Nejčastější dotazy k branám VPNVPN Gateway FAQ

Připojování k virtuálním sítímConnecting to virtual networks

Je možné propojit virtuální sítě v různých oblastech Azure?Can I connect virtual networks in different Azure regions?

Ano.Yes. Žádné omezení oblastí se ve skutečnosti neuplatňuje.In fact, there is no region constraint. Jedna virtuální síť může být propojena s jinou virtuální sítí ve stejném oblasti nebo v jiné oblasti Azure.One virtual network can connect to another virtual network in the same region, or in a different Azure region.

Je možné propojovat virtuální sítě v rámci různých předplatných?Can I connect virtual networks in different subscriptions?

Ano.Yes.

Je možné připojovat se k více serverům z jedné virtuální sítě?Can I connect to multiple sites from a single virtual network?

K více serverům se lze připojovat prostřednictvím prostředí Windows PowerShell a rozhraní API REST Azure.You can connect to multiple sites by using Windows PowerShell and the Azure REST APIs. Přečtěte si oddíl Možnosti připojování k více serverům a připojení VNet-to-VNet v nejčastějších dotazech.See the Multi-Site and VNet-to-VNet Connectivity FAQ section.

Máte další náklady na nastavení brány VPN jako aktivní-aktivní?Is there an additional cost for setting up a VPN gateway as active-active?

Ne.No.

Jaké jsou možnosti připojení mezi různými místy?What are my cross-premises connection options?

Podporovány jsou následující možnosti připojení mezi různými místy:The following cross-premises connections are supported:

  • Site-to-Site – připojení VPN prostřednictvím protokolu IPsec (IKE v1 a IKE v2).Site-to-Site – VPN connection over IPsec (IKE v1 and IKE v2). Tento typ připojení vyžaduje zařízení VPN nebo službu RRAS.This type of connection requires a VPN device or RRAS. Další informace naleznete v tématu Site-to-Site.For more information, see Site-to-Site.
  • Point-to-Site – připojení VPN prostřednictvím protokolu SSTP (Secure Socket Tunneling Protocol) nebo IKE v2.Point-to-Site – VPN connection over SSTP (Secure Socket Tunneling Protocol) or IKE v2. Toto připojení nevyžaduje zařízení VPN.This connection does not require a VPN device. Další informace naleznete v tématu Point-to-Site.For more information, see Point-to-Site.
  • VNet-to-VNet – tento typ připojení je stejný jako konfigurace Site-to-Site.VNet-to-VNet – This type of connection is the same as a Site-to-Site configuration. VNet-to-VNet je připojení k síti VPN prostřednictvím protokolu IPsec (IKE v1 a IKE v2).VNet to VNet is a VPN connection over IPsec (IKE v1 and IKE v2). Nevyžaduje zařízení VPN.It does not require a VPN device. Další informace naleznete v tématu VNet-to-VNet.For more information, see VNet-to-VNet.
  • Multi-Site – varianta konfigurace Site-to-Site, která umožňuje propojit několik místních serverů do virtuální sítě.Multi-Site – This is a variation of a Site-to-Site configuration that allows you to connect multiple on-premises sites to a virtual network. Další informace najdete v tématu Multi-Site.For more information, see Multi-Site.
  • ExpressRoute – ExpressRoute je privátní připojení k Azure z vaší sítě WAN, nikoli připojení VPN přes veřejný Internet.ExpressRoute – ExpressRoute is a private connection to Azure from your WAN, not a VPN connection over the public Internet. Další informace najdete v tématech Technický přehled ExpressRoute a ExpressRoute – nejčastější dotazy.For more information, see the ExpressRoute Technical Overview and the ExpressRoute FAQ.

Další informace o připojeních VPN Gateway najdete v tématu Informace o službě VPN Gateway.For more information about VPN gateway connections, see About VPN Gateway.

Jaký je rozdíl mezi připojením Site-to-Site a Point-to-Site?What is the difference between a Site-to-Site connection and Point-to-Site?

Konfigurace Site-to-Site (tunel VPN IPsec/IKE) jsou mezi místním umístěním a Azure.Site-to-Site (IPsec/IKE VPN tunnel) configurations are between your on-premises location and Azure. To znamená, že se můžete z kteréhokoli počítače ve vaší lokalitě připojit k libovolnému virtuálnímu počítači nebo instanci role ve vaší virtuální síti v závislosti na zvoleném způsobu konfigurace směrování a oprávněních.This means that you can connect from any of your computers located on your premises to any virtual machine or role instance within your virtual network, depending on how you choose to configure routing and permissions. Představuje skvělou možnost připojení mezi různými místy, která je vždy k dispozici a je velmi vhodná pro hybridní konfigurace.It's a great option for an always-available cross-premises connection and is well-suited for hybrid configurations. Tento typ připojení využívá zařízení sítě VPN s protokolem IPsec (hardwarové nebo softwarové zařízení), které musí být nasazeno v hraniční části sítě.This type of connection relies on an IPsec VPN appliance (hardware device or soft appliance), which must be deployed at the edge of your network. Chcete-li vytvořit tento typ připojení, musíte mít externě orientovanou adresu IPv4.To create this type of connection, you must have an externally facing IPv4 address.

Konfigurace Point-to-Site (VPN přes SSTP) umožňují připojit se z jednoho počítače odkudkoli kamkoli do vaší virtuální sítě.Point-to-Site (VPN over SSTP) configurations let you connect from a single computer from anywhere to anything located in your virtual network. Využívá integrovaného klienta VPN ve Windows.It uses the Windows in-box VPN client. Jako součást konfigurace Point-to-Site nainstalujete certifikát a balíček konfigurace klienta VPN, který obsahuje nastavení umožňující vašemu počítači připojit se ke kterémukoli virtuálnímu počítači nebo instanci role v rámci virtuální sítě.As part of the Point-to-Site configuration, you install a certificate and a VPN client configuration package, which contains the settings that allow your computer to connect to any virtual machine or role instance within the virtual network. Toto řešení je skvělé, pokud se chcete připojit k virtuální síti, ale nenacházíte se na příslušném místě.It's great when you want to connect to a virtual network, but aren't located on-premises. Je také vhodné, pokud nemáte přístup k hardwaru sítě VPN nebo adrese IPv4 přístupné zvenčí; obě tyto položky jsou pro připojení Site-to-Site vyžadovány.It's also a good option when you don't have access to VPN hardware or an externally facing IPv4 address, both of which are required for a Site-to-Site connection.

Virtuální síť můžete nakonfigurovat tak, aby souběžně používala připojení Site-to-Site i Point-to-Site, pokud pro bránu vytvoříte připojení Site-to-Site s použitím typu sítě VPN založeného na směrování.You can configure your virtual network to use both Site-to-Site and Point-to-Site concurrently, as long as you create your Site-to-Site connection using a route-based VPN type for your gateway. Typy sítí VPN založené na směrování se v modelu nasazení Classic nazývají dynamické brány.Route-based VPN types are called dynamic gateways in the classic deployment model.

Brány virtuálních sítíVirtual network gateways

Je brána sítě VPN bránou virtuální sítě?Is a VPN gateway a virtual network gateway?

Brána sítě VPN je typem brány virtuální sítě.A VPN gateway is a type of virtual network gateway. Brána sítě VPN odesílá šifrovaný provoz mezi virtuální sítí a místním umístěním přes veřejné připojení.A VPN gateway sends encrypted traffic between your virtual network and your on-premises location across a public connection. Bránu sítě VPN můžete použít také k odesílání provozu mezi virtuálními sítěmi.You can also use a VPN gateway to send traffic between virtual networks. Při vytváření brány sítě VPN použijete parametr -GatewayType s hodnotou 'Vpn'.When you create a VPN gateway, you use the -GatewayType value 'Vpn'. Další informace najdete v tématu Informace o nastavení konfigurace služby VPN Gateway.For more information, see About VPN Gateway configuration settings.

Co je to brána založená na zásadách (se statickým směrováním)?What is a policy-based (static-routing) gateway?

Brány založené na zásadách implementují sítě VPN založené na zásadách.Policy-based gateways implement policy-based VPNs. Sítě VPN založené na zásadách šifrují pakety a směrují je do tunelových propojení IPsec na základě kombinací předpon adres mezi vaší místní sítí a virtuální sítí VNet Azure.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the combinations of address prefixes between your on-premises network and the Azure VNet. Zásada (nebo selektor provozu) se většinou v konfiguraci sítě VPN definuje jako přístupový seznam.The policy (or Traffic Selector) is usually defined as an access list in the VPN configuration.

Co je to brána založená na směrování (s dynamickým směrováním)?What is a route-based (dynamic-routing) gateway?

Brány založené na směrování implementují sítě VPN založené na směrování.Route-based gateways implement the route-based VPNs. Sítě VPN založené na směrování používají ke směrování paketů do příslušných rozhraní tunelových propojení „trasy“ v tabulce předávání IP nebo směrovací tabulce IP.Route-based VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Zásady nebo selektor provozu pro sítě VPN založené na směrování používají konfiguraci typu any-to-any (se zástupnými znaky).The policy or traffic selector for route-based VPNs are configured as any-to-any (or wild cards).

Můžu aktualizovat moji bránu VPN založenou na zásadách na základě směrování?Can I update my policy-based VPN gateway to route-based?

Ne.No. Typ brány virtuální sítě Azure se nedá změnit z brány založené na zásadách na bránu založenou na směrování ani naopak.An Azure Vnet gateway type cannot be changed from policy-based to route-based or the other way. Brána se musí odstranit a znovu vytvořit a tento proces trvá přibližně 60 minut.The gateway must be deleted and recreated, a process taking around 60 minutes. IP adresa brány ani předsdílený klíč (PSK) se nezachovají.The IP address of the gateway will not be preserved nor will the Pre-Shared Key (PSK).

  1. Odstraňte všechna připojení přidružená k bráně, která se má odstranit.Delete any connections associated with the gateway to be deleted.
  2. Odstraňte bránu:Delete the gateway:
  3. Vytvořte novou bránu typu, který chcete, a dokončete nastavení sítě VPN.Create a new gateway of the type you want and complete the VPN setup.

Potřebuji GatewaySubnet?Do I need a 'GatewaySubnet'?

Ano.Yes. Podsíť brány obsahuje IP adresy, které používá služba brány virtuální sítě.The gateway subnet contains the IP addresses that the virtual network gateway services use. Pro virtuální síť je třeba vytvořit podsíť brány, aby bylo možné konfigurovat bránu virtuální sítě.You need to create a gateway subnet for your VNet in order to configure a virtual network gateway. Pro správné fungování všech podsítí brány je nutné, aby měly název GatewaySubnet.All gateway subnets must be named 'GatewaySubnet' to work properly. Nenastavujte pro podsíť brány jiný název.Don't name your gateway subnet something else. A v podsíti brány nenasazujte virtuální počítače ani žádná jiná zařízení.And don't deploy VMs or anything else to the gateway subnet.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. IP adresy v podsíti brány jsou přidělené službě brány.The IP addresses in the gateway subnet are allocated to the gateway service. Některé konfigurace vyžadují přidělení více IP adres službám brány než jiné.Some configurations require more IP addresses to be allocated to the gateway services than do others. Ujistěte se, že podsíť brány obsahuje dostatek IP adres, aby se mohla přizpůsobit budoucímu růstu a případným dalším konfiguracím nových připojení.You want to make sure your gateway subnet contains enough IP addresses to accommodate future growth and possible additional new connection configurations. Přestože je tedy možné vytvořit tak malou podsíť brány, jako je /29, doporučujeme vytvořit podsíť brány o velikosti /27 nebo větší (/27, /26, /25 atd.).So, while you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26, /25 etc.). Podívejte se na požadavky pro konfiguraci, kterou chcete vytvořit, a ověřte, že vaše podsíť brány bude tyto požadavky splňovat.Look at the requirements for the configuration that you want to create and verify that the gateway subnet you have will meet those requirements.

Je možné nasazovat do podsítě brány virtuální počítače nebo instance role?Can I deploy Virtual Machines or role instances to my gateway subnet?

Ne.No.

Je možné získat IP adresu brány VPN předtím, než se vytvoří?Can I get my VPN gateway IP address before I create it?

Neredundantní brány a brány oblastí (skladové položky brány, které AZ v názvu) spoléhají na standardní SKU prostředku veřejné IP adresy Azure.Zone-redundant and zonal gateways (gateway SKUs that have AZ in the name) both rely on a Standard SKU Azure public IP resource. Prostředky veřejné IP adresy standardní SKU Azure musí používat metodu statického přidělení.Azure Standard SKU public IP resources must use a static allocation method. Proto budete mít veřejnou IP adresu pro bránu VPN hned po vytvoření prostředku veřejné IP adresy standardní SKU, který pro něj máte v úmyslu použít.Therefore, you will have the public IP address for your VPN gateway as soon as you create the Standard SKU public IP resource you intend to use for it.

Pro brány neredundantních a negeografických bran (SKU brány, které nepoužívají AZ v názvu) nemůžete získat IP adresu brány VPN dřív, než se vytvoří.For non-zone-redundant and non-zonal gateways (gateway SKUs that do not have AZ in the name), you cannot get the VPN gateway IP address before it is created. IP adresa se změní jenom v případě, že bránu VPN odstraníte a znovu vytvoříte.The IP address changes only if you delete and re-create your VPN gateway.

Je možné vyžádat si pro bránu VPN statickou veřejnou IP adresu?Can I request a Static Public IP address for my VPN gateway?

Jak je uvedeno výše, brány redundantní v zóně a oblasti oblastí (skladové položky brány, které AZ v názvu) závisí na prostředku veřejné IP adresy Standard SKU Azure.As stated above, zone-redundant and zonal gateways (gateway SKUs that have AZ in the name) both rely on a Standard SKU Azure public IP resource. Prostředky veřejné IP adresy standardní SKU Azure musí používat metodu statického přidělení.Azure Standard SKU public IP resources must use a static allocation method.

Pro brány neredundantních a negeografických zón (SKU brány, které nepoužívají AZ v názvu) se podporuje jenom přiřazování dynamických IP adres.For non-zone-redundant and non-zonal gateways (gateway SKUs that do not have AZ in the name), only dynamic IP address assignment is supported. To ale neznamená, že se IP adresa po přiřazení k vaší bráně VPN bude měnit.However, this doesn't mean that the IP address changes after it has been assigned to your VPN gateway. Jediná IP adresa brány VPN se změní jenom v případě, že se brána odstraní a pak se znovu vytvoří.The only time the VPN gateway IP address changes is when the gateway is deleted and then re-created. Veřejná IP adresa brány VPN se při změně velikosti, resetování nebo dokončení jiné interní údržby a upgradu vaší brány VPN nemění.The VPN gateway public IP address doesn't change when you resize, reset, or complete other internal maintenance and upgrades of your VPN gateway.

Jak se tunelové připojení sítě VPN ověřuje?How does my VPN tunnel get authenticated?

Síť VPN Azure používá ověřování PSK (předsdílený klíč).Azure VPN uses PSK (Pre-Shared Key) authentication. Při vytváření tunelového propojení sítě VPN se vygeneruje předsdílený klíč (PSK).We generate a pre-shared key (PSK) when we create the VPN tunnel. Automaticky generovaný předsdílený klíč můžete nahradit vlastním prostřednictvím rutiny prostředí PowerShell nebo rozhraní API REST pro nastavení předsdíleného klíče.You can change the auto-generated PSK to your own with the Set Pre-Shared Key PowerShell cmdlet or REST API.

Je možné použít rozhraní API pro nastavení předsdíleného klíče ke konfiguraci sítě VPN s bránou založenou na zásadách (se statickým směrováním)?Can I use the Set Pre-Shared Key API to configure my policy-based (static routing) gateway VPN?

Ano, rozhraní API i rutinu prostředí PowerShell pro nastavení předsdíleného klíče je možné použít ke konfiguraci sítí VPN Azure založených na zásadách (se statickým směrováním) i sítí VPN Azure založených na směrování (s dynamickým směrováním).Yes, the Set Pre-Shared Key API and PowerShell cmdlet can be used to configure both Azure policy-based (static) VPNs and route-based (dynamic) routing VPNs.

Je možné použít jiné možnosti ověřování?Can I use other authentication options?

Ověřování je omezeno na použití předsdílených klíčů (PSK).We are limited to using pre-shared keys (PSK) for authentication.

Jak určit provoz, který má procházet bránou VPN?How do I specify which traffic goes through the VPN gateway?

Model nasazení Resource ManagerResource Manager deployment model

  • PowerShell: K určení provozu na místní síťové bráně použijte parametr AddressPrefix.PowerShell: use "AddressPrefix" to specify traffic for the local network gateway.
  • Azure Portal: Přejděte k položce Brána místní sítě > Konfigurace > Adresní prostor.Azure portal: navigate to the Local network gateway > Configuration > Address space.

Model nasazení ClassicClassic deployment model

  • Azure Portal: Přejděte k položce klasická virtuální síť > připojení k síti VPN > připojení VPN typu Site-to-Site > Název místní lokality > Místní lokalita > Klientský adresní prostor.Azure portal: navigate to the classic virtual network > VPN connections > Site-to-site VPN connections > Local site name > Local site > Client address space.

Je možné konfigurovat vynucené tunelování?Can I configure Force Tunneling?

Ano.Yes. Informace najdete v tématu Konfigurace vynuceného tunelování.See Configure force tunneling.

Můžu na mých připojeních k síti VPN použít překlad adres (NAT-T)?Can I use NAT-T on my VPN connections?

Ano, podporuje se procházení NAT (NAT-T).Yes, NAT traversal (NAT-T) is supported. Azure VPN Gateway nebude provádět žádné funkce podobné překladu adres (NAT) na vnitřních paketech a z tunelů IPsec.Azure VPN Gateway will NOT perform any NAT-like functionality on the inner packets to/from the IPsec tunnels. V této konfiguraci zajistěte, aby místní zařízení spouštěla tunel IPSec.In this configuration, please ensure the on-premises device initiates the IPSec tunnel.

Je možné nastavit v Azure vlastní server VPN a používat ho pro připojování k místní síti?Can I set up my own VPN server in Azure and use it to connect to my on-premises network?

Ano, je možné nasazovat v Azure vlastní servery nebo brány VPN buď z webu Azure Marketplace, nebo vytvořené jako vlastní směrovače sítě VPN.Yes, you can deploy your own VPN gateways or servers in Azure either from the Azure Marketplace or creating your own VPN routers. Je třeba nakonfigurovat ve virtuální síti trasy definované uživatelem, aby se zajistilo správné směrování provozu mezi místními sítěmi a podsítěmi virtuálních sítí.You need to configure user-defined routes in your virtual network to ensure traffic is routed properly between your on-premises networks and your virtual network subnets.

Proč jsou některé porty otevřené v bráně virtuální sítě?Why are certain ports opened on my virtual network gateway?

Jsou vyžadovány pro komunikaci infrastruktury Azure.They are required for Azure infrastructure communication. Jsou chráněny (uzamknuty) s použitím certifikátů Azure.They are protected (locked down) by Azure certificates. Bez správných certifikátů nemohou externí entity (včetně zákazníků těchto bran) žádným způsobem ovlivnit činnost těchto koncových bodů.Without proper certificates, external entities, including the customers of those gateways, will not be able to cause any effect on those endpoints.

Brána virtuální sítě je v podstatě zařízení s více adresami v síti s jednou síťovou kartou, která se používá k privátní síti zákazníka, a jedna síťová karta směřující k veřejné síti.A virtual network gateway is fundamentally a multi-homed device with one NIC tapping into the customer private network, and one NIC facing the public network. Entity infrastruktury Azure nemohou kvůli shodě procházet do privátních sítí zákazníků, takže je pro komunikaci infrastruktury třeba využívat veřejné koncové body.Azure infrastructure entities cannot tap into customer private networks for compliance reasons, so they need to utilize public endpoints for infrastructure communication. Veřejné koncové body jsou pravidelně kontrolovány auditem zabezpečení Azure.The public endpoints are periodically scanned by Azure security audit.

Další informace o typech brány, požadavcích a propustnostiMore information about gateway types, requirements, and throughput

Další informace najdete v tématu Informace o nastavení konfigurace služby VPN Gateway.For more information, see About VPN Gateway configuration settings.

Připojení typu Site-to-Site a zařízení VPNSite-to-Site connections and VPN devices

Co je třeba zvážit při výběru zařízení VPN?What should I consider when selecting a VPN device?

Ve spolupráci s dodavateli zařízení jsme ověřili sadu standardních zařízení VPN pro připojení Site-to-Site.We have validated a set of standard Site-to-Site VPN devices in partnership with device vendors. Seznam známých kompatibilních zařízení VPN, příslušné pokyny ke konfiguraci nebo ukázky a specifikace zařízení najdete v článku s popisem zařízení VPN.A list of known compatible VPN devices, their corresponding configuration instructions or samples, and device specs can be found in the About VPN devices article. Všechna zařízení v řadách zařízení uvedená jako známá kompatibilní by měla spolupracovat s virtuální sítí.All devices in the device families listed as known compatible should work with Virtual Network. Konfiguraci zařízení VPN vám usnadní ukázka konfigurace zařízení nebo odkaz, který odpovídá příslušné řadě zařízení.To help configure your VPN device, refer to the device configuration sample or link that corresponds to appropriate device family.

Kde najdu nastavení konfigurace zařízení VPN?Where can I find VPN device configuration settings?

Stažení konfiguračních skriptů zařízení VPN:To download VPN device configuration scripts:

V závislosti na vašem zařízení VPN možná budete moct stáhnut konfigurační skript zařízení VPN.Depending on the VPN device that you have, you may be able to download a VPN device configuration script. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.For more information, see Download VPN device configuration scripts.

Na následujících odkazech najdete další informace o konfiguraci:See the following links for additional configuration information:

Jak upravím ukázky konfigurace zařízení VPN?How do I edit VPN device configuration samples?

Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.For information about editing device configuration samples, see Editing samples.

Kde najdu parametry protokolu IPsec a IKE?Where do I find IPsec and IKE parameters?

Parametry protokolu IPsec/IKE najdete v popisu parametrů.For IPsec/IKE parameters, see Parameters.

Proč se tunelové připojení sítě VPN založené na zásadách při nečinnosti deaktivuje?Why does my policy-based VPN tunnel go down when traffic is idle?

Toto je očekávané chování u bran VPN pracujících na základě zásad (označují se také výrazem statické směrování).This is expected behavior for policy-based (also known as static routing) VPN gateways. Když je přenos přes tunelové propojení nečinný déle než 5 minut, tunelové propojení se deaktivuje.When the traffic over the tunnel is idle for more than 5 minutes, the tunnel will be torn down. Když se provoz v některém směru obnoví, tunelové propojení se ihned aktivuje znovu.When traffic starts flowing in either direction, the tunnel will be reestablished immediately.

Je možné používat pro připojení k Azure softwarové sítě VPN?Can I use software VPNs to connect to Azure?

Konfigurace připojení Site-to-Site pro více míst je podporována u serverů RRAS (Routing and Remote Access) Windows Server 2012.We support Windows Server 2012 Routing and Remote Access (RRAS) servers for Site-to-Site cross-premises configuration.

Jiná softwarová řešení sítě VPN by měla s naší bránou spolupracovat, pokud odpovídají implementacím protokolu IPsec podle průmyslových standardů.Other software VPN solutions should work with our gateway as long as they conform to industry standard IPsec implementations. Ohledně pokynů ke konfiguraci a podporu se obraťte na výrobce příslušného softwaru.Contact the vendor of the software for configuration and support instructions.

Návody změnit typ ověřování pro připojení typu Point-to-site?How do I change the authentication type for my point-to-site connections?

Metodu ověřování pro připojení Point-to-site můžete změnit tak, že přejdete na konfigurační oddíl Point-to-site pod VPN Gateway a zkontrolujete požadovaný přepínač.You can change the authentication method for your point-to-site connections by going to the Point-to-site configuration section under the VPN Gateway and checking the desired radio button. Aktuální možnosti jsou certifikát Azure, ověřování pomocí protokolu RADIUS a Azure Active Directory.Current options are Azure certificate, RADIUS authentication and Azure Active Directory. Mějte na paměti, že aktuální klienti se po změně nemusí moct připojit , dokud se nový profil nestáhne a nenakonfiguroval na klientovi.Please note that current clients may not be able to connect after the change until the new profile has been downloaded and configured on the client.

Point-to-Site s využitím nativního ověřování certifikátů AzurePoint-to-Site using native Azure certificate authentication

Tato část se týká modelu nasazení Resource Manager.This section applies to the Resource Manager deployment model.

Kolik koncových bodů klienta VPN je možné mít v konfiguraci připojení Point-to-Site?How many VPN client endpoints can I have in my Point-to-Site configuration?

Závisí na SKU brány.It depends on the gateway SKU. Další informace o počtu podporovaných připojení najdete v tématu SKU brány.For more information on the number of connections supported, see Gateway SKUs.

Jaké klientské operační systémy je možné používat s Point-to-site?What client operating systems can I use with Point-to-Site?

Podporovány jsou následující operační systémy:The following client operating systems are supported:

  • Windows 7 (32bitové a 64bitové verze)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (pouze 64bitové verze)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32bitové a 64bitové verze)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (pouze 64bitové verze)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (pouze 64bitové verze)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (pouze 64bitové verze)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (pouze 64)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X verze 10,11 nebo vyššíMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2.VPN Gateway will support only TLS 1.2. Chcete-li zachovat podporu, přečtěte si téma aktualizace pro povolení podpory protokolu TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Kromě toho se u protokolu TLS od 1. července 2018 budou taky zastaraly následující starší algoritmy:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Návody povolit podporu TLS 1,2 ve Windows 7 a Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Otevřete příkazový řádek se zvýšenými oprávněními, a to tak, že kliknete pravým tlačítkem na příkazový řádek a vyberete Spustit jako správce.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Na příkazovém řádku spusťte následující příkazy:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Nainstalujte následující aktualizace:Install the following updates:

  4. Restartujte počítač.Reboot the computer.

  5. Připojte se k síti VPN.Connect to the VPN.

Poznámka

Pokud používáte starší verzi Windows 10 (10240), budete muset nastavit výše uvedený klíč registru.You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Je možné procházet proxy servery a brány firewall s využitím schopnosti Point-to-Site?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure podporuje tři typy možností sítě VPN typu Point-to-site:Azure supports three types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP je proprietární řešení založené na SSL společnosti Microsoft, které může proniknout branami firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol 443 SSL.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN je řešení založené na protokolu SSL, které může proniknout branami firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol SSL 443.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá Odchozí porty UDP 500 a 4500 a číslo protokolu IP.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Brány firewall tyto porty neotvírají vždycky, takže je možné, že IKEv2 VPN nebude moct procházet servery proxy a branami firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení Point-to-Site, připojí se síť VPN automaticky znovu?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Ve výchozím nastavení nebude klientský počítač vytvářet připojení k síti VPN automaticky znovu.By default, the client computer will not reestablish the VPN connection automatically.

Podporuje připojení Point-to-Site automatické připojení a DDNS u klientů sítě VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Automatické opětné připojení a DDNS se u sítí VPN s připojením Point-to-Site aktuálně nepodporují.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Je možné současně používat konfigurace Site-to-Site a Point-to-Site pro stejnou virtuální síť?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Ano.Yes. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pro model nasazení Classic je potřebná dynamická brána.For the classic deployment model, you need a dynamic gateway. Připojení Point-to-Site se pro brány VPN se statickým směrováním ani pro brány VPN PolicyBased nepodporuje.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Můžu nakonfigurovat klienta Point-to-site pro připojení k několika branám virtuální sítě ve stejnou dobu?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

V závislosti na použitém klientském softwaru VPN se možná budete moct připojit k několika Virtual Network branám, za kterých virtuální sítě, ke kterým se připojují, nemají konfliktní adresní prostory mezi nimi nebo sítí, ze kterých se klient připojuje.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. I když klient Azure VPN podporuje mnoho připojení VPN, může se v jednom okamžiku připojit jenom jedno připojení.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Je možné nakonfigurovat klienta Point-to-Site tak, aby se připojoval k několik virtuálním sítím současně?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Připojení typu Point-to-site k bráně Virtual Network nasazené ve virtuální síti, která má partnerský vztah s jinými virtuální sítě, může mít přístup k jiným partnerským virtuální sítě.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Pokud virtuální sítě partnerských uzlů používá funkce UseRemoteGateway/AllowGatewayTransit, klient Point-to-site se bude moci připojit k těmto virtuální sítěům s partnerským vztahem.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Další informace najdete v tomto článku.For more information please reference this article.

Jakou propustnost je možné očekávat u připojení typu Site-to-Site nebo Point-to-Site?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN.IPsec and SSTP are crypto-heavy VPN protocols. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem.Throughput is also limited by the latency and bandwidth between your premises and the Internet. U služby VPN Gateway s připojeními Point-to-Site VPN jenom typu IKEv2 bude celková propustnost, kterou můžete očekávat, záviset na skladové jednotce Gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.For more information on throughput, see Gateway SKUs.

Je možné pro připojení Point-to-Site použít libovolného softwarového klienta sítě VPN, pokud podporuje protokol SSTP a/nebo IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Ne.No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. K připojení přes protokol OpenVPN ale můžete použít klienta OpenVPN na všech platformách.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Podrobnosti najdete v seznamu podporovaných klientských operačních systémů.Refer to the list of supported client operating systems.

Podporuje Azure IKEv2 VPN s Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Pokud ale chcete používat IKEv2, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru v místním prostředí.However, in order to use IKEv2, you must install updates and set a registry key value locally. Verze operačního systému starší než Windows 10 nejsou podporované a můžou používat jenom protokol SSTP nebo OpenVPN®.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Nainstalujte aktualizaci.Install the update.

    Verze operačního systémuOS version DatumDate Číslo/odkazNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 verze 1607Windows 10 Version 1607
    17. ledna 2018January 17, 2018 KB4057142KB4057142
    Windows 10 verze 1703Windows 10 Version 1703 17. ledna 2018January 17, 2018 KB4057144KB4057144
    Windows 10 verze 1709Windows 10 Version 1709 22. března 2018March 22, 2018 KB4089848KB4089848
  2. Nastavte hodnotu klíče registru.Set the registry key value. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Když nakonfigurujete SSTP a IKEv2 ve smíšeném prostředí (které se skládá ze zařízení se systémy Windows a Mac), klient VPN systému Windows vždycky nejdřív zkusí využít tunel IKEv2, ale pokud připojení IKEv2 není úspěšné, vrátí se k SSTP.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.MacOSX will only connect via IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Pro P2S VPN Azure podporuje Windows, Mac a Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Už mám nasazenou Azure VPN Gateway.I already have an Azure VPN Gateway deployed. Můžu na ní povolit RADIUS, případně IKEv2 VPN?Can I enable RADIUS and/or IKEv2 VPN on it?

Ano, tyto funkce můžete na už nasazených bránách povolit pomocí PowerShellu nebo webu Azure Portal za předpokladu, že použitá jednotka SKU brány podporuje RADIUS a/nebo IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Například SKU VPN Gateway Basic nepodporuje RADIUS ani IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Návody odebrat konfiguraci připojení P2S?How do I remove the configuration of a P2S connection?

Konfiguraci P2S můžete odebrat pomocí Azure CLI a PowerShellu pomocí následujících příkazů:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Co mám dělat, když se při připojení pomocí ověřování certifikátů zobrazuje neshoda certifikátů?What should I do if I'm getting a certificate mismatch when connecting using certificate authentication?

Zrušte kontrolu "ověřit identitu serveru ověřením certifikátu" nebo přidejte plně kvalifikovaný název domény serveru spolu s certifikátem při vytváření profilu ručně.Uncheck "Verify the server's identity by validating the certificate" or add the server FQDN along with the certificate when creating a profile manually. To můžete provést spuštěním souboru Rasphone z příkazového řádku a výběrem profilu z rozevíracího seznamu.You can do this by running rasphone from a command prompt and picking the profile from the drop-down list.

Nedoporučuje se ověřování identity serveru obecně, ale s ověřováním certifikátů Azure se stejný certifikát používá pro ověřování serveru v protokolu IKEv2 (VPN Tunneling Protocol) a protokolu EAP.Bypassing server identity validation is not recommended in general, but with Azure certificate authentication, the same certificate is being used for server validation in the VPN tunneling protocol (IKEv2/SSTP) and the EAP protocol. Vzhledem k tomu, že je certifikát serveru a plně kvalifikovaný název domény už ověřený protokolem tunelového připojení VPN, je redundantní ho znovu ověřit v protokolu EAP.Since the server certificate and FQDN is already validated by the VPN tunneling protocol, it is redundant to validate the same again in EAP.

ověřování Point-to-sitepoint-to-site auth

Můžu použít vlastní interní kořenovou certifikační autoritu PKI ke generování certifikátů pro připojení Point-to-site?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Ano.Yes. Dříve bylo možné používat pouze kořenové certifikáty podepsané svým držitelem.Previously, only self-signed root certificates could be used. I nyní je možné nahrát 20 kořenových certifikátů.You can still upload 20 root certificates.

Můžu použít certifikáty z Azure Key Vault?Can I use certificates from Azure Key Vault?

Ne.No.

Jaké nástroje se dají použít k vytvoření certifikátů?What tools can I use to create certificates?

Můžete využít vaše podnikové řešení infrastruktury veřejných klíčů (vaše interní PKI), Azure PowerShell, MakeCert a OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Existují nějaké pokyny pro parametry a nastavení certifikátů?Are there instructions for certificate settings and parameters?

  • Interní / podnikové řešení PKI: Projděte si kroky pro vytvoření certifikátů.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: Příslušné kroky najdete v článku pro Azure PowerShell.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: Příslušné kroky najdete v článku pro MakeCert.MakeCert: See the MakeCert article for steps.

  • OpenSSLOpenSSL:

    • Při exportu certifikátů nezapomeňte převést kořenový certifikát na Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Pro klientský certifikát:For the client certificate:

      • Při vytváření privátního klíče zadejte délku 4096.When creating the private key, specify the length as 4096.
      • Při vytváření certifikátu jako parametr -extensions zadejte usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Point-to-Site s využitím ověřování pomocí protokolu RADIUSPoint-to-Site using RADIUS authentication

Tato část se týká modelu nasazení Resource Manager.This section applies to the Resource Manager deployment model.

Kolik koncových bodů klienta VPN je možné mít v konfiguraci připojení Point-to-Site?How many VPN client endpoints can I have in my Point-to-Site configuration?

Závisí na SKU brány.It depends on the gateway SKU. Další informace o počtu podporovaných připojení najdete v tématu SKU brány.For more information on the number of connections supported, see Gateway SKUs.

Jaké klientské operační systémy je možné používat s Point-to-site?What client operating systems can I use with Point-to-Site?

Podporovány jsou následující operační systémy:The following client operating systems are supported:

  • Windows 7 (32bitové a 64bitové verze)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (pouze 64bitové verze)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32bitové a 64bitové verze)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (pouze 64bitové verze)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (pouze 64bitové verze)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (pouze 64bitové verze)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (pouze 64)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X verze 10,11 nebo vyššíMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2.VPN Gateway will support only TLS 1.2. Chcete-li zachovat podporu, přečtěte si téma aktualizace pro povolení podpory protokolu TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Kromě toho se u protokolu TLS od 1. července 2018 budou taky zastaraly následující starší algoritmy:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Návody povolit podporu TLS 1,2 ve Windows 7 a Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Otevřete příkazový řádek se zvýšenými oprávněními, a to tak, že kliknete pravým tlačítkem na příkazový řádek a vyberete Spustit jako správce.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Na příkazovém řádku spusťte následující příkazy:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Nainstalujte následující aktualizace:Install the following updates:

  4. Restartujte počítač.Reboot the computer.

  5. Připojte se k síti VPN.Connect to the VPN.

Poznámka

Pokud používáte starší verzi Windows 10 (10240), budete muset nastavit výše uvedený klíč registru.You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Je možné procházet proxy servery a brány firewall s využitím schopnosti Point-to-Site?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure podporuje tři typy možností sítě VPN typu Point-to-site:Azure supports three types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP je proprietární řešení založené na SSL společnosti Microsoft, které může proniknout branami firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol 443 SSL.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN je řešení založené na protokolu SSL, které může proniknout branami firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol SSL 443.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá Odchozí porty UDP 500 a 4500 a číslo protokolu IP.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Brány firewall tyto porty neotvírají vždycky, takže je možné, že IKEv2 VPN nebude moct procházet servery proxy a branami firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení Point-to-Site, připojí se síť VPN automaticky znovu?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Ve výchozím nastavení nebude klientský počítač vytvářet připojení k síti VPN automaticky znovu.By default, the client computer will not reestablish the VPN connection automatically.

Podporuje připojení Point-to-Site automatické připojení a DDNS u klientů sítě VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Automatické opětné připojení a DDNS se u sítí VPN s připojením Point-to-Site aktuálně nepodporují.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Je možné současně používat konfigurace Site-to-Site a Point-to-Site pro stejnou virtuální síť?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Ano.Yes. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pro model nasazení Classic je potřebná dynamická brána.For the classic deployment model, you need a dynamic gateway. Připojení Point-to-Site se pro brány VPN se statickým směrováním ani pro brány VPN PolicyBased nepodporuje.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Můžu nakonfigurovat klienta Point-to-site pro připojení k několika branám virtuální sítě ve stejnou dobu?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

V závislosti na použitém klientském softwaru VPN se možná budete moct připojit k několika Virtual Network branám, za kterých virtuální sítě, ke kterým se připojují, nemají konfliktní adresní prostory mezi nimi nebo sítí, ze kterých se klient připojuje.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. I když klient Azure VPN podporuje mnoho připojení VPN, může se v jednom okamžiku připojit jenom jedno připojení.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Je možné nakonfigurovat klienta Point-to-Site tak, aby se připojoval k několik virtuálním sítím současně?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Připojení typu Point-to-site k bráně Virtual Network nasazené ve virtuální síti, která má partnerský vztah s jinými virtuální sítě, může mít přístup k jiným partnerským virtuální sítě.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Pokud virtuální sítě partnerských uzlů používá funkce UseRemoteGateway/AllowGatewayTransit, klient Point-to-site se bude moci připojit k těmto virtuální sítěům s partnerským vztahem.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Další informace najdete v tomto článku.For more information please reference this article.

Jakou propustnost je možné očekávat u připojení typu Site-to-Site nebo Point-to-Site?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN.IPsec and SSTP are crypto-heavy VPN protocols. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem.Throughput is also limited by the latency and bandwidth between your premises and the Internet. U služby VPN Gateway s připojeními Point-to-Site VPN jenom typu IKEv2 bude celková propustnost, kterou můžete očekávat, záviset na skladové jednotce Gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.For more information on throughput, see Gateway SKUs.

Je možné pro připojení Point-to-Site použít libovolného softwarového klienta sítě VPN, pokud podporuje protokol SSTP a/nebo IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Ne.No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. K připojení přes protokol OpenVPN ale můžete použít klienta OpenVPN na všech platformách.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Podrobnosti najdete v seznamu podporovaných klientských operačních systémů.Refer to the list of supported client operating systems.

Podporuje Azure IKEv2 VPN s Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Pokud ale chcete používat IKEv2, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru v místním prostředí.However, in order to use IKEv2, you must install updates and set a registry key value locally. Verze operačního systému starší než Windows 10 nejsou podporované a můžou používat jenom protokol SSTP nebo OpenVPN®.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Nainstalujte aktualizaci.Install the update.

    Verze operačního systémuOS version DatumDate Číslo/odkazNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 verze 1607Windows 10 Version 1607
    17. ledna 2018January 17, 2018 KB4057142KB4057142
    Windows 10 verze 1703Windows 10 Version 1703 17. ledna 2018January 17, 2018 KB4057144KB4057144
    Windows 10 verze 1709Windows 10 Version 1709 22. března 2018March 22, 2018 KB4089848KB4089848
  2. Nastavte hodnotu klíče registru.Set the registry key value. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Když nakonfigurujete SSTP a IKEv2 ve smíšeném prostředí (které se skládá ze zařízení se systémy Windows a Mac), klient VPN systému Windows vždycky nejdřív zkusí využít tunel IKEv2, ale pokud připojení IKEv2 není úspěšné, vrátí se k SSTP.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.MacOSX will only connect via IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Pro P2S VPN Azure podporuje Windows, Mac a Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Už mám nasazenou Azure VPN Gateway.I already have an Azure VPN Gateway deployed. Můžu na ní povolit RADIUS, případně IKEv2 VPN?Can I enable RADIUS and/or IKEv2 VPN on it?

Ano, tyto funkce můžete na už nasazených bránách povolit pomocí PowerShellu nebo webu Azure Portal za předpokladu, že použitá jednotka SKU brány podporuje RADIUS a/nebo IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Například SKU VPN Gateway Basic nepodporuje RADIUS ani IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Návody odebrat konfiguraci připojení P2S?How do I remove the configuration of a P2S connection?

Konfiguraci P2S můžete odebrat pomocí Azure CLI a PowerShellu pomocí následujících příkazů:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Podporuje se ověřování pomocí protokolu RADIUS ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

Ověřování pomocí protokolu RADIUS se podporuje pro SKU VpnGw1, VpnGw2 a VpnGw3.RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. Pokud používáte starší verze SKU, podporuje se ověřování pomocí protokolu RADIUS u SKU pro standardní a vysoký výkon.If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Nepodporuje se u skladové jednotky SKU brány úrovně Basic.It is not supported on the Basic Gateway SKU. 

Podporuje se ověřování pomocí protokolu RADIUS u klasického modelu nasazení?Is RADIUS authentication supported for the classic deployment model?

Ne.No. Ověřování pomocí protokolu RADIUS se u klasického modelu nasazení nepodporuje.RADIUS authentication is not supported for the classic deployment model.

Podporují se servery RADIUS třetích stran?Are 3rd-party RADIUS servers supported?

Ano, servery RADIUS třetích stran se podporují.Yes, 3rd-party RADIUS servers are supported.

Jaké jsou požadavky na připojení, aby se zajistilo, že se brána Azure může spojit s místním serverem RADIUS?What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

Je nutné připojení VPN typu Site-to-Site k místní lokalitě, a to se správně nakonfigurovanými trasami.A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

Je možné směrovat provoz do místního serveru RADIUS server (ze služby Azure VPN Gateway) přes připojení ExpressRoute?Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

Ne.No. Směrovat je možné jenom přes připojení typu Site-to-Site.It can only be routed over a Site-to-Site connection.

Došlo ke změně počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS?Is there a change in the number of SSTP connections supported with RADIUS authentication? Jaký je maximální podporovaný počet připojení SSTP a IKEv2?What is the maximum number of SSTP and IKEv2 connections supported?

K žádné změně maximálního počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS nedošlo.There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. Zůstane 128 pro protokol SSTP, ale závisí na SKU brány pro IKEv2.It remains 128 for SSTP, but depends on the gateway SKU for IKEv2.Další informace o počtu podporovaných připojení najdete v tématu SKU brány. For more information on the number of connections supported, see Gateway SKUs.

Jaký je rozdíl mezi ověřováním certifikátů pomocí protokolu RADIUS a nativním ověřováním certifikátů Azure (nahráním důvěryhodného certifikátu do Azure)?What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

Při ověřování certifikátů pomocí protokolu RADIUS se žádost o ověření předá serveru RADIUS, který zpracuje vlastní ověření certifikátu.In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. Tato možnost je užitečná, pokud chcete využít integraci s infrastrukturou ověřování certifikátů, kterou již prostřednictvím protokolu RADIUS máte.This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

Při použití Azure k ověřování certifikátů provádí ověření certifikátu služba Azure VPN Gateway.When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. Do brány musíte nahrát veřejný klíč certifikátu.You need to upload your certificate public key to the gateway. Můžete také zadat seznam odvolaných certifikátů, kterým by nemělo být povoleno připojení.You can also specify list of revoked certificates that shouldn’t be allowed to connect.

Funguje ověřování RADIUS s IKEv2 i SSTP VPN?Does RADIUS authentication work with both IKEv2, and SSTP VPN?

Ano, ověřování RADIUS je podporované jak pro IKEv2, tak i pro SSTP VPN.Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

Funguje ověřování RADIUS u klienta OpenVPN?Does RADIUS authentication work with the OpenVPN client?

Ověřování pomocí protokolu RADIUS se podporuje jenom u protokolu OpenVPN prostřednictvím PowerShellu.RADIUS authentication is supported for the OpenVPN protocol only through PowerShell.

Připojení typu VNet-to-VNet a Multi-SiteVNet-to-VNet and Multi-Site connections

Nejčastější dotazy k VNet-to-VNet se vztahují na připojení brány VPN Gateway.The VNet-to-VNet FAQ applies to VPN gateway connections. Informace o partnerském vztahu virtuálních sítí najdete v tématu věnovaném partnerským vztahům virtuální sítě.For information about VNet peering, see Virtual network peering.

Účtuje se v Azure provoz mezi virtuálními sítěmi?Does Azure charge for traffic between VNets?

Provoz VNet-to-VNet v rámci stejné oblasti je v obou směrech zdarma pro použití připojení brány VPN.VNet-to-VNet traffic within the same region is free for both directions when you use a VPN gateway connection. Odchozí přenosy mezi oblastmi VNet-to-VNet se účtují podle sazeb za odchozí přenos dat mezi virtuálními sítěmi podle zdrojových oblastí.Cross-region VNet-to-VNet egress traffic is charged with the outbound inter-VNet data transfer rates based on the source regions. Další informace najdete na stránce s cenami VPN Gateway.For more information, see VPN Gateway pricing page. Pokud připojujete virtuální sítě pomocí partnerského vztahu virtuálních sítí namísto brány VPN Gateway, přečtěte si téma ceny služby Virtual Network.If you're connecting your VNets by using VNet peering instead of a VPN gateway, see Virtual network pricing.

Prochází provoz mezi virtuálními sítěmi přes Internet?Does VNet-to-VNet traffic travel across the internet?

Ne.No. Provoz VNet-to-VNet se přenáší přes Microsoft Azure páteřní síť, nikoli na Internet.VNet-to-VNet traffic travels across the Microsoft Azure backbone, not the internet.

Můžu navázat připojení typu VNet-to-VNet mezi klienty Azure Active Directory (AAD)?Can I establish a VNet-to-VNet connection across Azure Active Directory (AAD) tenants?

Ano, připojení typu VNet-to-VNet, která používají brány Azure VPN Gateway, fungují napříč klienty AAD.Yes, VNet-to-VNet connections that use Azure VPN gateways work across AAD tenants.

Je provoz VNet-to-VNet bezpečný?Is VNet-to-VNet traffic secure?

Ano, je chráněn šifrováním pomocí protokolu IPsec/IKE.Yes, it's protected by IPsec/IKE encryption.

Je k propojení virtuálních sítí potřeba zařízení VPN?Do I need a VPN device to connect VNets together?

Ne.No. Propojení více virtuálních sítí Azure nevyžaduje žádná zařízení VPN, pokud není vyžadována možnost připojení mezi různými místy.Connecting multiple Azure virtual networks together doesn't require a VPN device unless cross-premises connectivity is required.

Je nutné, aby virtuální sítě byly ve stejné oblasti?Do my VNets need to be in the same region?

Ne.No. Virtuální sítě se můžou nacházet ve stejné oblasti (umístění) Azure nebo v různých oblastech.The virtual networks can be in the same or different Azure regions (locations).

Pokud virtuální sítě nejsou ve stejném předplatném, musí být předplatné přidruženo ke stejnému tenantovi Active Directory?If the VNets aren't in the same subscription, do the subscriptions need to be associated with the same Active Directory tenant?

Ne.No.

Je možné použít VNet-to-VNet k propojení virtuálních sítí v samostatných instancích Azure?Can I use VNet-to-VNet to connect virtual networks in separate Azure instances?

Ne.No. VNet-to-VNet podporuje propojování virtuálních sítí v rámci stejné instance Azure.VNet-to-VNet supports connecting virtual networks within the same Azure instance. Například nemůžete vytvořit připojení mezi globálními instancemi Azure a čínskou/německý/vládou USA.For example, you can’t create a connection between global Azure and Chinese/German/US government Azure instances. Pro tyto scénáře zvažte použití připojení VPN typu Site-to-site.Consider using a Site-to-Site VPN connection for these scenarios.

Je možné použít VNet-to-VNet společně s připojením propojujícím víc serverů?Can I use VNet-to-VNet along with multi-site connections?

Ano.Yes. Možnost připojení k virtuální síti je možné využívat současně se sítěmi VPN s více servery.Virtual network connectivity can be used simultaneously with multi-site VPNs.

Ke kolika místních serverům a virtuálním sítím se může připojit jedna virtuální síť?How many on-premises sites and virtual networks can one virtual network connect to?

Podívejte se na tabulku požadavky na bránu .See the Gateway requirements table.

Je možné použít VNet-to-VNet k propojení virtuálních počítačů nebo cloudových služeb mimo virtuální síť?Can I use VNet-to-VNet to connect VMs or cloud services outside of a VNet?

Ne.No. Propojení VNet-to-VNet podporují propojování virtuálních sítí.VNet-to-VNet supports connecting virtual networks. Nepodporuje propojování virtuálních počítačů ani cloudových služeb, které nejsou ve virtuální síti.It doesn't support connecting virtual machines or cloud services that aren't in a virtual network.

Může se virtuální sítě cloudová služba nebo koncový bod vyrovnávání zatížení?Can a cloud service or a load-balancing endpoint span VNets?

Ne.No. Cloudová služba nebo koncový bod pro vyrovnávání zatížení nemůžou být napříč virtuálními sítěmi, i když jsou připojené dohromady.A cloud service or a load-balancing endpoint can't span across virtual networks, even if they're connected together.

Můžu použít typ sítě VPN PolicyBased pro připojení typu VNet-to-VNet nebo Multi-Site?Can I use a PolicyBased VPN type for VNet-to-VNet or Multi-Site connections?

Ne.No. Připojení typu VNet-to-VNet a Multi-Site vyžadují brány VPN Azure s typy sítě VPN RouteBased (dříve nazývané dynamické směrování).VNet-to-VNet and Multi-Site connections require Azure VPN gateways with RouteBased (previously called dynamic routing) VPN types.

Je možné připojit virtuální síť typu RouteBased k jiné virtuální síti typu PolicyBased?Can I connect a VNet with a RouteBased VPN Type to another VNet with a PolicyBased VPN type?

Ne, obě virtuální sítě musí používat sítě VPN založené na směrování (dříve nazývané dynamické směrování).No, both virtual networks MUST use route-based (previously called dynamic routing) VPNs.

Sdílejí tunely VPN šířku pásma?Do VPN tunnels share bandwidth?

Ano.Yes. Všechna tunelová propojení sítí VPN v rámci virtuální sítě sdílejí v bráně VPN Azure šířku pásma, která je k dispozici, a stejnou smlouvu SLA pro dostupnost brány VPN v Azure.All VPN tunnels of the virtual network share the available bandwidth on the Azure VPN gateway and the same VPN gateway uptime SLA in Azure.

Jsou podporovány redundantní tunely?Are redundant tunnels supported?

Redundantní tunely mezi párem virtuálních sítí jsou podporovány, pokud je jedna brána virtuální sítě nakonfigurována jako aktivní-aktivní.Redundant tunnels between a pair of virtual networks are supported when one virtual network gateway is configured as active-active.

Můžou se překrývat adresní prostory pro konfigurace VNet-to-VNet?Can I have overlapping address spaces for VNet-to-VNet configurations?

Ne.No. Není možné, aby se rozsahy IP adres překrývaly.You can't have overlapping IP address ranges.

Můžou se překrývat adresní prostory mezi propojenými virtuálními sítěmi a místními servery?Can there be overlapping address spaces among connected virtual networks and on-premises local sites?

Ne.No. Není možné, aby se rozsahy IP adres překrývaly.You can't have overlapping IP address ranges.

Je možné používat bránu VPN Azure pro provoz mezi místními servery a jinou virtuální sítí?Can I use Azure VPN gateway to transit traffic between my on-premises sites or to another virtual network?

Model nasazení Resource ManagerResource Manager deployment model
Ano.Yes. Další informace najdete v článku o BGP.See the BGP section for more information.

Model nasazení ClassicClassic deployment model
Provoz prostřednictvím brány VPN Azure s použitím modelu nasazení Classic je možný, je však závislý na staticky definovaných adresních prostorech v souboru konfigurace sítě.Transit traffic via Azure VPN gateway is possible using the classic deployment model, but relies on statically defined address spaces in the network configuration file. Protokol BGP není u virtuálních sítí a bran VPN Azure používajících model nasazení Classic dosud podporován.BGP is not yet supported with Azure Virtual Networks and VPN gateways using the classic deployment model. Bez protokolu BGP je ruční definování adresních prostorů pro přenos velmi náchylné k chybám a nedoporučuje se.Without BGP, manually defining transit address spaces is very error prone, and not recommended.

Generuje Azure stejný předsdílený klíč protokolu IPsec/IKE pro všechna připojení k síti VPN pro stejnou virtuální síť?Does Azure generate the same IPsec/IKE pre-shared key for all my VPN connections for the same virtual network?

Ne, Azure ve výchozím nastavení pro různá připojení k síti VPN generuje různé předsdílené klíče.No, Azure by default generates different pre-shared keys for different VPN connections. Prostřednictvím rozhraní API REST nebo rutiny prostředí PowerShell pro nastavení předsdíleného klíče však můžete nastavit požadovanou hodnotu klíče.However, you can use the Set VPN Gateway Key REST API or PowerShell cmdlet to set the key value you prefer. Klíč musí obsahovat tisknutelné znaky ASCII.The key MUST be printable ASCII characters.

Je možné dosáhnout větší šířky pásma použitím několika sítí VPN Site-to-Site než v případě jedné virtuální sítě?Do I get more bandwidth with more Site-to-Site VPNs than for a single virtual network?

Ne, všechna tunelové propojení sítí VPN Point-to-Site sdílejí tutéž bránu VPN Azure a dostupnou šířku pásma.No, all VPN tunnels, including Point-to-Site VPNs, share the same Azure VPN gateway and the available bandwidth.

Je možné nakonfigurovat více tunelových propojení mezi virtuální sítí a místního serverem prostřednictvím sítě VPN pro více serverů?Can I configure multiple tunnels between my virtual network and my on-premises site using multi-site VPN?

Ano, ale budete muset nakonfigurovat BGP na obou tunelech ve stejné lokalitě.Yes, but you must configure BGP on both tunnels to the same location.

Je možné používat sítě VPN Point-to-Site v případě virtuální sítě s několika tunelovými propojeními sítě VPN?Can I use Point-to-Site VPNs with my virtual network with multiple VPN tunnels?

Ano, sítě VPN Point-to-Site (P2S) je možné používat spolu s bránami VPN, které se připojují k několika místním serverům a dalším virtuálním sítím.Yes, Point-to-Site (P2S) VPNs can be used with the VPN gateways connecting to multiple on-premises sites and other virtual networks.

Je možné připojit virtuální síť se sítěmi VPN s protokolem IPsec k okruhu ExpressRoute?Can I connect a virtual network with IPsec VPNs to my ExpressRoute circuit?

Ano, tato možnost je podporována.Yes, this is supported. Další informace najdete v tématu konfigurace ExpressRoute a připojení VPN typu site-to-site, která mohou existovat vedle sebe.For more information, see Configure ExpressRoute and Site-to-Site VPN connections that coexist.

Zásady IPsec/IKEIPsec/IKE policy

Jsou vlastní zásady IPsec/IKE podporovány ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?Is Custom IPsec/IKE policy supported on all Azure VPN Gateway SKUs?

Vlastní zásady IPsec/IKE se podporují ve všech SKU Azure s výjimkou základní skladové položky (SKU).Custom IPsec/IKE policy is supported on all Azure SKUs except the Basic SKU.

Kolik zásad můžu zadat pro jedno připojení?How many policies can I specify on a connection?

Pro dané připojení můžete zadat jenom *jednu kombinaci zásad.You can only specify *one _ policy combination for a given connection.

Můžu pro připojení zadat částečné zásady?Can I specify a partial policy on a connection? (například pouze algoritmy IKE, ale ne IPsec)(for example, only IKE algorithms, but not IPsec)

Ne, musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim).No, you must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Zadání částečných zásad není povoleno.Partial policy specification is not allowed.

Jaké algoritmy a síly klíče jsou podporované ve vlastních zásadách?What are the algorithms and key strengths supported in the custom policy?

Následující tabulka uvádí podporované kryptografické algoritmy a síly klíče, které můžou zákazníci konfigurovat.The following table lists the supported cryptographic algorithms and key strengths configurable by the customers. Pro každé pole musíte vybrat jednu možnost.You must select one option for every field.

_ IPSec/IKEv2*_ IPsec/IKEv2* MožnostiOptions
Šifrování protokolem IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integrita protokolu IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Skupina DHDH Group DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, ŽádnáDHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
Šifrování protokolem IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, ŽádnéGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integrita protokolu IPsecIPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Skupina PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, ŽádnáPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Doba života přidružení zabezpečení v rychlém režimuQM SA Lifetime Sekundy (integer; min. 300 / výchozí hodnota 27 000 sekund)Seconds (integer; min. 300/default 27000 seconds)
Kilobajty (integer; min. 1024 / výchozí hodnota 102 400 000 kilobajtů)KBytes (integer; min. 1024/default 102400000 KBytes)
Selektor provozuTraffic Selector UsePolicyBasedTrafficSelectors ($True nebo $False; výchozí hodnota je $False)UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Důležité

  1. DHGroup2048 a PFS2048 jsou stejná skupina Diffie-Hellman 14 v PFS protokolů IKE a IPsec.DHGroup2048 & PFS2048 are the same as Diffie-Hellman Group 14 in IKE and IPsec PFS. Kompletní mapování najdete v části Skupiny Diffie-Hellman.See Diffie-Hellman Groups for the complete mappings.
  2. V případě algoritmů GCMAES musíte zadat stejný algoritmus GCMAES a délku klíče pro šifrování protokolem IPsec i integritu dat.For GCMAES algorithms, you must specify the same GCMAES algorithm and key length for both IPsec Encryption and Integrity.
  3. Životnost SA hlavního režimu IKEv2 je opravena na 28 800 sekund ve službě Azure VPN Gateway.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways.
  4. Doby života přidružení zabezpečení v rychlém režimu jsou volitelné parametry.QM SA Lifetimes are optional parameters. Pokud nebyla zadána žádná doba života, použijí se výchozí hodnoty 27 000 sekund (7,5 hodiny) a 102 400 000 kilobajtů (102 GB).If none was specified, default values of 27,000 seconds (7.5 hrs) and 102400000 KBytes (102GB) are used.
  5. UsePolicyBasedTrafficSelector je parametr možnosti v připojení.UsePolicyBasedTrafficSelector is an option parameter on the connection. Podívejte se na další položku nejčastějších dotazů týkající se možnosti UsePolicyBasedTrafficSelectors.See the next FAQ item for "UsePolicyBasedTrafficSelectors"

Je nutné, aby zásady brány Azure VPN Gateway přesně odpovídaly konfiguraci místního zařízení VPN?Does everything need to match between the Azure VPN gateway policy and my on-premises VPN device configurations?

Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • Algoritmus šifrování protokolem IKEIKE encryption algorithm
  • Algoritmus integrity protokolu IKEIKE integrity algorithm
  • Skupina DHDH Group
  • Algoritmus šifrování protokolem IPsecIPsec encryption algorithm
  • Algoritmus integrity protokolu IPsecIPsec integrity algorithm
  • Skupina PFSPFS Group
  • Selektor provozu (*)Traffic Selector (*)

Doby životnosti přidružení zabezpečení jsou pouze místní specifikace, nemusí se shodovat.The SA lifetimes are local specifications only, do not need to match.

Pokud povolíte možnost UsePolicyBasedTrafficSelectors, je potřeba zajistit, aby vaše zařízení VPN mělo definované odpovídající selektory provozu pro všechny kombinace předpon místní sítě (brány místní sítě) a předpon virtuální sítě Azure (oběma směry), namísto použití konfigurace typu any-to-any.If you enable UsePolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Například pokud jsou předpony vaší místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony vaší virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, je potřeba zadat následující selektory provozu:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

  • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Další informace najdete v článku Připojení několika místních zařízení VPN založených na zásadách.For more information, see Connect multiple on-premises policy-based VPN devices.

Které skupiny Diffie-Hellman jsou podporovány?Which Diffie-Hellman Groups are supported?

Následující tabulka uvádí podporované skupiny Diffie-Hellman pro protokoly IKE (DHGroup) a IPsec (PFSGroup):The table below lists the supported Diffie-Hellman Groups for IKE (DHGroup) and IPsec (PFSGroup):

Skupina Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Délka klíčeKey length
11 DHGroup1DHGroup1 PFS1PFS1 768bitová skupina MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024bitová skupina MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048bitová skupina MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256bitová skupina ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384bitová skupina ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048bitová skupina MODP2048-bit MODP

Další informace najdete na stránkách RFC3526 a RFC5114.For more information, see RFC3526 and RFC5114.

Nahrazují vlastní zásady výchozí sady zásad IPsec/IKE pro brány Azure VPN Gateway?Does the custom policy replace the default IPsec/IKE policy sets for Azure VPN gateways?

Ano, jakmile jsou pro připojení zadány vlastní zásady, brána Azure VPN Gateway bude používat pouze zásady pro připojení, a to jako iniciátor IKE i jako respondér IKE.Yes, once a custom policy is specified on a connection, Azure VPN gateway will only use the policy on the connection, both as IKE initiator and IKE responder.

Pokud odeberu vlastní zásady IPsec/IKE, stane se připojení nechráněným?If I remove a custom IPsec/IKE policy, does the connection become unprotected?

Ne, připojení bude i nadále chráněno protokolem IPsec/IKE.No, the connection will still be protected by IPsec/IKE. Jakmile z připojení odeberete vlastní zásady, brána Azure VPN Gateway se vrátí k výchozímu seznamu návrhů IPsec/IKE a znovu spustí metodu handshake protokolu IKE s vaším místním zařízením VPN.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and restart the IKE handshake again with your on-premises VPN device.

Přerušilo by přidání nebo aktualizace zásad IPsec/IKE připojení VPN?Would adding or updating an IPsec/IKE policy disrupt my VPN connection?

Ano, mohlo by dojít ke krátkému přerušení (několik sekund), protože brána Azure VPN Gateway přeruší stávající připojení a znovu spustí metodu handshake protokolu IKE pro opětovné vytvoření tunelu IPsec s využitím nových kryptografických algoritmů a parametrů.Yes, it could cause a small disruption (a few seconds) as the Azure VPN gateway tears down the existing connection and restarts the IKE handshake to re-establish the IPsec tunnel with the new cryptographic algorithms and parameters. Pokud chcete přerušení minimalizovat, ujistěte se, že vaše místní zařízení VPN je také nakonfigurováno s odpovídajícími algoritmy a silami klíče.Ensure your on-premises VPN device is also configured with the matching algorithms and key strengths to minimize the disruption.

Můžou se pro různá připojení použít různé zásady?Can I use different policies on different connections?

Ano.Yes. Vlastní zásady se aplikují na jednotlivá připojení.Custom policy is applied on a per-connection basis. Pro různá připojení můžete vytvořit a použít různé zásady IPsec/IKE.You can create and apply different IPsec/IKE policies on different connections. Můžete také použít vlastní zásady pro podmnožinu připojení.You can also choose to apply custom policies on a subset of connections. Zbývající připojení budou používat výchozí sady zásad IPsec/IKE Azure.The remaining ones use the Azure default IPsec/IKE policy sets.

Dají se vlastní zásady použít také pro připojení typu VNet-to-VNet?Can I use the custom policy on VNet-to-VNet connection as well?

Ano, vlastní zásady můžete použít pro připojení IPsec mezi různými místy i pro připojení typu VNet-to-VNet.Yes, you can apply custom policy on both IPsec cross-premises connections or VNet-to-VNet connections.

Je nutné zadat stejné zásady pro oba prostředky připojení typu VNet-to-VNet?Do I need to specify the same policy on both VNet-to-VNet connection resources?

Ano.Yes. Tunel typu VNet-to-VNet se skládá ze dvou prostředků připojení v Azure (jeden pro každý směr).A VNet-to-VNet tunnel consists of two connection resources in Azure, one for each direction. Zajistěte, aby oba prostředky připojení měly stejné zásady, jinak se připojení typu VNet-to-VNet nevytvoří.Make sure both connection resources have the same policy, otherwise the VNet-to-VNet connection won't establish.

Jaká je výchozí hodnota časového limitu DPD?What is the default DPD timeout value? Můžu zadat jiný časový limit pro DPD?Can I specify a different DPD timeout?

Výchozí časový limit DPD je 45 sekund.The default DPD timeout is 45 seconds. Pro každé připojení protokolem IPsec nebo VNet-to-VNet v rozmezí 9 sekund až 3600 sekund můžete zadat jinou hodnotu časového limitu DPD.You can specify a different DPD timeout value on each IPsec or VNet-to-VNet connection between 9 seconds to 3600 seconds.

Fungují zásady IPsec/IKE na připojení ExpressRoute?Does custom IPsec/IKE policy work on ExpressRoute connection?

Ne.No. Zásady IPsec/IKE fungují pouze na připojeních VPN typu Site-to-Site a VNet-to-VNet prostřednictvím bran Azure VPN Gateway.IPsec/IKE policy only works on S2S VPN and VNet-to-VNet connections via the Azure VPN gateways.

Návody vytvářet připojení s typem protokolu IKEv1 nebo IKEv2?How do I create connections with IKEv1 or IKEv2 protocol type?

Připojení IKEv1 se dají vytvořit na všech SKU typu RouteBased VPN, s výjimkou úrovně Basic SKU, Standard SKU a dalších původních SKU.IKEv1 connections can be created on all RouteBased VPN type SKUs, except the Basic SKU, Standard SKU, and other legacy SKUs. Při vytváření připojení můžete zadat typ protokolu připojení IKEv1 nebo IKEv2.You can specify a connection protocol type of IKEv1 or IKEv2 while creating connections. Pokud nezadáte typ protokolu připojení, použije se IKEv2 jako výchozí možnost, pokud je to možné.If you do not specify a connection protocol type, IKEv2 is used as default option where applicable. Další informace najdete v dokumentaci k rutinám PowerShellu .For more information, see the PowerShell cmdlet documentation. U typů SKU a podpory IKEv1/IKEv2 najdete informace v tématu připojení bran k zařízením VPN založeným na zásadách.For SKU types and IKEv1/IKEv2 support, see Connect gateways to policy-based VPN devices.

Je přenos mezi IKEv1 a IKEv2 povolený?Is transit between between IKEv1 and IKEv2 connections allowed?

Ano.Yes. Je podporovaný přenos mezi připojeními IKEv1 a IKEv2.Transit between IKEv1 and IKEv2 connections is supported.

Můžu mít IKEv1 připojení typu Site-to-site na základních SKU typu RouteBased VPN?Can I have IKEv1 site-to-site connections on Basic SKUs of RouteBased VPN type?

Ne.No. Základní skladová položka nepodporuje toto.The Basic SKU does not support this.

Můžu po vytvoření připojení změnit typ protokolu připojení (IKEv1 to IKEv2 a naopak)?Can I change the connection protocol type after the connection is created (IKEv1 to IKEv2 and vice versa)?

Ne.No. Po vytvoření připojení se protokoly IKEv1/IKEv2 nedají změnit.Once the connection is created, IKEv1/IKEv2 protocols cannot be changed. Je nutné odstranit a znovu vytvořit nové připojení s požadovaným typem protokolu.You must delete and recreate a new connection with the desired protocol type.

Kde najdu Další informace o konfiguraci protokolu IPsec?Where can I find more configuration information for IPsec?

Viz téma Konfigurace zásad IPSec/IKE pro připojení S2S nebo VNet-to-VNet .See Configure IPsec/IKE policy for S2S or VNet-to-VNet connections

BGPBGP

Je protokol BGP podporován ve všech SKU služby Azure VPN Gateway?Is BGP supported on all Azure VPN Gateway SKUs?

Protokol BGP je podporován u všech SKU Azure VPN Gateway s výjimkou úrovně Basic SKU.BGP is supported on all Azure VPN Gateway SKUs except Basic SKU.

Můžu použít protokol BGP se Azure Policy branami VPN?Can I use BGP with Azure Policy VPN gateways?

Ne, protokol BGP je podporován pouze u bran sítě VPN založených na trasách.No, BGP is supported on route-based VPN gateways only.

Jaká čísla ASN (čísla autonomních systémů) můžu použít?What ASNs (Autonomous System Numbers) can I use?

Pro místní sítě i virtuální sítě Azure můžete použít vlastní veřejný čísla ASN nebo privátní čísla ASN.You can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks. Nemůžete použít rozsahy rezervované pro Azure nebo IANA.You can't use the ranges reserved by Azure or IANA.

Následující čísla ASN jsou vyhrazené pro Azure nebo IANA:The following ASNs are reserved by Azure or IANA:

  • Čísla ASN rezervované pro Azure:ASNs reserved by Azure:
    • Veřejná ASN: 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
    • Soukromá ASN: 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520
  • Čísla ASN vyhrazený organizací IANA:ASNs reserved by IANA:
    • 23456, 64496–64511, 65535–65551 a 42949672923456, 64496-64511, 65535-65551 and 429496729

Pokud se připojujete ke službě Azure VPN Gateway, nemůžete tyto čísla ASN pro vaše místní zařízení VPN zadat.You can't specify these ASNs for your on-premises VPN devices when you're connecting to Azure VPN gateways.

Můžu použít 32-bit (4 bajty) čísla ASN?Can I use 32-bit (4-byte) ASNs?

Ano, VPN Gateway nyní podporuje 32-bit (4 bajty) čísla ASN.Yes, VPN Gateway now supports 32-bit (4-byte) ASNs. Ke konfiguraci pomocí čísla ASN v desítkovém formátu použijte PowerShell, rozhraní příkazového řádku Azure nebo sadu Azure SDK.To configure by using ASN in decimal format, use PowerShell, the Azure CLI, or the Azure SDK.

Jaké soukromé čísla ASN můžu použít?What private ASNs can I use?

Rozsahy použitelných pro soukromé čísla ASN jsou:The useable ranges of private ASNs are:

  • 64512-65514 a 65521-6553464512-65514 and 65521-65534

Tyto čísla ASN nejsou rezervovány organizací IANA nebo Azure pro použití, a proto je lze použít k přiřazení ke službě Azure VPN Gateway.These ASNs aren't reserved by IANA or Azure for use, and therefore can be used to assign to your Azure VPN gateway.

Jaká adresa VPN Gateway použít pro IP adresu partnerského uzlu protokolu BGP?What address does VPN Gateway use for BGP peer IP?

Ve výchozím nastavení VPN Gateway přiděluje jednu IP adresu z rozsahu GatewaySubnet pro brány VPN typu aktivní-pohotovostní nebo dvě IP adresy pro brány VPN typu aktivní-aktivní.By default, VPN Gateway allocates a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. Tyto adresy se přiřazují automaticky, když vytvoříte bránu VPN.These addresses are allocated automatically when you create the VPN gateway. Můžete získat vlastní IP adresu protokolu BGP přidělenou pomocí prostředí PowerShell nebo umístěním do Azure Portal.You can get the actual BGP IP address allocated by using PowerShell or by locating it in the Azure portal. V prostředí PowerShell použijte rutinu Get-AzVirtualNetworkGatewaya vyhledejte vlastnost bgpPeeringAddress .In PowerShell, use Get-AzVirtualNetworkGateway, and look for the bgpPeeringAddress property. V Azure Portal na stránce Konfigurace brány vyhledejte v části Konfigurace vlastnosti ASN protokolu BGP .In the Azure portal, on the Gateway Configuration page, look under the Configure BGP ASN property.

Pokud místní směrovače VPN používají IP adresy APIPA (169.254. x. x) jako IP adresy protokolu BGP, musíte v bráně Azure VPN zadat další IP adresu protokolu BGP pro službu Azure APIPA .If your on-premises VPN routers use APIPA IP addresses (169.254.x.x) as the BGP IP addresses, you must specify an additional Azure APIPA BGP IP address on your Azure VPN gateway. Azure VPN Gateway vybere adresu APIPa, která se má použít s místním partnerským vztahem APIPa protokolu APIPa zadaná v bráně místní sítě, nebo privátní IP adresa pro místní partnerský uzel BGP bez APIPa.Azure VPN Gateway selects the APIPA address to use with the on-premises APIPA BGP peer specified in the local network gateway, or the private IP address for a non-APIPA, on-premises BGP peer. Další informace najdete v tématu Konfigurace protokolu BGP.For more information, see Configure BGP.

Jaké jsou požadavky na IP adresy partnerského uzlu protokolu BGP na zařízení VPN?What are the requirements for the BGP peer IP addresses on my VPN device?

Vaše místní adresa partnerského uzlu BGP nesmí být stejná jako veřejná IP adresa vašeho zařízení VPN nebo z adresního prostoru virtuální sítě služby VPN Gateway.Your on-premises BGP peer address must not be the same as the public IP address of your VPN device or from the virtual network address space of the VPN gateway. Pro IP adresu partnerského uzlu BGP použijte jinou IP adresu na zařízení VPN.Use a different IP address on the VPN device for your BGP peer IP. Může to být adresa přiřazená k rozhraní zpětné smyčky v zařízení (buď běžná IP adresa, nebo adresa APIPa).It can be an address assigned to the loopback interface on the device (either a regular IP address or an APIPA address). Pokud vaše zařízení používá pro protokol BGP adresu APIPa, musíte v bráně Azure VPN Gateway zadat IP adresu APIPa, jak je popsáno v tématu Konfigurace protokolu BGP.If your device uses an APIPA address for BGP, you must specify an APIPA BGP IP address on your Azure VPN gateway, as described in Configure BGP. Zadejte tuto adresu v odpovídající bráně místní sítě představující umístění.Specify this address in the corresponding local network gateway representing the location.

Co mám zadat jako předpony mých adres pro bránu místní sítě při použití protokolu BGP?What should I specify as my address prefixes for the local network gateway when I use BGP?

Důležité

Jedná se o změnu z dřív dokumentovaného požadavku.This is a change from the previously documented requirement. Pokud pro připojení používáte protokol BGP, ponechte pole adresní prostor prázdné pro odpovídající prostředek místní síťové brány.If you use BGP for a connection, leave the Address space field empty for the corresponding local network gateway resource. Azure VPN Gateway přidá trasu hostitele interně k místní IP adrese partnerského uzlu BGP prostřednictvím tunelového propojení IPsec.Azure VPN Gateway adds a host route internally to the on-premises BGP peer IP over the IPsec tunnel. Do pole adresní prostor nepřidávejte trasy/32.Don't add the /32 route in the Address space field. Je redundantní a pokud používáte adresu APIPa jako místní IP adresu BGP zařízení VPN, nejde do tohoto pole přidat.It's redundant and if you use an APIPA address as the on-premises VPN device BGP IP, it can't be added to this field. Pokud přidáte do pole adresní prostor žádné další předpony, přidají se kromě tras zjištěných prostřednictvím protokolu BGP jako statické trasy v bráně Azure VPN.If you add any other prefixes in the Address space field, they are added as static routes on the Azure VPN gateway, in addition to the routes learned via BGP.

Můžu použít stejné číslo ASN pro místní sítě VPN i virtuální sítě Azure?Can I use the same ASN for both on-premises VPN networks and Azure virtual networks?

Ne. Pokud je připojujete spolu s protokolem BGP, musíte přiřadit různé čísla ASN mezi místními sítěmi a vašimi virtuálními sítěmi Azure.No, you must assign different ASNs between your on-premises networks and your Azure virtual networks if you're connecting them together with BGP. K bráně Azure VPN Gateway je přiřazeno výchozí číslo ASN 65515, bez ohledu na to, jestli je protokol BGP povolený, nebo ne pro připojení mezi místními sítěmi.Azure VPN gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. Tuto výchozí hodnotu můžete přepsat tak, že při vytváření brány sítě VPN přiřadíte jiné číslo ASN, případně můžete změnit číslo ASN po vytvoření brány.You can override this default by assigning a different ASN when you're creating the VPN gateway, or you can change the ASN after the gateway is created. K odpovídajícím bránám místní sítě Azure budete muset přiřadit místní čísla ASN.You will need to assign your on-premises ASNs to the corresponding Azure local network gateways.

Které předpony adres budou služby Azure VPN gateway prezentovat?What address prefixes will Azure VPN gateways advertise to me?

Brány inzerují následující trasy na vaše místní zařízení s protokolem BGP:The gateways advertise the following routes to your on-premises BGP devices:

  • Předpony adres vaší virtuální sítě.Your virtual network address prefixes.
  • Předpony adres pro každou bránu místní sítě připojenou ke službě Azure VPN Gateway.Address prefixes for each local network gateway connected to the Azure VPN gateway.
  • Trasy zjištěné z jiných relací partnerských vztahů protokolu BGP připojených ke službě Azure VPN Gateway s výjimkou výchozí trasy nebo tras, které se překrývají s předponou virtuální sítě.Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except for the default route or routes that overlap with any virtual network prefix.

Kolik předpon je možné inzerovat do Azure VPN Gateway?How many prefixes can I advertise to Azure VPN Gateway?

Azure VPN Gateway podporuje až 4000 předpon.Azure VPN Gateway supports up to 4000 prefixes. Pokud počet předpon překročí toto omezení, relace BGP se ukončí.The BGP session is dropped if the number of prefixes exceeds the limit.

Mohu inzerovat výchozí cestu (0.0.0.0/0) do bran Azure VPN Gateway?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Ano.Yes. Všimněte si, že to vynutí všechny odchozí přenosy virtuální sítě směrem k místní lokalitě.Note that this forces all virtual network egress traffic towards your on-premises site. Zabrání taky virtuálním počítačům virtuální sítě přijímat veřejnou komunikaci přímo z Internetu, jako je RDP nebo SSH z Internetu, do virtuálních počítačů.It also prevents the virtual network VMs from accepting public communication from the internet directly, such RDP or SSH from the internet to the VMs.

Můžu inzerovat přesné předpony jako předpony moje virtuální sítě?Can I advertise the exact prefixes as my virtual network prefixes?

Ne. inzerování stejných předpon jako libovolných předpon adres vaší virtuální sítě bude zablokováno nebo filtrováno službou Azure.No, advertising the same prefixes as any one of your virtual network address prefixes will be blocked or filtered by Azure. Můžete ale inzerovat předponu, která je nadmnožinou toho, co máte ve vaší virtuální síti.You can, however, advertise a prefix that is a superset of what you have inside your virtual network.

Pokud například vaše virtuální síť používala adresní prostor 10.0.0.0/16, můžete inzerovat 10.0.0.0/8.For example, if your virtual network used the address space 10.0.0.0/16, you can advertise 10.0.0.0/8. Nemůžete ale inzerovat 10.0.0.0/16 nebo 10.0.0.0/24.But you can't advertise 10.0.0.0/16 or 10.0.0.0/24.

Můžu použít protokol BGP s připojením mezi virtuálními sítěmi?Can I use BGP with my connections between virtual networks?

Ano, protokol BGP můžete použít pro připojení mezi různými místy a připojení mezi virtuálními sítěmi.Yes, you can use BGP for both cross-premises connections and connections between virtual networks.

Lze u služeb Azure VPN Gateway používat kombinaci připojení pomocí protokolu BGP a bez protokolu BGP?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Ano, u stejné služby Azure VPN Gateway je možné kombinovat připojení pomocí protokolu BGP i bez protokolu BGP.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Podporuje Azure VPN Gateway směrování přenosu BGP?Does Azure VPN Gateway support BGP transit routing?

Ano, směrování přenosu protokolu BGP je podporované, s výjimkou, že brány Azure VPN Gateway Neinzerují výchozí trasy jiným partnerům protokolu BGP.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways don't advertise default routes to other BGP peers. Pokud chcete povolit směrování provozu napříč několika branami Azure VPN, musíte povolit protokol BGP u všech zprostředkujících připojení mezi virtuálními sítěmi.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate connections between virtual networks. Další informace najdete v tématu o protokolu BGP.For more information, see About BGP.

Můžu mít více než jeden tunel mezi službou Azure VPN Gateway a místní sítí?Can I have more than one tunnel between an Azure VPN gateway and my on-premises network?

Ano, můžete vytvořit více než jedno tunelové propojení VPN typu Site-to-Site (S2S) mezi službou Azure VPN Gateway a místní sítí.Yes, you can establish more than one site-to-site (S2S) VPN tunnel between an Azure VPN gateway and your on-premises network. Všimněte si, že všechny tyto tunely se počítají na základě celkového počtu tunelů pro brány VPN Azure a musíte povolit protokol BGP u obou tunelů.Note that all these tunnels are counted against the total number of tunnels for your Azure VPN gateways, and you must enable BGP on both tunnels.

Například pokud máte dvě redundantní tunely mezi vaší bránou Azure VPN a jednou z vašich místních sítí, spotřebovávají 2 tunely z celkové kvóty pro vaši bránu Azure VPN.For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they consume 2 tunnels out of the total quota for your Azure VPN gateway.

Můžu mít několik tunelových propojení mezi dvěma virtuálními sítěmi Azure s protokolem BGP?Can I have multiple tunnels between two Azure virtual networks with BGP?

Ano, ale alespoň jedna z bran virtuální sítě musí být v konfiguraci aktivní–aktivní.Yes, but at least one of the virtual network gateways must be in active-active configuration.

Můžu použít protokol BGP pro S2S VPN v konfiguraci koexistence sítě VPN v Azure ExpressRoute a S2S?Can I use BGP for S2S VPN in an Azure ExpressRoute and S2S VPN coexistence configuration?

Ano.Yes.

Co je třeba přidat do místního zařízení VPN pro relaci partnerského vztahu protokolu BGP?What should I add to my on-premises VPN device for the BGP peering session?

Přidejte trasu hostitele IP adresy partnerského uzlu protokolu BGP Azure na zařízení VPN.Add a host route of the Azure BGP peer IP address on your VPN device. Tato trasa odkazuje na tunelové připojení VPN S2S IPsec.This route points to the IPsec S2S VPN tunnel. Pokud je třeba IP adresa partnerského uzlu Azure VPN 10.12.255.30, přidáte trasu hostitele pro 10.12.255.30 s rozhraním Next Hop odpovídajícího rozhraní tunelového propojení IPsec na zařízení VPN.For example, if the Azure VPN peer IP is 10.12.255.30, you add a host route for 10.12.255.30 with a next-hop interface of the matching IPsec tunnel interface on your VPN device.

Podporuje Brána virtuální sítě BFD pro připojení S2S s protokolem BGP?Does the virtual network gateway support BFD for S2S connections with BGP?

Ne.No. Rozpoznávání obousměrného předávání (BFD) je protokol, který můžete použít s protokolem BGP ke zjištění rychlejšího výpadku sousedů, než můžete pomocí standardních nečinnosti protokolu BGP.Bidirectional Forwarding Detection (BFD) is a protocol that you can use with BGP to detect neighbor downtime quicker than you can by using standard BGP "keepalives." BFD používá časovače s dalšími sekundami, které jsou navržené pro práci v prostředích LAN, ale ne přes veřejná připojení k Internetu nebo na celé síti.BFD uses subsecond timers designed to work in LAN environments, but not across the public internet or Wide Area Network connections.

U připojení přes veřejný Internet se určité pakety zpoždění nebo dokonce vyřazené nejsou neobvyklé, takže zavedení těchto agresivních časovačů může být nestabilní.For connections over the public internet, having certain packets delayed or even dropped isn't unusual, so introducing these aggressive timers can add instability. Tato nestabilita může způsobit ztlumení tras pomocí protokolu BGP.This instability might cause routes to be dampened by BGP. Jako alternativu můžete nakonfigurovat místní zařízení s časovači nižšími, než je výchozí interval, 60 sekund "naživu" a 180 – sekundový časovač blokování.As an alternative, you can configure your on-premises device with timers lower than the default, 60-second "keepalive" interval, and the 180-second hold timer. Výsledkem je rychlejší konvergence.This results in a quicker convergence time.

Připojení mezi místními sítěmi a virtuální počítačeCross-premises connectivity and VMs

Pokud se virtuální počítač nachází ve virtuální síti s propojením mezi různými místy, jak se k virtuálnímu počítači připojovat?If my virtual machine is in a virtual network and I have a cross-premises connection, how should I connect to the VM?

Možností je několik.You have a few options. Pokud je pro virtuální počítač povolen protokol RDP, je možné připojit se k virtuálnímu počítači s použitím privátní IP adresy.If you have RDP enabled for your VM, you can connect to your virtual machine by using the private IP address. V takovém případě zadáte privátní IP adresu a port, ke kterému se chcete připojit (obvykle 3389).In that case, you would specify the private IP address and the port that you want to connect to (typically 3389). Je třeba nakonfigurovat příslušný port ve virtuálním počítači pro provoz.You'll need to configure the port on your virtual machine for the traffic.

K virtuálnímu počítači se lze připojit pomocí privátní IP adresy i z jiného virtuálního počítače umístěného ve stejné virtuální síti.You can also connect to your virtual machine by private IP address from another virtual machine that's located on the same virtual network. K virtuálnímu počítači se nelze připojit pomocí protokolu RDP s použitím privátní IP adresy z místa mimo virtuální síť.You can't RDP to your virtual machine by using the private IP address if you are connecting from a location outside of your virtual network. Pokud je například nakonfigurována virtuální síť typu Point-to-Site, ale z počítače není vytvořeno připojení, nelze se k virtuálnímu počítači připojit pomocí privátní IP adresy.For example, if you have a Point-to-Site virtual network configured and you don't establish a connection from your computer, you can't connect to the virtual machine by private IP address.

Pokud se virtuální počítač nachází ve virtuální síti s možností připojení mezi různými místy, prochází tímto připojením veškerý provoz z virtuálního počítače?If my virtual machine is in a virtual network with cross-premises connectivity, does all the traffic from my VM go through that connection?

Ne.No. Bránou virtuální sítě prochází pouze s cílovou IP adresou uvedenou v nastavených rozsazích IP adres místní sítě pro příslušnou virtuální síť.Only the traffic that has a destination IP that is contained in the virtual network Local Network IP address ranges that you specified will go through the virtual network gateway. Provoz s cílovou IP adresou v příslušné virtuální síti probíhá v rámci této virtuální sítě.Traffic has a destination IP located within the virtual network stays within the virtual network. Ostatní provoz je odesílán prostřednictvím služby Load Balancer do veřejných sítí nebo prostřednictvím brány VPN Azure, pokud je použito vynucené tunelování.Other traffic is sent through the load balancer to the public networks, or if forced tunneling is used, sent through the Azure VPN gateway.

Řešení potíží s připojením ke vzdálené ploše virtuálního počítačeHow do I troubleshoot an RDP connection to a VM

Pokud se vám nedaří připojit k virtuálnímu počítači přes připojení VPN, zkontrolujte následující:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Ověřte, že je úspěšně navázáno připojení VPN.Verify that your VPN connection is successful.
  • Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.Verify that you are connecting to the private IP address for the VM.
  • Pokud se k virtuálnímu počítači můžete připojit s použitím privátní IP adresy, ale ne pomocí názvu počítače, ověřte, že jste správně nakonfigurovali DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Další informace o tom, jak funguje překlad IP adres pro virtuální počítače, najdete v tématu Překlad IP adres pro virtuální počítače.For more information about how name resolution works for VMs, see Name Resolution for VMs.

Pokud se připojujete přes Point-to-Site, zkontrolujte navíc následující položky:When you connect over Point-to-Site, check the following additional items:

  • Pomocí příkazu ipconfig zkontrolujte IPv4 adresu přiřazenou adaptéru Ethernet na počítači, ze kterého se připojujete.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Pokud je IP adresa v rámci rozsahu adres virtuální sítě, ke které se připojujete, nebo v rámci rozsahu adres VPNClientAddressPool, tato situace se označuje jako překrývající se adresní prostor.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Když se adresní prostor tímto způsobem překrývá, síťový provoz nemá přístup do Azure a zůstane v místní síti.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Ověřte, že se po zadání IP adres serveru DNS pro virtuální síť vygeneroval balíček pro konfiguraci klienta VPN.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Pokud jste aktualizovali IP adresy serveru DNS, vygenerujte a nainstalujte nový balíček pro konfiguraci klienta VPN.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.

Další informace o řešení potíží s připojením ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.For more information about troubleshooting an RDP connection, see Troubleshoot Remote Desktop connections to a VM.

Nejčastější dotazy k Virtual NetworkVirtual Network FAQ

Další informace o virtuálních sítích najdete v tématu Nejčastější dotazy týkající se virtuálních sítí.You view additional virtual network information in the Virtual Network FAQ.

Další krokyNext steps

"OpenVPN" je ochranná známka společnosti OpenVPN Inc."OpenVPN" is a trademark of OpenVPN Inc.