الأسئلة المتداولة عن بوابة VPN

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

الاتصال بالشبكات الظاهرية

هل يمكنني توصيل الشبكات الظاهرية في مناطق Azure المختلفة؟

نعم. لا يوجد أي قيد في المنطقة. يمكن لشبكة ظاهرية واحدة الاتصال بشبكة ظاهرية أخرى في نفس المنطقة، أو في منطقة Azure مختلفة.

هل يمكنني توصيل الشبكات الظاهرية في اشتراكات مختلفة؟

نعم.

هل يمكنني تحديد خوادم DNS خاصة في VNet الخاص بي عند تكوين بوابة VPN؟

إذا قمت بتحديد خادم DNS أو خوادم عند إنشاء VNet، فستستخدم بوابة VPN خوادم DNS التي حددتها. إذا قمت بتحديد خادم DNS، فتحقق من أن خادم DNS يمكنه حل أسماء المجالات المطلوبة لـ Azure.

هل يمكنني الاتصال بمواقع متعددة من شبكة ظاهرية واحدة؟

يمكنك الاتصال بمواقع متعددة باستخدام Windows PowerShell وواجهات برمجة تطبيقات Azure REST. راجع قسم الأسئلة المتداولة حول ⁧⁩الاتصال متعدد المواقع والاتصال من VNet-to-VNet⁧⁩.

هل هناك تكلفة إضافية لإعداد بوابة VPN كنشطة ونشطة؟

كلا.

ما هي خيارات الاتصال عبر المباني الخاصة بي؟

يتم دعم اتصالات بوابة الشبكة الظاهرية عبر المباني التالية:

• ⁧⁩من موقع إلى موقع:⁧⁩اتصال VPN عبر IPsec (IKE v1 وIKE v2). يتطلب هذا النوع من الاتصال جهاز VPN أو RRAS. لمزيد من المعلومات، راجع ⁧⁩من موقع إلى موقع⁧⁩.
• ⁧⁩من نقطة إلى الموقع:⁧⁩اتصال VPN عبر SSTP (بروتوكول نفق مأخذ التوصيل الآمن) أو IKE v2. لا يتطلب هذا الاتصال جهاز VPN. لمزيد من المعلومات، راجع ⁧⁩من موقع إلى موقع⁧⁩.
• ⁧⁩VNet-to-VNet:⁧⁩هذا النوع من الاتصال هو نفسه تكوين موقع إلى موقع. VNet إلى VNet هو اتصال VPN عبر IPsec (IKE v1 وIKE v2). لا يتطلب جهاز VPN. لمزيد من المعلومات، راجع ⁧⁩VNet-to-VNet⁧⁩.
• ⁧⁩المواقع المتعددة:⁧⁩هذا هو شكل مختلف من تكوين موقع إلى موقع يسمح لك بتوصيل مواقع محلية متعددة بشبكة ظاهرية. لمزيد من المعلومات، راجع ⁧⁩المواقع المتعددة⁧⁩.
• ⁧⁩ExpressRoute:⁧⁩ الطريق السريع هو اتصال خاص بـ Azure من شبكة WAN الخاصة بك، وليس اتصال VPN عبر الإنترنت العام. لمزيد من المعلومات، راجع ⁧⁩نظرة عامة تقنية على ExpressRoute⁧⁩ و⁧⁩الأسئلة المتداولة حول ExpressRoute⁧⁩.

لمزيد من التفاصيل حول بوابات VPN، راجع ⁧⁩نبذة عن بوابة VPN⁧⁩.

ما الفرق بين اتصال الموقع بالموقع والاتصال من نقطة إلى موقع؟

توجد تكوينات ⁧⁩الموقع إلى الموقع⁧⁩ (نفق IPsec/IKE VPN) بين موقعك المحلي وAzure. وهذا يعني أنه يمكنك الاتصال من أي من أجهزة الكمبيوتر الموجودة في المبنى الخاص بك إلى أي جهاز ظاهري أو مثيل دور داخل شبكتك الظاهرية، اعتمادًا على الطريقة التي تختار بها تكوين التوجيه والأذونات. إنه خيار رائع للاتصال عبر المباني المتوفر دائمًا وهو مناسب تماما للتكوينات المختلطة. يعتمد هذا النوع من الاتصال على جهاز IPsec VPN (جهاز أو جهاز مبدئي)، والذي يجب توزيعه على حافة شبكتك. لإنشاء هذا النوع من الاتصال، يجب أن يكون لديك عنوان IPv4 مواجه للخارج.

تتيح لك تكوينات ⁧⁩من نقطة إلى موقع⁧⁩ (VPN عبر SSTP) الاتصال من كمبيوتر واحد من أي مكان بأي شيء موجود في شبكتك الافتراضية. يستخدم Windows عميل VPN داخل الصندوق. كجزء من تكوين «نقطة إلى موقع»، يمكنك تثبيت شهادة وحزمة تكوين عميل VPN، والتي تحتوي على الإعدادات التي تسمح للكمبيوتر بالاتصال بأي جهاز ظاهري أو مثيل دور داخل الشبكة الظاهرية. إنه أمر رائع عندما تريد الاتصال بشبكة افتراضية، ولكن لا توجد في مكان العمل. كما أنه خيار جيد عندما لا يكون لديك حق الوصول إلى أجهزة VPN أو عنوان IPv4 مواجه خارجيًا، وكلاهما مطلوب للاتصال من موقع إلى موقع.

يمكنك تكوين شبكتك الظاهرية لاستخدام كل «من الموقع إلى الموقع» و»من نقطة إلى موقع» في وقت واحد، طالما أنك تقوم بإنشاء اتصال «من موقع إلى موقع» باستخدام نوع VPN يستند إلى مسار للبوابة الخاصة بك. تسمى أنواع VPN المستندة إلى المسار بالبوابات الديناميكية في نموذج التوزيع الكلاسيكي.

الخصوصية

هل تقوم خدمة VPN بتخزين بيانات العملاء أو معالجتها؟

كلا.

بوابات شبكة ظاهرية

هل بوابة VPN هي بوابة شبكة ظاهرية؟

تعد بوابة VPN نوعًا من بوابة شبكة افتراضية. ترسل بوابة VPN حركة مرور مشفرة بين شبكتك الظاهرية وموقعك المحلية عبر اتصال عام. يمكنك أيضًا استخدام بوابة VPN لإرسال حركة المرور بين الشبكات الظاهرية. عند إنشاء بوابة VPN، يمكنك استخدام قيمة -GatewayType 'Vpn. لمزيد من المعلومات، راجع ⁧⁩إعدادات تكوين بوابة VPN⁧⁩.

ما هي بوابة (التوجيه الثابت) القائمة على النهج؟

تقوم البوابات القائمة على النهج بتنفيذ الشبكات الخاصة القائمة على النهج. تقوم شبكات VPN المستندة إلى النهج بتشفير الحزم وتوجيهها عبر شبكات IPsec استنادًا إلى مجموعات من بادئات العنوان بين شبكتك المحلية وAzure VNet. يتم تعريف النهج (أو محدد حركة المرور) عادة كقائمة وصول في تكوين VPN.

ما هي بوابة (التوجيه الديناميكي) القائمة على المسار؟

تقوم البوابات القائمة على المسار بتنفيذ الشبكات الظاهرية الخاصة المستندة إلى المسار. تستخدم الشبكات VPN المستندة إلى المسار «المسارات» في جدول إعادة توجيه IP أو توجيهه لتوجيه الحزم إلى واجهاتها المتطابقة المهتزة. ثم تقوم واجهات النفق بتشفير أو فك تشفير الحزم داخل وخارج الأنفاق. يتم تكوين نهج أو محددات نسبة استخدام الشبكة لـ VPN المستندة إلى المسار ك «أي إلى أي» (أو أحرف بدل).

هل يمكنني تحديد محددات نسبة استخدام الشبكة الخاصة بي المستندة إلى النهج؟

نعم، يمكن تعريف محددات نسبة استخدام الشبكة عبر السمة ⁧⁩trafficSelectorPolicies⁧⁩ على اتصال عبر الأمر ⁧⁩PowerShell الجديد-AzIpsecTrafficSelectorPolicy⁧⁩. لكي يصبح محدد حركة المرور المحدد ساري المفعول، تأكد من تمكين الخيار ⁧⁩استخدام محددات نسبة استخدام الشبكة المستندة إلى النهج⁧⁩.

سيتم اقتراح محددات حركة المرور التي تم تكوينها خصيصًا فقط عندما تبدأ بوابة Azure VPN الاتصال. ستقبل بوابة VPN أي محددات حركة مرور مقترحة من قبل بوابة بعيدة (جهاز VPN محلي). هذا السلوك متناسق بين كافة أوضاع الاتصال (افتراضي وبادئ فقط والمستجيب فقط).

هل يمكنني تحديث بوابة VPN المستندة إلى النهج الخاصة بي إلى قائمة على المسار؟

كلا. لا يمكن تغيير نوع البوابة من المستند إلى النهج إلى المستند إلى المسار، أو من المستند إلى المسار إلى المستند إلى النهج. لتغيير نوع بوابة، يجب حذف البوابة وإعادة إنشائها. تستغرق هذه العملية حوالي 60 دقيقة. عند إنشاء البوابة الجديدة، لا يمكنك الاحتفاظ بعنوان IP الخاص بالبوابة الأصلية.

1. احذف أي اتصالات مقترنة بالبوابة.

2. احذف البوابة باستخدام إحدى المقالات التالية:

   • ⁧⁩مدخل Microsoft Azure⁧⁩
   • Azure PowerShell
   • ⁧⁩Azure PowerShell - كلاسيكي⁧⁩

3. قم بإنشاء بوابة جديدة باستخدام نوع البوابة الذي تريده، ثم أكمل إعداد VPN. للحصول على الخطوات، راجع ⁧⁩البرنامج التعليمي من موقع إلى موقع⁧⁩.

هل أحتاج إلى «GatewaySubnet»؟

نعم. تحتوي شبكة البوابة الفرعية على عناوين IP التي تستخدمها خدمات بوابة الشبكة الظاهرية. تحتاج إلى إنشاء شبكة فرعية للبوابة لـ VNet الخاص بك من أجل تكوين بوابة شبكة ظاهرية. يجب أن تسمى جميع الشبكة الفرعية للبوابات «GatewaySubnet» للعمل بشكل صحيح. لا تقم بتسمية الشبكة الفرعية للبوابة بشيء آخر. ولا تقم بنشر الأجهزة الظاهرية أو أي شيء آخر على الشبكة الفرعية للبوابة.

عند إنشاء الشبكة الفرعية للبوابة، يمكنك تحديد عدد عناوين بروتوكولات الإنترنت التي تحتوي عليها الشبكة الفرعية. يتم تخصيص عناوين IP في شبكة البوابة الفرعية لخدمة البوابة. تتطلب بعض التكوينات تخصيص المزيد من عناوين IP لخدمات البوابة أكثر من غيرها. تريد التأكد من أن شبكة البوابة الفرعية تحتوي على عناوين IP كافية لاحتواء النمو المستقبلي والتكوينات الإضافية المحتملة للاتصال الجديد. لذلك، على الرغم من أنه يمكنك إنشاء شبكة بوابة فرعية بحجم /29، نوصي بإنشاء شبكة فرعية لبوابة بحجم /27 أو أكبر (/27 و/26 و/25 وما إلى ذلك). انظر إلى متطلبات التكوين الذي تريد إنشاءه وتحقق من أن الشبكة الفرعية للبوابة لديك ستفي بهذه المتطلبات.

هل يمكنني نشر الأجهزة الظاهرية أو مثيلات الدور على الشبكة الفرعية للبوابة؟

كلا.

هل يمكنني الحصول على عنوان IP الخاص ببوابة VPN قبل إنشائه؟

تعتمد كل من بوابات المنطقة الزائدة عن الحاجة والبوابات المناطقية (وحدات SKU للبوابة التي تحتوي على ⁧⁩AZ⁧⁩ في الاسم) على مورد IP عام ⁧⁩قياسي لـ SKU⁧⁩ Azure. يجب أن تستخدم موارد IP العامة ل Azure Standard SKU طريقة تخصيص ثابتة. لذلك، سيكون لديك عنوان IP العام لبوابة VPN الخاصة بك بمجرد إنشاء مورد IP العام القياسي SKU الذي تنوي استخدامه لذلك.

بالنسبة إلى البوابات غير الزائدة عن الحاجة وغير المناطقية (وحدات SKU للبوابة التي لا تحتوي على ⁧⁩AZ⁧⁩ في الاسم)، ⁧⁩لا⁧⁩ يمكنك الحصول على عنوان IP لبوابة VPN قبل إنشائها. يتغير عنوان IP فقط إذا قمت بحذف بوابة VPN وإعادة إنشائها.

هل يمكنني طلب عنوان IP عام ثابت لبوابة VPN الخاصة بي؟

تعتمد كل من بوابات المنطقة الزائدة عن الحاجة والبوابات المناطقية (وحدات SKU للبوابة التي تحتوي على ⁧⁩AZ⁧⁩ في الاسم) على مورد IP عام ⁧⁩قياسي لـ SKU⁧⁩ Azure. يجب أن تستخدم موارد IP العامة ل Azure Standard SKU طريقة تخصيص ثابتة.

بالنسبة إلى البوابات غير الزائدة عن الحاجة وغير المناطقية (وحدات SKU للبوابة التي ⁧⁩لا⁧⁩ تحتوي على ⁧⁩AZ⁧⁩ في الاسم)، يتم دعم تعيين عنوان IP الديناميكي فقط. ومع ذلك، هذا لا يعني أن عنوان IP يتغير بعد تعيينه لبوابة VPN الخاصة بك. المرة الوحيدة التي يتغير فيها عنوان IP الخاص ببوابة VPN هي عند حذف البوابة ثم إعادة إنشائها. لا يتغير عنوان IP العام لبوابة VPN عند تغيير حجم بوابة VPN أو إعادة تعيينها أو إكمال عمليات الصيانة الداخلية الأخرى والترقيات الخاصة بها.

كيف تتم مصادقة نفق VPN الخاص بي؟

يستخدم Azure VPN مصادقة PSK (المفتاح المشترك مسبقًا). نقوم بإنشاء مفتاح مشترك مسبقًا (PSK) عندما نقوم بإنشاء نفق VPN. يمكنك تغيير PSK الذي تم إنشاؤه تلقائيًا إلى حسابك باستخدام cmdlet أو REST API تعيين المفتاح المشترك مسبقا.

هل يمكنني استخدام واجهة برمجة تطبيقات تعيين المفتاح المشترك مسبقًا لتكوين VPN لبوابة (التوجيه الثابت) المستندة إلى النهج؟

نعم، يمكن استخدام واجهة برمجة تطبيقات تعيين المفتاح المشترك مسبقًا وPowerShell cmdlet لتكوين كل من الشبكات الظاهرية الخاصة (الثابتة) المستندة إلى نهج Azure وشبكات VPN للتوجيه (الديناميكية) المستندة إلى المسار.

هل يمكنني استخدام خيارات مصادقة أخرى؟

نحن مقيدون باستخدام المفاتيح المشتركة مسبقًا (PSK) للمصادقة.

كيف أعمل تحديد نسبة استخدام الشبكة التي تمر عبر بوابة VPN؟

نموذج توزيع Resource Manager

• PowerShell: استخدم «AddressPrefix» لتحديد نسبة استخدام الشبكة لبوابة الشبكة المحلية.
• مدخل Microsoft Azure: انتقل إلى مساحة عنوان ⁧>⁩تكوين⁧>⁩ بوابة الشبكة المحلية.

نموذج التوزيع الكلاسيكي

• مدخل Microsoft Azure: انتقل إلى ⁧>⁩اتصالات VPN⁧>⁩ الكلاسيكية للشبكة الظاهرية اتصالات VPN من موقع إلى موقع ⁧>⁩اسم الموقع المحلي⁧>⁩ مساحة عنوان عميل الموقع المحلي ⁧>⁩.

هل يمكنني استخدام NAT-T على اتصالات VPN الخاصة بي؟

نعم، يتم دعم اجتياز NAT (NAT-T). لن تقوم Azure VPN Gateway بتنفيذ أي وظيفة تشبه NAT على الحزم الداخلية من/ إلى أنفاق IPsec. في هذا التكوين، تأكد من أن الجهاز المحلي يبدأ نفق IPSec.

هل يمكنني إعداد خادم VPN الخاص بي في Azure واستخدامه للاتصال بشبكتي المحلية؟

نعم، يمكنك نشر بوابات VPN أو خوادمك الخاصة في Azure إما من Azure Marketplace أو إنشاء أجهزة توجيه VPN الخاصة بك. يجب عليك تكوين المسارات المعرفة من قبل المستخدم في شبكتك الظاهرية لضمان توجيه حركة المرور بشكل صحيح بين الشبكات المحلية والشبكات الفرعية للشبكة الظاهرية.

لماذا يتم فتح منافذ معينة على بوابة الشبكة الافتراضية الخاصة بي؟

وهي مطلوبة للاتصال بالبنية الأساسية لـ Azure. هذه المنافذ محمية (مؤمنة) من خلال شهادات Azure. وبدون الشهادات المناسبة، لن تتمكن الكيانات الخارجية، بما في ذلك عملاء تلك البوابات، من التسبب في أي تأثير على نقاط النهاية هذه.

بوابة الشبكة الظاهرية هي في الأساس جهاز متعدد المنازل مع NIC واحد ينقر على الشبكة الخاصة للعميل، وNIC واحد يواجه الشبكة العامة. لا يمكن لكيانات البنية الأساسية لـ Azure الاستفادة من الشبكات الخاصة بالعملاء لأسباب تتعلق بالامتثال، لذلك تحتاج إلى استخدام نقاط النهاية العامة للاتصال بالبنية الأساسية. يتم فحص نقاط النهاية العامة بشكل دوري بواسطة تدقيق أمان Azure.

مزيد من المعلومات حول أنواع البوابات ومتطلباتها ومعدل النقل

لمزيد من المعلومات، راجع ⁧⁩إعدادات تكوين بوابة VPN⁧⁩.

اتصالات الموقع إلى الموقع وأجهزة VPN

ما الذي يجب مراعاته عند اختيار جهاز VPN؟

لقد قمنا بالتحقق من صحة مجموعة من أجهزة VPN القياسية من موقع إلى موقع بالشراكة مع بائعي الأجهزة. يمكن العثور على قائمة بأجهزة VPN المتوافقة المعروفة وإرشادات التكوين أو العينات المقابلة لها ومواصفات الجهاز في مقالة ⁧⁩نبذة عن أجهزة VPN⁧⁩. يجب أن تعمل جميع الأجهزة الموجودة في عائلات الأجهزة المدرجة على أنها متوافقة معروفة مع الشبكة الظاهرية. للمساعدة في تكوين جهاز VPN الخاص بك، ارجع إلى نموذج تكوين الجهاز أو الرابط الذي يتوافق مع عائلة الجهاز المناسبة.

أين يمكنني العثور على إعدادات تكوين جهاز VPN؟

⁧⁩تنزيل البرامج النصية لتكوين جهاز VPN⁧⁩

اعتمادًا على جهاز الشبكة الظاهرية خاصتك، قد تتمكن من تنزيل برنامج نصي لتكوين جهاز الشبكة الظاهرية. لمزيد من المعلومات، راجع ⁧⁩تنزيل البرامج النصية لتكوين جهاز VPN⁧⁩.

راجع الارتباطات التالية للحصول على معلومات تكوين إضافية:

• للحصول على معلومات حول أجهزة VPN المتوافقة، راجع أجهزة VPN.

• قبل تكوين جهاز VPN، تحقق من وجود أي مشكلات معروفة في توافق الجهاز لجهاز VPN الذي تريد استخدامه.

• للحصول على ارتباطات إلى إعدادات تكوين الجهاز، راجع أجهزة VPN المعتمدة. يتم توفير روابط تكوين الجهاز على أساس أفضل جهد. من الأفضل دائمًا التحقق من الشركة المصنعة للجهاز للحصول على أحدث معلومات التكوين. تعرض القائمة الإصدارات التي اختبرناها. إذا لم يكن نظام التشغيل الخاص بك على تلك القائمة، فمن الممكن أن يكون الإصدار متوافق بالفعل. راجع الشركة المصنعة للجهاز للتحقق من توافق إصدار نظام التشغيل لجهاز VPN.

• للحصول على نظرة عامة حول تكوين جهاز VPN، راجع ⁧⁩نظرة عامة على تكوينات جهاز VPN التابع لجهة خارجية⁧⁩.

• للحصول على معلومات حول تحرير نماذج تكوين الجهاز، راجع تحرير نماذج.

• للحصول على متطلبات التشفير، راجع حول متطلبات التشفير وعبارات Azure VPN.

• للحصول على معلومات حول معلمات IPsec/IKE، راجع حول أجهزة VPN ومعلمات IPsec/IKE لاتصالات عبارة VPN من موقع إلى موقع. يعرض هذا الرابط معلومات حول إصدار IKE، ومجموعة Diffie-Hellman، وأسلوب المصادقة، وخوارزميات التشفير، وعمر SA، وPFS، وDPD، بالإضافة إلى بيانات المعلمات الأخرى التي تحتاجها لإكمال التكوين الخاص بك.

• للحصول على خطوات تكوين نهج IPsec/IKE، راجع تكوين نهج IPsec/IKE لاتصالات VPN S2S أو VNet إلى VNet.

• لتوصيل العديد من أجهزة VPN المستندة إلى النهج، راجع الاتصال بوابات Azure VPN إلى أجهزة VPN متعددة تعتمد على النهج المحلي باستخدام PowerShell.

كيف أعمل تحرير عينات تكوين جهاز VPN؟

للحصول على معلومات حول تحرير نماذج تكوين الجهاز، راجع تحرير نماذج.

أين يمكنني العثور على معلمات IPsec وIKE؟

للحصول على معلمات IPsec/IKE، راجع ⁧⁩المعلمات⁧⁩.

لماذا ينخفض نفق VPN المستند إلى النهج عندما تكون نسبة استخدام الشبكة خاملة؟

هذا هو السلوك المتوقع لبوابات VPN المستندة إلى النهج (المعروفة أيضا باسم التوجيه الثابت). عندما تكون نسبة استخدام الشبكة فوق النفق خاملة لأكثر من 5 دقائق، سيتم هدم النفق. عندما تبدأ نسبة استخدام الشبكة في التدفق في أي من الاتجاهين، سيتم إعادة إنشاء النفق على الفور.

هل يمكنني استخدام شبكات VPN البرمجية للاتصال بـ Azure؟

نحن ندعم Windows خوادم التوجيه والوصول عن بعد (RRAS) لـ Server 2012 للتكوين عبر الموقع إلى الموقع.

يجب أن تعمل حلول VPN البرمجية الأخرى مع بوابتنا طالما أنها تتوافق مع تطبيقات IPsec القياسية في الصناعة. اتصل بمورد البرنامج للحصول على إرشادات التكوين والدعم.

هل يمكنني الاتصال ببوابة VPN عبر نقطة إلى موقع عندما أكون موجودًا في موقع لديه اتصال نشط من موقع إلى موقع؟

نعم، ولكن يجب أن يكون عنوان (عناوين) IP العامة لعميل «من نقطة إلى موقع» مختلفًا عن عنوان (عناوين) IP العامة المستخدمة من قبل جهاز VPN من موقع إلى موقع، وإلا فلن يعمل اتصال «من نقطة إلى موقع». لا يمكن بدء الاتصالات «من نقطة إلى موقع» باستخدام IKEv2 من نفس عنوان (عناوين) IP العامة حيث يتم تكوين اتصال VPN «من موقع إلى موقع» على نفس بوابة Azure VPN.

من نقطة إلى موقع - مصادقة الشهادة

ينطبق هذا القسم على نموذج توزيع Azure Resource Manager.

كم عدد نقاط نهاية عميل VPN التي يمكنني الحصول عليها في تكوين «نقطة إلى موقع»؟

يعتمد ذلك على رمز SKU للبوابة. لمزيد من المعلومات حول عدد الاتصالات المدعومة، راجع ⁧⁩وحدات SKU للبوابة⁧⁩.

ما هي أنظمة تشغيل العميل التي يمكنني استخدامها مع «نقطة إلى الموقع»؟

يتم دعم أنظمة تشغيل العميل التالية:

• Windows Server 2008 R2 (64 بت فقط)
• Windows 8.1 (32 بت و64 بت)
• Windows Server 2012 (64 بت فقط)
• Windows Server 2012 R2 (64 بت فقط)
• Windows Server 2016 (64 بت فقط)
• Windows Server 2019 (64 بت فقط)
• Windows Server 2022 (64 بت فقط)
• Windows 10
• Windows 11
• macOS الإصدار 10.11 أو أعلى
• Linux (StrongSwan)
• iOS

ملاحظة

بدءًا من 1 يوليو 2018، تتم إزالة الدعم لـ TLS 1.0 و1.1 من بوابة Azure VPN. ستدعم بوابة VPN TLS 1.2 فقط. للحفاظ على الدعم، راجع ⁧⁩التحديثات لتمكين دعم TLS1.2⁧⁩.

بالإضافة إلى ذلك، سيتم أيضًا إهمال الخوارزميات القديمة التالية لطبقة النقل الآمنة في 1 يوليو 2018:

• RC4 (تشفير Rivest 4)
• DES (خوارزمية تشفير البيانات)
• 3DES (خوارزمية تشفير البيانات الثلاثية)
• MD5 (تشفير الرسالة 5)

كيف أمكّن دعم TLS 1.2 في Windows 8.1؟

1. افتح موجه الأوامر بامتيازات مرتفعة بالنقر بزر الماوس الأيمن فوق ⁧⁩موجه الأوامر⁧⁩ وتحديد ⁧⁩تشغيل كمسؤول⁧⁩.

2. تشغيل الأوامر التالية في موجه الأوامر:

   reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
   reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
   if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
   

3. قم بتثبيت التحديثات التالية:

   • ⁦⁩KB3140245⁦⁩
   • ⁦⁩KB2977292⁦⁩

4. أعد تشغيل الكمبيوتر.

5. اتصل بـ VPN.

ملاحظة

سيتعين عليك تعيين مفتاح التسجيل أعلاه إذا كنت تستخدم إصدارًا قديمًا من Windows 10 (10240).

هل يمكنني اجتياز الوكلاء وجدران الحماية باستخدام إمكانية «من نقطة إلى موقع»؟

يدعم Azure ثلاثة أنواع من خيارات VPN «من نقطة إلى موقع»:

• بروتوكول نفق مأخذ التوصيل الآمن SSTP هو حل يستند إلى SSL خاص بشركة Microsoft يمكنه اختراق جدران الحماية نظرًا لأن معظم جدران الحماية تفتح منفذ TCP الصادر الذي يستخدمه 443 SSL.

• VPN مفتوح. VPN المفتوح هو حل قائم على طبقة المقابس الآمنة يمكنه اختراق جدران الحماية، لأن معظم جدران الحماية تفتح منفذ TCP الصادر الذي يستخدمه 443 SSL.

• IKEv2 VPN. IKEv2 VPN هو حل IPsec VPN قائم على المعايير يستخدم منافذ UDP الصادرة 500 و4500 وبروتوكول IP رقم 50. لا تفتح جدران الحماية دائما هذه المنافذ، لذلك هناك احتمال لعدم قدرة IKEv2 VPN على اجتياز الوكلاء وجدران الحماية.

إذا قمت بإعادة تشغيل جهاز كمبيوتر عميل تم تكوينه لـ «نقطة إلى موقع»، فهل ستعيد الشبكة الافتراضية الخاصة الاتصال تلقائيا؟

إعادة الاتصال التلقائي هي وظيفة للعميل قيد الاستخدام. يدعم Windows إعادة الاتصال التلقائي عن طريق تكوين ميزة عميل ⁧⁩Always On VPN⁧⁩.

هل يدعم Point-to-Site DDNS على عملاء VPN؟

DDNS غير مدعوم حاليًا في الشبكات الافتراضية الخاصة من نقطة إلى موقع.

هل يمكنني جعل تكوينات الموقع إلى الموقع ومن نقطة إلى موقع تتعايشان لنفس الشبكة الظاهرية؟

نعم. بالنسبة إلى نموذج توزيع Resource Manager، يجب أن يكون لديك نوع VPN يستند إلى المسار للبوابة الخاصة بك. بالنسبة إلى نموذج التوزيع الكلاسيكي، تحتاج إلى بوابة ديناميكية. نحن لا ندعم التحويل من نقطة إلى موقع لبوابات VPN الثابتة للتوجيه أو بوابات VPN المستندة إلى النهج.

هل يمكنني تكوين عميل من نقطة إلى موقع للاتصال ببوابات شبكة ظاهرية متعددة في نفس الوقت؟

اعتمادًا على برنامج عميل VPN المستخدم، قد تتمكن من الاتصال ببوابات شبكة ظاهرية متعددة بشرط ألا تحتوي الشبكات الظاهرية التي يتم الاتصال بها على مساحات عناوين متضاربة بينها أو بين الشبكة من مع العميل الذي يتصل منه. على الرغم من أن عميل Azure VPN يدعم العديد من اتصالات VPN، فإنه يمكن توصيل اتصال واحد فقط في أي وقت.

هل يمكنني تكوين عميل من نقطة إلى موقع للاتصال بشبكات ظاهرية متعددة في نفس الوقت؟

نعم، قد يكون لاتصالات العميل من نقطة إلى موقع ببوابة شبكة ظاهرية يتم توزيعها في VNet والتي يتم نظيرها مع VNets الأخرى حق الوصول إلى VNets الأخرى النظيرة. سيتمكن عملاء «من نقطة إلى موقع» من الاتصال بـ VNets النظيرة طالما أن مجموعات VNets النظيرة تستخدم ميزات UseRemoteGateway / AllowGatewayTransit. لمزيد من المعلومات، راجع ⁧⁩نبذة عن توجيه «من نقطة إلى موقع»⁧⁩.

ما مقدار معدل النقل التي يمكنني توقعه من خلال اتصالات الموقع إلى الموقع أو من نقطة إلى موقع؟

من الصعب الحفاظ على معدل النقل الدقيق لأنفاق VPN. IPsec وSSTP هما بروتوكولان VPN ثقيلان بالتشفير. معدل النقل محدود أيضًا بسبب زمن الوصول وعرض النطاق الترددي بين المبنى والإنترنت. بالنسبة إلى بوابة VPN التي تحتوي على اتصالات VPN من نقطة إلى موقع IKEv2 فقط، يعتمد إجمالي معدل النقل التي يمكنك توقعه على رمز SKU للبوابة. لمزيد من المعلومات عن معدل النقل، يُرجى مراجعة ⁧⁩Gateway SKUs⁧⁩.

هل يمكنني استخدام أي برنامج VPN عميل لـ Point-to-Site يدعم SSTP وIKEv2 أو أيًا منهما؟

كلا. يمكنك فقط استخدام عميل VPN الأصلي على Windows لـ SSTP، وعميل VPN الأصلي على Mac لـ IKEv2. ومع ذلك، يمكنك استخدام عميل OpenVPN على جميع الأنظمة الأساسية للاتصال عبر بروتوكول OpenVPN. ارجع إلى قائمة ⁧⁩أنظمة تشغيل العميل المدعومة⁧⁩.

هل يمكنني تغيير نوع المصادقة للاتصال من نقطة إلى موقع؟

نعم. في البوابة الإلكترونية، انتقل إلى ⁧⁩بوابة VPN -⁧>⁩ صفحة تكوين نقطة إلى موقع⁧⁩. بالنسبة إلى ⁧⁩نوع المصادقة⁧⁩، حدد أنواع المصادقة التي تريد استخدامها. يُرجى ملاحظة أنه بعد إجراء تغيير على نوع المصادقة، قد لا يتمكن العملاء الحاليون من الاتصال حتى يتم إنشاء ملف تعريف تكوين عميل VPN جديد وتنزيله وتطبيقه على كل عميل VPN.

هل يدعم Azure IKEv2 VPN مع Windows؟

يتم دعم IKEv2 على Windows 10 وServer 2016. ومع ذلك، لاستخدام IKEv2 في إصدارات معينة من نظام التشغيل، يجب عليك تثبيت التحديثات وتعيين قيمة مفتاح التسجيل محليا. لاحظ أن إصدارات نظام التشغيل قبل Windows 10 غير مدعومة ويمكنها فقط استخدام بروتوكول SSTP أو ⁧⁩OpenVPN®⁧⁩.

ملاحظة: لا يتطلب إصدار نظام التشغيل Windows أحدث من الإصدار 1709 من Windows 10 والإصدار 1607 من Windows Server 2016 هذه الخطوات.

لإعداد Windows 10 أو Server 2016 لـ IKEv2:

1. قم بتثبيت التحديث استنادًا إلى إصدار نظام التشغيل الخاص بك:

   ⁧⁩OS version⁧⁩	التاريخ	الرقم/الرابط
   Windows Server 2016 Windows 10 Version 1607	17 يناير 2018	⁦⁩KB4057142⁦⁩
   Windows 10 Version 1703	17 يناير 2018	⁦⁩KB4057144⁦⁩
   Windows 10 Version 1709	22 مارس 2018	⁦⁩KB4089848⁦⁩

2. عيّن قيمة مفتاح التسجيل. أنشئ أو عيّن "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD المفتاح في التسجيل إلى 1.

ما هو حد محدد نسبة استخدام الشبكة IKEv2 للاتصالات من نقطة إلى موقع؟

Windows 10 الإصدار 2004 (تم إصداره في سبتمبر 2021) من حد محدد نسبة استخدام الشبكة إلى 255. تحتوي إصدارات Windows الأقدم من ذلك على حد محدد نسبة استخدام الشبكة يبلغ 25.

يحدد الحد الأقصى لعدد محددات نسبة استخدام الشبكة في Windows الحد الأقصى لعدد مساحات العناوين في شبكتك الظاهرية والحد الأقصى لمجموع الشبكات المحلية واتصالات VNet-to-VNet ومجموعات VNets النظيرة المتصلة بالبوابة. سيفشل العملاء المستندون إلى Windows من نقطة إلى موقع في الاتصال عبر IKEv2 إذا تجاوزوا هذا الحد.

ماذا يحدث عندما أقوم بتكوين كل من SSTP وIKEv2 لاتصالات P2S VPN؟

عند تكوين كل من SSTP وIKEv2 في بيئة مختلطة (تتكون من أجهزة Windows وMac)، سيقوم عميل VPN Windows دائمًا بتجربة نفق IKEv2 أولاً، ولكنه سيعود إلى SSTP إذا لم ينجح اتصال IKEv2. لن يتصل MacOSX إلا عبر IKEv2.

بخلاف Windows وMac، ما هي الأنظمة الأساسية الأخرى التي يدعمها Azure لـ P2S VPN؟

يدعم Azure Windows وMac وLinux لـ P2S VPN.

لدي بالفعل بوابة Azure VPN تم توزيعها. هل يمكنني تمكين RADIUS وIKEv2 VPN أو أيًا منهما عليه؟

نعم، إذا كانت وحدة SKU للبوابة التي تستخدمها تدعم RADIUS وIKEv2 أو أيًا منهما، فإنه يمكنك تمكين هذه الميزات على البوابات التي قمت بتوزيعها بالفعل باستخدام PowerShell أو مدخل Microsoft Azure. لاحظ أن SKU الأساسي لا يدعم RADIUS أو IKEv2.

كيف أزيل تكوين اتصال P2S؟

يمكن إزالة تكوين P2S باستخدام Azure CLI وPowerShell باستخدام الأوامر التالية:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

ماذا أفعل إذا تلقيت عدم تطابق الشهادة عند الاتصال باستخدام مصادقة الشهادة؟

قم بإلغاء تحديد ⁧⁩«التحقق من هوية الخادم عن طريق التحقق من صحة الشهادة»⁧⁩ أو ⁧⁩أضف FQDN الخادم مع الشهادة⁧⁩ عند إنشاء ملف تعريف يدويًا. يمكنك القيام بذلك عن طريق تشغيل ⁧⁩rasphone⁧⁩ من موجه الأوامر واختيار ملف التعريف من القائمة المنسدلة.

لا يوصى بتجاوز التحقق من هوية الخادم بشكل عام، ولكن مع مصادقة شهادة Azure، يتم استخدام نفس الشهادة للتحقق من صحة الخادم في بروتوكول نفق VPN (IKEv2/SSTP) وبروتوكول EAP. نظرًا إلى أن شهادة الخادم وFQDN قد تم التحقق من صحتهما بالفعل بواسطة بروتوكول نفق VPN، فمن غير الضروري التحقق من صحتها مرة أخرى في EAP.

هل يمكنني استخدام المرجع المصدق الجذري الداخلي لـ PKI لإنشاء شهادات للاتصال من نقطة إلى موقع؟

نعم. في السابق، كان يمكن استخدام الشهادات الجذرية الموقعة ذاتيًا فقط. لا يزال بإمكانك تحميل 20 شهادة جذرية.

هل يمكنني استخدام شهادات من Azure Key Vault؟

كلا.

ما هي الأدوات التي يمكنني استخدامها لإنشاء الشهادات؟

يمكنك استخدام حل PKI للمؤسسات (PKI الداخلي الخاص بك) وAzure PowerShell وMakeCert وOpenSSL.

هل هناك إرشادات لإعدادات الشهادة ومعلماتها؟

• ⁧⁩حل PKI الداخلي/PKI للمؤسسات:⁧⁩ راجع خطوات ⁧⁩إنشاء الشهادات⁧⁩.

• ⁧⁩Azure PowerShell:⁧⁩ راجع مقالة ⁧⁩Azure PowerShell⁧⁩ للحصول على الخطوات.

• ⁧⁩MakeCert:⁧⁩ راجع ⁧⁩مقالة MakeCert⁧⁩ للاطلاع على الخطوات.

• ⁧⁩OpenSSL:⁧⁩

  • عند تصدير الشهادات، تأكد من تحويل الشهادة الجذر إلى Base64.

  • بالنسبة لشهادة العميل:

    • عند إنشاء المفتاح الخاص، حدد الطول كـ 4096.
    • عند إنشاء الشهادة، بالنسبة للمعلمة ⁧⁩-extensions⁧⁩، حدد ⁧⁩usr_cert⁧⁩.

نقطة إلى موقع - مصادقة RADIUS

ينطبق هذا القسم على نموذج توزيع Azure Resource Manager.

كم عدد نقاط نهاية عميل VPN التي يمكنني الحصول عليها في تكوين «نقطة إلى موقع»؟

يعتمد ذلك على رمز SKU للبوابة. لمزيد من المعلومات حول عدد الاتصالات المدعومة، راجع ⁧⁩وحدات SKU للبوابة⁧⁩.

ما هي أنظمة تشغيل العميل التي يمكنني استخدامها مع «نقطة إلى الموقع»؟

يتم دعم أنظمة تشغيل العميل التالية:

• Windows Server 2008 R2 (64 بت فقط)
• Windows 8.1 (32 بت و64 بت)
• Windows Server 2012 (64 بت فقط)
• Windows Server 2012 R2 (64 بت فقط)
• Windows Server 2016 (64 بت فقط)
• Windows Server 2019 (64 بت فقط)
• Windows Server 2022 (64 بت فقط)
• Windows 10
• Windows 11
• macOS الإصدار 10.11 أو أعلى
• Linux (StrongSwan)
• iOS

ملاحظة

بدءًا من 1 يوليو 2018، تتم إزالة الدعم لـ TLS 1.0 و1.1 من بوابة Azure VPN. ستدعم بوابة VPN TLS 1.2 فقط. للحفاظ على الدعم، راجع ⁧⁩التحديثات لتمكين دعم TLS1.2⁧⁩.

بالإضافة إلى ذلك، سيتم أيضًا إهمال الخوارزميات القديمة التالية لطبقة النقل الآمنة في 1 يوليو 2018:

• RC4 (تشفير Rivest 4)
• DES (خوارزمية تشفير البيانات)
• 3DES (خوارزمية تشفير البيانات الثلاثية)
• MD5 (تشفير الرسالة 5)

كيف أمكّن دعم TLS 1.2 في Windows 8.1؟

1. افتح موجه الأوامر بامتيازات مرتفعة بالنقر بزر الماوس الأيمن فوق ⁧⁩موجه الأوامر⁧⁩ وتحديد ⁧⁩تشغيل كمسؤول⁧⁩.

2. تشغيل الأوامر التالية في موجه الأوامر:

   reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
   reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
   if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
   

3. قم بتثبيت التحديثات التالية:

   • ⁦⁩KB3140245⁦⁩
   • ⁦⁩KB2977292⁦⁩

4. أعد تشغيل الكمبيوتر.

5. اتصل بـ VPN.

ملاحظة

سيتعين عليك تعيين مفتاح التسجيل أعلاه إذا كنت تستخدم إصدارًا قديمًا من Windows 10 (10240).

هل يمكنني اجتياز الوكلاء وجدران الحماية باستخدام إمكانية «من نقطة إلى موقع»؟

يدعم Azure ثلاثة أنواع من خيارات VPN «من نقطة إلى موقع»:

• بروتوكول نفق مأخذ التوصيل الآمن SSTP هو حل يستند إلى SSL خاص بشركة Microsoft يمكنه اختراق جدران الحماية نظرًا لأن معظم جدران الحماية تفتح منفذ TCP الصادر الذي يستخدمه 443 SSL.

• VPN مفتوح. VPN المفتوح هو حل قائم على طبقة المقابس الآمنة يمكنه اختراق جدران الحماية، لأن معظم جدران الحماية تفتح منفذ TCP الصادر الذي يستخدمه 443 SSL.

• IKEv2 VPN. IKEv2 VPN هو حل IPsec VPN قائم على المعايير يستخدم منافذ UDP الصادرة 500 و4500 وبروتوكول IP رقم 50. لا تفتح جدران الحماية دائما هذه المنافذ، لذلك هناك احتمال لعدم قدرة IKEv2 VPN على اجتياز الوكلاء وجدران الحماية.

إذا قمت بإعادة تشغيل جهاز كمبيوتر عميل تم تكوينه لـ «نقطة إلى موقع»، فهل ستعيد الشبكة الافتراضية الخاصة الاتصال تلقائيا؟

إعادة الاتصال التلقائي هي وظيفة للعميل قيد الاستخدام. يدعم Windows إعادة الاتصال التلقائي عن طريق تكوين ميزة عميل ⁧⁩Always On VPN⁧⁩.

هل يدعم Point-to-Site DDNS على عملاء VPN؟

DDNS غير مدعوم حاليًا في الشبكات الافتراضية الخاصة من نقطة إلى موقع.

هل يمكنني جعل تكوينات الموقع إلى الموقع ومن نقطة إلى موقع تتعايشان لنفس الشبكة الظاهرية؟

نعم. بالنسبة إلى نموذج توزيع Resource Manager، يجب أن يكون لديك نوع VPN يستند إلى المسار للبوابة الخاصة بك. بالنسبة إلى نموذج التوزيع الكلاسيكي، تحتاج إلى بوابة ديناميكية. نحن لا ندعم التحويل من نقطة إلى موقع لبوابات VPN الثابتة للتوجيه أو بوابات VPN المستندة إلى النهج.

هل يمكنني تكوين عميل من نقطة إلى موقع للاتصال ببوابات شبكة ظاهرية متعددة في نفس الوقت؟

اعتمادًا على برنامج عميل VPN المستخدم، قد تتمكن من الاتصال ببوابات شبكة ظاهرية متعددة بشرط ألا تحتوي الشبكات الظاهرية التي يتم الاتصال بها على مساحات عناوين متضاربة بينها أو بين الشبكة من مع العميل الذي يتصل منه. على الرغم من أن عميل Azure VPN يدعم العديد من اتصالات VPN، فإنه يمكن توصيل اتصال واحد فقط في أي وقت.

هل يمكنني تكوين عميل من نقطة إلى موقع للاتصال بشبكات ظاهرية متعددة في نفس الوقت؟

نعم، قد يكون لاتصالات العميل من نقطة إلى موقع ببوابة شبكة ظاهرية يتم توزيعها في VNet والتي يتم نظيرها مع VNets الأخرى حق الوصول إلى VNets الأخرى النظيرة. سيتمكن عملاء «من نقطة إلى موقع» من الاتصال بـ VNets النظيرة طالما أن مجموعات VNets النظيرة تستخدم ميزات UseRemoteGateway/ AllowGatewayTransit. لمزيد من المعلومات، راجع ⁧⁩نبذة عن توجيه «من نقطة إلى موقع»⁧⁩.

ما مقدار معدل النقل التي يمكنني توقعه من خلال اتصالات الموقع إلى الموقع أو من نقطة إلى موقع؟

من الصعب الحفاظ على معدل النقل الدقيق لأنفاق VPN. IPsec وSSTP هما بروتوكولان VPN ثقيلان بالتشفير. معدل النقل محدود أيضًا بسبب زمن الوصول وعرض النطاق الترددي بين المبنى والإنترنت. بالنسبة إلى بوابة VPN التي تحتوي على اتصالات VPN من نقطة إلى موقع IKEv2 فقط، يعتمد إجمالي معدل النقل التي يمكنك توقعه على رمز SKU للبوابة. لمزيد من المعلومات عن معدل النقل، يُرجى مراجعة ⁧⁩Gateway SKUs⁧⁩.

هل يمكنني استخدام أي برنامج VPN عميل لـ Point-to-Site يدعم SSTP وIKEv2 أو أيًا منهما؟

كلا. يمكنك فقط استخدام عميل VPN الأصلي على Windows لـ SSTP، وعميل VPN الأصلي على Mac لـ IKEv2. ومع ذلك، يمكنك استخدام عميل OpenVPN على جميع الأنظمة الأساسية للاتصال عبر بروتوكول OpenVPN. ارجع إلى قائمة ⁧⁩أنظمة تشغيل العميل المدعومة⁧⁩.

هل يمكنني تغيير نوع المصادقة للاتصال من نقطة إلى موقع؟

نعم. في البوابة الإلكترونية، انتقل إلى ⁧⁩بوابة VPN -⁧>⁩ صفحة تكوين نقطة إلى موقع⁧⁩. بالنسبة إلى ⁧⁩نوع المصادقة⁧⁩، حدد أنواع المصادقة التي تريد استخدامها. يُرجى ملاحظة أنه بعد إجراء تغيير على نوع المصادقة، قد لا يتمكن العملاء الحاليون من الاتصال حتى يتم إنشاء ملف تعريف تكوين عميل VPN جديد وتنزيله وتطبيقه على كل عميل VPN.

هل يدعم Azure IKEv2 VPN مع Windows؟

يتم دعم IKEv2 على Windows 10 وServer 2016. ومع ذلك، لاستخدام IKEv2 في إصدارات معينة من نظام التشغيل، يجب عليك تثبيت التحديثات وتعيين قيمة مفتاح التسجيل محليا. لاحظ أن إصدارات نظام التشغيل قبل Windows 10 غير مدعومة ويمكنها فقط استخدام بروتوكول SSTP أو ⁧⁩OpenVPN®⁧⁩.

ملاحظة: لا يتطلب إصدار نظام التشغيل Windows أحدث من الإصدار 1709 من Windows 10 والإصدار 1607 من Windows Server 2016 هذه الخطوات.

لإعداد Windows 10 أو Server 2016 لـ IKEv2:

1. قم بتثبيت التحديث استنادًا إلى إصدار نظام التشغيل الخاص بك:

   ⁧⁩OS version⁧⁩	التاريخ	الرقم/الرابط
   Windows Server 2016 Windows 10 Version 1607	17 يناير 2018	⁦⁩KB4057142⁦⁩
   Windows 10 Version 1703	17 يناير 2018	⁦⁩KB4057144⁦⁩
   Windows 10 Version 1709	22 مارس 2018	⁦⁩KB4089848⁦⁩

2. عيّن قيمة مفتاح التسجيل. أنشئ أو عيّن "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD المفتاح في التسجيل إلى 1.

ما هو حد محدد نسبة استخدام الشبكة IKEv2 للاتصالات من نقطة إلى موقع؟

Windows 10 الإصدار 2004 (تم إصداره في سبتمبر 2021) من حد محدد نسبة استخدام الشبكة إلى 255. تحتوي إصدارات Windows الأقدم من ذلك على حد محدد نسبة استخدام الشبكة يبلغ 25.

يحدد الحد الأقصى لعدد محددات نسبة استخدام الشبكة في Windows الحد الأقصى لعدد مساحات العناوين في شبكتك الظاهرية والحد الأقصى لمجموع الشبكات المحلية واتصالات VNet-to-VNet ومجموعات VNets النظيرة المتصلة بالبوابة. سيفشل العملاء المستندون إلى Windows من نقطة إلى موقع في الاتصال عبر IKEv2 إذا تجاوزوا هذا الحد.

ماذا يحدث عندما أقوم بتكوين كل من SSTP وIKEv2 لاتصالات P2S VPN؟

عند تكوين كل من SSTP وIKEv2 في بيئة مختلطة (تتكون من أجهزة Windows وMac)، سيقوم عميل VPN Windows دائمًا بتجربة نفق IKEv2 أولاً، ولكنه سيعود إلى SSTP إذا لم ينجح اتصال IKEv2. لن يتصل MacOSX إلا عبر IKEv2.

بخلاف Windows وMac، ما هي الأنظمة الأساسية الأخرى التي يدعمها Azure لـ P2S VPN؟

يدعم Azure Windows وMac وLinux لـ P2S VPN.

لدي بالفعل بوابة Azure VPN تم توزيعها. هل يمكنني تمكين RADIUS وIKEv2 VPN أو أيًا منهما عليه؟

نعم، إذا كانت وحدة SKU للبوابة التي تستخدمها تدعم RADIUS وIKEv2 أو أيًا منهما، فإنه يمكنك تمكين هذه الميزات على البوابات التي قمت بتوزيعها بالفعل باستخدام PowerShell أو مدخل Microsoft Azure. لاحظ أن SKU الأساسي لا يدعم RADIUS أو IKEv2.

كيف أزيل تكوين اتصال P2S؟

يمكن إزالة تكوين P2S باستخدام Azure CLI وPowerShell باستخدام الأوامر التالية:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

هل مصادقة RADIUS مدعومة على جميع وحدات SKU الخاصة ببوابة Azure VPN؟

يتم دعم مصادقة RADIUS لوحدات SKU الخاصة بـ VpnGw1 وVpnGw2 وVpnGw3. إذا كنت تستخدم وحدات SKU القديمة، فإنه يتم دعم مصادقة RADIUS على وحدات SKU القياسية وعالية الأداء. وهو غير مدعوم على رمز SKU للبوابة الأساسية. 

هل مصادقة RADIUS مدعومة لنموذج النشر الكلاسيكي؟

كلا. مصادقة RADIUS غير معتمدة لنموذج النشر الكلاسيكي.

ما هي فترة المهلة لطلبات RADIUS المرسلة إلى خادم RADIUS؟

يتم تعيين طلبات RADIUS إلى مهلة بعد 30 ثانية. قيم المهلة المعرفة من قبل المستخدم غير مدعومة اليوم.

هل خوادم RADIUS التابعة لجهة أخري مدعومة؟

نعم، يتم دعم خوادم RADIUS التابعة لجهة أخري.

ما هي متطلبات الاتصال لضمان قدرة بوابة Azure على الوصول إلى خادم RADIUS محلي؟

مطلوب اتصال VPN من موقع إلى موقع بالموقع المحلي، مع تكوين المسارات المناسبة.  

هل يمكن توجيه حركة المرور إلى خادم RADIUS محلي (من بوابة Azure VPN) عبر اتصال ExpressRoute؟

كلا. لا يمكن توجيهه إلا عبر اتصال من موقع إلى موقع.

هل هناك تغيير في عدد اتصالات SSTP المدعومة بمصادقة RADIUS؟ ما هو الحد الأقصى لعدد اتصالات SSTP وIKEv2 المدعومة؟

لا يوجد أي تغيير في الحد الأقصى لعدد اتصالات SSTP المدعومة على بوابة مع مصادقة RADIUS. يبقى 128 لـ SSTP، ولكنه يعتمد على SKU البوابة لـ IKEv2. لمزيد من المعلومات حول عدد الاتصالات المدعومة، راجع ⁧⁩وحدات SKU للبوابة⁧⁩.

ما الفرق بين إجراء مصادقة الشهادة باستخدام خادم RADIUS مقابل استخدام مصادقة شهادة Azure الأصلية (عن طريق تحميل شهادة موثوق بها إلى Azure).

في مصادقة شهادة RADIUS، يتم إعادة توجيه طلب المصادقة إلى خادم RADIUS الذي يعالج التحقق الفعلي من صحة الشهادة. يعد هذا الخيار مفيدًا إذا كنت تريد التكامل مع بنية أساسية لمصادقة الشهادة لديك بالفعل من خلال RADIUS.

عند استخدام Azure لمصادقة الشهادة، تقوم بوابة Azure VPN بإجراء التحقق من صحة الشهادة. تحتاج إلى تحميل المفتاح العام للشهادة إلى البوابة. يمكنك أيضًا تحديد قائمة بالشهادات التي تم إبطالها والتي لا ينبغي السماح لها بالاتصال.

هل تعمل مصادقة RADIUS مع كل من IKEv2 وSSTP VPN؟

نعم، يتم دعم مصادقة RADIUS لكل من IKEv2 وSSTP VPN. 

هل تعمل مصادقة RADIUS مع عميل OpenVPN؟

يتم دعم مصادقة RADIUS لبروتوكول OpenVPN فقط من خلال PowerShell.

اتصالات VNet-to-VNet ومتعددة المواقع

تنطبق الأسئلة المتداولة حول VNet-to-VNet على اتصالات بوابة VPN. للحصول على مزيدٍ من المعلومات عن اقتران VNet ألق نظرة عامة حول ⁧⁩اقتران الشبكة الظاهرية⁧⁩.

هل يفرض Azure رسومًا على نسبة استخدام الشبكة بين VNets؟

نسبة استخدام الشبكة VNet-to-VNet داخل نفس المنطقة مجانية لكلا الاتجاهين عند استخدام اتصال بوابة VPN. يتم فرض رسوم على نسبة استخدام الشبكة الخروج من VNet إلى VNet عبر المناطق بمعدلات نقل البيانات الصادرة بين VNet استنادًا إلى مناطق المصدر. لمزيد من المعلومات، راجع ⁧⁩أسعار VPN Gateway⁧⁩. إذا كنت تقوم بتوصيل VNets باستخدام نظير VNet بدلاً من بوابة VPN، فراجع ⁧⁩أسعار الشبكة الظاهرية⁧⁩.

هل تنتقل نسبة استخدام الشبكة VNet-to-VNet عبر الإنترنت؟

كلا. تنتقل نسبة استخدام الشبكة VNet-to-VNet عبر العمود الفقري لـ Microsoft Azure، وليس عبر الإنترنت.

هل يمكنني إنشاء اتصال VNet-to-VNet عبر مستأجري Azure Active Directory (AAD (دليل Azure النشط))؟

نعم، تعمل اتصالات VNet-to-VNet التي تستخدم بوابات Azure VPN عبر AAD (دليل Azure النشط) المستأجرين.

هل نسبة استخدام الشبكة VNet-to-VNet آمنة؟

نعم، إنها محمية بتشفير IPsec / IKE.

هل أحتاج إلى جهاز VPN لتوصيل VNets معًا؟

كلا. لا يتطلب توصيل شبكات Azure الظاهرية المتعددة معا جهاز VPN ما لم يكن الاتصال عبر المباني مطلوبًا.

هل يجب أن تكون أجهزة VNets الخاصة بي في نفس المنطقة؟

كلا. يمكن أن تكون الشبكات الظاهرية في مناطق Azure نفسها أو مناطق مختلفة (مواقع).

إذا لم تكن VNets في نفس الاشتراك، فهل يجب أن تكون الاشتراكات مقترنة بنفس مستأجر Active Directory؟

كلا.

هل يمكنني استخدام VNet-to-VNet لتوصيل الشبكات الظاهرية في مثيلات Azure منفصلة؟

كلا. يدعم VNet-to-VNet توصيل الشبكات الظاهرية داخل نفس مثيل Azure. على سبيل المثال، لا يمكنك إنشاء اتصال بين Azure العمومي ومثيلات Azure الحكومية الصينية/الألمانية/الأمريكية. فكر في استخدام اتصال VPN من موقع إلى موقع لهذه السيناريوهات.

هل يمكنني استخدام VNet-to-VNet جنبًا إلى جنب مع اتصالات متعددة المواقع؟

نعم. يمكن استخدام اتصال الشبكة الافتراضية في وقت واحد مع الشبكات الافتراضية الخاصة متعددة المواقع.

كم عدد المواقع المحلية والشبكات الافتراضية التي يمكن لشبكة افتراضية واحدة الاتصال بها؟

راجع جدول ⁧⁩متطلبات البوابة⁧⁩.

هل يمكنني استخدام VNet-to-VNet لتوصيل الأجهزة الظاهرية أو الخدمات السحابية خارج VNet؟

كلا. يدعم VNet-to-VNet توصيل الشبكات الظاهرية. لا يدعم توصيل الأجهزة الظاهرية أو الخدمات السحابية غير الموجودة في شبكة ظاهرية.

هل يمكن لخدمة سحابية أو نقطة نهاية موازنة التحميل أن تمتد عبر VNets؟

كلا. لا يمكن أن تمتد الخدمة السحابية أو نقطة النهاية لموازنة الأحمال عبر الشبكات الافتراضية، حتى إذا كانت متصلة معًا.

هل يمكنني استخدام نوع VPN قائم على السياسة للاتصالات من VNet إلى VNet أو اتصالات متعددة المواقع؟

كلا. تتطلب اتصالات VNet-to-VNet ومتعددة المواقع بوابات Azure VPN مع أنواع VPN المستندة إلى المسار (التي كانت تسمى سابقا التوجيه الديناميكي).

هل يمكنني توصيل VNet بنوع VPN يستند إلى المسار بشبكة VNet أخرى بنوع VPN قائم على النهج؟

لا، يجب أن تستخدم كلتا الشبكتين الظاهريتين شبكات VPN قائمة على المسار (كانت تسمى سابقًا التوجيه الديناميكي).

هل تشترك أنفاق VPN في النطاق الترددي؟

نعم. تشترك جميع أنفاق VPN الخاصة بالشبكة الافتراضية في النطاق الترددي المتاح على بوابة Azure VPN ونفس اتفاقية مستوى الخدمة (SLA) لوقت تشغيل بوابة VPN في Azure.

هل الأنفاق الزائدة عن الحاجة مدعومة؟

يتم دعم الأنفاق الزائدة بين زوج من الشبكات الظاهرية عند تكوين بوابة شبكة ظاهرية واحدة على أنها نشطة ونشطة.

هل يمكنني الحصول على مساحات عناوين متداخلة لتكوينات VNet-to-VNet؟

كلا. لا يمكن أن يكون لديك نطاقات عناوين IP متداخلة.

هل يمكن أن تكون هناك مساحات عناوين متداخلة بين الشبكات الظاهرية المتصلة والمواقع المحلية؟

كلا. لا يمكن أن يكون لديك نطاقات عناوين IP متداخلة.

كيف يمكنني تمكين التوجيه بين اتصال VPN من موقع إلى موقع وبين ExpressRoute؟

إذا كنت ترغب في تمكين التوجيه بين الفرع المتصل بـ ExpressRoute والفرع المتصل باتصال VPN من موقع إلى موقع، فستحتاج إلى إعداد خادم مسار Azure.

هل يمكنني استخدام بوابة Azure VPN لنقل نسبة استخدام الشبكة بين مواقعي المحلية أو إلى شبكة ظاهرية أخرى؟

نموذج توزيع Resource Manager
نعم. راجع قسم ⁧⁩BGP⁧⁩ لمزيد من المعلومات.

نموذج التوزيع الكلاسيكي
يمكن نقل نسبة استخدام الشبكة عبر بوابة Azure VPN باستخدام نموذج التوزيع الكلاسيكي، ولكنه يعتمد على مساحات عناوين محددة بشكل ثابت في ملف تكوين الشبكة. BGP غير مدعوم بعد مع شبكات Azure الظاهرية وبوابات VPN باستخدام نموذج التوزيع الكلاسيكي. بدون BGP، يكون تحديد مساحات عناوين العبور يدويًا عرضة للخطأ للغاية، ولا يوصى به.

هل يقوم Azure بإنشاء نفس مفتاح IPsec/IKE المشترك مسبقًا لجميع اتصالات VPN الخاصة بي لنفس الشبكة الظاهرية؟

لا، يقوم Azure بشكل افتراضي بإنشاء مفاتيح مختلفة تمت مشاركتها مسبقا لاتصالات VPN مختلفة. ومع ذلك، يمكنك استخدام واجهة برمجة تطبيقات REST لمفتاح بوابة VPN أو cmdlet PowerShell لتعيين قيمة المفتاح التي تفضلها. يجب أن يحتوي المفتاح فقط على أحرف ASCII القابلة للطباعة باستثناء المسافة أو الواصلة (-) أو التلدة (~).

هل يمكنني الحصول على نطاق ترددي أكبر مع المزيد من الشبكات الافتراضية الخاصة من موقع إلى موقع أكثر من شبكة ظاهرية واحدة؟

لا، تشترك جميع أنفاق VPN، بما في ذلك الشبكات الظاهرية الخاصة من نقطة إلى موقع، في نفس بوابة Azure VPN والنطاق الترددي المتاح.

هل يمكنني تكوين أنفاق متعددة بين شبكتي الظاهرية وموقعي المحلي باستخدام VPN متعدد المواقع؟

نعم، ولكن يجب عليك تكوين BGP على كلا النفقين إلى نفس الموقع.

هل تحترم بوابة Azure VPN مسار AS الذي ينتظر التأثير على قرارات التوجيه بين اتصالات متعددة بمواقعي المحلية؟

نعم، ستحترم بوابة Azure VPN مسار AS الذي ينتظر مسبقًا للمساعدة في اتخاذ قرارات التوجيه عند تمكين BGP. سيتم تفضيل مسار AS أقصر في اختيار مسار BGP.

هل يمكنني استخدام الخاصية RoutingWeight عند إنشاء اتصال VPN VirtualNetworkGateway جديد؟

لا، هذا الإعداد محجوز لاتصالات بوابة ExpressRoute. إذا كنت ترغب في التأثير على قرارات التوجيه بين اتصالات متعددة، فستحتاج إلى استخدام الإعداد المسبق لمسار AS.

هل يمكنني استخدام الشبكات الظاهرية الخاصة من نقطة إلى موقع مع شبكتي الظاهرية مع أنفاق VPN متعددة؟

نعم، يمكن استخدام الشبكات الظاهرية الخاصة من نقطة إلى موقع (P2S) مع بوابات VPN المتصلة بمواقع محلية متعددة وشبكات ظاهرية أخرى.

هل يمكنني توصيل شبكة ظاهرية بشبكات IPsec VPN بدائرة ExpressRoute الخاصة بي؟

نعم، هذا مدعوم. لمزيد من المعلومات، راجع ⁧⁩تكوين اتصالات ExpressRoute وVPN من موقع إلى موقع التي تتعايش⁧⁩.

نهج IPsec/IKE

هل نهج IPsec/IKE المخصص مدعوم على جميع وحدات SKU الخاصة ببوابة Azure VPN؟

يتم دعم نهج IPsec/IKE المخصص على جميع وحدات SKU الخاصة ب Azure باستثناء وحدة SKU الأساسية.

كم عدد النهج التي يمكنني تحديدها على الاتصال؟

يمكنك فقط تحديد مجموعة نهج ⁧⁩⁧⁩واحدة⁧⁩⁧⁩ لاتصال معين.

هل يمكنني تحديد سياسة جزئية بشأن اتصال؟ (على سبيل المثال، خوارزميات IKE فقط، ولكن ليس IPsec)

لا، يجب عليك تحديد جميع الخوارزميات والمعلمات لكل من IKE (الوضع الرئيسي) وIPsec (الوضع السريع). مواصفات النهج الجزئي غير مسموح بها.

ما هي الخوارزميات ونقاط القوة الرئيسية المدعومة في النهج المخصص؟

يسرد الجدول التالي خوارزميات التشفير المدعومة ونقاط القوة الرئيسية القابلة للتكوين من قبل العملاء. يجب عليك تحديد خيار واحد لكل حقل.

⁦⁩IPsec/IKEv2⁦⁩	الخيارات
تشفير IKEv2	AES256، AES192، AES128، DES3، DES
تكامل البيانات IKEv2	SHA384, SHA256, SHA1, MD5
مجموعة DH	DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
تشفير IPsec	GCMAES256، GCMAES192، GCMAES128، AES256، AES192، AES128، DES3، DES، لا شيء
تكامل بيانات IPsec	GCMAES256، GCMAES192، GCMAES128، SHA256، SHA1، MD5
مجموعة PFS	PFS24، ECP384، ECP256، PFS2048، PFS2، PFS1، لا شيء
مدة بقاء QM SA	ثوانٍ (عدد صحيح; ⁧⁩دقيقة 300⁧⁩/الافتراضي 27000 ثانية) KBytes (عدد صحيح; ⁧⁩دقيقة 1024/الافتراضي 102400000⁧⁩ كيلوبايت)
محدد نسبة استخدام الشبكة	UsePolicyBasedTrafficSelectors ($True/$False؛ $False الافتراضي)

هام

• DHGroup2048 ⁧&⁩PFS2048 هي نفسها Diffie-Hellman المجموعة ⁧⁩14⁧⁩ في IKE وIPsec PFS. راجع ⁧⁩مجموعات Diffie-Hellman⁧⁩ للحصول على الخرائط الكاملة.
• بالنسبة إلى خوارزميات GCMAES، يجب عليك تحديد نفس خوارزمية GCMAES وطول المفتاح لكل من تشفير IPsec وسلامته.
• تم إصلاح عمر IKEv2 Main Mode SA في 28800 ثانية على بوابات Azure VPN.
• QM SA Lifetimes هي معلمات اختيارية. إذا لم يتم تحديد أي منها، فاستخدم القيم الافتراضية البالغة 27000 ثانية (7.5 ساعات) و102400000 كيلوبايت (102 جيجابايت).
• UsePolicyBasedTrafficSelector هو معلمة خيار على الاتصال. راجع عنصر الأسئلة الشائعة التالي للحصول على «UsePolicyBasedTrafficSelectors».

هل يجب أن يتطابق كل شيء بين سياسة بوابة Azure VPN وتكوينات جهاز VPN المحلي؟

يجب أن يتطابق تكوين جهاز VPN المحلي مع الخوارزميات والمعلمات التالية التي تحددها في نهج Azure IPsec/IKE أو يحتوي عليها:

• خوارزمية تشفير IKE
• خوارزمية سلامة IKE
• مجموعة DH
• خوارزمية تشفير IPsec
• خوارزمية تكامل بيانات IPsec
• مجموعة PFS
• محدد نسبة استخدام الشبكة (*)

مدة بقاء SA هي مواصفات محلية فقط، ولا تحتاج إلى مطابقتها.

إذا قمت بتمكين ⁧⁩UsePolicyBasedTrafficSelectors⁧⁩، فستحتاج إلى التأكد من أن جهاز VPN الخاص بك يحتوي على محددات نسبة استخدام الشبكة المطابقة المحددة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) من/إلى بادئات الشبكة الظاهرية Azure، بدلاً من أي بادئة إلى أي منها. على سبيل المثال، إذا كانت بادئات الشبكة المحلية هي 10.1.0.0/16 و10.2.0.0/16، وكانت بادئات الشبكة الظاهرية هي 192.168.0.0/16 و172.16.0.0/16، فستحتاج إلى تحديد محددات نسبة استخدام الشبكة التالية:

• 10.1.0.0/16 ⁦<⁩====⁦>⁩ 192.168.0.0/16
• 10.1.0.0/16 ⁦<⁩====⁦>⁩ 172.16.0.0/16
• 10.2.0.0/16 ⁦<⁩====⁦>⁩ 192.168.0.0/16
• 10.2.0.0/16 ⁦<⁩====⁦>⁩ 172.16.0.0/16

لمزيد من المعلومات، راجع ⁧⁩الاتصال العديد من أجهزة VPN المحلية المستندة إلى النهج⁧⁩.

⁧⁩ما هي مجموعات Diffie-Hellman المدعومة؟

يسرد الجدول أدناه مجموعات Diffie-Hellman المدعومة لـ IKE (DHGroup) وIPsec (PFSGroup):

مجموعة Diffie-Hellman	⁧⁩DHGroup⁧⁩	⁧⁩PFSGroup⁧⁩	⁧⁩طول المفتاح⁧⁩
1	DHGroup1	PFS1	768-bit MODP
2	DHGroup2	PFS2	1024-bit MODP
14	DHGroup14 DHGroup2048	PFS2048	2048-bit MODP
19	ECP256	ECP256	ECP 256 بت
20	ECP384	ECP384	ECP 384 بت
24	DHGroup24	PFS24	2048-bit MODP

لمزيد من المعلومات، راجع ⁧⁩RFC3526⁧⁩ و⁧⁩RFC5114⁧⁩.

هل يحل النهج المخصص محل مجموعات نهج IPsec/IKE الافتراضية لبوابات Azure VPN؟

نعم، بمجرد تحديد نهج مخصص على اتصال، ستستخدم بوابة Azure VPN السياسة الخاصة بالاتصال فقط، سواء كبادئ IKE أو مستجيب IKE.

إذا قمت بإزالة سياسة IPsec/IKE مخصصة، فهل يصبح الاتصال غير محمي؟

لا، سيظل الاتصال محميا بواسطة IPsec/IKE. بمجرد إزالة النهج المخصص من اتصال، تعود بوابة Azure VPN مرة أخرى إلى ⁧⁩القائمة الافتراضية لمقترحات IPsec/⁧⁩ IKE وتعيد تشغيل تأكيد اتصال IKE مرة أخرى باستخدام جهاز VPN المحلي.

هل تؤدي إضافة أو تحديث سياسة IPsec/IKE إلى تعطيل اتصال VPN الخاص بي؟

نعم، يمكن أن يسبب اضطرابًا صغيرًا (بضع ثوان) حيث تقوم بوابة Azure VPN بتمزيق الاتصال الحالي وإعادة تشغيل تأكيد اتصال IKE لإعادة إنشاء نفق IPsec باستخدام خوارزميات ومعلمات التشفير الجديدة. تأكد من تكوين جهاز VPN المحلي الخاص بك أيضًا باستخدام خوارزميات المطابقة ونقاط القوة الرئيسية لتقليل الاضطراب.

هل يمكنني استخدام نهج مختلفة على اتصالات مختلفة؟

نعم. يتم تطبيق النهج المخصص على أساس كل اتصال. يمكنك إنشاء نهج IPsec/IKE مختلفة وتطبيقها على اتصالات مختلفة. يمكنك أيضًا اختيار تطبيق نهج مخصصة على مجموعة فرعية من الاتصالات. تستخدم المجموعات المتبقية مجموعات نهج IPsec/IKE الافتراضية من Azure.

هل يمكنني استخدام النهج المخصص على اتصال VNet-to-VNet أيضا؟

نعم، يمكنك تطبيق نهج مخصص على كل من اتصالات IPsec عبر المباني أو اتصالات VNet-to-VNet.

هل أحتاج إلى تحديد نفس النهج على كل من موارد اتصال VNet-to-VNet؟

نعم. يتكون نفق VNet-to-VNet من موردي اتصال في Azure، أحدهما لكل اتجاه. تأكد من أن كلا موردي الاتصال لهما نفس السياسة، وإلا فلن يتم إنشاء اتصال VNet-to-VNet.

ما هي قيمة مهلة DPD الافتراضية؟ هل يمكنني تحديد مهلة DPD مختلفة؟

مهلة DPD الافتراضية هي 45 ثانية. يمكنك تحديد قيمة مهلة DPD مختلفة على كل اتصال IPsec أو VNet-to-VNet بين 9 ثوان إلى 3600 ثانية.

هل يعمل نهج IPsec/IKE المخصص على اتصال ExpressRoute؟

كلا. يعمل نهج IPsec/IKE فقط على اتصالات S2S VPN وVNet-to-VNet عبر بوابات Azure VPN.

كيف أعمل إنشاء اتصالات مع نوع بروتوكول IKEv1 أو IKEv2؟

يمكن إنشاء اتصالات IKEv1 على جميع وحدات SKU من نوع VPN المستندة إلى المسار، باستثناء وحدات SKU الأساسية ووحدة SKU القياسية ⁧⁩ووحدات SKU القديمة⁧⁩ الأخرى. يمكنك تحديد نوع بروتوكول اتصال من IKEv1 أو IKEv2 في أثناء إنشاء اتصالات. إذا لم تحدد نوع بروتوكول اتصال، فاستخدم IKEv2 كخيار افتراضي حيثما ينطبق ذلك. لمزيد من المعلومات، انظر وثائق ⁧⁧⁩⁩PowerShell cmdlet⁧⁧⁩⁩. للحصول على أنواع وحدات SKU ودعم IKEv1/IKEv2، راجع ⁧⁩الاتصال بوابات لأجهزة VPN المستندة إلى النهج⁧⁩.

هل يسمح بالعبور بين اتصالات IKEv1 وIKEv2؟

نعم. يتم دعم النقل بين اتصالات IKEv1 وIKEv2.

هل يمكنني الحصول على اتصالات IKEv1 من موقع إلى موقع على وحدات SKU الأساسية من نوع VPN القائم على المسار؟

كلا. لا تدعم SKU الأساسية هذا.

هل يمكنني تغيير نوع بروتوكول الاتصال بعد إنشاء الاتصال (IKEv1 إلى IKEv2 والعكس صحيح)؟

كلا. بمجرد إنشاء الاتصال، لا يمكن تغيير بروتوكولات IKEv1/IKEv2. يجب حذف وإعادة إنشاء اتصال جديد بنوع البروتوكول المطلوب.

لماذا تتم إعادة توصيل IKEv1 بشكل متكرر؟

إذا كان التوجيه الثابت أو اتصال IKEv1 المستند إلى المسار ينقطع اتصاله على فترات روتينية، فمن المحتمل أن يكون ذلك بسبب عدم دعم بوابات VPN لعمليات إعادة المفاتيح الموضعية. عند إعادة تشغيل الوضع الرئيسي، فسيتم فصل أنفاق IKEv1 وتستغرق ما يصل إلى 5 ثوانٍ لإعادة الاتصال. ستحدد قيمة مهلة التفاوض في الوضع الرئيسي تكرار عمليات إعادة المفاتيح. لمنع عمليات إعادة الاتصال هذه، يمكنك التبديل إلى استخدام IKEv2، الذي يدعم عمليات إعادة المفاتيح الموضعية.

إذا كان اتصالك يعيد الاتصال في أوقات عشوائية، فاتبع ⁧⁩دليل استكشاف الأخطاء وإصلاحها⁧⁩.

أين يمكنني العثور على مزيد من معلومات التكوين لـ IPsec؟

راجع ⁧⁩تكوين نهج IPsec/IKE لاتصالات S2S أو VNet-to-VNet⁧⁩.

BGP والتوجيه

هل BGP مدعوم على جميع وحدات SKU الخاصة ببوابة Azure VPN؟

يتم دعم BGP على جميع وحدات SKU الخاصة ببوابة Azure VPN باستثناء وحدات SKU الأساسية.

هل يمكنني استخدام BGP مع بوابات VPN لنهج Azure؟

لا، BGP مدعوم على بوابات VPN المستندة إلى المسار فقط.

ما هي أرقام ASNs (أرقام النظام المستقل) التي يمكنني استخدامها؟

يمكنك استخدام ASNs العامة أو ASNs الخاصة بك لكل من الشبكات المحلية وشبكات Azure الظاهرية. لا يمكنك استخدام النطاقات المحجوزة بواسطة Azure أو IANA.

يتم حجز ASNs التالية بواسطة Azure أو IANA:

• ASNs المحجوزة بواسطة Azure:

  • ASNs العامة: 8074، 8075، 12076
  • ASNs الخاصة: 65515, 65517, 65518, 65519, 65520

• ASNs ⁧⁩المحجوزة من قبل IANA⁧⁩:

  • 23456, 64496-64511, 65535-65551 و429496729

لا يمكنك تحديد ASNs هذه لأجهزة VPN المحلية الخاصة بك عند الاتصال ببوابات Azure VPN.

هل يمكنني استخدام ASNs 32 بت (4 بايت)؟

نعم، تدعم VPN Gateway الآن ASNs 32 بت (4 بايت). للتكوين باستخدام ASN بتنسيق عشري، استخدم PowerShell أو Azure CLI أو Azure SDK.

ما هي ASNs الخاصة التي يمكنني استخدامها؟

النطاقات القابلة للاستخدام من ASNs الخاصة هي:

• 64512-65514 و65521-65534

لا يتم حجز ASNs هذه بواسطة IANA أو Azure للاستخدام، وبالتالي يمكن استخدامها للتعيين إلى بوابة Azure VPN الخاصة بك.

ما العنوان الذي تستخدمه بوابة VPN لـ BGP peer IP؟

بشكل افتراضي، تقوم VPN Gateway بتخصيص عنوان IP واحد من نطاق ⁧⁩GatewaySubnet⁧⁩ لبوابات VPN الاحتياطية النشطة، أو عنواني IP لبوابات VPN النشطة والنشطة. يتم تخصيص هذه العناوين تلقائيًا عند إنشاء بوابة VPN. يمكنك الحصول على عنوان IP الفعلي BGP المخصص باستخدام PowerShell أو عن طريق تحديد موقعه في مدخل Microsoft Azure. في PowerShell، استخدم ⁧⁩Get-AzVirtualNetworkGateway⁧⁩، وابحث عن ⁧⁩الخاصية bgpPeeringAddress⁧⁩. في مدخل Microsoft Azure، في صفحة تكوين ⁧⁩البوابة⁧⁩، ابحث ضمن ⁧⁩الخاصية تكوين BGP ASN⁧⁩.

إذا كانت أجهزة توجيه VPN المحلية تستخدم عناوين IP ⁧⁩APIPA⁧⁩ (169.254.x.x) كعناوين IP لـ BGP، فإنه يجب عليك تحديد عنوان IP واحد أو أكثر من ⁧⁩عناوين IP الخاصة بـ Azure APIPA BGP⁧⁩ على بوابة Azure VPN. تقوم Azure VPN Gateway بتحديد عناوين APIPA لاستخدامها مع نظير APIPA BGP المحلي المحدد في بوابة الشبكة المحلية، أو عنوان IP الخاص لنظير BGP محلي غير APIPA. لمزيد من المعلومات، راجع ⁧⁩تكوين جدار الحماية⁧⁩.

ما هي متطلبات عناوين IP النظيرة BGP على جهاز VPN الخاص بي؟

يجب ألا يكون عنوان نظير BGP الخاص بك في الموقع هو نفسه عنوان IP العام لجهاز VPN أو من مساحة عنوان الشبكة الظاهرية لبوابة VPN. استخدم عنوان IP مختلفًا على جهاز VPN لعنوان IP الخاص بـ BGP. يمكن أن يكون عنوانًا معينًا لواجهة الاسترجاع على الجهاز (إما عنوان IP عادي أو عنوان APIPA). إذا كان جهازك يستخدم عنوان APIPA ل BGP، فإنه يجب عليك تحديد عنوان IP واحد أو أكثر من عناوين IP APIPA BGP على بوابة Azure VPN، كما هو موضح في ⁧⁩تكوين BGP⁧⁩. حدد هذه العناوين في بوابة الشبكة المحلية المقابلة التي تمثل الموقع.

ما الذي يجب أن أحدده كبادئات عنواني لبوابة الشبكة المحلية عند استخدام BGP؟

هام

هذا هو التغيير من المتطلبات الموثقة سابقًا. إذا كنت تستخدم BGP لاتصال، فاترك حقل ⁧⁩مساحة العنوان⁧⁩ فارغًا لمورد بوابة الشبكة المحلية المقابل. تضيف Azure VPN Gateway مسارًا مضيفًا داخليًا إلى عنوان IP النظير BGP المحلي عبر نفق IPsec. لا تقم بإضافة المسار /32 في حقل ⁧⁩مساحة العنوان⁧⁩. إنها زائدة عن الحاجة وإذا كنت تستخدم عنوان APIPA كجهاز VPN محلي BGP IP، فلا يمكن إضافته إلى هذا الحقل. إذا قمت بإضافة أي بادئات أخرى في حقل ⁧⁩مساحة العنوان⁧⁩، فستتم إضافتها كمسارات ثابتة على بوابة Azure VPN، بالإضافة إلى المسارات التي تم تعلمها عبر BGP.

هل يمكنني استخدام نفس ASN لكل من شبكات VPN المحلية وشبكات Azure الظاهرية؟

لا، يجب عليك تعيين شبكات ASN مختلفة بين شبكاتك المحلية وشبكات Azure الظاهرية إذا كنت تقوم بتوصيلها مع BGP. تحتوي بوابات Azure VPN على ASN افتراضي يبلغ 65515 معينا، سواء تم تمكين BGP أم لا للاتصال عبر المباني. يمكنك تجاوز هذا الإعداد الافتراضي عن طريق تعيين ASN مختلف عند إنشاء بوابة VPN، أو يمكنك تغيير ASN بعد إنشاء البوابة. ستحتاج إلى تعيين ASNs المحلية الخاصة بك إلى بوابات شبكة Azure المحلية المقابلة.

ما هي بادئات العناوين التي ستعلن عنها لي بوابات Azure VPN؟

تعلن البوابات عن المسارات التالية لأجهزة BGP المحلية:

• بادئات عنوان الشبكة الظاهرية.
• بادئات العناوين لكل بوابة شبكة محلية متصلة ببوابة Azure VPN.
• المسارات المستفادة من جلسات نظير BGP الأخرى المتصلة ببوابة Azure VPN، باستثناء المسار الافتراضي أو المسارات التي تتداخل مع أي بادئة شبكة ظاهرية.

كم عدد البادئات التي يمكنني الإعلان عنها في Azure VPN Gateway؟

تدعم بوابة Azure VPN ما يصل إلى 4000 بادئة. يتم إسقاط جلسة عمل BGP إذا تجاوز عدد البادئات الحد.

هل يمكنني الإعلان عن المسار الافتراضي (0.0.0.0/0) إلى بوابات Azure VPN؟

نعم. لاحظ أن هذا يفرض على كل نسبة استخدام الشبكة خروج الشبكة الظاهرية نحو موقعك المحلي. كما أنه يمنع الأجهزة الظاهرية للشبكة الظاهرية من قبول الاتصالات العامة من الإنترنت مباشرة، مثل RDP أو SSH من الإنترنت إلى الأجهزة الظاهرية.

هل يمكنني الإعلان عن البادئات الدقيقة كبادئات الشبكة الظاهرية؟

لا، سيتم حظر الإعلان عن نفس البادئات مثل أي بادئة من بادئات عنوان الشبكة الظاهرية أو تصفيتها بواسطة Azure. ومع ذلك، يمكنك الإعلان عن بادئة عبارة عن مجموعة كبيرة مما لديك داخل شبكتك الظاهرية.

على سبيل المثال، إذا كانت شبكتك الظاهرية تستخدم مساحة العنوان 10.0.0.0/16، فإنه يمكنك الإعلان عن 10.0.0.0/8. ولكن لا يمكنك الإعلان عن 10.0.0.0/16 أو 10.0.0.0/24.

هل يمكنني استخدام BGP مع اتصالاتي بين الشبكات الظاهرية؟

نعم، يمكنك استخدام BGP لكل من الاتصالات عبر المباني والاتصالات بين الشبكات الظاهرية.

هل يمكنني مزج BGP مع اتصالات غير BGP لبوابات Azure VPN الخاصة بي؟

نعم، يمكنك مزج كل من اتصالات BGP وغير BGP لنفس بوابة Azure VPN.

هل تدعم بوابة Azure VPN توجيه المواصلات BGP؟

نعم، يتم دعم توجيه العبور BGP، باستثناء أن بوابات Azure VPN لا تعلن عن المسارات الظاهرية لأقرانها الآخرين في BGP. لتمكين توجيه المواصلات عبر بوابات Azure VPN متعددة، يجب تمكين BGP على جميع الاتصالات الوسيطة بين الشبكات الظاهرية. لمزيد من المعلومات، راجع ⁧⁩نبذة عن BGP⁧⁩.

هل يمكنني الحصول على أكثر من نفق واحد بين بوابة Azure VPN وشبكتي المحلية؟

نعم، يمكنك إنشاء أكثر من نفق VPN من موقع إلى موقع بين بوابة Azure VPN وشبكتك المحلية. لاحظ أنه يتم حساب كل هذه الأنفاق ضمن إجمالي عدد الأنفاق لبوابات Azure VPN، ويجب تمكين BGP على كلا النفقين.

على سبيل المثال، إذا كان لديك نفقان زائدان عن الحاجة بين بوابة Azure VPN وإحدى شبكاتك المحلية، فإنهما يستهلكان نفقين من إجمالي الحصة النسبية لبوابة Azure VPN.

هل يمكنني الحصول على أنفاق متعددة بين شبكتي Azure الظاهريتين باستخدام BGP؟

نعم، ولكن يجب أن تكون واحدة على الأقل من بوابات الشبكة الظاهرية في تكوين نشط ونشط.

هل يمكنني استخدام BGP ل S2S VPN في تكوين تعايش Azure ExpressRoute وS2S VPN؟

نعم.

ما الذي يجب أن أضيفه إلى جهاز VPN المحلي الخاص بي لجلسة النظير BGP؟

أضف مسارًا مضيفًا لعنوان IP النظير Azure BGP على جهاز VPN الخاص بك. يشير هذا المسار إلى نفق IPsec S2S VPN. على سبيل المثال، إذا كان عنوان IP النظير لـ Azure VPN هو 10.12.255.30، يمكنك إضافة مسار مضيف لـ 10.12.255.30 مع واجهة القفزة التالية لواجهة نفق IPsec المطابقة على جهاز VPN الخاص بك.

هل تدعم بوابة الشبكة الظاهرية BFD لاتصالات S2S مع BGP؟

كلا. اكتشاف إعادة التوجيه ثنائي الاتجاه (BFD) هو بروتوكول يمكنك استخدامه مع BGP للكشف عن وقت توقف الجار بشكل أسرع مما يمكنك باستخدام «keepalives» BGP القياسي. يستخدم BFD مؤقتات فرعية مصممة للعمل في بيئات LAN، ولكن ليس عبر الإنترنت العام أو اتصالات الشبكة واسعة النطاق.

بالنسبة إلى الاتصالات عبر الإنترنت العام، فإن تأخير بعض الحزم أو حتى إسقاطها ليس أمرًا غير عادي، لذا فإن إدخال هذه المؤقتات العدوانية يمكن أن يضيف عدم الاستقرار. قد يتسبب عدم الاستقرار هذا في إضعاف الطرق بواسطة BGP. وكبديل، يمكنك تكوين جهازك المحلي باستخدام مؤقتات أقل من الفاصل الزمني الافتراضي «للاحتفاظ» بـ 60 ثانية ومؤقت الانتظار لمدة 180 ثانية. وهذا يؤدي إلى وقت تقارب أسرع.

هل تبدأ بوابات Azure VPN جلسات أو اتصالات نظير BGP؟

ستبدأ البوابة جلسات نظير BGP إلى عناوين IP نظيرة BGP المحلية المحددة في موارد بوابة الشبكة المحلية باستخدام عناوين IP الخاصة على بوابات VPN. هذا بغض النظر عما إذا كانت عناوين IP BGP المحلية في نطاق APIPA أو عناوين IP الخاصة العادية. إذا كانت أجهزة VPN المحلية الخاصة بك تستخدم عناوين APIPA كعنوان IP لـ BGP، فأنت بحاجة إلى تكوين مكبر صوت BGP لبدء الاتصالات.

هل يمكنني تكوين الأنفاق القسرية؟

نعم. راجع ⁧⁩تكوين الاتصال النفقي⁧⁩

ترجمة عناوين الشبكة (NAT)

هل NAT مدعوم على جميع وحدات SKU الخاصة ببوابة Azure VPN؟

يتم دعم NAT على VpnGw2 ~ 5 وVpnGw2AZ ~ 5AZ.

هل يمكنني استخدام NAT على اتصالات VNet-to-VNet أو P2S؟

لا، NAT مدعوم على اتصالات ⁧⁩IPsec⁧⁩ عبر المباني فقط.

كم عدد قواعد NAT التي يمكنني استخدامها على بوابة VPN؟

يمكنك إنشاء ما يصل إلى 100 قاعدة NAT (قواعد الدخول Egress معا) على بوابة VPN.

هل يتم تطبيق NAT على جميع الاتصالات على بوابة VPN؟

يتم تطبيق NAT على الاتصالات مع قواعد NAT. إذا لم يكن الاتصال يحتوي على قاعدة NAT، فلن تسري NAT على هذا الاتصال. على نفس بوابة VPN، يمكنك الحصول على بعض الاتصالات مع NAT، واتصالات أخرى دون أن تعمل NAT معًا.

ما هي أنواع NAT المدعومة على بوابات Azure VPN؟

يتم دعم NAT الثابت 1: 1 وNAT الديناميكي فقط. NAT64 غير مدعوم.

هل تعمل NAT على بوابات VPN النشطة والنشطة؟

نعم. تعمل NAT على كل من بوابات VPN النشطة النشطة والاحتياطية النشطة.

هل تعمل NAT مع اتصالات BGP؟

نعم، يمكنك استخدام BGP مع NAT. فيما يلي بعض الاعتبارات المهمة:

• حدد ⁧⁩تمكين ترجمة مسار BGP⁧⁩ في صفحة تكوين قواعد NAT لضمان ترجمة المسارات المستفادة والمسارات المعلن عنها إلى بادئات عناوين ما بعد NAT (التعيينات الخارجية) استنادًا إلى قواعد NAT المرتبطة بالاتصالات. تحتاج إلى التأكد من أن أجهزة توجيه BGP المحلية تعلن عن البادئات الدقيقة كما هو محدد في قواعد IngressSNAT.

• إذا كان جهاز توجيه VPN المحلي يستخدم APIPA (169.254.x.x) كعنوان IP لمكبر صوت BGP/نظير، فاستخدم عنوان APIPA مباشرة في حقل ⁧⁩عنوان IP النظير BGP⁧⁩ لبوابة الشبكة المحلية. إذا كان جهاز توجيه VPN المحلي يستخدم عنوانًا عاديًا غير APIPA ويصطدم بمساحة عنوان VNet أو مساحات الشبكة المحلية الأخرى، فتأكد من أن قاعدة IngressSNAT ستترجم عنوان IP النظير BGP إلى عنوان فريد وغير متداخل وتضع عنوان ما بعد NAT في حقل ⁧⁩عنوان IP النظير BGP⁧⁩ لبوابة الشبكة المحلية.

هل أحتاج إلى إنشاء قواعد DNAT المطابقة لقاعدة SNAT؟

كلا. تحدد قاعدة SNAT واحدة الترجمة ⁧⁩لكلا الاتجاهين⁧⁩ لشبكة معينة:

• تحدد قاعدة IngressSNAT ترجمة عناوين IP المصدر القادمة ⁧⁩إلى⁧⁩ بوابة Azure VPN من الشبكة المحلية. كما أنه يتعامل مع ترجمة عناوين IP الوجهة المغادرة من VNet إلى نفس الشبكة المحلية.

• تحدد قاعدة EgressSNAT ترجمة عناوين IP لمصدر VNet تاركة بوابة Azure VPN للشبكات المحلية. كما أنه يتعامل مع ترجمة عناوين IP الوجهة للحزم القادمة إلى VNet عبر تلك الاتصالات مع قاعدة EgressSNAT.

• في كلتا الحالتين، ليست هناك حاجة ⁧⁩إلى قواعد DNAT⁧⁩.

ماذا أفعل إذا كانت مساحة عنوان VNet أو بوابة الشبكة المحلية تحتوي على بادئتين أو أكثر؟ هل يمكنني تطبيق NAT عليهم جميعًا؟ أو مجرد مجموعة فرعية؟

تحتاج إلى إنشاء قاعدة NAT واحدة لكل بادئة تحتاج إليها إلى NAT لأن كل قاعدة NAT يمكن أن تتضمن بادئة عنوان واحدة فقط ل NAT. على سبيل المثال، إذا كانت مساحة عنوان بوابة الشبكة المحلية تتكون من 10.0.1.0/24 و10.0.2.0/25، فإنه يمكنك إنشاء قاعدتين كما هو موضح أدناه:

• قاعدة الدخول إلى الشبكة 1: تعيين 10.0.1.0/24 إلى 100.0.1.0/24
• قاعدة IngressSNAT 2: تعيين 10.0.2.0/25 إلى 100.0.2.0/25

يجب أن تتطابق القاعدتان مع أطوال بادئة بادئات العناوين المقابلة. وينطبق الشيء نفسه على قواعد EgressSNAT لمساحة عنوان VNet.

هام

إذا قمت بربط قاعدة واحدة فقط بالاتصال أعلاه، ⁧⁩فلن⁧⁩ تتم ترجمة مساحة العنوان الأخرى.

ما هي نطاقات IP التي يمكنني استخدامها للتعيين الخارجي؟

يمكنك استخدام أي نطاق IP مناسب تريده للتعيين الخارجي، بما في ذلك عناوين IP العامة والخاصة.

هل يمكنني استخدام قواعد EgressSNAT مختلفة لترجمة مساحة عنوان VNet الخاصة بي إلى بادئات مختلفة لشبكات محلية مختلفة؟

نعم، يمكنك إنشاء قواعد EgressSNAT متعددة لنفس مساحة عنوان VNet، وتطبيق قواعد EgressSNAT على اتصالات مختلفة. بالنسبة إلى الاتصالات بدون قاعدة EgressSNAT

هل يمكنني استخدام نفس قاعدة IngressSNAT على اتصالات مختلفة؟

نعم، يتم استخدام هذا عادة عندما تكون الاتصالات لنفس الشبكة المحلية لتوفير التكرار. لا يمكنك استخدام نفس قاعدة الدخول إذا كانت الاتصالات لشبكات محلية مختلفة.

هل أحتاج إلى قواعد الدخول Egress على اتصال NAT؟

تحتاج إلى قواعد Ingress وEgress على نفس الاتصال عندما تتداخل مساحة عنوان الشبكة المحلية مع مساحة عنوان VNet. إذا كانت مساحة عنوان VNet فريدة من نوعها بين جميع الشبكات المتصلة، فلن تحتاج إلى قاعدة EgressSNAT على هذه الاتصالات. يمكنك استخدام قواعد Ingress لتجنب تداخل العناوين بين الشبكات المحلية.

الاتصال عبر المباني والأجهزة الظاهرية

إذا كان جهازي الظاهري في شبكة ظاهرية ولدي اتصال عبر المباني، فكيف يمكنني الاتصال بالجهاز الظاهري؟

لديك بعض الخيارات. إذا تم تمكين RDP للجهاز الظاهري، فإنه يمكنك الاتصال بجهازك الظاهري باستخدام عنوان IP الخاص. في هذه الحالة، يمكنك تحديد عنوان IP الخاص والمنفذ الذي تريد الاتصال به (عادة 3389). ستحتاج إلى تكوين المنفذ على جهازك الظاهري لنسبة استخدام الشبكة.

يمكنك أيضًا الاتصال بجهازك الظاهري عن طريق عنوان IP خاص من جهاز ظاهري آخر موجود على نفس الشبكة الظاهرية. لا يمكنك RDP إلى جهازك الظاهري باستخدام عنوان IP الخاص إذا كنت تتصل من موقع خارج شبكتك الظاهرية. على سبيل المثال، إذا كان لديك شبكة ظاهرية من نقطة إلى موقع تم تكوينها ولم تقم بإنشاء اتصال من الكمبيوتر، فلا يمكنك الاتصال بالجهاز الظاهري عن طريق عنوان IP خاص.

إذا كان جهازي الظاهري في شبكة ظاهرية مزودة باتصال عبر المباني، فهل تمر كل حركة المرور من الجهاز الظاهري عبر هذا الاتصال؟

كلا. فقط نسبة استخدام الشبكة التي تحتوي على عنوان IP وجهة موجود في نطاقات عناوين IP للشبكة الظاهرية للشبكة المحلية التي حددتها ستمر عبر بوابة الشبكة الظاهرية. تحتوي نسبة استخدام الشبكة على عنوان IP وجهة موجود داخل الشبكة الظاهرية يبقى داخل الشبكة الظاهرية. يتم إرسال نسبة استخدام الشبكة أخرى من خلال موازن التحميل إلى الشبكات العامة، أو إذا تم استخدام نفق قسري، يتم إرسالها عبر بوابة Azure VPN.

كيف أستكشف أخطاء اتصال RDP بجهاز ظاهري وإصلاحها

إذا كنت تواجه مشكلة في الاتصال بجهاز افتراضي عبر اتصال VPN، فتحقق مما يلي:

• تحقق من نجاح اتصال VPN الخاص بك.
• تحقق من الاتصال بعنوان بروتوكول الإنترنت الخاص بالجهاز الافتراضي.
• إذا كان يمكنك الاتصال بأي جهاز افتراضي باستخدام عنوان بروتوكول الإنترنت الخاص بدون اسم الكمبيوتر، فتحقق من تهيئة نظام اسماء النطاقات بشكل صحيح. للحصول على مزيد من المعلومات حول كيفية عمل تحليل الاسم لـ VMs، راجع⁧⁧⁩⁩تحليل اسم VMs.

عند الاتصال عبر نقطة إلى موقع، تحقق من العناصر الإضافية التالية:

• استخدم «ipconfig» للتحقق من عنوان IPv4 المعين لمحول Ethernet على الكمبيوتر الذي تتصل منه. إذا كان عنوان IP ضمن نطاق عناوين VNet الذي تتصل به، أو ضمن نطاق عناوين VPNClientAddressPool، فإنه يشار إلى ذلك باسم مساحة عنوان متداخلة. عندما تتداخل مساحة العنوان الخاصة بك بهذه الطريقة، لا تصل نسبة استخدام الشبكة إلى Azure، بل تبقى على الشبكة المحلية.
• تحقق من إنشاء حزمة تكوين عميل VPN بعد تحديد عناوين IP لخادم DNS لـ VNet. إذا قمت بتحديث عناوين IP لخادم DNS، فقم بإنشاء حزمة تكوين عميل VPN جديدة وتثبيتها.

للمزيد من المعلومات حول اتصالات بروتوكول سطح المكتب البعيد، راجع⁧⁩اكتشاف أخطاء اتصال سطح المكتب البعيد بأي جهاز ظاهري⁧⁩.

الأسئلة الشائعة حول الشبكة الظاهرية

يمكنك عرض معلومات الشبكة الظاهرية الإضافية في ⁧⁩الأسئلة المتداولة حول الشبكة الظاهرية⁧⁩.

الخطوات التالية

• لمزيد من التفاصيل حول بوابات VPN، راجع ⁧⁩نبذة عن بوابة VPN⁧⁩.
• لمزيد من المعلومات حول إعدادات تكوين بوابة VPN، راجع ⁧⁩نبذة عن إعدادات تكوين بوابة VPN⁧⁩.

⁧⁩«OpenVPN» هي علامة تجارية لشركة OpenVPN Inc⁧⁩.