VPN 閘道常見問題集

連線 至虛擬網路

我可以連接不同 Azure 區域中的虛擬網路嗎?

是。 沒有區域條件約束。 一個虛擬網路可以連線到相同區域或不同 Azure 區域中的另一個虛擬網路。

我可以連線不同訂用帳戶中的虛擬網路嗎?

是。

設定 VPN 閘道時,我可以在 VNet 中指定私人 DNS 伺服器嗎?

如果您在建立虛擬網路時指定 DNS 伺服器或伺服器,VPN 閘道 會使用您指定的 DNS 伺服器。 如果您指定 DNS 伺服器,請確認 DNS 伺服器可以解析 Azure 所需的功能變數名稱。

我可以從單一虛擬網路連線到多個網站嗎?

您可以使用 Windows PowerShell 和 Azure REST API 來連線到多個網站。 請參閱多月臺和 VNet 對 VNet 連線 ivity 常見問題一節。

將 VPN 閘道設定為主動-主動是否有額外的成本?

否。 不過,任何額外的公用IP費用都會據以收費。 請參閱 IP位址定價

我的跨單位連線選項為何?

支援下列跨單位虛擬網路網關聯機:

  • 站對站: 透過 IPsec 的 VPN 連線(IKE v1 和 IKE v2)。 這種類型的連線需要 VPN 裝置或 RRAS。 如需詳細資訊,請參閱 站對站
  • 點對站: 透過 SSTP 的 VPN 連線(安全套接字通道通訊協定)或 IKE v2。 此連線不需要 VPN 裝置。 如需詳細資訊,請參閱 點對站
  • VNet 對 VNet: 這種類型的連線與站對站組態相同。 VNet 對 VNet 是透過 IPsec 的 VPN 連線(IKE v1 和 IKE v2)。 它不需要 VPN 裝置。 如需詳細資訊,請參閱 VNet 對 VNet
  • ExpressRoute: ExpressRoute 是從您的 WAN 到 Azure 的私人連線,而不是透過公用因特網的 VPN 連線。 如需詳細資訊,請參閱 ExpressRoute 技術概觀ExpressRoute 常見問題

如需 VPN 閘道 連線的詳細資訊,請參閱關於 VPN 閘道

站對站聯機與點對站之間有何差異?

站對站 (IPsec/IKE VPN 通道) 組態位於您的內部部署位置和 Azure 之間。 這表示您可以視您選擇如何設定路由和許可權而定,從位於內部部署的任何計算機連線到虛擬網路內的任何虛擬機或角色實例。 這是永遠可用的跨單位連線的絕佳選項,非常適合混合式設定。 這種類型的連線依賴 IPsec VPN 裝置(硬體裝置或軟設備),必須部署在您的網路邊緣。 若要建立這種類型的連線,您必須有外部對向 IPv4 位址。

點對站 (VPN over SSTP) 設定可讓您從單一計算機從任何地方連線到虛擬網路中的任何專案。 它會使用 Windows 內建 VPN 用戶端。 在點對站組態中,您會安裝憑證和 VPN 用戶端元件,其中包含可讓您的電腦連線到虛擬網路內任何虛擬機或角色實例的設定。 當您想要連線到虛擬網路,但未位於內部部署時,這很好。 當您無法存取 VPN 硬體或外部面向 IPv4 位址時,這兩者都是站對站連線的必要選項。

只要您使用閘道的路由型 VPN 類型建立站對站連線,即可設定虛擬網路同時使用站對站和點對站連線。 路由式 VPN 類型在傳統部署模型中稱為動態閘道。

隱私權

VPN 服務會儲存或處理客戶資料嗎?

否。

虛擬網路閘道

VPN 閘道是虛擬網路閘道嗎?

VPN 閘道是一種虛擬網路閘道。 VPN 閘道會透過公用連線,在虛擬網路與內部部署位置之間傳送加密流量。 您也可以使用 VPN 閘道在虛擬網路之間傳送流量。 當您建立 VPN 閘道時,您可以使用 -GatewayType 值 'Vpn'。 如需詳細資訊,請參閱關於 VPN 閘道 組態設定

為什麼我無法指定原則型和路由型 VPN 類型?

自 2023 年 10 月 1 日起,您無法透過 Azure 入口網站 建立以原則為基礎的 VPN 閘道。 所有新的 VPN 閘道都會自動建立為路由型。 如果您已經有以原則為基礎的網關,就不需要將閘道升級為路由型閘道。 您可以使用 Powershell/CLI 來建立以原則為基礎的閘道。

先前,舊版網關 SKU 不支援路由型閘道的 IKEv1。 現在,大部分目前的閘道 SKU 都支援 IKEv1 和 IKEv2。

閘道 VPN 類型 閘道 SKU 支援的 IKE 版本
以原則為基礎的閘道 基本 IKEv1
路由式閘道 基本 IKEv2
路由式閘道 VpnGw1、VpnGw2、VpnGw3、VpnGw4、VpnGw5 IKEv1 和 IKEv2
路由式閘道 VpnGw1AZ、VpnGw2AZ、VpnGw3AZ、VpnGw4AZ、VpnGw5AZ IKEv1 和 IKEv2

我可以將原則型 VPN 閘道更新為路由型嗎?

否。 網關類型無法從原則型變更為路由型,或從路由型變更為原則型。 若要變更閘道類型,必須刪除並重新建立閘道。 此程式大約需要 60 分鐘。 當您建立新的閘道時,您無法保留原始閘道的 IP 位址。

  1. 刪除與閘道相關聯的任何連線。

  2. 使用下列其中一篇文章刪除閘道:

  3. 使用您想要的閘道類型建立新的閘道,然後完成 VPN 設定。 如需步驟,請參閱 站對站教學課程

我可以指定自己的以原則為基礎的流量選取器嗎?

是,流量選取器可以透過 New-AzIpsecTrafficSelectorPolicy PowerShell 命令,透過連線上的 trafficSelectorPolicies 屬性來定義。 若要讓指定的流量選取器生效,請確定已啟用 [ 使用原則型流量選取器 ] 選項。

只有在 Azure VPN 閘道起始連線時,才會建議自訂設定的流量選取器。 VPN 閘道接受遠端閘道(內部部署 VPN 裝置)提議的任何流量選取器。 此行為在所有連接模式之間是一致的(Default、InitiatorOnly 和 ResponderOnly)。

我需要'GatewaySubnet'嗎?

是。 閘道子網包含虛擬網路閘道服務所使用的IP位址。 您必須為虛擬網路建立閘道子網,才能設定虛擬網路閘道。 所有閘道子網都必須命名為 'GatewaySubnet',才能正常運作。 請勿將閘道子網命名為其他名稱。 也不會將 VM 或其他任何專案部署到閘道子網。

當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 閘道子網中的IP位址會配置給閘道服務。 某些組態需要比其他設定更多的IP位址配置給閘道服務。 您想要確定閘道子網包含足夠的IP位址,以容納未來的成長,以及可能的其他新聯機組態。 因此,雖然您可以建立小於 /29 的閘道子網,但建議您建立 /27 或更大的網關子網(/27、/26、/25 等等)。 查看您想要建立的組態需求,並確認您擁有的閘道子網是否符合這些需求。

我可以將 虛擬機器 或角色實例部署到閘道子網嗎?

否。

我可以在建立 VPN 閘道 IP 位址之前取得嗎?

Azure 標準 SKU 公用 IP 資源必須使用靜態配置方法。 因此,當您建立您想要用於 VPN 閘道的標準 SKU 公用 IP 資源時,您就會有 VPN 閘道的公用 IP 位址。

我可以要求 VPN 閘道的靜態公用 IP 位址嗎?

建議您針對 VPN 閘道使用標準 SKU 公用 IP 位址。 標準 SKU 公用 IP 位址資源會使用靜態配置方法。 雖然我們確實支援特定網關 SKU 的動態 IP 位址指派(名稱中沒有 AZ 的閘道 SKU),但除了使用基本閘道 SKU 的閘道以外,建議您針對所有虛擬網路網關使用標準 SKU 公用 IP 位址。 基本閘道 SKU 目前僅支援基本 SKU 公用 IP 位址。 我們很快就會新增基本網關 SKU 的標準 SKU 公用 IP 位址支援。

針對非區域備援和非區域網關(名稱中沒有 AZ 的閘道 SKU),支援動態IP位址指派,但會逐步淘汰。當您使用動態IP位址時,IP 位址在指派給 VPN 閘道之後不會變更。 VPN 閘道 IP 位址變更的唯一時間是刪除閘道,然後重新建立。 當您調整、重設或完成 VPN 閘道的其他內部維護和升級時,VPN 閘道公用 IP 位址不會變更。

公用IP位址基本SKU淘汰如何影響我的 VPN 閘道?

我們正在採取行動,以確保已部署的 VPN 閘道持續作業,這些閘道會利用基本 SKU 公用 IP 位址。 如果您已經有具有基本 SKU 公用 IP 位址的 VPN 閘道,就不需要採取任何動作。

不過,請務必注意基本 SKU 公用 IP 位址正在逐步淘汰。強烈建議在建立新的 VPN 閘道時使用 標準 SKU 公用IP位址。 如需基本 SKU 公用 IP 位址淘汰的進一步詳細數據,請參閱 這裡

我的 VPN 通道如何通過驗證?

Azure VPN 使用 PSK(預先共用金鑰)驗證。 當我們建立 VPN 通道時,我們會產生預先共用金鑰 (PSK)。 您可以使用 Set Pre-Shared Key PowerShell Cmdlet 或 REST API,將自動產生的 PSK 變更為您自己的 PSK。

我可以使用設定預先共用密鑰 API 來設定原則型(靜態路由)閘道 VPN 嗎?

是,[設定預先共用密鑰 API] 和 PowerShell Cmdlet 可用來設定 Azure 原則型 (靜態) VPN 和路由型 (動態) 路由 VPN。

我可以使用其他驗證選項嗎?

我們僅限於使用預先共用密鑰 (PSK) 進行驗證。

如何? 指定哪些流量通過 VPN 閘道?

Resource Manager 部署模型

  • PowerShell:使用 「AddressPrefix」 來指定局域網路閘道的流量。
  • Azure 入口網站:流覽至局域網路閘道>設定>地址空間。

傳統部署模型

  • Azure 入口網站:流覽至傳統虛擬網路>VPN 連線>站對站 VPN 連線>本機站臺名稱>本機站臺>用戶端位址空間。

我可以在 VPN 連線上使用 NAT-T 嗎?

是,支援 NAT 周遊 (NAT-T)。 Azure VPN 閘道 不會在內部封包上對 IPsec 通道執行任何類似 NAT 的功能。 在此設定中,請確定內部部署裝置會起始IPSec通道。

我可以在 Azure 中設定自己的 VPN 伺服器,並使用它來連線到我的內部部署網路嗎?

是,您可以從 Azure Marketplace 或建立自己的 VPN 路由器,在 Azure 中部署自己的 VPN 閘道或伺服器。 您必須在虛擬網路中設定使用者定義的路由,以確保流量會在內部部署網路與虛擬網路子網之間正確路由。

為什麼我的虛擬網路網關上會開啟特定埠?

Azure 基礎結構通訊需要它們。 Azure 憑證會加以保護(鎖定)。 如果沒有適當的憑證,外部實體,包括這些閘道的客戶,將無法對這些端點造成任何影響。

虛擬網路閘道基本上是多宿主裝置,其中一個 NIC 會點選到客戶專用網,而一個 NIC 則面向公用網路。 基於合規性考慮,Azure 基礎結構實體無法利用客戶專用網,因此他們需要利用公用端點進行基礎結構通訊。 Azure 安全性稽核會定期掃描公用端點。

我可以在入口網站中使用基本閘道 SKU 建立 VPN 閘道嗎?

否。 入口網站中無法使用基本 SKU。 您可以使用 Azure CLI 或 PowerShell 來建立基本 SKU VPN 閘道。

哪裡可以找到閘道類型、需求和輸送量的相關信息?

請參閱以下文章:

舊版 SKU 的 SKU 淘汰

標準和高效能 SKU 將於 2025 年 9 月 30 日淘汰。 您可以在這裡檢視公告。 產品小組將在 2024 年 11 月 30 日前提供這些 SKU 的移轉路徑。 如需詳細資訊,請參閱 VPN 閘道 舊版 SKU 一文。 此時,您不需要採取任何動作。

在 2023 年 11 月 30 日淘汰公告之後,是否可以建立新的標準/高效能 SKU?

否。 從 2023 年 12 月 1 日起,您無法使用標準或高效能 SKU 建立新的閘道。 您可以使用 VpnGw1 和 VpnGw2 來建立新的閘道,其價格與標準與高效能 SKU 相同,分別列在我們的 定價頁面上

標準/高效能 SKU 上支援我現有的閘道多久?

所有使用標準或高效能 SKU 的現有閘道都會受到支援,直到 2025 年 9 月 30 日為止。

我是否需要立即移轉標準/高效能閘道 SKU?

否,現在不需要採取任何動作。 您可以從 2024 年 12 月開始移轉 SKU。 我們將傳送與移轉步驟相關詳細文件的通訊。

我可以將閘道移轉至哪一個 SKU?

當閘道 SKU 移轉可供使用時,SKU 可以移轉,如下所示:

  • 標準 -> VpnGw1
  • 高效能 -> VpnGw2

如果我想要移轉至 AZ SKU,該怎麼辦?

您無法將舊版 SKU 移轉至 AZ SKU。 不過,請注意,在 2025 年 9 月 30 日之後仍使用標準或高效能 SKU 的所有閘道,都會自動移轉並升級至下列 SKU:

  • 標準 -> VpnGw1AZ
  • 高效能 -> VpnGw2AZ

您可以使用此策略,讓 SKU 自動移轉並升級至 AZ SKU。 然後,您可以視需要調整 SKU 系列內的 SKU 大小。 如需 AZ SKU 定價,請參閱我們的 定價頁面 。 如需依 SKU 的輸送量資訊,請參閱 關於閘道 SKU

移轉后,閘道是否有任何定價差異?

如果您在 2025 年 9 月 30 日前移轉 SKU,則不會有任何定價差異。 VpnGw1 和 VpnGw2 SKU 分別以標準和高效能 SKU 的價格提供。 如果您未依該日期移轉,您的 SKU 會自動移轉並升級至 AZ SKU。 在此情況下,價格差異很大。

此移轉會對閘道造成任何效能影響嗎?

是的,您可以使用 VpnGw1 和 VpnGw2 取得更好的效能。 目前,650 Mbps 的 VpnGw1 提供 6.5 倍,而 1 Gbps 的 VpnGw2 提供與舊版標準和高效能閘道相同價格的 5 倍效能改善。 如需更多 SKU 輸送量資訊,請參閱 關於閘道 SKU

如果我未在 2025 年 9 月 30 日前移轉 SKU,會發生什麼事?

所有仍在使用標準或高效能 SKU 的閘道都會自動移轉,並升級至下列 AZ SKU:

  • 標準 -> VpnGw1AZ
  • 高效能 -> VpnGw2AZ

在起始任何閘道上的移轉之前,將會傳送最終通訊。

VPN 閘道 基本 SKU 也會淘汰嗎?

否,基本 SKU 在這裡保留。 我們很快就會將標準IP的支援新增至基本SKU,因為目前它只支援基本IP(即將淘汰路徑)。 目前,您可以透過Powershell/CLI建立基本SKU,一旦新增標準IP的支援,入口網站也應該支援基本SKU建立。

站對站連線和 VPN 裝置

選取 VPN 裝置時,我應該考慮什麼?

我們已與裝置廠商合作,驗證一組標準站對站 VPN 裝置。 如需已知相容的 VPN 裝置、其對應的設定指示或範例,以及裝置規格的清單,請參閱 關於 VPN 裝置 一文。 列為已知相容裝置系列中的所有裝置都應該與 虛擬網絡 搭配運作。 若要協助設定 VPN 裝置,請參閱對應至適當裝置系列的裝置設定範例或連結。

哪裡可以找到 VPN 裝置組態設定?

若要下載 VPN 裝置設定文稿:

根據您所擁有的 VPN 裝置,您或許可以下載 VPN 裝置設定指令碼。 如需詳細資訊,請參閱 下載 VPN 裝置設定文稿

如需其他組態資訊,請參閱下列連結:

  • 如需相容 VPN 裝置的相關信息,請參閱 VPN 裝置

  • 設定 VPN 裝置之前,請先檢查您想要使用之 VPN 裝置的任何 已知裝置相容性問題

  • 如需裝置組態設定的連結,請參閱 已驗證的 VPN 裝置。 裝置組態連結會盡最大努力提供。 最好與裝置製造商檢查是否有最新的組態資訊。 此清單會顯示我們已測試的版本。 如果您的OS不在該清單中,則版本仍可能相容。 請洽詢您的裝置製造商,確認 VPN 裝置的 OS 版本相容。

  • 如需 VPN 裝置設定的概觀,請參閱 VPN 裝置設定概觀

  • 如需編輯裝置組態範例的相關信息,請參閱 編輯範例

  • 如需密碼編譯需求,請參閱 關於密碼編譯需求和 Azure VPN 閘道

  • 如需 IPsec/IKE 參數的相關信息,請參閱 關於站對站 VPN 網關聯機的 VPN 裝置和 IPsec/IKE 參數。 此鏈接會顯示 IKE 版本、Diffie-Hellman 群組、驗證方法、加密和哈希演算法、SA 存留期、PFS 和 DPD 的相關信息,以及您需要完成設定的其他參數資訊。

  • 如需 IPsec/IKE 原則設定步驟,請參閱 設定 S2S VPN 或 VNet 對 VNet 連線的 IPsec/IKE 原則。

  • 若要將多個原則型 VPN 裝置連線,請參閱使用 PowerShell 將 Azure VPN 閘道 連線 至多個內部部署原則型 VPN 裝置。

如何? 編輯 VPN 裝置設定範例?

如需編輯裝置組態範例的相關信息,請參閱 編輯範例

哪裡可以找到 IPsec 和 IKE 參數?

如需 IPsec/IKE 參數,請參閱 參數

為什麼我的原則型 VPN 通道在流量閑置時會關閉?

這是原則型 VPN 閘道的預期行為(也稱為靜態路由)。 當通道上的流量閑置超過5分鐘時,通道會中斷。 當流量開始向任一方向流動時,會立即重新建立通道。

我可以使用軟體 VPN 來連線到 Azure 嗎?

我們支援 Windows Server 2012 路由和遠端訪問 (RRAS) 伺服器進行站對站跨單位設定。

只要這些解決方案符合業界標準的 IPsec 實作,其他軟體 VPN 解決方案就應該與我們的閘道搭配使用。 請連絡軟體廠商以取得設定和支援指示。

當位於具有作用中站對站連線的月臺時,是否可以透過點對站聯機來連線到 VPN 閘道?

是,但點對站用戶端的公用IP位址必須與站對站 VPN 裝置所使用的公用IP位址(es)不同,否則點對站連線將無法運作。 無法從相同 Azure VPN 閘道上設定站對站 VPN 連線的相同公用 IP 位址起始 IKEv2 點對站連線。

點對站 - 憑證驗證

本節適用於 Resource Manager 部署模型。

我的點對站設定中有多少個 VPN 用戶端端點?

這取決於閘道 SKU。 如需所支持連線數目的詳細資訊,請參閱 網關 SKU

我可以搭配點對站使用哪些用戶端操作系統?

支援下列用戶端作業系統:

  • Windows Server 2008 R2 (僅限 64 位)
  • Windows 8.1 (32 位和 64 位)
  • Windows Server 2012 (僅限 64 位)
  • Windows Server 2012 R2 (僅限 64 位)
  • Windows Server 2016 (僅限 64 位)
  • Windows Server 2019 (僅限 64 位)
  • Windows Server 2022 (僅限 64 位)
  • Windows 10
  • Windows 11
  • macOS 10.11 版或更新版本
  • Linux (StrongSwan)
  • iOS

我可以使用點對站功能周遊 Proxy 和防火牆嗎?

Azure 支援 三種類型的點對站 VPN 選項:

  • 安全套接字通道通訊協定 (SSTP)。 SSTP 是 Microsoft 專屬的 SSL 型解決方案,可穿透防火牆,因為大部分防火牆都會開啟 443 SSL 使用的輸出 TCP 連接埠。

  • OpenVPN。 OpenVPN 是一種 SSL 型解決方案,可穿透防火牆,因為大部分防火牆都會開啟 443 SSL 使用的輸出 TCP 連接埠。

  • IKEv2 VPN。 IKEv2 VPN 是以標準為基礎的 IPsec VPN 解決方案,使用輸出 UDP 連接埠 500 和 4500 和 IP 通訊協定 50。 防火牆不一定會開啟這些埠,因此 IKEv2 VPN 可能無法周遊 Proxy 和防火牆。

如果我重新啟動針對點對站設定的用戶端計算機,VPN 是否會自動重新連線?

自動重新連線是正在使用之用戶端的函式。 Windows 支援透過設定 Always On VPN 用戶端功能來自動重新連線。

點對站是否支援 VPN 用戶端上的 DDNS?

點對站 VPN 目前不支援 DDNS。

我可以讓相同虛擬網路共存站對站和點對站組態嗎?

是。 針對 Resource Manager 部署模型,您必須具有閘道的 RouteBased VPN 類型。 針對傳統部署模型,您需要動態閘道。 我們不支持靜態路由 VPN 閘道或原則式 VPN 閘道的點對站。

我可以設定點對站用戶端同時連線到多個虛擬網路閘道嗎?

視所使用的 VPN 用戶端軟體而定,您可能能夠連線到多個 虛擬網絡 閘道,前提是所連線的虛擬網路之間沒有衝突的位址空間,或來自用戶端的網路正在連線。 雖然 Azure VPN 用戶端支援許多 VPN 連線,但在任何指定時間只能 連線 一個連線。

我可以設定點對站客戶端同時連線到多個虛擬網路嗎?

是,指向虛擬網路網關的點對站用戶端連線,該閘道部署於與其他 VNet 對等互連的 VNet 中,可能會存取其他對等互連 VNet。 只要對等互連的 VNet 使用 UseRemoteGateway / AllowGatewayTransit 功能,點對站用戶端就能夠連線到對等互連的 VNet。 如需詳細資訊,請參閱 關於點對站路由

我可以透過站對站或點對站連線預期多少輸送量?

很難維持 VPN 通道的確切輸送量。 IPsec 和 SSTP 是密碼編譯繁重的 VPN 通訊協定。 輸送量也會受限於您的內部部署與因特網之間的延遲和頻寬。 對於只有 IKEv2 點對站 VPN 連線的 VPN 閘道,您可以預期的輸送量總計取決於閘道 SKU。 如需輸送量的詳細資訊,請參閱 網關 SKU

我可以針對支援 SSTP 和/或 IKEv2 的點對站使用任何軟體 VPN 用戶端嗎?

否。 您只能針對 SSTP 在 Windows 上使用原生 VPN 用戶端,以及 Mac 上的原生 VPN 用戶端 for IKEv2。 不過,您可以在所有平臺上使用 OpenVPN 用戶端,透過 OpenVPN 通訊協定進行連線。 請參閱支援的用戶端作業系統清單

我可以變更點對站連線的驗證類型嗎?

是。 在入口網站中,流覽至 VPN 閘道 -> 點對站組態 頁面。 針對 [ 驗證類型],選取您想要使用的驗證類型。 請注意,變更驗證類型之後,目前的用戶端在產生、下載並套用至每個 VPN 用戶端之前,可能無法連線。

Azure 支援 IKEv2 VPN 與 Windows 嗎?

Windows 10 和 Server 2016 支援 IKEv2。 不過,若要在特定 OS 版本中使用 IKEv2,您必須在本機安裝更新並設定登錄機碼值。 不支援 Windows 10 之前的作業系統版本,而且只能使用 SSTP 或 OpenVPN® 通訊協定

注意

Windows OS 組建比 Windows 10 版本 1709 和 Windows Server 2016 版本 1607 還新,不需要這些步驟。

若要準備適用於 IKEv2 的 Windows 10 或 Server 2016:

  1. 根據您的 OS 版本安裝更新:

    作業系統版本 Date 數位/連結
    Windows Server 2016
    Windows 10 版本 1607
    2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848
  2. 設定登錄機碼值。 在登錄中建立或設定 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD機碼為 1。

點對站聯機的 IKEv2 流量選取器限制為何?

Windows 10 版本 2004(2021 年 9 月發行)將流量選取器限制增加到 255。 早於此版本的 Windows 具有流量選取器限制 25。

Windows 中的流量選取器限制會決定虛擬網路中的位址空間數目上限,以及局域網路、VNet 對 VNet 連線和連線至閘道的對等互連 VNet 的最大總和。 如果 Windows 型點對站用戶端超過此限制,將無法透過 IKEv2 連線。

當我為 P2S VPN 連線設定 SSTP 和 IKEv2 時,會發生什麼事?

當您在混合環境中設定 SSTP 和 IKEv2 時(包含 Windows 和 Mac 裝置),Windows VPN 用戶端一律會先嘗試 IKEv2 信道,但如果 IKEv2 連線未成功,則會回復為 SSTP。 MacOSX 只會透過 IKEv2 連線。

當您在閘道上同時啟用 SSTP 和 IKEv2 時,點對站位址池會在兩者之間靜態分割,因此會從任一子範圍指派使用不同通訊協議的用戶端。 請注意,即使位址範圍大於 /24,SSTP 用戶端的最大數量一律為 128,導致 IKEv2 用戶端可用的地址數量較大。 對於較小的範圍,集區將會平均減半。 網關所使用的流量選取器可能不會包含點對站位址範圍 CIDR,但兩個子範圍 CIDR。

除了 Windows 和 Mac 之外,P2S VPN 還有哪些其他平臺 Azure 支援?

Azure 支援 適用於 P2S VPN 的 Windows、Mac 和 Linux。

我已經部署了 Azure VPN 閘道。 我可以啟用RADIUS和/或IKEv2 VPN嗎?

是,如果您使用的閘道 SKU 支援 RADIUS 和/或 IKEv2,您可以在已使用 PowerShell 或 Azure 入口網站 部署的閘道上啟用這些功能。 基本 SKU 不支援 RADIUS 或 IKEv2。

如何? 移除 P2S 連線的設定嗎?

您可以使用 Azure CLI 和 PowerShell,使用下列命令來移除 P2S 組態:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

如果我在使用憑證驗證連線時收到憑證不符,該怎麼辦?

取消核 取 [藉由驗證憑證來驗證伺服器的身分識別],或在手動建立配置檔時新增伺服器 FQDN 和憑證。 您可以從命令提示字元執行 rasphone ,並從下拉式清單中挑選設定檔來執行此動作。

通常不建議略過伺服器身分識別驗證,但使用 Azure 憑證驗證時,VPN 通道通訊協定 (IKEv2/SSTP) 和 EAP 通訊協定中的伺服器驗證會使用相同的憑證。 由於 VPN 通道通訊協定已經驗證伺服器證書和 FQDN,因此在 EAP 中再次驗證相同是多餘的。

point-to-site auth

我可以使用自己的內部 PKI 根 CA 來產生點對站連線的憑證嗎?

是。 先前只能使用自我簽署的跟證書。 您仍然可以上傳 20 個跟證書。

我是否可以使用來自 Azure 金鑰保存庫 的憑證?

否。

我可以使用哪些工具來建立憑證?

您可以使用企業 PKI 解決方案(內部 PKI)、Azure PowerShell、MakeCert 和 OpenSSL。

是否有憑證設定和參數的指示?

  • 內部 PKI/企業 PKI 解決方案:請參閱產生憑證的步驟

  • Azure PowerShell: 如需步驟, 請參閱 Azure PowerShell 文章。

  • MakeCert: 如需步驟, 請參閱MakeCert 文章。

  • Openssl:

    • 匯出憑證時,請務必將跟證書轉換成Base64。

    • 針對客戶端憑證:

      • 建立私鑰時,請將長度指定為 4096。
      • 建立憑證時,針對 -extensions 參數指定 usr_cert

點對站 - RADIUS 驗證

本節適用於 Resource Manager 部署模型。

我的點對站設定中有多少個 VPN 用戶端端點?

這取決於閘道 SKU。 如需所支持連線數目的詳細資訊,請參閱 網關 SKU

我可以搭配點對站使用哪些用戶端操作系統?

支援下列用戶端作業系統:

  • Windows Server 2008 R2 (僅限 64 位)
  • Windows 8.1 (32 位和 64 位)
  • Windows Server 2012 (僅限 64 位)
  • Windows Server 2012 R2 (僅限 64 位)
  • Windows Server 2016 (僅限 64 位)
  • Windows Server 2019 (僅限 64 位)
  • Windows Server 2022 (僅限 64 位)
  • Windows 10
  • Windows 11
  • macOS 10.11 版或更新版本
  • Linux (StrongSwan)
  • iOS

我可以使用點對站功能周遊 Proxy 和防火牆嗎?

Azure 支援 三種類型的點對站 VPN 選項:

  • 安全套接字通道通訊協定 (SSTP)。 SSTP 是 Microsoft 專屬的 SSL 型解決方案,可穿透防火牆,因為大部分防火牆都會開啟 443 SSL 使用的輸出 TCP 連接埠。

  • OpenVPN。 OpenVPN 是一種 SSL 型解決方案,可穿透防火牆,因為大部分防火牆都會開啟 443 SSL 使用的輸出 TCP 連接埠。

  • IKEv2 VPN。 IKEv2 VPN 是以標準為基礎的 IPsec VPN 解決方案,使用輸出 UDP 連接埠 500 和 4500 和 IP 通訊協定 50。 防火牆不一定會開啟這些埠,因此 IKEv2 VPN 可能無法周遊 Proxy 和防火牆。

如果我重新啟動針對點對站設定的用戶端計算機,VPN 是否會自動重新連線?

自動重新連線是正在使用之用戶端的函式。 Windows 支援透過設定 Always On VPN 用戶端功能來自動重新連線。

點對站是否支援 VPN 用戶端上的 DDNS?

點對站 VPN 目前不支援 DDNS。

我可以讓相同虛擬網路共存站對站和點對站組態嗎?

是。 針對 Resource Manager 部署模型,您必須具有閘道的 RouteBased VPN 類型。 針對傳統部署模型,您需要動態閘道。 我們不支持靜態路由 VPN 閘道或原則式 VPN 閘道的點對站。

我可以設定點對站用戶端同時連線到多個虛擬網路閘道嗎?

視所使用的 VPN 用戶端軟體而定,您可能能夠連線到多個 虛擬網絡 閘道,前提是所連線的虛擬網路之間沒有衝突的位址空間,或來自用戶端的網路正在連線。 雖然 Azure VPN 用戶端支援許多 VPN 連線,但在任何指定時間只能 連線 一個連線。

我可以設定點對站客戶端同時連線到多個虛擬網路嗎?

是,指向虛擬網路網關的點對站用戶端連線,該閘道部署於與其他 VNet 對等互連的 VNet 中,可能會存取其他對等互連 VNet。 只要對等互連的 VNet 使用 UseRemoteGateway / AllowGatewayTransit 功能,點對站用戶端就能夠連線到對等互連的 VNet。 如需詳細資訊,請參閱 關於點對站路由

我可以透過站對站或點對站連線預期多少輸送量?

很難維持 VPN 通道的確切輸送量。 IPsec 和 SSTP 是密碼編譯繁重的 VPN 通訊協定。 輸送量也會受限於您的內部部署與因特網之間的延遲和頻寬。 對於只有 IKEv2 點對站 VPN 連線的 VPN 閘道,您可以預期的輸送量總計取決於閘道 SKU。 如需輸送量的詳細資訊,請參閱 網關 SKU

我可以針對支援 SSTP 和/或 IKEv2 的點對站使用任何軟體 VPN 用戶端嗎?

否。 您只能針對 SSTP 在 Windows 上使用原生 VPN 用戶端,以及 Mac 上的原生 VPN 用戶端 for IKEv2。 不過,您可以在所有平臺上使用 OpenVPN 用戶端,透過 OpenVPN 通訊協定進行連線。 請參閱支援的用戶端作業系統清單

我可以變更點對站連線的驗證類型嗎?

是。 在入口網站中,流覽至 VPN 閘道 -> 點對站組態 頁面。 針對 [ 驗證類型],選取您想要使用的驗證類型。 請注意,變更驗證類型之後,目前的用戶端在產生、下載並套用至每個 VPN 用戶端之前,可能無法連線。

Azure 支援 IKEv2 VPN 與 Windows 嗎?

Windows 10 和 Server 2016 支援 IKEv2。 不過,若要在特定 OS 版本中使用 IKEv2,您必須在本機安裝更新並設定登錄機碼值。 不支援 Windows 10 之前的作業系統版本,而且只能使用 SSTP 或 OpenVPN® 通訊協定

注意

Windows OS 組建比 Windows 10 版本 1709 和 Windows Server 2016 版本 1607 還新,不需要這些步驟。

若要準備適用於 IKEv2 的 Windows 10 或 Server 2016:

  1. 根據您的 OS 版本安裝更新:

    作業系統版本 Date 數位/連結
    Windows Server 2016
    Windows 10 版本 1607
    2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848
  2. 設定登錄機碼值。 在登錄中建立或設定 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD機碼為 1。

點對站聯機的 IKEv2 流量選取器限制為何?

Windows 10 版本 2004(2021 年 9 月發行)將流量選取器限制增加到 255。 早於此版本的 Windows 具有流量選取器限制 25。

Windows 中的流量選取器限制會決定虛擬網路中的位址空間數目上限,以及局域網路、VNet 對 VNet 連線和連線至閘道的對等互連 VNet 的最大總和。 如果 Windows 型點對站用戶端超過此限制,將無法透過 IKEv2 連線。

當我為 P2S VPN 連線設定 SSTP 和 IKEv2 時,會發生什麼事?

當您在混合環境中設定 SSTP 和 IKEv2 時(包含 Windows 和 Mac 裝置),Windows VPN 用戶端一律會先嘗試 IKEv2 信道,但如果 IKEv2 連線未成功,則會回復為 SSTP。 MacOSX 只會透過 IKEv2 連線。

當您在閘道上同時啟用 SSTP 和 IKEv2 時,點對站位址池會在兩者之間靜態分割,因此會從任一子範圍指派使用不同通訊協議的用戶端。 請注意,即使位址範圍大於 /24,SSTP 用戶端的最大數量一律為 128,導致 IKEv2 用戶端可用的地址數量較大。 對於較小的範圍,集區將會平均減半。 網關所使用的流量選取器可能不會包含點對站位址範圍 CIDR,但兩個子範圍 CIDR。

除了 Windows 和 Mac 以外,P2S VPN 還有哪些其他平臺 Azure 支援?

Azure 支援 適用於 P2S VPN 的 Windows、Mac 和 Linux。

我已經部署了 Azure VPN 閘道。 我可以啟用RADIUS和/或IKEv2 VPN嗎?

是,如果您使用的閘道 SKU 支援 RADIUS 和/或 IKEv2,您可以在已使用 PowerShell 或 Azure 入口網站 部署的閘道上啟用這些功能。 基本 SKU 不支援 RADIUS 或 IKEv2。

如何? 移除 P2S 連線的設定嗎?

您可以使用 Azure CLI 和 PowerShell,使用下列命令來移除 P2S 組態:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

所有 Azure VPN 閘道 SKU 是否都支援 RADIUS 驗證?

除了基本 SKU 之外,所有 SKU 都支援 RADIUS 驗證。

針對舊版 SKU,Standard 和 High Performance SKU 支援 RADIUS 驗證。 基本閘道 SKU 不支援它。

傳統部署模型是否支援RADIUS驗證?

否。 傳統部署模型不支援RADIUS驗證。

傳送至RADIUS伺服器的RADIUS要求逾時期限為何?

RADIUS 要求會在 30 秒後設定為逾時。 目前不支援使用者定義的逾時值。

是否支援第三方RADIUS伺服器?

是,支援第三方RADIUS伺服器。

確保 Azure 閘道能夠連線到內部部署 RADIUS 伺服器有哪些連線需求?

需要有站對站 VPN 連線至內部部署月臺,且已設定適當的路由。

流量是否可以透過 ExpressRoute 連線路由傳送至內部部署 RADIUS 伺服器(從 Azure VPN 閘道?

否。 它只能透過站對站連線路由傳送。

RADIUS 驗證支援的 SSTP 連線數目是否有變更? 支援的 SSTP 和 IKEv2 連線數目上限為何?

具有RADIUS驗證的閘道上支援的 SSTP 連線數目上限沒有任何變更。 SSTP 的閘道 SKU 仍為 128,但取決於 IKEv2 的閘道 SKU。 如需所支持連線數目的詳細資訊,請參閱 網關 SKU

使用RADIUS伺服器進行憑證驗證與使用 Azure 原生憑證驗證之間有何差異(透過將受信任的憑證上傳至 Azure)?

在RADIUS憑證驗證中,驗證要求會轉送至可處理實際憑證驗證的RADIUS伺服器。 如果您想要與已透過RADIUS的憑證驗證基礎結構整合,這個選項非常有用。

使用 Azure 進行憑證驗證時,Azure VPN 閘道會執行憑證的驗證。 您必須將憑證公鑰上傳至閘道。 您也可以指定不應允許連線的已撤銷憑證清單。

RADIUS 驗證是否可與 IKEv2 和 SSTP VPN 搭配運作?

是,IKEv2 和 SSTP VPN 都支援RADIUS驗證。

RADIUS 驗證是否可與OpenVPN用戶端搭配運作?

OpenVPN 通訊協定支援RADIUS驗證。

VNet 對 VNet 和多站台連線

VNet 對 VNet 常見問題適用於 VPN 網關聯機。 如需 VNet 對等互連的相關信息,請參閱 虛擬網路對等互連

Azure 會針對 VNet 之間的流量收費嗎?

當您使用 VPN 網關聯機時,同一區域內的 VNet 對 VNet 流量是免費的。 跨區域 VNet 對 VNet 輸出流量會根據來源區域來收費輸出間數據傳輸速率。 如需詳細資訊,請參閱 VPN 閘道 定價頁面。 如果您要使用 VNet 對等互連來連線 VNet,而不是 VPN 閘道,請參閱 虛擬網路定價

VNet 對 VNet 流量會透過因特網傳輸嗎?

否。 VNet 對 VNet 流量會透過 Microsoft Azure 骨幹傳輸,而不是因特網。

我可以跨 Microsoft Entra 租使用者建立 VNet 對 VNet 連線嗎?

是,使用 Azure VPN 閘道的 VNet 對 VNet 連線可跨 Microsoft Entra 租使用者運作。

VNet 對 VNet 流量是否安全?

是,它受到 IPsec/IKE 加密的保護。

我需要 VPN 裝置才能將 VNet 連線在一起嗎?

否。 連線 多個 Azure 虛擬網路在一起不需要 VPN 裝置,除非需要跨單位連線。

我的 VNet 是否需要位於相同的區域中?

否。 虛擬網路可以位於相同或不同的 Azure 區域(位置)。

如果 VNet 不在相同的訂用帳戶中,訂用帳戶是否需要與相同的 Active Directory 租使用者相關聯?

否。

是否可以使用 VNet 對 VNet 來連線個別 Azure 實例中的虛擬網路?

否。 VNet 對 VNet 支援在相同 Azure 實例內連線虛擬網路。 例如,您無法建立全域 Azure 與中文/德文/美國政府 Azure 實例之間的連線。 請考慮針對這些案例使用站對站 VPN 連線。

我可以搭配多月台聯機使用 VNet 對 VNet 嗎?

是。 虛擬網路連線可以與多月臺 VPN 同時使用。

一個虛擬網路可以連線到多少個內部部署網站和虛擬網路?

請參閱閘道需求數據表。

我可以使用 VNet 對 VNet 來連線 VNet 外部的 VM 或雲端服務嗎?

否。 VNet 對 VNet 支援連線虛擬網路。 它不支援連線不在虛擬網路中的虛擬機或雲端服務。

雲端服務或負載平衡端點可以跨越 VNet 嗎?

否。 雲端服務或負載平衡端點無法跨越虛擬網路,即使它們已連線在一起也一樣。

我可以針對 VNet 對 VNet 或多站台連線使用原則式 VPN 類型嗎?

否。 VNet 對 VNet 和多站台連線需要具有 RouteBased(先前稱為動態路由)VPN 類型的 Azure VPN 閘道。

我可以將具有 RouteBased VPN 類型的 VNet 連線至另一個具有原則式 VPN 類型的 VNet 嗎?

否,這兩個虛擬網路都必須使用路由型(先前稱為動態路由)VPN。

VPN 通道是否共用頻寬?

是。 虛擬網路的所有 VPN 通道都會共用 Azure VPN 閘道上的可用頻寬,以及 Azure 中相同的 VPN 閘道都會共用 Azure VPN 閘道都會共用 Azure VPN 閘道的 VPN 閘道。

是否支援備援通道?

當一個虛擬網路閘道關設定為主動-主動時,支援一對虛擬網路之間的備援通道。

我可以有 VNet 對 VNet 組態的重疊地址空間嗎?

否。 您無法有重疊的IP位址範圍。

線上的虛擬網路和內部部署本機網站之間是否有重疊的位址空間?

否。 您無法有重疊的IP位址範圍。

如何? 啟用站對站 VPN 連線與 ExpressRoute 之間的路由?

如果您想要啟用連線至 ExpressRoute 的分支與連線至站對站 VPN 連線的分支之間的路由,您必須設定 Azure 路由伺服器

我可以使用 Azure VPN 閘道,在內部部署網站或另一個虛擬網路之間傳輸流量嗎?

Resource Manager 部署模型
是。 如需詳細資訊, 請參閱 BGP 一節。

傳統部署模型
您可以使用傳統部署模型,透過 Azure VPN 閘道傳輸流量,但依賴網路組態檔中靜態定義的位址空間。 使用傳統部署模型,Azure 虛擬網絡 和 VPN 閘道尚不支援 BGP。 如果沒有 BGP,手動定義傳輸地址空間很容易出錯,不建議這麼做。

Azure 是否為相同虛擬網路的所有 VPN 連線產生相同的 IPsec/IKE 預先共用密鑰?

否,Azure 預設會針對不同的 VPN 連線產生不同的預先共用密鑰。 不過,您可以使用 Set VPN Gateway Key REST API 或 PowerShell Cmdlet 來設定您偏好的索引鍵值。 索引鍵必須只包含可列印的 ASCII 字元,但空格、連字元 (-) 或Tilde (~) 除外。

我是否有比單一虛擬網路更多的站對站 VPN 的頻寬?

否,所有 VPN 信道,包括點對站 VPN,共用相同的 Azure VPN 閘道和可用的頻寬。

我可以使用多月臺 VPN 在虛擬網路與內部部署網站之間設定多個通道嗎?

是,但您必須在兩個通道上設定 BGP 到相同的位置。

Azure VPN 閘道 接受 AS Path 前置,以影響多個連線到內部部署網站之間的路由決策?

是,Azure VPN 閘道會接受前面加上 AS Path,以協助在啟用 BGP 時做出路由決策。 BGP 路徑選取中偏好較短的 AS 路徑。

建立新的 VPN VirtualNetworkGateway 連線時,是否可以使用 RoutingWeight 屬性?

否,這類設定會保留給 ExpressRoute 網關聯機。 如果您想要影響多個連線之間的路由決策,您必須在前面使用 AS Path。

我可以搭配使用點對站 VPN 搭配多個 VPN 通道的虛擬網路嗎?

是,點對站 (P2S) VPN 可以與連線到多個內部部署網站和其他虛擬網路的 VPN 閘道搭配使用。

我可以將虛擬網路與 IPsec VPN 連線到 ExpressRoute 線路嗎?

是,支援這種情況。 如需詳細資訊,請參閱 設定共存的 ExpressRoute 和站對站 VPN 連線

IPsec/IKE 原則

所有 Azure VPN 閘道 SKU 是否都支援自定義 IPsec/IKE 原則?

除了基本 SKU 之外,所有 Azure SKU 都支援自定義 IPsec/IKE 原則。

我可以在連線上指定多少個原則?

您只能指定的連線指定 一個 原則組合。

我可以在連線上指定部分原則嗎? (例如,只有 IKE 演算法,但不是 IPsec)

否,您必須針對 IKE(主要模式)和 IPsec(快速模式)指定所有演算法和參數。 不允許部分原則規格。

自定義原則中支持的演算法和關鍵優勢為何?

下表列出您可以設定的支持密碼編譯演算法和金鑰強度。 您必須為每個欄位選取一個選項。

IPsec/IKEv2 選項
IKEv2 加密 GCMAES256、GCMAES128、AES256、AES192、AES128
IKEv2 完整性 SHA384、SHA256、SHA1、MD5
DH 群組 DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、None
IPsec 加密 GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、None
IPsec 完整性 GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS 群組 PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、無
QM SA 存留期 選擇性:如果未指定,則會使用預設值)
秒(整數; min. 300/default 27000 seconds)
KBytes (整數; min. 1024/default 102400000 KBytes)
流量選取器 UsePolicyBasedTrafficSelectors** ($True/$False; 選擇性,如果未指定,則為預設$False)
DPD 逾時 秒數(整數:最小值 9/最大值 3600;預設值 45 秒)
  • 您的內部部署 VPN 裝置組態必須符合或包含您在 Azure IPsec/IKE 原則上指定的下列演算法和參數:

    • IKE 加密演算法 (主要模式/階段 1)
    • IKE 完整性演算法 (主要模式/階段 1)
    • DH 群組(主要模式/第 1 階段)
    • IPsec 加密演算法 (快速模式/ 階段 2)
    • IPsec 完整性演算法 (快速模式/階段 2)
    • PFS 群組 (快速模式/ 階段 2)
    • 流量選取器(如果使用 UsePolicyBasedTrafficSelectors)
    • SA 存留期只是本機規格,不需要比對。
  • 如果 GCMAES 用於 IPsec 加密演算法,您必須針對 IPsec 完整性選取相同的 GCMAES 演演算法和密鑰長度;例如,針對兩者使用 GCMAES128。

  • 演算法與索引鍵 資料表中:

    • IKE 對應至主要模式或階段 1。
    • IPsec 對應至快速模式或階段 2。
    • DH 群組會指定主要模式或階段 1 中使用的 Diffie-Hellman 群組。
    • PFS 群組指定了快速模式或階段 2 中使用的 Diffie-Hellman 群組。
  • Azure VPN 閘道上的 IKE 主要模式 SA 存留期固定在 28,800 秒。

  • 'UsePolicyBasedTrafficSelectors' 是連線上的選擇性參數。 如果您將 UsePolicyBasedTrafficSelectors 設定為連線上的$True,則會將 Azure VPN 閘道設定為連線到內部部署的原則型 VPN 防火牆。 如果您啟用 PolicyBasedTrafficSelectors,則必須確保您的 VPN 裝置具有與內部部署網路 (局域網路網關) 前置詞的所有組合所定義的相符流量選取器,而不是任意對任意。 Azure VPN 閘道會接受遠端 VPN 閘道提議的任何流量選取器,而不論 Azure VPN 閘道上設定的內容為何。

    例如,如果您的內部部署網路前綴是 10.1.0.0/16 和 10.2.0.0/16,而您的虛擬網路前綴為 192.168.0.0/16 和 172.16.0.0/16,您需要指定下列流量選取器:

    • 10.1.0.0/16 <=≦> 192.168.0.0/16
    • 10.1.0.0/16 <=≦> 172.16.0.0/16
    • 10.2.0.0/16 <=≦> 192.168.0.0/16
    • 10.2.0.0/16 <=≦> 172.16.0.0/16

    如需原則型流量選取器的詳細資訊,請參閱 連線 多個內部部署原則型 VPN 裝置

  • DPD 逾時 - Azure VPN 閘道上的預設值為 45 秒。 將逾時設定為較短的期間會導致 IKE 更積極地重設密鑰,導致某些實例中的連線似乎中斷連線。 如果您的內部部署位置離 VPN 閘道所在的 Azure 區域更遠,或實體鏈接狀況可能會造成封包遺失,則可能不理想。 一般建議是將逾時設定為 30 到 45 秒。

如需詳細資訊,請參閱 連線 多個內部部署原則型 VPN 裝置

支援哪些迪菲-地獄曼群組?

下表列出自定義原則支援的對應 Diffie-Hellman 群組:

迪菲-赫爾曼集團 DHGroup PFSGroup 金鑰長度
1 DHGroup1 PFS1 768 位 MODP
2 DHGroup2 PFS2 1024 位 MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 位 MODP
19 ECP256 ECP256 256 位 ECP
20 ECP384 ECP384 384 位 ECP
24 DHGroup24 PFS24 2048 位 MODP

如需 詳細資訊,請參閱RFC3526RFC5114

自定義原則會取代 Azure VPN 閘道的預設 IPsec/IKE 原則集嗎?

是,在連線上指定自定義原則后,Azure VPN 閘道只會在連線上使用原則,同時作為 IKE 啟動器和 IKE 回應程式。

如果我移除自定義 IPsec/IKE 原則,連線是否會未受保護?

否,連線仍會受到IPsec/IKE的保護。 從連線移除自定義原則之後,Azure VPN 閘道會還原回 IPsec/IKE 提案 的預設清單,然後重新啟動 IKE 交握與內部部署 VPN 裝置。

新增或更新 IPsec/IKE 原則是否會中斷我的 VPN 連線?

是,當 Azure VPN 閘道中斷現有的連線並重新啟動 IKE 交握,以使用新的密碼編譯演算法和參數重新建立 IPsec 通道時,可能會造成小中斷(幾秒鐘)。 請確定您的內部部署 VPN 裝置也已使用相符的演算法和關鍵強度進行設定,以將中斷降至最低。

我可以在不同的連線上使用不同的原則嗎?

是。 自定義原則會根據每個連線套用。 您可以在不同的連線上建立並套用不同的 IPsec/IKE 原則。 您也可以選擇在連線子集上套用自定義原則。 其餘的會使用 Azure 預設 IPsec/IKE 原則集。

我是否可以在 VNet 對 VNet 連線上使用自定義原則?

是,您可以在 IPsec 跨單位連線或 VNet 對 VNet 連線上套用自定義原則。

我需要在兩個 VNet 對 VNet 連線資源上指定相同的原則嗎?

是。 VNet 對 VNet 通道包含 Azure 中的兩個連線資源,每個方向各有一個。 請確定這兩個連線資源具有相同的原則,否則不會建立 VNet 對 VNet 連線。

預設的 DPD 逾時值為何? 我可以指定不同的 DPD 逾時嗎?

預設 DPD 逾時為 45 秒。 您可以在每個 IPsec 或 VNet 對 VNet 連線上指定不同的 DPD 逾時值,從 9 秒到 3600 秒。

注意

Azure VPN 閘道上的預設值為 45 秒。 將逾時設定為較短的期間會導致 IKE 更積極地重設密鑰,導致某些實例中的連線似乎中斷連線。 如果您的內部部署位置離 VPN 閘道所在的 Azure 區域更遠,或實體鏈接狀況可能會造成封包遺失,則可能不想要這樣做。 一般建議是設定 30 到 45 秒之間的逾時。

自定義 IPsec/IKE 原則是否適用於 ExpressRoute 連線?

否。 IPsec/IKE 原則僅適用於透過 Azure VPN 閘道的 S2S VPN 和 VNet 對 VNet 連線。

如何? 使用 IKEv1 或 IKEv2 通訊協定類型建立連線?

IKEv1 連線可以在所有 RouteBased VPN 類型 SKU 上建立,但基本 SKU、標準 SKU 和其他 舊版 SKU 除外。 您可以在建立連線時指定 IKEv1 或 IKEv2 的連接通訊協定類型。 如果您未指定連線通訊協定類型,則會在適用的情況下使用 IKEv2 做為預設選項。 如需詳細資訊,請參閱 PowerShell Cmdlet 檔。 如需 SKU 類型和 IKEv1/IKEv2 支援,請參閱將閘道 連線 原則型 VPN 裝置

是否允許 IKEv1 和 IKEv2 連線之間的傳輸?

是。 支援 IKEv1 與 IKEv2 連線之間的傳輸。

我是否可以在路由式 VPN 類型的基本 SKU 上擁有 IKEv1 站對站連線?

否。 基本 SKU 不支援此專案。

是否可以在建立連線之後變更連線通訊協定類型 (IKEv1 至 IKEv2,反之亦然)?

否。 建立連線之後,就無法變更 IKEv1/IKEv2 通訊協定。 您必須刪除並重新建立具有所需通訊協定類型的新連線。

為什麼我的 IKEv1 連線經常重新連線?

如果您的靜態路由或路由型 IKEv1 連線在例行間隔中斷連線,可能是因為 VPN 閘道不支援就地重設密鑰。 當Main模式重新設定金鑰時,您的 IKEv1 通道將會中斷連線,最多需要 5 秒的時間才能重新連線。 您的主要模式交涉逾時值會決定重設密鑰的頻率。 若要防止這些重新連線,您可以使用支援就地重設機碼的 IKEv2 切換至 。

如果您的連線在隨機時間重新連線,請遵循我們的 疑難解答指南

哪裡可以找到組態資訊和步驟?

如需詳細資訊和設定步驟,請參閱下列文章。

BGP 和路由

所有 Azure VPN 閘道 SKU 是否都支援 BGP?

除了基本 SKU 之外,所有 Azure VPN 閘道 SKU 都支援 BGP。

是否可以搭配 Azure 原則 VPN 閘道使用 BGP?

否,僅限路由式 VPN 閘道支援 BGP。

我可以使用哪些 ASN(自發系統號碼?

您可以針對內部部署網路和 Azure 虛擬網路使用自己的公用 ASN 或私人 ASN。 您無法使用 Azure 或 IANA 保留的範圍。

下列 ASN 是由 Azure 或 IANA 所保留:

  • Azure 所保留的 ASN:

    • 公用 ASN:8074、8075、12076
    • 私人 ASNs:65515、65517、65518、65519、65520
  • IANA 保留的 ASN

    • 23456、64496-64511、65535-65551 和 429496729

當您連線到 Azure VPN 閘道時,您無法為內部部署 VPN 裝置指定這些 ASN。

我可以使用32位(4位元組) ASN 嗎?

是,VPN 閘道 現在支援32位 (4 位元組) ASN。 若要以十進位格式使用 ASN 進行設定,請使用 PowerShell、Azure CLI 或 Azure SDK。

我可以使用哪些私人 ASN?

私人 ASN 的可用範圍如下:

  • 64512-65514 和 65521-65534

IANA 或 Azure 不會保留這些 ASN 以供使用,因此可用來指派給 Azure VPN 閘道。

VPN 閘道 用於 BGP 對等 IP 的地址為何?

根據預設,VPN 閘道 為主動-待命 VPN 閘道配置 GatewaySubnet 範圍中的單一 IP 位址,或使用中-主動 VPN 閘道的兩個 IP 位址。 當您建立 VPN 閘道時,會自動設定這些位址。 您可以使用PowerShell或在 Azure 入口網站 中尋找它,來取得配置的實際 BGP IP 位址。 在 PowerShell 中,使用 Get-AzVirtualNetworkGateway,並尋找 bgpPeeringAddress 屬性。 在 [Azure 入口網站] 的 [網關組態] 頁面上,查看 [設定 BGP ASN] 屬性底下。

如果您的內部部署 VPN 路由器使用 APIPA IP 位址 (169.254.x.x) 作為 BGP IP 位址,您必須在 Azure VPN 閘道上指定一或多個 Azure APIPA BGP IP 位址 。 Azure VPN 閘道 會選取要與局域網路閘道中指定的內部部署 APIPA BGP 對等互連,或非 APIPA 內部部署 BGP 對等互連的私人 IP 位址搭配使用的 APIPA 位址。 如需詳細資訊,請參閱 設定 BGP

我的 VPN 裝置上的 BGP 對等 IP 位址有哪些需求?

您的內部部署 BGP 對等位址不得與您 VPN 裝置的公用 IP 位址或 VPN 閘道的虛擬網路位址空間相同。 在 VPN 裝置上,請針對 BGP 對等互連 IP 使用不同的 IP 位址。 它可以是指派給裝置上回送介面的位址(一般IP位址或APIPA位址)。 如果您的裝置使用 BGP 的 APIPA 位址,您必須在 Azure VPN 閘道上指定一或多個 APIPA BGP IP 位址,如設定 BGP 中所述。 在代表位置的對應局域網路網關中指定這些位址。

當我使用 BGP 時,我應該指定為局域網路閘道的地址前綴?

重要

這是先前記載需求的變更。 如果您使用 BGP 進行連線,請將 對應局域網路閘道資源的 [位址空間] 字段保留空白。 Azure VPN 閘道 透過 IPsec 通道,在內部將主機路由新增至內部部署 BGP 對等 IP。 請勿在 [地址空間 ] 字段中新增 /32 路由。 這是多餘的,而且如果您使用 APIPA 位址作為內部部署 VPN 裝置 BGP IP,則無法新增至此欄位。 如果您在 [ 位址空間 ] 字段中新增任何其他前置詞,除了透過 BGP 學習的路由之外,它們也會新增為 Azure VPN 網關上的靜態路由。

我可以針對內部部署 VPN 網路和 Azure 虛擬網路使用相同的 ASN 嗎?

否,如果您要與 BGP 一起連線,則必須在內部部署網路與 Azure 虛擬網路之間指派不同的 ASN。 Azure VPN 閘道的預設 ASN 已指派為 65515,不論 BGP 是否針對您的跨單位連線啟用。 您可以在建立 VPN 閘道時指派不同的 ASN 來覆寫此預設值,或在建立閘道之後變更 ASN。 您必須將內部部署 ASN 指派給對應的 Azure 局域網路閘道。

Azure VPN 閘道會向我公告哪些地址前綴?

閘道會公告下列路由至您的內部部署 BGP 裝置:

  • 您的虛擬網路位址前綴。
  • 連線至 Azure VPN 閘道之每個區域網路閘道的位址前綴。
  • 從連線至 Azure VPN 閘道的其他 BGP 對等互連會話學習的路由,但預設路由或與任何虛擬網路前綴重疊的路由除外。

我可以向 Azure VPN 閘道 公告多少前置詞?

Azure VPN 閘道 最多可支援 4000 個前置詞。 如果前置詞數目超過限制,則會卸除 BGP 工作階段。

我可以將預設路由 (0.0.0.0.0/0) 公告至 Azure VPN 閘道嗎?

是。 請注意,這會強制所有虛擬網路輸出流量流向內部部署網站。 它也會防止虛擬網路 VM 直接接受來自因特網的公用通訊,例如從因特網到 VM 的 RDP 或 SSH。

我可以將確切的前置詞公告為虛擬網路前置詞嗎?

否,Azure 將會封鎖或篩選任何一個虛擬網路位址前綴的相同前置詞。 不過,您可以公告前置詞,其為虛擬網路內您擁有之超集的前置詞。

例如,如果您的虛擬網路使用了位址空間 10.0.0.0/16,您可以公告 10.0.0.0/8。 但您無法公告 10.0.0.0/16 或 10.0.0.0/24。

是否可以在虛擬網路之間搭配連線使用 BGP?

是,您可以針對跨單位連線和虛擬網路之間的連線使用 BGP。

我可以混合 BGP 與 Azure VPN 閘道的非 BGP 連線嗎?

是,您可以混合相同 Azure VPN 閘道的 BGP 和非 BGP 連線。

Azure VPN 閘道 是否支援 BGP 傳輸路由?

是,支援 BGP 傳輸路由,但 Azure VPN 閘道不會公告其他 BGP 對等互連的預設路由。 若要啟用跨多個 Azure VPN 閘道的傳輸路由,您必須在虛擬網路之間的所有中繼連線上啟用 BGP。 如需詳細資訊,請參閱 關於 BGP

我可以在 Azure VPN 閘道與內部部署網路之間有多個通道嗎?

是,您可以在 Azure VPN 閘道與內部部署網路之間建立多個站對站 VPN 通道。 請注意,所有這些通道都會計入 Azure VPN 閘道總數,而且您必須在這兩個通道上啟用 BGP。

例如,如果您的 Azure VPN 閘道與其中一個內部部署網路之間有兩個備援通道,它們會取用 Azure VPN 閘道總配額的 2 個通道。

我可以在兩個具有 BGP 的 Azure 虛擬網路之間有多個通道嗎?

是,但至少有一個虛擬網路網關必須處於主動-主動設定中。

我可以在 Azure ExpressRoute 和 S2S VPN 共存設定中使用適用於 S2S VPN 的 BGP 嗎?

是。

我應該為 BGP 對等互連會話新增至內部部署 VPN 裝置什麼?

在 VPN 裝置上新增 Azure BGP 對等 IP 位址的主機路由。 此路由會指向 IPsec S2S VPN 通道。 例如,如果 Azure VPN 對等 IP 是 10.12.255.30,您會在 VPN 裝置上新增 10.12.255.30 的主機路由,以及相符 IPsec 信道介面的下一個躍點介面。

虛擬網路閘道是否支援使用 BGP 進行 S2S 連線的 BFD?

否。 雙向轉送偵測 (BFD) 是一種通訊協定,您可以搭配 BGP 來偵測鄰近停機時間,比使用標準 BGP「keepalives」快。BFD 使用子秒定時器,其設計目的是在 LAN 環境中運作,但無法跨公用因特網或廣域網聯機運作。

對於透過公用因特網連線,某些封包延遲或甚至捨棄並不罕見,因此引進這些積極的定時器可能會增加不穩定。 此不穩定可能會導致 BGP 抑制路由。 或者,您可以設定內部部署裝置,其定時器低於預設、60 秒的「保留」間隔,以及 180 秒保留定時器。 這會導致更快速的聚合時間。 不過,低於預設 60 秒「保留」間隔或低於預設 180 秒保留定時器的定時器並不可靠。 建議將定時器保持在預設值或高於預設值。

Azure VPN 閘道是否起始 BGP 對等互連工作階段或連線?

網關會使用 VPN 閘道上的私人 IP 位址,對區域網路閘道資源中指定的內部部署 BGP 對等 IP 位址起始 BGP 對等互連會話。 無論內部部署 BGP IP 位址位於 APIPA 範圍還是一般私人 IP 位址,都是如此。 如果您的內部部署 VPN 裝置使用 APIPA 位址作為 BGP IP,您必須設定 BGP 喇叭以起始連線。

我可以設定強制通道嗎?

是。 請參閱 設定強制通道

NAT

所有 Azure VPN 閘道 SKU 是否都支援 NAT?

VpnGw2~5 和 VpnGw2AZ~5AZ 支援 NAT。

我可以在 VNet 對 VNet 或 P2S 連線上使用 NAT 嗎?

否。

我可以在 VPN 閘道上使用多少 NAT 規則?

您可以在 VPN 閘道上建立最多 100 個 NAT 規則(輸入和輸出規則合併)。

我可以在 NAT 規則名稱中使用 / 嗎?

否。 您會收到錯誤。

NAT 是否套用至 VPN 閘道上的所有連線?

NAT 會套用至具有NAT規則的連線。 如果連線沒有 NAT 規則,NAT 將不會對該連線生效。 在相同的 VPN 閘道上,您可以擁有一些與 NAT 的連線,以及其他連線,而不需要 NAT 一起運作。

Azure VPN 閘道支援哪些類型的 NAT?

僅支持靜態 1:1 NAT 和動態 NAT。 不支援 NAT64。

NAT 是否在主動-主動 VPN 閘道上運作?

是。 NAT 適用於主動-主動和主動待命 VPN 閘道。 每個 NAT 規則都會套用至 VPN 閘道的單一實例。 在主動-主動網關中,透過 [IP 組態標識符] 字段,為每個網關實例建立個別的 NAT 規則。

NAT 是否可與 BGP 連線搭配運作?

是,您可以搭配 NAT 使用 BGP。 以下是一些重要的考慮:

  • 在 [NAT 規則設定] 頁面上選取 [啟用 BGP 路由轉譯 ],以確保學習的路由和公告的路由會根據與連線相關聯的 NAT 規則轉譯為 NAT 位址前置詞(外部對應)。 您必須確保內部部署 BGP 路由器會公告輸入SNAT 規則中所定義的確切前置詞。

  • 如果內部部署 VPN 路由器使用一般、非 APIPA 位址,且它與虛擬網路位址空間或其他內部部署網路空間相衝突,請確定 IngressSNAT 規則會將 BGP 對等 IP 轉譯為唯一的非重迭位址,並將後 NAT 位址 放在局域網路網關的 BGP 對等 IP 位址 字段中。

  • BGP APIPA 位址不支援 NAT。

我需要為 SNAT 規則建立相符的 DNAT 規則嗎?

否。 單一 SNAT 規則會定義特定網路的雙向轉譯

  • IngressSNAT 規則會定義從內部部署網路進入 Azure VPN 閘道的來源 IP 位址轉譯。 它也會處理從虛擬網路到相同內部部署網路的目的地 IP 位址轉譯。

  • EgressSNAT 規則會定義虛擬網路來源 IP 位址的轉譯,讓 Azure VPN 閘道移轉至內部部署網路。 它也會處理透過 EgressSNAT 規則連線進入虛擬網路之封包的目的地 IP 位址轉譯。

  • 不論是哪一種情況, 都不需要DNAT 規則。

如果我的 VNet 或局域網路閘道位址空間有兩個以上的前置詞,該怎麼辦? 我可以將 NAT 套用至所有 NAT 嗎? 還是只是子集?

您必須為每個需要 NAT 的前置詞建立一個 NAT 規則,因為每個 NAT 規則只能包含 NAT 的一個位址前綴。 例如,如果局域網路網關位址空間包含 10.0.1.0/24 和 10.0.2.0/25,您可以建立兩個規則,如下所示:

  • 輸入規則 1:對應 10.0.1.0/24 到 100.0.1.0/24
  • 輸入規則 2:將 10.0.2.0/25 對應至 100.0.2.0/25

這兩個規則必須符合對應位址前綴的前置詞長度。 同樣適用於虛擬網路位址空間的 EgressSNAT 規則。

重要

如果您只將一個規則連結至上述連線,則 不會 轉譯其他地址空間。

我可以使用哪些IP範圍來進行外部對應?

您可以使用任何適合外部對應的IP範圍,包括公用和私人IP。

我可以使用不同的 EgressSNAT 規則,將 VNet 位址空間轉譯為不同的內部部署網路前綴嗎?

是,您可以為相同的 VNet 位址空間建立多個 EgressSNAT 規則,並將 EgressSNAT 規則套用至不同的連線。

我可以在不同的連線上使用相同的 IngressSNAT 規則嗎?

是,當聯機是針對相同的內部部署網路提供備援時,通常會使用此選項。 如果連線適用於不同的內部部署網路,則無法使用相同的輸入規則。

我需要 NAT 連線上的輸入和輸出規則嗎?

當內部部署網路位址空間與虛擬網路位址空間重疊時,您需要相同連線上的輸入和輸出規則。 如果所有連線網路之間的虛擬網路位址空間是唯一的,您就不需要這些連線的 EgressSNAT 規則。 您可以使用輸入規則來避免內部部署網路之間的位址重疊。

我選擇什麼作為「IP 組態標識碼」?

「IP 組態識別碼」只是您想要 NAT 規則使用的IP組態物件名稱。 透過此設定,您只需要選擇哪個網關公用IP位址會套用至NAT規則。 如果您尚未在網關建立時指定任何自定義名稱,閘道的主要IP位址會指派給「預設」IPconfiguration,並將次要IP指派給「activeActive」IPconfiguration。

跨單位連線和 VM

如果我的虛擬機位於虛擬網路中,而且我有跨單位連線,應該如何連線到 VM?

您有幾個選項。 如果您已啟用 VM 的 RDP,您可以使用私人 IP 位址連線到虛擬機。 在此情況下,您會指定私人IP位址和您想要連線的埠(通常是3389)。 您必須在虛擬機上設定流量的埠。

您也可以從位於相同虛擬網路的另一部虛擬機,透過私人IP位址連線到虛擬機。 如果您要從虛擬網路外部的位置連線,則無法使用私人IP位址來連線到虛擬機。 例如,如果您已設定點對站虛擬網路,且未從計算機建立連線,則無法透過私人IP位址連線到虛擬機。

如果我的虛擬機位於具有跨單位連線的虛擬網路中,來自 VM 的所有流量是否都會通過該連線?

否。 只有目的地 IP 包含在您指定的虛擬網路局域網路 IP 位址範圍中的流量,才會通過虛擬網路閘道。 流量具有位於虛擬網路內的目的地IP,會保留在虛擬網路內。 其他流量會透過負載平衡器傳送至公用網路,或如果使用強制通道,則透過 Azure VPN 閘道傳送。

如何? 針對 VM 的 RDP 連線進行疑難解答

如果您無法透過 VPN 連線連線連線連線到虛擬機,請檢查下列專案:

  • 確認您的 VPN 連線成功。
  • 確認您連線到 VM 的私人 IP 位址。
  • 如果可以使用私人IP位址連線到VM,但無法連線到電腦名稱,請確認您已正確設定 DNS。 如需 VM 名稱解析運作方式的詳細資訊,請參閱 VM 的名稱解析。

當您透過點對站連線時,請檢查下列其他專案:

  • 使用 'ipconfig' 來檢查指派給您要連線之計算機上乙太網路卡的 IPv4 位址。 如果IP位址位於您要連線的虛擬網路位址範圍內,或在 VPNClientAddressPool 的位址範圍內,這稱為重疊的地址空間。 當您的位址空間以這種方式重疊時,網路流量不會連線到 Azure,它會保留在局域網路上。
  • 確認 VPN 用戶端元件是在為虛擬網路指定 DNS 伺服器 IP 位址之後產生的。 如果您更新了 DNS 伺服器 IP 位址,請產生並安裝新的 VPN 用戶端設定套件。

如需針對 RDP 連線進行疑難解答的詳細資訊,請參閱 針對 VM 的遠端桌面連線進行疑難解答。

客戶控制的閘道維護

網路閘道的維護組態範圍包含哪些服務?

網路閘道範圍包含網路服務中的閘道資源。 網路閘道範圍中有四種類型的資源:

  • ExpressRoute 服務中的虛擬網路閘道。
  • VPN 閘道 服務中的虛擬網路閘道。
  • 虛擬 WAN 服務中的 VPN 閘道(站對站)。
  • 虛擬 WAN 服務中的 ExpressRoute 閘道。

客戶控制的維護支援或不支援哪一項維護?

Azure 服務會定期進行維護更新,以改善功能、可靠性、效能和安全性。 設定資源的維護期間之後,就會在該時段期間執行客體OS和服務維護。 除了主機更新(TOR、Power 等)和重大安全性更新之外,客戶控制的維護不會涵蓋主機更新。

我可以取得維護的進階通知嗎?

目前無法啟用進階通知,以維護網路網關資源。

我可以設定少於五小時的維護期間嗎?

此時,您必須在慣用的時區中設定至少五個小時的時段。

我可以設定每日排程以外的維護時段嗎?

此時,您必須設定每日維護期間。

是否有我無法控制特定更新的情況?

客戶控制的維護支援客體作業系統和服務更新。 這些更新佔造成客戶關注的大部分維護專案。 某些其他類型的更新,包括主機更新,不在客戶控制的維護範圍內。

此外,如果發生高嚴重性安全性問題,可能會危及我們的客戶,Azure 可能需要覆寫客戶對維護時段的控制,並推送變更。 這些是罕見的情況,只會在極端情況下使用。

維護設定資源是否必須位於與閘道資源相同的區域中?

Yes

哪些閘道 SKU 可以設定為使用客戶控制的維護?

所有閘道 SKU(VPN 閘道 的基本 SKU 除外)都可以設定為使用客戶控制的維護。

將維護設定原則指派給網關資源之後,需要多久才會生效?

在維護原則與網關資源相關聯之後,網路網關最多可能需要 24 小時的時間才能遵循維護排程。

根據基本 SKU 公用 IP 位址使用客戶控制的維護是否有任何限制?

是。 使用基本 SKU 公用 IP 位址的閘道資源只能在客戶控制的維護排程之後進行服務更新。 針對這些閘道,客體OS維護不會遵循客戶控制的維護排程,因為基礎結構限制。

在共存案例中使用 VPN 和 ExpressRoute 時,應該如何規劃維護期間?

在共存案例中使用 VPN 和 ExpressRoute 時,或當您有做為備份的資源時,建議您設定個別的維護時段。 此方法可確保維護不會同時影響備份資源。

我已為其中一個資源排程維護期間,以取得未來的日期。 維護活動是否會在此資源上暫停,直到那時為止?

否,在排定的維護期間內,資源不會暫停維護活動。 針對維護排程中未涵蓋的天數,維護會如往常在資源上繼續。

如何? 深入瞭解客戶控制的閘道維護?

如需詳細資訊,請參閱 VPN 閘道 客戶控制的網關維護一文。

下一步

“OpenVPN” 是 OpenVPN Inc. 的商標。