VPN Gateway – nejčastější dotazy

  • Článek

Připojování k virtuálním sítím

Je možné propojit virtuální sítě v různých oblastech Azure?

Ano. Neexistuje žádné omezení oblasti. Jedna virtuální síť může být propojena s jinou virtuální sítí ve stejném oblasti nebo v jiné oblasti Azure.

Je možné propojovat virtuální sítě v rámci různých předplatných?

Ano.

Můžu při konfiguraci brány VPN zadat privátní servery DNS ve virtuální síti?

Pokud jste při vytváření virtuální sítě zadali server DNS nebo servery, služba VPN Gateway použije zadané servery DNS. Pokud zadáte server DNS, ověřte, že váš server DNS dokáže přeložit názvy domén potřebných pro Azure.

Je možné připojovat se k více serverům z jedné virtuální sítě?

K více serverům se lze připojovat prostřednictvím prostředí Windows PowerShell a rozhraní API REST Azure. Přečtěte si oddíl Možnosti připojování k více serverům a připojení VNet-to-VNet v nejčastějších dotazech.

Existují další náklady na nastavení brány VPN jako aktivní?

Ne. Náklady na další veřejné IP adresy se ale budou účtovat odpovídajícím způsobem. Viz ceny IP adres.

Jaké jsou možnosti připojení mezi různými místy?

Podporují se následující připojení brány virtuální sítě mezi místními sítěmi:

  • Site-to-site: Připojení VPN přes protokol IPsec (IKE v1 a IKE v2). Tento typ připojení vyžaduje zařízení VPN nebo službu RRAS. Další informace najdete v tématu Site-to-Site.
  • Point-to-site: Připojení VPN přes protokol SSTP (Secure Socket Tunneling Protocol) nebo IKE v2. Toto připojení nevyžaduje zařízení VPN. Další informace najdete v tématu Point-to-Site.
  • VNet-to-VNet: Tento typ připojení je stejný jako konfigurace typu site-to-site. VNet-to-VNet je připojení k síti VPN prostřednictvím protokolu IPsec (IKE v1 a IKE v2). Nevyžaduje zařízení VPN. Další informace naleznete v tématu VNet-to-VNet.
  • ExpressRoute: ExpressRoute je privátní připojení k Azure z vaší sítě WAN, nikoli připojení VPN přes veřejný internet. Další informace najdete v tématech Technický přehled ExpressRoute a ExpressRoute – nejčastější dotazy.

Další informace o připojeních ke službě VPN Gateway najdete v tématu Informace o službě VPN Gateway.

Jaký je rozdíl mezi připojením typu site-to-site a připojením typu point-to-site?

Konfigurace tunelu VPN typu Site-to-Site (IPsec/IKE) jsou mezi vaším místním umístěním a Azure. To znamená, že se můžete z kteréhokoli počítače ve vaší lokalitě připojit k libovolnému virtuálnímu počítači nebo instanci role ve vaší virtuální síti v závislosti na zvoleném způsobu konfigurace směrování a oprávněních. Je to skvělá možnost pro vždy dostupné připojení mezi místy a je vhodná pro hybridní konfigurace. Tento typ připojení využívá zařízení sítě VPN s protokolem IPsec (hardwarové nebo softwarové zařízení), které musí být nasazeno v hraniční části sítě. Pokud chcete vytvořit tento typ připojení, musíte mít externě přístupnou adresu IPv4.

Konfigurace point-to-site (VPN přes SSTP) umožňují připojení z jednoho počítače odkudkoli ke všemu, co se nachází ve vaší virtuální síti. Využívá integrovaného klienta VPN ve Windows. V rámci konfigurace typu point-to-site nainstalujete certifikát a konfigurační balíček klienta VPN, který obsahuje nastavení, která vašemu počítači umožňují připojit se k libovolnému virtuálnímu počítači nebo instanci role ve virtuální síti. Toto řešení je skvělé, pokud se chcete připojit k virtuální síti, ale nenacházíte se na příslušném místě. Je také dobrou volbou, když nemáte přístup k hardwaru VPN nebo externě přístupné adrese IPv4, z nichž obě jsou potřeba pro připojení typu site-to-site.

Virtuální síť můžete nakonfigurovat tak, aby současně používala připojení typu site-to-site i point-to-site, pokud pro bránu vytvoříte připojení typu site-to-site. Typy sítí VPN založené na směrování se v modelu nasazení Classic nazývají dynamické brány.

Ochrana osobních údajů

Ukládá služba VPN nebo zpracovává zákaznická data?

Ne.

Brány virtuálních sítí

Je brána sítě VPN bránou virtuální sítě?

Brána VPN je typem brány virtuální sítě. Brána sítě VPN odesílá šifrovaný provoz mezi virtuální sítí a místním umístěním přes veřejné připojení. Bránu sítě VPN můžete použít také k odesílání provozu mezi virtuálními sítěmi. Při vytváření brány sítě VPN použijete parametr -GatewayType s hodnotou 'Vpn'. Další informace najdete v tématu Informace o nastavení konfigurace služby VPN Gateway.

Proč nemůžu zadat typy VPN založené na zásadách a směrování?

Od 1. října 2023 nemůžete vytvořit bránu VPN založenou na zásadách prostřednictvím webu Azure Portal. Všechny nové brány VPN se automaticky vytvoří jako založené na trasách. Pokud už máte bránu založenou na zásadách, nemusíte bránu upgradovat na směrování. K vytvoření bran založených na zásadách můžete použít PowerShell nebo rozhraní příkazového řádku.

Starší skladové položky brány dříve nepodporují IKEv1 pro brány založené na trasách. Většina aktuálních skladových položek brány teď podporuje IKEv1 i IKEv2.

Typ sítě VPN brány Skladová položka brány Podporované verze IKE
Brána založená na zásadách Basic IKEv1
Brána založená na směrování Basic IKEv2
Brána založená na směrování VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 a IKEv2
Brána založená na směrování VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 a IKEv2

Můžu aktualizovat bránu VPN založenou na zásadách na směrování?

Ne. Typ brány nelze změnit ze zásad na směrování nebo ze směrování na základě zásad na základě zásad. Pokud chcete změnit typ brány, musí být brána odstraněna a znovu vytvořena. Tento proces trvá asi 60 minut. Když vytvoříte novou bránu, nemůžete zachovat IP adresu původní brány.

  1. Odstraňte všechna připojení přidružená k bráně.

  2. Odstraňte bránu pomocí jednoho z následujících článků:

  3. Vytvořte novou bránu pomocí požadovaného typu brány a dokončete nastavení sítě VPN. Postup najdete v kurzu site-to-site.

Můžu určit vlastní selektory provozu založené na zásadách?

Ano, selektory provozu je možné definovat prostřednictvím atributu trafficSelectorPolicies u připojení prostřednictvím příkazu PowerShell New-AzIpsecTrafficSelectorPolicy . Aby se zadaný selektor provozu projevil, ujistěte se, že je povolená možnost Selektory provozu na základě zásad.

Selektory vlastního nakonfigurovaného provozu budou navrženy pouze v případech, kdy brána Azure VPN zahájí připojení. Brána VPN přijímá všechny selektory provozu navržené vzdálenou bránou (místní zařízení VPN). Toto chování je konzistentní mezi všemi režimy připojení (Výchozí, IniciátorOnly a ResponderOnly).

Potřebuji GatewaySubnet?

Ano. Podsíť brány obsahuje IP adresy, které používá služba brány virtuální sítě. Abyste mohli nakonfigurovat bránu virtuální sítě, musíte pro virtuální síť vytvořit podsíť brány. Pro správné fungování všech podsítí brány je nutné, aby měly název GatewaySubnet. Nenastavujte pro podsíť brány jiný název. A v podsíti brány nenasazujte virtuální počítače ani žádná jiná zařízení.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány jsou přidělené službě brány. Některé konfigurace vyžadují přidělení více IP adres službám brány než jiné. Ujistěte se, že podsíť brány obsahuje dostatek IP adres, aby se mohla přizpůsobit budoucímu růstu a případným dalším konfiguracím nových připojení. Přestože je tedy možné vytvořit tak malou podsíť brány, jako je /29, doporučujeme vytvořit podsíť brány o velikosti /27 nebo větší (/27, /26, /25 atd.). Podívejte se na požadavky pro konfiguraci, kterou chcete vytvořit, a ověřte, že vaše podsíť brány bude tyto požadavky splňovat.

Je možné nasazovat do podsítě brány virtuální počítače nebo instance role?

Ne.

Je možné získat IP adresu brány VPN předtím, než se vytvoří?

Prostředky veřejné IP adresy skladové položky Azure Standard musí používat metodu statického přidělování. Proto budete mít veřejnou IP adresu pro bránu VPN, jakmile vytvoříte prostředek veřejné IP adresy skladové položky Standard, který pro ni chcete použít.

Můžu si vyžádat statickou veřejnou IP adresu pro bránu VPN?

Prostředky veřejných IP adres standardní skladové položky používají metodu statického přidělování. V budoucnu musíte při vytváření nové brány VPN použít veřejnou IP adresu skladové položky Standard. To platí pro všechny skladové položky brány s výjimkou skladové položky Basic. Skladová položka brány Basic aktuálně podporuje pouze veřejné IP adresy skladové položky Basic. Brzy přidáme podporu veřejných IP adres skladové položky Standard pro skladové položky Basic.

U zónově redundantních a zónových bran, které byly dříve vytvořeny (skladové položky brány, které nemajív názvu az ), se podporuje přiřazení dynamických IP adres, ale postupně se ukončuje. Když použijete dynamickou IP adresu, IP adresa se po přiřazení k bráně VPN nezmění. Ip adresa brány VPN se změní jenom v okamžiku, kdy se brána odstraní a pak se znovu vytvoří. Veřejná IP adresa brány VPN se nezmění, když změníte velikost, resetujete nebo dokončíte další interní údržbu a upgrady brány VPN.

Jak vyřazení skladové položky Úrovně Basic s veřejnou IP adresou ovlivňuje moje brány VPN?

Provádíme akci, abychom zajistili pokračování provozu nasazených bran VPN, které využívají veřejné IP adresy skladové položky Basic. Pokud už máte brány VPN s veřejnými IP adresami skladové položky Basic, nemusíte nic dělat.

Je ale důležité si uvědomit, že se veřejné IP adresy skladové položky Basic postupně ukončují. V budoucnu při vytváření nové brány VPN musíte použít veřejnou IP adresu skladové položky Standard. Další podrobnosti o vyřazení veřejných IP adres skladové položky Basic najdete tady.

Jak se tunelové připojení sítě VPN ověřuje?

Síť VPN Azure používá ověřování PSK (předsdílený klíč). Při vytváření tunelového propojení sítě VPN se vygeneruje předsdílený klíč (PSK). Automaticky vygenerovaný klíč PSK můžete změnit na vlastní pomocí rutiny PowerShellu pro nastavení předsdílených klíčů nebo rozhraní REST API.

Je možné použít rozhraní API pro nastavení předsdíleného klíče ke konfiguraci sítě VPN s bránou založenou na zásadách (se statickým směrováním)?

Ano, rozhraní API i rutinu prostředí PowerShell pro nastavení předsdíleného klíče je možné použít ke konfiguraci sítí VPN Azure založených na zásadách (se statickým směrováním) i sítí VPN Azure založených na směrování (s dynamickým směrováním).

Je možné použít jiné možnosti ověřování?

Pro ověřování používáme předsdílené klíče (PSK).

Jak určit provoz, který má procházet bránou VPN?

Model nasazení Resource Manager

  • PowerShell: K určení provozu na místní síťové bráně použijte parametr AddressPrefix.
  • Azure Portal: Přejděte do adresního prostoru konfigurace > brány > místní sítě.

Model nasazení Classic

  • Azure Portal: Přejděte do klasického > adresního prostoru klienta lokality připojení VPN > typu Site-to-Site VPN > s názvem > Místní lokalita Klient.>

Můžu pro připojení VPN použít překlad adres (NAT-T)?

Ano, podporuje se procházení NAT (NAT-T). Azure VPN Gateway nebude na vnitřních paketech tunelů IPsec provádět žádné funkce podobné překladu adres (NAT). V této konfiguraci se ujistěte, že místní zařízení inicializuje tunel IPSec.

Je možné nastavit v Azure vlastní server VPN a používat ho pro připojování k místní síti?

Ano, je možné nasazovat v Azure vlastní servery nebo brány VPN buď z webu Azure Marketplace, nebo vytvořené jako vlastní směrovače sítě VPN. Abyste zajistili správné směrování mezi místními sítěmi a podsítěmi virtuální sítě, musíte ve virtuální síti nakonfigurovat trasy definované uživatelem.

Proč jsou v bráně virtuální sítě otevřené určité porty?

Vyžadují se pro komunikaci infrastruktury Azure. Jsou chráněné (uzamčené) certifikáty Azure. Bez správných certifikátů nebudou externí entity, včetně zákazníků těchto bran, mít na tyto koncové body žádný vliv.

Brána virtuální sítě je v podstatě vícedomátové zařízení s jedním síťovým rozhraním, které se dostane do privátní sítě zákazníka, a jedním síťovým rozhraním, které se nachází ve veřejné síti. Entity infrastruktury Azure nemůžou z důvodů dodržování předpisů využívat privátní sítě zákazníka, takže potřebují využívat veřejné koncové body pro komunikaci infrastruktury. Veřejné koncové body jsou pravidelně kontrolovány auditem zabezpečení Azure.

Můžu na portálu vytvořit bránu VPN s skladovou položku brány Basic?

Ne. Skladová položka Basic není na portálu dostupná. Bránu VPN úrovně Basic můžete vytvořit pomocí Azure CLI nebo PowerShellu.

Kde najdu informace o typech bran, požadavcích a propustnosti?

Podívejte se na následující články:

Vyřazení skladové položky pro starší skladové položky

Skladové položky Standard a High Performance budou zastaralé 30. září 2025. Oznámení si můžete prohlédnout tady. Produktový tým zpřístupní cestu migrace pro tyto skladové položky do 30. listopadu 2024. Další informace najdete v článku se staršími skladovými položkami služby VPN Gateway. V tuto chvíli není potřeba provést žádnou akci.

Můžu po oznámení o vyřazení 30. listopadu 2023 vytvořit novou skladovou položku úrovně Standard/High Performance?

Ne. Od 1. prosince 2023 nemůžete vytvářet nové brány se skladovými položkami úrovně Standard nebo High Performance. Nové brány můžete vytvořit pomocí VpnGw1 a VpnGw2 za stejnou cenu jako cenové úrovně Standard a High Performance, které jsou uvedené na stránce s cenami.

Jak dlouho budou stávající brány podporovány u skladových položek úrovně Standard nebo High Performance?

Všechny existující brány používající skladové položky úrovně Standard nebo High Performance budou podporovány do 30. září 2025.

Je teď potřeba migrovat skladové položky brány úrovně Standard nebo High Performance?

Ne, právě teď není nutná žádná akce. Skladové položky budete moct migrovat od prosince 2024. Pošleme komunikaci s podrobnou dokumentací o krocích migrace.

Na kterou skladovou položku můžu migrovat bránu?

Po zpřístupnění migrace skladových položek brány je možné skladové položky migrovat následujícím způsobem:

  • Standard –> VpnGw1
  • Vysoký výkon –> VpnGw2

Co když chci migrovat na skladovou položku AZ?

Starší skladovou položku nemůžete migrovat do skladové položky AZ. Mějte ale na paměti, že všechny brány, které stále používají skladové položky úrovně Standard nebo High Performance po 30. září 2025, se migrují a upgradují automaticky na následující skladové položky:

  • Standard –> VpnGw1AZ
  • Vysoký výkon –> VpnGw2AZ

Pomocí této strategie můžete nechat skladové položky automaticky migrovat a upgradovat na skladovou položku AZ. V případě potřeby můžete změnit velikost skladové položky v rámci této řady skladových položek. Podívejte se na naši stránku s cenami skladové položky AZ. Informace o propustnosti podle skladové položky najdete v tématu O skladových posílacích brány.

Budou po migraci nějaké cenové rozdíly u bran?

Pokud migrujete skladové položky do 30. září 2025, nedojde k žádnému cenovému rozdílu. Cenové úrovně VpnGw1 a VpnGw2 jsou nabízeny za stejnou cenu jako skladové položky úrovně Standard a High Performance. Pokud do tohoto data nemigrujete, vaše skladové položky se automaticky migrují a upgradují na skladové položky AZ. V takovém případě je rozdíl v cenách.

Bude mít tato migrace nějaký dopad na výkon bran?

Ano, s VpnGw1 a VpnGw2 získáte lepší výkon. VpnGw1 s 650 Mb/s v současné době poskytuje 6,5x a VpnGw2 s rychlostí 1 Gb/s poskytuje 5x zvýšení výkonu za stejnou cenu jako starší standardní a vysoce výkonné brány. Další informace o propustnosti skladové položky najdete v tématu Skladové položky brány.

Co se stane, když do 30. září 2025 nemigruji skladové položky?

Všechny brány, které stále používají skladové položky úrovně Standard nebo High Performance, se migrují automaticky a upgradují na následující skladové položky AZ:

  • Standard –> VpnGw1AZ
  • Vysoký výkon –> VpnGw2AZ

Konečná komunikace se odešle před zahájením migrace na všech branách.

Dochází také k vyřazení základní skladové položky služby VPN Gateway?

Ne, skladová položka VPN Gateway Basic je tady, aby zůstala. Bránu VPN můžete vytvořit pomocí skladové položky brány Basic pomocí PowerShellu nebo rozhraní příkazového řádku. V současné době skladové položky brány VPN Gateway Basic podporují pouze prostředek veřejné IP adresy skladové položky Basic (který je na cestě k vyřazení z provozu). Pracujeme na přidání podpory do skladové položky brány VPN Gateway Basic pro prostředek veřejné IP adresy skladové položky Standard.

Připojení typu Site-to-Site a zařízení VPN

Co je třeba zvážit při výběru zařízení VPN?

Ověřili jsme sadu standardních zařízení VPN typu site-to-site ve spolupráci s dodavateli zařízení. Seznam známých kompatibilních zařízení VPN, příslušné pokyny ke konfiguraci nebo ukázky a specifikace zařízení najdete v článku s popisem zařízení VPN. Všechna zařízení v řadách zařízení uvedená jako známá kompatibilní by měla spolupracovat s virtuální sítí. Konfiguraci zařízení VPN vám usnadní ukázka konfigurace zařízení nebo odkaz, který odpovídá příslušné řadě zařízení.

Kde najdu nastavení konfigurace zařízení VPN?

Stažení konfiguračních skriptů zařízení VPN:

V závislosti na vašem zařízení VPN možná budete moct stáhnut konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Na následujících odkazech najdete další informace o konfiguraci:

Jak upravím ukázky konfigurace zařízení VPN?

Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.

Kde najdu parametry protokolu IPsec a IKE?

Parametry protokolu IPsec/IKE najdete v popisu parametrů.

Proč se tunelové připojení sítě VPN založené na zásadách při nečinnosti deaktivuje?

Toto je očekávané chování u bran VPN pracujících na základě zásad (označují se také výrazem statické směrování). Když je provoz přes tunel nečinný déle než 5 minut, tunel se odtrhne. Když se provoz spustí v obou směrech, tunel se okamžitě znovu vytvoří.

Je možné používat pro připojení k Azure softwarové sítě VPN?

Podporujeme servery směrování a vzdáleného přístupu (RRAS) Windows Serveru 2012 pro konfiguraci mezi lokalitami.

Jiná softwarová řešení sítě VPN by měla s naší bránou spolupracovat, pokud odpovídají implementacím protokolu IPsec podle průmyslových standardů. Ohledně pokynů ke konfiguraci a podporu se obraťte na výrobce příslušného softwaru.

Můžu se připojit k bráně VPN přes point-to-site, když se nachází v lokalitě, která má aktivní připojení typu site-to-site?

Ano, ale veřejné IP adresy klienta typu point-to-site se musí lišit od veřejných IP adres používaných zařízením VPN typu site-to-site nebo jinak připojení typu point-to-site nebude fungovat. Připojení typu point-to-site s protokolem IKEv2 se nedají zahájit ze stejné veřejné IP adresy, kde je nakonfigurované připojení VPN typu site-to-site na stejné bráně Azure VPN.

Point-to-Site – Ověřování certifikátů

Tato část se týká modelu nasazení Resource Manager.

Kolik koncových bodů klienta VPN můžu mít v konfiguraci typu point-to-site?

To závisí na skladové položce brány. Další informace o podporovaném počtu připojení najdete v části Skladové položky brány.

Jaké klientské operační systémy můžu používat s point-to-site?

Podporovány jsou následující operační systémy:

  • Windows Server 2008 R2 (pouze 64bitové verze)
  • Windows 8.1 (32bitové a 64bitové verze)
  • Windows Server 2012 (pouze 64bitové verze)
  • Windows Server 2012 R2 (pouze 64bitové verze)
  • Windows Server 2016 (pouze 64bitové verze)
  • Windows Server 2019 (jenom 64bitová verze)
  • Windows Server 2022 (jenom 64bitová verze)
  • Windows 10
  • Windows 11
  • macOS verze 10.11 nebo novější
  • Linux (StrongSwan)
  • iOS

Můžu procházet proxy servery a brány firewall pomocí funkce point-to-site?

Azure podporuje tři typy možností VPN typu point-to-site:

  • SSTP (Secure Socket Tunneling Protocol). SSTP je proprietární řešení Microsoftu založené na SSL, které umožňuje pronikat branami firewall, protože většina bran firewall otevírá odchozí port TCP 443, který SSL používá.

  • OpenVPN. OpenVPN je řešení založené na SSL, které umožňuje pronikat branami firewall, protože většina bran firewall otevírá odchozí port TCP 443, který SSL používá.

  • IKEv2 VPN. IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá odchozí porty UDP 500 a 4500 a IP protokol č. 50. Brány firewall tyto porty neotevře vždy, takže existuje možnost, že síť VPN IKEv2 nebude moct procházet proxy servery a brány firewall.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení typu point-to-site, síť VPN se automaticky znovu připojí?

Automatické opětovné připojení je funkce používaného klienta. Systém Windows podporuje automatické opětovné připojení konfigurací funkce klienta VPN AlwaysOn.

Podporuje point-to-site DDNS u klientů VPN?

DDNS se v současné době nepodporuje v sítích VPN typu point-to-site.

Můžu mít konfiguraci typu Site-to-Site a point-to-site společně pro stejnou virtuální síť?

Ano. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased. Pro model nasazení Classic je potřebná dynamická brána. Nepodporujeme point-to-site pro brány VPN statického směrování ani brány VPN PolicyBased.

Můžu nakonfigurovat klienta typu point-to-site pro připojení k více branám virtuální sítě najednou?

V závislosti na použitém softwaru klienta VPN se můžete připojit k více branám virtuální sítě za předpokladu, že virtuální sítě připojené nemají konfliktní adresní prostory mezi nimi nebo síť z klienta se připojuje. Přestože Klient Azure VPN podporuje velké množství připojení VPN, v jednu chvíli může být aktivní pouze jedno připojení.

Můžu nakonfigurovat klienta typu point-to-site pro připojení k více virtuálním sítím najednou?

Ano, připojení klientů typu point-to-site k bráně virtuální sítě nasazené ve virtuální síti, která je v partnerském vztahu s jinými virtuálními sítěmi, může mít přístup k jiným partnerským virtuálním sítím. Klienti point-to-site se budou moct připojit k partnerským virtuálním sítím, pokud partnerské virtuální sítě používají funkce UseRemoteGateway / AllowGateway. Další informace naleznete v tématu o směrování typu point-to-site.

Kolik propustnosti můžu očekávat prostřednictvím připojení typu Site-to-Site nebo připojení typu point-to-site?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem. U služby VPN Gateway s pouze připojeními VPN typu point-to-site IKEv2 závisí celková propustnost, kterou můžete očekávat, na skladové po straně brány. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.

Můžu pro point-to-site použít libovolného softwarového klienta VPN, který podporuje protokol SSTP nebo IKEv2?

Ne. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac. Na všech platformách však můžete použít klienta OpenVPN a připojit se přes protokol OpenVPN. Projděte si seznam podporovaných klientských operačních systémů.

Můžu změnit typ ověřování pro připojení typu point-to-site?

Ano. Na portálu přejděte na bránu VPN –> stránka konfigurace point-to-site. Jako typ ověřování vyberte typy ověřování, které chcete použít. Mějte na paměti, že po provedení změny typu ověřování se aktuální klienti nemusí připojit, dokud se nevygeneruje, stáhne a nepoužije nový konfigurační profil klienta VPN.

Podporuje Azure IKEv2 VPN s Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016. Pokud ale chcete používat IKEv2 v určitých verzích operačního systému, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru místně. Verze operačního systému starší než Windows 10 nejsou podporované a můžou používat jenom protokol SSTP nebo OpenVPN®.

Poznámka:

Windows OS buildy novější než Windows 10 verze 1709 a Windows Server 2016 verze 1607 nevyžadují tyto kroky.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:

  1. Nainstalujte aktualizaci na základě vaší verze operačního systému:

    Verze operačního systému Datum Číslo/odkaz
    Windows Server 2016
    Windows 10 verze 1607    		 17. ledna 2018 KB4057142
    Windows 10 verze 1703 17. ledna 2018 KB4057144
    Windows 10 verze 1709 22. března 2018 KB4089848

  2. Nastavte hodnotu klíče registru. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.

Jaký je limit selektoru provozu IKEv2 pro připojení typu point-to-site?

Windows 10 verze 2004 (vydaná září 2021) zvýšil limit selektoru provozu na 255. Starší verze Windows mají limit selektoru provozu 25.

Omezení selektorů provozu ve Windows určuje maximální počet adresních prostorů ve vaší virtuální síti a maximální součet místních sítí, připojení typu VNet-to-VNet a partnerských virtuálních sítí připojených k bráně. Klienti typu point-to-site systému Windows se nebudou připojovat přes protokol IKEv2, pokud tento limit překročí.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?

Když nakonfigurujete SSTP i IKEv2 ve smíšeném prostředí (skládající se ze zařízení s Windows a Mac), klient VPN s Windows bude vždy zkoušet tunel IKEv2 jako první, ale pokud připojení IKEv2 nebude úspěšné, vrátí se k SSTP. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.

Pokud máte v bráně povolený protokol SSTP i IKEv2, fond adres typu point-to-site se staticky rozdělí mezi dva, takže klientům používajícím různé protokoly se přiřadí IP adresy z obou podsadů. Všimněte si, že maximální počet klientů SSTP je vždy 128, i když je rozsah adres větší než /24, což vede k většímu množství adres dostupných pro klienty IKEv2. V případě menších rozsahů bude fond stejně halvován. Selektory provozu používané bránou nemusí zahrnovat CIDR rozsah adres typu point-to-site, ale dva identifikátoryCID rozsahu.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?

podpora Azure s Windows, Mac a Linux for P2S VPN.

Už mám nasazenou Azure VPN Gateway. Můžu na ní povolit RADIUS, případně IKEv2 VPN?

Ano, pokud skladová položka brány, kterou používáte, podporuje protokol RADIUS nebo IKEv2, můžete tyto funkce povolit na branách, které jste už nasadili, pomocí PowerShellu nebo webu Azure Portal. Skladová položka Basic nepodporuje protokol RADIUS ani IKEv2.

Jak odeberu konfiguraci připojení P2S?

Konfiguraci P2S je možné odebrat s využitím Azure CLI a PowerShellu pomocí následujících příkazů:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Co mám dělat, když při připojování pomocí ověřování certifikátů dochází k neshodě certifikátů?

Zrušte zaškrtnutí políčka Ověřit identitu serveru ověřením certifikátu nebo přidat plně kvalifikovaný název domény serveru spolu s certifikátem při ručním vytvoření profilu. Můžete to provést spuštěním rasphone z příkazového řádku a výběrem profilu z rozevíracího seznamu.

Obejití ověřování identity serveru se obecně nedoporučuje, ale při ověřování certifikátů Azure se stejný certifikát používá k ověření serveru v protokolu IKEv2/SSTP (Vpn Tunneling Protocol) a protokolu EAP. Vzhledem k tomu, že certifikát serveru a plně kvalifikovaný název domény jsou již ověřeny protokolem tunelování VPN, je redundantní ověřit totéž znovu v protokolu EAP.

Ověřování typu point-to-site

Můžu použít vlastní interní kořenovou certifikační autoritu PKI k vygenerování certifikátů pro připojení typu Point-to-Site?

Ano. Dříve bylo možné používat pouze kořenové certifikáty podepsané svým držitelem. I nyní je možné nahrát 20 kořenových certifikátů.

Můžu používat certifikáty ze služby Azure Key Vault?

Ne.

Jaké nástroje se dají použít k vytvoření certifikátů?

Můžete využít vaše podnikové řešení infrastruktury veřejných klíčů (vaše interní PKI), Azure PowerShell, MakeCert a OpenSSL.

Existují nějaké pokyny pro parametry a nastavení certifikátů?

  • Interní / podnikové řešení PKI: Projděte si kroky pro vytvoření certifikátů.

  • Azure PowerShell: Příslušné kroky najdete v článku pro Azure PowerShell.

  • MakeCert: Příslušné kroky najdete v článku pro MakeCert.

  • OpenSSL:

    • Při exportu certifikátů nezapomeňte převést kořenový certifikát na Base64.

    • Pro klientský certifikát:

      • Při vytváření privátního klíče zadejte délku 4096.
      • Při vytváření certifikátu jako parametr -extensions zadejte usr_cert.

Point-to-Site – Ověřování RADIUS

Tato část se týká modelu nasazení Resource Manager.

Kolik koncových bodů klienta VPN můžu mít v konfiguraci typu point-to-site?

To závisí na skladové položce brány. Další informace o podporovaném počtu připojení najdete v části Skladové položky brány.

Jaké klientské operační systémy můžu používat s point-to-site?

Podporovány jsou následující operační systémy:

  • Windows Server 2008 R2 (pouze 64bitové verze)
  • Windows 8.1 (32bitové a 64bitové verze)
  • Windows Server 2012 (pouze 64bitové verze)
  • Windows Server 2012 R2 (pouze 64bitové verze)
  • Windows Server 2016 (pouze 64bitové verze)
  • Windows Server 2019 (jenom 64bitová verze)
  • Windows Server 2022 (jenom 64bitová verze)
  • Windows 10
  • Windows 11
  • macOS verze 10.11 nebo novější
  • Linux (StrongSwan)
  • iOS

Můžu procházet proxy servery a brány firewall pomocí funkce point-to-site?

Azure podporuje tři typy možností VPN typu point-to-site:

  • SSTP (Secure Socket Tunneling Protocol). SSTP je proprietární řešení Microsoftu založené na SSL, které umožňuje pronikat branami firewall, protože většina bran firewall otevírá odchozí port TCP 443, který SSL používá.

  • OpenVPN. OpenVPN je řešení založené na SSL, které umožňuje pronikat branami firewall, protože většina bran firewall otevírá odchozí port TCP 443, který SSL používá.

  • IKEv2 VPN. IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá odchozí porty UDP 500 a 4500 a IP protokol č. 50. Brány firewall tyto porty neotevře vždy, takže existuje možnost, že síť VPN IKEv2 nebude moct procházet proxy servery a brány firewall.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení typu point-to-site, síť VPN se automaticky znovu připojí?

Automatické opětovné připojení je funkce používaného klienta. Systém Windows podporuje automatické opětovné připojení konfigurací funkce klienta VPN AlwaysOn.

Podporuje point-to-site DDNS u klientů VPN?

DDNS se v současné době nepodporuje v sítích VPN typu point-to-site.

Můžu mít konfiguraci typu Site-to-Site a point-to-site společně pro stejnou virtuální síť?

Ano. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased. Pro model nasazení Classic je potřebná dynamická brána. Nepodporujeme point-to-site pro brány VPN statického směrování ani brány VPN PolicyBased.

Můžu nakonfigurovat klienta typu point-to-site pro připojení k více branám virtuální sítě najednou?

V závislosti na použitém softwaru klienta VPN se můžete připojit k více branám virtuální sítě za předpokladu, že virtuální sítě připojené nemají konfliktní adresní prostory mezi nimi nebo síť z klienta se připojuje. Přestože Klient Azure VPN podporuje velké množství připojení VPN, v jednu chvíli může být aktivní pouze jedno připojení.

Můžu nakonfigurovat klienta typu point-to-site pro připojení k více virtuálním sítím najednou?

Ano, připojení klientů typu point-to-site k bráně virtuální sítě nasazené ve virtuální síti, která je v partnerském vztahu s jinými virtuálními sítěmi, může mít přístup k jiným partnerským virtuálním sítím. Klienti point-to-site se budou moct připojit k partnerským virtuálním sítím, pokud partnerské virtuální sítě používají funkce UseRemoteGateway / AllowGateway. Další informace naleznete v tématu o směrování typu point-to-site.

Kolik propustnosti můžu očekávat prostřednictvím připojení typu Site-to-Site nebo připojení typu point-to-site?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem. U služby VPN Gateway s pouze připojeními VPN typu point-to-site IKEv2 závisí celková propustnost, kterou můžete očekávat, na skladové po straně brány. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.

Můžu pro point-to-site použít libovolného softwarového klienta VPN, který podporuje protokol SSTP nebo IKEv2?

Ne. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac. Na všech platformách však můžete použít klienta OpenVPN a připojit se přes protokol OpenVPN. Projděte si seznam podporovaných klientských operačních systémů.

Můžu změnit typ ověřování pro připojení typu point-to-site?

Ano. Na portálu přejděte na bránu VPN –> stránka konfigurace point-to-site. Jako typ ověřování vyberte typy ověřování, které chcete použít. Mějte na paměti, že po provedení změny typu ověřování se aktuální klienti nemusí připojit, dokud se nevygeneruje, stáhne a nepoužije nový konfigurační profil klienta VPN.

Podporuje Azure IKEv2 VPN s Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016. Pokud ale chcete používat IKEv2 v určitých verzích operačního systému, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru místně. Verze operačního systému starší než Windows 10 nejsou podporované a můžou používat jenom protokol SSTP nebo OpenVPN®.

Poznámka:

Windows OS buildy novější než Windows 10 verze 1709 a Windows Server 2016 verze 1607 nevyžadují tyto kroky.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:

  1. Nainstalujte aktualizaci na základě vaší verze operačního systému:

    Verze operačního systému Datum Číslo/odkaz
    Windows Server 2016
    Windows 10 verze 1607    		 17. ledna 2018 KB4057142
    Windows 10 verze 1703 17. ledna 2018 KB4057144
    Windows 10 verze 1709 22. března 2018 KB4089848

  2. Nastavte hodnotu klíče registru. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.

Jaký je limit selektoru provozu IKEv2 pro připojení typu point-to-site?

Windows 10 verze 2004 (vydaná září 2021) zvýšil limit selektoru provozu na 255. Starší verze Windows mají limit selektoru provozu 25.

Omezení selektorů provozu ve Windows určuje maximální počet adresních prostorů ve vaší virtuální síti a maximální součet místních sítí, připojení typu VNet-to-VNet a partnerských virtuálních sítí připojených k bráně. Klienti typu point-to-site systému Windows se nebudou připojovat přes protokol IKEv2, pokud tento limit překročí.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?

Když nakonfigurujete SSTP i IKEv2 ve smíšeném prostředí (skládající se ze zařízení s Windows a Mac), klient VPN s Windows bude vždy zkoušet tunel IKEv2 jako první, ale pokud připojení IKEv2 nebude úspěšné, vrátí se k SSTP. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.

Pokud máte v bráně povolený protokol SSTP i IKEv2, fond adres typu point-to-site se staticky rozdělí mezi dva, takže klientům používajícím různé protokoly se přiřadí IP adresy z obou podsadů. Všimněte si, že maximální počet klientů SSTP je vždy 128, i když je rozsah adres větší než /24, což vede k většímu množství adres dostupných pro klienty IKEv2. V případě menších rozsahů bude fond stejně halvován. Selektory provozu používané bránou nemusí zahrnovat CIDR rozsah adres typu point-to-site, ale dva identifikátoryCID rozsahu.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?

podpora Azure s Windows, Mac a Linux for P2S VPN.

Už mám nasazenou Azure VPN Gateway. Můžu na ní povolit RADIUS, případně IKEv2 VPN?

Ano, pokud skladová položka brány, kterou používáte, podporuje protokol RADIUS nebo IKEv2, můžete tyto funkce povolit na branách, které jste už nasadili, pomocí PowerShellu nebo webu Azure Portal. Skladová položka Basic nepodporuje protokol RADIUS ani IKEv2.

Jak odeberu konfiguraci připojení P2S?

Konfiguraci P2S je možné odebrat s využitím Azure CLI a PowerShellu pomocí následujících příkazů:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Podporuje se ověřování pomocí protokolu RADIUS ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?

Ověřování protokolu RADIUS se podporuje pro všechny skladové položky s výjimkou skladové položky Basic.

U starších skladových položek se ověřování RADIUS podporuje u skladových položek úrovně Standard a High Performance. U skladové položky základní brány se nepodporuje.

Podporuje se ověřování pomocí protokolu RADIUS u klasického modelu nasazení?

Ne. Ověřování pomocí protokolu RADIUS není podporováno pro model nasazení Classic.

Jaká je doba časového limitu pro požadavky PROTOKOLU RADIUS odesílané na server RADIUS?

Požadavky RADIUS se nastaví na časový limit po 30 sekundách. Hodnoty časového limitu definované uživatelem se dnes nepodporují.

Podporují se servery RADIUS třetích stran?

Ano, servery RADIUS třetích stran se podporují.

Jaké jsou požadavky na připojení, aby se zajistilo, že se brána Azure může spojit s místním serverem RADIUS?

Vyžaduje se připojení VPN typu site-to-site k místní lokalitě s nakonfigurovanými správnými trasami.

Je možné směrovat provoz do místního serveru RADIUS server (ze služby Azure VPN Gateway) přes připojení ExpressRoute?

Ne. Dá se směrovat jenom přes připojení typu site-to-site.

Došlo ke změně počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS? Jaký je maximální podporovaný počet připojení SSTP a IKEv2?

Maximální počet připojení SSTP podporovaných v bráně s ověřováním RADIUS se nijak nemění. Pro SSTP zůstává 128, ale závisí na SKU brány pro IKEv2. Další informace o podporovaném počtu připojení najdete v části Skladové položky brány.

Jaký je rozdíl mezi ověřováním certifikátů pomocí serveru RADIUS a ověřováním nativního certifikátu Azure (nahráním důvěryhodného certifikátu do Azure)?

Při ověřování certifikátů pomocí protokolu RADIUS se žádost o ověření předá serveru RADIUS, který zpracuje vlastní ověření certifikátu. Tato možnost je užitečná, pokud chcete využít integraci s infrastrukturou ověřování certifikátů, kterou již prostřednictvím protokolu RADIUS máte.

Při použití Azure k ověřování certifikátů provádí ověření certifikátu služba Azure VPN Gateway. Do brány musíte nahrát veřejný klíč certifikátu. Můžete také zadat seznam odvolaných certifikátů, kterým by nemělo být povoleno připojení.

Funguje ověřování RADIUS s IKEv2 i SSTP VPN?

Ano, ověřování RADIUS je podporované jak pro IKEv2, tak i pro SSTP VPN.

Funguje ověřování RADIUS s klientem OpenVPN?

Ověřování radius je podporováno pro protokol OpenVPN.

Připojení typu VNet-to-VNet a Multi-Site

Nejčastější dotazy týkající se připojení brány VPN se týkají VNet-to-VNet. Informace o partnerském vztahu virtuálních sítí najdete v tématu Partnerské vztahy virtuálních sítí.

Účtuje se v Azure provoz mezi virtuálními sítěmi?

Provoz typu VNet-to-VNet v rámci stejné oblasti je bezplatný pro oba směry při použití připojení brány VPN. Odchozí provoz mezi oblastmi VNet-to-VNet se účtuje podle odchozích přenosů dat mezi virtuálními sítěmi na základě zdrojových oblastí. Další informace najdete na stránce s cenami služby VPN Gateway. Pokud připojujete virtuální sítě pomocí partnerského vztahu virtuálních sítí místo brány VPN, přečtěte si informace o cenách virtuální sítě.

Cestuje provoz typu VNet-to-VNet přes internet?

Ne. Provoz typu VNet-to-VNet prochází přes páteřní síť Microsoft Azure, ne přes internet.

Můžu vytvořit připojení typu VNet-to-VNet mezi tenanty Microsoft Entra?

Ano, připojení typu VNet-to-VNet, která používají brány Azure VPN, fungují napříč tenanty Microsoft Entra.

Je provoz VNet-to-VNet bezpečný?

Ano, chrání se šifrováním IPsec/IKE.

Je k propojení virtuálních sítí potřeba zařízení VPN?

Ne. Propojení více virtuálních sítí Azure nevyžaduje žádná zařízení VPN, pokud není vyžadována možnost připojení mezi různými místy.

Je nutné, aby virtuální sítě byly ve stejné oblasti?

Ne. Virtuální sítě se můžou nacházet ve stejné oblasti (umístění) Azure nebo v různých oblastech.

Pokud virtuální sítě nejsou ve stejném předplatném, musí být předplatná přidružená ke stejnému tenantovi Active Directory?

Ne.

Je možné použít VNet-to-VNet k propojení virtuálních sítí v samostatných instancích Azure?

Ne. VNet-to-VNet podporuje propojování virtuálních sítí v rámci stejné instance Azure. Nemůžete například vytvořit propojení mezi globálními instancemi Azure a čínskými, německými nebo americkými instancemi Azure pro státní správu USA. Zvažte použití připojení VPN typu Site-to-Site pro tyto scénáře.

Je možné použít VNet-to-VNet společně s připojením propojujícím víc serverů?

Ano. Možnost připojení k virtuální síti je možné využívat současně se sítěmi VPN s více servery.

Ke kolika místních serverům a virtuálním sítím se může připojit jedna virtuální síť?

Podívejte se na tabulku s požadavky brány.

Je možné použít VNet-to-VNet k propojení virtuálních počítačů nebo cloudových služeb mimo virtuální síť?

Ne. Propojení VNet-to-VNet podporují propojování virtuálních sítí. Nepodporuje připojení virtuálních počítačů nebo cloudových služeb, které nejsou ve virtuální síti.

Může cloudová služba nebo koncový bod vyrovnávání zatížení zahrnovat virtuální sítě?

Ne. Cloudová služba nebo koncový bod vyrovnávání zatížení nemůžou přesahovat mezi virtuálními sítěmi, i když jsou propojené dohromady.

Můžu pro připojení typu VNet-to-VNet nebo Multi-Site použít typ sítě VPN Typu PolicyBased?

Ne. Připojení typu VNet-to-VNet a Multi-Site vyžadují brány Vpn Azure s typy VPN RouteBased (dříve označované jako dynamické směrování).

Je možné připojit virtuální síť typu RouteBased k jiné virtuální síti typu PolicyBased?

Ne, obě virtuální sítě musí používat sítě VPN založené na směrování (dříve označované jako dynamické směrování).

Sdílejí tunely VPN šířku pásma?

Ano. Všechna tunelová propojení sítí VPN v rámci virtuální sítě sdílejí v bráně VPN Azure šířku pásma, která je k dispozici, a stejnou smlouvu SLA pro dostupnost brány VPN v Azure.

Jsou podporovány redundantní tunely?

Redundantní tunely mezi párem virtuálních sítí jsou podporovány, pokud je jedna brána virtuální sítě nakonfigurována jako aktivní-aktivní.

Můžou se překrývat adresní prostory pro konfigurace VNet-to-VNet?

Ne. Není možné, aby se rozsahy IP adres překrývaly.

Můžou se překrývat adresní prostory mezi propojenými virtuálními sítěmi a místními servery?

Ne. Není možné, aby se rozsahy IP adres překrývaly.

Návody povolit směrování mezi připojením VPN typu site-to-site a expressRoute?

Pokud chcete povolit směrování mezi vaší větví připojenou k ExpressRoute a větví připojenou k připojení VPN typu site-to-site, musíte nastavit Azure Route Server.

Je možné používat bránu VPN Azure pro provoz mezi místními servery a jinou virtuální sítí?

Model nasazení Resource Manager
Ano. Další informace najdete v článku o BGP.

Model nasazení Classic
Provoz prostřednictvím brány VPN Azure s použitím modelu nasazení Classic je možný, je však závislý na staticky definovaných adresních prostorech v souboru konfigurace sítě. Protokol BGP se zatím ve virtuálních sítích Azure a branách VPN s využitím modelu nasazení Classic nepodporuje. Bez protokolu BGP je ruční definování adresních prostorů pro přenos velmi náchylné k chybám a nedoporučuje se.

Generuje Azure stejný předsdílený klíč protokolu IPsec/IKE pro všechna připojení k síti VPN pro stejnou virtuální síť?

Ne, Azure ve výchozím nastavení pro různá připojení k síti VPN generuje různé předsdílené klíče. K nastavení hodnoty klíče, kterou chcete, ale můžete použít Set VPN Gateway Key rozhraní REST API nebo rutinu PowerShellu. Klíč MUSÍ obsahovat pouze tisknutelné znaky ASCII s výjimkou mezery, spojovníku (-) nebo tilda (~).

Získám větší šířku pásma s více sítěmi VPN typu site-to-site než pro jednu virtuální síť?

Ne, všechny tunely VPN, včetně sítí VPN typu point-to-site, sdílejí stejnou bránu Azure VPN a dostupnou šířku pásma.

Je možné nakonfigurovat více tunelových propojení mezi virtuální sítí a místního serverem prostřednictvím sítě VPN pro více serverů?

Ano, ale budete muset nakonfigurovat BGP na obou tunelech ve stejné lokalitě.

Dodržuje služba Azure VPN Gateway předběžné nastavení cesty AS, aby ovlivnila rozhodování o směrování mezi několika připojeními k místním lokalitám?

Ano, Azure VPN Gateway dodržuje předběžné nastavení cesty AS, aby pomohla při rozhodování o směrování, když je povolený protokol BGP. Při výběru cesty protokolu BGP se upřednostňuje kratší cesta AS.

Můžu při vytváření nového připojení VPN VirtualNetworkGateway použít vlastnost RoutingWeight?

Ne, toto nastavení je vyhrazené pro připojení brány ExpressRoute. Pokud chcete ovlivnit rozhodování o směrování mezi více připojeními, musíte použít předběžné nastavení cesty AS Path.

Můžu použít sítě VPN typu point-to-site s virtuální sítí s několika tunely VPN?

Ano, sítě VPN typu point-to-site (P2S) je možné použít s bránami VPN, které se připojují k několika místním lokalitám a dalším virtuálním sítím.

Je možné připojit virtuální síť se sítěmi VPN s protokolem IPsec k okruhu ExpressRoute?

Ano, tato možnost je podporována. Další informace najdete v tématu Konfigurace expressRoute a připojení VPN typu site-to-site, která existují společně.

Zásady IPsec/IKE

Jsou vlastní zásady IPsec/IKE podporovány ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?

Vlastní zásady IPsec/IKE se podporují u všech skladových položek Azure s výjimkou skladové položky Basic.

Kolik zásad můžu zadat pro jedno připojení?

Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.

Můžu pro připojení zadat částečné zásady? (například pouze algoritmy IKE, ale ne IPsec)

Ne, musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim). Částečná specifikace zásad není povolená.

Jaké algoritmy a síly klíče jsou podporované ve vlastních zásadách?

Následující tabulka uvádí podporované kryptografické algoritmy a silné stránky klíčů, které můžete nakonfigurovat. Pro každé pole musíte vybrat jednu možnost.

IPsec/IKEv2 Možnosti
Šifrování protokolem IKEv2 GCMAES256, GCMAES128, AES256, AES192, AES128
Integrita protokolu IKEv2 SHA384, SHA256, SHA1, MD5
Skupina DH DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Šifrování protokolem IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádné
Integrita protokolu IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Skupina PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Žádná
Doba života přidružení zabezpečení v rychlém režimu (Volitelné: Výchozí hodnoty se použijí, pokud nejsou zadané)
Sekundy (integer; min. 300 / výchozí hodnota 27 000 sekund)
Kilobajty (integer; min. 1024 / výchozí hodnota 102 400 000 kilobajtů)
Selektor provozu UsePolicyBasedTrafficSelectors** ($True/$False; Nepovinný výchozí $False, pokud není zadaný)
Časový limit DPD Sekundy (celé číslo: min. 9/max. 3600; výchozí 45 sekund)

  • Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:

    • Šifrovací algoritmus IKE (hlavní režim / fáze 1)
    • Algoritmus integrity protokolu IKE (hlavní režim / fáze 1)
    • DH Group (hlavní režim / fáze 1)
    • Šifrovací algoritmus IPsec (rychlý režim / fáze 2)
    • Algoritmus integrity protokolu IPsec (rychlý režim / fáze 2)
    • Skupina PFS (rychlý režim / fáze 2)
    • Selektor provozu (pokud se používá UsePolicyBasedTrafficSelectors)
    • Životnosti přidružení služby jsou pouze místní specifikace a nemusí se shodovat.

  • Pokud se GCMAES používá jako u šifrovacího algoritmu IPsec, musíte pro integritu protokolu IPsec vybrat stejný algoritmus a délku klíče GCMAES; Například použití GCMAES128 pro oba.

  • V tabulce Algoritmy a klíče :

    • IKE odpovídá hlavnímu režimu nebo fázi 1.
    • Protokol IPsec odpovídá rychlému režimu nebo fázi 2.
    • Skupina DH určuje skupinu Diffie-Hellman použitou v hlavním režimu nebo fázi 1.
    • Skupina PFS určila skupinu Diffie-Hellman použitou v rychlém režimu nebo fázi 2.

  • Životnost přidružení zabezpečení hlavního režimu IKE je u bran Azure VPN opravena na 28 800 sekund.

  • UsePolicyBasedTrafficSelectors je volitelný parametr připojení. Pokud nastavíte UsePolicyBasedTrafficSelectors tak, aby $True na připojení, nakonfiguruje bránu Azure VPN Gateway tak, aby se připojila k místní bráně VPN založené na zásadách. Pokud povolíte PolicyBasedTrafficSelectors, musíte zajistit, aby vaše zařízení VPN má odpovídající selektory provozu definované všemi kombinacemi předpon místní sítě (brány místní sítě) z předpon virtuální sítě Azure místo předpon typu any-to-any. Brána Azure VPN gateway přijímá jakýkoli výběr provozu, který navrhuje vzdálená brána VPN bez ohledu na to, co je nakonfigurované ve službě Azure VPN Gateway.

    Například pokud jsou předpony vaší místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony vaší virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, je potřeba zadat následující selektory provozu:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    Další informace o selektorech provozu založených na zásadách najdete v tématu Připojení několika místních zařízení VPN založených na zásadách.

  • Časový limit DPD – Výchozí hodnota je 45 sekund v branách Azure VPN. Nastavení časového limitu na kratší období způsobí, že se protokol IKE znovu vytvoří agresivněji, což způsobí, že se připojení v některých případech odpojí. To nemusí být žádoucí, pokud jsou vaše místní umístění daleko od oblasti Azure, ve které se nachází brána VPN, nebo může dojít ke ztrátě paketů. Obecným doporučením je nastavit časový limit mezi 30 až 45 sekund.

Další informace najdete v článku Připojení několika místních zařízení VPN založených na zásadách.

Které skupiny Diffie-Hellman jsou podporovány?

Následující tabulka uvádí odpovídající skupiny Diffie-Hellman podporované vlastní zásadou:

Skupina Diffie-Hellman DHGroup PFSGroup Délka klíče
0 DHGroup1 PFS1 768bitová skupina MODP
2 DHGroup2 PFS2 1024bitová skupina MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048bitová skupina MODP
19 ECP256 ECP256 256bitová skupina ECP
20 ECP384 ECP384 384bitová skupina ECP
24 DHGroup24 PFS24 2048bitová skupina MODP

Další podrobnosti najdete v článcích týkajících se RFC3526 a RFC5114.

Nahrazují vlastní zásady výchozí sady zásad IPsec/IKE pro brány Azure VPN Gateway?

Ano, jakmile jsou pro připojení zadány vlastní zásady, brána Azure VPN Gateway bude používat pouze zásady pro připojení, a to jako iniciátor IKE i jako respondér IKE.

Pokud odeberu vlastní zásady IPsec/IKE, stane se připojení nechráněným?

Ne, připojení bude i nadále chráněno protokolem IPsec/IKE. Jakmile z připojení odeberete vlastní zásady, brána Azure VPN Gateway se vrátí k výchozímu seznamu návrhů IPsec/IKE a znovu spustí metodu handshake protokolu IKE s vaším místním zařízením VPN.

Přerušilo by přidání nebo aktualizace zásad IPsec/IKE připojení VPN?

Ano, mohlo by dojít ke krátkému přerušení (několik sekund), protože brána Azure VPN Gateway přeruší stávající připojení a znovu spustí metodu handshake protokolu IKE pro opětovné vytvoření tunelu IPsec s využitím nových kryptografických algoritmů a parametrů. Pokud chcete přerušení minimalizovat, ujistěte se, že vaše místní zařízení VPN je také nakonfigurováno s odpovídajícími algoritmy a silami klíče.

Můžou se pro různá připojení použít různé zásady?

Ano. Vlastní zásady se aplikují na jednotlivá připojení. Pro různá připojení můžete vytvořit a použít různé zásady IPsec/IKE. Můžete také použít vlastní zásady pro podmnožinu připojení. Zbývající připojení budou používat výchozí sady zásad IPsec/IKE Azure.

Dají se vlastní zásady použít také pro připojení typu VNet-to-VNet?

Ano, vlastní zásady můžete použít pro připojení IPsec mezi různými místy i pro připojení typu VNet-to-VNet.

Je nutné zadat stejné zásady pro oba prostředky připojení typu VNet-to-VNet?

Ano. Tunel typu VNet-to-VNet se skládá ze dvou prostředků připojení v Azure (jeden pro každý směr). Zajistěte, aby oba prostředky připojení měly stejné zásady, jinak se připojení typu VNet-to-VNet nevytvoří.

Jaká je výchozí hodnota časového limitu DPD? Můžu zadat jiný časový limit DPD?

Výchozí časový limit DPD je 45 sekund. Pro každé připojení IPsec nebo VNet-to-VNet můžete zadat jinou hodnotu časového limitu DPD od 9 sekund do 3600 sekund.

Poznámka:

Výchozí hodnota je 45 sekund ve službě Azure VPN Gateway. Nastavení časového limitu na kratší období způsobí, že se protokol IKE znovu vytvoří agresivněji, což způsobí, že se připojení v některých případech odpojí. To nemusí být žádoucí, pokud jsou vaše místní umístění vzdálená od oblasti Azure, ve které se nachází brána VPN, nebo když může dojít ke ztrátě paketů. Obecně se doporučuje nastavit časový limit mezi 30 a 45 sekund.

Fungují zásady IPsec/IKE na připojení ExpressRoute?

Ne. Zásady IPsec/IKE fungují pouze na připojeních VPN typu Site-to-Site a VNet-to-VNet prostřednictvím bran Azure VPN Gateway.

Návody vytvoření připojení s typem protokolu IKEv1 nebo IKEv2?

Připojení IKEv1 je možné vytvořit ve všech skladových posílaných úrovních typu VPN typu RouteBased s výjimkou skladových položek Basic, skladové položky Standard a dalších starších skladových položek. Při vytváření připojení můžete zadat typ protokolu připojení IKEv1 nebo IKEv2. Pokud nezadáte typ protokolu připojení, použije se IKEv2 jako výchozí možnost, pokud je to možné. Další informace najdete v dokumentaci k rutinám PowerShellu. Informace o typech skladových položek a podpoře IKEv1/IKEv2 najdete v tématu Připojení brány pro zařízení VPN založená na zásadách.

Je povolena doprava mezi připojeními IKEv1 a IKEv2?

Ano. Podporuje se přenos mezi připojeními IKEv1 a IKEv2.

Můžu mít připojení site-to-site IKEv1 u základních skladových položek typu SÍTĚ VPN typu RouteBased?

Ne. Skladová položka Basic tuto položku nepodporuje.

Můžu po vytvoření připojení změnit typ protokolu připojení (IKEv1 na IKEv2 a naopak)?

Ne. Po vytvoření připojení není možné změnit protokoly IKEv1/IKEv2. Musíte odstranit a znovu vytvořit nové připojení s požadovaným typem protokolu.

Proč se připojení IKEv1 často znovu připojuje?

Pokud se připojení IKEv1 založené na statickém směrování nebo směrování odpojí v pravidelných intervalech, je pravděpodobné, že brány VPN nepodporují místní klíče. Při opětovném vytvoření klíče hlavního režimu se tunely IKEv1 odpojí a opětovné připojení trvá až 5 sekund. Hodnota časového limitu vyjednávání hlavního režimu určuje frekvenci opakovaných klíčů. Pokud chcete těmto opětovným připojením zabránit, můžete přepnout na příkaz IKEv2, který podporuje místní klíče.

Pokud se připojení znovu připojuje náhodně, postupujte podle našeho průvodce odstraňováním potíží.

Kde najdu informace o konfiguraci a kroky?

Další informace a kroky konfigurace najdete v následujících článcích.

Protokol BGP a směrování

Je protokol BGP podporován ve všech SKU služby Azure VPN Gateway?

Protokol BGP se podporuje ve všech skladových posílacích služby Azure VPN Gateway s výjimkou skladové položky Basic.

Můžu používat protokol BGP s bránami VPN azure Policy?

Ne, protokol BGP se podporuje jenom u bran VPN založených na směrování.

Jaké sítě ASN (čísla autonomního systému) můžu použít?

Svá vlastní veřejná čísla ASN nebo privátní čísla ASN můžete používat pro své místní i virtuální sítě Azure. Rozsahy rezervované službou Azure ani IANA nemůžete použít.

Azure nebo IANA si vyhradí následující sítě ASN:

  • ASN vyhrazená sítí Azure:

    • Veřejná ASN: 8074, 8075, 12076
    • Privátní ASN: 65515, 65517, 65518, 65519, 65520

  • Sítě ASN rezervované IANA:

    • 23456, 64496–64511, 65535–65551 a 429496729

Tyto sítě ASN nemůžete zadat pro místní zařízení VPN, když se připojujete k branám Azure VPN.

Můžu používat 32bitové (4 bajtové) ASN?

Ano, služba VPN Gateway teď podporuje 32bitové (4 bajtové) sítě ASN. Ke konfiguraci pomocí ASN v desítkovém formátu použijte PowerShell, Azure CLI nebo sadu Azure SDK.

Jaké privátní sítě ASN můžu použít?

Použitelné rozsahy privátních sítí ASN jsou:

  • 64512-65514 a 65521-65534

Tyto sítě ASN nejsou rezervovány IANA nebo Azure pro použití, a proto je můžete použít k přiřazení k bráně Azure VPN.

Jakou adresu služba VPN Gateway používá pro IP adresu partnerského uzlu protokolu BGP?

Ve výchozím nastavení služba VPN Gateway přiděluje jednu IP adresu z rozsahu GatewaySubnet pro brány VPN v pohotovostním režimu nebo dvě IP adresy pro brány VPN typu aktivní-aktivní. Tyto adresy se při vytváření brány VPN přidělují automaticky. Skutečnou IP adresu protokolu BGP přidělenou pomocí PowerShellu nebo ji můžete najít na webu Azure Portal. V PowerShellu použijte Get-AzVirtualNetworkGateway a vyhledejte vlastnost bgpPeeringAddress . Na webu Azure Portal na stránce Konfigurace brány se podívejte na vlastnost Konfigurovat ASN protokolu BGP.

Pokud vaše místní směrovače VPN používají IP adresy APIPA (169.254.x.x) jako IP adresy protokolu BGP, musíte zadat jednu nebo více IP adres protokolu BGP služby Azure APIPA na bráně Azure VPN. Azure VPN Gateway vybere adresy APIPA, které se mají použít s místním partnerským vztahem protokolu BGP protokolu APIPA zadaným v bráně místní sítě, nebo privátní IP adresou místního partnerského vztahu protokolu BGP bez rozhraní APIPA. Další informace naleznete v tématu Konfigurace protokolu BGP.

Jaké jsou požadavky na IP adresy partnerského uzlu protokolu BGP na mém zařízení VPN?

Vaše místní adresa partnerského vztahu protokolu BGP nesmí být stejná jako veřejná IP adresa vašeho zařízení VPN nebo z adresního prostoru virtuální sítě brány VPN. Jako místní adresu partnera BGP v zařízení VPN použijte jinou IP adresu. Může se jednat o adresu přiřazenou rozhraní zpětné smyčky na zařízení (běžnou IP adresu nebo adresu APIPA). Pokud vaše zařízení používá adresu APIPA pro protokol BGP, musíte zadat jednu nebo více IP adres protokolu APIPA BGP ve službě Azure VPN Gateway, jak je popsáno v části Konfigurace protokolu BGP. Zadejte tyto adresy v odpovídající bráně místní sítě představující umístění.

Co mám zadat jako předpony adres pro bránu místní sítě při použití protokolu BGP?

Důležité

Jedná se o změnu z dříve zdokumentovaného požadavku. Pokud pro připojení použijete protokol BGP, ponechte pole Adresní prostor prázdný pro odpovídající prostředek brány místní sítě. Azure VPN Gateway interně přidá trasu hostitele do místní IP adresy partnerského uzlu protokolu BGP přes tunel IPsec. Nepřidávejte trasu /32 do pole Adresní prostor . Je redundantní a pokud jako IP adresu místního zařízení VPN použijete adresu APIPA, nedá se do tohoto pole přidat. Pokud do pole Adresní prostor přidáte další předpony, přidají se kromě tras získaných přes protokol BGP také jako statické trasy ve službě Azure VPN Gateway.

Můžu použít stejný ASN pro místní sítě VPN i virtuální sítě Azure?

Ne, pokud je propojíte s protokolem BGP, musíte mezi místními sítěmi a virtuálními sítěmi Azure přiřadit různé sítě ASN. Brány Azure VPN mají přiřazený výchozí ASN 65515 bez ohledu na to, jestli je povolený protokol BGP nebo ne pro připojení mezi místními sítěmi. Toto výchozí nastavení můžete přepsat přiřazením jiného ASN při vytváření brány VPN, nebo můžete po vytvoření brány změnit ASN. Místní sítě ASN budete muset přiřadit k odpovídajícím branám místní sítě Azure.

Které předpony adres budou služby Azure VPN gateway prezentovat?

Brány inzerují do místních zařízení BGP následující trasy:

  • Předpony adres virtuální sítě.
  • Předpony adres pro každou bránu místní sítě připojenou k bráně Azure VPN.
  • Trasy získané z jiných relací partnerského vztahu protokolu BGP připojené ke službě Azure VPN Gateway s výjimkou výchozí trasy nebo tras, které se překrývají s předponou virtuální sítě.

Kolik předpon můžu inzerovat službě Azure VPN Gateway?

Azure VPN Gateway podporuje až 4 000 předpon. Pokud počet předpon překročí toto omezení, relace BGP se ukončí.

Mohu inzerovat výchozí cestu (0.0.0.0/0) do bran Azure VPN Gateway?

Ano. Mějte na paměti, že to vynutí veškerý odchozí provoz virtuální sítě směrem k vaší místní lokalitě. Zabrání také tomu, aby virtuální počítače virtuálních sítí přijímaly veřejnou komunikaci z internetu přímo, například protokol RDP nebo SSH z internetu do virtuálních počítačů.

Můžu inzerovat přesné předpony jako předpony virtuální sítě?

Ne, inzerování stejných předpon jako předpony adres virtuální sítě bude zablokováno nebo filtrováno v Azure. Můžete ale inzerovat předponu, která je nadmnožinou toho, co máte ve virtuální síti.

Pokud například vaše virtuální síť používala adresní prostor 10.0.0.0/16, můžete inzerovat 10.0.0.0/8. Nemůžete ale inzerovat 10.0.0.0/16 nebo 10.0.0.0/24.

Můžu s připojeními mezi virtuálními sítěmi používat protokol BGP?

Ano, protokol BGP můžete použít pro připojení mezi různými místy i pro připojení mezi virtuálními sítěmi.

Lze u služeb Azure VPN Gateway používat kombinaci připojení pomocí protokolu BGP a bez protokolu BGP?

Ano, u stejné služby Azure VPN Gateway je možné kombinovat připojení pomocí protokolu BGP i bez protokolu BGP.

Podporuje azure VPN Gateway směrování přenosu BGP?

Ano, směrování přenosu BGP se podporuje s výjimkou, že brány Azure VPN neinzerují výchozí trasy jiným partnerským uzlům protokolu BGP. Pokud chcete povolit směrování přenosu mezi několika bránami Azure VPN, musíte povolit protokol BGP pro všechna zprostředkující připojení mezi virtuálními sítěmi. Další informace naleznete v tématu O protokolu BGP.

Můžu mezi službou Azure VPN Gateway a místní sítí mít více tunelů?

Ano, mezi bránou Azure VPN a místní sítí můžete vytvořit více tunelů VPN typu site-to-site (S2S). Všimněte si, že všechny tyto tunely se započítávají do celkového počtu tunelů pro brány Azure VPN a v obou tunelech musíte povolit protokol BGP.

Pokud máte například dva redundantní tunely mezi bránou Azure VPN a jednou z místních sítí, spotřebovávají 2 tunely z celkové kvóty pro bránu Azure VPN.

Můžu mezi dvěma virtuálními sítěmi Azure s protokolem BGP mít více tunelů?

Ano, ale alespoň jedna z bran virtuální sítě musí být v konfiguraci aktivní–aktivní.

Je možné použít protokol BGP pro S2S VPN v konfiguraci koexistence vpn Azure ExpressRoute a S2S?

Ano.

Co je třeba přidat do místního zařízení VPN pro relaci partnerského vztahu protokolu BGP?

Přidejte na zařízení VPN trasu hostitele IP adresy partnerského uzlu Azure BGP. Tato trasa odkazuje na tunel IPsec S2S VPN. Pokud je například IP adresa partnerského uzlu Azure VPN 10.12.255.30, přidáte na zařízení VPN trasu hostitele 10.12.255.30 s rozhraním dalšího směrování odpovídajícího tunelového rozhraní IPsec.

Podporuje brána virtuální sítě BFD pro připojení S2S pomocí protokolu BGP?

Ne. Bidirectional Forwarding Detection (BFD) je protokol, který můžete použít s protokolem BGP k rychlejšímu zjišťování výpadků sousedů, než je možné, pomocí standardního protokolu BGP "keepalives". BFD používá podsekundové časovače navržené pro práci v prostředích LAN, ale ne přes veřejné připojení k internetu nebo síti Wide Area Network.

U připojení přes veřejný internet se určité pakety zpozdí nebo dokonce zahodí, takže zavedení těchto agresivních časovačů může přidat nestabilitu. Tato nestabilita může způsobit, že trasy budou navlhčeny protokolem BGP. Jako alternativu můžete místní zařízení nakonfigurovat s časovači nižšími než výchozí, 60sekundový interval "keepalive" a 180sekundový časovač blokování. Výsledkem je rychlejší konvergenční doba. Časovače pod výchozím 60sekundovým intervalem "keepalive" nebo pod výchozí 180sekundový časovač blokování nejsou spolehlivé. Doporučuje se uchovávat časovače na výchozích hodnotách nebo nad ní.

Inicialují brány Azure VPN Gateway relace nebo připojení partnerského vztahu protokolu BGP?

Brána zahájí relace partnerského vztahu protokolu BGP s místními IP adresami partnerského uzlu protokolu BGP zadanými v prostředcích brány místní sítě pomocí privátních IP adres v branách VPN. To je bez ohledu na to, jestli jsou místní IP adresy protokolu BGP v rozsahu rozhraní APIPA nebo běžné privátní IP adresy. Pokud vaše místní zařízení VPN používají adresy APIPA jako IP adresu protokolu BGP, musíte nakonfigurovat reproduktor protokolu BGP tak, aby inicioval připojení.

Můžu nakonfigurovat vynucené tunelování?

Ano. Informace najdete v části Konfigurace vynuceného tunelování.

NAT

Podporuje se překlad adres (NAT) u všech skladových položek služby Azure VPN Gateway?

Překlad adres (NAT) se podporuje u vpnGw2~5 a VpnGw2AZ~5AZ.

Můžu použít překlad adres (NAT) u připojení typu VNet-to-VNet nebo P2S?

Ne.

Kolik pravidel překladu adres (NAT) můžu použít ve službě VPN Gateway?

Ve službě VPN Gateway můžete vytvořit až 100 pravidel překladu adres (příchozích přenosů dat a odchozích přenosů).

Můžu použít název pravidla překladu adres (NAT)?

Ne. Zobrazí se chyba.

Používá se překlad adres (NAT) u všech připojení ve službě VPN Gateway?

Překlad adres (NAT) se použije u připojení s pravidly překladu adres (NAT). Pokud připojení nemá pravidlo překladu adres (NAT), neprojeví se na toto připojení. Na stejné bráně VPN můžete mít některá připojení s překladem adres (NAT) a další připojení bez spolupráce překladu adres (NAT).

Jaké typy překladu adres (NAT) se podporují ve službě Azure VPN Gateway?

Podporují se pouze statické překlady adres (NAT) 1:1 a Dynamické překlad adres (NAT). PŘEKLAD ADRES (NAT64) se nepodporuje.

Funguje překlad adres (NAT) na branách VPN typu aktivní-aktivní?

Ano. Překlad adres (NAT) funguje na branách VPN typu aktivní-aktivní i aktivní-pohotovostní. Každé pravidlo překladu adres (NAT) se použije na jednu instanci brány VPN. V branách typu aktivní-aktivní vytvořte samostatné pravidlo NAT pro každou instanci brány prostřednictvím pole ID konfigurace PROTOKOLU IP.

Funguje překlad adres (NAT) s připojeními protokolu BGP?

Ano, můžete použít protokol BGP s překladem adres (NAT). Tady je několik důležitých aspektů:

  • Na stránce konfigurace pravidel překladu adres (NAT) vyberte Povolit překlad tras protokolu BGP, abyste zajistili, že se naučené trasy a inzerované trasy přeloží na předpony adres po překladu adres (externí mapování) na základě pravidel překladu adres (NAT) přidružených k připojením. Musíte zajistit, aby místní směrovače protokolu BGP inzerují přesné předpony definované v pravidlech příchozího přenosu dat.

  • Pokud místní směrovač VPN používá běžnou, jinou adresu než APIPA a koliduje s adresní prostorem virtuální sítě nebo jinými místními síťovými prostory, ujistěte se, že pravidlo Příchozí přenos datSNAT přeloží IP adresu partnerského uzlu protokolu BGP na jedinečnou nepřekryvnou adresu a vloží adresu post-NAT do pole IP adresy partnerského uzlu protokolu BGP brány místní sítě.

  • Překlad adres (NAT) se nepodporuje s adresami protokolu APIPA protokolu BGP.

Musím vytvořit odpovídající pravidla DNAT pro pravidlo SNAT?

Ne. Jedno pravidlo SNAT definuje překlad pro oba směry konkrétní sítě:

  • Pravidlo příchozího přenosu dat definuje překlad zdrojových IP adres přicházejících do brány Azure VPN z místní sítě. Zpracovává také překlad cílových IP adres odcházejících z virtuální sítě do stejné místní sítě.

  • Pravidlo výchozího přenosu dat definuje překlad zdrojových IP adres virtuální sítě, které opustí bránu Azure VPN gateway do místních sítí. Zpracovává také překlad cílových IP adres pro pakety přicházející do virtuální sítě prostřednictvím těchto připojení s pravidlem EgressSNAT.

  • V obou případech nejsou potřeba žádná pravidla DNAT .

Co mám dělat, když má adresní prostor brány virtuální sítě nebo místní sítě dvě nebo více předpon? Můžu použít překlad adres (NAT) u všech? Nebo jen podmnožinu?

Pro každou předponu, kterou potřebujete, musíte vytvořit jedno pravidlo překladu adres, protože každé pravidlo překladu adres může obsahovat jenom jednu předponu adresy pro PŘEKLAD ADRES. Pokud se například adresní prostor brány místní sítě skládá z adresního prostoru 10.0.1.0/24 a 10.0.2.0/25, můžete vytvořit dvě pravidla, jak je znázorněno níže:

  • Pravidlo příchozího přenosu dat 1: Mapování 10.0.1.0/24 na 100.0.1.0/24
  • Pravidlo příchozího přenosu dat 2: Mapování 10.0.2.0/25 na 100.0.2.0/25

Tato dvě pravidla musí odpovídat délce předpon odpovídajících předpon adres. Totéž platí pro pravidla EgressSNAT pro adresní prostor virtuální sítě.

Důležité

Pokud propočítáte pouze jedno pravidlo s výše uvedeným připojením, druhý adresní prostor se nepřeloží .

Jaké rozsahy IP adres můžu použít pro externí mapování?

Můžete použít libovolný vhodný rozsah IP adres, který chcete použít pro externí mapování, včetně veřejných a privátních IP adres.

Můžu použít různá pravidla EgressSNAT k překladu adresního prostoru virtuální sítě na různé předpony do různých místních sítí?

Ano, můžete vytvořit několik pravidel EgressSNAT pro stejný adresní prostor virtuální sítě a použít pravidla EgressSNAT na různá připojení.

Můžu pro různá připojení použít stejné pravidlo Příchozí přenos datSNAT?

Ano, obvykle se používá, když jsou připojení pro stejnou místní síť k zajištění redundance. Stejné pravidlo příchozího přenosu dat nemůžete použít, pokud jsou připojení pro různé místní sítě.

Potřebuji pro připojení NAT pravidla příchozího přenosu i výchozího přenosu dat?

Když se místní adresní prostor místní sítě překrývají s adresními prostory virtuální sítě, potřebujete pravidla příchozího i výchozího přenosu dat na stejném připojení. Pokud je adresní prostor virtuální sítě jedinečný mezi všemi připojenými sítěmi, nepotřebujete u těchto připojení pravidlo EgressSNAT. Pomocí pravidel příchozího přenosu dat můžete zabránit překrývání adres mezi místními sítěmi.

Co zvolím jako ID konfigurace PROTOKOLU IP?

"ID konfigurace PROTOKOLU IP" je jednoduše název objektu konfigurace PROTOKOLU IP, který má pravidlo NAT používat. V tomto nastavení jednoduše zvolíte, která veřejná IP adresa brány se vztahuje na pravidlo překladu adres (NAT). Pokud jste při vytváření brány nezadali žádný vlastní název, primární IP adresa brány se přiřadí ke konfiguraci výchozího IPconfiguration a sekundární IP adresa se přiřadí ke konfiguraci ip adresy "activeActive".

Připojení mezi místními sítěmi a virtuální počítače

Pokud se virtuální počítač nachází ve virtuální síti s propojením mezi různými místy, jak se k virtuálnímu počítači připojovat?

Možností je několik. Pokud je pro virtuální počítač povolen protokol RDP, je možné připojit se k virtuálnímu počítači s použitím privátní IP adresy. V takovém případě zadáte privátní IP adresu a port, ke kterému se chcete připojit (obvykle 3389). Je třeba nakonfigurovat příslušný port ve virtuálním počítači pro provoz.

K virtuálnímu počítači se lze připojit pomocí privátní IP adresy i z jiného virtuálního počítače umístěného ve stejné virtuální síti. Pokud se připojujete z umístění mimo virtuální síť, nemůžete se ke svému virtuálnímu počítači připojit pomocí privátní IP adresy. Pokud máte například nakonfigurovanou virtuální síť typu point-to-site a nenavážete připojení z počítače, nemůžete se k virtuálnímu počítači připojit pomocí privátní IP adresy.

Pokud se virtuální počítač nachází ve virtuální síti s možností připojení mezi různými místy, prochází tímto připojením veškerý provoz z virtuálního počítače?

Ne. Bránou virtuální sítě prochází pouze s cílovou IP adresou uvedenou v nastavených rozsazích IP adres místní sítě pro příslušnou virtuální síť. Provoz s cílovou IP adresou v příslušné virtuální síti probíhá v rámci této virtuální sítě. Ostatní provoz je odesílán prostřednictvím služby Load Balancer do veřejných sítí nebo prostřednictvím brány VPN Azure, pokud je použito vynucené tunelování.

Řešení potíží s připojením ke vzdálené ploše virtuálního počítače

Pokud máte potíže s připojením k virtuálnímu počítači přes připojení VPN, zkontrolujte následující položky:

  • Ověřte, že je úspěšně navázáno připojení VPN.
  • Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.
  • Pokud se k virtuálnímu počítači můžete připojit s použitím privátní IP adresy, ale ne pomocí názvu počítače, ověřte, že jste správně nakonfigurovali DNS. Další informace o tom, jak funguje překlad IP adres pro virtuální počítače, najdete v tématu Překlad IP adres pro virtuální počítače.

Pokud se připojujete přes Point-to-Site, zkontrolujte navíc následující položky:

  • Pomocí příkazu ipconfig zkontrolujte adresu IPv4 přiřazenou k adaptéru Ethernet v počítači, ze kterého se připojujete. Pokud je IP adresa v rozsahu adres virtuální sítě, ke které se připojujete, nebo v rozsahu adres vašeho fondu VPNClientAddressPool, označuje se to jako překrývající se adresní prostor. Když se adresní prostor tímto způsobem překrývá, síťový provoz nemá přístup do Azure a zůstane v místní síti.
  • Ověřte, že se balíček konfigurace klienta VPN vygeneroval po zadání IP adres serveru DNS pro virtuální síť. Pokud jste aktualizovali IP adresy serveru DNS, vygenerujte a nainstalujte nový balíček pro konfiguraci klienta VPN.

Další informace o řešení potíží s připojením ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.

Údržba brány řízená zákazníkem

Které služby jsou součástí oboru Konfigurace údržby bran sítě?

Rozsah síťových bran zahrnuje prostředky brány v síťových službách. V oboru síťových bran existují čtyři typy prostředků:

  • Brána virtuální sítě ve službě ExpressRoute
  • Brána virtuální sítě ve službě VPN Gateway
  • Brána VPN (Site-to-Site) ve službě Virtual WAN
  • Brána ExpressRoute ve službě Virtual WAN

Která údržba se podporuje nebo nepodporuje údržbou řízenou zákazníkem?

Služby Azure procházejí pravidelnými aktualizacemi údržby za účelem zlepšení funkčnosti, spolehlivosti, výkonu a zabezpečení. Po nakonfigurování časového období údržby pro vaše prostředky se během tohoto časového období provede údržba hostovaného operačního systému a služby. Aktualizace hostitele nad rámec aktualizací hostitele (TOR, Power atd.) a důležitých aktualizací zabezpečení se nevztahují na údržbu řízenou zákazníkem.

Můžu získat upřesňující oznámení o údržbě?

V tuto chvíli není možné povolit upřesňující oznámení pro údržbu prostředků síťové brány.

Můžu nakonfigurovat časové období údržby kratší než pět hodin?

V tuto chvíli musíte ve svém upřednostňovaném časovém pásmu nakonfigurovat minimálně pět hodin intervalu.

Můžu nakonfigurovat jiné časové období údržby než denní plán?

V tuto chvíli musíte nakonfigurovat denní časové období údržby.

Existují případy, kdy nemůžu řídit určité aktualizace?

Údržba řízená zákazníkem podporuje aktualizace hostovaného operačního systému a služeb. Tyto aktualizace představují většinu položek údržby, které pro zákazníky způsobují obavy. Některé další typy aktualizací, včetně aktualizací hostitele, jsou mimo rozsah údržby řízené zákazníkem.

Kromě toho, pokud dojde k problému s vysokou závažností zabezpečení, který může ohrozit naše zákazníky, azure může potřebovat přepsat řízení zákazníků časového období údržby a nasdílit změnu. Jedná se o vzácné výskyty, které by se používaly pouze v extrémních případech.

Musí být prostředky konfigurace údržby ve stejné oblasti jako prostředek brány?

Ano

Které skladové položky brány je možné nakonfigurovat tak, aby používaly údržbu řízenou zákazníkem?

Všechny skladové položky brány (s výjimkou skladové položky Basic pro službu VPN Gateway) je možné nakonfigurovat tak, aby používaly údržbu řízenou zákazníkem.

Jak dlouho trvá, než se zásady konfigurace údržby projeví po přiřazení k prostředku brány?

Po přidružení zásad údržby k prostředku brány může trvat až 24 hodin, než se síťové brány řídí plánem údržby.

Existují nějaká omezení používání údržby řízené zákazníkem na základě veřejné IP adresy skladové položky Basic?

Ano. Prostředky brány, které používají veřejnou IP adresu skladové položky Basic, budou moct mít aktualizace služeb pouze podle plánu údržby řízeného zákazníkem. U těchto bran údržba hostovaného operačního systému nedodržuje plán údržby řízený zákazníkem kvůli omezením infrastruktury.

Jak mám naplánovat časové období údržby při používání sítě VPN a ExpressRoute ve scénáři koexistence?

Při práci s VPN a ExpressRoute ve scénáři koexistence nebo při každém použití prostředků, které fungují jako zálohy, doporučujeme nastavit samostatná časová období údržby. Tento přístup zajišťuje, že údržba nemá vliv na prostředky zálohování současně.

Naplánoval(a) jsem časové období údržby pro budoucí datum pro některý z mých prostředků. Budou se u tohoto prostředku do té doby pozastavit aktivity údržby?

Ne, aktivity údržby se na vašem prostředku během období před časovým obdobím plánované údržby pozastaví. Pro dny, které nejsou zahrnuté v plánu údržby, údržba pokračuje obvyklým způsobem u prostředku.

Návody zjistit další informace o údržbě brány řízené zákazníkem?

Další informace najdete v článku údržby brány řízené zákazníkem služby VPN Gateway.

Další kroky

OpenVPN je ochranná známka společnosti OpenVPN Inc.