz genel IP adresine sahip olursunuz.

Alanlar arası yedekli olmayan ve bölgesel olmayan ağ geçitleri (adında AZolmayan ağ geçidi SKU'ları) için, oluşturulmadan önce VPN ağ geçidi IP adresini alamazsınız. IP adresi yalnızca VPN ağ geçidinizi silip yeniden oluşturursanız değişir.

VPN ağ geçidim için bir Statik Genel IP adresi isteğinde bulunabilir miyim?

Alanlar arası yedekli ve bölgesel ağ geçitleri (adında AZ bulunan ağ geçidi SKU'ları) standart bir SKU Azure genel IP kaynağına dayanır. Azure Standart SKU genel IP kaynakları statik ayırma yöntemi kullanmalıdır.

Alanlar arası yedekli olmayan ve bölgesel olmayan ağ geçitleri (adında AZolmayan ağ geçidi SKU'ları) için yalnızca dinamik IP adresi ataması desteklenir. Ancak bu, IP adresinin VPN ağ geçidinize atandıktan sonra değiştiği anlamına gelmez. VPN ağ geçidi IP adresinin değiştirildiği tek zaman, ağ geçidinin silinip yeniden oluşturulmasıdır. VPN ağ geçidinizin diğer iç bakım ve yükseltmelerini yeniden boyutlandırdığınızda, sıfırladığınızda veya tamamladığınızda VPN ağ geçidi genel IP adresi değişmez.

VPN tünelimin kimliği nasıl doğrulanır?

Azure VPN PSK (Önceden Paylaşılan Anahtar) kimlik doğrulamasını kullanır. VPN tüneli oluşturduğumuzda önceden paylaşılan anahtar (PSK) oluştururuz. Önceden Paylaşılan Anahtarı Ayarla PowerShell cmdlet'i veya REST API'siyle otomatik oluşturulan PSK'yi kendi PSK'niz olarak değiştirebilirsiniz.

Önceden Paylaşılan Anahtar API’sini Ayarla’yı ilke tabanlı (statik yönlendirme) ağ geçidi VPN’mi yapılandırmak için kullanabilir miyim?

Evet, Önceden Paylaşılan Anahtar API’sini ve PowerShell cmdlet’ini Ayarla, hem Azure ilke tabanlı (statik) VPN'ler, hem de rota tabanlı (dinamik) yönlendirme VPN'leri yapılandırmak için kullanılabilir.

Diğer kimlik doğrulama seçeneklerini kullanabilir miyim?

Kimlik doğrulaması için önceden paylaşılan anahtarları (PSK) kullanmakla sınırlıyız.

VPN ağ geçidime hangi trafiğin gideceğini nasıl belirtirim?

Resource Manager dağıtım modeli

  • PowerShell: yerel ağ geçidinize ait trafiği belirtmek için "AddressPrefix" kullanın.
  • Azure portal: Yerel ağ geçidine > gidin Yapılandırma > Adresi alanı.

Klasik dağıtım modeli

  • Azure portal: Klasik sanal ağa > gidin VPN bağlantıları > Siteden siteye VPN bağlantıları > Yerel site adı > Yerel site > İstemci adres alanı.

VPN bağlantılarımda NAT-T kullanabilir miyim?

Evet, NAT geçişi (NAT-T) desteklenir. Azure VPN Gateway, IPsec tünellerine/tünellerinden gelen iç paketlerde NAT benzeri işlevler gerçekleştirmeZ. Bu yapılandırmada, şirket içi cihazın IPSec tünelini başlattığından emin olun.

Azure'da kendi VPN sunucumu kurup bu sunucuyu şirket içi ağıma bağlanmak üzere kullanabilir miyim?

Evet, Azure’de kendi VPN ağ geçitlerinizi veya sunucularınızı ister Azure Market’ten, ister kendi VPN yönlendiricilerinizi oluşturarak dağıtabilirsiniz. Trafiğin şirket içi ağlarınızla sanal ağ alt ağları arasında düzgün yönlendirildiğinden emin olmak için sanal ağınızda kullanıcı tanımlı yollar yapılandırmanız gerekir.

Sanal ağ geçidimde belirli bağlantı noktaları neden açılıyor?

Bunlar Azure altyapı iletişimi için gereklidir. Azure sertifikaları tarafından korunur (kilitlenir). Uygun sertifikalar olmadan, bu ağ geçitlerinin müşterileri de dahil olmak üzere dış varlıklar bu uç noktalar üzerinde herhangi bir etkiye neden olamaz.

Sanal ağ geçidi temelde bir NIC'nin müşteri özel ağına, bir NIC'nin de genel ağa dönük olduğu çok girişli bir cihazdır. Azure altyapı varlıkları uyumluluk nedeniyle müşteri özel ağlarına bağlanamaz, bu nedenle altyapı iletişimi için genel uç noktaları kullanmaları gerekir. Ortak uç noktalar düzenli aralıklarla Azure güvenlik denetimi tarafından taranır.

Ağ geçidi türleri, gereksinimleri ve verimliliği hakkında daha fazla bilgi

Daha fazla bilgi için bkz. VPN Gateway yapılandırma ayarları hakkında.

Siteden siteye bağlantılar ve VPN cihazları

VPN cihazını seçerken nelere dikkat etmeliyim?

Cihaz satıcılarıyla ortaklaşa bir dizi standart siteden siteye VPN cihazı olduğunu doğruladık. Bilinen uyumlu VPN cihazlarının listesi, ilgili yapılandırma yönergeleri veya örnekleri ve cihaz özellikleri listesi VPN cihazları hakkında makalesinde bulunabilir. Bilinen uyumlu olarak listelenen cihaz ailelerindeki tüm cihazlar Virtual Network ile çalışmalıdır. VPN cihazınızı yapılandırmaya yardım için uygun cihaz ailesine karşılık gelen cihaz yapılandırma örneğine veya bağlantılara bakın.

VPN cihazı yapılandırma ayarlarını nerede bulabilirim?

VPN cihazı yapılandırma betiklerini indirmek için

Sahip olduğunuz VPN cihazına bağlı olarak, bir VPN cihazı yapılandırma betiğini indirebilirsiniz. Daha fazla bilgi için bkz. VPN cihazı yapılandırma betiklerini indirme.

Ek yapılandırma bilgileri için aşağıdaki bağlantılara bakın:

VPN cihazı yapılandırma örneklerini nasıl düzenleyebilirim?

Cihaz yapılandırma örneklerini düzenleme hakkında daha fazla bilgi için bkz. Örnekleri düzenleme.

IPsec ve IKE parametrelerini nerede bulabilirim?

IPsec/IKE parametreleri için bkz. Parametreler.

Trafik boştayken neden ilke tabanlı VPN tünelim kayboluyor?

İlke tabanlı (statik rota olarak da bilinir) VPN Ağ geçitleri için bu beklenen bir davranıştır. tünel üzerindeki trafik 5 dakikadan fazla boşta kalırsa tünel bozulur. Herhangi bir yönde trafik akışı başladığında tünel hemen yeniden başlatılır.

Azure'e bağlanmak için VPN'ler yazılımını kullanabilir miyim?

Siteler arası şirket içi yapılandırma için Windows Server 2012 Yönlendirme ve Uzaktan Erişim (RRAS) sunucularını destekliyoruz.

Endüstri standardı IPsec uygulamalarıyla uyumlu olana kadar diğer yazılım VPN çözümleri bizim ağ geçidimizle çalışmalıdır. Yapılandırma ve destek hakkında yönergeler için yazılım satıcısına başvurun.

Etkin siteden siteye bağlantısı olan bir Sitede bulunduğumda noktadan siteye vpn ağ geçidine bağlanabilir miyim?

Evet, ancak noktadan siteye istemcinin Genel IP adreslerinin siteden siteye VPN cihazı tarafından kullanılan Genel IP adreslerinden farklı olması gerekir, aksi halde noktadan siteye bağlantı çalışmaz. IKEv2 ile noktadan siteye bağlantılar, aynı Azure VPN ağ geçidinde siteden siteye VPN bağlantısının yapılandırıldığı aynı Genel IP adreslerinden başlatılamaz.

Noktadan siteye - Sertifika kimlik doğrulaması

Bu bölüm Resource Manager dağıtım modeli için geçerlidir.

Noktadan siteye yapılandırmamda kaç VPN istemci uç noktası olabilir?

Ağ geçidi SKU'sunun durumuna bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için bkz . Ağ Geçidi SKU'ları.

Noktadan siteye ile hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:

  • Windows Server 2008 R2 (yalnızca 64 bit)
  • Windows 8.1 (32 bit ve 64 bit)
  • Windows Server 2012 (yalnızca 64 bit)
  • Windows Server 2012 R2 (yalnızca 64 bit)
  • Windows Server 2016 (yalnızca 64 bit)
  • Windows Server 2019 (yalnızca 64 bit)
  • Windows Server 2022 (yalnızca 64 bit)
  • Windows 10
  • Windows 11
  • macOS sürüm 10.11 veya üzeri
  • Linux (StrongSwan)
  • iOS

Proxy'leri ve güvenlik duvarlarını noktadan siteye özelliğini kullanarak çapraz geçiş yapabilir miyim?

Azure üç tür Noktadan siteye VPN seçeneğini destekler:

  • Güvenli Yuva Tünel Protokolü (SSTP). SSTP, çoğu güvenlik duvarı 443 SSL'nin kullandığı giden TCP bağlantı noktasını açtığından güvenlik duvarlarına nüfuz edebilen Microsoft'a özel ssl tabanlı bir çözümdür.

  • Openvpn. Çoğu güvenlik duvarı 443 SSL tarafından kullanılan giden TCP bağlantı noktasını açtığından OpenVPN, güvenlik duvarlarına nüfuz eden SSL tabanlı bir çözümdür.

  • IKEv2 VPN. IKEv2 VPN, 500 ve 4500 giden UDP bağlantı noktalarını ve 50 numaralı IP protokollerini kullanan standartlara dayalı bir IPsec VPN çözümüdür. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz, bu nedenle IKEv2 VPN'nin proxy'leri ve güvenlik duvarlarını geçememe olasılığı vardır.

Noktadan siteye için yapılandırılmış bir istemci bilgisayarı yeniden başlatırsam VPN otomatik olarak yeniden bağlanır mı?

Otomatik yeniden bağlanma, kullanılan istemcinin bir işlevidir. Windows , Always On VPN istemcisi özelliğini yapılandırarak otomatik yeniden bağlanmayı destekler.

Noktadan siteye VPN istemcilerinde DDNS'yi destekliyor mu?

DDNS şu anda noktadan siteye VPN'lerde desteklenmemektedir.

Siteden Siteye ve noktadan siteye yapılandırmalarının aynı sanal ağ için birlikte var olmasını sağlayabilir miyim?

Evet. Resouce Manager dağıtım modeli için, ağ geçidiniz için RouteBased VPN türü olmalıdır. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir. Statik yönlendirme VPN ağ geçitleri veya PolicyBased VPN ağ geçitleri için noktadan siteye desteğimiz yoktur.

Bir noktadan siteye istemciyi birden çok sanal ağ geçidine aynı anda bağlanacak şekilde yapılandırabilir miyim?

Kullanılan VPN İstemcisi yazılımına bağlı olarak, bağlı olan sanal ağların aralarında veya istemcinin bağlanıldığı ağ arasında çakışan adres boşlukları olmadığı sürece birden çok Sanal Ağ Ağ Geçidine bağlanabilirsiniz. Azure VPN İstemcisi birçok VPN bağlantısını desteklese de, herhangi bir anda yalnızca bir bağlantı Bağlanabilir.

Noktadan siteye istemciyi aynı anda birden çok sanal ağa bağlanacak şekilde yapılandırabilir miyim?

Evet, diğer sanal ağlarla eşlenen bir sanal ağda dağıtılan bir sanal ağ geçidine yönelik noktadan siteye istemci bağlantılarının diğer eşlenen sanal ağlara erişimi olabilir. noktadan siteye istemciler, eşlenen sanal ağlar UseRemoteGateway / AllowGatewayTransit özelliklerini kullandığı sürece eşlenmiş sanal ağlara bağlanabilir. Daha fazla bilgi için bkz. Noktadan siteye yönlendirme hakkında.

Siteden Siteye veya noktadan siteye bağlantılar aracılığıyla ne kadar aktarım hızı bekleyebilirsiniz?

VPN tünellerinin tam verimini elde etmek zordur. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir. Verimlilik, şirket içi ve İnternet arasındaki bant genişliğiyle ve gecikme süresiyle de sınırlıdır. Yalnızca IKEv2 noktadan siteye VPN bağlantıları olan bir VPN Gateway için, bekleyebileceğiniz toplam aktarım hızı Ağ Geçidi SKU'sunun durumuna bağlıdır. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ geçidi SKU’ları.

Noktadan siteye SSTP ve/veya IKEv2'yi destekleyen herhangi bir yazılım VPN istemcisini kullanabilir miyim?

Hayır. SSTP için yalnızca Windows’daki yerel VPN istemcisini ve IKEv2 için yalnızca Mac’teki yerel VPN istemcisini kullanabilirsiniz. Ancak, OpenVPN protokolü üzerinden bağlanmak için tüm platformlarda OpenVPN istemcisini kullanabilirsiniz. Desteklenen istemci işletim sistemlerinin listesine bakın.

Noktadan siteye bağlantı için kimlik doğrulama türünü değiştirebilir miyim?

Evet. Portalda VPN ağ geçidi -> Noktadan siteye yapılandırma sayfasına gidin. Kimlik doğrulama türü için kullanmak istediğiniz kimlik doğrulama türlerini seçin. Bir kimlik doğrulama türünde değişiklik yaptıktan sonra, her VPN istemcisine yeni bir VPN istemcisi yapılandırma profili oluşturulana, indirilene ve uygulanana kadar geçerli istemcilerin bağlanamayabileceğini unutmayın.

Azure Windows ile IKEv2 VPN destekler mi?

IKEv2, Windows 10 ve Server 2016’da desteklenir. Ancak, belirli işletim sistemi sürümlerinde IKEv2 kullanmak için güncelleştirmeleri yüklemeniz ve yerel olarak bir kayıt defteri anahtarı değeri ayarlamanız gerekir. Windows 10 öncesi işletim sistemi sürümleri desteklenmez ve yalnızca SSTP veya OpenVPN® Protokolü kullanabilir.

Not

Windows işletim sistemi, Windows 10 Sürüm 1709 ve Windows Server 2016 Sürüm 1607'den daha yeni derlemeler için bu adımlar gerekli değildir.

IKEv2 için Windows 10 ve Server 2016’yı hazırlamak için:

  1. İşletim sistemi sürümünüz temelinde güncelleştirmeyi yükleyin:

    İşletim sistemi sürümü Tarih Sayı/Bağlantı
    Windows Server 2016
    Windows 10 Sürüm 1607
    17 Ocak 2018 KB4057142
    Windows 10 Sürüm 1703 17 Ocak 2018 KB4057144
    Windows 10 Sürüm 1709 22 Mart 2018, Mart 2018, Mart 2018, Mart 2018, Mart KB4089848
  2. Kayıt defteri anahtar değerini ayarlayın. Kayıt defterinde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD anahtarını oluşturun veya 1 olarak ayarlayın.

Noktadan siteye bağlantılar için IKEv2 trafik seçici sınırı nedir?

Windows 10 sürüm 2004 (Eylül 2021'de yayımlandı) trafik seçici sınırı 255'e yükseltildi. Bundan önceki Windows sürümlerinde trafik seçici sınırı 25'tır.

Windows'daki trafik seçicileri sınırı, sanal ağınızdaki adres alanı sayısı üst sınırını ve yerel ağlarınızın maksimum toplamını, sanal ağlar arası bağlantıları ve ağ geçidine bağlı eşlenmiş sanal ağları belirler. Windows tabanlı noktadan siteye istemciler bu sınırı aşarsa IKEv2 üzerinden bağlanamaz.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırırsam ne olur?

Karma bir ortamda (Windows ve Mac cihazlarından oluşan) hem SSTP hem de IKEv2'yi yapılandırdığınızda, Windows VPN istemcisi her zaman önce IKEv2 tünelini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP'ye geri döner. MacOSX yalnızca IKEv2 üzerinden bağlanır.

Azure, P2S VPN için Windows ve Mac dışında hangi platformları destekliyor?

Azure, P2S VPN için Windows, Mac ve Linux'ı destekler.

Zaten dağıtılmış bir Azure VPN Gateway’im var. Bu ağ geçidi üzerinde RADIUS ve/veya IKEv2 VPN etkinleştirebilir miyim?

Evet, kullandığınız ağ geçidi SKU'su RADIUS ve/veya IKEv2'yi destekliyorsa, PowerShell veya Azure portal kullanarak zaten dağıttığınız ağ geçitlerinde bu özellikleri etkinleştirebilirsiniz. Temel SKU, RADIUS veya IKEv2'yi desteklemez.

P2S bağlantısının yapılandırmasını kaldırmak Nasıl yaparım??

P2S yapılandırması aşağıdaki komutlar kullanılarak Azure CLI ve PowerShell kullanılarak kaldırılabilir:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Sertifika kimlik doğrulaması kullanarak bağlanırken sertifika uyumsuzluğuyla karşılaşıyorsam ne yapmalıyım?

"Sertifikayı doğrulayarak sunucunun kimliğini doğrulayın" seçeneğinin işaretini kaldırın veya bir profili el ile oluştururken sunucu FQDN'sini sertifikayla birlikte ekleyin. Bunu yapmak için komut isteminden rasphone'u çalıştırabilir ve açılan listeden profili seçebilirsiniz.

Sunucu kimliği doğrulamasının atlanması genel olarak önerilmez, ancak Azure sertifika kimlik doğrulaması ile VPN tünel protokolünde (IKEv2/SSTP) ve EAP protokolünde sunucu doğrulaması için aynı sertifika kullanılır. Sunucu sertifikası ve FQDN vpn tünel protokolü tarafından zaten doğrulandığından, aynı şeyi EAP'de yeniden doğrulamak yedeklidir.

noktadan siteye kimlik doğrulaması

Noktadan Siteye bağlantı için sertifika oluşturmak üzere kendi iç PKI kök CA'mı kullanabilir miyim?

Evet. Önceden, yalnızca otomatik olarak imzalanan kök sertifikalar kullanılabiliyordu. 20 kök sertifika yükleyebilirsiniz.

Azure Key Vault sertifikalarını kullanabilir miyim?

Hayır.

Sertifikaları oluşturmak için hangi araçları kullanabilirim?

Kurumsal PKI çözümünüzü (dahili PKI'nizi), Azure PowerShell'i, MakeCert'i ve OpenSSL'yi kullanabilirsiniz.

Sertifika ayarları ve parametreler için yönergeler var mı?

  • Dahili PKI/Kurumsal PKI çözümü:Sertifikaları oluşturma adımlarına bakın.

  • Azure PowerShell: Adımlar için Azure PowerShell makalesine bakın.

  • MakeCert: Adımlar için MakeCert makalesine bakın.

  • Openssl:

    • Sertifikaları dışarı aktarırken kök sertifikayı Base64'e dönüştürdüğünüzden emin olun.

    • İstemci sertifikası için:

      • Özel anahtarı oluştururken uzunluğu 4096 olarak belirtin.
      • Sertifikayı oluştururken, -extensions parametresini usr_cert olarak belirtin.

Noktadan siteye - RADIUS kimlik doğrulaması

Bu bölüm Resource Manager dağıtım modeli için geçerlidir.

Noktadan siteye yapılandırmamda kaç VPN istemci uç noktası olabilir?

Ağ geçidi SKU'sunun durumuna bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için bkz. Ağ Geçidi SKU'ları.

Noktadan siteye hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:

  • Windows Server 2008 R2 (yalnızca 64 bit)
  • Windows 8.1 (32 bit ve 64 bit)
  • Windows Server 2012 (yalnızca 64 bit)
  • Windows Server 2012 R2 (yalnızca 64 bit)
  • Windows Server 2016 (yalnızca 64 bit)
  • Windows Server 2019 (yalnızca 64 bit)
  • Windows Server 2022 (yalnızca 64 bit)
  • Windows 10
  • Windows 11
  • macOS sürüm 10.11 veya üzeri
  • Linux (StrongSwan)
  • iOS

Proxy'leri ve güvenlik duvarlarını noktadan siteye özelliğini kullanarak çapraz geçiş yapabilir miyim?

Azure üç tür Noktadan siteye VPN seçeneğini destekler:

  • Güvenli Yuva Tünel Protokolü (SSTP). SSTP, çoğu güvenlik duvarı 443 SSL'nin kullandığı giden TCP bağlantı noktasını açtığından güvenlik duvarlarına nüfuz edebilen Microsoft'a özel ssl tabanlı bir çözümdür.

  • Openvpn. Çoğu güvenlik duvarı 443 SSL tarafından kullanılan giden TCP bağlantı noktasını açtığından OpenVPN, güvenlik duvarlarına nüfuz eden SSL tabanlı bir çözümdür.

  • IKEv2 VPN. IKEv2 VPN, 500 ve 4500 giden UDP bağlantı noktalarını ve 50 numaralı IP protokollerini kullanan standartlara dayalı bir IPsec VPN çözümüdür. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz, bu nedenle IKEv2 VPN'nin proxy'leri ve güvenlik duvarlarını geçememe olasılığı vardır.

Noktadan siteye için yapılandırılmış bir istemci bilgisayarı yeniden başlatırsam VPN otomatik olarak yeniden bağlanır mı?

Otomatik yeniden bağlanma, kullanılan istemcinin bir işlevidir. Windows , Always On VPN istemcisi özelliğini yapılandırarak otomatik yeniden bağlanmayı destekler.

Noktadan siteye VPN istemcilerinde DDNS'yi destekliyor mu?

DDNS şu anda noktadan siteye VPN'lerde desteklenmemektedir.

Siteden Siteye ve noktadan siteye yapılandırmalarının aynı sanal ağ için birlikte var olmasını sağlayabilir miyim?

Evet. Resouce Manager dağıtım modeli için, ağ geçidiniz için RouteBased VPN türü olmalıdır. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir. Statik yönlendirme VPN ağ geçitleri veya PolicyBased VPN ağ geçitleri için noktadan siteye desteğimiz yoktur.

Bir noktadan siteye istemciyi birden çok sanal ağ geçidine aynı anda bağlanacak şekilde yapılandırabilir miyim?

Kullanılan VPN İstemcisi yazılımına bağlı olarak, bağlı olan sanal ağların aralarında veya istemcinin bağlanıldığı ağ arasında çakışan adres boşlukları olmadığı sürece birden çok Sanal Ağ Ağ Geçidine bağlanabilirsiniz. Azure VPN İstemcisi birçok VPN bağlantısını desteklese de, herhangi bir anda yalnızca bir bağlantı Bağlanabilir.

Noktadan siteye istemciyi aynı anda birden çok sanal ağa bağlanacak şekilde yapılandırabilir miyim?

Evet, diğer sanal ağlarla eşlenen bir sanal ağda dağıtılan bir sanal ağ geçidine yönelik noktadan siteye istemci bağlantılarının diğer eşlenen sanal ağlara erişimi olabilir. noktadan siteye istemciler, eşlenen sanal ağlar UseRemoteGateway / AllowGatewayTransit özelliklerini kullandığı sürece eşlenmiş sanal ağlara bağlanabilir. Daha fazla bilgi için bkz. Noktadan siteye yönlendirme hakkında.

Siteden Siteye veya noktadan siteye bağlantılar aracılığıyla ne kadar aktarım hızı bekleyebilirsiniz?

VPN tünellerinin tam verimini elde etmek zordur. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir. Verimlilik, şirket içi ve İnternet arasındaki bant genişliğiyle ve gecikme süresiyle de sınırlıdır. Yalnızca IKEv2 noktadan siteye VPN bağlantıları olan bir VPN Gateway için, bekleyebileceğiniz toplam aktarım hızı Ağ Geçidi SKU'sunun durumuna bağlıdır. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ geçidi SKU’ları.

Noktadan siteye SSTP ve/veya IKEv2'yi destekleyen herhangi bir yazılım VPN istemcisini kullanabilir miyim?

Hayır. SSTP için yalnızca Windows’daki yerel VPN istemcisini ve IKEv2 için yalnızca Mac’teki yerel VPN istemcisini kullanabilirsiniz. Ancak, OpenVPN protokolü üzerinden bağlanmak için tüm platformlarda OpenVPN istemcisini kullanabilirsiniz. Desteklenen istemci işletim sistemlerinin listesine bakın.

Noktadan siteye bağlantı için kimlik doğrulama türünü değiştirebilir miyim?

Evet. Portalda VPN ağ geçidi -> Noktadan siteye yapılandırma sayfasına gidin. Kimlik doğrulama türü için kullanmak istediğiniz kimlik doğrulama türlerini seçin. Bir kimlik doğrulama türünde değişiklik yaptıktan sonra, her VPN istemcisine yeni bir VPN istemcisi yapılandırma profili oluşturulana, indirilene ve uygulanana kadar geçerli istemcilerin bağlanamayabileceğini unutmayın.

Azure Windows ile IKEv2 VPN destekler mi?

IKEv2, Windows 10 ve Server 2016’da desteklenir. Ancak, belirli işletim sistemi sürümlerinde IKEv2 kullanmak için güncelleştirmeleri yüklemeniz ve yerel olarak bir kayıt defteri anahtarı değeri ayarlamanız gerekir. Windows 10 öncesi işletim sistemi sürümleri desteklenmez ve yalnızca SSTP veya OpenVPN® Protokolü kullanabilir.

Not

Windows işletim sistemi, Windows 10 Sürüm 1709 ve Windows Server 2016 Sürüm 1607'den daha yeni derlemeler için bu adımlar gerekli değildir.

IKEv2 için Windows 10 ve Server 2016’yı hazırlamak için:

  1. İşletim sistemi sürümünüz temelinde güncelleştirmeyi yükleyin:

    İşletim sistemi sürümü Tarih Sayı/Bağlantı
    Windows Server 2016
    Windows 10 Sürüm 1607
    17 Ocak 2018 KB4057142
    Windows 10 Sürüm 1703 17 Ocak 2018 KB4057144
    Windows 10 Sürüm 1709 22 Mart 2018, Mart 2018, Mart 2018, Mart 2018, Mart KB4089848
  2. Kayıt defteri anahtar değerini ayarlayın. Kayıt defterinde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD anahtarını oluşturun veya 1 olarak ayarlayın.

Noktadan siteye bağlantılar için IKEv2 trafik seçici sınırı nedir?

Windows 10 sürüm 2004 (Eylül 2021'de yayımlandı) trafik seçici sınırı 255'e yükseltildi. Bundan önceki Windows sürümlerinde trafik seçici sınırı 25'tır.

Windows'daki trafik seçicileri sınırı, sanal ağınızdaki adres alanı sayısı üst sınırını ve yerel ağlarınızın maksimum toplamını, sanal ağlar arası bağlantıları ve ağ geçidine bağlı eşlenmiş sanal ağları belirler. Windows tabanlı noktadan siteye istemciler bu sınırı aşarsa IKEv2 üzerinden bağlanamaz.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırırsam ne olur?

Hem SSTP hem de IKEv2'yi karma bir ortamda (Windows ve Mac cihazlarından oluşan) yapılandırdığınızda, Windows VPN istemcisi her zaman önce IKEv2 tünelini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP'ye geri döner. MacOSX yalnızca IKEv2 üzerinden bağlanır.

Azure, P2S VPN için Windows ve Mac dışında hangi platformları destekliyor?

Azure, P2S VPN için Windows, Mac ve Linux'ı destekler.

Zaten dağıtılmış bir Azure VPN Gateway’im var. Bu ağ geçidi üzerinde RADIUS ve/veya IKEv2 VPN etkinleştirebilir miyim?

Evet, kullandığınız ağ geçidi SKU'su RADIUS ve/veya IKEv2'yi destekliyorsa, PowerShell veya Azure portal kullanarak zaten dağıttığınız ağ geçitlerinde bu özellikleri etkinleştirebilirsiniz. Temel SKU, RADIUS veya IKEv2'yi desteklemez.

P2S bağlantısının yapılandırmasını kaldırmak Nasıl yaparım??

P2S yapılandırması aşağıdaki komutlar kullanılarak Azure CLI ve PowerShell kullanılarak kaldırılabilir:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

RADIUS kimlik doğrulaması tüm Azure VPN Gateway SKU’larında destekleniyor mu?

RADIUS kimlik doğrulaması, Temel SKU dışındaki tüm SKU'lar için desteklenir.

Eski SKU'lar için RADIUS kimlik doğrulaması Standart ve Yüksek Performanslı SKU'larda desteklenir. Temel Ağ Geçidi SKU'su üzerinde desteklenmez.

RADIUS kimlik doğrulaması klasik dağıtım modeli için desteklenir mi?

Hayır. RADIUS kimlik doğrulaması klasik dağıtım modeli için desteklenmez.

RADIUS sunucusuna gönderilen RADIUS isteklerinin zaman aşımı süresi nedir?

RADIUS istekleri 30 saniye sonra zaman aşımına ayarlanır. Kullanıcı tanımlı zaman aşımı değerleri bugün desteklenmiyor.

Üçüncü taraf RADIUS sunucuları desteklenir mi?

Evet, üçüncü taraf RADIUS sunucuları desteklenir.

Azure ağ geçidinin şirket içi bir RADIUS sunucusuna ulaşabildiğinden emin olmak için bağlantı gereksinimleri nelerdir?

Uygun yolların yapılandırıldığı şirket içi siteye siteden siteye VPN bağlantısı gereklidir.

Şirket içi RADIUS sunucusuna gelen trafik (Azure VPN ağ geçidinden) bir ExpressRoute bağlantısı üzerinden yönlendirilebilir mi?

Hayır. Yalnızca siteden siteye bağlantı üzerinden yönlendirilebilir.

RADIUS kimlik doğrulaması ile desteklenen SSTP bağlantılarının sayısında bir değişiklik var mı? En fazla kaç SSTP ve IKEv2 bağlantısı desteklenir?

RADIUS kimlik doğrulaması ile bir ağ geçidinde desteklenen en fazla SSTP bağlantısı sayısında bir değişiklik yoktur. SSTP için 128 olarak kalır, ancak IKEv2 için ağ geçidi SKU'sunu kullanır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için bkz . Ağ Geçidi SKU'ları.

RADIUS sunucusu kullanarak sertifika kimlik doğrulaması yapmakla Azure yerel sertifika kimlik doğrulamasını (güvenilen bir sertifikayı Azure'a yükleyerek) kullanmak arasındaki fark nedir?

RADIUS sertifika doğrulamasında, doğrulaması isteği gerçek sertifika doğrulamasını işleyen bir RADIUS sunucusuna iletilir. Zaten mevcut bir sertifika doğrulaması altyapısını RADIUS üzerinden tümleştirmek istiyorsanız bu seçenek yararlı olur.

Sertifika doğrulaması için Azure kullanıldığında, Azure VPN ağ geçidi sertifikayı doğrular. Sertifika ortak anahtarınızı ağ geçidine yüklemeniz gerekir. Ayrıca bağlanmasına izin verilmeyen iptal edilmiş sertifikaların bir listesini belirtebilirsiniz.

RADIUS kimlik doğrulaması hem IKEv2 hem de SSTP VPN ile çalışır mı?

Evet, RADIUS kimlik doğrulaması hem IKEv2 hem de SSTP VPN için desteklenir.

RADIUS kimlik doğrulaması OpenVPN istemcisiyle çalışır mı?

RADIUS kimlik doğrulaması OpenVPN protokolü için desteklenir.

Sanal Ağdan Sanal Ağa ve Çok Siteli bağlantılar

Sanal Ağdan Sanal Ağa SSS, VPN ağ geçidi bağlantıları için geçerlidir. Sanal ağ eşlemesi hakkında bilgi için bkz. Sanal ağ eşlemesi.

Azure sanal ağlar arasındaki trafik için ücretli midir?

VPN ağ geçidi bağlantısı kullandığınızda aynı bölgedeki sanal ağdan sanal ağa trafik her iki yönde de ücretsizdir. Bölgeler arası sanal ağdan sanal ağa çıkış trafiği, kaynak bölgelere göre giden sanal ağlar arası veri aktarım hızlarıyla ücretlendirilir. Daha fazla bilgi için bkz. VPN Gateway fiyatlandırma sayfası. Sanal ağlarınızı VPN ağ geçidi yerine sanal ağ eşlemesi kullanarak bağlıyorsanız bkz. Sanal ağ fiyatlandırması.

Sanal ağdan sanal ağa trafik İnternet üzerinden mi seyahat eder?

Hayır. Sanal ağdan sanal ağa trafik, İnternet üzerinden değil Microsoft Azure omurgası üzerinden ilerler.

Azure Active Directory kiracıları arasında sanal ağdan sanal ağa bağlantı kurabilir miyim?

Evet, Azure VPN ağ geçitlerini kullanan sanal ağdan sanal ağa bağlantılar Azure AD kiracılar arasında çalışır.

Sanal Ağdan Sanal Ağa trafiği güvenli mi?

Evet, IPsec/IKE şifrelemesi ile korunur.

Sanal ağları birbirine bağlamak için bir VPN cihazı gerekiyor mu?

Hayır. İşletmeler arası bağlantı gerekmediği sürece birden fazla Azure sanal ağını birleştirmek için VPN cihazına gerek yoktur.

Sanal ağlarımın aynı bölgede olması gerekiyor mu?

Hayır. Sanal ağlar aynı ya da farklı Azure bölgelerinde (konumlarında) bulunabilir.

Sanal ağlar aynı abonelikte değilse, aboneliklerin aynı Active Directory kiracısıyla ilişkilendirilmesi gerekiyor mu?

Hayır.

Farklı Azure örneklerinde sanal ağları bağlamak için Sanal Ağdan Sanal Ağa bağlantı kullanabilir miyim?

Hayır. Sanal Ağdan Sanal Ağa, aynı Azure örneğindeki sanal ağları bağlamayı destekler. Örneğin, genel Azure ile Çince/Almanca/ABD kamu Azure örnekleri arasında bağlantı oluşturamazsınız. Bu senaryolar için Siteden Siteye VPN bağlantısı kullanmayı göz önünde bulundurun.

Sanal Ağdan Sanal Ağa bağlantıyı çoklu site bağlantılarıyla birlikte kullanabilir miyim?

Evet. Sanal ağ bağlantısı, çoklu site VPN’leri ile eşzamanlı olarak kullanılabilir.

Bir sanal ağ kaç şirket içi siteye ve sanal ağa bağlanabilir?

Ağ geçidi gereksinimleri tablosuna bakın.

Bir sanal ağın dışındaki sanal makineleri veya bulut hizmetlerini bağlamak için Sanal Ağdan Sanal Ağa bağlantı kullanabilir miyim?

Hayır. Sanal Ağdan Sanal Ağa, sanal ağları bağlamayı destekler. Sanal ağ içinde olmayan sanal makinelerin veya bulut hizmetlerinin bağlanmasını desteklemez.

Bulut hizmeti veya yük dengeleme uç noktası sanal ağlara yayılabilir mi?

Hayır. Bulut hizmeti veya yük dengeleme uç noktası, birbirine bağlı olsalar bile sanal ağlara yayılamaz.

Sanal Ağdan Sanal Ağa veya Çok Siteli bağlantılar için PolicyBased VPN türü kullanabilir miyim?

Hayır. VNet-VNet ve Çok Siteli bağlantılar, RouteBased (önceki adıyla dinamik yönlendirme) VPN türlerine sahip Azure VPN ağ geçitleri gerektirir.

PolicyBased VPN türüne sahip VNet’i RouteBased VPN türüne sahip başka bir VNet’e bağlayabilir miyim?

Hayır, her iki sanal ağ da rota tabanlı (önceki adıyla dinamik yönlendirme) VPN'leri kullanmalıdır.

VPN tünelleri bant genişliğini paylaşır mı?

Evet. Sanal ağ üzerindeki tüm VPN tünelleri, Azure VPN ağ geçidi ve aynı ağ geçidi çalışma süresi SLA’sı üzerinde aynı kullanılabilir bant genişliğini paylaşır.

Yedekli tüneller destekleniyor mu?

Bir sanal ağ çifti arasındaki yedekli tüneller, sanal ağ geçitlerinden biri etkin-etkin olarak yapılandırıldığında desteklenir.

Sanal Ağdan Sanal Ağa yapılandırmalar için çakışan adres alanları kullanabilir miyim?

Hayır. Çakışan IP adresi aralıklarını kullanamazsınız.

Bağlı sanal ağlar ve şirket içi yerel siteleri arasında çakışan adres alanları olabilir mi?

Hayır. Çakışan IP adresi aralıklarını kullanamazsınız.

Siteden siteye VPN bağlantım ile ExpressRoute'um arasında yönlendirmeyi Nasıl yaparım? etkinleştirdim?

ExpressRoute'a bağlı dalınız ile siteden siteye VPN bağlantısına bağlı dalınız arasında yönlendirmeyi etkinleştirmek istiyorsanız Azure Route Server'ı ayarlamanız gerekir.

Şirket içi sitelerim arasında veya başka bir sanal ağa trafiği geçirmek için Azure VPN ağ geçidini kullanabilir miyim?

Resource Manager dağıtım modeli
Evet. Daha fazla bilgi için BGP bölümüne bakın.

Klasik dağıtım modeli
Klasik dağıtım modeli kullanılarak Azure VPN ağ geçidi üzerinden trafik geçirilebilse de, bu geçiş, ağ yapılandırma dosyasında statik olarak tanımlanan adres alanlarına bağlıdır. BGP, klasik dağıtım modelini kullanan Azure Sanal Ağları ve VPN ağ geçitleri ile henüz desteklenmemektedir. BGP olmadan, geçiş adres alanlarının el ile tanımlanması çok hata eğilimindedir ve önerilmez.

Azure, IPsec/IKE önceden paylaşılan anahtarı tüm VPN bağlantılarımla aynı sanal ağ için mi üretiyor?

Hayır, varsayılan olarak Azure farklı VPN bağlantıları için farklı önceden paylaşılan anahtarlar oluşturur. Ancak, tercih ettiğiniz anahtar değerini ayarlamak için REST API veya PowerShell cmdlet'ini kullanabilirsiniz Set VPN Gateway Key . Anahtar boşluk, kısa çizgi (-) veya tilde (~) dışında yalnızca yazdırılabilir ASCII karakterleri içermelidir.

Tek bir sanal ağdan daha fazla siteden siteye VPN ile daha fazla bant genişliği alabilir miyim?

Hayır, noktadan siteye VPN'ler de dahil olmak üzere tüm VPN tünelleri aynı Azure VPN ağ geçidini ve kullanılabilir bant genişliğini paylaşır.

Çok siteli VPN kullanarak sanal ağlarım ve şirket içi sitem arasında birden fazla tünel yapılandırabilir miyim?

Evet, ancak iki tünelde de aynı konum için BGP yapılandırması gerçekleştirmeniz gerekir.

Azure VPN Gateway, şirket içi sitelerime yönelik birden çok bağlantı arasında yönlendirme kararlarını etkilemek için AS Yolu ön sağlamayı kabul ediyor mu?

Evet, Azure VPN ağ geçidi BGP etkinleştirildiğinde yönlendirme kararlarının alınmasına yardımcı olmak için AS Yolu ön sağlamayı kabul eder. BGP yolu seçiminde daha kısa bir AS Yolu tercih edilir.

Yeni bir VPN VirtualNetworkGateway bağlantısı oluştururken RoutingWeight özelliğini kullanabilir miyim?

Hayır, bu tür bir ayar ExpressRoute ağ geçidi bağlantıları için ayrılmıştır. Yönlendirme kararlarını birden çok bağlantı arasında etkilemek istiyorsanız AS Yolu ön ödemesini kullanmanız gerekir.

Birden çok VPN tüneli olan sanal ağımla noktadan siteye VPN'leri kullanabilir miyim?

Evet, noktadan siteye (P2S) VPN'ler, birden çok şirket içi siteye ve diğer sanal ağlara bağlanan VPN ağ geçitleriyle kullanılabilir.

IPsec VPN’lerle sanal ağı ExpressRoute devreme bağlayabilir miyim?

Evet, bu desteklenir. Daha fazla bilgi için bkz. Bir arada var olan ExpressRoute ve siteden siteye VPN bağlantılarını yapılandırma.

IPsec/IKE ilkesi

Özel IPsec/IKE ilkesi tüm Azure VPN Gateway SKU’larında desteklenir mi?

Özel IPsec/IKE ilkesi, Temel SKU hariç tüm Azure SKU'larında desteklenir.

Bir bağlantıda kaç tane ilke belirtebilirim?

Belirli bir bağlantı için yalnızca bir ilke bileşimi belirtebilirsiniz.

Bir bağlantıda kısmi bir ilke belirtebilir miyim? (örneğin IPsec olmadan yalnızca IKE algoritmaları)

Hayır, hem IKE (Ana Mod) hem de IPsec (Hızlı Mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir. Kısmi ilke belirtimine izin verilmiyor.

Özel ilkede desteklenen algoritmalar ve anahtar güçleri nelerdir?

Aşağıdaki tabloda, müşteriler tarafından yapılandırılabilecek şifreleme algoritmaları ve anahtar güçleri listelenmiştir. Her alan için bir seçeneği belirlemeniz gerekir.

IPsec/IKEv2 Seçenekler
IKEv2 Şifrelemesi GCMAES256, GCMAES128, AES256, AES192, AES128, DES3, DES
IKEv2 Bütünlüğü GCMAES256, GCMAES128, SHA384, SHA256, SHA1, MD5
DH Grubu DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, Hiçbiri
IPsec Şifrelemesi GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec Bütünlüğü GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS Grubu PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Hiçbiri
QM SA Yaşam Süresi Saniye (tamsayı; en az 300/varsayılan 27000 saniye)
Kilobayt (tamsayı; en az 1024/varsayılan 102400000 kilobayt)
Trafik Seçicisi UsePolicyBasedTrafficSelectors ($True/$False; varsayılan $False)

Önemli

  • DHGroup2048 & PFS2048, IKE ve IPsec PFS'deki Diffie-Hellman Grup 14 ile aynıdır. Eşlemelerin tamamı için Diffie-Hellman Grupları konusuna bakın.
  • GCMAES algoritmalarında, hem IPsec Şifrelemesi hem de Bütünlüğü için aynı GCMAES algoritmasını belirtmelisiniz.
  • IKEv2 Ana Mod SA ömrü, Azure VPN ağ geçitlerinde 28.800 saniyede sabittir.
  • QM SA Yaşam Süreleri isteğe bağlı parametrelerdir. Hiçbiri belirtilmemişse, varsayılan 27.000 saniye (7,5 saat) ve 102400000 kilobayt (102 GB) değerleri kullanılır.
  • UsePolicyBasedTrafficSelector, bağlantıda bir seçenek parametresidir. "UsePolicyBasedTrafficSelectors" için sonraki SSS öğesine bakın.

Azure VPN ağ geçidi ilkesi ile şirket içi VPN cihazı yapılandırmalarım arasında her şey eşleşmeli mi?

Şirket içi VPN cihazı yapılandırmanızın Azure IPsec/IKE ilkesinde belirttiğiniz şu algoritmalar ve parametrelerle eşleşmesi ya da bunları içermesi gerekir:

  • IKE şifreleme algoritması
  • IKE bütünlük algoritması
  • DH Grubu
  • IPsec şifreleme algoritması
  • IPsec bütünlük algoritması
  • PFS Grubu
  • Trafik Seçicisi ( * )

SA yaşam süreleri yalnızca yerel belirtimlerdir, eşleşmesi gerekmez.

UsePolicyBasedTrafficSelectors ilkesini etkinleştirirseniz, VPN cihazınızın herhangi bir noktadan herhangi bir noktaya bağlantı yerine şirket içi ağınızın (yerel ağ geçidi) tüm ön ekleri ile Azure sanal ağ ön ekleri arasındaki tüm birleşimlerle tanımlanmış, eşleşen trafik seçicilerine sahip olduğundan emin olmanız gerekir. Örneğin, şirket içi ağınızın ön ekleri 10.1.0.0/16 ve 10.2.0.0/16; sanal ağınızın ön ekleriyse 192.168.0.0/16 ve 172.16.0.0/16 şeklindeyse, aşağıdaki trafik seçicileri belirtmeniz gerekir:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

Daha fazla bilgi için bkz. Birden çok şirket içi ilke tabanlı VPN cihazını bağlama.

Hangi Diffie-Hellman Grupları desteklenir?

Aşağıdaki tabloda IKE (DHGroup) ve IPsec (PFSGroup) için desteklenen Diffie-Hellman Grupları listelenmiştir:

Diffie-Hellman Grubu DHGroup PFSGroup Anahtar uzunluğu
1 DHGroup1 PFS1 768 bit MODP
2 DHGroup2 PFS2 1024 bit MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 bit MODP
19 ECP256 ECP256 256 bit ECP
20 ECP384 ECP384 384 bit ECP
24 DHGroup24 PFS24 2048 bit MODP

Daha fazla bilgi için bkz. RFC3526 ve RFC5114.

Özel ilke, Azure VPN ağ geçitleri için IPsec/IKE ilke kümelerinin yerini mi alır?

Evet, bir bağlantıda özel bir ilke belirtildiğinde VPN ağ geçidi, bağlantıda hem IKE başlatıcı hem de IKE yanıtlayıcısı olarak yalnızca bu ilkeyi kullanır.

Özel bir IPsec/IKE ilkesini kaldırırsam bağlantı korumasız hale mi gelir?

Hayır, bağlantı IPsec/IKE tarafından korunmaya devam eder. Bir bağlantıdan özel bir ilkeyi kaldırdığınızda, Azure VPN ağ geçidi varsayılan IPsec/IKE teklifleri listesine döner ve şirket içi VPN cihazınızla IKE el sıkışmasını yeniden başlatır.

Bir IPsec/IKE ilkesinin eklenmesi veya güncelleştirilmesi, VPN bağlantımı kesintiye uğratır mı?

Evet, Azure VPN ağ geçidi tarafından mevcut bağlantı yıkılıp yeni şifreleme algoritmaları ve parametrelerle IPsec tünelini yeniden kurmak üzere IKE el sıkışması yeniden başlatılırken kısa bir kesinti (birkaç saniye) gerçekleşebilir. Kesinti süresini mümkün olduğunca azaltmak için şirket içi VPN cihazınızın da eşleşen algoritmalar ve anahtar güçleriyle yapılandırıldığından emin olun.

Farklı bağlantılarda farklı ilkeler kullanabilir miyim?

Evet. Özel ilkeler, bağlantı başına bir ilke temelinde uygulanır. Farklı bağlantılarda farklı IPsec/IKE ilkeleri oluşturabilir ve uygulayabilirsiniz. Bağlantıların bir alt kümesinde özel ilkeler uygulamayı da tercih edebilirsiniz. Geriye kalan bağlantılar, Azure’daki varsayılan IPsec/IKE ilke kümelerin kullanır.

Özel ilkeyi VNet-VNet bağlantısında da kullanabilir miyim?

Evet, hem IPsec şirket içi ve dışı karışık bağlantılarda hem de Vnet-Vnet bağlantılarında özel ilke uygulayabilirsiniz.

Her iki VNet-VNet bağlantı kaynağında aynı ilkeyi belirtmem mi gerekir?

Evet. VNet-VNet tüneli, her iki yön için birer tane olmak üzere Azure’daki iki bağlantı kaynağından oluşur. Her iki bağlantı kaynağının da aynı ilkeye sahip olduğundan emin olun, aksi takdirde VNet-VNet bağlantısı kurulamaz.

Varsayılan DPD zaman aşımı değeri nedir? Farklı bir DPD zaman aşımı belirtebilir miyim?

Varsayılan DPD zaman aşımı 45 saniyedir. Her IPsec veya Sanal Ağdan Sanal Ağa bağlantıda 9 saniye ile 3600 saniye arasında farklı bir DPD zaman aşımı değeri belirtebilirsiniz.

Özel IPsec/IKE ilkesi ExpressRoute bağlantısında çalışır mı?

Hayır. IPsec/IKE ilkesi yalnızca Azure VPN ağ geçitleri aracılığıyla kurulan S2S VPN ve VNet-VNet bağlantılarında çalışır.

IKEv1 veya IKEv2 protokol türüyle bağlantı oluşturmak Nasıl yaparım??

Temel SKU, Standart SKU ve diğer eski SKU'lar dışında tüm RouteBased VPN türü SKU'larda IKEv1 bağlantıları oluşturulabilir. Bağlantı oluştururken IKEv1 veya IKEv2 bağlantı protokolü türünü belirtebilirsiniz. Bir bağlantı protokolü türü belirtmezseniz, IKEv2 varsa varsayılan seçenek olarak kullanılır. Daha fazla bilgi için Bkz. PowerShell cmdlet belgeleri. SKU türleri ve IKEv1/IKEv2 desteği için bkz. Ağ geçitlerini ilke tabanlı VPN cihazlarına bağlama.

IKEv1 ile IKEv2 bağlantıları arasında geçişe izin veriliyor mu?

Evet. IKEv1 ve IKEv2 bağlantıları arasında geçiş desteklenir.

RouteBased VPN türünün Temel SKU'larında IKEv1 siteden siteye bağlantılarım olabilir mi?

Hayır. Temel SKU bunu desteklemez.

Bağlantı oluşturulduktan sonra bağlantı protokolü türünü değiştirebilir miyim (IKEv1 ile IKEv2 arasında veya tam tersi)?

Hayır. Bağlantı oluşturulduktan sonra IKEv1/IKEv2 protokolleri değiştirilemez. İstenen protokol türüyle yeni bir bağlantıyı silmeniz ve yeniden oluşturmanız gerekir.

IKEv1 bağlantım neden sık sık yeniden bağlanıyor?

Statik yönlendirme veya yol tabanlı IKEv1 bağlantınız düzenli aralıklarla kesiliyorsa, bunun nedeni büyük olasılıkla VPN ağ geçitlerinin yerinde yeniden anahtarlar desteklememesidir. Ana mod yeniden anahtarlandığında, IKEv1 tünellerinizin bağlantısı kesilir ve yeniden bağlanması 5 saniye kadar sürer. Ana mod anlaşması zaman aşımı değeriniz yeniden anahtar açma sıklığını belirler. Bu yeniden bağlantıları önlemek için yerinde yeniden anahtarlamaları destekleyen IKEv2'yi kullanmaya geçebilirsiniz.

Bağlantınız rastgele zamanlarda yeniden bağlanıyorsa sorun giderme kılavuzumuzu izleyin.

IPsec için daha fazla yapılandırma bilgilerini nerede bulabilirim?

Bkz . S2S veya Sanal Ağdan Sanal Ağa bağlantılar için IPsec/IKE ilkesini yapılandırma.

BGP ve yönlendirme

BGP tüm Azure VPN Gateway SKU'larında destekleniyor mu?

BGP, Temel SKU dışındaki tüm Azure VPN Gateway SKU'larında desteklenir.

BGP'Azure İlkesi VPN ağ geçitleriyle kullanabilir miyim?

Hayır, BGP yalnızca rota tabanlı VPN ağ geçitlerinde desteklenir.

Hangi ASN'leri (Otonom Sistem Numaraları) kullanabilirim?

Hem şirket içi ağlarınız hem de Azure sanal ağlarınız için kendi genel ASN'lerinizi veya özel ASN'lerinizi kullanabilirsiniz. Azure veya IANA tarafından ayrılmış aralıkları kullanamazsınız.

Aşağıdaki ASN'ler Azure veya IANA tarafından ayrılmıştır:

  • Azure tarafından ayrılmış ASN'ler:

    • Ortak ASN’ler: 8074, 8075, 12076
    • Özel ASN’ler: 65515, 65517, 65518, 65519, 65520
  • IANA tarafından ayrılmış ASN'ler:

    • 23456, 64496-64511, 65535-65551 and 429496729

Azure VPN ağ geçitlerine bağlanırken şirket içi VPN cihazlarınız için bu ASN'leri belirtemezsiniz.

32 bit (4 bayt) ASN kullanabilir miyim?

Evet, VPN Gateway artık 32 bit (4 bayt) ASN'leri destekliyor. ASN'yi ondalık biçimde kullanarak yapılandırmak için PowerShell, Azure CLI veya Azure SDK'yı kullanın.

Hangi özel ASN'leri kullanabilirim?

Özel ASN'lerin kullanılabilir aralıkları şunlardır:

  • 64512-65514 ve 65521-65534

Bu ASN'ler IANA veya Azure tarafından kullanım için ayrılmaz ve bu nedenle Azure VPN ağ geçidinize atamak için kullanılabilir.

VPN Gateway BGP eş IP'sinde hangi adresi kullanır?

Varsayılan olarak, VPN Gateway etkin bekleyen VPN ağ geçitleri için GatewaySubnet aralığından tek bir IP adresi veya etkin-etkin VPN ağ geçitleri için iki IP adresi ayırır. VPN ağ geçidini oluşturduğunuzda bu adresler otomatik olarak ayrılır. PowerShell kullanarak veya Azure portal bularak ayrılan gerçek BGP IP adresini alabilirsiniz. PowerShell'de Get-AzVirtualNetworkGateway komutunu kullanın ve bgpPeeringAddress özelliğini arayın. Azure portal, Ağ Geçidi Yapılandırması sayfasında BGP ASN'yi Yapılandırma özelliğinin altına bakın.

Şirket içi VPN yönlendiricileriniz BGP IP adresleri olarak APIPA IP adresleri (169.254.x.x) kullanıyorsa, Azure VPN ağ geçidinizde bir veya daha fazla Azure APIPA BGP IP adresi belirtmeniz gerekir. Azure VPN Gateway, yerel ağ geçidinde belirtilen şirket içi APIPA BGP eşleriyle kullanılacak APIPA adreslerini veya APIPA olmayan bir şirket içi BGP eş için özel IP adresini seçer. Daha fazla bilgi için bkz. BGP'yi yapılandırma.

VPN cihazımdaki BGP eş IP adresleri için gereksinimler nelerdir?

Şirket içi BGP eş adresiniz, VPN cihazınızın genel IP adresiyle veya VPN ağ geçidinin sanal ağ adresi alanından aynı olmamalıdır. VPN cihazında BGP eş IP’niz olarak farklı bir IP adresi kullanın. Cihazdaki geri döngü arabirimine atanmış bir adres (normal BIR IP adresi veya APIPA adresi) olabilir. Cihazınız BGP için bir APIPA adresi kullanıyorsa, BGP'yi yapılandırma bölümünde açıklandığı gibi Azure VPN ağ geçidinizde bir veya daha fazla APIPA BGP IP adresi belirtmeniz gerekir. Bu adresleri konumu temsil eden ilgili yerel ağ geçidinde belirtin.

BGP kullanırken yerel ağ geçidi için adres ön eklerim olarak ne belirtmem gerekir?

Önemli

Bu, daha önce belgelenen gereksinimden bir değişikliktir. Bağlantı için BGP kullanıyorsanız, ilgili yerel ağ geçidi kaynağı için Adres alanı alanını boş bırakın. Azure VPN Gateway, IPsec tüneli üzerinden şirket içi BGP eş IP'sine dahili olarak bir konak yolu ekler. Adres alanı alanına /32 yolunu eklemeyin. Gereksizdir ve şirket içi VPN cihazı BGP IP'si olarak bir APIPA adresi kullanırsanız, bu alana eklenemez. Adres alanı alanına başka herhangi bir ön ek eklerseniz, BGP aracılığıyla öğrenilen yollara ek olarak Azure VPN ağ geçidinde statik yollar olarak eklenirler.

Hem şirket içi VPN ağları hem de Azure sanal ağları için aynı ASN'yi kullanabilir miyim?

Hayır, bgp ile birbirine bağlıyorsanız şirket içi ağlarınızla Azure sanal ağlarınız arasında farklı ASN'ler atamanız gerekir. Azure VPN ağ geçitleri, BGP'nin şirket içi bağlantınız için etkinleştirilip etkinleştirilmediğine bakılmaksızın varsayılan 65515 ASN'sine sahiptir. VPN ağ geçidini oluştururken farklı bir ASN atayarak bu varsayılanı geçersiz kılabilir veya ağ geçidi oluşturulduktan sonra ASN'yi değiştirebilirsiniz. Şirket içi ASN'lerinizi ilgili Azure yerel ağ geçitlerine atamanız gerekir.

Azure VPN Gateway’ler bana hangi adres öneklerini tanıtacak?

Ağ geçitleri, şirket içi BGP cihazlarınıza aşağıdaki yolları tanıtmaktadır:

  • Sanal ağ adresi ön ekleriniz.
  • Azure VPN ağ geçidine bağlı her yerel ağ geçidi için adres ön ekleri.
  • Varsayılan yol veya herhangi bir sanal ağ ön eki ile çakışan yollar dışında, Azure VPN ağ geçidine bağlı diğer BGP eşleme oturumlarından öğrenilen yollar.

Azure VPN Gateway'a kaç ön ek tanıtabilirim?

Azure VPN Gateway en fazla 4000 ön eki destekler. Ön ek sayısı bu sınırı aşarsa BGP oturumu düşürülür.

Varsayılan yolu (0.0.0.0/0) Azure VPN ağ geçitlerine tanıtabilir miyim?

Evet. Bu, tüm sanal ağ çıkış trafiğini şirket içi sitenize doğru zorlar. Ayrıca, sanal ağ VM'lerinin İnternet'ten VM'lere rdp veya SSH gibi doğrudan İnternet'ten genel iletişim kabul etmesini engeller.

Tam ön ekleri sanal ağ ön eklerim olarak tanıtabilir miyim?

Hayır, sanal ağ adresi ön eklerinizden herhangi biriyle aynı ön eklerin tanıtılması Azure tarafından engellenir veya filtrelenir. Ancak, sanal ağınızda sahip olduğunuz şeyin üst kümesi olan bir ön eki tanıtabilirsiniz.

Örneğin, sanal ağınız 10.0.0.0/16 adres alanını kullandıysa, 10.0.0.0/8'i tanıtabilirsiniz. Ancak 10.0.0.0/16 veya 10.0.0.0/24 tanıtamazsınız.

SANAL ağlar arasındaki bağlantılarımla BGP kullanabilir miyim?

Evet, BGP'yi hem şirket içi bağlantılar hem de sanal ağlar arasındaki bağlantılar için kullanabilirsiniz.

Azure VPN Gateway’lerim için BGP’yi BGP olmayan bağlantılarla karıştırabilir miyim?

Evet, aynı Azure VPN Gateway için BGP ve BGP olmayan bağlantıları karıştırabilirsiniz.

Azure VPN Gateway BGP aktarım yönlendirmeyi destekliyor mu?

Evet, Azure VPN ağ geçitlerinin varsayılan yolları diğer BGP eşlerine tanıtmama dışında BGP aktarım yönlendirmesi desteklenir. Birden çok Azure VPN ağ geçidi arasında geçiş yönlendirmesini etkinleştirmek için, sanal ağlar arasındaki tüm ara bağlantılarda BGP'yi etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. BGP Hakkında.

Azure VPN ağ geçidi ile şirket içi ağım arasında birden fazla tünel olabilir mi?

Evet, Bir Azure VPN ağ geçidi ile şirket içi ağınız arasında birden fazla siteden siteye (S2S) VPN tüneli oluşturabilirsiniz. Tüm bu tünellerin Azure VPN ağ geçitlerinizin toplam tünel sayısına göre sayıldığını ve her iki tünelde de BGP'yi etkinleştirmeniz gerektiğini unutmayın.

Örneğin, Azure VPN ağ geçidiniz ile şirket içi ağlarınızdan biri arasında iki yedekli tüneliniz varsa, Bunlar Azure VPN ağ geçidiniz için toplam kotanın 2 tünelini kullanır.

BGP ile iki Azure sanal ağı arasında birden çok tünelim olabilir mi?

Evet, ancak sanal ağ geçitlerinden en az birinin etkin-etkin yapılandırmada olması gerekir.

Azure ExpressRoute ve S2S VPN birlikte kullanım yapılandırmasında S2S VPN için BGP kullanabilir miyim?

Evet.

BGP eşdeğer oturumu için şirket içi VPN cihazıma ne eklemeliyim?

VPN cihazınızda Azure BGP eş IP adresinin ana bilgisayar yolunu ekleyin. Bu yol IPsec S2S VPN tüneline işaret eder. Örneğin, Azure VPN eş IP'si 10.12.255.30 ise, 10.12.255.30 için, VPN cihazınızda eşleşen IPsec tünel arabiriminin sonraki atlama arabirimine sahip bir konak yolu eklersiniz.

Sanal ağ geçidi BGP ile S2S bağlantıları için BFD'yi destekliyor mu?

Hayır. Çift Yönlü İletme Algılama (BFD), standart BGP "keepalives" kullanarak komşu kapalı kalma süresini algılamak için bgp ile birlikte kullanabileceğiniz bir protokoldür. BFD, LAN ortamlarında çalışmak üzere tasarlanmış, ancak genel İnternet veya Geniş Alan Ağı bağlantılarında çalışacak şekilde tasarlanmış altsaniyeli zamanlayıcılar kullanır.

Genel İnternet üzerinden yapılan bağlantılarda, belirli paketlerin gecikmeli veya hatta bırakılması olağan dışı değildir, bu nedenle bu agresif zamanlayıcıların eklenmesi dengesizlik katabilir. Bu dengesizlik, yolların BGP tarafından sönümlenmelerine neden olabilir. Alternatif olarak, şirket içi cihazınızı varsayılan, 60 saniyelik "tutma" aralığı ve 180 saniyelik tutma süreölçerinden daha düşük süreölçerlerle yapılandırabilirsiniz. Bu da daha hızlı yakınsama süresine neden olur.

Azure VPN ağ geçitleri BGP eşleme oturumlarını veya bağlantılarını başlatıyor mu?

Ağ geçidi, VPN ağ geçitlerindeki özel IP adreslerini kullanarak yerel ağ geçidi kaynaklarında belirtilen şirket içi BGP eş IP adreslerine BGP eşleme oturumları başlatır. Bu, şirket içi BGP IP adreslerinin APIPA aralığında mı yoksa normal özel IP adreslerinde mi olduğundan bağımsızdır. Şirket içi VPN cihazlarınız BGP IP olarak APIPA adreslerini kullanıyorsa, bağlantıları başlatmak için BGP hoparlörünüzü yapılandırmanız gerekir.

Zorlamalı tünel yapılandırabilir miyim?

Evet. Bkz. Zorlamalı tüneli yapılandırma.

NAT

NAT tüm Azure VPN Gateway SKU'larında destekleniyor mu?

NAT, VpnGw2~5 ve VpnGw2AZ~5AZ üzerinde desteklenir.

SANAL Ağdan Sanal Ağa veya P2S bağlantılarında NAT kullanabilir miyim?

Hayır, NAT yalnızca IPsec şirket içi ve dışı bağlantılarda desteklenir.

VPN ağ geçidinde kaç NAT kuralı kullanabilirim?

VPN ağ geçidinde en fazla 100 NAT kuralı (Giriş ve Çıkış kuralları bir araya getirilmiştir) oluşturabilirsiniz.

NAT bir VPN ağ geçidindeki tüm bağlantılara uygulandı mı?

NAT, NAT kurallarıyla bağlantılara uygulanır. Bir bağlantının NAT kuralı yoksa, NAT bu bağlantı üzerinde etkili olmaz. Aynı VPN ağ geçidinde NAT ile bazı bağlantılara ve NAT birlikte çalışmadan diğer bağlantılara sahip olabilirsiniz.

Azure VPN ağ geçitlerinde hangi nat türleri desteklenir?

Yalnızca statik 1:1 NAT ve Dinamik NAT desteklenir. NAT64 desteklenmez.

NAT, etkin-etkin VPN ağ geçitlerinde çalışır mı?

Evet. NAT hem etkin-etkin hem de etkin bekleyen VPN ağ geçitlerinde çalışır.

NAT BGP bağlantılarıyla çalışır mı?

Evet, NAT ile BGP kullanabilirsiniz. Dikkat edilmesi gereken bazı önemli noktalar şunlardır:

  • Öğrenilen yolların ve tanıtılan yolların bağlantılarla ilişkili NAT kurallarına göre NAT sonrası adres ön eklerine (Dış Eşlemeler) çevrildiğinden emin olmak için NAT Kuralları yapılandırma sayfasında BGP Yol Çevirisini Etkinleştir'i seçin. Şirket içi BGP yönlendiricilerinin IngressSNAT kurallarında tanımlandığı şekilde tam ön ekleri tanıtmasını sağlamanız gerekir.

  • Şirket içi VPN yönlendiricisi BGP konuşmacı/eş IP olarak APIPA (169.254.x.x) kullanıyorsa, APIPA adresini doğrudan yerel ağ geçidinin BGP eş IP adresi alanında kullanın. Şirket içi VPN yönlendiricisi normal, APIPA olmayan bir adres kullanıyorsa ve sanal ağ adresi alanı veya diğer şirket içi ağ alanlarıyla çakışıyorsa, IngressSNAT kuralının BGP eş IP'sini benzersiz, çakışmayan bir adrese çevireceğinden ve NAT sonrası adresini yerel ağ geçidinin BGP eş IP adresi alanına yerleştireceğinden emin olun.

SNAT kuralı için eşleşen DNAT kurallarını oluşturmam gerekiyor mu?

Hayır. Tek bir SNAT kuralı, belirli bir ağın her iki yönü için de çeviriyi tanımlar:

  • IngressSNAT kuralı, şirket içi ağdan Azure VPN ağ geçidine gelen kaynak IP adreslerinin çevirisini tanımlar. Ayrıca, sanal ağdan aynı şirket içi ağa giden hedef IP adreslerinin çevirisini de işler.

  • EgressSNAT kuralı, Azure VPN ağ geçidinden şirket içi ağlara ayrılan sanal ağ kaynak IP adreslerinin çevirisini tanımlar. Ayrıca, EgressSNAT kuralıyla bu bağlantılar aracılığıyla sanal ağa gelen paketler için hedef IP adreslerinin çevirisini işler.

  • Her iki durumda da DNAT kuralına gerek yoktur.

Sanal ağımın veya yerel ağ geçidi adres alanımın iki veya daha fazla ön eki varsa ne yapmalıyım? Bunların tümüne NAT uygulayabilir miyim? Yoksa yalnızca bir alt küme mi?

HER NAT kuralı NAT için yalnızca bir adres ön eki içerebileceğinden, NAT için ihtiyacınız olan her ön ek için bir NAT kuralı oluşturmanız gerekir. Örneğin, yerel ağ geçidi adres alanı 10.0.1.0/24 ve 10.0.2.0/25'lerden oluşuyorsa, aşağıda gösterildiği gibi iki kural oluşturabilirsiniz:

  • IngressSNAT kural 1: Eşleme 10.0.1.0/24 ile 100.0.1.0/24
  • IngressSNAT kural 2: Eşleme 10.0.2.0/25 ile 100.0.2.0/25

İki kural, ilgili adres ön eklerinin ön ek uzunluklarıyla eşleşmelidir. Aynı durum VNet adres alanı için EgressSNAT kuralları için de geçerlidir.

Önemli

Yukarıdaki bağlantıya yalnızca bir kural bağlarsanız, diğer adres alanı çevrilMEYECEKTİR .

Dış Eşleme için hangi IP aralıklarını kullanabilirim?

Genel ve özel IP'ler de dahil olmak üzere Dış Eşleme için istediğiniz uygun IP aralığını kullanabilirsiniz.

Sanal ağ adres alanımı farklı ön eklere farklı şirket içi ağlara çevirmek için farklı EgressSNAT kuralları kullanabilir miyim?

Evet, aynı sanal ağ adres alanı için birden çok EgressSNAT kuralı oluşturabilir ve EgressSNAT kurallarını farklı bağlantılara uygulayabilirsiniz. EgressSNAT kuralı olmayan bağlantılar için,

Farklı bağlantılarda aynı IngressSNAT kuralını kullanabilir miyim?

Evet, bu genellikle bağlantılar yedeklilik sağlamak için aynı şirket içi ağa yönelik olduğunda kullanılır. Bağlantılar farklı şirket içi ağlara yönelikse aynı Giriş kuralını kullanamazsınız.

NAT bağlantısında hem Giriş hem de Çıkış kurallarına ihtiyacım var mı?

Şirket içi ağ adres alanı sanal ağ adres alanıyla çakıştığında hem Giriş hem de Çıkış kurallarının aynı bağlantıda olması gerekir. Sanal ağ adres alanı tüm bağlı ağlar arasında benzersizse, bu bağlantılarda EgressSNAT kuralına ihtiyacınız yoktur. Şirket içi ağlar arasında adres çakışmasını önlemek için Giriş kurallarını kullanabilirsiniz.

"IP yapılandırma kimliği" olarak ne seçebilirim?

"IP yapılandırma kimliği", NAT kuralının kullanmasını istediğiniz IP yapılandırma nesnesinin adıdır. Bu ayarda, nat kuralı için hangi ağ geçidi genel IP adresinin geçerli olduğunu seçmeniz yeterlidir. Ağ geçidi oluşturma zamanında herhangi bir özel ad belirtmediyseniz, ağ geçidinin birincil IP adresi "varsayılan" IPconfiguration'a atanır ve ikincil IP "activeActive" IPconfiguration'a atanır.

Şirket içi ve dışı karışık bağlantı ve sanal makineler

Sanal makinem sanal bir ağdaysa, şirket içi ve dışı bağlantım varsa VM’ye nasıl bağlanmalıyım?

Birkaç seçeneğiniz vardır. Sanal makineniz için RDP’yi etkinleştirdiyseniz, özel IP adresini kullanarak sanal makinenize bağlanabilirsiniz. Bu durumda, özel IP adresini ve bağlanmak istediğiniz bağlantı noktasını (genellikle 3389) belirtmeniz gerekir. Sanal makinenizde trafik için bağlantı noktası yapılandırmanız gerekir.

Ayrıca, aynı sanal ağda bulunan başka bir sanal makineden sanal makinenize özel IP adresi ile bağlanabilirsiniz. Sanal ağınızın dışındaki bir konumdan bağlanıyorsanız özel IP adresini kullanarak sanal makinenize RDP yapamazsınız. Örneğin, yapılandırılmış bir noktadan siteye sanal ağınız varsa ve bilgisayarınızdan bağlantı kuramıyorsanız, sanal makineye özel IP adresiyle bağlanamazsınız.

Sanal makinem şirket içi ve dışı bağlantılı bir sanal ağdaysa, VM’me ait trafiğin tümü bu bağlantıdan geçer mi?

Hayır. Bir tek, belirttiğiniz sanal ağ Yerel Ağ Ip adresi aralıklarında bulunan hedef IP’si olan trafik sanal ağ geçidinden geçer. Sanal ağ içinde yer alan bir hedef IP'ye sahip olan trafik, sanal ağ içinde kalır. Diğer trafik ortak ağlara yük dengeleyiciyle gönderilir veya zorlamalı tünel kullanılırsa, Azure VPN ağ geçidi üzerinden gönderilir.

VM ile RDP bağlantısı sorunlarını nasıl giderebilirim?

VPN bağlantınız üzerinden bir sanal makineye bağlanmakta sorun yaşıyorsanız aşağıdaki kontrolleri yapın:

  • VPN bağlantınızın başarılı olduğunu doğrulayın.
  • VM’nin özel IP adresine bağlandığınızı doğrulayın.
  • Bilgisayar adı yerine özel IP adresini kullanarak VM ile bağlantı kurabiliyorsanız, DNS’i düzgün yapılandırdığınızdan emin olun. VM’ler için ad çözümlemesinin nasıl çalıştığı hakkında daha fazla bilgi için bkz. VM'ler için Ad Çözümlemesi.

Noktadan Siteye bağlantı üzerinden bağlandığınızda aşağıdaki ek denetimleri yapın:

  • 'ipconfig' seçeneğini kullanarak bağlantıyı kurduğunuz bilgisayardaki Ethernet bağdaştırıcısına atanmış IPv4 adresini denetleyin. IP adresi bağlanacağınız sanal ağın adres aralığında veya VPNClientAddressPool adres aralığında ise, bu durum çakışan bir adres alanı olarak adlandırılır. Adres alanınız bu şekilde çakıştığında, ağ trafiği Azure’a ulaşmaz ve yerel ağda kalır.
  • Sanal ağ için DNS sunucusu IP adresleri belirtildikten sonra VPN istemci yapılandırma paketinin oluşturulduğunu doğrulayın. DNS sunucusu IP adreslerini güncelleştirdiyseniz, yeni bir VPN istemci yapılandırma paketi oluşturup yükleyin.

Bir RDP bağlantısıyla ilgili sorun giderme hakkında daha fazla bilgi için bkz. Bir VM ile Uzak Masaüstü bağlantılarında sorun giderme.

Virtual Network SSS

Ek sanal ağ bilgilerini Sanal Ağ SSS bölümünde görüntüleyebilirsiniz.

Sonraki adımlar

"OpenVPN", OpenVPN Inc.'in ticari markasıdır.