Nejčastější dotazy k branám VPN

Připojování k virtuálním sítím

Je možné propojit virtuální sítě v různých oblastech Azure?

Ano. Žádné omezení oblastí se ve skutečnosti neuplatňuje. Jedna virtuální síť může být propojena s jinou virtuální sítí ve stejném oblasti nebo v jiné oblasti Azure.

Je možné propojovat virtuální sítě v rámci různých předplatných?

Ano.

Můžu při konfiguraci virtuální sítě zadat privátní servery DNS VPN Gateway?

Pokud jste při vytváření virtuální sítě zadali server DNS nebo servery DNS, VPN Gateway servery DNS, které jste zadali. Pokud zadáte server DNS, ověřte, že váš server DNS dokáže přeložit názvy domén potřebné pro Azure.

Je možné připojovat se k více serverům z jedné virtuální sítě?

K více serverům se lze připojovat prostřednictvím prostředí Windows PowerShell a rozhraní API REST Azure. Přečtěte si oddíl Možnosti připojování k více serverům a připojení VNet-to-VNet v nejčastějších dotazech.

Jsou za nastavení brány VPN gateway aktivní-aktivní další náklady?

No.

Jaké jsou možnosti připojení mezi různými místy?

Podporovány jsou následující možnosti připojení mezi různými místy:

  • Site-to-Site – připojení VPN prostřednictvím protokolu IPsec (IKE v1 a IKE v2). Tento typ připojení vyžaduje zařízení VPN nebo službu RRAS. Další informace naleznete v tématu Site-to-Site.
  • Point-to-Site – připojení VPN prostřednictvím protokolu SSTP (Secure Socket Tunneling Protocol) nebo IKE v2. Toto připojení nevyžaduje zařízení VPN. Další informace naleznete v tématu Point-to-Site.
  • VNet-to-VNet – tento typ připojení je stejný jako konfigurace Site-to-Site. VNet-to-VNet je připojení k síti VPN prostřednictvím protokolu IPsec (IKE v1 a IKE v2). Nevyžaduje zařízení VPN. Další informace naleznete v tématu VNet-to-VNet.
  • Multi-Site – varianta konfigurace Site-to-Site, která umožňuje propojit několik místních serverů do virtuální sítě. Další informace najdete v tématu Multi-Site.
  • ExpressRoute – ExpressRoute je privátní připojení k Azure z vaší sítě WAN, nikoli připojení VPN přes veřejný internet. Další informace najdete v tématech Technický přehled ExpressRoute a ExpressRoute – nejčastější dotazy.

Další informace o připojeních VPN Gateway najdete v tématu Informace o službě VPN Gateway.

Jaký je rozdíl mezi připojením Site-to-Site a Point-to-Site?

Konfigurace Site-to-Site (tunel VPN IPsec/IKE) jsou mezi místním umístěním a Azure. To znamená, že se můžete z kteréhokoli počítače ve vaší lokalitě připojit k libovolnému virtuálnímu počítači nebo instanci role ve vaší virtuální síti v závislosti na zvoleném způsobu konfigurace směrování a oprávněních. Je to skvělá možnost pro připojení mezi místními sítěmi, které je vždy dostupné a je vhodné pro hybridní konfigurace. Tento typ připojení využívá zařízení sítě VPN s protokolem IPsec (hardwarové nebo softwarové zařízení), které musí být nasazeno v hraniční části sítě. Pokud chcete vytvořit tento typ připojení, musíte mít externě přístupnou adresu IPv4.

Konfigurace Point-to-Site (VPN přes SSTP) umožňují připojit se z jednoho počítače odkudkoli kamkoli do vaší virtuální sítě. Využívá integrovaného klienta VPN ve Windows. Jako součást konfigurace Point-to-Site nainstalujete certifikát a balíček konfigurace klienta VPN, který obsahuje nastavení umožňující vašemu počítači připojit se ke kterémukoli virtuálnímu počítači nebo instanci role v rámci virtuální sítě. Toto řešení je skvělé, pokud se chcete připojit k virtuální síti, ale nenacházíte se na příslušném místě. Je také vhodné, pokud nemáte přístup k hardwaru sítě VPN nebo adrese IPv4 přístupné zvenčí; obě tyto položky jsou pro připojení Site-to-Site vyžadovány.

Virtuální síť můžete nakonfigurovat tak, aby souběžně používala připojení Site-to-Site i Point-to-Site, pokud pro bránu vytvoříte připojení Site-to-Site s použitím typu sítě VPN založeného na směrování. Typy sítí VPN založené na směrování se v modelu nasazení Classic nazývají dynamické brány.

Ochrana osobních údajů

Ukládá nebo zpracovává služba VPN zákaznická data?

No.

Brány virtuální sítě

Je brána sítě VPN bránou virtuální sítě?

Brána sítě VPN je typem brány virtuální sítě. Brána sítě VPN odesílá šifrovaný provoz mezi virtuální sítí a místním umístěním přes veřejné připojení. Bránu sítě VPN můžete použít také k odesílání provozu mezi virtuálními sítěmi. Při vytváření brány sítě VPN použijete parametr -GatewayType s hodnotou 'Vpn'. Další informace najdete v tématu Informace o nastavení konfigurace služby VPN Gateway.

Co je to brána založená na zásadách (se statickým směrováním)?

Brány založené na zásadách implementují sítě VPN založené na zásadách. Sítě VPN založené na zásadách šifrují pakety a směrují je do tunelových propojení IPsec na základě kombinací předpon adres mezi vaší místní sítí a virtuální sítí VNet Azure. Zásada (nebo selektor provozu) se většinou v konfiguraci sítě VPN definuje jako přístupový seznam.

Co je to brána založená na směrování (s dynamickým směrováním)?

Brány založené na směrování implementují sítě VPN založené na směrování. Sítě VPN založené na směrování používají ke směrování paketů do příslušných rozhraní tunelových propojení „trasy“ v tabulce předávání IP nebo směrovací tabulce IP. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich. Zásady nebo selektory provozu pro sítě VPN založené na směrování jsou nakonfigurované jako any-to-any (nebo zástupné znaky).

Můžu zadat vlastní selektory provozu založené na zásadách?

Ano, selektory provozu je možné definovat prostřednictvím atributu trafficSelectorPolicies pro připojení prostřednictvím příkazu PowerShellu New-AzIpsecTrafficSelectorPolicy. Aby se zadaný selektor provozu projeví, ujistěte se, že je povolená možnost Použít selektory provozu na základě zásad.

Můžu aktualizovat bránu VPN založenou na zásadách tak, aby byla založená na směrování?

No. Typ brány není možné změnit ze zásad na typ založený na směrování ani z typu založeného na směrování na založené na zásadách. Pokud chcete změnit typ brány, musíte bránu odstranit a znovu vytvořit. Tento proces trvá přibližně 60 minut. Když vytvoříte novou bránu, nemůžete zachovat IP adresu původní brány.

  1. Odstraňte všechna připojení přidružená k bráně.

  2. Pomocí jednoho z následujících článků odstraňte bránu:

  3. Vytvořte novou bránu s použitím typu brány, který chcete, a dokončete nastavení sítě VPN. Postup najdete v kurzu Site-to-Site.

Potřebuji GatewaySubnet?

Ano. Podsíť brány obsahuje IP adresy, které používá služba brány virtuální sítě. Pro virtuální síť je třeba vytvořit podsíť brány, aby bylo možné konfigurovat bránu virtuální sítě. Pro správné fungování všech podsítí brány je nutné, aby měly název GatewaySubnet. Nenastavujte pro podsíť brány jiný název. A v podsíti brány nenasazujte virtuální počítače ani žádná jiná zařízení.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány jsou přidělené službě brány. Některé konfigurace vyžadují přidělení více IP adres službám brány než jiné. Ujistěte se, že podsíť brány obsahuje dostatek IP adres, aby se mohla přizpůsobit budoucímu růstu a případným dalším konfiguracím nových připojení. Přestože je tedy možné vytvořit tak malou podsíť brány, jako je /29, doporučujeme vytvořit podsíť brány o velikosti /27 nebo větší (/27, /26, /25 atd.). Podívejte se na požadavky pro konfiguraci, kterou chcete vytvořit, a ověřte, že vaše podsíť brány bude tyto požadavky splňovat.

Je možné nasazovat do podsítě brány virtuální počítače nebo instance role?

No.

Je možné získat IP adresu brány VPN předtím, než se vytvoří?

Zónově redundantní i zónové brány (skladové položky brány, které mají v názvu az) spoléhají na prostředek veřejné IP adresy Azure se skladovou adresou Standard. Prostředky veřejné IP adresy standardních IP adres Azure musí používat statickou metodu přidělování. Proto budete mít veřejnou IP adresu pro bránu VPN, jakmile vytvoříte prostředek veřejné IP adresy standardní SKU, který pro něj chcete použít.

U zónově redundantních a zónových bran (skladové položky brány, které nemají v názvu az) nemůžete před vytvořením získat IP adresu brány VPN. IP adresa se změní jenom v případě, že bránu VPN odstraníte a znovu vytvoříte.

Je možné vyžádat si pro bránu VPN statickou veřejnou IP adresu?

Jak je uvedeno výše, zónově redundantní i zónové brány (skladové položky brány, které mají v názvu az) spoléhají na prostředek veřejné IP adresy Azure se standardní skladovou adresou. Prostředky veřejné IP adresy standardních IP adres Azure musí používat statickou metodu přidělování.

U zónově redundantních a zónových bran (skladové položky brány, které nemají v názvu az) se podporuje pouze dynamické přiřazování IP adres. To ale neznamená, že se IP adresa po přiřazení k vaší bráně VPN změní. Jedinou změnou IP adresy brány VPN je odstranění a opětovné vytvoření brány. Veřejná IP adresa brány VPN se při změně velikosti, resetování nebo dokončení jiné interní údržby a upgradů brány VPN nezmění.

Jak se tunelové připojení sítě VPN ověřuje?

Síť VPN Azure používá ověřování PSK (předsdílený klíč). Při vytváření tunelového propojení sítě VPN se vygeneruje předsdílený klíč (PSK). Automaticky vygenerovaný klíč PSK můžete změnit na vlastní pomocí rutiny PowerShellu Nastavit před sdílený klíč nebo REST API.

Je možné použít rozhraní API pro nastavení předsdíleného klíče ke konfiguraci sítě VPN s bránou založenou na zásadách (se statickým směrováním)?

Ano, rozhraní API i rutinu prostředí PowerShell pro nastavení předsdíleného klíče je možné použít ke konfiguraci sítí VPN Azure založených na zásadách (se statickým směrováním) i sítí VPN Azure založených na směrování (s dynamickým směrováním).

Je možné použít jiné možnosti ověřování?

Ověřování je omezeno na použití předsdílených klíčů (PSK).

Jak určit provoz, který má procházet bránou VPN?

Model nasazení Resource Manager

  • PowerShell: K určení provozu na místní síťové bráně použijte parametr AddressPrefix.
  • Azure Portal: Přejděte k položce Brána místní sítě > Konfigurace > Adresní prostor.

Model nasazení Classic

  • Azure Portal: Přejděte k položce klasická virtuální síť > připojení k síti VPN > připojení VPN typu Site-to-Site > Název místní lokality > Místní lokalita > Klientský adresní prostor.

Můžu pro připojení VPN použít NAT-T?

Ano, procházení NAT (NAT-T) se podporuje. Azure VPN Gateway NEBUDE na vnitřních paketech do a z tunelů IPsec provádět žádné funkce jako NAT. V této konfiguraci se ujistěte, že místní zařízení inicializuje tunel IPSec.

Je možné nastavit v Azure vlastní server VPN a používat ho pro připojování k místní síti?

Ano, je možné nasazovat v Azure vlastní servery nebo brány VPN buď z webu Azure Marketplace, nebo vytvořené jako vlastní směrovače sítě VPN. Je třeba nakonfigurovat ve virtuální síti trasy definované uživatelem, aby se zajistilo správné směrování provozu mezi místními sítěmi a podsítěmi virtuálních sítí.

Proč jsou některé porty v bráně virtuální sítě otevřené?

Jsou vyžadovány pro komunikaci infrastruktury Azure. Jsou chráněny (uzamknuty) s použitím certifikátů Azure. Bez správných certifikátů nemohou externí entity (včetně zákazníků těchto bran) žádným způsobem ovlivnit činnost těchto koncových bodů.

Brána virtuální sítě je v podstatě zařízení s více adresami s jedním síťovým rozhraním, které se klepne do privátní sítě zákazníka a jedním síťovým adaptérem směřujícím do veřejné sítě. Entity infrastruktury Azure nemohou kvůli shodě procházet do privátních sítí zákazníků, takže je pro komunikaci infrastruktury třeba využívat veřejné koncové body. Veřejné koncové body jsou pravidelně kontrolovány auditem zabezpečení Azure.

Další informace o typech brány, požadavcích a propustnosti

Další informace najdete v tématu Informace o nastavení konfigurace služby VPN Gateway.

Připojení typu Site-to-Site a zařízení VPN

Co je třeba zvážit při výběru zařízení VPN?

Ve spolupráci s dodavateli zařízení jsme ověřili sadu standardních zařízení VPN pro připojení Site-to-Site. Seznam známých kompatibilních zařízení VPN, příslušné pokyny ke konfiguraci nebo ukázky a specifikace zařízení najdete v článku s popisem zařízení VPN. Všechna zařízení v řadách zařízení uvedená jako známá kompatibilní by měla spolupracovat s virtuální sítí. Konfiguraci zařízení VPN vám usnadní ukázka konfigurace zařízení nebo odkaz, který odpovídá příslušné řadě zařízení.

Kde najdu nastavení konfigurace zařízení VPN?

Stažení konfiguračních skriptů zařízení VPN:

V závislosti na vašem zařízení VPN možná budete moct stáhnut konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Na následujících odkazech najdete další informace o konfiguraci:

Jak upravím ukázky konfigurace zařízení VPN?

Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.

Kde najdu parametry protokolu IPsec a IKE?

Parametry protokolu IPsec/IKE najdete v popisu parametrů.

Proč se tunelové připojení sítě VPN založené na zásadách při nečinnosti deaktivuje?

Toto je očekávané chování u bran VPN pracujících na základě zásad (označují se také výrazem statické směrování). Když je přenos přes tunelové propojení nečinný déle než 5 minut, tunelové propojení se deaktivuje. Když se provoz v některém směru obnoví, tunelové propojení se ihned aktivuje znovu.

Je možné používat pro připojení k Azure softwarové sítě VPN?

Konfigurace připojení Site-to-Site pro více míst je podporována u serverů RRAS (Routing and Remote Access) Windows Server 2012.

Jiná softwarová řešení sítě VPN by měla s naší bránou spolupracovat, pokud odpovídají implementacím protokolu IPsec podle průmyslových standardů. Ohledně pokynů ke konfiguraci a podporu se obraťte na výrobce příslušného softwaru.

Můžu se připojit ke službě Azure Gateway prostřednictvím připojení Point-to-Site, když se nachází v lokalitě s aktivním připojením site-to-site?

Ano, ale veřejné IP adresy klienta Point-to-Site se musí lišit od veřejných IP adres používaných zařízením VPN site-to-site, jinak připojení Point-to-Site nebude fungovat. Připojení Point-to-Site s protokolem IKEv2 není možné iniciovat ze stejných veřejných IP adres, na kterých je připojení VPN site-to-site nakonfigurované ve stejné službě Azure VPN Gateway.

Point-to-Site – ověřování pomocí certifikátu

Tato část se týká modelu nasazení Resource Manager.

Kolik koncových bodů klienta VPN je možné mít v konfiguraci připojení Point-to-Site?

Závisí na SKU brány. Další informace o počtu podporovaných připojení najdete v tématu SKU brány.

Jaké klientské operační systémy je možné používat s Point-to-site?

Podporovány jsou následující operační systémy:

  • Windows Server 2008 R2 (pouze 64bitové verze)
  • Windows 8.1 (32bitové a 64bitové verze)
  • Windows Server 2012 (pouze 64bitové verze)
  • Windows Server 2012 R2 (pouze 64bitové verze)
  • Windows Server 2016 (pouze 64bitové verze)
  • Windows Server 2019 (pouze 64)
  • Windows 10
  • Windows 11
  • macOS verze 10,11 nebo vyšší
  • Linux (StrongSwan)
  • iOS

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2. Chcete-li zachovat podporu, přečtěte si téma aktualizace pro povolení podpory protokolu TLS 1.2.

Kromě toho se u protokolu TLS od 1. července 2018 budou taky zastaraly následující starší algoritmy:

  • RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)

Návody povolit podporu TLS 1,2 v Windows 8.1?

  1. Otevřete příkazový řádek se zvýšenými oprávněními, a to tak, že kliknete pravým tlačítkem na příkazový řádek a vyberete Spustit jako správce.

  2. Na příkazovém řádku spusťte následující příkazy:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

  3. Nainstalujte následující aktualizace:

  4. Restartujte počítač.

  5. Připojte se k síti VPN.

Poznámka

Pokud používáte starší verzi Windows 10 (10240), budete muset nastavit výše uvedený klíč registru.

Je možné procházet proxy servery a brány firewall s využitím schopnosti Point-to-Site?

Azure podporuje tři typy možností sítě VPN typu Point-to-site:

  • SSTP (Secure Socket Tunneling Protocol). SSTP je proprietární řešení založené na SSL společnosti Microsoft, které může proniknout branami firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol 443 SSL.

  • OpenVPN. OpenVPN je řešení založené na protokolu SSL, které může proniknout branami firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol SSL 443.

  • IKEv2 VPN. IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá Odchozí porty UDP 500 a 4500 a číslo protokolu IP. 50. Brány firewall tyto porty neotvírají vždycky, takže je možné, že IKEv2 VPN nebude moct procházet servery proxy a branami firewall.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení Point-to-Site, připojí se síť VPN automaticky znovu?

Ve výchozím nastavení nebude klientský počítač vytvářet připojení k síti VPN automaticky znovu.

Podporuje připojení Point-to-Site automatické připojení a DDNS u klientů sítě VPN?

Automatické opětné připojení a DDNS se u sítí VPN s připojením Point-to-Site aktuálně nepodporují.

Je možné současně používat konfigurace Site-to-Site a Point-to-Site pro stejnou virtuální síť?

Ano. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased. Pro model nasazení Classic je potřebná dynamická brána. Připojení Point-to-Site se pro brány VPN se statickým směrováním ani pro brány VPN PolicyBased nepodporuje.

Můžu nakonfigurovat klienta Point-to-site pro připojení k několika branám virtuální sítě ve stejnou dobu?

V závislosti na použitém klientském softwaru VPN se možná budete moct připojit k několika Virtual Network branám, za kterých virtuální sítě, ke kterým se připojují, nemají konfliktní adresní prostory mezi nimi nebo sítí, ze kterých se klient připojuje. i když Klient Azure VPN podporuje mnoho připojení k síti VPN, může být v jednom okamžiku připojeno pouze jedno připojení.

Je možné nakonfigurovat klienta Point-to-Site tak, aby se připojoval k několik virtuálním sítím současně?

Ano, připojení klientů typu Point-to-site k bráně virtuální sítě, která je nasazená ve virtuální síti, která má partnerský vztah s jinými virtuální sítě, může mít přístup k jiným partnerským virtuální sítě. Klienti Point-to-site se budou moct připojit k virtuální sítě s partnerským vztahem, pokud virtuální sítě používají funkce UseRemoteGateway/AllowGatewayTransit. Další informace najdete v tématu věnovaném Směrování Point-to-site.

Jakou propustnost je možné očekávat u připojení typu Site-to-Site nebo Point-to-Site?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem. U služby VPN Gateway s připojeními Point-to-Site VPN jenom typu IKEv2 bude celková propustnost, kterou můžete očekávat, záviset na skladové jednotce Gateway. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.

Je možné pro připojení Point-to-Site použít libovolného softwarového klienta sítě VPN, pokud podporuje protokol SSTP a/nebo IKEv2?

No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac. K připojení přes protokol OpenVPN ale můžete použít klienta OpenVPN na všech platformách. Přečtěte si seznam podporovaných klientských operačních systémů.

Můžu změnit typ ověřování pro připojení typu Point-to-site?

Ano. Na portálu přejděte na stránku konfigurace VPN Gateway – > Point-to-site . Jako typ ověřování vyberte typy ověřování, které chcete použít. Počítejte s tím, že jakmile provedete změnu typu ověřování, aktuální klienti se nebudou moci připojit, dokud nebude nový konfigurační profil klienta VPN vygenerován, stažen a použit pro každého klienta VPN.

Podporuje Azure IKEv2 VPN s Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016. Chcete-li však použít IKEv2 v určitých verzích operačních systémů, je nutné nainstalovat aktualizace a nastavit hodnotu klíče registru místně. všimněte si, že verze operačních systémů starší než Windows 10 nejsou podporované a můžou používat jenom protokol SSTP nebo OpenVPN®.

poznámka: Windows sestavení operačního systému je novější než Windows 10 verze 1709 a Windows Server 2016 verze 1607 tento postup nevyžaduje.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:

  1. Nainstalujte aktualizaci na základě verze vašeho operačního systému:

    Verze operačního systému Date (Datum) Číslo/odkaz
    Windows Server 2016
    Windows 10 verze 1607    		 17. ledna 2018 KB4057142
    Windows 10 verze 1703 17. ledna 2018 KB4057144
    Windows 10 Verze 1709 22. března 2018 KB4089848

  2. Nastavte hodnotu klíče registru. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?

Když nakonfigurujete SSTP a IKEv2 ve smíšeném prostředí (které se skládá ze zařízení se systémy Windows a Mac), klient VPN systému Windows vždycky nejdřív zkusí využít tunel IKEv2, ale pokud připojení IKEv2 není úspěšné, vrátí se k SSTP. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?

Azure podporuje Windows, Mac a Linux pro P2S VPN.

Už mám nasazenou Azure VPN Gateway. Můžu na ní povolit RADIUS, případně IKEv2 VPN?

Ano, pokud SKU brány, kterou používáte, podporuje protokol RADIUS a/nebo IKEv2, můžete tyto funkce povolit pro brány, které jste už nasadili pomocí PowerShellu nebo Azure Portal. Všimněte si, že základní skladová položka nepodporuje protokol RADIUS ani IKEv2.

Návody odebrat konfiguraci připojení P2S?

Konfiguraci P2S můžete odebrat pomocí Azure CLI a PowerShellu pomocí následujících příkazů:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Co mám dělat, když se při připojení pomocí ověřování certifikátů zobrazuje neshoda certifikátů?

Zrušte kontrolu "ověřit identitu serveru ověřením certifikátu" nebo přidejte plně kvalifikovaný název domény serveru spolu s certifikátem při vytváření profilu ručně. To můžete provést spuštěním souboru Rasphone z příkazového řádku a výběrem profilu z rozevíracího seznamu.

Nedoporučuje se ověřování identity serveru obecně, ale s ověřováním certifikátů Azure se stejný certifikát používá pro ověřování serveru v protokolu IKEv2 (VPN Tunneling Protocol) a protokolu EAP. Vzhledem k tomu, že je certifikát serveru a plně kvalifikovaný název domény už ověřený protokolem tunelového připojení VPN, je redundantní ho znovu ověřit v protokolu EAP.

ověřování Point-to-site

Můžu použít vlastní interní kořenovou certifikační autoritu PKI ke generování certifikátů pro připojení Point-to-site?

Ano. Dříve bylo možné používat pouze kořenové certifikáty podepsané svým držitelem. I nyní je možné nahrát 20 kořenových certifikátů.

Můžu použít certifikáty z Azure Key Vault?

No.

Jaké nástroje se dají použít k vytvoření certifikátů?

Můžete využít vaše podnikové řešení infrastruktury veřejných klíčů (vaše interní PKI), Azure PowerShell, MakeCert a OpenSSL.

Existují nějaké pokyny pro parametry a nastavení certifikátů?

  • Interní / podnikové řešení PKI: Projděte si kroky pro vytvoření certifikátů.

  • Azure PowerShell: Příslušné kroky najdete v článku pro Azure PowerShell.

  • MakeCert: Příslušné kroky najdete v článku pro MakeCert.

  • OpenSSL

    • Při exportu certifikátů nezapomeňte převést kořenový certifikát na Base64.

    • Pro klientský certifikát:

      • Při vytváření privátního klíče zadejte délku 4096.
      • Při vytváření certifikátu jako parametr -extensions zadejte usr_cert.

Point-to-Site – ověřování pomocí protokolu RADIUS

Tato část se týká modelu nasazení Resource Manager.

Kolik koncových bodů klienta VPN je možné mít v konfiguraci připojení Point-to-Site?

Závisí na SKU brány. Další informace o počtu podporovaných připojení najdete v tématu SKU brány.

Jaké klientské operační systémy je možné používat s Point-to-site?

Podporovány jsou následující operační systémy:

  • Windows Server 2008 R2 (pouze 64bitové verze)
  • Windows 8.1 (32bitové a 64bitové verze)
  • Windows Server 2012 (pouze 64bitové verze)
  • Windows Server 2012 R2 (pouze 64bitové verze)
  • Windows Server 2016 (pouze 64bitové verze)
  • Windows Server 2019 (pouze 64)
  • Windows 10
  • Windows 11
  • macOS verze 10,11 nebo vyšší
  • Linux (StrongSwan)
  • iOS

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2. Chcete-li zachovat podporu, přečtěte si téma aktualizace pro povolení podpory protokolu TLS 1.2.

Kromě toho se u protokolu TLS od 1. července 2018 budou taky zastaraly následující starší algoritmy:

  • RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)

Návody povolit podporu TLS 1,2 v Windows 8.1?

  1. Otevřete příkazový řádek se zvýšenými oprávněními, a to tak, že kliknete pravým tlačítkem na příkazový řádek a vyberete Spustit jako správce.

  2. Na příkazovém řádku spusťte následující příkazy:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

  3. Nainstalujte následující aktualizace:

  4. Restartujte počítač.

  5. Připojte se k síti VPN.

Poznámka

Pokud používáte starší verzi Windows 10 (10240), budete muset nastavit výše uvedený klíč registru.

Je možné procházet proxy servery a brány firewall s využitím schopnosti Point-to-Site?

Azure podporuje tři typy možností sítě VPN typu Point-to-site:

  • SSTP (Secure Socket Tunneling Protocol). SSTP je proprietární řešení založené na SSL společnosti Microsoft, které může proniknout branami firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol 443 SSL.

  • OpenVPN. OpenVPN je řešení založené na protokolu SSL, které může proniknout branami firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol SSL 443.

  • IKEv2 VPN. IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá Odchozí porty UDP 500 a 4500 a číslo protokolu IP. 50. Brány firewall tyto porty neotvírají vždycky, takže je možné, že IKEv2 VPN nebude moct procházet servery proxy a branami firewall.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení Point-to-Site, připojí se síť VPN automaticky znovu?

Ve výchozím nastavení nebude klientský počítač vytvářet připojení k síti VPN automaticky znovu.

Podporuje připojení Point-to-Site automatické připojení a DDNS u klientů sítě VPN?

Automatické opětné připojení a DDNS se u sítí VPN s připojením Point-to-Site aktuálně nepodporují.

Je možné současně používat konfigurace Site-to-Site a Point-to-Site pro stejnou virtuální síť?

Ano. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased. Pro model nasazení Classic je potřebná dynamická brána. Připojení Point-to-Site se pro brány VPN se statickým směrováním ani pro brány VPN PolicyBased nepodporuje.

Můžu nakonfigurovat klienta Point-to-site pro připojení k několika branám virtuální sítě ve stejnou dobu?

V závislosti na použitém klientském softwaru VPN se možná budete moct připojit k několika Virtual Network branám, za kterých virtuální sítě, ke kterým se připojují, nemají konfliktní adresní prostory mezi nimi nebo sítí, ze kterých se klient připojuje. i když Klient Azure VPN podporuje mnoho připojení k síti VPN, může být v jednom okamžiku připojeno pouze jedno připojení.

Je možné nakonfigurovat klienta Point-to-Site tak, aby se připojoval k několik virtuálním sítím současně?

Ano, připojení klientů typu Point-to-site k bráně virtuální sítě, která je nasazená ve virtuální síti, která má partnerský vztah s jinými virtuální sítě, může mít přístup k jiným partnerským virtuální sítě. Klienti Point-to-site se budou moct připojit k virtuální sítě s partnerským vztahem, pokud virtuální sítě používají funkce UseRemoteGateway/AllowGatewayTransit. Další informace najdete v tématu věnovaném Směrování Point-to-site.

Jakou propustnost je možné očekávat u připojení typu Site-to-Site nebo Point-to-Site?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem. U služby VPN Gateway s připojeními Point-to-Site VPN jenom typu IKEv2 bude celková propustnost, kterou můžete očekávat, záviset na skladové jednotce Gateway. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.

Je možné pro připojení Point-to-Site použít libovolného softwarového klienta sítě VPN, pokud podporuje protokol SSTP a/nebo IKEv2?

No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac. K připojení přes protokol OpenVPN ale můžete použít klienta OpenVPN na všech platformách. Přečtěte si seznam podporovaných klientských operačních systémů.

Můžu změnit typ ověřování pro připojení typu Point-to-site?

Ano. Na portálu přejděte na stránku konfigurace VPN Gateway – > Point-to-site . Jako typ ověřování vyberte typy ověřování, které chcete použít. Počítejte s tím, že jakmile provedete změnu typu ověřování, aktuální klienti se nebudou moci připojit, dokud nebude nový konfigurační profil klienta VPN vygenerován, stažen a použit pro každého klienta VPN.

Podporuje Azure IKEv2 VPN s Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016. Chcete-li však použít IKEv2 v určitých verzích operačních systémů, je nutné nainstalovat aktualizace a nastavit hodnotu klíče registru místně. všimněte si, že verze operačních systémů starší než Windows 10 nejsou podporované a můžou používat jenom protokol SSTP nebo OpenVPN®.

poznámka: Windows sestavení operačního systému je novější než Windows 10 verze 1709 a Windows Server 2016 verze 1607 tento postup nevyžaduje.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:

  1. Nainstalujte aktualizaci na základě verze vašeho operačního systému:

    Verze operačního systému Date (Datum) Číslo/odkaz
    Windows Server 2016
    Windows 10 verze 1607    		 17. ledna 2018 KB4057142
    Windows 10 verze 1703 17. ledna 2018 KB4057144
    Windows 10 Verze 1709 22. března 2018 KB4089848

  2. Nastavte hodnotu klíče registru. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?

Když nakonfigurujete SSTP a IKEv2 ve smíšeném prostředí (které se skládá ze zařízení se systémy Windows a Mac), klient VPN systému Windows vždycky nejdřív zkusí využít tunel IKEv2, ale pokud připojení IKEv2 není úspěšné, vrátí se k SSTP. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?

Azure podporuje Windows, Mac a Linux pro P2S VPN.

Už mám nasazenou Azure VPN Gateway. Můžu na ní povolit RADIUS, případně IKEv2 VPN?

Ano, pokud SKU brány, kterou používáte, podporuje protokol RADIUS a/nebo IKEv2, můžete tyto funkce povolit pro brány, které jste už nasadili pomocí PowerShellu nebo Azure Portal. Všimněte si, že základní skladová položka nepodporuje protokol RADIUS ani IKEv2.

Návody odebrat konfiguraci připojení P2S?

Konfiguraci P2S můžete odebrat pomocí Azure CLI a PowerShellu pomocí následujících příkazů:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Podporuje se ověřování pomocí protokolu RADIUS ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?

Ověřování pomocí protokolu RADIUS se podporuje pro SKU VpnGw1, VpnGw2 a VpnGw3. Pokud používáte starší verze SKU, podporuje se ověřování pomocí protokolu RADIUS u SKU pro standardní a vysoký výkon. Nepodporuje se u skladové jednotky SKU brány úrovně Basic.

Podporuje se ověřování pomocí protokolu RADIUS u klasického modelu nasazení?

No. Ověřování pomocí protokolu RADIUS se u klasického modelu nasazení nepodporuje.

Jaký je časový limit požadavků protokolu RADIUS odesílaných na server RADIUS?

Požadavky protokolu RADIUS jsou nastaveny na časový limit po 30 sekundách. Hodnoty časového limitu definované uživatelem se v současné době nepodporují.

Podporují se servery RADIUS třetích stran?

Ano, servery RADIUS třetích stran se podporují.

Jaké jsou požadavky na připojení, aby se zajistilo, že se brána Azure může spojit s místním serverem RADIUS?

Je nutné připojení VPN typu Site-to-Site k místní lokalitě, a to se správně nakonfigurovanými trasami.

Je možné směrovat provoz do místního serveru RADIUS server (ze služby Azure VPN Gateway) přes připojení ExpressRoute?

No. Směrovat je možné jenom přes připojení typu Site-to-Site.

Došlo ke změně počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS? Jaký je maximální podporovaný počet připojení SSTP a IKEv2?

K žádné změně maximálního počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS nedošlo. Pro protokol SSTP zůstává 128, ale závisí na SKU brány pro protokol IKEv2. Další informace o počtu podporovaných připojení najdete v tématu Skladové položky brány.

Jaký je rozdíl mezi ověřováním certifikátů pomocí protokolu RADIUS a nativním ověřováním certifikátů Azure (nahráním důvěryhodného certifikátu do Azure)?

Při ověřování certifikátů pomocí protokolu RADIUS se žádost o ověření předá serveru RADIUS, který zpracuje vlastní ověření certifikátu. Tato možnost je užitečná, pokud chcete využít integraci s infrastrukturou ověřování certifikátů, kterou již prostřednictvím protokolu RADIUS máte.

Při použití Azure k ověřování certifikátů provádí ověření certifikátu služba Azure VPN Gateway. Do brány musíte nahrát veřejný klíč certifikátu. Můžete také zadat seznam odvolaných certifikátů, kterým by nemělo být povoleno připojení.

Funguje ověřování RADIUS s IKEv2 i SSTP VPN?

Ano, ověřování RADIUS je podporované jak pro IKEv2, tak i pro SSTP VPN.

Funguje ověřování RADIUS s klientem OpenVPN?

Ověřování RADIUS je podporováno pro protokol OpenVPN pouze prostřednictvím PowerShellu.

Připojení typu VNet-to-VNet a Multi-Site

Nejčastější dotazy k VNet-to-VNet se vztahují na připojení brány VPN Gateway. Informace o partnerském vztahu virtuálních sítí najdete v tématu věnovaném partnerským vztahům virtuální sítě.

Účtuje se v Azure provoz mezi virtuálními sítěmi?

Provoz VNet-to-VNet v rámci stejné oblasti je v obou směrech zdarma pro použití připojení brány VPN. Odchozí přenosy mezi oblastmi VNet-to-VNet se účtují podle sazeb za odchozí přenos dat mezi virtuálními sítěmi podle zdrojových oblastí. Další informace najdete na stránce s cenami VPN Gateway. Pokud připojujete virtuální sítě pomocí partnerského vztahu virtuálních sítí namísto brány VPN Gateway, přečtěte si téma ceny služby Virtual Network.

Prochází provoz mezi virtuálními sítěmi přes Internet?

No. Provoz VNet-to-VNet se přenáší přes Microsoft Azure páteřní síť, nikoli na Internet.

Můžu navázat připojení typu VNet-to-VNet mezi klienty Azure Active Directory (AAD)?

Ano, připojení typu VNet-to-VNet, která používají brány Azure VPN Gateway, fungují napříč klienty AAD.

Je provoz VNet-to-VNet bezpečný?

Ano, je chráněn šifrováním pomocí protokolu IPsec/IKE.

Je k propojení virtuálních sítí potřeba zařízení VPN?

No. Propojení více virtuálních sítí Azure nevyžaduje žádná zařízení VPN, pokud není vyžadována možnost připojení mezi různými místy.

Je nutné, aby virtuální sítě byly ve stejné oblasti?

No. Virtuální sítě se můžou nacházet ve stejné oblasti (umístění) Azure nebo v různých oblastech.

Pokud virtuální sítě nejsou ve stejném předplatném, musí být předplatné přidruženo ke stejnému tenantovi Active Directory?

No.

Je možné použít VNet-to-VNet k propojení virtuálních sítí v samostatných instancích Azure?

No. VNet-to-VNet podporuje propojování virtuálních sítí v rámci stejné instance Azure. Například nemůžete vytvořit připojení mezi globálními instancemi Azure a čínskou/německý/vládou USA. Pro tyto scénáře zvažte použití připojení VPN typu Site-to-site.

Je možné použít VNet-to-VNet společně s připojením propojujícím víc serverů?

Ano. Možnost připojení k virtuální síti je možné využívat současně se sítěmi VPN s více servery.

Ke kolika místních serverům a virtuálním sítím se může připojit jedna virtuální síť?

Podívejte se na tabulku požadavky na bránu .

Je možné použít VNet-to-VNet k propojení virtuálních počítačů nebo cloudových služeb mimo virtuální síť?

No. Propojení VNet-to-VNet podporují propojování virtuálních sítí. Nepodporuje propojování virtuálních počítačů ani cloudových služeb, které nejsou ve virtuální síti.

Může se virtuální sítě cloudová služba nebo koncový bod vyrovnávání zatížení?

No. Cloudová služba nebo koncový bod pro vyrovnávání zatížení nemůžou být napříč virtuálními sítěmi, i když jsou připojené dohromady.

Můžu použít typ sítě VPN PolicyBased pro připojení typu VNet-to-VNet nebo Multi-Site?

No. Připojení typu VNet-to-VNet a Multi-Site vyžadují brány VPN Azure s typy sítě VPN RouteBased (dříve nazývané dynamické směrování).

Je možné připojit virtuální síť typu RouteBased k jiné virtuální síti typu PolicyBased?

Ne, obě virtuální sítě musí používat sítě VPN založené na směrování (dříve nazývané dynamické směrování).

Sdílejí tunely VPN šířku pásma?

Ano. Všechna tunelová propojení sítí VPN v rámci virtuální sítě sdílejí v bráně VPN Azure šířku pásma, která je k dispozici, a stejnou smlouvu SLA pro dostupnost brány VPN v Azure.

Jsou podporovány redundantní tunely?

Redundantní tunely mezi párem virtuálních sítí jsou podporovány, pokud je jedna brána virtuální sítě nakonfigurována jako aktivní-aktivní.

Můžou se překrývat adresní prostory pro konfigurace VNet-to-VNet?

No. Není možné, aby se rozsahy IP adres překrývaly.

Můžou se překrývat adresní prostory mezi propojenými virtuálními sítěmi a místními servery?

No. Není možné, aby se rozsahy IP adres překrývaly.

Návody směrování mezi mým site-to-site VPN připojením a ExpressRoute?

Pokud chcete povolit směrování mezi vaší větví připojenou k ExpressRoute a větví připojenou k site-to-site VPN, budete muset nastavit Směrovací server Azure.

Je možné používat bránu VPN Azure pro provoz mezi místními servery a jinou virtuální sítí?

Model nasazení Resource Manager
Ano. Další informace najdete v článku o BGP.

Model nasazení Classic
Provoz prostřednictvím brány VPN Azure s použitím modelu nasazení Classic je možný, je však závislý na staticky definovaných adresních prostorech v souboru konfigurace sítě. Protokol BGP není u virtuálních sítí a bran VPN Azure používajících model nasazení Classic dosud podporován. Bez protokolu BGP je ruční definování adresních prostorů pro přenos velmi náchylné k chybám a nedoporučuje se.

Generuje Azure stejný předsdílený klíč protokolu IPsec/IKE pro všechna připojení k síti VPN pro stejnou virtuální síť?

Ne, Azure ve výchozím nastavení pro různá připojení k síti VPN generuje různé předsdílené klíče. Prostřednictvím rozhraní API REST nebo rutiny prostředí PowerShell pro nastavení předsdíleného klíče však můžete nastavit požadovanou hodnotu klíče. Klíč MUSÍ být tisknutelné znaky ASCII.

Je možné dosáhnout větší šířky pásma použitím několika sítí VPN Site-to-Site než v případě jedné virtuální sítě?

Ne, všechna tunelové propojení sítí VPN Point-to-Site sdílejí tutéž bránu VPN Azure a dostupnou šířku pásma.

Je možné nakonfigurovat více tunelových propojení mezi virtuální sítí a místního serverem prostřednictvím sítě VPN pro více serverů?

Ano, ale budete muset nakonfigurovat BGP na obou tunelech ve stejné lokalitě.

Respektuje Azure VPN Gateway předplatná AS Path, aby ovlivnila rozhodnutí o směrování mezi několika připojeními k místním lokalitám?

Ano, brána Azure VPN bude respektovat předplatná as-path, aby vám pomohla při rozhodování o směrování, když je povolený protokol BGP. Ve výběru cesty protokolu BGP bude upřednostňována kratší cesta AS.

Je možné používat sítě VPN Point-to-Site v případě virtuální sítě s několika tunelovými propojeními sítě VPN?

Ano, sítě VPN Point-to-Site (P2S) je možné používat spolu s bránami VPN, které se připojují k několika místním serverům a dalším virtuálním sítím.

Je možné připojit virtuální síť se sítěmi VPN s protokolem IPsec k okruhu ExpressRoute?

Ano, tato možnost je podporována. Další informace najdete v tématu konfigurace ExpressRoute a připojení VPN typu site-to-site, která mohou existovat vedle sebe.

Zásady IPsec/IKE

Jsou vlastní zásady IPsec/IKE podporovány ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?

Vlastní zásady IPsec/IKE se podporují ve všech SKU Azure s výjimkou základní skladové položky (SKU).

Kolik zásad můžu zadat pro jedno připojení?

Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.

Můžu pro připojení zadat částečné zásady? (například pouze algoritmy IKE, ale ne IPsec)

Ne, musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim). Zadání částečných zásad není povoleno.

Jaké algoritmy a síly klíče jsou podporované ve vlastních zásadách?

Následující tabulka uvádí podporované kryptografické algoritmy a síly klíče, které můžou zákazníci konfigurovat. Pro každé pole musíte vybrat jednu možnost.

IPsec/IKEv2 Možnosti
Šifrování protokolem IKEv2 AES256, AES192, AES128, DES3, DES
Integrita protokolu IKEv2 SHA384, SHA256, SHA1, MD5
Skupina DH DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, Žádná
Šifrování protokolem IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádné
Integrita protokolu IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Skupina PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Žádná
Doba života přidružení zabezpečení v rychlém režimu Sekundy (integer; min. 300 / výchozí hodnota 27 000 sekund)
Kilobajty (integer; min. 1024 / výchozí hodnota 102 400 000 kilobajtů)
Selektor provozu UsePolicyBasedTrafficSelectors ($True nebo $False; výchozí hodnota je $False)

Důležité

  • DHGroup2048 a PFS2048 jsou stejná skupina Diffie-Hellman 14 v PFS protokolů IKE a IPsec. Kompletní mapování najdete v části Skupiny Diffie-Hellman.
  • V případě algoritmů GCMAES musíte zadat stejný algoritmus GCMAES a délku klíče pro šifrování protokolem IPsec i integritu dat.
  • Životnost SA hlavního režimu IKEv2 je opravena na 28 800 sekund ve službě Azure VPN Gateway.
  • Doby života přidružení zabezpečení v rychlém režimu jsou volitelné parametry. Pokud nebyla zadána žádná doba života, použijí se výchozí hodnoty 27 000 sekund (7,5 hodiny) a 102 400 000 kilobajtů (102 GB).
  • UsePolicyBasedTrafficSelector je parametr možnosti v připojení. Podívejte se na další položku nejčastějších dotazů pro "UsePolicyBasedTrafficSelectors".

Je nutné, aby zásady brány Azure VPN Gateway přesně odpovídaly konfiguraci místního zařízení VPN?

Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:

  • Algoritmus šifrování protokolem IKE
  • Algoritmus integrity protokolu IKE
  • Skupina DH
  • Algoritmus šifrování protokolem IPsec
  • Algoritmus integrity protokolu IPsec
  • Skupina PFS
  • Selektor provozu (*)

Doby životnosti přidružení zabezpečení jsou pouze místní specifikace, nemusí se shodovat.

Pokud povolíte možnost UsePolicyBasedTrafficSelectors, je potřeba zajistit, aby vaše zařízení VPN mělo definované odpovídající selektory provozu pro všechny kombinace předpon místní sítě (brány místní sítě) a předpon virtuální sítě Azure (oběma směry), namísto použití konfigurace typu any-to-any. Například pokud jsou předpony vaší místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony vaší virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, je potřeba zadat následující selektory provozu:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

Další informace najdete v článku Připojení několika místních zařízení VPN založených na zásadách.

Které skupiny Diffie-Hellman jsou podporovány?

Následující tabulka uvádí podporované skupiny Diffie-Hellman pro protokoly IKE (DHGroup) a IPsec (PFSGroup):

Skupina Diffie-Hellman DHGroup PFSGroup Délka klíče
1 DHGroup1 PFS1 768bitová skupina MODP
2 DHGroup2 PFS2 1024bitová skupina MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048bitová skupina MODP
19 ECP256 ECP256 256bitová skupina ECP
20 ECP384 ECP384 384bitová skupina ECP
24 DHGroup24 PFS24 2048bitová skupina MODP

Další informace najdete na stránkách RFC3526 a RFC5114.

Nahrazují vlastní zásady výchozí sady zásad IPsec/IKE pro brány Azure VPN Gateway?

Ano, jakmile jsou pro připojení zadány vlastní zásady, brána Azure VPN Gateway bude používat pouze zásady pro připojení, a to jako iniciátor IKE i jako respondér IKE.

Pokud odeberu vlastní zásady IPsec/IKE, stane se připojení nechráněným?

Ne, připojení bude i nadále chráněno protokolem IPsec/IKE. Jakmile z připojení odeberete vlastní zásady, brána Azure VPN Gateway se vrátí k výchozímu seznamu návrhů IPsec/IKE a znovu spustí metodu handshake protokolu IKE s vaším místním zařízením VPN.

Přerušilo by přidání nebo aktualizace zásad IPsec/IKE připojení VPN?

Ano, mohlo by dojít ke krátkému přerušení (několik sekund), protože brána Azure VPN Gateway přeruší stávající připojení a znovu spustí metodu handshake protokolu IKE pro opětovné vytvoření tunelu IPsec s využitím nových kryptografických algoritmů a parametrů. Pokud chcete přerušení minimalizovat, ujistěte se, že vaše místní zařízení VPN je také nakonfigurováno s odpovídajícími algoritmy a silami klíče.

Můžou se pro různá připojení použít různé zásady?

Ano. Vlastní zásady se aplikují na jednotlivá připojení. Pro různá připojení můžete vytvořit a použít různé zásady IPsec/IKE. Můžete také použít vlastní zásady pro podmnožinu připojení. Zbývající připojení budou používat výchozí sady zásad IPsec/IKE Azure.

Dají se vlastní zásady použít také pro připojení typu VNet-to-VNet?

Ano, vlastní zásady můžete použít pro připojení IPsec mezi různými místy i pro připojení typu VNet-to-VNet.

Je nutné zadat stejné zásady pro oba prostředky připojení typu VNet-to-VNet?

Ano. Tunel typu VNet-to-VNet se skládá ze dvou prostředků připojení v Azure (jeden pro každý směr). Zajistěte, aby oba prostředky připojení měly stejné zásady, jinak se připojení typu VNet-to-VNet nevytvoří.

Jaká je výchozí hodnota časového limitu DPD? Můžu zadat jiný časový limit pro DPD?

Výchozí časový limit DPD je 45 sekund. Pro každé připojení protokolem IPsec nebo VNet-to-VNet v rozmezí 9 sekund až 3600 sekund můžete zadat jinou hodnotu časového limitu DPD.

Fungují zásady IPsec/IKE na připojení ExpressRoute?

No. Zásady IPsec/IKE fungují pouze na připojeních VPN typu Site-to-Site a VNet-to-VNet prostřednictvím bran Azure VPN Gateway.

Návody vytvářet připojení s typem protokolu IKEv1 nebo IKEv2?

Připojení IKEv1 se dají vytvořit na všech SKU typu RouteBased VPN, s výjimkou úrovně Basic SKU, Standard SKU a dalších původních SKU. Při vytváření připojení můžete zadat typ protokolu připojení IKEv1 nebo IKEv2. Pokud nezadáte typ protokolu připojení, použije se IKEv2 jako výchozí možnost, pokud je to možné. Další informace najdete v dokumentaci k rutinám PowerShellu . U typů SKU a podpory IKEv1/IKEv2 najdete informace v tématu připojení bran k zařízením VPN založeným na zásadách.

Je přenos mezi IKEv1 a IKEv2 povolený?

Ano. Je podporovaný přenos mezi připojeními IKEv1 a IKEv2.

Můžu mít IKEv1 připojení typu Site-to-site na základních SKU typu RouteBased VPN?

No. Základní skladová položka nepodporuje toto.

Můžu po vytvoření připojení změnit typ protokolu připojení (IKEv1 to IKEv2 a naopak)?

No. Po vytvoření připojení se protokoly IKEv1/IKEv2 nedají změnit. Je nutné odstranit a znovu vytvořit nové připojení s požadovaným typem protokolu.

Kde najdu Další informace o konfiguraci protokolu IPsec?

Přečtěte si téma Konfigurace zásad IPSec/IKE pro připojení S2S nebo VNet-to-VNet.

BGP a směrování

Je protokol BGP podporován ve všech SKU služby Azure VPN Gateway?

Protokol BGP je podporován u všech SKU Azure VPN Gateway s výjimkou úrovně Basic SKU.

Můžu použít protokol BGP se Azure Policy branami VPN?

Ne, protokol BGP je podporován pouze u bran sítě VPN založených na trasách.

Jaká čísla ASN (čísla autonomních systémů) můžu použít?

Pro místní sítě i virtuální sítě Azure můžete použít vlastní veřejný čísla ASN nebo privátní čísla ASN. Nemůžete použít rozsahy rezervované pro Azure nebo IANA.

Následující čísla ASN jsou vyhrazené pro Azure nebo IANA:

  • Čísla ASN rezervované pro Azure:

    • Veřejná ASN: 8074, 8075, 12076
    • Soukromá ASN: 65515, 65517, 65518, 65519, 65520

  • Čísla ASN vyhrazený organizací IANA:

    • 23456, 64496–64511, 65535–65551 a 429496729

Pokud se připojujete ke službě Azure VPN Gateway, nemůžete tyto čísla ASN pro vaše místní zařízení VPN zadat.

Můžu použít 32-bit (4 bajty) čísla ASN?

Ano, VPN Gateway nyní podporuje 32-bit (4 bajty) čísla ASN. Ke konfiguraci pomocí čísla ASN v desítkovém formátu použijte PowerShell, rozhraní příkazového řádku Azure nebo sadu Azure SDK.

Jaké soukromé čísla ASN můžu použít?

Rozsahy použitelných pro soukromé čísla ASN jsou:

  • 64512-65514 a 65521-65534

Tyto čísla ASN nejsou rezervovány organizací IANA nebo Azure pro použití, a proto je lze použít k přiřazení ke službě Azure VPN Gateway.

Jaká adresa VPN Gateway použít pro IP adresu partnerského uzlu protokolu BGP?

Ve výchozím nastavení VPN Gateway přiděluje jednu IP adresu z rozsahu GatewaySubnet pro brány VPN typu aktivní-pohotovostní nebo dvě IP adresy pro brány VPN typu aktivní-aktivní. Tyto adresy se přiřazují automaticky, když vytvoříte bránu VPN. Můžete získat vlastní IP adresu protokolu BGP přidělenou pomocí prostředí PowerShell nebo umístěním do Azure Portal. V prostředí PowerShell použijte rutinu Get-AzVirtualNetworkGateway a vyhledejte vlastnost bgpPeeringAddress . V Azure Portal na stránce Konfigurace brány vyhledejte v části Konfigurace vlastnosti ASN protokolu BGP .

Pokud místní směrovače VPN používají IP adresy APIPA (169.254. x. x) jako IP adresy protokolu BGP, musíte v bráně Azure VPN zadat další IP adresu protokolu BGP pro službu Azure APIPA . Azure VPN Gateway vybere adresu APIPa, která se má použít s místním partnerským vztahem APIPa protokolu APIPa zadaná v bráně místní sítě, nebo privátní IP adresa pro místní partnerský uzel BGP bez APIPa. Další informace najdete v tématu Konfigurace protokolu BGP.

Jaké jsou požadavky na IP adresy partnerského uzlu protokolu BGP na zařízení VPN?

Vaše místní adresa partnerského uzlu BGP nesmí být stejná jako veřejná IP adresa vašeho zařízení VPN nebo z adresního prostoru virtuální sítě služby VPN Gateway. Pro IP adresu partnerského uzlu BGP použijte jinou IP adresu na zařízení VPN. Může to být adresa přiřazená k rozhraní zpětné smyčky v zařízení (buď běžná IP adresa, nebo adresa APIPa). Pokud vaše zařízení používá pro protokol BGP adresu APIPa, musíte v bráně Azure VPN Gateway zadat IP adresu APIPa, jak je popsáno v tématu Konfigurace protokolu BGP. Zadejte tuto adresu v odpovídající bráně místní sítě představující umístění.

Co mám zadat jako předpony mých adres pro bránu místní sítě při použití protokolu BGP?

Důležité

Jedná se o změnu z dřív dokumentovaného požadavku. Pokud pro připojení používáte protokol BGP, ponechte pole adresní prostor prázdné pro odpovídající prostředek místní síťové brány. Azure VPN Gateway přidá trasu hostitele interně k místní IP adrese partnerského uzlu BGP prostřednictvím tunelového propojení IPsec. Do pole adresní prostor nepřidávejte trasy/32. Je redundantní a pokud používáte adresu APIPa jako místní IP adresu BGP zařízení VPN, nejde do tohoto pole přidat. Pokud přidáte do pole adresní prostor žádné další předpony, přidají se kromě tras zjištěných prostřednictvím protokolu BGP jako statické trasy v bráně Azure VPN.

Můžu použít stejné číslo ASN pro místní sítě VPN i virtuální sítě Azure?

Ne. Pokud je připojujete spolu s protokolem BGP, musíte přiřadit různé čísla ASN mezi místními sítěmi a vašimi virtuálními sítěmi Azure. K bráně Azure VPN Gateway je přiřazeno výchozí číslo ASN 65515, bez ohledu na to, jestli je protokol BGP povolený, nebo ne pro připojení mezi místními sítěmi. Tuto výchozí hodnotu můžete přepsat tak, že při vytváření brány sítě VPN přiřadíte jiné číslo ASN, případně můžete změnit číslo ASN po vytvoření brány. K odpovídajícím bránám místní sítě Azure budete muset přiřadit místní čísla ASN.

Které předpony adres budou služby Azure VPN gateway prezentovat?

Brány inzerují následující trasy na vaše místní zařízení s protokolem BGP:

  • Předpony adres vaší virtuální sítě.
  • Předpony adres pro každou bránu místní sítě připojenou ke službě Azure VPN Gateway.
  • Trasy zjištěné z jiných relací partnerských vztahů protokolu BGP připojených ke službě Azure VPN Gateway s výjimkou výchozí trasy nebo tras, které se překrývají s předponou virtuální sítě.

Kolik předpon je možné inzerovat do Azure VPN Gateway?

Azure VPN Gateway podporuje až 4000 předpon. Pokud počet předpon překročí toto omezení, relace BGP se ukončí.

Mohu inzerovat výchozí cestu (0.0.0.0/0) do bran Azure VPN Gateway?

Ano. Všimněte si, že to vynutí všechny odchozí přenosy virtuální sítě směrem k místní lokalitě. Zabrání taky virtuálním počítačům virtuální sítě přijímat veřejnou komunikaci přímo z Internetu, jako je RDP nebo SSH z Internetu, do virtuálních počítačů.

Můžu inzerovat přesné předpony jako předpony moje virtuální sítě?

Ne. inzerování stejných předpon jako libovolných předpon adres vaší virtuální sítě bude zablokováno nebo filtrováno službou Azure. Můžete ale inzerovat předponu, která je nadmnožinou toho, co máte ve vaší virtuální síti.

Pokud například vaše virtuální síť používala adresní prostor 10.0.0.0/16, můžete inzerovat 10.0.0.0/8. Nemůžete ale inzerovat 10.0.0.0/16 nebo 10.0.0.0/24.

Můžu použít protokol BGP s připojením mezi virtuálními sítěmi?

Ano, protokol BGP můžete použít pro připojení mezi různými místy a připojení mezi virtuálními sítěmi.

Lze u služeb Azure VPN Gateway používat kombinaci připojení pomocí protokolu BGP a bez protokolu BGP?

Ano, u stejné služby Azure VPN Gateway je možné kombinovat připojení pomocí protokolu BGP i bez protokolu BGP.

Podporuje Azure VPN Gateway směrování přenosu BGP?

Ano, směrování přenosu protokolu BGP je podporované, s výjimkou, že brány Azure VPN Gateway Neinzerují výchozí trasy jiným partnerům protokolu BGP. Pokud chcete povolit směrování provozu napříč několika branami Azure VPN, musíte povolit protokol BGP u všech zprostředkujících připojení mezi virtuálními sítěmi. Další informace najdete v tématu o protokolu BGP.

Můžu mít více než jeden tunel mezi službou Azure VPN Gateway a místní sítí?

Ano, můžete vytvořit více než jedno tunelové propojení VPN typu Site-to-Site (S2S) mezi službou Azure VPN Gateway a místní sítí. Všimněte si, že všechny tyto tunely se počítají na základě celkového počtu tunelů pro brány VPN Azure a musíte povolit protokol BGP u obou tunelů.

Například pokud máte dvě redundantní tunely mezi vaší bránou Azure VPN a jednou z vašich místních sítí, spotřebovávají 2 tunely z celkové kvóty pro vaši bránu Azure VPN.

Můžu mít několik tunelových propojení mezi dvěma virtuálními sítěmi Azure s protokolem BGP?

Ano, ale alespoň jedna z bran virtuální sítě musí být v konfiguraci aktivní–aktivní.

Můžu použít protokol BGP pro S2S VPN v konfiguraci koexistence sítě VPN v Azure ExpressRoute a S2S?

Ano.

Co je třeba přidat do místního zařízení VPN pro relaci partnerského vztahu protokolu BGP?

Přidejte trasu hostitele IP adresy partnerského uzlu protokolu BGP Azure na zařízení VPN. Tato trasa odkazuje na tunelové připojení VPN S2S IPsec. Pokud je třeba IP adresa partnerského uzlu Azure VPN 10.12.255.30, přidáte trasu hostitele pro 10.12.255.30 s rozhraním Next Hop odpovídajícího rozhraní tunelového propojení IPsec na zařízení VPN.

Podporuje Brána virtuální sítě BFD pro připojení S2S s protokolem BGP?

No. Rozpoznávání obousměrného předávání (BFD) je protokol, který můžete použít s protokolem BGP ke zjištění rychlejšího výpadku sousedů, než můžete pomocí standardních nečinnosti protokolu BGP. BFD používá časovače s dalšími sekundami, které jsou navržené pro práci v prostředích LAN, ale ne přes veřejná připojení k Internetu nebo na celé síti.

U připojení přes veřejný Internet se určité pakety zpoždění nebo dokonce vyřazené nejsou neobvyklé, takže zavedení těchto agresivních časovačů může být nestabilní. Tato nestabilita může způsobit ztlumení tras pomocí protokolu BGP. Jako alternativu můžete nakonfigurovat místní zařízení s časovači nižšími, než je výchozí interval, 60 sekund "naživu" a 180 – sekundový časovač blokování. Výsledkem je rychlejší konvergence.

Spouští Azure VPN Gateway relace nebo připojení partnerských vztahů protokolu BGP?

Brána inicializuje relace partnerských vztahů protokolu BGP s místními IP adresami partnerského uzlu BGP, které jsou zadané v prostředcích brány místní sítě, pomocí privátních IP adres na branách VPN. To je bez ohledu na to, jestli jsou místní IP adresy protokolu BGP v rozsahu APIPa nebo v běžných privátních IP adresách. Pokud vaše místní zařízení VPN používají adresy APIPa jako IP adresy protokolu BGP, je nutné nakonfigurovat mluvčí protokol BGP, aby zahájil připojení.

Můžu nakonfigurovat vynucené tunelování?

Ano. Informace najdete v části Konfigurace vynuceného tunelování.

NAT

Podporuje překlad adres (NAT) ve všech SKU Azure VPN Gateway?

Překlad adres (NAT) je podporován na VpnGw2 ~ 5 a VpnGw2AZ ~ 5AZ.

Můžu používat překlad adres (NAT) pro připojení VNet-to-VNet nebo P2S?

Ne, překlad adres (NAT) je podporován pouze při připojeních mezi různými místy protokolu IPSec .

Kolik pravidel NAT můžu používat v bráně VPN Gateway?

v bráně VPN můžete vytvořit až 100 pravidel NAT (v kombinaci s pravidly příchozí a Egress).

Používá se pro všechna připojení v bráně VPN brána NAT?

Překlad adres (NAT) se použije u připojení s pravidly NAT. Pokud připojení nemá pravidlo překladu adres (NAT), překlad adres (NAT) se na toto připojení neprojeví. Ve stejné bráně VPN můžete mít nějaká připojení s překladem adres (NAT) a další připojení bez spolupráce s překladem adres (NAT).

Jaké typy překladu adres (NAT) se podporují u bran Azure VPN Gateway?

Pouze statické 1:1 NAT. Dynamické překlad adres (NAT) nebo NAT64 se nepodporuje.

Funguje překlad adres (NAT) pro brány VPN typu aktivní-aktivní?

Ano. Překlad adres (NAT) funguje v bráně VPN typu aktivní-aktivní i aktivní-pohotovostní.

Funguje překlad adres (NAT) s připojeními BGP?

Ano, můžete použít protokol BGP s překladem adres (NAT). Tady je několik důležitých informací:

  • Vyberte možnost Povolit překlad trasy protokolu BGP na stránce Konfigurace pravidel NAT, abyste zajistili, že se zjištěné trasy a inzerované trasy budou překládat na předpony adres post-NAT (externí mapování) na základě pravidel NAT přidružených k připojením. Musíte zajistit, aby místní směrovače BGP inzerovaly přesné předpony, jak jsou definované v pravidlech IngressSNAT.

  • Pokud místní směrovač VPN používá APIPa (169.254. x. x) jako IP adresu mluvčího/partnerského vztahu protokolu BGP, použijte adresu APIPa přímo v poli IP adresa partnerského uzlu protokolu BGP brány místní sítě. Pokud místní směrovač VPN používá jedinečnou adresu bez APIPA a koliduje s adresním prostorem virtuální sítě nebo jinými místními prostory v síti, zajistěte, aby pravidlo IngressSNAT přeložilo IP adresu partnerského vztahu protokolu BGP na jedinečnou překrytou adresu a umístili adresu post-NAT do pole IP adresa partnerského uzlu protokolu BGP brány místní sítě.

Potřebuji pro pravidlo SNAT vytvořit vyhovující pravidla DNAT?

No. Jedno pravidlo SNAT definuje překlad pro oba směry konkrétní sítě:

  • Pravidlo IngressSNAT definuje překlad zdrojových IP adres přicházejících do Azure VPN Gateway z místní sítě. Také zpracovává překlad cílových IP adres opouštících virtuální síť do stejné místní sítě.

  • Pravidlo EgressSNAT definuje překlad IP adres zdrojové virtuální sítě, které opouští bránu Azure VPN v místních sítích. Také zpracovává překlad cílových IP adres pro pakety přicházející do virtuální sítě prostřednictvím těchto připojení s pravidlem EgressSNAT.

  • V obou případech nejsou potřeba žádná pravidla DNAT .

Jak mám dělat, když má virtuální síť nebo adresní prostor brány místní sítě dvě nebo víc předpon? Můžu použít překlad adres (NAT) pro všechny tyto služby? Nebo pouze podmnožinou?

Musíte vytvořit jedno pravidlo překladu adres (NAT) pro každou předponu, kterou potřebujete k překladu adres (NAT), protože každé pravidlo NAT může obsahovat jenom jednu předponu adresy pro NAT. Například pokud se adresní prostor brány místní sítě skládá z 10.0.1.0/24 a 10.0.2.0/25, můžete vytvořit dvě pravidla, jak je znázorněno níže:

  • IngressSNAT pravidlo 1: mapování 10.0.1.0/24 na 100.0.1.0/24
  • IngressSNAT pravidlo 2: mapování 10.0.2.0/25 na 100.0.2.0/25

Tato dvě pravidla se musí shodovat s délkami předpon odpovídajících předpon adres. Totéž platí pro EgressSNAT pravidla adresního prostoru virtuální sítě.

Důležité

Pokud propojíte s výše uvedeným připojením pouze jedno pravidlo, druhý adresní prostor nebude přeložen .

Můžu použít různá pravidla EgressSNAT k překladu adresního prostoru virtuální sítě na jiné předpony na různé místní sítě?

Ano, můžete vytvořit více pravidel EgressSNAT pro stejný adresní prostor virtuální sítě a použít pravidla EgressSNAT pro různá připojení. Pro připojení bez pravidla EgressSNAT

Můžu použít stejné pravidlo IngressSNAT u různých připojení?

Ano, obvykle se používá v případě, že jsou připojení pro stejnou místní síť, aby poskytovala redundanci. Stejné pravidlo příchozího přenosu dat nemůžete použít, pokud jsou připojení pro různé místní sítě.

potřebuji pro připojení NAT pravidla příchozího i Egress?

pokud se místní adresní prostor překrývá s adresním prostorem virtuální sítě, budete pro stejné připojení potřebovat pravidla příchozího i Egress. Pokud je adresní prostor virtuální sítě jedinečný mezi všemi propojenými sítěmi, nepotřebujete u těchto připojení pravidlo EgressSNAT. Pomocí pravidel příchozího přenosu dat můžete zabránit překrytí adres mezi místními sítěmi.

Připojení mezi místními sítěmi a virtuální počítače

Pokud se virtuální počítač nachází ve virtuální síti s propojením mezi různými místy, jak se k virtuálnímu počítači připojovat?

Možností je několik. Pokud je pro virtuální počítač povolen protokol RDP, je možné připojit se k virtuálnímu počítači s použitím privátní IP adresy. V takovém případě zadáte privátní IP adresu a port, ke kterému se chcete připojit (obvykle 3389). Je třeba nakonfigurovat příslušný port ve virtuálním počítači pro provoz.

K virtuálnímu počítači se lze připojit pomocí privátní IP adresy i z jiného virtuálního počítače umístěného ve stejné virtuální síti. K virtuálnímu počítači se nelze připojit pomocí protokolu RDP s použitím privátní IP adresy z místa mimo virtuální síť. Pokud je například nakonfigurována virtuální síť typu Point-to-Site, ale z počítače není vytvořeno připojení, nelze se k virtuálnímu počítači připojit pomocí privátní IP adresy.

Pokud se virtuální počítač nachází ve virtuální síti s možností připojení mezi různými místy, prochází tímto připojením veškerý provoz z virtuálního počítače?

No. Bránou virtuální sítě prochází pouze s cílovou IP adresou uvedenou v nastavených rozsazích IP adres místní sítě pro příslušnou virtuální síť. Provoz s cílovou IP adresou v příslušné virtuální síti probíhá v rámci této virtuální sítě. Ostatní provoz je odesílán prostřednictvím služby Load Balancer do veřejných sítí nebo prostřednictvím brány VPN Azure, pokud je použito vynucené tunelování.

Řešení potíží s připojením ke vzdálené ploše virtuálního počítače

Pokud se vám nedaří připojit k virtuálnímu počítači přes připojení VPN, zkontrolujte následující:

  • Ověřte, že je úspěšně navázáno připojení VPN.
  • Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.
  • Pokud se k virtuálnímu počítači můžete připojit s použitím privátní IP adresy, ale ne pomocí názvu počítače, ověřte, že jste správně nakonfigurovali DNS. Další informace o tom, jak funguje překlad IP adres pro virtuální počítače, najdete v tématu Překlad IP adres pro virtuální počítače.

Pokud se připojujete přes Point-to-Site, zkontrolujte navíc následující položky:

  • Pomocí příkazu ipconfig zkontrolujte IPv4 adresu přiřazenou adaptéru Ethernet na počítači, ze kterého se připojujete. Pokud je IP adresa v rámci rozsahu adres virtuální sítě, ke které se připojujete, nebo v rámci rozsahu adres VPNClientAddressPool, tato situace se označuje jako překrývající se adresní prostor. Když se adresní prostor tímto způsobem překrývá, síťový provoz nemá přístup do Azure a zůstane v místní síti.
  • Ověřte, že se po zadání IP adres serveru DNS pro virtuální síť vygeneroval balíček pro konfiguraci klienta VPN. Pokud jste aktualizovali IP adresy serveru DNS, vygenerujte a nainstalujte nový balíček pro konfiguraci klienta VPN.

Další informace o řešení potíží s připojením ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.

Nejčastější dotazy k Virtual Network

Další informace o virtuální síti můžete zobrazit v části Nejčastější dotazy k Virtual Network.

Další kroky

"OpenVPN" je ochranná známka společnosti OpenVPN Inc.