Nejčastější dotazy k branám VPNVPN Gateway FAQ

Připojování k virtuálním sítímConnecting to virtual networks

Je možné propojit virtuální sítě v různých oblastech Azure?Can I connect virtual networks in different Azure regions?

Ano.Yes. Žádné omezení oblastí se ve skutečnosti neuplatňuje.In fact, there is no region constraint. Jedna virtuální síť může být propojena s jinou virtuální sítí ve stejném oblasti nebo v jiné oblasti Azure.One virtual network can connect to another virtual network in the same region, or in a different Azure region.

Je možné propojovat virtuální sítě v rámci různých předplatných?Can I connect virtual networks in different subscriptions?

Ano.Yes.

Je možné připojovat se k více serverům z jedné virtuální sítě?Can I connect to multiple sites from a single virtual network?

K více serverům se lze připojovat prostřednictvím prostředí Windows PowerShell a rozhraní API REST Azure.You can connect to multiple sites by using Windows PowerShell and the Azure REST APIs. Přečtěte si oddíl Možnosti připojování k více serverům a připojení VNet-to-VNet v nejčastějších dotazech.See the Multi-Site and VNet-to-VNet Connectivity FAQ section.

Je k dispozici další náklady pro nastavení brány sítě VPN jako aktivní aktivní?Is there an additional cost for setting up a VPN gateway as active-active?

Ne.No.

Jaké jsou možnosti připojení mezi různými místy?What are my cross-premises connection options?

Podporovány jsou následující možnosti připojení mezi různými místy:The following cross-premises connections are supported:

  • Site-to-Site – připojení VPN prostřednictvím protokolu IPsec (IKE v1 a IKE v2).Site-to-Site – VPN connection over IPsec (IKE v1 and IKE v2). Tento typ připojení vyžaduje zařízení VPN nebo službu RRAS.This type of connection requires a VPN device or RRAS. Další informace naleznete v tématu Site-to-Site.For more information, see Site-to-Site.
  • Point-to-Site – připojení VPN prostřednictvím protokolu SSTP (Secure Socket Tunneling Protocol) nebo IKE v2.Point-to-Site – VPN connection over SSTP (Secure Socket Tunneling Protocol) or IKE v2. Toto připojení nevyžaduje zařízení VPN.This connection does not require a VPN device. Další informace naleznete v tématu Point-to-Site.For more information, see Point-to-Site.
  • VNet-to-VNet – tento typ připojení je stejný jako konfigurace Site-to-Site.VNet-to-VNet – This type of connection is the same as a Site-to-Site configuration. VNet-to-VNet je připojení k síti VPN prostřednictvím protokolu IPsec (IKE v1 a IKE v2).VNet to VNet is a VPN connection over IPsec (IKE v1 and IKE v2). Nevyžaduje zařízení VPN.It does not require a VPN device. Další informace naleznete v tématu VNet-to-VNet.For more information, see VNet-to-VNet.
  • Multi-Site – varianta konfigurace Site-to-Site, která umožňuje propojit několik místních serverů do virtuální sítě.Multi-Site – This is a variation of a Site-to-Site configuration that allows you to connect multiple on-premises sites to a virtual network. Další informace najdete v tématu Multi-Site.For more information, see Multi-Site.
  • ExpressRoute – ExpressRoute je soukromého připojení k Azure z vaší sítě WAN, nikoli prostřednictvím připojení VPN přes veřejný Internet.ExpressRoute – ExpressRoute is a private connection to Azure from your WAN, not a VPN connection over the public Internet. Další informace najdete v tématech Technický přehled ExpressRoute a ExpressRoute – nejčastější dotazy.For more information, see the ExpressRoute Technical Overview and the ExpressRoute FAQ.

Další informace o připojeních VPN Gateway najdete v tématu Informace o službě VPN Gateway.For more information about VPN gateway connections, see About VPN Gateway.

Jaký je rozdíl mezi připojením Site-to-Site a Point-to-Site?What is the difference between a Site-to-Site connection and Point-to-Site?

Konfigurace Site-to-Site (tunel VPN IPsec/IKE) jsou mezi místním umístěním a Azure.Site-to-Site (IPsec/IKE VPN tunnel) configurations are between your on-premises location and Azure. To znamená, že se můžete z kteréhokoli počítače ve vaší lokalitě připojit k libovolnému virtuálnímu počítači nebo instanci role ve vaší virtuální síti v závislosti na zvoleném způsobu konfigurace směrování a oprávněních.This means that you can connect from any of your computers located on your premises to any virtual machine or role instance within your virtual network, depending on how you choose to configure routing and permissions. Představuje skvělou možnost připojení mezi různými místy, která je vždy k dispozici a je velmi vhodná pro hybridní konfigurace.It's a great option for an always-available cross-premises connection and is well-suited for hybrid configurations. Tento typ připojení využívá zařízení sítě VPN s protokolem IPsec (hardwarové nebo softwarové zařízení), které musí být nasazeno v hraniční části sítě.This type of connection relies on an IPsec VPN appliance (hardware device or soft appliance), which must be deployed at the edge of your network. Chcete-li vytvořit tento typ připojení, musí mít adresu IPv4 přístupnou zvenčí.To create this type of connection, you must have an externally facing IPv4 address.

Konfigurace Point-to-Site (VPN přes SSTP) umožňují připojit se z jednoho počítače odkudkoli kamkoli do vaší virtuální sítě.Point-to-Site (VPN over SSTP) configurations let you connect from a single computer from anywhere to anything located in your virtual network. Využívá integrovaného klienta VPN ve Windows.It uses the Windows in-box VPN client. Jako součást konfigurace Point-to-Site nainstalujete certifikát a balíček konfigurace klienta VPN, který obsahuje nastavení umožňující vašemu počítači připojit se ke kterémukoli virtuálnímu počítači nebo instanci role v rámci virtuální sítě.As part of the Point-to-Site configuration, you install a certificate and a VPN client configuration package, which contains the settings that allow your computer to connect to any virtual machine or role instance within the virtual network. Toto řešení je skvělé, pokud se chcete připojit k virtuální síti, ale nenacházíte se na příslušném místě.It's great when you want to connect to a virtual network, but aren't located on-premises. Je také vhodné, pokud nemáte přístup k hardwaru sítě VPN nebo adrese IPv4 přístupné zvenčí; obě tyto položky jsou pro připojení Site-to-Site vyžadovány.It's also a good option when you don't have access to VPN hardware or an externally facing IPv4 address, both of which are required for a Site-to-Site connection.

Virtuální síť můžete nakonfigurovat tak, aby souběžně používala připojení Site-to-Site i Point-to-Site, pokud pro bránu vytvoříte připojení Site-to-Site s použitím typu sítě VPN založeného na směrování.You can configure your virtual network to use both Site-to-Site and Point-to-Site concurrently, as long as you create your Site-to-Site connection using a route-based VPN type for your gateway. Typy sítí VPN založené na směrování se v modelu nasazení Classic nazývají dynamické brány.Route-based VPN types are called dynamic gateways in the classic deployment model.

Brány virtuálních sítíVirtual network gateways

Je brána sítě VPN bránou virtuální sítě?Is a VPN gateway a virtual network gateway?

Brána sítě VPN je typem brány virtuální sítě.A VPN gateway is a type of virtual network gateway. Brána sítě VPN odesílá šifrovaný provoz mezi virtuální sítí a místním umístěním přes veřejné připojení.A VPN gateway sends encrypted traffic between your virtual network and your on-premises location across a public connection. Bránu sítě VPN můžete použít také k odesílání provozu mezi virtuálními sítěmi.You can also use a VPN gateway to send traffic between virtual networks. Při vytváření brány sítě VPN použijete parametr -GatewayType s hodnotou 'Vpn'.When you create a VPN gateway, you use the -GatewayType value 'Vpn'. Další informace najdete v tématu Informace o nastavení konfigurace služby VPN Gateway.For more information, see About VPN Gateway configuration settings.

Co je to brána založená na zásadách (se statickým směrováním)?What is a policy-based (static-routing) gateway?

Brány založené na zásadách implementují sítě VPN založené na zásadách.Policy-based gateways implement policy-based VPNs. Sítě VPN založené na zásadách šifrují pakety a směrují je do tunelových propojení IPsec na základě kombinací předpon adres mezi vaší místní sítí a virtuální sítí VNet Azure.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the combinations of address prefixes between your on-premises network and the Azure VNet. Zásada (nebo selektor provozu) se většinou v konfiguraci sítě VPN definuje jako přístupový seznam.The policy (or Traffic Selector) is usually defined as an access list in the VPN configuration.

Co je to brána založená na směrování (s dynamickým směrováním)?What is a route-based (dynamic-routing) gateway?

Brány založené na směrování implementují sítě VPN založené na směrování.Route-based gateways implement the route-based VPNs. Sítě VPN založené na směrování používají ke směrování paketů do příslušných rozhraní tunelových propojení „trasy“ v tabulce předávání IP nebo směrovací tabulce IP.Route-based VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Zásady nebo selektor provozu pro sítě VPN založené na směrování používají konfiguraci typu any-to-any (se zástupnými znaky).The policy or traffic selector for route-based VPNs are configured as any-to-any (or wild cards).

Můžu aktualizovat bránu VPN založenou na zásadách tak, aby byla založená na směrování?Can I update my Policy-based VPN gateway to Route-based?

Ne.No. Typ brány virtuální sítě Azure se nedá změnit z brány založené na zásadách na bránu založenou na směrování ani naopak. An Azure Vnet gateway type cannot be changed from policy-based to route-based or the other way. Brána se musí odstranit a znovu vytvořit a tento proces trvá přibližně 60 minut.The gateway must be deleted and recreated, a process taking around 60 minutes. IP adresa brány ani předsdílený klíč (PSK) se nezachovají.The IP address of the gateway will not be preserved nor will the Pre-Shared Key (PSK).

  1. Odstraňte všechna připojení přidružená k bráně, která se má odstranit.Delete any connections associated with the gateway to be deleted.
  2. Odstraňte bránu:Delete the gateway:
  3. Azure PortalAzure portal
  4. Azure PowerShellAzure PowerShell
  5. Azure PowerShell – ClassicAzure Powershell - classic
  6. Vytvoření nové brány požadovaného typu a dokončení nastavení sítě VPNCreate a new gateway of desired type and complete the VPN setup

Potřebuji GatewaySubnet?Do I need a 'GatewaySubnet'?

Ano.Yes. Podsíť brány obsahuje IP adresy, které používá služba brány virtuální sítě.The gateway subnet contains the IP addresses that the virtual network gateway services use. Pro virtuální síť je třeba vytvořit podsíť brány, aby bylo možné konfigurovat bránu virtuální sítě.You need to create a gateway subnet for your VNet in order to configure a virtual network gateway. Pro správné fungování všech podsítí brány je nutné, aby měly název GatewaySubnet.All gateway subnets must be named 'GatewaySubnet' to work properly. Nenastavujte pro podsíť brány jiný název.Don't name your gateway subnet something else. A v podsíti brány nenasazujte virtuální počítače ani žádná jiná zařízení.And don't deploy VMs or anything else to the gateway subnet.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. IP adresy v podsíti brány jsou přidělené službě brány.The IP addresses in the gateway subnet are allocated to the gateway service. Některé konfigurace vyžadují přidělení více IP adres službám brány než jiné.Some configurations require more IP addresses to be allocated to the gateway services than do others. Ujistěte se, že podsíť brány obsahuje dostatek IP adres, aby se mohla přizpůsobit budoucímu růstu a případným dalším konfiguracím nových připojení.You want to make sure your gateway subnet contains enough IP addresses to accommodate future growth and possible additional new connection configurations. Přestože je tedy možné vytvořit tak malou podsíť brány, jako je /29, doporučujeme vytvořit podsíť brány o velikosti /27 nebo větší (/27, /26, /25 atd.).So, while you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26, /25 etc.). Podívejte se na požadavky pro konfiguraci, kterou chcete vytvořit, a ověřte, že vaše podsíť brány bude tyto požadavky splňovat.Look at the requirements for the configuration that you want to create and verify that the gateway subnet you have will meet those requirements.

Je možné nasazovat do podsítě brány virtuální počítače nebo instance role?Can I deploy Virtual Machines or role instances to my gateway subnet?

Ne.No.

Je možné získat IP adresu brány VPN předtím, než se vytvoří?Can I get my VPN gateway IP address before I create it?

Ne.No. Nejprve je třeba vytvořit bránu, aby se získala IP adresa.You have to create your gateway first to get the IP address. Pokud bránu VPN odstraníte a znovu vytvoříte, IP adresa se změní.The IP address changes if you delete and recreate your VPN gateway.

Je možné vyžádat si pro bránu VPN statickou veřejnou IP adresu?Can I request a Static Public IP address for my VPN gateway?

Ne.No. Podporuje se pouze dynamické přiřazení IP adresy.Only Dynamic IP address assignment is supported. To ale neznamená, že se IP adresa po přiřazení k vaší bráně VPN bude měnit.However, this does not mean that the IP address changes after it has been assigned to your VPN gateway. Změna IP adresy brány VPN proběhne pouze v případě odstranění a nového vytvoření brány.The only time the VPN gateway IP address changes is when the gateway is deleted and re-created. V případě změny velikosti, resetování nebo jiné operace údržby/upgradu vaší brány VPN se veřejná IP adresa brány VPN nezmění.The VPN gateway public IP address doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

Jak se tunelové připojení sítě VPN ověřuje?How does my VPN tunnel get authenticated?

Síť VPN Azure používá ověřování PSK (předsdílený klíč).Azure VPN uses PSK (Pre-Shared Key) authentication. Při vytváření tunelového propojení sítě VPN se vygeneruje předsdílený klíč (PSK).We generate a pre-shared key (PSK) when we create the VPN tunnel. Automaticky generovaný předsdílený klíč můžete nahradit vlastním prostřednictvím rutiny prostředí PowerShell nebo rozhraní API REST pro nastavení předsdíleného klíče.You can change the auto-generated PSK to your own with the Set Pre-Shared Key PowerShell cmdlet or REST API.

Je možné použít rozhraní API pro nastavení předsdíleného klíče ke konfiguraci sítě VPN s bránou založenou na zásadách (se statickým směrováním)?Can I use the Set Pre-Shared Key API to configure my policy-based (static routing) gateway VPN?

Ano, rozhraní API i rutinu prostředí PowerShell pro nastavení předsdíleného klíče je možné použít ke konfiguraci sítí VPN Azure založených na zásadách (se statickým směrováním) i sítí VPN Azure založených na směrování (s dynamickým směrováním).Yes, the Set Pre-Shared Key API and PowerShell cmdlet can be used to configure both Azure policy-based (static) VPNs and route-based (dynamic) routing VPNs.

Je možné použít jiné možnosti ověřování?Can I use other authentication options?

Ověřování je omezeno na použití předsdílených klíčů (PSK).We are limited to using pre-shared keys (PSK) for authentication.

Jak určit provoz, který má procházet bránou VPN?How do I specify which traffic goes through the VPN gateway?

Model nasazení Resource ManagerResource Manager deployment model

  • PowerShell: K určení provozu na místní síťové bráně použijte parametr AddressPrefix.PowerShell: use "AddressPrefix" to specify traffic for the local network gateway.
  • Azure Portal: Přejděte k položce Brána místní sítě > Konfigurace > Adresní prostor.Azure portal: navigate to the Local network gateway > Configuration > Address space.

Model nasazení ClassicClassic deployment model

  • Azure Portal: Přejděte k položce klasická virtuální síť > připojení k síti VPN > připojení VPN typu Site-to-Site > Název místní lokality > Místní lokalita > Klientský adresní prostor.Azure portal: navigate to the classic virtual network > VPN connections > Site-to-site VPN connections > Local site name > Local site > Client address space.

Je možné konfigurovat vynucené tunelování?Can I configure Force Tunneling?

Ano.Yes. Informace najdete v tématu Konfigurace vynuceného tunelování.See Configure force tunneling.

Je možné nastavit v Azure vlastní server VPN a používat ho pro připojování k místní síti?Can I set up my own VPN server in Azure and use it to connect to my on-premises network?

Ano, je možné nasazovat v Azure vlastní servery nebo brány VPN buď z webu Azure Marketplace, nebo vytvořené jako vlastní směrovače sítě VPN.Yes, you can deploy your own VPN gateways or servers in Azure either from the Azure Marketplace or creating your own VPN routers. Je třeba nakonfigurovat ve virtuální síti trasy definované uživatelem, aby se zajistilo správné směrování provozu mezi místními sítěmi a podsítěmi virtuálních sítí.You need to configure user-defined routes in your virtual network to ensure traffic is routed properly between your on-premises networks and your virtual network subnets.

Proč jsou některé porty otevřené u Moje brány virtuální sítě?Why are certain ports opened on my virtual network gateway?

Jsou vyžadovány pro komunikaci infrastruktury Azure.They are required for Azure infrastructure communication. Jsou chráněny (uzamknuty) s použitím certifikátů Azure.They are protected (locked down) by Azure certificates. Bez správných certifikátů nemohou externí entity (včetně zákazníků těchto bran) žádným způsobem ovlivnit činnost těchto koncových bodů.Without proper certificates, external entities, including the customers of those gateways, will not be able to cause any effect on those endpoints.

Bránu virtuální sítě je v podstatě zařízení s více adresami pomocí jedné síťové karty proniknutí do privátní síti zákazníka a jednou síťovou KARTOU směřující veřejné síti.A virtual network gateway is fundamentally a multi-homed device with one NIC tapping into the customer private network, and one NIC facing the public network. Entity infrastruktury Azure nemohou kvůli shodě procházet do privátních sítí zákazníků, takže je pro komunikaci infrastruktury třeba využívat veřejné koncové body.Azure infrastructure entities cannot tap into customer private networks for compliance reasons, so they need to utilize public endpoints for infrastructure communication. Veřejné koncové body jsou pravidelně kontrolovány auditem zabezpečení Azure.The public endpoints are periodically scanned by Azure security audit.

Další informace o typech brány, požadavcích a propustnostiMore information about gateway types, requirements, and throughput

Další informace najdete v tématu Informace o nastavení konfigurace služby VPN Gateway.For more information, see About VPN Gateway configuration settings.

Připojení typu Site-to-Site a zařízení VPNSite-to-Site connections and VPN devices

Co je třeba zvážit při výběru zařízení VPN?What should I consider when selecting a VPN device?

Ve spolupráci s dodavateli zařízení jsme ověřili sadu standardních zařízení VPN pro připojení Site-to-Site.We have validated a set of standard Site-to-Site VPN devices in partnership with device vendors. Seznam známých kompatibilních zařízení VPN, příslušné pokyny ke konfiguraci nebo ukázky a specifikace zařízení najdete v článku s popisem zařízení VPN.A list of known compatible VPN devices, their corresponding configuration instructions or samples, and device specs can be found in the About VPN devices article. Všechna zařízení v řadách zařízení uvedená jako známá kompatibilní by měla spolupracovat s virtuální sítí.All devices in the device families listed as known compatible should work with Virtual Network. Konfiguraci zařízení VPN vám usnadní ukázka konfigurace zařízení nebo odkaz, který odpovídá příslušné řadě zařízení.To help configure your VPN device, refer to the device configuration sample or link that corresponds to appropriate device family.

Kde najdu nastavení konfigurace zařízení VPN?Where can I find VPN device configuration settings?

Stažení konfiguračních skriptů zařízení VPN:To download VPN device configuration scripts:

V závislosti na vašem zařízení VPN možná budete moct stáhnut konfigurační skript zařízení VPN.Depending on the VPN device that you have, you may be able to download a VPN device configuration script. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.For more information, see Download VPN device configuration scripts.

Na následujících odkazech najdete další informace o konfiguraci:See the following links for additional configuration information:

Jak upravím ukázky konfigurace zařízení VPN?How do I edit VPN device configuration samples?

Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.For information about editing device configuration samples, see Editing samples.

Kde najdu parametry protokolu IPsec a IKE?Where do I find IPsec and IKE parameters?

Parametry protokolu IPsec/IKE najdete v popisu parametrů.For IPsec/IKE parameters, see Parameters.

Proč se tunelové připojení sítě VPN založené na zásadách při nečinnosti deaktivuje?Why does my policy-based VPN tunnel go down when traffic is idle?

Toto je očekávané chování u bran VPN pracujících na základě zásad (označují se také výrazem statické směrování).This is expected behavior for policy-based (also known as static routing) VPN gateways. Když je přenos přes tunelové propojení nečinný déle než 5 minut, tunelové propojení se deaktivuje.When the traffic over the tunnel is idle for more than 5 minutes, the tunnel will be torn down. Když se provoz v některém směru obnoví, tunelové propojení se ihned aktivuje znovu.When traffic starts flowing in either direction, the tunnel will be reestablished immediately.

Je možné používat pro připojení k Azure softwarové sítě VPN?Can I use software VPNs to connect to Azure?

Konfigurace připojení Site-to-Site pro více míst je podporována u serverů RRAS (Routing and Remote Access) Windows Server 2012.We support Windows Server 2012 Routing and Remote Access (RRAS) servers for Site-to-Site cross-premises configuration.

Jiná softwarová řešení sítě VPN by měla s naší bránou spolupracovat, pokud odpovídají implementacím protokolu IPsec podle průmyslových standardů.Other software VPN solutions should work with our gateway as long as they conform to industry standard IPsec implementations. Ohledně pokynů ke konfiguraci a podporu se obraťte na výrobce příslušného softwaru.Contact the vendor of the software for configuration and support instructions.

Point-to-Site s využitím nativního ověřování certifikátů AzurePoint-to-Site using native Azure certificate authentication

Tato část se týká modelu nasazení Resource Manager.This section applies to the Resource Manager deployment model.

Kolik koncových bodů klienta VPN je možné mít v konfiguraci připojení Point-to-Site?How many VPN client endpoints can I have in my Point-to-Site configuration?

To závisí na SKU brány.It depends on the gateway SKU. Další informace o počtu připojení podporovány, naleznete v tématu skladové položky brány.For more information on the number of connections supported, see Gateway SKUs.

Které klientské operační systémy je možné používat s připojeními typu Point-to-Site?What client operating systems can I use with Point-to-Site?

Podporovány jsou následující operační systémy:The following client operating systems are supported:

  • Windows 7 (32bitové a 64bitové verze)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (pouze 64bitové verze)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32bitové a 64bitové verze)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (pouze 64bitové verze)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (pouze 64bitové verze)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (pouze 64bitové verze)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Verze Mac OS X 10.11 nebo novějšíMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2.VPN Gateway will support only TLS 1.2. Kvůli zachování podpory najdete v článku aktualizace povolení podpory pro TLS1.2.To maintain support, see the updates to enable support for TLS1.2.

Kromě toho tyto starší verze algoritmy se také přestanou používat TLS na 1. červencem 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Jak povolit podporu protokolu TLS 1.2 ve Windows 7 a Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Otevřete příkazový řádek se zvýšenými oprávněními kliknutím pravým tlačítkem na příkazového řádku a vyberete spustit jako správce.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Na příkazovém řádku spusťte následující příkazy:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Nainstalujte následující aktualizace:Install the following updates:

  4. Restartujte počítač.Reboot the computer.

  5. Připojení k síti VPN.Connect to the VPN.

Poznámka

Budete muset nastavit výše uvedené klíče registru, pokud používáte starší verzi Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Je možné procházet proxy servery a brány firewall s využitím schopnosti Point-to-Site?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure podporuje tři typy možností Point-to-site VPN:Azure supports three types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP je Microsoft proprietární založený na protokolu SSL řešení, které umožňuje pronikat branami firewall, protože většina bran firewall otevřít odchozí port TCP, který používá protokol SSL 443.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN je založený na protokolu SSL řešení, které umožňuje pronikat branami firewall, protože většina bran firewall otevřít odchozí port TCP, který používá protokol SSL 443.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. Je IKEv2 VPN řešení IPsec VPN založené na standardech, které již používá Odchozí porty UDP 500 a 4500 a protokol IP.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Brány firewall tyto porty neotvírají vždycky, takže je možné, že IKEv2 VPN nebude moct procházet servery proxy a branami firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení Point-to-Site, připojí se síť VPN automaticky znovu?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Ve výchozím nastavení nebude klientský počítač vytvářet připojení k síti VPN automaticky znovu.By default, the client computer will not reestablish the VPN connection automatically.

Podporuje připojení Point-to-Site automatické připojení a DDNS u klientů sítě VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Automatické opětné připojení a DDNS se u sítí VPN s připojením Point-to-Site aktuálně nepodporují.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Je možné současně používat konfigurace Site-to-Site a Point-to-Site pro stejnou virtuální síť?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Ano.Yes. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pro model nasazení Classic je potřebná dynamická brána.For the classic deployment model, you need a dynamic gateway. Připojení Point-to-Site se pro brány VPN se statickým směrováním ani pro brány VPN PolicyBased nepodporuje.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Je možné nakonfigurovat klienta Point-to-Site tak, aby se připojoval k několik virtuálním sítím současně?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Ne.No. Klient typu Point-to-Site se může připojit jenom k prostředkům ve virtuální síti, ve které je umístěná brána virtuální sítě.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

Jakou propustnost je možné očekávat u připojení typu Site-to-Site nebo Point-to-Site?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN.IPsec and SSTP are crypto-heavy VPN protocols. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem.Throughput is also limited by the latency and bandwidth between your premises and the Internet. U služby VPN Gateway s připojeními Point-to-Site VPN jenom typu IKEv2 bude celková propustnost, kterou můžete očekávat, záviset na skladové jednotce Gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.For more information on throughput, see Gateway SKUs.

Je možné pro připojení Point-to-Site použít libovolného softwarového klienta sítě VPN, pokud podporuje protokol SSTP a/nebo IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Ne.No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Můžete však použít OpenVPN klienta na všech platformách pro připojení přes protokol OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Podrobnosti najdete v seznamu podporovaných klientských operačních systémů.Refer to the list of supported client operating systems.

Podporuje Azure IKEv2 VPN s Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Pokud ale chcete používat IKEv2, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru v místním prostředí.However, in order to use IKEv2, you must install updates and set a registry key value locally. Verze operačního systému starší než Windows 10 nejsou podporovány a mohou používat pouze SSTP nebo OpenVPN® protokol.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Nainstalujte aktualizaci.Install the update.

    Verze operačního systémuOS version DatumDate Číslo/odkazNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 verze 1607Windows 10 Version 1607
    17. ledna 2018January 17, 2018 KB4057142KB4057142
    Windows 10 verze 1703Windows 10 Version 1703 17. ledna 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Version 1709Windows 10 Version 1709 22. března 2018March 22, 2018 KB4089848KB4089848
  2. Nastavte hodnotu klíče registru.Set the registry key value. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Když nakonfigurujete SSTP a IKEv2 ve smíšeném prostředí (které se skládá ze zařízení se systémy Windows a Mac), klient VPN systému Windows vždycky nejdřív zkusí využít tunel IKEv2, ale pokud připojení IKEv2 není úspěšné, vrátí se k SSTP.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.MacOSX will only connect via IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Pro P2S VPN Azure podporuje Windows, Mac a Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Už mám nasazenou Azure VPN Gateway.I already have an Azure VPN Gateway deployed. Můžu na ní povolit RADIUS, případně IKEv2 VPN?Can I enable RADIUS and/or IKEv2 VPN on it?

Ano, tyto funkce můžete na už nasazených bránách povolit pomocí PowerShellu nebo webu Azure Portal za předpokladu, že použitá jednotka SKU brány podporuje RADIUS a/nebo IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Například SKU VPN Gateway Basic nepodporuje RADIUS ani IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Můžu použít vlastní interní kořenovou certifikační autoritu PKI ke generování certifikátů pro připojení Point-to-site?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Ano.Yes. Dříve bylo možné používat pouze kořenové certifikáty podepsané svým držitelem.Previously, only self-signed root certificates could be used. I nyní je možné nahrát 20 kořenových certifikátů.You can still upload 20 root certificates.

Můžu použít certifikáty z Azure Key Vault?Can I use certificates from Azure Key Vault?

Ne.No.

Jaké nástroje se dají použít k vytvoření certifikátů?What tools can I use to create certificates?

Můžete využít vaše podnikové řešení infrastruktury veřejných klíčů (vaše interní PKI), Azure PowerShell, MakeCert a OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Existují nějaké pokyny pro parametry a nastavení certifikátů?Are there instructions for certificate settings and parameters?

  • Interní řešení PKI/podnik PKI: Přečtěte si postup pro generování certifikátů.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: Postup najdete v článku o Azure PowerShell .Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: Postup najdete v článku Makecert .MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • Při exportu certifikátů nezapomeňte převést kořenový certifikát na Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Pro klientský certifikát:For the client certificate:

      • Při vytváření privátního klíče zadejte délku 4096.When creating the private key, specify the length as 4096.
      • Při vytváření certifikátu jako parametr -extensions zadejte usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Point-to-Site s využitím ověřování pomocí protokolu RADIUSPoint-to-Site using RADIUS authentication

Tato část se týká modelu nasazení Resource Manager.This section applies to the Resource Manager deployment model.

Kolik koncových bodů klienta VPN je možné mít v konfiguraci připojení Point-to-Site?How many VPN client endpoints can I have in my Point-to-Site configuration?

To závisí na SKU brány.It depends on the gateway SKU. Další informace o počtu připojení podporovány, naleznete v tématu skladové položky brány.For more information on the number of connections supported, see Gateway SKUs.

Které klientské operační systémy je možné používat s připojeními typu Point-to-Site?What client operating systems can I use with Point-to-Site?

Podporovány jsou následující operační systémy:The following client operating systems are supported:

  • Windows 7 (32bitové a 64bitové verze)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (pouze 64bitové verze)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32bitové a 64bitové verze)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (pouze 64bitové verze)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (pouze 64bitové verze)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (pouze 64bitové verze)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Verze Mac OS X 10.11 nebo novějšíMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2.VPN Gateway will support only TLS 1.2. Kvůli zachování podpory najdete v článku aktualizace povolení podpory pro TLS1.2.To maintain support, see the updates to enable support for TLS1.2.

Kromě toho tyto starší verze algoritmy se také přestanou používat TLS na 1. červencem 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Jak povolit podporu protokolu TLS 1.2 ve Windows 7 a Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Otevřete příkazový řádek se zvýšenými oprávněními kliknutím pravým tlačítkem na příkazového řádku a vyberete spustit jako správce.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Na příkazovém řádku spusťte následující příkazy:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Nainstalujte následující aktualizace:Install the following updates:

  4. Restartujte počítač.Reboot the computer.

  5. Připojení k síti VPN.Connect to the VPN.

Poznámka

Budete muset nastavit výše uvedené klíče registru, pokud používáte starší verzi Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Je možné procházet proxy servery a brány firewall s využitím schopnosti Point-to-Site?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure podporuje tři typy možností Point-to-site VPN:Azure supports three types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP je Microsoft proprietární založený na protokolu SSL řešení, které umožňuje pronikat branami firewall, protože většina bran firewall otevřít odchozí port TCP, který používá protokol SSL 443.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN je založený na protokolu SSL řešení, které umožňuje pronikat branami firewall, protože většina bran firewall otevřít odchozí port TCP, který používá protokol SSL 443.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. Je IKEv2 VPN řešení IPsec VPN založené na standardech, které již používá Odchozí porty UDP 500 a 4500 a protokol IP.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Brány firewall tyto porty neotvírají vždycky, takže je možné, že IKEv2 VPN nebude moct procházet servery proxy a branami firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení Point-to-Site, připojí se síť VPN automaticky znovu?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Ve výchozím nastavení nebude klientský počítač vytvářet připojení k síti VPN automaticky znovu.By default, the client computer will not reestablish the VPN connection automatically.

Podporuje připojení Point-to-Site automatické připojení a DDNS u klientů sítě VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Automatické opětné připojení a DDNS se u sítí VPN s připojením Point-to-Site aktuálně nepodporují.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Je možné současně používat konfigurace Site-to-Site a Point-to-Site pro stejnou virtuální síť?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Ano.Yes. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pro model nasazení Classic je potřebná dynamická brána.For the classic deployment model, you need a dynamic gateway. Připojení Point-to-Site se pro brány VPN se statickým směrováním ani pro brány VPN PolicyBased nepodporuje.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Je možné nakonfigurovat klienta Point-to-Site tak, aby se připojoval k několik virtuálním sítím současně?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Ne.No. Klient typu Point-to-Site se může připojit jenom k prostředkům ve virtuální síti, ve které je umístěná brána virtuální sítě.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

Jakou propustnost je možné očekávat u připojení typu Site-to-Site nebo Point-to-Site?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN.IPsec and SSTP are crypto-heavy VPN protocols. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem.Throughput is also limited by the latency and bandwidth between your premises and the Internet. U služby VPN Gateway s připojeními Point-to-Site VPN jenom typu IKEv2 bude celková propustnost, kterou můžete očekávat, záviset na skladové jednotce Gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.For more information on throughput, see Gateway SKUs.

Je možné pro připojení Point-to-Site použít libovolného softwarového klienta sítě VPN, pokud podporuje protokol SSTP a/nebo IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Ne.No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Můžete však použít OpenVPN klienta na všech platformách pro připojení přes protokol OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Podrobnosti najdete v seznamu podporovaných klientských operačních systémů.Refer to the list of supported client operating systems.

Podporuje Azure IKEv2 VPN s Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Pokud ale chcete používat IKEv2, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru v místním prostředí.However, in order to use IKEv2, you must install updates and set a registry key value locally. Verze operačního systému starší než Windows 10 nejsou podporovány a mohou používat pouze SSTP nebo OpenVPN® protokol.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Nainstalujte aktualizaci.Install the update.

    Verze operačního systémuOS version DatumDate Číslo/odkazNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 verze 1607Windows 10 Version 1607
    17. ledna 2018January 17, 2018 KB4057142KB4057142
    Windows 10 verze 1703Windows 10 Version 1703 17. ledna 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Version 1709Windows 10 Version 1709 22. března 2018March 22, 2018 KB4089848KB4089848
  2. Nastavte hodnotu klíče registru.Set the registry key value. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Když nakonfigurujete SSTP a IKEv2 ve smíšeném prostředí (které se skládá ze zařízení se systémy Windows a Mac), klient VPN systému Windows vždycky nejdřív zkusí využít tunel IKEv2, ale pokud připojení IKEv2 není úspěšné, vrátí se k SSTP.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.MacOSX will only connect via IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Pro P2S VPN Azure podporuje Windows, Mac a Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Už mám nasazenou Azure VPN Gateway.I already have an Azure VPN Gateway deployed. Můžu na ní povolit RADIUS, případně IKEv2 VPN?Can I enable RADIUS and/or IKEv2 VPN on it?

Ano, tyto funkce můžete na už nasazených bránách povolit pomocí PowerShellu nebo webu Azure Portal za předpokladu, že použitá jednotka SKU brány podporuje RADIUS a/nebo IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Například SKU VPN Gateway Basic nepodporuje RADIUS ani IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Podporuje se ověřování pomocí protokolu RADIUS ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

Ověřování pomocí protokolu RADIUS se podporuje pro SKU VpnGw1, VpnGw2 a VpnGw3.RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. Pokud používáte starší verze SKU, podporuje se ověřování pomocí protokolu RADIUS u SKU pro standardní a vysoký výkon.If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Nepodporuje se u skladové jednotky SKU brány úrovně Basic.It is not supported on the Basic Gateway SKU. 

Podporuje se ověřování pomocí protokolu RADIUS u klasického modelu nasazení?Is RADIUS authentication supported for the classic deployment model?

Ne.No. Ověřování pomocí protokolu RADIUS se u klasického modelu nasazení nepodporuje.RADIUS authentication is not supported for the classic deployment model.

Podporují se servery RADIUS třetích stran?Are 3rd-party RADIUS servers supported?

Ano, servery RADIUS třetích stran se podporují.Yes, 3rd-party RADIUS servers are supported.

Jaké jsou požadavky na připojení, aby se zajistilo, že se brána Azure může spojit s místním serverem RADIUS?What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

Je nutné připojení VPN typu Site-to-Site k místní lokalitě, a to se správně nakonfigurovanými trasami.A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

Je možné směrovat provoz do místního serveru RADIUS server (ze služby Azure VPN Gateway) přes připojení ExpressRoute?Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

Ne.No. Směrovat je možné jenom přes připojení typu Site-to-Site.It can only be routed over a Site-to-Site connection.

Došlo ke změně počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS?Is there a change in the number of SSTP connections supported with RADIUS authentication? Jaký je maximální podporovaný počet připojení SSTP a IKEv2?What is the maximum number of SSTP and IKEv2 connections supported?

K žádné změně maximálního počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS nedošlo.There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. Jich je 128 pro SSTP, ale závisí na SKU brány pro IKEv2.It remains 128 for SSTP, but depends on the gateway SKU for IKEv2. Další informace o počtu připojení podporovány, naleznete v tématu skladové položky brány. For more information on the number of connections supported, see Gateway SKUs.

Jaký je rozdíl mezi ověřováním certifikátů pomocí protokolu RADIUS a pomocí nativní ověřování certifikátů Azure (nahráním důvěryhodného certifikátu do Azure).What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

Při ověřování certifikátů pomocí protokolu RADIUS se žádost o ověření předá serveru RADIUS, který zpracuje vlastní ověření certifikátu.In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. Tato možnost je užitečná, pokud chcete využít integraci s infrastrukturou ověřování certifikátů, kterou již prostřednictvím protokolu RADIUS máte.This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

Při použití Azure k ověřování certifikátů provádí ověření certifikátu služba Azure VPN Gateway.When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. Do brány musíte nahrát veřejný klíč certifikátu.You need to upload your certificate public key to the gateway. Můžete také zadat seznam odvolaných certifikátů, kterým by nemělo být povoleno připojení.You can also specify list of revoked certificates that shouldn’t be allowed to connect.

Funguje ověřování RADIUS s IKEv2 i SSTP VPN?Does RADIUS authentication work with both IKEv2, and SSTP VPN?

Ano, ověřování RADIUS je podporované jak pro IKEv2, tak i pro SSTP VPN.Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

Připojení typu VNet-to-VNet a Multi-SiteVNet-to-VNet and Multi-Site connections

Nejčastější dotazy týkající se připojení typu VNet-to-VNet se týká připojení brány VPN.The VNet-to-VNet FAQ applies to VPN gateway connections. Informace o metodě VNet peering najdete v tématu partnerský vztah virtuálních sítí.For information about VNet peering, see Virtual network peering.

Účtuje se v Azure provoz mezi virtuálními sítěmi?Does Azure charge for traffic between VNets?

Provoz VNet-to-VNet v rámci stejné oblasti je bezplatný v obou směrech, při použití připojení brány VPN.VNet-to-VNet traffic within the same region is free for both directions when you use a VPN gateway connection. Výchozí přenos VNet-to-VNet mezi oblastmi se účtuje s rychlosti přenosu dat odchozí sítěmi podle zdrojových oblastí.Cross-region VNet-to-VNet egress traffic is charged with the outbound inter-VNet data transfer rates based on the source regions. Další informace najdete v tématu VPN Gateway stránce s cenami.For more information, see VPN Gateway pricing page. Pokud se připojujete vašich virtuálních sítí pomocí VNet peering místo VPN gateway, přečtěte si téma ceny služby Virtual network.If you're connecting your VNets by using VNet peering instead of a VPN gateway, see Virtual network pricing.

Prochází provoz VNet-to-VNet přes internet?Does VNet-to-VNet traffic travel across the internet?

Ne.No. Provoz VNet-to-VNet se přenáší prostřednictvím páteřní síti Microsoft Azure, nikoli po Internetu.VNet-to-VNet traffic travels across the Microsoft Azure backbone, not the internet.

Můžete vytvořit připojení VNet-to-VNet mezi tenanty Azure Active Directory (AAD)?Can I establish a VNet-to-VNet connection across Azure Active Directory (AAD) tenants?

Ano, připojení VNet-to-VNet pomocí Azure VPN Gateway fungovat tenantů AAD.Yes, VNet-to-VNet connections that use Azure VPN gateways work across AAD tenants.

Je provoz VNet-to-VNet bezpečný?Is VNet-to-VNet traffic secure?

Ano, je chráněný šifrováním protokolu IPsec/IKE.Yes, it's protected by IPsec/IKE encryption.

Je k propojení virtuálních sítí potřeba zařízení VPN?Do I need a VPN device to connect VNets together?

Ne.No. Propojení více virtuálních sítí Azure nevyžaduje žádná zařízení VPN, pokud není vyžadována možnost připojení mezi různými místy.Connecting multiple Azure virtual networks together doesn't require a VPN device unless cross-premises connectivity is required.

Je nutné, aby virtuální sítě byly ve stejné oblasti?Do my VNets need to be in the same region?

Ne.No. Virtuální sítě se můžou nacházet ve stejné oblasti (umístění) Azure nebo v různých oblastech.The virtual networks can be in the same or different Azure regions (locations).

Pokud tyto virtuální sítě nejsou ve stejném předplatném, předplatná musí být přidružená stejnému tenantu Active Directory?If the VNets aren't in the same subscription, do the subscriptions need to be associated with the same Active Directory tenant?

Ne.No.

Je možné použít VNet-to-VNet k propojení virtuálních sítí v samostatných instancích Azure?Can I use VNet-to-VNet to connect virtual networks in separate Azure instances?

Ne.No. VNet-to-VNet podporuje propojování virtuálních sítí v rámci stejné instance Azure.VNet-to-VNet supports connecting virtual networks within the same Azure instance. Například nelze vytvořit připojení mezi globální Azure a čínština/němčina/US government Azure instancí.For example, you can’t create a connection between global Azure and Chinese/German/US government Azure instances. Zvažte použití připojení VPN typu Site-to-Site pro tyto scénáře.Consider using a Site-to-Site VPN connection for these scenarios.

Je možné použít VNet-to-VNet společně s připojením propojujícím víc serverů?Can I use VNet-to-VNet along with multi-site connections?

Ano.Yes. Možnost připojení k virtuální síti je možné využívat současně se sítěmi VPN s více servery.Virtual network connectivity can be used simultaneously with multi-site VPNs.

Ke kolika místních serverům a virtuálním sítím se může připojit jedna virtuální síť?How many on-premises sites and virtual networks can one virtual network connect to?

Zobrazit požadavky na bránu tabulky.See the Gateway requirements table.

Je možné použít VNet-to-VNet k propojení virtuálních počítačů nebo cloudových služeb mimo virtuální síť?Can I use VNet-to-VNet to connect VMs or cloud services outside of a VNet?

Ne.No. Propojení VNet-to-VNet podporují propojování virtuálních sítí.VNet-to-VNet supports connecting virtual networks. Nepodporuje propojování virtuálních počítačů nebo cloudových služeb, které nejsou ve virtuální síti.It doesn't support connecting virtual machines or cloud services that aren't in a virtual network.

Můžete cloudovou službu nebo koncový bod Vyrovnávání zatížení pracovat nad virtuálními sítěmi?Can a cloud service or a load-balancing endpoint span VNets?

Ne.No. Cloudová služba nebo koncový bod Vyrovnávání zatížení nemohou pracovat nad více virtuálními sítěmi, i v případě, že jsou propojeny.A cloud service or a load-balancing endpoint can't span across virtual networks, even if they're connected together.

Můžete použít síť VPN typu PolicyBased pro připojení typu VNet-to-VNet nebo multi-Site?Can I use a PolicyBased VPN type for VNet-to-VNet or Multi-Site connections?

Ne.No. Připojení typu VNet-to-VNet a multi-Site vyžadují brány Azure VPN s RouteBased (dříve nazývané dynamické směrování) typy sítě VPN.VNet-to-VNet and Multi-Site connections require Azure VPN gateways with RouteBased (previously called dynamic routing) VPN types.

Je možné připojit virtuální síť typu RouteBased k jiné virtuální síti typu PolicyBased?Can I connect a VNet with a RouteBased VPN Type to another VNet with a PolicyBased VPN type?

Ne, obě virtuální sítě musí používat VPN založené na směrování (dříve nazývané dynamické směrování).No, both virtual networks MUST use route-based (previously called dynamic routing) VPNs.

Sdílejí tunely VPN šířku pásma?Do VPN tunnels share bandwidth?

Ano.Yes. Všechna tunelová propojení sítí VPN v rámci virtuální sítě sdílejí v bráně VPN Azure šířku pásma, která je k dispozici, a stejnou smlouvu SLA pro dostupnost brány VPN v Azure.All VPN tunnels of the virtual network share the available bandwidth on the Azure VPN gateway and the same VPN gateway uptime SLA in Azure.

Jsou podporovány redundantní tunely?Are redundant tunnels supported?

Redundantní tunely mezi párem virtuálních sítí jsou podporovány, pokud je jedna brána virtuální sítě nakonfigurována jako aktivní-aktivní.Redundant tunnels between a pair of virtual networks are supported when one virtual network gateway is configured as active-active.

Můžou se překrývat adresní prostory pro konfigurace VNet-to-VNet?Can I have overlapping address spaces for VNet-to-VNet configurations?

Ne.No. Není možné, aby se rozsahy IP adres překrývaly.You can't have overlapping IP address ranges.

Můžou se překrývat adresní prostory mezi propojenými virtuálními sítěmi a místními servery?Can there be overlapping address spaces among connected virtual networks and on-premises local sites?

Ne.No. Není možné, aby se rozsahy IP adres překrývaly.You can't have overlapping IP address ranges.

Je možné používat bránu VPN Azure pro provoz mezi místními servery a jinou virtuální sítí?Can I use Azure VPN gateway to transit traffic between my on-premises sites or to another virtual network?

Model nasazení Resource ManagerResource Manager deployment model
Ano.Yes. Další informace najdete v článku o BGP.See the BGP section for more information.

Model nasazení ClassicClassic deployment model
Provoz prostřednictvím brány VPN Azure s použitím modelu nasazení Classic je možný, je však závislý na staticky definovaných adresních prostorech v souboru konfigurace sítě.Transit traffic via Azure VPN gateway is possible using the classic deployment model, but relies on statically defined address spaces in the network configuration file. Protokol BGP není u virtuálních sítí a bran VPN Azure používajících model nasazení Classic dosud podporován.BGP is not yet supported with Azure Virtual Networks and VPN gateways using the classic deployment model. Bez protokolu BGP je ruční definování adresních prostorů pro přenos velmi náchylné k chybám a nedoporučuje se.Without BGP, manually defining transit address spaces is very error prone, and not recommended.

Generuje Azure stejný předsdílený klíč protokolu IPsec/IKE pro všechna připojení k síti VPN pro stejnou virtuální síť?Does Azure generate the same IPsec/IKE pre-shared key for all my VPN connections for the same virtual network?

Ne, Azure ve výchozím nastavení pro různá připojení k síti VPN generuje různé předsdílené klíče.No, Azure by default generates different pre-shared keys for different VPN connections. Prostřednictvím rozhraní API REST nebo rutiny prostředí PowerShell pro nastavení předsdíleného klíče však můžete nastavit požadovanou hodnotu klíče.However, you can use the Set VPN Gateway Key REST API or PowerShell cmdlet to set the key value you prefer. Klíč musí být tisknutelných znaků ASCII.The key MUST be printable ASCII characters.

Je možné dosáhnout větší šířky pásma použitím několika sítí VPN Site-to-Site než v případě jedné virtuální sítě?Do I get more bandwidth with more Site-to-Site VPNs than for a single virtual network?

Ne, všechna tunelové propojení sítí VPN Point-to-Site sdílejí tutéž bránu VPN Azure a dostupnou šířku pásma.No, all VPN tunnels, including Point-to-Site VPNs, share the same Azure VPN gateway and the available bandwidth.

Je možné nakonfigurovat více tunelových propojení mezi virtuální sítí a místního serverem prostřednictvím sítě VPN pro více serverů?Can I configure multiple tunnels between my virtual network and my on-premises site using multi-site VPN?

Ano, ale budete muset nakonfigurovat BGP na obou tunelech ve stejné lokalitě.Yes, but you must configure BGP on both tunnels to the same location.

Je možné používat sítě VPN Point-to-Site v případě virtuální sítě s několika tunelovými propojeními sítě VPN?Can I use Point-to-Site VPNs with my virtual network with multiple VPN tunnels?

Ano, sítě VPN Point-to-Site (P2S) je možné používat spolu s bránami VPN, které se připojují k několika místním serverům a dalším virtuálním sítím.Yes, Point-to-Site (P2S) VPNs can be used with the VPN gateways connecting to multiple on-premises sites and other virtual networks.

Je možné připojit virtuální síť se sítěmi VPN s protokolem IPsec k okruhu ExpressRoute?Can I connect a virtual network with IPsec VPNs to my ExpressRoute circuit?

Ano, tato možnost je podporována.Yes, this is supported. Další informace najdete v tématu konfigurace ExpressRoute a připojení VPN typu site-to-site, která mohou existovat vedle sebe.For more information, see Configure ExpressRoute and Site-to-Site VPN connections that coexist.

Zásady IPsec/IKEIPsec/IKE policy

Jsou vlastní zásady IPsec/IKE podporovány ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?Is Custom IPsec/IKE policy supported on all Azure VPN Gateway SKUs?

Vlastní zásady IPsec/IKE jsou podporovány v branách Azure VPN Gateway úrovně VpnGw1, VpnGw2, VpnGw3, Standard a HighPerformance.Custom IPsec/IKE policy is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard, and HighPerformance VPN gateways. Skladová položka Basic není podporována.The Basic SKU is not supported.

Kolik zásad můžu zadat pro jedno připojení?How many policies can I specify on a connection?

Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.You can only specify one policy combination for a given connection.

Můžu pro připojení zadat částečné zásady?Can I specify a partial policy on a connection? (například pouze algoritmy IKE, ale ne IPsec)(for example, only IKE algorithms, but not IPsec)

Ne, musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim).No, you must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Zadání částečných zásad není povoleno.Partial policy specification is not allowed.

Jaké algoritmy a síly klíče jsou podporované ve vlastních zásadách?What are the algorithms and key strengths supported in the custom policy?

Následující tabulka uvádí podporované kryptografické algoritmy a síly klíče, které můžou zákazníci konfigurovat.The following table lists the supported cryptographic algorithms and key strengths configurable by the customers. Pro každé pole musíte vybrat jednu možnost.You must select one option for every field.

IPsec/IKEv2IPsec/IKEv2 MožnostiOptions
Šifrování protokolem IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integrita protokolu IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Skupina DHDH Group DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, ŽádnáDHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
Šifrování protokolem IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, ŽádnéGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integrita protokolu IPsecIPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Skupina PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, ŽádnáPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Doba života přidružení zabezpečení v rychlém režimuQM SA Lifetime Sekundy (integer; min. 300 / výchozí hodnota 27 000 sekund)Seconds (integer; min. 300/default 27000 seconds)
Kilobajty (integer; min. 1024 / výchozí hodnota 102 400 000 kilobajtů)KBytes (integer; min. 1024/default 102400000 KBytes)
Selektor provozuTraffic Selector UsePolicyBasedTrafficSelectors ($True nebo $False; výchozí hodnota je $False)UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Důležité

  1. DHGroup2048 a PFS2048 jsou stejná skupina Diffie-Hellman 14 v PFS protokolů IKE a IPsec.DHGroup2048 & PFS2048 are the same as Diffie-Hellman Group 14 in IKE and IPsec PFS. Kompletní mapování najdete v části Skupiny Diffie-Hellman.See Diffie-Hellman Groups for the complete mappings.
  2. V případě algoritmů GCMAES musíte zadat stejný algoritmus GCMAES a délku klíče pro šifrování protokolem IPsec i integritu dat.For GCMAES algorithms, you must specify the same GCMAES algorithm and key length for both IPsec Encryption and Integrity.
  3. V branách Azure VPN Gateway je doba života přidružení zabezpečení protokolu IKEv2 v hlavním režimu pevně nastavena na 28 800 sekund.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways
  4. Doby života přidružení zabezpečení v rychlém režimu jsou volitelné parametry.QM SA Lifetimes are optional parameters. Pokud nebyla zadána žádná doba života, použijí se výchozí hodnoty 27 000 sekund (7,5 hodiny) a 102 400 000 kilobajtů (102 GB).If none was specified, default values of 27,000 seconds (7.5 hrs) and 102400000 KBytes (102GB) are used.
  5. UsePolicyBasedTrafficSelector je parametr možnosti v připojení.UsePolicyBasedTrafficSelector is an option parameter on the connection. Podívejte se na další položku nejčastějších dotazů týkající se možnosti UsePolicyBasedTrafficSelectors.See the next FAQ item for "UsePolicyBasedTrafficSelectors"

Je nutné, aby zásady brány Azure VPN Gateway přesně odpovídaly konfiguraci místního zařízení VPN?Does everything need to match between the Azure VPN gateway policy and my on-premises VPN device configurations?

Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • Algoritmus šifrování protokolem IKEIKE encryption algorithm
  • Algoritmus integrity protokolu IKEIKE integrity algorithm
  • Skupina DHDH Group
  • Algoritmus šifrování protokolem IPsecIPsec encryption algorithm
  • Algoritmus integrity protokolu IPsecIPsec integrity algorithm
  • Skupina PFSPFS Group
  • Selektor provozu (*)Traffic Selector (*)

Doby životnosti přidružení zabezpečení jsou pouze místní specifikace, nemusí se shodovat.The SA lifetimes are local specifications only, do not need to match.

Pokud povolíte možnost UsePolicyBasedTrafficSelectors, je potřeba zajistit, aby vaše zařízení VPN mělo definované odpovídající selektory provozu pro všechny kombinace předpon místní sítě (brány místní sítě) a předpon virtuální sítě Azure (oběma směry), namísto použití konfigurace typu any-to-any.If you enable UsePolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Například pokud jsou předpony vaší místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony vaší virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, je potřeba zadat následující selektory provozu:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

  • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Další informace najdete v článku Připojení několika místních zařízení VPN založených na zásadách.For more information, see Connect multiple on-premises policy-based VPN devices.

Které skupiny Diffie-Hellman jsou podporovány?Which Diffie-Hellman Groups are supported?

Následující tabulka uvádí podporované skupiny Diffie-Hellman pro protokoly IKE (DHGroup) a IPsec (PFSGroup):The table below lists the supported Diffie-Hellman Groups for IKE (DHGroup) and IPsec (PFSGroup):

Skupina Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Délka klíčeKey length
11 DHGroup1DHGroup1 PFS1PFS1 768bitová skupina MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024bitová skupina MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048bitová skupina MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256bitová skupina ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384bitová skupina ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048bitová skupina MODP2048-bit MODP

Další informace najdete na stránkách RFC3526 a RFC5114.For more information, see RFC3526 and RFC5114.

Nahrazují vlastní zásady výchozí sady zásad IPsec/IKE pro brány Azure VPN Gateway?Does the custom policy replace the default IPsec/IKE policy sets for Azure VPN gateways?

Ano, jakmile jsou pro připojení zadány vlastní zásady, brána Azure VPN Gateway bude používat pouze zásady pro připojení, a to jako iniciátor IKE i jako respondér IKE.Yes, once a custom policy is specified on a connection, Azure VPN gateway will only use the policy on the connection, both as IKE initiator and IKE responder.

Pokud odeberu vlastní zásady IPsec/IKE, stane se připojení nechráněným?If I remove a custom IPsec/IKE policy, does the connection become unprotected?

Ne, připojení bude i nadále chráněno protokolem IPsec/IKE.No, the connection will still be protected by IPsec/IKE. Jakmile z připojení odeberete vlastní zásady, brána Azure VPN Gateway se vrátí k výchozímu seznamu návrhů IPsec/IKE a znovu spustí metodu handshake protokolu IKE s vaším místním zařízením VPN.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and restart the IKE handshake again with your on-premises VPN device.

Přerušilo by přidání nebo aktualizace zásad IPsec/IKE připojení VPN?Would adding or updating an IPsec/IKE policy disrupt my VPN connection?

Ano, mohlo by dojít ke krátkému přerušení (několik sekund), protože brána Azure VPN Gateway přeruší stávající připojení a znovu spustí metodu handshake protokolu IKE pro opětovné vytvoření tunelu IPsec s využitím nových kryptografických algoritmů a parametrů.Yes, it could cause a small disruption (a few seconds) as the Azure VPN gateway tears down the existing connection and restarts the IKE handshake to re-establish the IPsec tunnel with the new cryptographic algorithms and parameters. Pokud chcete přerušení minimalizovat, ujistěte se, že vaše místní zařízení VPN je také nakonfigurováno s odpovídajícími algoritmy a silami klíče.Ensure your on-premises VPN device is also configured with the matching algorithms and key strengths to minimize the disruption.

Můžou se pro různá připojení použít různé zásady?Can I use different policies on different connections?

Ano.Yes. Vlastní zásady se aplikují na jednotlivá připojení.Custom policy is applied on a per-connection basis. Pro různá připojení můžete vytvořit a použít různé zásady IPsec/IKE.You can create and apply different IPsec/IKE policies on different connections. Můžete také použít vlastní zásady pro podmnožinu připojení.You can also choose to apply custom policies on a subset of connections. Zbývající připojení budou používat výchozí sady zásad IPsec/IKE Azure.The remaining ones use the Azure default IPsec/IKE policy sets.

Dají se vlastní zásady použít také pro připojení typu VNet-to-VNet?Can I use the custom policy on VNet-to-VNet connection as well?

Ano, vlastní zásady můžete použít pro připojení IPsec mezi různými místy i pro připojení typu VNet-to-VNet.Yes, you can apply custom policy on both IPsec cross-premises connections or VNet-to-VNet connections.

Je nutné zadat stejné zásady pro oba prostředky připojení typu VNet-to-VNet?Do I need to specify the same policy on both VNet-to-VNet connection resources?

Ano.Yes. Tunel typu VNet-to-VNet se skládá ze dvou prostředků připojení v Azure (jeden pro každý směr).A VNet-to-VNet tunnel consists of two connection resources in Azure, one for each direction. Zajistěte, aby oba prostředky připojení měly stejné zásady, jinak se připojení typu VNet-to-VNet nevytvoří.Make sure both connection resources have the same policy, otherwise the VNet-to-VNet connection won't establish.

Fungují zásady IPsec/IKE na připojení ExpressRoute?Does custom IPsec/IKE policy work on ExpressRoute connection?

Ne.No. Zásady IPsec/IKE fungují pouze na připojeních VPN typu Site-to-Site a VNet-to-VNet prostřednictvím bran Azure VPN Gateway.IPsec/IKE policy only works on S2S VPN and VNet-to-VNet connections via the Azure VPN gateways.

Kde najdu Další informace o konfiguraci protokolu IPsecWhere can I find more configuration information for IPsec?

Zobrazit zásady Konfigurace protokolu IPsec/IKE pro připojení typu S2S nebo VNet-to-VNetSee Configure IPsec/IKE policy for S2S or VNet-to-VNet connections

BGPBGP

Je protokol BGP podporován ve všech SKU služby Azure VPN Gateway?Is BGP supported on all Azure VPN Gateway SKUs?

Ne, protokol BGP se podporuje v branách VPN Azure úrovně VpnGw1, VpnGw2, VpnGw3, Standard a HighPerformance.No, BGP is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard and HighPerformance VPN gateways. Pro SKU Basic NENÍ podporován.Basic SKU is NOT supported.

Je možné protokol BGP používat se službami Azure VPN Gateway se zásadami?Can I use BGP with Azure Policy-Based VPN gateways?

Ne, protokol BGP je podporován pouze u služeb VPN Gateway se směrováním.No, BGP is supported on Route-Based VPN gateways only.

Je možné používat privátní čísla ASN (čísla autonomního systému)?Can I use private ASNs (Autonomous System Numbers)?

Ano, svá vlastní veřejná čísla ASN nebo privátní čísla ASN můžete používat pro své místní sítě i virtuální sítě Azure.Yes, you can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks.

Je možné používat 32bitová čísla ASN (čísla autonomního systému)?Can I use 32-bit ASNs (Autonomous System Numbers)?

Ne, služby Azure VPN Gateway v současnosti podporují 16bitová čísla ASN.No, the Azure VPN Gateways support 16-Bit ASNs today.

Existují ASN vyhrazená sítí Azure?Are there ASNs reserved by Azure?

Ano, následující ASN jsou vyhrazena sítí Azure pro vnitřní a vnější peering:Yes, the following ASNs are reserved by Azure for both internal and external peerings:

  • Veřejné čísla ASN: 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
  • Privátní čísla ASN: 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520

Tato ASN nelze zadat pro místní zařízení VPN při připojování k bránám sítě Azure VPN.You cannot specify these ASNs for your on premises VPN devices when connecting to Azure VPN gateways.

Existují nějaká další ASN, která nejde použít?Are there any other ASNs that I can't use?

Ano, následující ASN jsou rezervovaná pro IANA a není možné je nakonfigurovat ve vaší službě Azure VPN Gateway:Yes, the following ASNs are reserved by IANA and can't be configured on your Azure VPN Gateway:

23456, 64496–64511, 65535–65551 a 42949672923456, 64496-64511, 65535-65551 and 429496729

Jaké soukromé čísla ASN můžu použít?What Private ASNs can I use?

Rozsah použitelných privátních čísla ASN, které lze použít, jsou tyto:The useable range of Private ASNs that can be used are:

  • 64512-65514, 65521-6553464512-65514, 65521-65534

Tyto čísla ASN nejsou vyhrazené organizací IANA nebo Azure pro použití, a proto je můžete použít k přiřazení VPN Gateway k Azure.These ASNs are not reserved by IANA or Azure for use and therefore can be used to assign to your Azure VPN Gateway.

Je možné používat stejné číslo ASN pro místní sítě VPN a sítě Azure VNet?Can I use the same ASN for both on-premises VPN networks and Azure VNets?

Ne, pokud pomocí protokolu BGP vzájemně propojujete místní sítě a sítě Azure VNet, je nutné pro ně přiřadit různá čísla ASN.No, you must assign different ASNs between your on-premises networks and your Azure VNets if you are connecting them together with BGP. Službám Azure VPN Gateway je přiřazeno výchozí číslo ASN 65515, ať už je protokol BGP povolen pro připojení mezi místními sítěmi, či nikoliv.Azure VPN Gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. Toto výchozí nastavení můžete změnit přiřazením jiného čísla ASN při vytváření služby VPN Gateway nebo můžete číslo ASN změnit po vytvoření služby brány.You can override this default by assigning a different ASN when creating the VPN gateway, or change the ASN after the gateway is created. Místní čísla ASN je nutné přiřadit odpovídajícím bránám místních sítí Azure.You will need to assign your on-premises ASNs to the corresponding Azure Local Network Gateways.

Které předpony adres budou služby Azure VPN gateway prezentovat?What address prefixes will Azure VPN gateways advertise to me?

Služby Azure VPN Gateway budou místním zařízením BGP prezentovat následující směrování:Azure VPN gateway will advertise the following routes to your on-premises BGP devices:

  • předpony adres sítí VNetYour VNet address prefixes
  • předpony Azure pro jednotlivé brány místních sítí připojené ke službě Azure VPN GatewayAddress prefixes for each Local Network Gateways connected to the Azure VPN gateway
  • směrování převzatá z jiných relací vytvoření partnerského vztahu protokolu BGP připojených ke službě Azure VPN Gateway, kromě výchozího směrování nebo směrování překrytých jinými předponami sítě VNetRoutes learned from other BGP peering sessions connected to the Azure VPN gateway, except default route or routes overlapped with any VNet prefix.

Kolik předpon je možné inzerovat službě Azure VPN Gateway?How many prefixes can I advertise to Azure VPN gateway?

Podporujeme až 4000 předpon.We support up to 4000 prefixes. Pokud počet předpon překročí toto omezení, relace BGP se ukončí.The BGP session is dropped if the number of prefixes exceeds the limit.

Mohu inzerovat výchozí cestu (0.0.0.0/0) do bran Azure VPN Gateway?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Ano.Yes.

Poznámka: Tato akce vynutí převedení veškerého výchozího přenosu virtuální sítě směrem k místní lokalitě a zabrání virtuálním počítačům virtuální sítě v příjmu veřejné komunikace přímo z internetu, jako jsou přenosy RDP nebo SSH z internetu k virtuálním počítačům.Please note this will force all VNet egress traffic towards your on-premises site, and will prevent the VNet VMs from accepting public communication from the Internet directly, such RDP or SSH from the Internet to the VMs.

Mohu inzerovat přesné předpony jako předpony mé virtuální sítě?Can I advertise the exact prefixes as my Virtual Network prefixes?

Ne, inzerování stejných předpon jako předpon adres virtuální sítě bude blokováno nebo filtrováno platformou Azure.No, advertising the same prefixes as any one of your Virtual Network address prefixes will be blocked or filtered by the Azure platform. Můžete ale inzerovat předponu, která je nadmnožinou toho, co máte ve své virtuální síti.However you can advertise a prefix that is a superset of what you have inside your Virtual Network.

Například když vaše virtuální síť používá adresní prostor 10.0.0.0/16, můžete inzerovat 10.0.0.0/8.For example, if your virtual network used the address space 10.0.0.0/16, you could advertise 10.0.0.0/8. Nemůžete ale inzerovat 10.0.0.0/16 nebo 10.0.0.0/24.But you cannot advertise 10.0.0.0/16 or 10.0.0.0/24.

Je možné použít protokol BGP u připojení mezi sítěmi VNet?Can I use BGP with my VNet-to-VNet connections?

Ano, protokol BGP lze použít pro připojení mezi místními sítěmi i připojení mezi sítěmi VNet.Yes, you can use BGP for both cross-premises connections and VNet-to-VNet connections.

Lze u služeb Azure VPN Gateway používat kombinaci připojení pomocí protokolu BGP a bez protokolu BGP?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Ano, u stejné služby Azure VPN Gateway je možné kombinovat připojení pomocí protokolu BGP i bez protokolu BGP.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Podporuje služba Azure VPN Gateway směrování provozu pomocí protokolu BGP?Does Azure VPN gateway support BGP transit routing?

Ano, směrování provozu pomocí protokolu BGP je podporováno, pouze s tou výjimkou, že služby Azure VPN Gateway NEBUDOU prezentovat výchozí směrování ostatním partnerům BGP.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways will NOT advertise default routes to other BGP peers. Pokud chcete povolit směrování provozu mezi více různými službami Azure VPN Gateway, je nutné povolit protokol BGP ve všech zprostředkujících připojení mezi sítěmi VNet.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate VNet-to-VNet connections. Další informace najdete v tématu o protokolu BGP.For more information, see About BGP.

Je možné mít víc než jeden tunel mezi službou Azure VPN Gateway a místní sítí?Can I have more than one tunnel between Azure VPN gateway and my on-premises network?

Ano, můžete vytvořit více než jeden tunel VPN S2S mezi službou Azure VPN Gateway a místní sítí.Yes, you can establish more than one S2S VPN tunnel between an Azure VPN gateway and your on-premises network. Upozornění: Všechny tyto tunely se započítají do celkového počtu tunelů služeb Azure VPN Gateway a musíte pro oba tunely povolit BGP.Please note that all these tunnels will be counted against the total number of tunnels for your Azure VPN gateways and you must enable BGP on both tunnels.

Pokud máte například dva redundantní tunely mezi službou Azure VPN Gateway a jednou z vašich místních sítí, tyto tunely vyčerpají 2 z celkové kvóty tunelů dostupných pro službu Azure VPN Gateway (služba Standard umožňuje vytvořit 10 tunelů a služba HighPerformance 30 tunelů).For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they will consume 2 tunnels out of the total quota for your Azure VPN gateway (10 for Standard and 30 for HighPerformance).

Mohu mít více různých tunelů mezi dvěma sítěmi Azure VNet s protokolem BGP?Can I have multiple tunnels between two Azure VNets with BGP?

Ano, ale alespoň jedna z bran virtuální sítě musí být v konfiguraci aktivní–aktivní.Yes, but at least one of the virtual network gateways must be in active-active configuration.

Je možné použít protokol BGP pro síť VPN S2S provozovanou v koexistenci se sítí VPN ExpressRoute?Can I use BGP for S2S VPN in an ExpressRoute/S2S VPN co-existence configuration?

Ano.Yes.

Jakou adresu služba Azure VPN Gateway používá pro IP adresu partnera BGP?What address does Azure VPN gateway use for BGP Peer IP?

Brána Azure VPN Gateway přidělí jednu IP adresu z rozsahu GatewaySubnet pro brány VPN typu aktivní-pohotovostní nebo dvě IP adresy pro brány VPN typu aktivní-aktivní.The Azure VPN gateway will allocate a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. Můžete získat vlastní IP adresy protokolu BGP přidělené pomocí prostředí PowerShell (Get-AzVirtualNetworkGateway, vyhledat vlastnost "bgpPeeringAddress") nebo v Azure Portal (pod vlastností "konfigurace ASN protokolu BGP" na stránce Konfigurace brány).You can get the actual BGP IP address(es) allocated by using PowerShell (Get-AzVirtualNetworkGateway, look for the “bgpPeeringAddress” property), or in the Azure portal (under the “Configure BGP ASN” property on the Gateway Configuration page).

Jaké jsou požadavky na IP adresu partnera BGP v zařízení VPN?What are the requirements for the BGP Peer IP addresses on my VPN device?

Vaše místní adresa partnerského uzlu BGP nesmí být shodná s veřejnou IP adresou vašeho zařízení VPN nebo adresním prostorem virtuální sítě VPN Gateway.Your on-premises BGP peer address MUST NOT be the same as the public IP address of your VPN device or the Vnet address space of the VPN Gateway. Jako místní adresu partnera BGP v zařízení VPN použijte jinou IP adresu.Use a different IP address on the VPN device for your BGP Peer IP. Může se jednat o adresu přiřazenou k rozhraní zpětné smyčky na zařízení, ale mějte na paměti, že se nemůže jednat o adresu APIPA (169.254.x.x).It can be an address assigned to the loopback interface on the device, but please note that it cannot be an APIPA (169.254.x.x) address. Adresu zadejte v odpovídající bráně místní sítě reprezentující umístění.Specify this address in the corresponding Local Network Gateway representing the location.

Co je třeba zadat jako předpony adres pro bránu místní sítě při použití protokolu BGP?What should I specify as my address prefixes for the Local Network Gateway when I use BGP?

Azure Local Network Gateway určuje počáteční předpony adres pro místní síť.Azure Local Network Gateway specifies the initial address prefixes for the on-premises network. Při použití protokolu BGP je nutné přidělit předponu hostitele (předponu /32) vaší IP adresy partnera BGP jako adresní prostor pro danou místní síť.With BGP, you must allocate the host prefix (/32 prefix) of your BGP Peer IP address as the address space for that on-premises network. Pokud je vaše IP adresa partnera BGP 10.52.255.254, je jako hodnotu localNetworkAddressSpace místní síťové brány reprezentující místní síť nutné zadat 10.52.255.254/32.If your BGP Peer IP is 10.52.255.254, you should specify "10.52.255.254/32" as the localNetworkAddressSpace of the Local Network Gateway representing this on-premises network. To zajistí, že služba Azure VPN Gateway vytvoří relaci BGP prostřednictvím tunelu VPN S2S.This is to ensure that the Azure VPN gateway establishes the BGP session through the S2S VPN tunnel.

Co je třeba přidat do místního zařízení VPN pro relaci partnerského vztahu protokolu BGP?What should I add to my on-premises VPN device for the BGP peering session?

Do zařízení VPN je nutné přidat směrování hostitele IP adresy partnera BGP Azure odkazující na tunel VPN IPsec S2S.You should add a host route of the Azure BGP Peer IP address on your VPN device pointing to the IPsec S2S VPN tunnel. Pokud je například IP adresa partnera BGP Azure 10.12.255.30, je nutné přidat směrování hostitele pro adresu 10.12.255.30 s rozhraním nexthop odpovídajícího rozhraní tunelu IPsec ve vašem zařízení VPN.For example, if the Azure VPN Peer IP is "10.12.255.30", you should add a host route for "10.12.255.30" with a nexthop interface of the matching IPsec tunnel interface on your VPN device.

Připojení mezi místními sítěmi a virtuální počítačeCross-premises connectivity and VMs

Pokud se virtuální počítač nachází ve virtuální síti s propojením mezi různými místy, jak se k virtuálnímu počítači připojovat?If my virtual machine is in a virtual network and I have a cross-premises connection, how should I connect to the VM?

Možností je několik.You have a few options. Pokud je pro virtuální počítač povolen protokol RDP, je možné připojit se k virtuálnímu počítači s použitím privátní IP adresy.If you have RDP enabled for your VM, you can connect to your virtual machine by using the private IP address. V takovém případě zadáte privátní IP adresu a port, ke kterému se chcete připojit (obvykle 3389).In that case, you would specify the private IP address and the port that you want to connect to (typically 3389). Je třeba nakonfigurovat příslušný port ve virtuálním počítači pro provoz.You'll need to configure the port on your virtual machine for the traffic.

K virtuálnímu počítači se lze připojit pomocí privátní IP adresy i z jiného virtuálního počítače umístěného ve stejné virtuální síti.You can also connect to your virtual machine by private IP address from another virtual machine that's located on the same virtual network. K virtuálnímu počítači se nelze připojit pomocí protokolu RDP s použitím privátní IP adresy z místa mimo virtuální síť.You can't RDP to your virtual machine by using the private IP address if you are connecting from a location outside of your virtual network. Pokud je například nakonfigurována virtuální síť typu Point-to-Site, ale z počítače není vytvořeno připojení, nelze se k virtuálnímu počítači připojit pomocí privátní IP adresy.For example, if you have a Point-to-Site virtual network configured and you don't establish a connection from your computer, you can't connect to the virtual machine by private IP address.

Pokud se virtuální počítač nachází ve virtuální síti s možností připojení mezi různými místy, prochází tímto připojením veškerý provoz z virtuálního počítače?If my virtual machine is in a virtual network with cross-premises connectivity, does all the traffic from my VM go through that connection?

Ne.No. Bránou virtuální sítě prochází pouze s cílovou IP adresou uvedenou v nastavených rozsazích IP adres místní sítě pro příslušnou virtuální síť.Only the traffic that has a destination IP that is contained in the virtual network Local Network IP address ranges that you specified will go through the virtual network gateway. Provoz s cílovou IP adresou v příslušné virtuální síti probíhá v rámci této virtuální sítě.Traffic has a destination IP located within the virtual network stays within the virtual network. Ostatní provoz je odesílán prostřednictvím služby Load Balancer do veřejných sítí nebo prostřednictvím brány VPN Azure, pokud je použito vynucené tunelování.Other traffic is sent through the load balancer to the public networks, or if forced tunneling is used, sent through the Azure VPN gateway.

Řešení potíží s připojením ke vzdálené ploše virtuálního počítačeHow do I troubleshoot an RDP connection to a VM

Pokud se vám nedaří připojit k virtuálnímu počítači přes připojení VPN, zkontrolujte následující:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Ověřte, že je úspěšně navázáno připojení VPN.Verify that your VPN connection is successful.
  • Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.Verify that you are connecting to the private IP address for the VM.
  • Pokud se k virtuálnímu počítači můžete připojit s použitím privátní IP adresy, ale ne pomocí názvu počítače, ověřte, že jste správně nakonfigurovali DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Další informace o tom, jak funguje překlad IP adres pro virtuální počítače, najdete v tématu Překlad IP adres pro virtuální počítače.For more information about how name resolution works for VMs, see Name Resolution for VMs.

Pokud se připojujete přes Point-to-Site, zkontrolujte navíc následující položky:When you connect over Point-to-Site, check the following additional items:

  • Pomocí příkazu ipconfig zkontrolujte IPv4 adresu přiřazenou adaptéru Ethernet na počítači, ze kterého se připojujete.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Pokud je IP adresa v rámci rozsahu adres virtuální sítě, ke které se připojujete, nebo v rámci rozsahu adres VPNClientAddressPool, tato situace se označuje jako překrývající se adresní prostor.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Když se adresní prostor tímto způsobem překrývá, síťový provoz nemá přístup do Azure a zůstane v místní síti.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Ověřte, že se po zadání IP adres serveru DNS pro virtuální síť vygeneroval balíček pro konfiguraci klienta VPN.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Pokud jste aktualizovali IP adresy serveru DNS, vygenerujte a nainstalujte nový balíček pro konfiguraci klienta VPN.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.

Další informace o řešení potíží s připojením ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.For more information about troubleshooting an RDP connection, see Troubleshoot Remote Desktop connections to a VM.

Nejčastější dotazy týkající se virtuálních sítíVirtual Network FAQ

Další informace o virtuálních sítích najdete v tématu Nejčastější dotazy týkající se virtuálních sítí.You view additional virtual network information in the Virtual Network FAQ.

Další postupNext steps

"OpenVPN" je ochranná známka společnosti OpenVPN Inc."OpenVPN" is a trademark of OpenVPN Inc.