Azure VPN Gateway Noktadan siteye kullanarak uzaktan çalışma

Not

Bu makalede uzaktan çalışmak ve COVID-19 krizi nedeniyle karşılaştığınız ağ sorunlarını azaltmak için Azure VPN Gateway, Azure, Microsoft ağı ve Azure iş ortağı ekosistemini nasıl kullanabileceğiniz açıklanmaktadır.

Bu makalede, covid-19 salgını sırasında kuruluşların kullanıcılarına uzaktan erişim ayarlamaları veya mevcut çözümlerine ek kapasite eklemeleri için kullanabileceği seçenekler açıklanmaktadır.

Noktadan siteye Azure çözümü bulut tabanlıdır ve kullanıcıların evden çalışma talebinin artmasına yönelik hızlı bir şekilde sağlanabilir. Artan kapasiteye artık ihtiyaç duyulmadığında ölçeği kolayca artırabilir ve kapatabilirsiniz.

Noktadan Siteye VPN hakkında

Noktadan Siteye (P2S) VPN ağ geçidi bağlantısı, ayrı bir istemci bilgisayardan sanal ağınıza güvenli bir bağlantı oluşturmanıza olanak sağlar. P2S bağlantısı, istemci bilgisayardan başlatılarak oluşturulur. Bu çözüm, Azure sanal ağlarına veya şirket içi veri merkezlerine evden veya konferans gibi uzak bir konumdan bağlanmak isteyen iş arayanlar için kullanışlıdır. Bu makalede, kullanıcıların çeşitli senaryolara göre uzaktan çalışmasını sağlama açıklanmaktadır.

Aşağıdaki tabloda, istemci işletim sistemleri ve bunlara sağlanan kimlik doğrulama seçenekleri gösterilmektedir. Zaten kullanımda olan istemci işletim sistemine göre kimlik doğrulama yöntemini seçmek yararlı olabilir. Örneğin, bağlanması gereken istemci işletim sistemlerinin bir karışımına sahipseniz Sertifika tabanlı kimlik doğrulaması ile OpenVPN'i seçin. Ayrıca noktadan siteye VPN'in yalnızca rota tabanlı VPN ağ geçitlerinde desteklendiğini unutmayın.

Senaryo 1 - Kullanıcıların yalnızca Azure'daki kaynaklara erişmesi gerekir

Bu senaryoda, uzak kullanıcıların yalnızca Azure'daki kaynaklara erişmesi gerekir.

Üst düzeyde, kullanıcıların Azure kaynaklarına güvenli bir şekilde bağlanmasını sağlamak için aşağıdaki adımlar gereklidir:

1. Sanal ağ geçidi oluşturun (yoksa).

2. Ağ geçidinde noktadan siteye VPN'i yapılandırın.

   • Sertifika kimlik doğrulaması için bu bağlantıyı izleyin.
   • OpenVPN için bu bağlantıyı izleyin.
   • Microsoft Entra kimlik doğrulaması için bu bağlantıyı izleyin.
   • Noktadan siteye bağlantı sorunlarını gidermek için bu bağlantıyı izleyin.

3. VPN istemci yapılandırmasını indirin ve dağıtın.

4. Sertifikaları (sertifika kimlik doğrulaması seçiliyse) istemcilere dağıtın.

5. Azure VPN'ye Bağlan.

Senaryo 2 - Kullanıcıların Azure'daki kaynaklara ve/veya şirket içi kaynaklara erişmesi gerekir

Bu senaryoda, uzak kullanıcıların Azure'daki ve şirket içi veri merkezlerindeki kaynaklara erişmesi gerekir.

Üst düzeyde, kullanıcıların Azure kaynaklarına güvenli bir şekilde bağlanmasını sağlamak için aşağıdaki adımlar gereklidir:

1. Sanal ağ geçidi oluşturun (yoksa).
2. Ağ geçidinde noktadan siteye VPN'yi yapılandırın (bkz . Senaryo 1).
3. BGP etkinken Azure sanal ağ geçidinde siteden siteye tüneli yapılandırın.
4. Şirket içi cihazı Azure sanal ağ geçidine bağlanacak şekilde yapılandırın.
5. Azure portalından noktadan siteye profili indirme ve istemcilere dağıtma

Siteden siteye VPN tüneli ayarlamayı öğrenmek için bu bağlantıya bakın.

Yerel Azure sertifika kimlik doğrulaması hakkında SSS

Noktadan siteye yapılandırmamda kaç VPN istemci uç noktası olabilir?

Bu, ağ geçidi SKU’suna bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi edinmek için bkz. Ağ geçidi SKU’ları.

Noktadan siteye hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:

• Windows Server 2008 R2 (yalnızca 64 bit)
• Windows 8.1 (32 bit ve 64 bit)
• Windows Server 2012 (yalnızca 64 bit)
• Windows Server 2012 R2 (yalnızca 64 bit)
• Windows Server 2016 (yalnızca 64 bit)
• Windows Server 2019 (yalnızca 64 bit)
• Windows Server 2022 (yalnızca 64 bit)
• Windows 10
• Windows 11
• macOS sürüm 10.11 veya üzeri
• Linux (StrongSwan)
• iOS

Noktadan siteye özelliğini kullanarak proxy'leri ve güvenlik duvarlarını çapraz geçiş yapabilir miyim?

Azure, üç tür noktadan siteye VPN seçeneğini destekler:

• Güvenli Yuva Tünel Protokolü (SSTP). SSTP, Microsoft’a özel SSL tabanlı bir çözümdür ve çoğu güvenlik duvarı 443 SSL’nin kullandığı giden TCP bağlantı noktasını açtığı için güvenlik duvarlarından geçebilir.

• OpenVPN. OpenVPN, SSL tabanlı bir çözümdür ve çoğu güvenlik duvarı 443 SSL’nin kullandığı giden TCP bağlantı noktasını açtığı için güvenlik duvarlarından geçebilir.

• IKEv2 VPN. IKEv2 VPN, 500 ve 4500 numaralı giden UDP bağlantı noktalarını ve 50 numaralı IP protokollerini kullanan standartlara dayalı bir IPsec VPN çözümüdür. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz, bu nedenle IKEv2 VPN'nin proxy'leri ve güvenlik duvarlarını geçememe olasılığı vardır.

Noktadan siteye için yapılandırılmış bir istemci bilgisayarı yeniden başlatırsam VPN otomatik olarak yeniden bağlanır mı?

Otomatik yeniden bağlanma, kullanılan istemcinin bir işlevidir. Windows, Always On VPN istemcisi özelliğini yapılandırarak otomatik yeniden bağlanmayı destekler.

Noktadan siteye VPN istemcilerinde DDNS'yi destekliyor mu?

DDNS şu anda noktadan siteye VPN'lerde desteklenmemektedir.

Siteden Siteye ve noktadan siteye yapılandırmaların aynı sanal ağ için birlikte var olmasını sağlayabilir miyim?

Evet. Resouce Manager dağıtım modeli için, ağ geçidiniz için RouteBased VPN türü olmalıdır. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir. Statik yönlendirme VPN ağ geçitleri veya PolicyBased VPN ağ geçitleri için noktadan siteye desteğimiz yoktur.

Aynı anda birden çok sanal ağ geçidine bağlanmak için noktadan siteye istemci yapılandırabilir miyim?

Kullanılan VPN İstemcisi yazılımına bağlı olarak, bağlanılmakta olan sanal ağların aralarında çakışan adres alanları yoksa veya istemcinin bağlanıldığı ağ arasında birden çok Sanal Ağ Ağ Geçidine bağlanabilirsiniz. Azure VPN İstemcisi birden fazla VPN bağlantısını desteklese de, aynı anda yalnızca bir tane bağlantı bağlı olabilir.

Noktadan siteye istemciyi aynı anda birden çok sanal ağa bağlanacak şekilde yapılandırabilir miyim?

Evet, diğer sanal ağlarla eşlenmiş bir sanal ağda dağıtılan bir sanal ağ geçidine yönelik noktadan siteye istemci bağlantılarının diğer eşlenen sanal ağlara erişimi olabilir. noktadan siteye istemcileri, eşlenen sanal ağlar UseRemoteGateway / AllowGatewayTransit özelliklerini kullandığı sürece eşlenmiş sanal ağlara bağlanabilir. Daha fazla bilgi için bkz . Noktadan siteye yönlendirme hakkında.

Siteden Siteye veya noktadan siteye bağlantılar aracılığıyla ne kadar aktarım hızı bekleyebilirsiniz?

VPN tünellerinin tam verimini elde etmek zordur. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir. Verimlilik, şirket içi ve İnternet arasındaki bant genişliğiyle ve gecikme süresiyle de sınırlıdır. Yalnızca IKEv2 noktadan siteye VPN bağlantılarına sahip bir VPN Gateway için, bekleyebileceğiniz toplam aktarım hızı Ağ Geçidi SKU'sunu temel alır. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ geçidi SKU’ları.

Noktadan siteye SSTP ve/veya IKEv2'yi destekleyen herhangi bir yazılım VPN istemcisi kullanabilir miyim?

Hayır SSTP için yalnızca Windows’daki yerel VPN istemcisini ve IKEv2 için yalnızca Mac’teki yerel VPN istemcisini kullanabilirsiniz. Ancak, OpenVPN protokolü üzerinden bağlanmak için tüm platformlarda OpenVPN istemcisini kullanabilirsiniz. Desteklenen istemci işletim sistemlerinin listesine bakın.

Noktadan siteye bağlantı için kimlik doğrulama türünü değiştirebilir miyim?

Evet. Portalda VPN ağ geçidi -> Noktadan siteye yapılandırma sayfasına gidin. Kimlik doğrulama türü için kullanmak istediğiniz kimlik doğrulama türlerini seçin. Bir kimlik doğrulama türünde değişiklik yaptıktan sonra, her VPN istemcisine yeni bir VPN istemcisi yapılandırma profili oluşturulana, indirilene ve uygulanana kadar geçerli istemcilerin bağlanamadığını unutmayın.

Azure Windows ile IKEv2 VPN destekler mi?

IKEv2, Windows 10 ve Server 2016’da desteklenir. Ancak, IKEv2'yi belirli işletim sistemi sürümlerinde kullanmak için güncelleştirmeleri yüklemeniz ve yerel olarak bir kayıt defteri anahtarı değeri ayarlamanız gerekir. Windows 10'un önceki işletim sistemi sürümleri desteklenmez ve yalnızca SSTP veya OpenVPN® Protokolü kullanabilir.

Not

Windows işletim sistemi, Windows 10 Sürüm 1709 ve Windows Server 2016 Sürüm 1607'den daha yeni derlemeler bu adımları gerektirmez.

IKEv2 için Windows 10 ve Server 2016’yı hazırlamak için:

1. İşletim sistemi sürümünüz temelinde güncelleştirmeyi yükleyin:

   İşletim sistemi sürümü	Tarih	Sayı/Bağlantı
   Windows Server 2016 Windows 10 Sürüm 1607	17 Ocak 2018	KB4057142
   Windows 10 Sürüm 1703	17 Ocak 2018	KB4057144
   Windows 10 sürüm 1709	22 Mart 2018	KB4089848

2. Kayıt defteri anahtar değerini ayarlayın. Kayıt defterinde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD anahtarını oluşturun veya 1 olarak ayarlayın.

Noktadan siteye bağlantılar için IKEv2 trafik seçici sınırı nedir?

Windows 10 sürüm 2004 (Eylül 2021'de yayımlandı) trafik seçici sınırı 255'e yükseltildi. Bundan önceki Windows sürümlerinde trafik seçici sınırı 25'tır.

Windows'taki trafik seçici sınırı, sanal ağınızdaki adres alanı sayısı üst sınırını ve yerel ağlarınızın, sanal ağdan sanal ağa bağlantıların ve ağ geçidine bağlı eşlenmiş sanal ağların maksimum toplamını belirler. Windows tabanlı noktadan siteye istemciler bu sınırı aşmaları durumunda IKEv2 aracılığıyla bağlanamaz.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırırsam ne olur?

Karma bir ortamda (Windows ve Mac cihazlarından oluşan) hem SSTP hem de IKEv2'yi yapılandırdığınızda, Windows VPN istemcisi her zaman önce IKEv2 tünelini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP'ye geri döner. MacOSX yalnızca IKEv2 üzerinden bağlanır.

Ağ Geçidinde hem SSTP hem de IKEv2 etkinleştirildiğinde, noktadan siteye adres havuzu statik olarak ikisi arasında bölünür, bu nedenle farklı protokolleri kullanan istemcilere her iki alt aralıktan da IP adresleri atanır. Adres aralığı /24'ten büyük olsa bile en fazla SSTP istemcisi miktarının her zaman 128 olduğunu ve bunun sonucunda IKEv2 istemcileri için daha fazla sayıda adres bulunduğunu unutmayın. Daha küçük aralıklar için havuz eşit oranda yarıya indirilir. Ağ geçidi tarafından kullanılan Trafik Seçicileri Noktadan Siteye adres aralığı CIDR'yi değil, iki alt aralık CIDR'sini içerebilir.

Azure, P2S VPN için Windows ve Mac dışında hangi platformları destekliyor?

P2S VPN için Windows, Mac ve Linux Azure desteği.

Zaten dağıtılmış bir Azure VPN Gateway’im var. Bu ağ geçidi üzerinde RADIUS ve/veya IKEv2 VPN etkinleştirebilir miyim?

Evet, kullandığınız ağ geçidi SKU'su RADIUS ve/veya IKEv2'yi destekliyorsa, PowerShell veya Azure portalını kullanarak zaten dağıttığınız ağ geçitlerinde bu özellikleri etkinleştirebilirsiniz. Temel SKU RADIUS veya IKEv2'yi desteklemez.

Bir P2S bağlantısının yapılandırması nasıl kaldırılır?

Bir P2S bağlantısı, aşağıdaki komutlar ve Azure CLI ve PowerShell kullanılarak kaldırılabilir:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Sertifika kimlik doğrulaması kullanarak bağlanırken sertifika uyuşmazlığı alıyorsam ne yapmalıyım?

"Sertifikayı doğrulayarak sunucunun kimliğini doğrulayın" seçeneğinin işaretini kaldırın veya profili el ile oluştururken sunucu FQDN'sini sertifikayla birlikte ekleyin. Bunu yapmak için bir komut isteminden rasphone çalıştırabilir ve açılan listeden profili seçebilirsiniz.

Sunucu kimliği doğrulamasının atlanması genel olarak önerilmez, ancak Azure sertifika kimlik doğrulaması ile VPN tünel protokolünde (IKEv2/SSTP) ve EAP protokolünde sunucu doğrulaması için aynı sertifika kullanılır. Sunucu sertifikası ve FQDN zaten VPN tünel protokolü tarafından doğrulandığından, EAP'de aynı şeyi yeniden doğrulamak yedeklidir.

Noktadan Siteye bağlantı için sertifika oluşturmak için kendi iç PKI kök CA'mı kullanabilir miyim?

Evet. Önceden, yalnızca otomatik olarak imzalanan kök sertifikalar kullanılabiliyordu. 20 kök sertifika yükleyebilirsiniz.

Azure Key Vault sertifikalarını kullanabilir miyim?

Hayır

Sertifikaları oluşturmak için hangi araçları kullanabilirim?

Kurumsal PKI çözümünüzü (dahili PKI'nizi), Azure PowerShell'i, MakeCert'i ve OpenSSL'yi kullanabilirsiniz.

Sertifika ayarları ve parametreler için yönergeler var mı?

• Dahili PKI/Kurumsal PKI çözümü:Sertifikaları oluşturma adımlarına bakın.

• Azure PowerShell: Adımlar için Azure PowerShell makalesine bakın.

• MakeCert: Adımlar için MakeCert makalesine bakın.

• OpenSSL:

  • Sertifikaları dışarı aktarırken kök sertifikayı Base64'e dönüştürdüğünüzden emin olun.

  • İstemci sertifikası için:

    • Özel anahtarı oluştururken uzunluğu 4096 olarak belirtin.
    • Sertifikayı oluştururken, -extensions parametresini usr_cert olarak belirtin.

RADIUS kimlik doğrulaması hakkında SSS

Noktadan siteye yapılandırmamda kaç VPN istemci uç noktası olabilir?

Bu, ağ geçidi SKU’suna bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi edinmek için bkz. Ağ geçidi SKU’ları.

Noktadan siteye hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:

• Windows Server 2008 R2 (yalnızca 64 bit)
• Windows 8.1 (32 bit ve 64 bit)
• Windows Server 2012 (yalnızca 64 bit)
• Windows Server 2012 R2 (yalnızca 64 bit)
• Windows Server 2016 (yalnızca 64 bit)
• Windows Server 2019 (yalnızca 64 bit)
• Windows Server 2022 (yalnızca 64 bit)
• Windows 10
• Windows 11
• macOS sürüm 10.11 veya üzeri
• Linux (StrongSwan)
• iOS

Noktadan siteye özelliğini kullanarak proxy'leri ve güvenlik duvarlarını çapraz geçiş yapabilir miyim?

Azure, üç tür noktadan siteye VPN seçeneğini destekler:

• Güvenli Yuva Tünel Protokolü (SSTP). SSTP, Microsoft’a özel SSL tabanlı bir çözümdür ve çoğu güvenlik duvarı 443 SSL’nin kullandığı giden TCP bağlantı noktasını açtığı için güvenlik duvarlarından geçebilir.

• OpenVPN. OpenVPN, SSL tabanlı bir çözümdür ve çoğu güvenlik duvarı 443 SSL’nin kullandığı giden TCP bağlantı noktasını açtığı için güvenlik duvarlarından geçebilir.

• IKEv2 VPN. IKEv2 VPN, 500 ve 4500 numaralı giden UDP bağlantı noktalarını ve 50 numaralı IP protokollerini kullanan standartlara dayalı bir IPsec VPN çözümüdür. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz, bu nedenle IKEv2 VPN'nin proxy'leri ve güvenlik duvarlarını geçememe olasılığı vardır.

Noktadan siteye için yapılandırılmış bir istemci bilgisayarı yeniden başlatırsam VPN otomatik olarak yeniden bağlanır mı?

Otomatik yeniden bağlanma, kullanılan istemcinin bir işlevidir. Windows, Always On VPN istemcisi özelliğini yapılandırarak otomatik yeniden bağlanmayı destekler.

Noktadan siteye VPN istemcilerinde DDNS'yi destekliyor mu?

DDNS şu anda noktadan siteye VPN'lerde desteklenmemektedir.

Siteden Siteye ve noktadan siteye yapılandırmaların aynı sanal ağ için birlikte var olmasını sağlayabilir miyim?

Evet. Resouce Manager dağıtım modeli için, ağ geçidiniz için RouteBased VPN türü olmalıdır. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir. Statik yönlendirme VPN ağ geçitleri veya PolicyBased VPN ağ geçitleri için noktadan siteye desteğimiz yoktur.

Aynı anda birden çok sanal ağ geçidine bağlanmak için noktadan siteye istemci yapılandırabilir miyim?

Kullanılan VPN İstemcisi yazılımına bağlı olarak, bağlanılmakta olan sanal ağların aralarında çakışan adres alanları yoksa veya istemcinin bağlanıldığı ağ arasında birden çok Sanal Ağ Ağ Geçidine bağlanabilirsiniz. Azure VPN İstemcisi birden fazla VPN bağlantısını desteklese de, aynı anda yalnızca bir tane bağlantı bağlı olabilir.

Noktadan siteye istemciyi aynı anda birden çok sanal ağa bağlanacak şekilde yapılandırabilir miyim?

Evet, diğer sanal ağlarla eşlenmiş bir sanal ağda dağıtılan bir sanal ağ geçidine yönelik noktadan siteye istemci bağlantılarının diğer eşlenen sanal ağlara erişimi olabilir. noktadan siteye istemcileri, eşlenen sanal ağlar UseRemoteGateway / AllowGatewayTransit özelliklerini kullandığı sürece eşlenmiş sanal ağlara bağlanabilir. Daha fazla bilgi için bkz . Noktadan siteye yönlendirme hakkında.

Siteden Siteye veya noktadan siteye bağlantılar aracılığıyla ne kadar aktarım hızı bekleyebilirsiniz?

VPN tünellerinin tam verimini elde etmek zordur. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir. Verimlilik, şirket içi ve İnternet arasındaki bant genişliğiyle ve gecikme süresiyle de sınırlıdır. Yalnızca IKEv2 noktadan siteye VPN bağlantılarına sahip bir VPN Gateway için, bekleyebileceğiniz toplam aktarım hızı Ağ Geçidi SKU'sunu temel alır. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ geçidi SKU’ları.

Noktadan siteye SSTP ve/veya IKEv2'yi destekleyen herhangi bir yazılım VPN istemcisi kullanabilir miyim?

Hayır SSTP için yalnızca Windows’daki yerel VPN istemcisini ve IKEv2 için yalnızca Mac’teki yerel VPN istemcisini kullanabilirsiniz. Ancak, OpenVPN protokolü üzerinden bağlanmak için tüm platformlarda OpenVPN istemcisini kullanabilirsiniz. Desteklenen istemci işletim sistemlerinin listesine bakın.

Noktadan siteye bağlantı için kimlik doğrulama türünü değiştirebilir miyim?

Evet. Portalda VPN ağ geçidi -> Noktadan siteye yapılandırma sayfasına gidin. Kimlik doğrulama türü için kullanmak istediğiniz kimlik doğrulama türlerini seçin. Bir kimlik doğrulama türünde değişiklik yaptıktan sonra, her VPN istemcisine yeni bir VPN istemcisi yapılandırma profili oluşturulana, indirilene ve uygulanana kadar geçerli istemcilerin bağlanamadığını unutmayın.

Azure Windows ile IKEv2 VPN destekler mi?

IKEv2, Windows 10 ve Server 2016’da desteklenir. Ancak, IKEv2'yi belirli işletim sistemi sürümlerinde kullanmak için güncelleştirmeleri yüklemeniz ve yerel olarak bir kayıt defteri anahtarı değeri ayarlamanız gerekir. Windows 10'un önceki işletim sistemi sürümleri desteklenmez ve yalnızca SSTP veya OpenVPN® Protokolü kullanabilir.

Not

Windows işletim sistemi, Windows 10 Sürüm 1709 ve Windows Server 2016 Sürüm 1607'den daha yeni derlemeler bu adımları gerektirmez.

IKEv2 için Windows 10 ve Server 2016’yı hazırlamak için:

1. İşletim sistemi sürümünüz temelinde güncelleştirmeyi yükleyin:

   İşletim sistemi sürümü	Tarih	Sayı/Bağlantı
   Windows Server 2016 Windows 10 Sürüm 1607	17 Ocak 2018	KB4057142
   Windows 10 Sürüm 1703	17 Ocak 2018	KB4057144
   Windows 10 sürüm 1709	22 Mart 2018	KB4089848

2. Kayıt defteri anahtar değerini ayarlayın. Kayıt defterinde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD anahtarını oluşturun veya 1 olarak ayarlayın.

Noktadan siteye bağlantılar için IKEv2 trafik seçici sınırı nedir?

Windows 10 sürüm 2004 (Eylül 2021'de yayımlandı) trafik seçici sınırı 255'e yükseltildi. Bundan önceki Windows sürümlerinde trafik seçici sınırı 25'tır.

Windows'taki trafik seçici sınırı, sanal ağınızdaki adres alanı sayısı üst sınırını ve yerel ağlarınızın, sanal ağdan sanal ağa bağlantıların ve ağ geçidine bağlı eşlenmiş sanal ağların maksimum toplamını belirler. Windows tabanlı noktadan siteye istemciler bu sınırı aşmaları durumunda IKEv2 aracılığıyla bağlanamaz.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırırsam ne olur?

Karma bir ortamda (Windows ve Mac cihazlarından oluşan) hem SSTP hem de IKEv2'yi yapılandırdığınızda, Windows VPN istemcisi her zaman önce IKEv2 tünelini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP'ye geri döner. MacOSX yalnızca IKEv2 üzerinden bağlanır.

Ağ Geçidinde hem SSTP hem de IKEv2 etkinleştirildiğinde, noktadan siteye adres havuzu statik olarak ikisi arasında bölünür, bu nedenle farklı protokolleri kullanan istemcilere her iki alt aralıktan da IP adresleri atanır. Adres aralığı /24'ten büyük olsa bile en fazla SSTP istemcisi miktarının her zaman 128 olduğunu ve bunun sonucunda IKEv2 istemcileri için daha fazla sayıda adres bulunduğunu unutmayın. Daha küçük aralıklar için havuz eşit oranda yarıya indirilir. Ağ geçidi tarafından kullanılan Trafik Seçicileri Noktadan Siteye adres aralığı CIDR'yi değil, iki alt aralık CIDR'sini içerebilir.

Azure, P2S VPN için Windows ve Mac dışında hangi platformları destekliyor?

P2S VPN için Windows, Mac ve Linux Azure desteği.

Zaten dağıtılmış bir Azure VPN Gateway’im var. Bu ağ geçidi üzerinde RADIUS ve/veya IKEv2 VPN etkinleştirebilir miyim?

Evet, kullandığınız ağ geçidi SKU'su RADIUS ve/veya IKEv2'yi destekliyorsa, PowerShell veya Azure portalını kullanarak zaten dağıttığınız ağ geçitlerinde bu özellikleri etkinleştirebilirsiniz. Temel SKU RADIUS veya IKEv2'yi desteklemez.

Bir P2S bağlantısının yapılandırması nasıl kaldırılır?

Bir P2S bağlantısı, aşağıdaki komutlar ve Azure CLI ve PowerShell kullanılarak kaldırılabilir:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

RADIUS kimlik doğrulaması tüm Azure VPN Gateway SKU’larında destekleniyor mu?

RADIUS kimlik doğrulaması, Temel SKU dışındaki tüm SKU'lar için desteklenir.

Eski SKU'lar için RADIUS kimlik doğrulaması Standart ve Yüksek Performanslı SKU'larda desteklenir. Temel Ağ Geçidi SKU'sunun üzerinde desteklenmez.

RADIUS kimlik doğrulaması klasik dağıtım modeli için desteklenir mi?

Hayır RADIUS kimlik doğrulaması klasik dağıtım modeli için desteklenmez.

RADIUS sunucusuna gönderilen RADIUS istekleri için zaman aşımı süresi nedir?

RADIUS istekleri 30 saniye sonra zaman aşımına uğrar. Kullanıcı tanımlı zaman aşımı değerleri bugün desteklenmiyor.

Üçüncü taraf RADIUS sunucuları desteklenir mi?

Evet, üçüncü taraf RADIUS sunucuları desteklenir.

Azure ağ geçidinin şirket içi bir RADIUS sunucusuna ulaşabildiğinden emin olmak için bağlantı gereksinimleri nelerdir?

Uygun yolların yapılandırıldığı şirket içi siteye siteden siteye VPN bağlantısı gereklidir.

Şirket içi RADIUS sunucusuna gelen trafik (Azure VPN ağ geçidinden) bir ExpressRoute bağlantısı üzerinden yönlendirilebilir mi?

Hayır Yalnızca siteden siteye bağlantı üzerinden yönlendirilebilir.

RADIUS kimlik doğrulaması ile desteklenen SSTP bağlantılarının sayısında bir değişiklik var mı? En fazla kaç SSTP ve IKEv2 bağlantısı desteklenir?

RADIUS kimlik doğrulamasına sahip bir ağ geçidinde desteklenen en fazla SSTP bağlantısı sayısında bir değişiklik yoktur. SSTP için 128 olarak kalır, ancak IKEv2 için ağ geçidi SKU'sunun durumuna bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi edinmek için bkz. Ağ geçidi SKU’ları.

RADIUS sunucusu kullanarak sertifika kimlik doğrulaması yapma ile Azure yerel sertifika kimlik doğrulamasını (güvenilen bir sertifikayı Azure'a yükleyerek) kullanma arasındaki fark nedir?

RADIUS sertifika doğrulamasında, doğrulaması isteği gerçek sertifika doğrulamasını işleyen bir RADIUS sunucusuna iletilir. Zaten mevcut bir sertifika doğrulaması altyapısını RADIUS üzerinden tümleştirmek istiyorsanız bu seçenek yararlı olur.

Sertifika doğrulaması için Azure kullanıldığında, Azure VPN ağ geçidi sertifikayı doğrular. Sertifika ortak anahtarınızı ağ geçidine yüklemeniz gerekir. Ayrıca bağlanmasına izin verilmeyen iptal edilmiş sertifikaların bir listesini belirtebilirsiniz.

RADIUS kimlik doğrulaması hem IKEv2 hem de SSTP VPN ile çalışır mı?

Evet, RADIUS kimlik doğrulaması hem IKEv2 hem de SSTP VPN için desteklenir.

RADIUS kimlik doğrulaması OpenVPN istemcisiyle çalışır mı?

RADIUS kimlik doğrulaması OpenVPN protokolü için desteklenir.

Sonraki Adımlar

• P2S bağlantısı yapılandırma - Microsoft Entra kimlik doğrulaması

• P2S bağlantısı yapılandırma - RADIUS kimlik doğrulaması

• P2S bağlantısı yapılandırma - Azure yerel sertifika kimlik doğrulaması

"OpenVPN", OpenVPN Inc.'in ticari markasıdır.