Aracılığıyla paylaş


VPN Gateway ile ilgili SSS

Sanal ağlara bağlanma

Farklı Azure bölgelerinde sanal ağlara bağlanabilir miyim?

Evet. Bölge kısıtlaması yoktur. Bir sanal ağ aynı bölgedeki veya farklı bir Azure bölgesindeki başka bir sanal ağa bağlanabilir.

Farklı aboneliklerle sanal ağlara bağlanabilir miyim?

Evet.

VPN ağ geçidi yapılandırırken sanal ağımda özel DNS sunucuları belirtebilir miyim?

Sanal ağınızı oluştururken bir DNS sunucusu veya sunucu belirttiyseniz, VPN Gateway belirttiğiniz DNS sunucularını kullanır. Bir DNS sunucusu belirtirseniz, DNS sunucunuzun Azure için gereken etki alanı adlarını çözümleyebildiğini doğrulayın.

Tek bir sanal ağdan birden çok siteye bağlanabilir miyim?

Windows PowerShell ve Azure REST API'lerini kullanarak birden çok siteye bağlanabilirsiniz. Çok siteli ve VNet - VNet Bağlantı SSS bölümüne bakın.

VPN ağ geçidini etkin-etkin olarak ayarlamanın ek bir maliyeti var mı?

Hayır Ancak, ek genel IP'ler için maliyetler buna göre ücretlendirilir. Bkz. IP Adresi Fiyatlandırması.

Şirket içi ve dışı bağlantı seçeneklerim nelerdir?

Aşağıdaki şirket içi sanal ağ geçidi bağlantıları desteklenir:

  • Siteden siteye: IPSec üzerinden VPN bağlantısı (IKE v1 ve IKE v2). Bu bağlantı türüne şirket içi bir VPN cihazı ya da RRAS gerekir. Daha fazla bilgi için bkz . Siteden siteye.
  • Noktadan siteye: SSTP (Güvenli Yuva Tünel Protokolü) veya IKE v2 üzerinden VPN bağlantısı. Bu bağlantı bir VPN cihazı gerektirmez. Daha fazla bilgi için bkz . Noktadan siteye.
  • Sanal Ağdan Sanal Ağa: Bu bağlantı türü, siteden siteye yapılandırmayla aynıdır. VNet - VNet, IPsec üzerinden (IKE v1 ve IKE v2) bir VPN bağlantısıdır. Vpn cihazı gerektirmez. Daha fazla bilgi için bkz. Sanal Ağdan Sanal Ağa.
  • ExpressRoute: ExpressRoute, genel İnternet üzerinden vpn bağlantısı değil WAN'ınızdan Azure'a özel bir bağlantıdır. Daha fazla bilgi için bkz. ExpressRoute’a Teknik Genel Bakış ve ExpressRoute SSS.

VPN Gateway bağlantıları hakkında daha fazla bilgi için bkz . VPN Gateway hakkında.

Siteden siteye bağlantı ile noktadan siteye bağlantı arasındaki fark nedir?

Siteden siteye (IPsec/IKE VPN tüneli) yapılandırmaları, şirket içi konumunuz ile Azure arasında yer alır. Diğer bir deyişle, şirket içinde yer alan bilgisayarlarla sanal makineler arasında ya da yönlendirme ve izin yapılandırmayı nasıl seçtiğinize bağlı olarak sanal ağınızdaki rol örneği ile bağlantı kurabilirsiniz. Her zaman kullanılabilir bir şirket içi bağlantı için harika bir seçenektir ve karma yapılandırmalar için de uygundur. Bu tür bir bağlantı; ağınıza ucuna dağıtılmış olması gereken IPsec VPN uygulamasına bağlıdır (donanım cihazı veya yazılım aracı). Bu tür bir bağlantı oluşturmak için dışarıdan bakan bir IPv4 adresiniz olmalıdır.

Noktadan siteye (SSTP üzerinden VPN) yapılandırmaları, tek bir bilgisayardan her yerden sanal ağınızda bulunan her şeye bağlanmanızı sağlar. Windows yerleşik VPN istemcisi kullanır. Noktadan siteye yapılandırmasının bir parçası olarak, bilgisayarınızın sanal ağ içindeki herhangi bir sanal makineye veya rol örneğine bağlanmasına izin veren ayarları içeren bir sertifika ve VPN istemcisi yapılandırma paketi yüklersiniz. Şirket içi olmayan sanal ağa bağlanmak istediğinizde çok yararlıdır. Vpn donanımına veya dışarıdan bakan bir IPv4 adresine erişiminiz olmadığında da iyi bir seçenektir. Her ikisi de siteden siteye bağlantı için gereklidir.

Ağ geçidiniz için rota tabanlı VPN türü kullanarak siteden siteye bağlantınızı oluşturduğunuz sürece sanal ağınızı hem siteden siteye hem de noktadan siteye aynı anda kullanacak şekilde yapılandırabilirsiniz. Rota tabanlı VPN türlerine klasik dağıtım modelinde dinamik ağ geçitleri adı verilir.

Gizlilik

VPN hizmeti müşteri verilerini depolar veya işler mi?

Hayır

Sanal ağ geçitleri

VPN ağ geçidi bir sanal ağ geçidi midir?

VPN ağ geçidi bir sanal ağ geçidi türüdür. VPN ağ geçidi, şifrelenmiş trafiği bir genel bağlantı üzerinden sanal ağınız ile şirket içi konumunuz arasında gönderir. Sanal ağlar arasında trafik göndermek için de VPN ağ geçidi kullanabilirsiniz. Bir VPN ağ geçidi oluştururken 'Vpn' -GatewayType değerini kullanın. Daha fazla bilgi için bkz. VPN Gateway yapılandırma ayarları hakkında.

neden ilke tabanlı ve rota tabanlı VPN türlerini belirtemiyorum?

1 Ekim 2023 itibarıyla Azure portalı aracılığıyla ilke tabanlı VPN ağ geçidi oluşturamazsınız. Tüm yeni VPN ağ geçitleri otomatik olarak rota tabanlı olarak oluşturulur. zaten bir ilke tabanlı ağ geçidiniz varsa, ağ geçidinizi yol tabanlı olarak yükseltmeniz gerekmez. İlke tabanlı ağ geçitlerini oluşturmak için Powershell/CLI kullanabilirsiniz.

Daha önce, eski ağ geçidi SKU'ları yol tabanlı ağ geçitleri için IKEv1'i desteklemiyordu. Artık geçerli ağ geçidi SKU'larının çoğu hem IKEv1 hem de IKEv2'yi destekliyor.

Ağ geçidi VPN türü Ağ Geçidi SKU’su Desteklenen IKE sürümleri
İlke tabanlı ağ geçidi Temel IKEv1
Rota tabanlı ağ geçidi Temel IKEv2
Rota tabanlı ağ geçidi VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 ve IKEv2
Rota tabanlı ağ geçidi VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 ve IKEv2

İlke tabanlı VPN ağ geçidimi rota tabanlı olarak güncelleştirebilir miyim?

Hayır Ağ geçidi türü, ilke tabanlıdan rota tabanlıya veya yol tabanlıdan ilke tabanlıya değiştirilemez. Ağ geçidi türünü değiştirmek için ağ geçidinin silinmesi ve yeniden oluşturulması gerekir. Bu işlem yaklaşık 60 dakika sürer. Yeni ağ geçidini oluşturduğunuzda, özgün ağ geçidinin IP adresini tutamazsınız.

  1. Ağ geçidiyle ilişkili tüm bağlantıları silin.

  2. Aşağıdaki makalelerden birini kullanarak ağ geçidini silin:

  3. İstediğiniz ağ geçidi türünü kullanarak yeni bir ağ geçidi oluşturun ve ardından VPN kurulumunu tamamlayın. Adımlar için siteden siteye öğreticisine bakın.

Kendi ilke tabanlı trafik seçicilerimi belirtebilir miyim?

Evet, trafik seçicileri New-AzIpsecTrafficSelectorPolicy PowerShell komutu aracılığıyla bir bağlantıdaki trafficSelectorPolicies özniteliği aracılığıyla tanımlanabilir. Belirtilen trafik seçicinin etkili olması için İlke Tabanlı Trafik Seçicilerini Kullan seçeneğinin etkinleştirildiğinden emin olun.

Özel yapılandırılmış trafik seçicileri yalnızca bir Azure VPN ağ geçidi bağlantıyı başlattığında önerilecektir. VPN ağ geçidi, uzak ağ geçidi (şirket içi VPN cihazı) tarafından önerilen tüm trafik seçicileri kabul eder. Bu davranış tüm bağlantı modları (Default, InitiatorOnly ve ResponderOnly) arasında tutarlıdır.

'GatewaySubnet' gerekli mi?

Evet. Ağ geçidi alt ağı, sanal ağ geçidi hizmetlerinin kullandığı IP adreslerini içerir. Sanal ağ geçidini yapılandırmak için sanal ağınız için bir ağ geçidi alt ağı oluşturmanız gerekir. Tüm ağ geçidi alt ağlarının düzgün çalışması için GatewaySubnet şeklinde adlandırılması gerekir. Ağ geçidi alt ağını başka şekilde adlandırmayın. VM’leri veya herhangi başka bir şeyi de ağ geçidi alt ağına dağıtmayın.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Ağ geçidi alt ağındaki IP adresleri, ağ geçidi hizmetine ayrılır. Bazı yapılandırmalar, ağ geçidi hizmetlerine daha fazla IP adresi ayrılmasını gerektirir. Gelecekteki büyümeye ve meydana gelebilecek diğer yeni bağlantı yapılandırmalarına uyum sağlaması için ağ geçidi alt ağınızın yeterince IP adresi içerdiğinden emin olmanız gerekir. Bu nedenle, /29 kadar küçük bir ağ geçidi alt ağı oluşturmanız mümkün olsa da /27 veya daha büyük bir (/27, /26, /25 vb.) ağ geçidi alt ağı oluşturmanız önerilir. Oluşturmak istediğiniz yapılandırmanın gereksinimlerine bakın ve sahip olduğunuz ağ geçidi alt ağının bu gereksinimleri karşıladığından emin olun.

Sanal Makineleri veya rol örneklerini ağ geçidi alt ağıma dağıtabilir miyim?

Hayır

Oluşturmadan önce VPN ağ geçidi IP adresimi alabilir miyim?

Azure Standart SKU genel IP kaynakları statik ayırma yöntemi kullanmalıdır. Bu nedenle, kullanmak istediğiniz Standart SKU genel IP kaynağını oluşturur oluşturmaz VPN ağ geçidinizin genel IP adresine sahip olursunuz.

VPN ağ geçidim için statik bir genel IP adresi isteyebilir miyim?

Standart SKU genel IP adresi kaynakları statik ayırma yöntemi kullanır. Bundan sonra, yeni bir VPN ağ geçidi oluştururken Standart SKU genel IP adresi kullanmanız gerekir. Bu, Temel SKU dışındaki tüm ağ geçidi SKU'ları için geçerlidir. Temel ağ geçidi SKU'su şu anda yalnızca Temel SKU genel IP adreslerini destekler. Yakında Temel ağ geçidi SKU'ları için Standart SKU genel IP adresleri için destek ekleyeceğiz.

Daha önce oluşturulmuş alanlar arası yedekli olmayan ve bölgesel olmayan ağ geçitleri için (adında AZ bulunmayanağ geçidi SKU'ları), dinamik IP adresi ataması desteklenir, ancak devre dışıdır. Dinamik IP adresi kullandığınızda, IP adresi VPN ağ geçidinize atandıktan sonra değişmez. VPN ağ geçidi IP adresinin değişmesinin tek zamanı, ağ geçidinin silinip yeniden oluşturulmasıdır. VPN ağ geçidinizin diğer iç bakım ve yükseltmelerini yeniden boyutlandırdığınızda, sıfırladığınızda veya tamamladığınızda VPN ağ geçidi genel IP adresi değişmez.

Genel IP adresi Temel SKU'nun kullanımdan kaldırılması VPN ağ geçitlerimi nasıl etkiler?

Temel SKU genel IP adreslerini kullanan dağıtılmış VPN ağ geçitlerinin çalışmaya devam etmesini sağlamak için işlem yapıyoruz. Temel SKU genel IP adreslerine sahip VPN ağ geçitleriniz zaten varsa herhangi bir işlem yapmanıza gerek yoktur.

Ancak, Temel SKU genel IP adreslerinin aşamalı olarak çıkarıldığını unutmayın. Bundan sonra yeni bir VPN ağ geçidi oluştururken Standart SKU genel IP adresini kullanmanız gerekir. Temel SKU genel IP adreslerinin kullanımdan kaldırılmasıyla ilgili diğer ayrıntılara buradan ulaşabilirsiniz.

VPN tünelimin kimliği nasıl doğrulanır?

Azure VPN PSK (Önceden Paylaşılan Anahtar) kimlik doğrulamasını kullanır. VPN tüneli oluşturduğumuzda önceden paylaşılan anahtar (PSK) oluştururuz. Önceden Paylaşılan Anahtar Ayarla PowerShell cmdlet'i veya REST API'siyle otomatik olarak oluşturulan PSK'yi kendiniz değiştirebilirsiniz.

Önceden Paylaşılan Anahtar API’sini Ayarla’yı ilke tabanlı (statik yönlendirme) ağ geçidi VPN’mi yapılandırmak için kullanabilir miyim?

Evet, Önceden Paylaşılan Anahtar API’sini ve PowerShell cmdlet’ini Ayarla, hem Azure ilke tabanlı (statik) VPN'ler, hem de rota tabanlı (dinamik) yönlendirme VPN'leri yapılandırmak için kullanılabilir.

Diğer kimlik doğrulama seçeneklerini kullanabilir miyim?

Kimlik doğrulaması için önceden paylaşılan anahtarları (PSK) kullanmakla sınırlıyız.

VPN ağ geçidime hangi trafiğin gideceğini nasıl belirtirim?

Resource Manager dağıtım modeli

  • PowerShell: yerel ağ geçidinize ait trafiği belirtmek için "AddressPrefix" kullanın.
  • Azure portalı: Yerel ağ geçidi > Yapılandırma > Adresi alanına gidin.

Klasik dağıtım modeli

  • Azure portalı: Klasik sanal ağ > VPN bağlantıları > Siteden siteye VPN bağlantıları > Yerel site adı > Yerel site > İstemci adres alanına gidin.

VPN bağlantılarımda NAT-T kullanabilir miyim?

Evet, NAT geçişi (NAT-T) desteklenir. Azure VPN Gateway, IPsec tünellerine/tünellerinden gelen iç paketlerde NAT benzeri işlevler gerçekleştirmeZ. Bu yapılandırmada, şirket içi cihazın IPSec tünelini başlattığından emin olun.

Azure'da kendi VPN sunucumu kurup bu sunucuyu şirket içi ağıma bağlanmak üzere kullanabilir miyim?

Evet, Azure’de kendi VPN ağ geçitlerinizi veya sunucularınızı ister Azure Market’ten, ister kendi VPN yönlendiricilerinizi oluşturarak dağıtabilirsiniz. Trafiğin şirket içi ağlarınızla sanal ağ alt ağları arasında düzgün yönlendirildiğinden emin olmak için sanal ağınızda kullanıcı tanımlı yollar yapılandırmanız gerekir.

Sanal ağ geçidimde belirli bağlantı noktaları neden açılıyor?

Bunlar Azure altyapı iletişimi için gereklidir. Azure sertifikaları tarafından korunur (kilitlenir). Uygun sertifikalar olmadan, bu ağ geçitlerinin müşterileri de dahil olmak üzere dış varlıklar bu uç noktalar üzerinde herhangi bir etkiye neden olmaz.

Sanal ağ geçidi temelde, tek bir NIC'nin müşteri özel ağına ve bir NIC'nin genel ağa dönük olduğu çok girişli bir cihazdır. Azure altyapı varlıkları uyumluluk nedeniyle müşteri özel ağlarına bağlanamaz, bu nedenle altyapı iletişimi için genel uç noktaları kullanmaları gerekir. Ortak uç noktalar düzenli aralıklarla Azure güvenlik denetimi tarafından taranır.

Portalda Temel ağ geçidi SKU'su ile vpn ağ geçidi oluşturabilir miyim?

Hayır Temel SKU portalda kullanılamaz. Azure CLI veya PowerShell kullanarak Temel SKU VPN ağ geçidi oluşturabilirsiniz.

Ağ geçidi türleri, gereksinimleri ve aktarım hızı hakkında bilgileri nereden bulabilirim?

Aşağıdaki makalelere bakın:

Eski SKU'lar için SKU'yu kullanımdan kaldırma

Standart ve Yüksek Performanslı SKU'lar 30 Eylül 2025'te kullanım dışı bırakılacaktır. Duyuruyu burada görüntüleyebilirsiniz. Ürün ekibi, 30 Kasım 2024'e kadar bu SKU'lar için bir geçiş yolu kullanıma sunacaktır. Daha fazla bilgi için VPN Gateway eski SKU'ları makalesine bakın. Şu anda yapmanız gereken bir işlem yoktur.

30 Kasım 2023'te kullanımdan kaldırma duyurusunun ardından yeni bir Standart/Yüksek Performanslı SKU oluşturabilir miyim?

Hayır 1 Aralık 2023'den itibaren Standart veya Yüksek Performanslı SKU'larla yeni ağ geçitleri oluşturamazsınız. VpnGw1 ve VpnGw2 kullanarak sırasıyla fiyatlandırma sayfamızda listelenen Standart ve Yüksek Performanslı SKU'larla aynı fiyata yeni ağ geçitleri oluşturabilirsiniz.

Mevcut ağ geçitlerim Standart/Yüksek Performanslı SKU'larda ne kadar süreyle desteklenecek?

Standart veya Yüksek Performanslı SKU'ları kullanan tüm mevcut ağ geçitleri 30 Eylül 2025'e kadar desteklenecektir.

Standart/Yüksek Performanslı ağ geçidi SKU'larımı şu anda geçirmem gerekiyor mu?

Hayır, şu anda eyleme gerek yok. SKU'larınızı Aralık 2024'den itibaren geçirebileceksiniz. Geçiş adımları hakkında ayrıntılı belgelerle iletişim göndereceğiz.

Ağ geçidimi hangi SKU'ya geçirebilirim?

Ağ geçidi SKU geçişi kullanılabilir olduğunda SKU'lar aşağıdaki gibi geçirilebilir:

  • Standart -> VpnGw1
  • Yüksek Performans -> VpnGw2

Az SKU'ya geçiş yapmak istersem ne olur?

Eski SKU'nuzu az SKU'ya geçiremezsiniz. Ancak, 30 Eylül 2025'den sonra hala Standart veya Yüksek Performanslı SKU'ları kullanmaya devam eden tüm ağ geçitlerinin otomatik olarak aşağıdaki SKU'lara geçirileceğini ve yükseltileceğini unutmayın:

  • Standart -> VpnGw1AZ
  • Yüksek Performans -> VpnGw2AZ

SKU'larınızın otomatik olarak geçirilip BIR AZ SKU'ya yükseltilirken kullanılması için bu stratejiyi kullanabilirsiniz. Gerekirse SKU'nuzu bu SKU ailesi içinde yeniden boyutlandırabilirsiniz. AZ SKU fiyatlandırması için fiyatlandırma sayfamıza bakın. SKU'ya göre aktarım hızı bilgileri için bkz . Ağ geçidi SKU'ları hakkında.

Geçiş sonrasında ağ geçitlerim için fiyatlandırma farkı olacak mı?

SKU'larınızı 30 Eylül 2025'e kadar geçirirseniz fiyatlandırma farkı olmaz. VpnGw1 ve VpnGw2 SKU'ları sırasıyla Standart ve Yüksek Performanslı SKU'lar ile aynı fiyata sunulur. Bu tarihe kadar geçiş yapmazsanız SKU'larınız otomatik olarak geçirilir ve AZ SKU'larına yükseltilir. Bu durumda fiyatlandırma farkı vardır.

Bu geçişle ağ geçitlerim üzerinde herhangi bir performans etkisi olacak mı?

Evet, VpnGw1 ve VpnGw2 ile daha iyi performans elde edersiniz. Şu anda, 650 Mb/sn'de VpnGw1 6,5x ve 1 Gb/sn'de VpnGw2 sırasıyla eski Standart ve Yüksek Performanslı ağ geçitleriyle aynı fiyata 5 kat performans iyileştirmesi sağlar. Daha fazla SKU aktarım hızı bilgisi için bkz . Ağ geçidi SKU'ları hakkında.

SKU'ları 30 Eylül 2025'e kadar geçirmezsem ne olur?

Standart veya Yüksek Performanslı SKU'ları kullanmaya devam eden tüm ağ geçitleri otomatik olarak geçirilir ve aşağıdaki AZ SKU'larına yükseltilir:

  • Standart -> VpnGw1AZ
  • Yüksek Performans -> VpnGw2AZ

Son iletişim, herhangi bir ağ geçidinde geçiş başlatmadan önce gönderilir.

VPN Gateway Temel SKU'su da devre dışı mı?

Hayır, VPN Gateway Basic SKU'su kalmak için burada. PowerShell veya CLI aracılığıyla Temel ağ geçidi SKU'su kullanarak bir VPN ağ geçidi oluşturabilirsiniz. Şu anda VPN Gateway Temel ağ geçidi SKU'ları yalnızca Temel SKU genel IP adresi kaynağını (kullanımdan kaldırma yolundadır) destekler. Standart SKU genel IP adresi kaynağı için VPN Gateway Temel ağ geçidi SKU'sunu desteklemeye çalışıyoruz.

Siteden siteye bağlantılar ve VPN cihazları

VPN cihazını seçerken nelere dikkat etmeliyim?

Cihaz satıcılarıyla işbirliği içinde bir dizi standart siteden siteye VPN cihazı olduğunu doğruladık. Bilinen uyumlu VPN cihazlarının listesi, ilgili yapılandırma yönergeleri veya örnekleri ve cihaz özellikleri listesi VPN cihazları hakkında makalesinde bulunabilir. Bilinen uyumlu olarak listelenen cihaz ailelerindeki tüm cihazlar Virtual Network ile çalışmalıdır. VPN cihazınızı yapılandırmaya yardım için uygun cihaz ailesine karşılık gelen cihaz yapılandırma örneğine veya bağlantılara bakın.

VPN cihazı yapılandırma ayarlarını nerede bulabilirim?

VPN cihazı yapılandırma betiklerini indirmek için

Sahip olduğunuz VPN cihazına bağlı olarak, bir VPN cihazı yapılandırma betiğini indirebilirsiniz. Daha fazla bilgi için bkz. VPN cihazı yapılandırma betiklerini indirme.

Ek yapılandırma bilgileri için aşağıdaki bağlantılara bakın:

VPN cihazı yapılandırma örneklerini nasıl düzenleyebilirim?

Cihaz yapılandırma örneklerini düzenleme hakkında daha fazla bilgi için bkz. Örnekleri düzenleme.

IPsec ve IKE parametrelerini nerede bulabilirim?

IPsec/IKE parametreleri için bkz. Parametreler.

Trafik boştayken neden ilke tabanlı VPN tünelim kayboluyor?

İlke tabanlı (statik rota olarak da bilinir) VPN Ağ geçitleri için bu beklenen bir davranıştır. Tünel üzerindeki trafik 5 dakikadan uzun bir süre boşta kaldığında tünel yıkılır. Trafik her iki yönde de akmaya başladığında tünel hemen yeniden başlatılır.

Azure'e bağlanmak için VPN'ler yazılımını kullanabilir miyim?

Siteler arası şirket içi yapılandırma için Windows Server 2012 Yönlendirme ve Uzaktan Erişim (RRAS) sunucularını destekliyoruz.

Endüstri standardı IPsec uygulamalarıyla uyumlu olana kadar diğer yazılım VPN çözümleri bizim ağ geçidimizle çalışmalıdır. Yapılandırma ve destek hakkında yönergeler için yazılım satıcısına başvurun.

Etkin siteden siteye bağlantısı olan bir Sitede bulunduğumda noktadan siteye vpn ağ geçidine bağlanabilir miyim?

Evet, ancak noktadan siteye istemcinin Genel IP adresleri siteden siteye VPN cihazı tarafından kullanılan Genel IP adreslerinden farklı olmalıdır, aksi halde noktadan siteye bağlantı çalışmaz. IKEv2 ile noktadan siteye bağlantılar, aynı Azure VPN ağ geçidinde siteden siteye VPN bağlantısının yapılandırıldığı aynı Genel IP adreslerinden başlatılamaz.

Noktadan siteye - Sertifika kimlik doğrulaması

Bu bölüm Resource Manager dağıtım modeli için geçerlidir.

Noktadan siteye yapılandırmamda kaç VPN istemci uç noktası olabilir?

Bu, ağ geçidi SKU’suna bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi edinmek için bkz. Ağ geçidi SKU’ları.

Noktadan siteye hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:

  • Windows Server 2008 R2 (yalnızca 64 bit)
  • Windows 8.1 (32 bit ve 64 bit)
  • Windows Server 2012 (yalnızca 64 bit)
  • Windows Server 2012 R2 (yalnızca 64 bit)
  • Windows Server 2016 (yalnızca 64 bit)
  • Windows Server 2019 (yalnızca 64 bit)
  • Windows Server 2022 (yalnızca 64 bit)
  • Windows 10
  • Windows 11
  • macOS sürüm 10.11 veya üzeri
  • Linux (StrongSwan)
  • iOS

Noktadan siteye özelliğini kullanarak proxy'leri ve güvenlik duvarlarını çapraz geçiş yapabilir miyim?

Azure desteği üç tür noktadan siteye VPN seçeneği vardır:

  • Güvenli Yuva Tünel Protokolü (SSTP). SSTP, Microsoft’a özel SSL tabanlı bir çözümdür ve çoğu güvenlik duvarı 443 SSL’nin kullandığı giden TCP bağlantı noktasını açtığı için güvenlik duvarlarından geçebilir.

  • OpenVPN. OpenVPN, SSL tabanlı bir çözümdür ve çoğu güvenlik duvarı 443 SSL’nin kullandığı giden TCP bağlantı noktasını açtığı için güvenlik duvarlarından geçebilir.

  • IKEv2 VPN. IKEv2 VPN, 500 ve 4500 numaralı giden UDP bağlantı noktalarını ve 50 numaralı IP protokollerini kullanan standartlara dayalı bir IPsec VPN çözümüdür. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz, bu nedenle IKEv2 VPN'nin proxy'leri ve güvenlik duvarlarını geçememe olasılığı vardır.

Noktadan siteye için yapılandırılmış bir istemci bilgisayarı yeniden başlatırsam VPN otomatik olarak yeniden bağlanır mı?

Otomatik Yeniden Bağlantı, kullanılan istemcinin bir işlevidir. Windows, Always On VPN istemcisi özelliğini yapılandırarak Otomatik Yeniden Bağlanmayı destekler.

Noktadan siteye VPN istemcilerinde DDNS'yi destekliyor mu?

DDNS şu anda noktadan siteye VPN'lerde desteklenmemektedir.

Siteden Siteye ve noktadan siteye yapılandırmaların aynı sanal ağ için birlikte var olmasını sağlayabilir miyim?

Evet. Resouce Manager dağıtım modeli için, ağ geçidiniz için RouteBased VPN türü olmalıdır. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir. Statik yönlendirme VPN ağ geçitleri veya PolicyBased VPN ağ geçitleri için noktadan siteye desteğimiz yoktur.

Aynı anda birden çok sanal ağ geçidine bağlanmak için noktadan siteye istemci yapılandırabilir miyim?

Kullanılan VPN İstemcisi yazılımına bağlı olarak, bağlı olan sanal ağların aralarında veya istemcinin bağlanıldığı ağ arasında çakışan adres alanları olmadığı sürece birden çok Sanal Ağ Ağ Geçidine bağlanabilirsiniz. Azure VPN İstemcisi birden fazla VPN bağlantısını desteklese de, aynı anda yalnızca bir tane bağlantı bağlı olabilir.

Noktadan siteye istemciyi aynı anda birden çok sanal ağa bağlanacak şekilde yapılandırabilir miyim?

Evet, diğer sanal ağlarla eşlenmiş bir sanal ağda dağıtılan bir sanal ağ geçidine noktadan siteye istemci bağlantılarının diğer eşlenen sanal ağlara erişimi olabilir. Noktadan siteye istemciler, eşlenen sanal ağlar UseRemoteGateway / AllowGatewayTransit özelliklerini kullandığı sürece eşlenmiş sanal ağlara bağlanabilir. Daha fazla bilgi için bkz . Noktadan siteye yönlendirme hakkında.

Siteden Siteye veya noktadan siteye bağlantılar aracılığıyla ne kadar aktarım hızı bekleyebilirsiniz?

VPN tünellerinin tam verimini elde etmek zordur. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir. Verimlilik, şirket içi ve İnternet arasındaki bant genişliğiyle ve gecikme süresiyle de sınırlıdır. Yalnızca IKEv2 noktadan siteye VPN bağlantılarına sahip bir VPN Gateway için, bekleyebileceğiniz toplam aktarım hızı Ağ Geçidi SKU'sunu temel alır. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ geçidi SKU’ları.

Noktadan siteye SSTP ve/veya IKEv2'yi destekleyen herhangi bir yazılım VPN istemcisi kullanabilir miyim?

Hayır SSTP için yalnızca Windows’daki yerel VPN istemcisini ve IKEv2 için yalnızca Mac’teki yerel VPN istemcisini kullanabilirsiniz. Ancak, OpenVPN protokolü üzerinden bağlanmak için tüm platformlarda OpenVPN istemcisini kullanabilirsiniz. Desteklenen istemci işletim sistemlerinin listesine bakın.

Noktadan siteye bağlantı için kimlik doğrulama türünü değiştirebilir miyim?

Evet. Portalda VPN ağ geçidi -> Noktadan siteye yapılandırma sayfasına gidin. Kimlik doğrulama türü için kullanmak istediğiniz kimlik doğrulama türlerini seçin. Kimlik doğrulama türünde değişiklik yaptıktan sonra, her VPN istemcisine yeni bir VPN istemcisi yapılandırma profili oluşturulana, indirilene ve uygulanana kadar geçerli istemciler bağlanamayabilir.

Ne zaman yeni bir VPN istemci profili yapılandırma paketi oluşturmam gerekiyor?

Tünel Türü ekleme veya Kimlik Doğrulama Türünü değiştirme gibi P2S VPN ağ geçidi yapılandırma ayarlarında değişiklik yaptığınızda, yeni bir VPN istemci profili yapılandırma paketi oluşturmanız gerekir. Yeni paket, P2S ağ geçidine düzgün bir şekilde bağlanmak için VPN istemcilerinin ihtiyaç duyduğu güncelleştirilmiş ayarları içerir. Paketi oluşturdıktan sonra, VPN istemcilerini güncelleştirmek için dosyalarda yer alan ayarları kullanın.

Azure Windows ile IKEv2 VPN destekler mi?

IKEv2, Windows 10 ve Server 2016’da desteklenir. Ancak, IKEv2'yi belirli işletim sistemi sürümlerinde kullanmak için güncelleştirmeleri yüklemeniz ve yerel olarak bir kayıt defteri anahtarı değeri ayarlamanız gerekir. Windows 10'un önceki işletim sistemi sürümleri desteklenmez ve yalnızca SSTP veya OpenVPN® Protokolü kullanabilir.

Not

Windows işletim sistemi, Windows 10 Sürüm 1709 ve Windows Server 2016 Sürüm 1607'den daha yeni derlemeler bu adımları gerektirmez.

IKEv2 için Windows 10 ve Server 2016’yı hazırlamak için:

  1. İşletim sistemi sürümünüz temelinde güncelleştirmeyi yükleyin:

    İşletim sistemi sürümü Tarih Sayı/Bağlantı
    Windows Server 2016
    Windows 10 Sürüm 1607
    17 Ocak 2018 KB4057142
    Windows 10 Sürüm 1703 17 Ocak 2018 KB4057144
    Windows 10 sürüm 1709 22 Mart 2018 KB4089848
  2. Kayıt defteri anahtar değerini ayarlayın. Kayıt defterinde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD anahtarını oluşturun veya 1 olarak ayarlayın.

Noktadan siteye bağlantılar için IKEv2 trafik seçici sınırı nedir?

Windows 10 sürüm 2004 (Eylül 2021'de yayımlandı) trafik seçici sınırı 255'e yükseltildi. Bundan önceki Windows sürümlerinde trafik seçici sınırı 25'tır.

Windows'taki trafik seçici sınırı, sanal ağınızdaki adres alanı sayısı üst sınırını ve yerel ağlarınızın, sanal ağdan sanal ağa bağlantıların ve ağ geçidine bağlı eşlenmiş sanal ağların maksimum toplamını belirler. Windows tabanlı noktadan siteye istemciler bu sınırı aşıyorsa IKEv2 aracılığıyla bağlanamaz.

Noktadan siteye bağlantılar için OpenVPN trafik seçici sınırı nedir?

OpenVPN için trafik seçici sınırı 1000 rotadır.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırırsam ne olur?

Karma bir ortamda (Windows ve Mac cihazlarından oluşan) hem SSTP hem de IKEv2'yi yapılandırdığınızda, Windows VPN istemcisi her zaman önce IKEv2 tünelini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP'ye geri döner. MacOSX yalnızca IKEv2 üzerinden bağlanır.

Ağ geçidinde hem SSTP hem de IKEv2 etkinleştirildiğinde noktadan siteye adres havuzu statik olarak ikisi arasında bölünür, bu nedenle farklı protokolleri kullanan istemciler her iki alt aralıktaki IP adresleridir. Adres aralığı /24'ten büyük olsa bile en fazla SSTP istemcisi sayısı her zaman 128'dir ve bu da IKEv2 istemcileri için daha fazla sayıda adrese neden olur. Daha küçük aralıklar için havuz eşit oranda yarıya indirilir. Ağ geçidi tarafından kullanılan Trafik Seçicileri noktadan siteye adres aralığı CIDR'yi değil, iki alt aralık CIDR'sini içerebilir.

Azure, P2S VPN için Windows ve Mac dışında hangi platformları destekliyor?

P2S VPN için Windows, Mac ve Linux Azure desteği.

Zaten dağıtılmış bir Azure VPN Gateway’im var. Bu ağ geçidi üzerinde RADIUS ve/veya IKEv2 VPN etkinleştirebilir miyim?

Evet, kullandığınız ağ geçidi SKU'su RADIUS ve/veya IKEv2'yi destekliyorsa, PowerShell veya Azure portalını kullanarak zaten dağıttığınız ağ geçitlerinde bu özellikleri etkinleştirebilirsiniz. Temel SKU RADIUS veya IKEv2'yi desteklemez.

Bir P2S bağlantısının yapılandırması nasıl kaldırılır?

Bir P2S bağlantısı, aşağıdaki komutlar ve Azure CLI ve PowerShell kullanılarak kaldırılabilir:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Sertifika kimlik doğrulaması kullanarak bağlanırken sertifika uyuşmazlığı alıyorsam ne yapmalıyım?

"Sertifikayı doğrulayarak sunucunun kimliğini doğrulayın" seçeneğinin işaretini kaldırın veya profili el ile oluştururken sunucu FQDN'sini sertifikayla birlikte ekleyin. Bunu yapmak için bir komut isteminden rasphone çalıştırabilir ve açılan listeden profili seçebilirsiniz.

Sunucu kimliği doğrulamasının atlanması genel olarak önerilmez, ancak Azure sertifika kimlik doğrulaması ile VPN tünel protokolünde (IKEv2/SSTP) ve EAP protokolünde sunucu doğrulaması için aynı sertifika kullanılır. Sunucu sertifikası ve FQDN zaten VPN tünel protokolü tarafından doğrulandığından, EAP'de aynı şeyi yeniden doğrulamak yedeklidir.

noktadan siteye kimlik doğrulaması

Noktadan Siteye bağlantı için sertifika oluşturmak için kendi iç PKI kök CA'mı kullanabilir miyim?

Evet. Önceden, yalnızca otomatik olarak imzalanan kök sertifikalar kullanılabiliyordu. 20 kök sertifika yükleyebilirsiniz.

Azure Key Vault sertifikalarını kullanabilir miyim?

Hayır

Sertifikaları oluşturmak için hangi araçları kullanabilirim?

Kurumsal PKI çözümünüzü (dahili PKI'nizi), Azure PowerShell'i, MakeCert'i ve OpenSSL'yi kullanabilirsiniz.

Sertifika ayarları ve parametreler için yönergeler var mı?

  • Dahili PKI/Kurumsal PKI çözümü:Sertifikaları oluşturma adımlarına bakın.

  • Azure PowerShell: Adımlar için Azure PowerShell makalesine bakın.

  • MakeCert: Adımlar için MakeCert makalesine bakın.

  • OpenSSL:

    • Sertifikaları dışarı aktarırken kök sertifikayı Base64'e dönüştürdüğünüzden emin olun.

    • İstemci sertifikası için:

      • Özel anahtarı oluştururken uzunluğu 4096 olarak belirtin.
      • Sertifikayı oluştururken, -extensions parametresini usr_cert olarak belirtin.

Noktadan siteye - RADIUS kimlik doğrulaması

Bu bölüm Resource Manager dağıtım modeli için geçerlidir.

Noktadan siteye yapılandırmamda kaç VPN istemci uç noktası olabilir?

Bu, ağ geçidi SKU’suna bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi edinmek için bkz. Ağ geçidi SKU’ları.

Noktadan siteye hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:

  • Windows Server 2008 R2 (yalnızca 64 bit)
  • Windows 8.1 (32 bit ve 64 bit)
  • Windows Server 2012 (yalnızca 64 bit)
  • Windows Server 2012 R2 (yalnızca 64 bit)
  • Windows Server 2016 (yalnızca 64 bit)
  • Windows Server 2019 (yalnızca 64 bit)
  • Windows Server 2022 (yalnızca 64 bit)
  • Windows 10
  • Windows 11
  • macOS sürüm 10.11 veya üzeri
  • Linux (StrongSwan)
  • iOS

Noktadan siteye özelliğini kullanarak proxy'leri ve güvenlik duvarlarını çapraz geçiş yapabilir miyim?

Azure desteği üç tür noktadan siteye VPN seçeneği vardır:

  • Güvenli Yuva Tünel Protokolü (SSTP). SSTP, Microsoft’a özel SSL tabanlı bir çözümdür ve çoğu güvenlik duvarı 443 SSL’nin kullandığı giden TCP bağlantı noktasını açtığı için güvenlik duvarlarından geçebilir.

  • OpenVPN. OpenVPN, SSL tabanlı bir çözümdür ve çoğu güvenlik duvarı 443 SSL’nin kullandığı giden TCP bağlantı noktasını açtığı için güvenlik duvarlarından geçebilir.

  • IKEv2 VPN. IKEv2 VPN, 500 ve 4500 numaralı giden UDP bağlantı noktalarını ve 50 numaralı IP protokollerini kullanan standartlara dayalı bir IPsec VPN çözümüdür. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz, bu nedenle IKEv2 VPN'nin proxy'leri ve güvenlik duvarlarını geçememe olasılığı vardır.

Noktadan siteye için yapılandırılmış bir istemci bilgisayarı yeniden başlatırsam VPN otomatik olarak yeniden bağlanır mı?

Otomatik Yeniden Bağlantı, kullanılan istemcinin bir işlevidir. Windows, Always On VPN istemcisi özelliğini yapılandırarak Otomatik Yeniden Bağlanmayı destekler.

Noktadan siteye VPN istemcilerinde DDNS'yi destekliyor mu?

DDNS şu anda noktadan siteye VPN'lerde desteklenmemektedir.

Siteden Siteye ve noktadan siteye yapılandırmaların aynı sanal ağ için birlikte var olmasını sağlayabilir miyim?

Evet. Resouce Manager dağıtım modeli için, ağ geçidiniz için RouteBased VPN türü olmalıdır. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir. Statik yönlendirme VPN ağ geçitleri veya PolicyBased VPN ağ geçitleri için noktadan siteye desteğimiz yoktur.

Aynı anda birden çok sanal ağ geçidine bağlanmak için noktadan siteye istemci yapılandırabilir miyim?

Kullanılan VPN İstemcisi yazılımına bağlı olarak, bağlı olan sanal ağların aralarında veya istemcinin bağlanıldığı ağ arasında çakışan adres alanları olmadığı sürece birden çok Sanal Ağ Ağ Geçidine bağlanabilirsiniz. Azure VPN İstemcisi birden fazla VPN bağlantısını desteklese de, aynı anda yalnızca bir tane bağlantı bağlı olabilir.

Noktadan siteye istemciyi aynı anda birden çok sanal ağa bağlanacak şekilde yapılandırabilir miyim?

Evet, diğer sanal ağlarla eşlenmiş bir sanal ağda dağıtılan bir sanal ağ geçidine noktadan siteye istemci bağlantılarının diğer eşlenen sanal ağlara erişimi olabilir. Noktadan siteye istemciler, eşlenen sanal ağlar UseRemoteGateway / AllowGatewayTransit özelliklerini kullandığı sürece eşlenmiş sanal ağlara bağlanabilir. Daha fazla bilgi için bkz . Noktadan siteye yönlendirme hakkında.

Siteden Siteye veya noktadan siteye bağlantılar aracılığıyla ne kadar aktarım hızı bekleyebilirsiniz?

VPN tünellerinin tam verimini elde etmek zordur. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir. Verimlilik, şirket içi ve İnternet arasındaki bant genişliğiyle ve gecikme süresiyle de sınırlıdır. Yalnızca IKEv2 noktadan siteye VPN bağlantılarına sahip bir VPN Gateway için, bekleyebileceğiniz toplam aktarım hızı Ağ Geçidi SKU'sunu temel alır. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ geçidi SKU’ları.

Noktadan siteye SSTP ve/veya IKEv2'yi destekleyen herhangi bir yazılım VPN istemcisi kullanabilir miyim?

Hayır SSTP için yalnızca Windows’daki yerel VPN istemcisini ve IKEv2 için yalnızca Mac’teki yerel VPN istemcisini kullanabilirsiniz. Ancak, OpenVPN protokolü üzerinden bağlanmak için tüm platformlarda OpenVPN istemcisini kullanabilirsiniz. Desteklenen istemci işletim sistemlerinin listesine bakın.

Noktadan siteye bağlantı için kimlik doğrulama türünü değiştirebilir miyim?

Evet. Portalda VPN ağ geçidi -> Noktadan siteye yapılandırma sayfasına gidin. Kimlik doğrulama türü için kullanmak istediğiniz kimlik doğrulama türlerini seçin. Kimlik doğrulama türünde değişiklik yaptıktan sonra, her VPN istemcisine yeni bir VPN istemcisi yapılandırma profili oluşturulana, indirilene ve uygulanana kadar geçerli istemciler bağlanamayabilir.

Ne zaman yeni bir VPN istemci profili yapılandırma paketi oluşturmam gerekiyor?

Tünel Türü ekleme veya Kimlik Doğrulama Türünü değiştirme gibi P2S VPN ağ geçidi yapılandırma ayarlarında değişiklik yaptığınızda, yeni bir VPN istemci profili yapılandırma paketi oluşturmanız gerekir. Yeni paket, P2S ağ geçidine düzgün bir şekilde bağlanmak için VPN istemcilerinin ihtiyaç duyduğu güncelleştirilmiş ayarları içerir. Paketi oluşturdıktan sonra, VPN istemcilerini güncelleştirmek için dosyalarda yer alan ayarları kullanın.

Azure Windows ile IKEv2 VPN destekler mi?

IKEv2, Windows 10 ve Server 2016’da desteklenir. Ancak, IKEv2'yi belirli işletim sistemi sürümlerinde kullanmak için güncelleştirmeleri yüklemeniz ve yerel olarak bir kayıt defteri anahtarı değeri ayarlamanız gerekir. Windows 10'un önceki işletim sistemi sürümleri desteklenmez ve yalnızca SSTP veya OpenVPN® Protokolü kullanabilir.

Not

Windows işletim sistemi, Windows 10 Sürüm 1709 ve Windows Server 2016 Sürüm 1607'den daha yeni derlemeler bu adımları gerektirmez.

IKEv2 için Windows 10 ve Server 2016’yı hazırlamak için:

  1. İşletim sistemi sürümünüz temelinde güncelleştirmeyi yükleyin:

    İşletim sistemi sürümü Tarih Sayı/Bağlantı
    Windows Server 2016
    Windows 10 Sürüm 1607
    17 Ocak 2018 KB4057142
    Windows 10 Sürüm 1703 17 Ocak 2018 KB4057144
    Windows 10 sürüm 1709 22 Mart 2018 KB4089848
  2. Kayıt defteri anahtar değerini ayarlayın. Kayıt defterinde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD anahtarını oluşturun veya 1 olarak ayarlayın.

Noktadan siteye bağlantılar için IKEv2 trafik seçici sınırı nedir?

Windows 10 sürüm 2004 (Eylül 2021'de yayımlandı) trafik seçici sınırı 255'e yükseltildi. Bundan önceki Windows sürümlerinde trafik seçici sınırı 25'tır.

Windows'taki trafik seçici sınırı, sanal ağınızdaki adres alanı sayısı üst sınırını ve yerel ağlarınızın, sanal ağdan sanal ağa bağlantıların ve ağ geçidine bağlı eşlenmiş sanal ağların maksimum toplamını belirler. Windows tabanlı noktadan siteye istemciler bu sınırı aşıyorsa IKEv2 aracılığıyla bağlanamaz.

Noktadan siteye bağlantılar için OpenVPN trafik seçici sınırı nedir?

OpenVPN için trafik seçici sınırı 1000 rotadır.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırırsam ne olur?

Karma bir ortamda (Windows ve Mac cihazlarından oluşan) hem SSTP hem de IKEv2'yi yapılandırdığınızda, Windows VPN istemcisi her zaman önce IKEv2 tünelini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP'ye geri döner. MacOSX yalnızca IKEv2 üzerinden bağlanır.

Ağ geçidinde hem SSTP hem de IKEv2 etkinleştirildiğinde noktadan siteye adres havuzu statik olarak ikisi arasında bölünür, bu nedenle farklı protokolleri kullanan istemciler her iki alt aralıktaki IP adresleridir. Adres aralığı /24'ten büyük olsa bile en fazla SSTP istemcisi sayısı her zaman 128'dir ve bu da IKEv2 istemcileri için daha fazla sayıda adrese neden olur. Daha küçük aralıklar için havuz eşit oranda yarıya indirilir. Ağ geçidi tarafından kullanılan Trafik Seçicileri noktadan siteye adres aralığı CIDR'yi değil, iki alt aralık CIDR'sini içerebilir.

Azure, P2S VPN için Windows ve Mac dışında hangi platformları destekliyor?

P2S VPN için Windows, Mac ve Linux Azure desteği.

Zaten dağıtılmış bir Azure VPN Gateway’im var. Bu ağ geçidi üzerinde RADIUS ve/veya IKEv2 VPN etkinleştirebilir miyim?

Evet, kullandığınız ağ geçidi SKU'su RADIUS ve/veya IKEv2'yi destekliyorsa, PowerShell veya Azure portalını kullanarak zaten dağıttığınız ağ geçitlerinde bu özellikleri etkinleştirebilirsiniz. Temel SKU RADIUS veya IKEv2'yi desteklemez.

Bir P2S bağlantısının yapılandırması nasıl kaldırılır?

Bir P2S bağlantısı, aşağıdaki komutlar ve Azure CLI ve PowerShell kullanılarak kaldırılabilir:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

RADIUS kimlik doğrulaması tüm Azure VPN Gateway SKU’larında destekleniyor mu?

RADIUS kimlik doğrulaması, Temel SKU dışındaki tüm SKU'lar için desteklenir.

Eski SKU'lar için RADIUS kimlik doğrulaması Standart ve Yüksek Performanslı SKU'larda desteklenir. Temel Ağ Geçidi SKU'sunun üzerinde desteklenmez.

RADIUS kimlik doğrulaması klasik dağıtım modeli için desteklenir mi?

Hayır RADIUS kimlik doğrulaması klasik dağıtım modeli için desteklenmez.

RADIUS sunucusuna gönderilen RADIUS istekleri için zaman aşımı süresi nedir?

RADIUS istekleri 30 saniye sonra zaman aşımına uğrar. Kullanıcı tanımlı zaman aşımı değerleri bugün desteklenmiyor.

Üçüncü taraf RADIUS sunucuları desteklenir mi?

Evet, üçüncü taraf RADIUS sunucuları desteklenir.

Azure ağ geçidinin şirket içi bir RADIUS sunucusuna ulaşabildiğinden emin olmak için bağlantı gereksinimleri nelerdir?

Uygun yolların yapılandırıldığı şirket içi siteye siteden siteye VPN bağlantısı gereklidir.

Şirket içi RADIUS sunucusuna gelen trafik (Azure VPN ağ geçidinden) bir ExpressRoute bağlantısı üzerinden yönlendirilebilir mi?

Hayır Yalnızca siteden siteye bağlantı üzerinden yönlendirilebilir.

RADIUS kimlik doğrulaması ile desteklenen SSTP bağlantılarının sayısında bir değişiklik var mı? En fazla kaç SSTP ve IKEv2 bağlantısı desteklenir?

RADIUS kimlik doğrulamasına sahip bir ağ geçidinde desteklenen en fazla SSTP bağlantısı sayısında bir değişiklik yoktur. SSTP için 128 olarak kalır, ancak IKEv2 için ağ geçidi SKU'sunun durumuna bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi edinmek için bkz. Ağ geçidi SKU’ları.

RADIUS sunucusu kullanarak sertifika kimlik doğrulaması yapma ile Azure yerel sertifika kimlik doğrulamasını (güvenilen bir sertifikayı Azure'a yükleyerek) kullanma arasındaki fark nedir?

RADIUS sertifika doğrulamasında, doğrulaması isteği gerçek sertifika doğrulamasını işleyen bir RADIUS sunucusuna iletilir. Zaten mevcut bir sertifika doğrulaması altyapısını RADIUS üzerinden tümleştirmek istiyorsanız bu seçenek yararlı olur.

Sertifika doğrulaması için Azure kullanıldığında, Azure VPN ağ geçidi sertifikayı doğrular. Sertifika ortak anahtarınızı ağ geçidine yüklemeniz gerekir. Ayrıca bağlanmasına izin verilmeyen iptal edilmiş sertifikaların bir listesini belirtebilirsiniz.

Radius kimlik doğrulaması, çok faktörlü yetkilendirme (MFA) için Ağ İlkesi Sunucusu (NPS) tümleştirmesini destekliyor mu?

MFA'nız metin tabanlıysa (SMS, mobil uygulama doğrulama kodu vb.) ve kullanıcının VPN istemcisi kullanıcı arabirimine bir kod veya metin girmesini gerektiriyorsa, kimlik doğrulaması başarılı olmaz ve desteklenen bir senaryo değildir. Bkz. Çok faktörlü kimlik doğrulaması için Azure VPN ağ geçidi RADIUS kimlik doğrulamasını NPS sunucusuyla tümleştirme

RADIUS kimlik doğrulaması hem IKEv2 hem de SSTP VPN ile çalışır mı?

Evet, RADIUS kimlik doğrulaması hem IKEv2 hem de SSTP VPN için desteklenir.

RADIUS kimlik doğrulaması OpenVPN istemcisiyle çalışır mı?

RADIUS kimlik doğrulaması OpenVPN protokolü için desteklenir.

Sanal Ağdan Sanal Ağa ve Çok Siteli bağlantılar

Sanal ağdan sanal ağa SSS, VPN ağ geçidi bağlantıları için geçerlidir. Sanal ağ eşlemesi hakkında bilgi için bkz . Sanal ağ eşlemesi.

Azure sanal ağlar arasındaki trafik için ücretli midir?

VPN ağ geçidi bağlantısı kullandığınızda aynı bölgedeki sanal ağdan sanal ağa trafik her iki yönde de ücretsizdir. Bölgeler arası sanal ağdan sanal ağa çıkış trafiği, kaynak bölgelere göre giden sanal ağlar arası veri aktarım hızlarıyla ücretlendirilir. Daha fazla bilgi için bkz . VPN Gateway fiyatlandırma sayfası. Sanal ağlarınızı VPN ağ geçidi yerine sanal ağ eşlemesi kullanarak bağlıyorsanız bkz . Sanal ağ fiyatlandırması.

Sanal ağdan sanal ağa trafik İnternet üzerinden mi seyahat eder?

Hayır Sanal ağdan sanal ağa trafik, İnternet üzerinden değil Microsoft Azure omurgası üzerinden hareket eder.

Microsoft Entra kiracıları arasında sanal ağdan sanal ağa bağlantı kurabilir miyim?

Evet, Azure VPN ağ geçitlerini kullanan sanal ağdan sanal ağa bağlantılar Microsoft Entra kiracılarında çalışır.

Sanal Ağdan Sanal Ağa trafiği güvenli mi?

Evet, IPsec/IKE şifrelemesi ile korunur.

Sanal ağları birbirine bağlamak için bir VPN cihazı gerekiyor mu?

Hayır İşletmeler arası bağlantı gerekmediği sürece birden fazla Azure sanal ağını birleştirmek için VPN cihazına gerek yoktur.

Sanal ağlarımın aynı bölgede olması gerekiyor mu?

Hayır Sanal ağlar aynı ya da farklı Azure bölgelerinde (konumlarında) bulunabilir.

Sanal ağlar aynı abonelikte değilse, aboneliklerin aynı Active Directory kiracısıyla ilişkilendirilmesi gerekiyor mu?

Hayır

Farklı Azure örneklerinde sanal ağları bağlamak için Sanal Ağdan Sanal Ağa bağlantı kullanabilir miyim?

Hayır Sanal Ağdan Sanal Ağa, aynı Azure örneğindeki sanal ağları bağlamayı destekler. Örneğin, genel Azure ile Çince/Almanca/ABD kamu Azure örnekleri arasında bağlantı oluşturamazsınız. Bu senaryolar için Siteden Siteye VPN bağlantısı kullanmayı göz önünde bulundurun.

Sanal Ağdan Sanal Ağa bağlantıyı çoklu site bağlantılarıyla birlikte kullanabilir miyim?

Evet. Sanal ağ bağlantısı, çoklu site VPN’leri ile eşzamanlı olarak kullanılabilir.

Bir sanal ağ kaç şirket içi siteye ve sanal ağa bağlanabilir?

Ağ geçidi gereksinimleri tablosuna bakın.

Bir sanal ağın dışındaki sanal makineleri veya bulut hizmetlerini bağlamak için Sanal Ağdan Sanal Ağa bağlantı kullanabilir miyim?

Hayır Sanal Ağdan Sanal Ağa, sanal ağları bağlamayı destekler. Sanal ağ içinde olmayan sanal makinelerin veya bulut hizmetlerinin bağlanmasını desteklemez.

Bulut hizmeti veya yük dengeleme uç noktası sanal ağlara yayılabilir mi?

Hayır Bulut hizmeti veya yük dengeleme uç noktası, birbirine bağlı olsalar bile sanal ağlara yayılamaz.

Sanal Ağdan Sanal Ağa veya Çok Siteli bağlantılar için PolicyBased VPN türü kullanabilir miyim?

Hayır Sanal Ağdan Sanal Ağa ve Çok Siteli bağlantılar, RouteBased (önceki adı dinamik yönlendirme) VPN türlerine sahip Azure VPN ağ geçitleri gerektirir.

PolicyBased VPN türüne sahip sanal ağı RouteBased VPN türüne sahip başka bir sanal ağa bağlayabilir miyim?

Hayır, her iki sanal ağ da rota tabanlı (önceki adıyla dinamik yönlendirme) VPN'leri kullanmalıdır.

VPN tünelleri bant genişliğini paylaşır mı?

Evet. Sanal ağ üzerindeki tüm VPN tünelleri, Azure VPN ağ geçidi ve aynı ağ geçidi çalışma süresi SLA’sı üzerinde aynı kullanılabilir bant genişliğini paylaşır.

Yedekli tüneller destekleniyor mu?

Bir sanal ağ çifti arasındaki yedekli tüneller, sanal ağ geçitlerinden biri etkin-etkin olarak yapılandırıldığında desteklenir.

Sanal Ağdan Sanal Ağa yapılandırmalar için çakışan adres alanları kullanabilir miyim?

Hayır Çakışan IP adresi aralıklarını kullanamazsınız.

Bağlı sanal ağlar ve şirket içi yerel siteleri arasında çakışan adres alanları olabilir mi?

Hayır Çakışan IP adresi aralıklarını kullanamazsınız.

Siteden siteye VPN bağlantım ile ExpressRoute'um arasında yönlendirmeyi etkinleştirmek Nasıl yaparım??

ExpressRoute'a bağlı dalınız ile siteden siteye VPN bağlantısına bağlı dalınız arasında yönlendirmeyi etkinleştirmek istiyorsanız Azure Route Server'ı ayarlamanız gerekir.

Şirket içi sitelerim arasında veya başka bir sanal ağa trafiği geçirmek için Azure VPN ağ geçidini kullanabilir miyim?

Resource Manager dağıtım modeli
Evet. Daha fazla bilgi için BGP bölümüne bakın.

Klasik dağıtım modeli
Klasik dağıtım modeli kullanılarak Azure VPN ağ geçidi üzerinden trafik geçirilebilse de, bu geçiş, ağ yapılandırma dosyasında statik olarak tanımlanan adres alanlarına bağlıdır. BGP henüz klasik dağıtım modeli kullanılarak Azure Sanal Ağ ve VPN ağ geçitlerinde desteklenmemektedir. BGP olmadan, geçiş adres alanlarının el ile tanımlanması çok hata eğilimindedir ve önerilmez.

Azure, IPsec/IKE önceden paylaşılan anahtarı tüm VPN bağlantılarımla aynı sanal ağ için mi üretiyor?

Hayır, varsayılan olarak Azure farklı VPN bağlantıları için farklı önceden paylaşılan anahtarlar oluşturur. Ancak, tercih ettiğiniz anahtar değerini ayarlamak için REST API veya PowerShell cmdlet'ini kullanabilirsiniz Set VPN Gateway Key . Anahtar boşluk, kısa çizgi (-) veya tilde (~) dışında yalnızca yazdırılabilir ASCII karakterleri içermelidir.

Tek bir sanal ağdan daha fazla siteden siteye VPN ile daha fazla bant genişliği alabilir miyim?

Hayır, noktadan siteye VPN'ler de dahil olmak üzere tüm VPN tünelleri aynı Azure VPN ağ geçidini ve kullanılabilir bant genişliğini paylaşır.

Çok siteli VPN kullanarak sanal ağlarım ve şirket içi sitem arasında birden fazla tünel yapılandırabilir miyim?

Evet, ancak iki tünelde de aynı konum için BGP yapılandırması gerçekleştirmeniz gerekir.

Azure VPN Gateway, şirket içi sitelerime yönelik birden çok bağlantı arasındaki yönlendirme kararlarını etkilemek için AS Yolu ön koşulunu kabul ediyor mu?

Evet, Azure VPN ağ geçidi, BGP etkinleştirildiğinde yönlendirme kararlarının alınmasına yardımcı olmak için AS Yolu ön ödemesini kabul eder. BGP yolu seçiminde daha kısa bir AS Yolu tercih edilir.

Yeni bir VPN VirtualNetworkGateway bağlantısı oluştururken RoutingWeight özelliğini kullanabilir miyim?

Hayır, bu ayar ExpressRoute ağ geçidi bağlantıları için ayrılmıştır. Yönlendirme kararlarını birden çok bağlantı arasında etkilemek istiyorsanız AS Path ön bağlamasını kullanmanız gerekir.

Birden çok VPN tüneline sahip sanal ağımla noktadan siteye VPN'leri kullanabilir miyim?

Evet, noktadan siteye (P2S) VPN'ler birden çok şirket içi siteye ve diğer sanal ağa bağlanan VPN ağ geçitleriyle kullanılabilir.

IPsec VPN’lerle sanal ağı ExpressRoute devreme bağlayabilir miyim?

Evet, bu desteklenir. Daha fazla bilgi için bkz . Birlikte var olan ExpressRoute ve siteden siteye VPN bağlantılarını yapılandırma.

IPsec/IKE ilkesi

Özel IPsec/IKE ilkesi tüm Azure VPN Gateway SKU’larında desteklenir mi?

Özel IPsec/IKE ilkesi, Temel SKU dışında tüm Azure SKU'larında desteklenir.

Bir bağlantıda kaç tane ilke belirtebilirim?

Belirli bir bağlantı için yalnızca bir ilke birleşimi belirtebilirsiniz.

Bir bağlantıda kısmi bir ilke belirtebilir miyim? (örneğin IPsec olmadan yalnızca IKE algoritmaları)

Hayır, hem IKE (Ana Mod) hem de IPsec (Hızlı Mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir. Kısmi ilke belirtimine izin verilmez.

Özel ilkede desteklenen algoritmalar ve anahtar güçleri nelerdir?

Aşağıdaki tabloda, yapılandırabileceğiniz desteklenen şifreleme algoritmaları ve anahtar güçlü yönleri listelenmektedir. Her alan için bir seçeneği belirlemeniz gerekir.

IPsec/IKEv2 Seçenekler
IKEv2 Şifrelemesi GCMAES256, GCMAES128, AES256, AES192, AES128
IKEv2 Bütünlüğü SHA384, SHA256, SHA1, MD5
DH Grubu DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec Şifrelemesi GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec Bütünlüğü GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS Grubu PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Hiçbiri
QM SA Yaşam Süresi (İsteğe bağlı: belirtilmezse varsayılan değerler kullanılır)
Saniye (tamsayı; en az 300/varsayılan 27000 saniye)
Kilobayt (tamsayı; en az 1024/varsayılan 102400000 kilobayt)
Trafik Seçicisi UsePolicyBasedTrafficSelectors** ($True/$False; İsteğe bağlı, belirtilmezse varsayılan $False)
DPD zaman aşımı Saniye (tamsayı: en az 9/maks. 3600; varsayılan 45 saniye)
  • Şirket içi VPN cihazı yapılandırmanızın Azure IPsec/IKE ilkesinde belirttiğiniz şu algoritmalar ve parametrelerle eşleşmesi ya da bunları içermesi gerekir:

    • IKE şifreleme algoritması (Ana Mod / 1. Aşama)
    • IKE bütünlük algoritması (Ana Mod / 1. Aşama)
    • DH Grubu (Ana Mod / 1. Aşama)
    • IPsec şifreleme algoritması (Hızlı Mod / 2. Aşama)
    • IPsec bütünlük algoritması (Hızlı Mod / 2. Aşama)
    • PFS Grubu (Hızlı Mod / 2. Aşama)
    • Trafik Seçici (UsePolicyBasedTrafficSelectors kullanılıyorsa)
    • SA yaşam süreleri yalnızca yerel belirtimlerdir ve eşleşmesi gerekmez.
  • GCMAES, IPsec Şifreleme algoritması için kullanılıyorsa, IPsec Bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu seçmeniz gerekir; örneğin, her ikisi için de GCMAES128 kullanma.

  • Algoritmalar ve anahtarlar tablosunda:

    • IKE, Ana Moda veya 1. Aşamaya karşılık gelir.
    • IPsec, Hızlı Moda veya 2. Aşamaya karşılık gelir.
    • DH Grubu, Ana Modda veya 1. Aşamada kullanılan Diffie-Hellman Grubunu belirtir.
    • PFS Grubu, Hızlı Modda veya 2. Aşamada kullanılan Diffie-Hellman Grubunu belirtti.
  • IKE Ana Mod SA ömrü, Azure VPN ağ geçitlerinde 28.800 saniyede sabittir.

  • 'UsePolicyBasedTrafficSelectors' bağlantıda isteğe bağlı bir parametredir. UsePolicyBasedTrafficSelectors'ı bir bağlantıda $True olarak ayarlarsanız, Azure VPN ağ geçidini şirket içi ilke tabanlı VPN güvenlik duvarına bağlanacak şekilde yapılandıracaktır. PolicyBasedTrafficSelectors'ı etkinleştirirseniz, VPN cihazınızın azure sanal ağ ön ekleri yerine şirket içi ağ (yerel ağ geçidi) ön eklerinizin tüm birleşimleriyle tanımlanan eşleşen trafik seçicilerine sahip olduğundan emin olmanız gerekir. Azure VPN ağ geçidi, Azure VPN ağ geçidinde yapılandırılanlardan bağımsız olarak uzak VPN ağ geçidi tarafından önerilen trafik seçiciyi kabul eder.

    Örneğin, şirket içi ağınızın ön ekleri 10.1.0.0/16 ve 10.2.0.0/16; sanal ağınızın ön ekleriyse 192.168.0.0/16 ve 172.16.0.0/16 şeklindeyse, aşağıdaki trafik seçicileri belirtmeniz gerekir:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    İlke tabanlı trafik seçicileri hakkında daha fazla bilgi için bkz . Birden çok şirket içi ilke tabanlı VPN cihazını bağlama.

  • DPD zaman aşımı - Azure VPN ağ geçitlerinde varsayılan değer 45 saniyedir. Zaman aşımının daha kısa sürelere ayarlanması IKE'nin daha agresif bir şekilde yeniden anahtar oluşturmasına neden olur ve bazı durumlarda bağlantının kesilmiş gibi görünmesine neden olur. Şirket içi konumlarınız VPN ağ geçidinin bulunduğu Azure bölgesinden uzaktaysa veya fiziksel bağlantı koşulu paket kaybına neden olabilirse bu durum istenmeyebilir. Genel öneri, zaman aşımının 30 ila 45 saniye arasında ayarlanmasıdır.

Daha fazla bilgi için bkz. Birden çok şirket içi ilke tabanlı VPN cihazını bağlama.

Hangi Diffie-Hellman Grupları desteklenir?

Aşağıdaki tabloda, özel ilke tarafından desteklenen ilgili Diffie-Hellman grupları listelenmektedir:

Diffie-Hellman Grubu DHGroup PFSGroup Anahtar uzunluğu
1 DHGroup1 PFS1 768 bit MODP
2 DHGroup2 PFS2 1024 bit MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 bit MODP
19 ECP256 ECP256 256 bit ECP
20 ECP384 ECP384 384 bit ECP
24 DHGroup24 PFS24 2048 bit MODP

Diğer ayrıntılar için RFC3526ve RFC5114’e bakın.

Özel ilke, Azure VPN ağ geçitleri için IPsec/IKE ilke kümelerinin yerini mi alır?

Evet, bir bağlantıda özel bir ilke belirtildiğinde VPN ağ geçidi, bağlantıda hem IKE başlatıcı hem de IKE yanıtlayıcısı olarak yalnızca bu ilkeyi kullanır.

Özel bir IPsec/IKE ilkesini kaldırırsam bağlantı korumasız hale mi gelir?

Hayır, bağlantı IPsec/IKE tarafından korunmaya devam eder. Bir bağlantıdan özel bir ilkeyi kaldırdığınızda, Azure VPN ağ geçidi varsayılan IPsec/IKE teklifleri listesine döner ve şirket içi VPN cihazınızla IKE el sıkışmasını yeniden başlatır.

Bir IPsec/IKE ilkesinin eklenmesi veya güncelleştirilmesi, VPN bağlantımı kesintiye uğratır mı?

Evet, Azure VPN ağ geçidi tarafından mevcut bağlantı yıkılıp yeni şifreleme algoritmaları ve parametrelerle IPsec tünelini yeniden kurmak üzere IKE el sıkışması yeniden başlatılırken kısa bir kesinti (birkaç saniye) gerçekleşebilir. Kesinti süresini mümkün olduğunca azaltmak için şirket içi VPN cihazınızın da eşleşen algoritmalar ve anahtar güçleriyle yapılandırıldığından emin olun.

Farklı bağlantılarda farklı ilkeler kullanabilir miyim?

Evet. Özel ilkeler, bağlantı başına bir ilke temelinde uygulanır. Farklı bağlantılarda farklı IPsec/IKE ilkeleri oluşturabilir ve uygulayabilirsiniz. Bağlantıların bir alt kümesinde özel ilkeler uygulamayı da tercih edebilirsiniz. Geriye kalan bağlantılar, Azure’daki varsayılan IPsec/IKE ilke kümelerin kullanır.

Özel ilkeyi VNet-VNet bağlantısında da kullanabilir miyim?

Evet, hem IPsec şirket içi ve dışı karışık bağlantılarda hem de Vnet-Vnet bağlantılarında özel ilke uygulayabilirsiniz.

Her iki VNet-VNet bağlantı kaynağında aynı ilkeyi belirtmem mi gerekir?

Evet. VNet-VNet tüneli, her iki yön için birer tane olmak üzere Azure’daki iki bağlantı kaynağından oluşur. Her iki bağlantı kaynağının da aynı ilkeye sahip olduğundan emin olun, aksi takdirde VNet-VNet bağlantısı kurulamaz.

Varsayılan DPD zaman aşımı değeri nedir? Farklı bir DPD zaman aşımı belirtebilir miyim?

Varsayılan DPD zaman aşımı 45 saniyedir. Her IPsec veya sanal ağdan sanal ağa bağlantıda 9 saniyeden 3600 saniyeye kadar farklı bir DPD zaman aşımı değeri belirtebilirsiniz.

Not

Azure VPN ağ geçitlerinde varsayılan değer 45 saniyedir. Zaman aşımının daha kısa sürelere ayarlanması IKE'nin daha agresif bir şekilde yeniden anahtar oluşturmasına neden olur ve bazı durumlarda bağlantının kesilmiş gibi görünmesine neden olur. Şirket içi konumlarınız VPN ağ geçidinin bulunduğu Azure bölgesinden daha uzaktaysa veya fiziksel bağlantı koşulu paket kaybına neden olabilirse bu durum istenmeyebilir. Genel öneri, zaman aşımının 30 ile 45 saniye arasında ayarlanmasıdır.

Özel IPsec/IKE ilkesi ExpressRoute bağlantısında çalışır mı?

Hayır IPsec/IKE ilkesi yalnızca Azure VPN ağ geçitleri aracılığıyla kurulan S2S VPN ve VNet-VNet bağlantılarında çalışır.

IKEv1 veya IKEv2 protokol türüyle bağlantı oluşturmak Nasıl yaparım??

IKEv1 bağlantıları Temel SKU, Standart SKU ve diğer eski SKU'lar dışında tüm RouteBased VPN türü SKU'larda oluşturulabilir. Bağlantı oluştururken IKEv1 veya IKEv2 bağlantı protokolü türünü belirtebilirsiniz. Bir bağlantı protokolü türü belirtmezseniz, IKEv2 varsa varsayılan seçenek olarak kullanılır. Daha fazla bilgi için PowerShell cmdlet belgelerine bakın. SKU türleri ve IKEv1/IKEv2 desteği için bkz . Ağ geçitlerini ilke tabanlı VPN cihazlarına bağlama.

IKEv1 ile IKEv2 bağlantıları arasında geçişe izin veriliyor mu?

Evet. IKEv1 ve IKEv2 bağlantıları arasında geçiş desteklenir.

RouteBased VPN türünün Temel SKU'larında IKEv1 siteden siteye bağlantılarım olabilir mi?

Hayır Temel SKU bunu desteklemez.

Bağlantı oluşturulduktan sonra bağlantı protokolü türünü değiştirebilir miyim (IKEv1 -IKEv2 ve tam tersi)?

Hayır Bağlantı oluşturulduktan sonra IKEv1/IKEv2 protokolleri değiştirilemez. İstediğiniz protokol türüyle yeni bir bağlantıyı silmeniz ve yeniden oluşturmanız gerekir.

IKEv1 bağlantım neden sık sık yeniden bağlanıyor?

Statik yönlendirme veya yol tabanlı IKEv1 bağlantınız düzenli aralıklarla kesiliyorsa, bunun nedeni büyük olasılıkla VPN ağ geçitlerinin yerinde yeniden anahtarlar desteklememesidir. Ana mod yeniden anahtarlandığında, IKEv1 tünellerinizin bağlantısı kesilir ve yeniden bağlanması 5 saniye kadar sürer. Ana mod anlaşması zaman aşımı değeriniz, yeniden anahtar sıklığını belirler. Bu yeniden bağlantıları önlemek için yerinde yeniden anahtarlamaları destekleyen IKEv2'yi kullanmaya geçebilirsiniz.

Bağlantınız rastgele zamanlarda yeniden bağlanıyorsa sorun giderme kılavuzumuzu izleyin.

Yapılandırma bilgilerini ve adımlarını nerede bulabilirim?

Daha fazla bilgi ve yapılandırma adımları için aşağıdaki makalelere bakın.

BGP ve yönlendirme

BGP tüm Azure VPN Gateway SKU'larında destekleniyor mu?

BGP, Temel SKU dışındaki tüm Azure VPN Gateway SKU'larında desteklenir.

BGP'Azure İlkesi VPN ağ geçitleriyle kullanabilir miyim?

Hayır, BGP yalnızca rota tabanlı VPN ağ geçitlerinde desteklenir.

Hangi ASN'leri (Otonom Sistem Numaraları) kullanabilirim?

Kendi ortak ASN’lerinizi veya özel ASN’lerinizi hem şirket içi ağlarda, hem de Azure sanal ağlarda kullanabilirsiniz. Azure veya IANA tarafından ayrılmış aralıkları kullanamazsınız.

Aşağıdaki ASN'ler Azure veya IANA tarafından ayrılmıştır:

  • Azure tarafından ayrılan ASN’ler:

    • Genel ASN’ler: 8074, 8075, 12076
    • Özel ASN’ler: 65515, 65517, 65518, 65519, 65520
  • IANA tarafından ayrılmış ASN'ler:

    • 23456, 64496-64511, 65535-65551 and 429496729

Azure VPN ağ geçitlerine bağlanırken şirket içi VPN cihazlarınız için bu ASN'leri belirtemezsiniz.

32 bit (4 bayt) ASN kullanabilir miyim?

Evet, VPN Gateway artık 32 bit (4 bayt) ASN'leri destekliyor. ASN'yi ondalık biçimde kullanarak yapılandırmak için PowerShell, Azure CLI veya Azure SDK'yı kullanın.

Hangi özel ASN'leri kullanabilirim?

Özel ASN'lerin kullanılabilir aralıkları şunlardır:

  • 64512-65514 ve 65521-65534

Bu ASN'ler IANA veya Azure tarafından kullanım için ayrılmaz ve bu nedenle Azure VPN ağ geçidinize atamak için kullanılabilir.

VPN Gateway BGP eş IP'leri için hangi adresi kullanır?

Varsayılan olarak, VPN Gateway etkin bekleyen VPN ağ geçitleri için GatewaySubnet aralığından tek bir IP adresi veya etkin-etkin VPN ağ geçitleri için iki IP adresi ayırır. VPN ağ geçidini oluşturduğunuzda bu adresler otomatik olarak ayrılır. PowerShell kullanarak veya Azure portalında bularak ayrılan gerçek BGP IP adresini alabilirsiniz. PowerShell'de Get-AzVirtualNetworkGateway komutunu kullanın ve bgpPeeringAddress özelliğini arayın. Azure portalının Ağ Geçidi Yapılandırması sayfasında BGP ASN'yi yapılandırma özelliğinin altına bakın.

Şirket içi VPN yönlendiricileriniz BGP IP adresleri olarak APIPA IP adreslerini (169.254.x.x) kullanıyorsa, Azure VPN ağ geçidinizde bir veya daha fazla Azure APIPA BGP IP adresi belirtmeniz gerekir. Azure VPN Gateway, yerel ağ geçidinde belirtilen şirket içi APIPA BGP eşleriyle kullanılacak APIPA adreslerini veya APIPA olmayan bir şirket içi BGP eş için özel IP adresini seçer. Daha fazla bilgi için bkz . BGP'yi yapılandırma.

VPN cihazımdaki BGP eş IP adresleri için gereksinimler nelerdir?

Şirket içi BGP eş adresiniz, VPN cihazınızın genel IP adresiyle veya VPN ağ geçidinin sanal ağ adresi alanından aynı olmamalıdır. VPN cihazında BGP eş IP’niz olarak farklı bir IP adresi kullanın. Cihazdaki geri döngü arabirimine atanmış bir adres (normal BIR IP adresi veya APIPA adresi) olabilir. Cihazınız BGP için bir APIPA adresi kullanıyorsa, BGP'yi yapılandırma bölümünde açıklandığı gibi Azure VPN ağ geçidinizde bir veya daha fazla APIPA BGP IP adresi belirtmeniz gerekir. Bu adresleri konumu temsil eden ilgili yerel ağ geçidinde belirtin.

BGP kullanırken yerel ağ geçidi için adres ön eklerim olarak ne belirtmem gerekir?

Önemli

Bu, daha önce belgelenen gereksinimden bir değişikliktir. Bağlantı için BGP kullanıyorsanız, ilgili yerel ağ geçidi kaynağı için Adres alanı alanını boş bırakın. Azure VPN Gateway, IPsec tüneli üzerinden şirket içi BGP eş IP'sine dahili olarak bir konak yolu ekler. Adres alanı alanına /32 yolunu eklemeyin. Bu artıklıktır ve şirket içi VPN cihazı BGP IP'si olarak bir APIPA adresi kullanırsanız, bu alana eklenemez. Adres alanı alanına başka herhangi bir ön ek eklerseniz, bunlar BGP aracılığıyla öğrenilen yollara ek olarak Azure VPN ağ geçidinde statik yollar olarak eklenir.

Hem şirket içi VPN ağları hem de Azure sanal ağları için aynı ASN'yi kullanabilir miyim?

Hayır, şirket içi ağlarınızla Azure sanal ağlarınız arasında BGP ile bağlantı kuruyorsanız farklı ASN'ler atamanız gerekir. Azure VPN ağ geçitleri, BGP'nin şirket içi bağlantınız için etkinleştirilip etkinleştirilmediği konusunda varsayılan olarak 65515 ASN'sine sahiptir. VPN ağ geçidini oluştururken farklı bir ASN atayarak bu varsayılan ayarı geçersiz kılabilir veya ağ geçidi oluşturulduktan sonra ASN'yi değiştirebilirsiniz. Şirket içi ASN'lerinizi ilgili Azure yerel ağ geçitlerine atamanız gerekir.

Azure VPN Gateway’ler bana hangi adres öneklerini tanıtacak?

Ağ geçitleri, şirket içi BGP cihazlarınıza aşağıdaki yolları tanıtmaktadır:

  • Sanal ağ adresi ön ekleriniz.
  • Azure VPN ağ geçidine bağlı her yerel ağ geçidi için adres ön ekleri.
  • Varsayılan yol veya herhangi bir sanal ağ ön eki ile çakışan yollar dışında Azure VPN ağ geçidine bağlı diğer BGP eşleme oturumlarından öğrenilen yollar.

Azure VPN Gateway'e kaç ön ek tanıtabilirim?

Azure VPN Gateway en fazla 4000 ön eki destekler. Ön ek sayısı bu sınırı aşarsa BGP oturumu düşürülür.

Varsayılan yolu (0.0.0.0/0) Azure VPN ağ geçitlerine tanıtabilir miyim?

Evet. Bu, tüm sanal ağ çıkış trafiğini şirket içi sitenize doğru zorlar. Ayrıca sanal ağ VM'lerinin İnternet'ten vm'lere rdp veya SSH gibi doğrudan İnternet'ten genel iletişimi kabul etmesini engeller.

Tam ön ekleri sanal ağ ön eklerim olarak tanıtabilir miyim?

Hayır, sanal ağ adresi ön eklerinizden herhangi biriyle aynı ön eklerin tanıtılması Azure tarafından engellenir veya filtrelenir. Ancak, sanal ağınızda bulunanların üst kümesi olan bir ön ek tanıtabilirsiniz.

Örneğin, sanal ağınız 10.0.0.0/16 adres alanını kullandıysa, 10.0.0.0/8 tanıtabilirsiniz. Ancak 10.0.0.0/16 veya 10.0.0.0/24 tanıtamazsınız.

BGP'i sanal ağlar arasındaki bağlantılarımla kullanabilir miyim?

Evet, BGP'yi hem şirket içi bağlantılar hem de sanal ağlar arasındaki bağlantılar için kullanabilirsiniz.

Azure VPN Gateway’lerim için BGP’yi BGP olmayan bağlantılarla karıştırabilir miyim?

Evet, aynı Azure VPN Gateway için BGP ve BGP olmayan bağlantıları karıştırabilirsiniz.

Azure VPN Gateway BGP aktarım yönlendirmeyi destekliyor mu?

Evet, Azure VPN ağ geçitlerinin diğer BGP eşlerine varsayılan yolları tanıtmama dışında BGP aktarım yönlendirmesi desteklenir. Birden çok Azure VPN ağ geçidi arasında geçiş yönlendirmeyi etkinleştirmek için, sanal ağlar arasındaki tüm ara bağlantılarda BGP'yi etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . BGP hakkında.

Azure VPN ağ geçidi ile şirket içi ağım arasında birden fazla tünel olabilir mi?

Evet, Azure VPN ağ geçidi ile şirket içi ağınız arasında birden fazla siteden siteye (S2S) VPN tüneli oluşturabilirsiniz. Tüm bu tünellerin Azure VPN ağ geçitlerinizin toplam tünel sayısına göre sayıldığını ve her iki tünelde de BGP'yi etkinleştirmeniz gerektiğini unutmayın.

Örneğin, Azure VPN ağ geçidinizle şirket içi ağlarınızdan biri arasında iki yedekli tüneliniz varsa, Azure VPN ağ geçidiniz için toplam kotanın 2 tünelini kullanır.

BGP ile iki Azure sanal ağı arasında birden çok tünel olabilir mi?

Evet, ancak sanal ağ geçitlerinden en az birinin etkin-etkin yapılandırmada olması gerekir.

Azure ExpressRoute ve S2S VPN birlikte kullanılabilirlik yapılandırmasında S2S VPN için BGP kullanabilir miyim?

Evet.

BGP eşdeğer oturumu için şirket içi VPN cihazıma ne eklemeliyim?

VPN cihazınıza Azure BGP eş IP adresinin ana bilgisayar yolunu ekleyin. Bu yol IPsec S2S VPN tüneline işaret eder. Örneğin, Azure VPN eş IP'si 10.12.255.30 ise, VPN cihazınızda eşleşen IPsec tünel arabiriminin sonraki atlama arabirimiyle 10.12.255.30 için bir konak yolu eklersiniz.

Sanal ağ geçidi BGP ile S2S bağlantıları için BFD'yi destekliyor mu?

Hayır Çift Yönlü İletme Algılama (BFD), standart BGP "keepalives" kullanarak komşu kapalı kalma süresini algılamak için bgp ile birlikte kullanabileceğiniz bir protokoldür. BFD, LAN ortamlarında çalışacak şekilde tasarlanmış, ancak genel İnternet veya Geniş Alan Ağı bağlantılarında çalışacak şekilde tasarlanmış altsaniye zamanlayıcıları kullanır.

Genel İnternet üzerinden yapılan bağlantılarda, belirli paketlerin geciktirilmesi veya bırakılması olağan dışı değildir, bu nedenle bu agresif zamanlayıcıların eklenmesi dengesizlik katabilir. Bu dengesizlik, yolların BGP tarafından sönümlenmelerine neden olabilir. Alternatif olarak, şirket içi cihazınızı varsayılandan daha düşük süreölçerler, 60 saniyelik "tutma" aralığı ve 180 saniyelik bekleme süreölçeri ile yapılandırabilirsiniz. Bu da daha hızlı yakınsama süresine neden olur. Ancak varsayılan 60 saniyelik "keepalive" aralığının altındaki veya varsayılan 180 saniyelik saklama süreölçerinin altındaki zamanlayıcılar güvenilir değildir. Zamanlayıcıları varsayılan değerlerin üzerinde veya üzerinde tutmaları önerilir.

Azure VPN ağ geçitleri BGP eşleme oturumlarını veya bağlantılarını başlatır mı?

Ağ geçidi, VPN ağ geçitlerindeki özel IP adreslerini kullanarak yerel ağ geçidi kaynaklarında belirtilen şirket içi BGP eş IP adreslerine BGP eşleme oturumları başlatır. Bu, şirket içi BGP IP adreslerinin APIPA aralığında mı yoksa normal özel IP adreslerinde mi olduğundan bağımsızdır. Şirket içi VPN cihazlarınız BGP IP olarak APIPA adresleri kullanıyorsa, bağlantıları başlatmak için BGP hoparlörünüzü yapılandırmanız gerekir.

Zorlamalı tünel yapılandırabilir miyim?

Evet. Bkz. Zorlamalı tüneli yapılandırma.

NAT

NAT tüm Azure VPN Gateway SKU'larında destekleniyor mu?

NAT, VpnGw2~5 ve VpnGw2AZ~5AZ üzerinde desteklenir.

SANAL ağdan sanal ağa veya P2S bağlantılarında NAT kullanabilir miyim?

Hayır

VPN ağ geçidinde kaç NAT kuralı kullanabilirim?

VPN ağ geçidinde en fazla 100 NAT kuralı (Giriş ve Çıkış kuralları birleştirilmiş) oluşturabilirsiniz.

NAT kuralı adında / kullanabilir miyim?

Hayır Bir hata alırsınız.

NAT bir VPN ağ geçidindeki tüm bağlantılara uygulanır mı?

NAT, NAT kurallarıyla bağlantılara uygulanır. Bir bağlantının NAT kuralı yoksa, NAT bu bağlantı üzerinde etkili olmaz. Aynı VPN ağ geçidinde NAT ile bazı bağlantılara ve NAT birlikte çalışmadan diğer bağlantılara sahip olabilirsiniz.

Azure VPN ağ geçitlerinde hangi nat türleri desteklenir?

Yalnızca statik 1:1 NAT ve Dinamik NAT desteklenir. NAT64 desteklenmez.

NAT etkin-etkin VPN ağ geçitlerinde çalışır mı?

Evet. NAT hem etkin-etkin hem de etkin bekleyen VPN ağ geçitlerinde çalışır. Her NAT kuralı, VPN ağ geçidinin tek bir örneğine uygulanır. Etkin-etkin ağ geçitlerinde, "IP yapılandırma kimliği" alanı aracılığıyla her ağ geçidi örneği için ayrı bir NAT kuralı oluşturun.

NAT BGP bağlantılarıyla çalışır mı?

Evet, BGP'yi NAT ile kullanabilirsiniz. Dikkat edilmesi gereken bazı önemli noktalar şunlardır:

  • Öğrenilen yolların ve tanıtılan yolların bağlantılarla ilişkili NAT kurallarına göre NAT sonrası adres ön eklerine (Dış Eşlemeler) çevrildiğinden emin olmak için NAT Kuralları yapılandırma sayfasında BGP Yol Çevirisini Etkinleştir'i seçin. Şirket içi BGP yönlendiricilerinin IngressSNAT kurallarında tanımlandığı gibi tam ön ekleri tanıtmasını sağlamanız gerekir.

  • Şirket içi VPN yönlendiricisi normal, APIPA olmayan bir adres kullanıyorsa ve sanal ağ adresi alanı veya diğer şirket içi ağ alanlarıyla çakışıyorsa, IngressSNAT kuralının BGP eş IP'sini benzersiz, çakışmayan bir adrese çevirdiğinden ve NAT sonrası adresini yerel ağ geçidinin BGP eş IP adresi alanına yerleştirdiğinden emin olun.

  • NAT, BGP APIPA adresleriyle desteklenmez.

SNAT kuralı için eşleşen DNAT kurallarını oluşturmam gerekiyor mu?

Hayır Tek bir SNAT kuralı, belirli bir ağın her iki yönü için de çeviriyi tanımlar:

  • IngressSNAT kuralı, şirket içi ağdan Azure VPN ağ geçidine gelen kaynak IP adreslerinin çevirisini tanımlar. Ayrıca, sanal ağdan aynı şirket içi ağa giden hedef IP adreslerinin çevirisini de işler.

  • EgressSNAT kuralı, Azure VPN ağ geçidini şirket içi ağlara bırakarak sanal ağ kaynağı IP adreslerinin çevirisini tanımlar. Ayrıca, EgressSNAT kuralıyla bu bağlantılar aracılığıyla sanal ağa gelen paketler için hedef IP adreslerinin çevirisini de işler.

  • Her iki durumda da DNAT kuralı gerekmez.

Sanal ağım veya yerel ağ geçidi adres alanımda iki veya daha fazla ön ek varsa ne yapmalıyım? Bunların tümüne NAT uygulayabilir miyim? Yoksa yalnızca bir alt küme mi?

Her NAT kuralı NAT için yalnızca bir adres ön eki içerebileceğinden, NAT için ihtiyacınız olan her ön ek için bir NAT kuralı oluşturmanız gerekir. Örneğin, yerel ağ geçidi adres alanı 10.0.1.0/24 ve 10.0.2.0/25'lerden oluşuyorsa, aşağıda gösterildiği gibi iki kural oluşturabilirsiniz:

  • IngressSNAT kural 1: Eşleme 10.0.1.0/24 ile 100.0.1.0/24
  • IngressSNAT kuralı 2: Eşleme 10.0.2.0/25 ile 100.0.2.0/25

İki kural, ilgili adres ön eklerinin ön ek uzunluklarıyla eşleşmelidir. Aynı durum sanal ağ adres alanı için EgressSNAT kuralları için de geçerlidir.

Önemli

Yukarıdaki bağlantıya yalnızca bir kural bağlarsanız, diğer adres alanı çevrilMEYECEKTİR .

Dış Eşleme için hangi IP aralıklarını kullanabilirim?

Genel ve özel IP'ler de dahil olmak üzere Dış Eşleme için istediğiniz uygun IP aralığını kullanabilirsiniz.

Sanal ağ adres alanımı farklı ön eklere farklı şirket içi ağlara çevirmek için farklı EgressSNAT kuralları kullanabilir miyim?

Evet, aynı sanal ağ adres alanı için birden çok EgressSNAT kuralı oluşturabilir ve EgressSNAT kurallarını farklı bağlantılara uygulayabilirsiniz.

Farklı bağlantılarda aynı RessSNAT kuralını kullanabilir miyim?

Evet, bu genellikle bağlantılar yedeklilik sağlamak için aynı şirket içi ağa yönelik olduğunda kullanılır. Bağlantılar farklı şirket içi ağlara yönelikse aynı Giriş kuralını kullanamazsınız.

NAT bağlantısında hem Giriş hem de Çıkış kurallarına ihtiyacım var mı?

Şirket içi ağ adres alanı sanal ağ adres alanıyla çakıştığında aynı bağlantıda hem Giriş hem de Çıkış kuralları gerekir. Sanal ağ adres alanı tüm bağlı ağlar arasında benzersizse, bu bağlantılarda EgressSNAT kuralına ihtiyacınız yoktur. Şirket içi ağlar arasında adres çakışmasını önlemek için Giriş kurallarını kullanabilirsiniz.

"IP yapılandırma kimliği" olarak neyi seçebilirim?

"IP yapılandırma kimliği", NAT kuralının kullanmasını istediğiniz IP yapılandırma nesnesinin adıdır. Bu ayarda, NAT kuralı için hangi ağ geçidi genel IP adresinin geçerli olduğunu seçmeniz yeterlidir. Ağ geçidi oluşturma zamanında herhangi bir özel ad belirtmediyseniz, ağ geçidinin birincil IP adresi "varsayılan" IPconfiguration'a atanır ve ikincil IP "activeActive" IPconfiguration'a atanır.

Şirket içi ve dışı bağlantısı ve VM'ler

Sanal makinem sanal bir ağdaysa, şirket içi ve dışı bağlantım varsa VM’ye nasıl bağlanmalıyım?

Birkaç seçeneğiniz vardır. Sanal makineniz için RDP’yi etkinleştirdiyseniz, özel IP adresini kullanarak sanal makinenize bağlanabilirsiniz. Bu durumda, özel IP adresini ve bağlanmak istediğiniz bağlantı noktasını (genellikle 3389) belirtmeniz gerekir. Sanal makinenizde trafik için bağlantı noktası yapılandırmanız gerekir.

Ayrıca, aynı sanal ağda bulunan başka bir sanal makineden sanal makinenize özel IP adresi ile bağlanabilirsiniz. Sanal ağınızın dışındaki bir konumdan bağlanıyorsanız özel IP adresini kullanarak sanal makinenize RDP yapamazsınız. Örneğin, yapılandırılmış bir noktadan siteye sanal ağınız varsa ve bilgisayarınızdan bağlantı kuramıyorsanız, sanal makineye özel IP adresiyle bağlanamazsınız.

Sanal makinem şirket içi ve dışı bağlantılı bir sanal ağdaysa, VM’me ait trafiğin tümü bu bağlantıdan geçer mi?

Hayır Bir tek, belirttiğiniz sanal ağ Yerel Ağ Ip adresi aralıklarında bulunan hedef IP’si olan trafik sanal ağ geçidinden geçer. Sanal ağ içinde yer alan bir hedef IP'ye sahip olan trafik, sanal ağ içinde kalır. Diğer trafik ortak ağlara yük dengeleyiciyle gönderilir veya zorlamalı tünel kullanılırsa, Azure VPN ağ geçidi üzerinden gönderilir.

VM ile RDP bağlantısı sorunlarını nasıl giderebilirim?

VPN bağlantınız üzerinden bir sanal makineye bağlanırken sorun yaşıyorsanız aşağıdaki öğeleri denetleyin:

  • VPN bağlantınızın başarılı olduğunu doğrulayın.
  • VM'nin özel IP adresine bağlandığınızı doğrulayın.
  • Bilgisayar adı yerine özel IP adresini kullanarak VM ile bağlantı kurabiliyorsanız, DNS’i düzgün yapılandırdığınızdan emin olun. VM’ler için ad çözümlemesinin nasıl çalıştığı hakkında daha fazla bilgi için bkz. VM'ler için Ad Çözümlemesi.

Noktadan Siteye bağlantı üzerinden bağlandığınızda aşağıdaki ek denetimleri yapın:

  • Bağlanmakta olduğunuz bilgisayardaki Ethernet bağdaştırıcısına atanan IPv4 adresini denetlemek için 'ipconfig' kullanın. IP adresi, bağlandığınız sanal ağın adres aralığında veya VPNClientAddressPool adres aralığı içindeyse, bu, çakışan adres alanı olarak adlandırılır. Adres alanınız bu şekilde çakıştığında, ağ trafiği Azure’a ulaşmaz ve yerel ağda kalır.
  • SANAL ağ için DNS sunucusu IP adresleri belirtildikten sonra VPN istemcisi yapılandırma paketinin oluşturulduğunu doğrulayın. DNS sunucusu IP adreslerini güncelleştirdiyseniz, yeni bir VPN istemci yapılandırma paketi oluşturup yükleyin.

Bir RDP bağlantısıyla ilgili sorun giderme hakkında daha fazla bilgi için bkz. Bir VM ile Uzak Masaüstü bağlantılarında sorun giderme.

Müşteri tarafından denetlenen ağ geçidi bakımı

Ağ Geçitlerinin Bakım Yapılandırması kapsamına hangi hizmetler dahildir?

Ağ Ağ Geçitleri kapsamı, Ağ hizmetlerindeki ağ geçidi kaynaklarını içerir. Ağ Geçitleri kapsamında dört tür kaynak vardır:

  • ExpressRoute hizmetinde sanal ağ geçidi.
  • VPN Gateway hizmetinde sanal ağ geçidi.
  • Sanal WAN hizmetinde VPN ağ geçidi (Siteden Siteye).
  • Sanal WAN hizmetinde ExpressRoute ağ geçidi.

Hangi bakım müşteri tarafından denetlenen bakım tarafından desteklenir veya desteklenmez?

Azure hizmetleri, işlevselliği, güvenilirliği, performansı ve güvenliği geliştirmek için düzenli bakım güncelleştirmelerinden geçer. Kaynaklarınız için bir bakım penceresi yapılandırdıktan sonra, konuk işletim sistemi ve hizmet bakımı bu pencere sırasında gerçekleştirilir. Konak güncelleştirmeleri (TOR, Güç vb.) ve kritik güvenlik güncelleştirmeleri dışında konak güncelleştirmeleri, müşteri tarafından denetlenen bakım kapsamında değildir.

Bakım hakkında gelişmiş bildirim alabilir miyim?

Şu anda, Ağ Geçidi kaynaklarının bakımı için gelişmiş bildirim etkinleştirilemiyor.

Beş saatten kısa bir bakım penceresi yapılandırabilir miyim?

Şu anda, tercih ettiğiniz saat diliminde en az beş saatlik bir pencere yapılandırmanız gerekir.

Günlük zamanlama dışında bir bakım penceresi yapılandırabilir miyim?

Şu anda günlük bakım penceresi yapılandırmanız gerekir.

Bazı güncelleştirmeleri denetleyememe gibi durumlar var mı?

Müşteri tarafından denetlenen bakım, Konuk İşletim Sistemi ve Hizmet güncelleştirmelerini destekler. Bu güncelleştirmeler, müşteriler için endişeye neden olan bakım öğelerinin çoğunu hesaba ekler. Konak güncelleştirmeleri de dahil olmak üzere diğer bazı güncelleştirme türleri müşteri tarafından denetlenen bakım kapsamının dışındadır.

Ayrıca, müşterilerimizi tehlikeye atabilecek yüksek önem derecesine sahip bir güvenlik sorunu varsa Azure'ın bakım penceresinin müşteri denetimini geçersiz kılması ve değişikliği göndermesi gerekebilir. Bunlar yalnızca aşırı durumlarda kullanılacak nadir görülen durumlardır.

Bakım Yapılandırma kaynaklarının ağ geçidi kaynağıyla aynı bölgede olması gerekiyor mu?

Yes

Müşteri tarafından denetlenen bakımı kullanmak için hangi ağ geçidi SKU'ları yapılandırılabilir?

Tüm ağ geçidi SKU'ları (VPN Gateway için Temel SKU hariç) müşteri tarafından denetlenen bakımı kullanacak şekilde yapılandırılabilir.

Bakım yapılandırma ilkesinin ağ geçidi kaynağına atandıktan sonra etkili olması ne kadar sürer?

Bakım ilkesi ağ geçidi kaynağıyla ilişkilendirildikten sonra Ağ Ağ Geçitlerinin bakım zamanlamasını izlemesi 24 saate kadar sürebilir.

Temel SKU Genel IP adresi temelinde müşteri tarafından denetlenen bakımın kullanılmasıyla ilgili herhangi bir sınırlama var mı?

Evet. Temel SKU Genel IP adresi kullanan ağ geçidi kaynakları yalnızca müşteri tarafından denetlenen bakım zamanlamasına göre hizmet güncelleştirmelerine sahip olabilir. Bu ağ geçitleri için Konuk işletim sistemi bakımı, altyapı sınırlamaları nedeniyle müşteri tarafından denetlenen bakım zamanlamasına UYMAZ.

Bir arada bulunma senaryosunda VPN ve ExpressRoute kullanırken bakım pencerelerini nasıl planlamalıyım?

Bir birlikte yaşama senaryosunda VPN ve ExpressRoute ile çalışırken veya yedek olarak çalışan kaynaklarınız olduğunda ayrı bakım pencereleri ayarlamanızı öneririz. Bu yaklaşım, bakımın yedekleme kaynaklarınızı aynı anda etkilememesini sağlar.

Kaynaklarımdan biri için gelecekteki bir tarih için bir bakım penceresi zamanladım. O zamana kadar bu kaynakta bakım etkinlikleri duraklatılacak mı?

Hayır, zamanlanan bakım penceresinden önceki süre boyunca kaynağınızda bakım etkinlikleri duraklatılamaz. Bakım zamanlamanızda yer almayan günler için bakım, kaynakta her zamanki gibi devam eder.

Müşteri tarafından denetlenen ağ geçidi bakımı hakkında daha fazla bilgi edinmek Nasıl yaparım??

Daha fazla bilgi için VPN Gateway müşteri tarafından denetlenen ağ geçidi bakım makalesine bakın.

Sonraki adımlar

"OpenVPN", OpenVPN Inc.'in ticari markasıdır.