Nejčastější dotazy k branám VPN

Připojování k virtuálním sítím

Je možné propojit virtuální sítě v různých oblastech Azure?

Ano. Neexistuje žádné omezení oblasti. Jedna virtuální síť může být propojena s jinou virtuální sítí ve stejném oblasti nebo v jiné oblasti Azure.

Je možné propojovat virtuální sítě v rámci různých předplatných?

Ano.

Můžu při konfiguraci brány VPN zadat privátní servery DNS ve virtuální síti?

Pokud jste při vytváření virtuální sítě zadali server NEBO servery DNS, VPN Gateway použije zadané servery DNS. Pokud zadáte server DNS, ověřte, že váš server DNS dokáže přeložit názvy domén potřebných pro Azure.

Je možné připojovat se k více serverům z jedné virtuální sítě?

K více serverům se lze připojovat prostřednictvím prostředí Windows PowerShell a rozhraní API REST Azure. Přečtěte si oddíl Možnosti připojování k více serverům a připojení VNet-to-VNet v nejčastějších dotazech.

Existují další náklady na nastavení brány VPN jako aktivní-aktivní?

No.

Jaké jsou možnosti připojení mezi různými místy?

Podporují se následující připojení brány virtuální sítě mezi různými místy:

  • Site-to-site: Připojení VPN přes protokol IPsec (IKE v1 a IKE v2). Tento typ připojení vyžaduje zařízení VPN nebo službu RRAS. Další informace najdete v tématu Site-to-Site.
  • Point-to-site: Připojení VPN přes protokol SSTP (Secure Socket Tunneling Protocol) nebo IKE v2 Toto připojení nevyžaduje zařízení VPN. Další informace naleznete v tématu Point-to-Site.
  • VNet-to-VNet: Tento typ připojení je stejný jako konfigurace typu site-to-site. VNet-to-VNet je připojení k síti VPN prostřednictvím protokolu IPsec (IKE v1 a IKE v2). Nevyžaduje zařízení VPN. Další informace naleznete v tématu VNet-to-VNet.
  • Více webů: Jedná se o variantu konfigurace typu site-to-site, která umožňuje připojit více místních lokalit k virtuální síti. Další informace najdete v tématu Multi-Site.
  • ExpressRoute: ExpressRoute je privátní připojení k Azure z vaší sítě WAN, nikoli připojení VPN přes veřejný internet. Další informace najdete v tématech Technický přehled ExpressRoute a ExpressRoute – nejčastější dotazy.

Další informace o připojeních VPN Gateway naleznete v tématu o VPN Gateway.

Jaký je rozdíl mezi připojením typu site-to-site a point-to-site?

Konfigurace tunelu VPN typu Site-to-Site (IPsec/IKE) jsou mezi vaším místním umístěním a Azure. To znamená, že se můžete z kteréhokoli počítače ve vaší lokalitě připojit k libovolnému virtuálnímu počítači nebo instanci role ve vaší virtuální síti v závislosti na zvoleném způsobu konfigurace směrování a oprávněních. Je to skvělá možnost pro vždy dostupné připojení mezi různými místy a je vhodná pro hybridní konfigurace. Tento typ připojení využívá zařízení sítě VPN s protokolem IPsec (hardwarové nebo softwarové zařízení), které musí být nasazeno v hraniční části sítě. Chcete-li vytvořit tento typ připojení, musíte mít externě zobrazenou adresu IPv4.

Konfigurace typu Point-to-Site (VPN přes SSTP) umožňují připojení z jednoho počítače odkudkoli k libovolnému umístění ve vaší virtuální síti. Využívá integrovaného klienta VPN ve Windows. V rámci konfigurace typu point-to-site nainstalujete certifikát a konfigurační balíček klienta VPN, který obsahuje nastavení, která vašemu počítači umožňují připojit se k libovolné instanci virtuálního počítače nebo role ve virtuální síti. Toto řešení je skvělé, pokud se chcete připojit k virtuální síti, ale nenacházíte se na příslušném místě. Je také dobrou volbou, když nemáte přístup k hardwaru VPN nebo externě přístupné adrese IPv4, z nichž obě jsou vyžadovány pro připojení typu site-to-site.

Virtuální síť můžete nakonfigurovat tak, aby souběžně používala připojení typu site-to-site i point-to-site, pokud pro bránu vytvoříte připojení typu site-to-site. Typy sítí VPN založené na směrování se v modelu nasazení Classic nazývají dynamické brány.

Ochrana osobních údajů

Ukládá služba VPN nebo zpracovává zákaznická data?

No.

Brány virtuální sítě

Je brána sítě VPN bránou virtuální sítě?

Brána sítě VPN je typem brány virtuální sítě. Brána sítě VPN odesílá šifrovaný provoz mezi virtuální sítí a místním umístěním přes veřejné připojení. Bránu sítě VPN můžete použít také k odesílání provozu mezi virtuálními sítěmi. Při vytváření brány sítě VPN použijete parametr -GatewayType s hodnotou 'Vpn'. Další informace najdete v tématu Informace o nastavení konfigurace služby VPN Gateway.

Co je to brána založená na zásadách (se statickým směrováním)?

Brány založené na zásadách implementují sítě VPN založené na zásadách. Sítě VPN založené na zásadách šifrují pakety a směrují je do tunelových propojení IPsec na základě kombinací předpon adres mezi vaší místní sítí a virtuální sítí VNet Azure. Zásada (nebo selektor provozu) se většinou v konfiguraci sítě VPN definuje jako přístupový seznam.

Co je to brána založená na směrování (s dynamickým směrováním)?

Brány založené na směrování implementují sítě VPN založené na směrování. Sítě VPN založené na směrování používají ke směrování paketů do příslušných rozhraní tunelových propojení „trasy“ v tabulce předávání IP nebo směrovací tabulce IP. Rozhraní tunelového propojení potom šifrují nebo dešifrují pakety směřující do tunelových propojení nebo z nich. Zásady nebo selektory provozu pro sítě VPN založené na směrování se konfigurují jako any-to-any (nebo zástupné znaky).

Můžu zadat vlastní selektory provozu založené na zásadách?

Ano, selektory provozu je možné definovat prostřednictvím atributu trafficSelectorPolicies pro připojení prostřednictvím příkazu PowerShellu New-AzIpsecTrafficSelectorPolicy . Aby se výběr zadaného provozu projevil, ujistěte se, že je povolená možnost Použít selektory provozu na základě zásad .

Selektory vlastního nakonfigurovaného provozu budou navrženy pouze v případech, kdy brána Azure VPN zahájí připojení. Brána VPN gateway přijme všechny selektory provozu navržené vzdálenou bránou (místní zařízení VPN). Toto chování je konzistentní mezi všemi režimy připojení (Výchozí, IniciátorOnly a ResponderOnly).

Můžu aktualizovat bránu VPN založenou na zásadách na směrování?

No. Typ brány nejde změnit ze zásad na trasu nebo ze směrování na základě zásad. Pokud chcete změnit typ brány, musí být brána odstraněna a znovu vytvořena. Tento proces trvá asi 60 minut. Při vytváření nové brány nemůžete zachovat IP adresu původní brány.

  1. Odstraňte všechna připojení přidružená k bráně.

  2. Odstraňte bránu pomocí některého z následujících článků:

  3. Vytvořte novou bránu pomocí požadovaného typu brány a dokončete nastavení sítě VPN. Postup najdete v kurzu site-to-site.

Potřebuji GatewaySubnet?

Ano. Podsíť brány obsahuje IP adresy, které používá služba brány virtuální sítě. Pro virtuální síť je třeba vytvořit podsíť brány, aby bylo možné konfigurovat bránu virtuální sítě. Pro správné fungování všech podsítí brány je nutné, aby měly název GatewaySubnet. Nenastavujte pro podsíť brány jiný název. A v podsíti brány nenasazujte virtuální počítače ani žádná jiná zařízení.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány jsou přidělené službě brány. Některé konfigurace vyžadují přidělení více IP adres službám brány než jiné. Ujistěte se, že podsíť brány obsahuje dostatek IP adres, aby se mohla přizpůsobit budoucímu růstu a případným dalším konfiguracím nových připojení. Přestože je tedy možné vytvořit tak malou podsíť brány, jako je /29, doporučujeme vytvořit podsíť brány o velikosti /27 nebo větší (/27, /26, /25 atd.). Podívejte se na požadavky pro konfiguraci, kterou chcete vytvořit, a ověřte, že vaše podsíť brány bude tyto požadavky splňovat.

Je možné nasazovat do podsítě brány virtuální počítače nebo instance role?

No.

Je možné získat IP adresu brány VPN předtím, než se vytvoří?

Zónově redundantní a zónové brány (skladové položky brány, které mají v názvu az ), se oba spoléhají na prostředek veřejné IP adresy Azure úrovně Standard . Prostředky veřejných IP adres skladové položky Azure Standard musí používat metodu statického přidělování. Proto budete mít veřejnou IP adresu pro bránu VPN, jakmile vytvoříte prostředek veřejné IP adresy skladové položky Standard, který pro ni chcete použít.

U zónově redundantních a neonálních bran (skladové položky brány, které nemají v názvu az ), nemůžete před vytvořením získat IP adresu brány VPN. IP adresa se změní jenom v případě, že bránu VPN odstraníte a znovu vytvoříte.

Je možné vyžádat si pro bránu VPN statickou veřejnou IP adresu?

Zónově redundantní a zónové brány (skladové položky brány, které mají v názvu az ), se oba spoléhají na prostředek veřejné IP adresy Azure úrovně Standard . Prostředky veřejných IP adres skladové položky Azure Standard musí používat metodu statického přidělování.

U zónově redundantních a neonálních bran (skladové položky brány, které nemají v názvu az ), se podporuje pouze dynamické přiřazení IP adres. To ale neznamená, že se IP adresa po přiřazení ke službě VPN Gateway změní. Ip adresa brány VPN se změní pouze v okamžiku, kdy se brána odstraní a pak se znovu vytvoří. Veřejná IP adresa brány VPN se nezmění, když změníte velikost, resetujete nebo dokončíte jinou interní údržbu a upgrady brány VPN.

Jak se tunelové připojení sítě VPN ověřuje?

Síť VPN Azure používá ověřování PSK (předsdílený klíč). Při vytváření tunelového propojení sítě VPN se vygeneruje předsdílený klíč (PSK). Automatickou vygenerovanou sadu PSK můžete změnit na vlastní pomocí rutiny PowerShellu pro nastavení předsdílených klíčů nebo rozhraní REST API.

Je možné použít rozhraní API pro nastavení předsdíleného klíče ke konfiguraci sítě VPN s bránou založenou na zásadách (se statickým směrováním)?

Ano, rozhraní API i rutinu prostředí PowerShell pro nastavení předsdíleného klíče je možné použít ke konfiguraci sítí VPN Azure založených na zásadách (se statickým směrováním) i sítí VPN Azure založených na směrování (s dynamickým směrováním).

Je možné použít jiné možnosti ověřování?

Pro ověřování jsme omezeni na použití předsdílených klíčů (PSK).

Jak určit provoz, který má procházet bránou VPN?

Model nasazení Resource Manager

  • PowerShell: K určení provozu na místní síťové bráně použijte parametr AddressPrefix.
  • Azure Portal: Přejděte k bráně > místní sítě. Adresní prostor konfigurace >

Model nasazení Classic

  • Azure Portal: Přejděte do klasické virtuální sítě>. Připojení VPN připojení > site-to-site VPN > připojení Místní lokalita název > Místní lokalita > Klient adresního prostoru.

Můžu u připojení VPN použít překlad adres (NAT-T)?

Ano, podporuje se procházení překladu adres (NAT-T). Azure VPN Gateway nebude u vnitřních paketů tunelů IPsec provádět žádné funkce podobné překladu adres (NAT). V této konfiguraci se ujistěte, že místní zařízení inicializuje tunel IPSec.

Je možné nastavit v Azure vlastní server VPN a používat ho pro připojování k místní síti?

Ano, je možné nasazovat v Azure vlastní servery nebo brány VPN buď z webu Azure Marketplace, nebo vytvořené jako vlastní směrovače sítě VPN. Je nutné nakonfigurovat trasy definované uživatelem ve vaší virtuální síti, aby se zajistilo správné směrování provozu mezi místními sítěmi a podsítěmi virtuální sítě.

Proč jsou některé porty otevřené v bráně virtuální sítě?

Vyžadují se pro komunikaci infrastruktury Azure. Jsou chráněné (uzamčené) certifikáty Azure. Bez správných certifikátů, externích entit, včetně zákazníků těchto bran, nebudou mít na tyto koncové body žádný vliv.

Brána virtuální sítě je v podstatě zařízení s více domovy s jedním síťovým adaptérem, které se dostane do privátní sítě zákazníka, a jedna síťová karta směřující k veřejné síti. Entity infrastruktury Azure nemůžou z důvodů dodržování předpisů klepnout na privátní sítě zákazníků, takže potřebují využívat veřejné koncové body pro komunikaci infrastruktury. Veřejné koncové body jsou pravidelně kontrolovány auditem zabezpečení Azure.

Další informace o typech brány, požadavcích a propustnosti

Další informace najdete v tématu Informace o nastavení konfigurace služby VPN Gateway.

Připojení typu Site-to-Site a zařízení VPN

Co je třeba zvážit při výběru zařízení VPN?

Ověřili jsme sadu standardních zařízení VPN typu site-to-site ve spolupráci s dodavateli zařízení. Seznam známých kompatibilních zařízení VPN, příslušné pokyny ke konfiguraci nebo ukázky a specifikace zařízení najdete v článku s popisem zařízení VPN. Všechna zařízení v řadách zařízení uvedená jako známá kompatibilní by měla spolupracovat s virtuální sítí. Konfiguraci zařízení VPN vám usnadní ukázka konfigurace zařízení nebo odkaz, který odpovídá příslušné řadě zařízení.

Kde najdu nastavení konfigurace zařízení VPN?

Stažení konfiguračních skriptů zařízení VPN:

V závislosti na vašem zařízení VPN možná budete moct stáhnut konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Na následujících odkazech najdete další informace o konfiguraci:

Jak upravím ukázky konfigurace zařízení VPN?

Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.

Kde najdu parametry protokolu IPsec a IKE?

Parametry protokolu IPsec/IKE najdete v popisu parametrů.

Proč se tunelové připojení sítě VPN založené na zásadách při nečinnosti deaktivuje?

Toto je očekávané chování u bran VPN pracujících na základě zásad (označují se také výrazem statické směrování). Když je přenos přes tunelové propojení nečinný déle než 5 minut, tunelové propojení se deaktivuje. Když se provoz v některém směru obnoví, tunelové propojení se ihned aktivuje znovu.

Je možné používat pro připojení k Azure softwarové sítě VPN?

Podporujeme servery Windows Server 2012 směrování a vzdáleného přístupu (RRAS) pro konfiguraci mezi lokalitami mezi lokalitami.

Jiná softwarová řešení sítě VPN by měla s naší bránou spolupracovat, pokud odpovídají implementacím protokolu IPsec podle průmyslových standardů. Ohledně pokynů ke konfiguraci a podporu se obraťte na výrobce příslušného softwaru.

Můžu se připojit k bráně VPN přes point-to-site, když se nachází v lokalitě s aktivním připojením typu site-to-site?

Ano, ale veřejné IP adresy klienta typu point-to-site se musí lišit od veřejných IP adres používaných zařízením VPN typu site-to-site nebo jinak připojení typu point-to-site nebude fungovat. Připojení typu point-to-site s protokolem IKEv2 se nedají zahájit ze stejných veřejných IP adres, kde je připojení VPN typu site-to-site nakonfigurované na stejné bráně Azure VPN.

Point-to-Site – Ověřování certifikátů

Tato část se týká modelu nasazení Resource Manager.

Kolik koncových bodů klienta VPN můžu mít v konfiguraci typu point-to-site?

Závisí na skladové posílce brány. Další informace o počtu podporovaných připojení najdete v tématu Skladové položky brány.

Jaké klientské operační systémy můžu používat s point-to-site?

Podporovány jsou následující operační systémy:

  • Windows Server 2008 R2 (pouze 64bitové verze)
  • Windows 8.1 (32bitové a 64bitové verze)
  • Windows Server 2012 (pouze 64bitové verze)
  • Windows Server 2012 R2 (pouze 64bitové verze)
  • Windows Server 2016 (pouze 64bitové verze)
  • Windows Server 2019 (jenom 64bitová verze)
  • Windows Server 2022 (jenom 64bitová verze)
  • Windows 10
  • Windows 11
  • macOS verze 10.11 nebo vyšší
  • Linux (StrongSwan)
  • iOS

Můžu procházet proxy servery a brány firewall pomocí funkce point-to-site?

Azure podporuje tři typy možností vpn typu Point-to-Site:

  • SSTP (Secure Socket Tunneling Protocol). SSTP je proprietární řešení založené na protokolu SSL společnosti Microsoft, které může proniknout do bran firewall, protože většina bran firewall otevře odchozí port TCP, který používá protokol SSL 443.

  • Openvpn. OpenVPN je řešení založené na PROTOKOLU SSL, které může proniknout do bran firewall, protože většina bran firewall otevře odchozí port TCP, který používá protokol SSL 443.

  • IKEv2 VPN. IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá odchozí porty UDP 500 a 4500 a IP protokol č. 50. Brány firewall tyto porty neotevře vždy, takže existuje možnost, že síť VPN IKEv2 nemůže procházet proxy servery a brány firewall.

Pokud restartuji klientský počítač nakonfigurovaný pro point-to-site, vpn se automaticky znovu připojí?

Automatické opětovné připojení je funkce používaného klienta. Windows podporuje automatické opětovné připojení konfigurací funkce klienta VPN AlwaysOn.

Podporuje služba DDNS typu point-to-site u klientů VPN?

Služba DDNS se v současné době nepodporuje v sítích VPN typu point-to-site.

Můžu mít konfiguraci typu Site-to-Site a point-to-site pro stejnou virtuální síť?

Ano. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased. Pro model nasazení Classic je potřebná dynamická brána. Nepodporujeme point-to-site pro brány VPN statického směrování ani brány VPN PolicyBased.

Můžu nakonfigurovat klienta typu point-to-site tak, aby se současně připojil k několika branám virtuální sítě?

V závislosti na použitém softwaru klienta VPN se můžete připojit k více branám Virtual Network za předpokladu, že virtuální sítě připojené nemají konfliktní adresní prostory mezi nimi nebo síť z klienta se připojuje. I když Klient Azure VPN podporuje mnoho připojení VPN, může být v daném okamžiku připojeno pouze jedno připojení.

Můžu nakonfigurovat klienta typu point-to-site tak, aby se současně připojil k více virtuálním sítím?

Ano, připojení klienta typu point-to-site k bráně virtuální sítě nasazené ve virtuální síti, která je v partnerském vztahu s jinými virtuálními sítěmi, může mít přístup k jiným partnerským virtuálním sítím. Klienti typu point-to-site se budou moct připojit k partnerským virtuálním sítím, pokud partnerské virtuální sítě používají funkce UseRemoteGateway / AllowGatewayTransit. Další informace najdete v tématu o směrování typu point-to-site.

Kolik propustnosti můžu očekávat prostřednictvím připojení typu Site-to-Site nebo point-to-site?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem. U VPN Gateway s pouze připojeními VPN typu point-to-site IKEv2 závisí celková propustnost, kterou můžete očekávat, na skladové posílce brány. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.

Můžu použít jakéhokoli softwarového klienta VPN pro point-to-site, který podporuje SSTP nebo IKEv2?

No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac. Klienta OpenVPN ale můžete použít na všech platformách k připojení přes protokol OpenVPN. Projděte si seznam podporovaných klientských operačních systémů.

Můžu změnit typ ověřování pro připojení typu point-to-site?

Ano. Na portálu přejděte na bránu VPN –> stránka konfigurace point-to-site . Jako typ ověřování vyberte typy ověřování, které chcete použít. Mějte na paměti, že po provedení změny typu ověřování se aktuální klienti nemusí moct připojit, dokud se nevygeneruje, stáhne a použije nový konfigurační profil klienta VPN.

Podporuje Azure IKEv2 VPN s Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016. Pokud ale chcete použít IKEv2 v určitých verzích operačního systému, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru místně. Verze operačního systému před Windows 10 nejsou podporované a můžou používat jenom protokol SSTP nebo OpenVPN®.

Poznámka

Windows buildy operačního systému novější než Windows 10 verze 1709 a Windows Server 2016 verze 1607 nevyžadují tyto kroky.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:

  1. Nainstalujte aktualizaci na základě vaší verze operačního systému:

    Verze operačního systému Datum Číslo/odkaz
    Windows Server 2016
    Windows 10 verze 1607
    17. ledna 2018 KB4057142
    Windows 10 verze 1703 17. ledna 2018 KB4057144
    Windows 10 verze 1709 22. března 2018 KB4089848
  2. Nastavte hodnotu klíče registru. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.

Jaký je limit selektoru provozu IKEv2 pro připojení typu point-to-site?

Windows 10 verze 2004 (vydaná září 2021) zvýšil limit selektoru provozu na 255. Verze Windows starší než tato verze mají limit selektoru provozu 25.

Omezení selektorů provozu v Windows určuje maximální počet adresních prostorů ve vaší virtuální síti a maximální součet místních sítí, připojení typu VNet-to-VNet a partnerských virtuálních sítí připojených k bráně. Windows klienti typu point-to-site se nebudou muset připojit přes IKEv2, pokud tento limit překročí.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?

Když nakonfigurujete SSTP i IKEv2 v hybridním prostředí (skládající se ze zařízení Windows a Mac), klient Windows VPN bude vždy nejprve zkoušet tunel IKEv2, ale pokud připojení IKEv2 není úspěšné, vrátí se do protokolu SSTP. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?

Azure podporuje Windows, Mac a Linux pro síť VPN P2S.

Už mám nasazenou Azure VPN Gateway. Můžu na ní povolit RADIUS, případně IKEv2 VPN?

Ano, pokud skladová položka brány, kterou používáte, podporuje protokol RADIUS nebo IKEv2, můžete tyto funkce povolit u bran, které jste už nasadili pomocí PowerShellu nebo Azure Portal. Skladová položka Basic nepodporuje protokol RADIUS ani IKEv2.

Návody odeberte konfiguraci připojení P2S?

Konfiguraci P2S je možné odebrat pomocí Azure CLI a PowerShellu pomocí následujících příkazů:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Co mám dělat, když při připojování pomocí ověřování certifikátů dochází k neshodě certifikátů?

Zrušte zaškrtnutí políčka Ověřit identitu serveru ověřením certifikátu nebo přidat plně kvalifikovaný název domény serveru spolu s certifikátem při ručním vytvoření profilu. Můžete to provést spuštěním rasphone z příkazového řádku a výběrem profilu z rozevíracího seznamu.

Obejití ověřování identity serveru se obecně nedoporučuje, ale s ověřováním certifikátů Azure se stejný certifikát používá k ověření serveru v protokolu tunelování VPN (IKEv2/SSTP) a protokolu EAP. Vzhledem k tomu, že certifikát serveru a plně kvalifikovaný název domény je již ověřen protokolem tunelování VPN, je redundantní ověřit totéž znovu v protokolu EAP.

point-to-site auth

Můžu použít vlastní interní kořenovou certifikační autoritu PKI k vygenerování certifikátů pro připojení typu Point-to-Site?

Ano. Dříve bylo možné používat pouze kořenové certifikáty podepsané svým držitelem. I nyní je možné nahrát 20 kořenových certifikátů.

Můžu používat certifikáty z Azure Key Vault?

No.

Jaké nástroje se dají použít k vytvoření certifikátů?

Můžete využít vaše podnikové řešení infrastruktury veřejných klíčů (vaše interní PKI), Azure PowerShell, MakeCert a OpenSSL.

Existují nějaké pokyny pro parametry a nastavení certifikátů?

  • Interní / podnikové řešení PKI: Projděte si kroky pro vytvoření certifikátů.

  • Azure PowerShell: Příslušné kroky najdete v článku pro Azure PowerShell.

  • MakeCert: Příslušné kroky najdete v článku pro MakeCert.

  • Openssl:

    • Při exportu certifikátů nezapomeňte převést kořenový certifikát na Base64.

    • Pro klientský certifikát:

      • Při vytváření privátního klíče zadejte délku 4096.
      • Při vytváření certifikátu jako parametr -extensions zadejte usr_cert.

Point-to-Site – Ověřování radius

Tato část se týká modelu nasazení Resource Manager.

Kolik koncových bodů klienta VPN můžu mít v konfiguraci typu point-to-site?

Závisí na skladové posílce brány. Další informace o počtu podporovaných připojení najdete v tématu Skladové položky brány.

Jaké klientské operační systémy můžu používat s point-to-site?

Podporovány jsou následující operační systémy:

  • Windows Server 2008 R2 (pouze 64bitové verze)
  • Windows 8.1 (32bitové a 64bitové verze)
  • Windows Server 2012 (pouze 64bitové verze)
  • Windows Server 2012 R2 (pouze 64bitové verze)
  • Windows Server 2016 (pouze 64bitové verze)
  • Windows Server 2019 (jenom 64bitová verze)
  • Windows Server 2022 (jenom 64bitová verze)
  • Windows 10
  • Windows 11
  • macOS verze 10.11 nebo vyšší
  • Linux (StrongSwan)
  • iOS

Můžu procházet proxy servery a brány firewall pomocí funkce point-to-site?

Azure podporuje tři typy možností VPN typu Point-to-Site:

  • SSTP (Secure Socket Tunneling Protocol). SSTP je proprietární řešení založené na ssl od Microsoftu, které může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol SSL 443.

  • Openvpn. OpenVPN je řešení založené na SSL, které může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol SSL 443.

  • IKEv2 VPN. IKEv2 VPN je řešení IPsec VPN založené na standardech, které používá odchozí porty UDP 500 a 4500 a IP protokol č. 50. Brány firewall tyto porty neotevře vždy, takže existuje možnost, že síť VPN IKEv2 nemůže procházet proxy servery a brány firewall.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení typu point-to-site, vpn se automaticky znovu připojí?

Automatické opětovné připojení je funkce používaného klienta. Windows podporuje automatické opětovné připojení konfigurací funkce klienta VPN AlwaysOn.

Podporuje point-to-site DDNS na klientech VPN?

DDNS se v současné době nepodporuje v sítích VPN typu point-to-site.

Můžu mít konfiguraci typu Site-to-Site a point-to-site společně pro stejnou virtuální síť?

Ano. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased. Pro model nasazení Classic je potřebná dynamická brána. Nepodporujeme připojení typu point-to-site pro brány VPN statického směrování ani brány VPN PolicyBased.

Můžu nakonfigurovat klienta typu point-to-site pro připojení k více branám virtuální sítě najednou?

V závislosti na použitém softwaru klienta VPN se možná budete moct připojit k více branám Virtual Network za předpokladu, že virtuální sítě připojené nemají konfliktní adresní prostory mezi nimi nebo síť od klienta se připojuje. I když Klient Azure VPN podporuje mnoho připojení VPN, může být v daném okamžiku připojeno pouze jedno připojení.

Můžu nakonfigurovat klienta typu point-to-site pro připojení k více virtuálním sítím současně?

Ano, připojení klienta typu point-to-site k bráně virtuální sítě nasazené ve virtuální síti, která je v partnerském vztahu s jinými virtuálními sítěmi, může mít přístup k jiným partnerským virtuálním sítím. Klienti typu point-to-site se budou moct připojit k partnerským virtuálním sítím, pokud partnerské virtuální sítě používají funkce UseRemoteGateway / AllowGatewayTransit. Další informace naleznete v tématu O směrování typu point-to-site.

Kolik propustnosti můžu očekávat prostřednictvím připojení typu Site-to-Site nebo připojení typu point-to-site?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem. U VPN Gateway s pouze připojeními VPN typu point-to-site IKEv2 závisí celková propustnost, kterou můžete očekávat, na skladové posílce brány. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.

Můžu pro point-to-site použít libovolného softwarového klienta VPN, který podporuje SSTP nebo IKEv2?

No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac. Klienta OpenVPN ale můžete použít na všech platformách pro připojení přes protokol OpenVPN. Projděte si seznam podporovaných klientských operačních systémů.

Můžu změnit typ ověřování pro připojení typu point-to-site?

Ano. Na portálu přejděte na stránku konfigurace vpn gateway –> Point-to-Site . Jako typ ověřování vyberte typy ověřování, které chcete použít. Mějte na paměti, že po provedení změny typu ověřování se aktuální klienti nemusí připojit, dokud se vygeneruje, stáhne a nepoužije nový konfigurační profil klienta VPN.

Podporuje Azure IKEv2 VPN s Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016. Chcete-li však používat IKEv2 v určitých verzích operačního systému, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru místně. Verze operačního systému starší než Windows 10 nejsou podporované a můžou používat pouze protokol SSTP nebo OpenVPN®.

Poznámka

Windows operační systém sestavuje novější než Windows 10 verze 1709 a Windows Server 2016 verze 1607 tyto kroky nevyžadují.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:

  1. Nainstalujte aktualizaci na základě vaší verze operačního systému:

    Verze operačního systému Datum Číslo/odkaz
    Windows Server 2016
    Windows 10 verze 1607
    17. ledna 2018 KB4057142
    Windows 10 verze 1703 17. ledna 2018 KB4057144
    Windows 10 verze 1709 22. března 2018 KB4089848
  2. Nastavte hodnotu klíče registru. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.

Jaký je limit selektoru provozu IKEv2 pro připojení typu point-to-site?

Windows 10 verze 2004 (vydaná září 2021) zvýšil limit selektoru provozu na 255. Verze Windows starší než tato verze mají limit selektoru provozu 25.

Omezení selektorů provozu v Windows určuje maximální počet adresních prostorů ve vaší virtuální síti a maximální součet místních sítí, připojení typu VNet-to-VNet a partnerských virtuálních sítí připojených k bráně. Windows klienti typu point-to-site se nebudou připojovat přes protokol IKEv2, pokud tento limit překročí.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?

Když nakonfigurujete SSTP i IKEv2 ve smíšeném prostředí (skládající se ze zařízení Windows a Mac), klient Windows VPN nejprve vyzkouší tunel IKEv2, ale pokud připojení IKEv2 nebude úspěšné, vrátí se do protokolu SSTP. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?

Azure podporuje Windows, Mac a Linux pro P2S VPN.

Už mám nasazenou Azure VPN Gateway. Můžu na ní povolit RADIUS, případně IKEv2 VPN?

Ano, pokud skladová položka brány, kterou používáte, podporuje protokol RADIUS nebo IKEv2, můžete tyto funkce povolit u bran, které jste už nasadili, pomocí PowerShellu nebo Azure Portal. Skladová položka Basic nepodporuje protokol RADIUS ani IKEv2.

Návody odebrat konfiguraci připojení P2S?

Konfiguraci P2S je možné odebrat pomocí Azure CLI a PowerShellu pomocí následujících příkazů:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Podporuje se ověřování pomocí protokolu RADIUS ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?

Ověřování pomocí protokolu RADIUS se podporuje pro všechny skladové položky s výjimkou skladové položky Basic.

U starších skladových položek se ověřování RADIUS podporuje u skladových položek úrovně Standard a High Performance. Nepodporuje se u skladové položky základní brány.

Podporuje se ověřování pomocí protokolu RADIUS u klasického modelu nasazení?

No. Ověřování pomocí protokolu RADIUS není podporováno pro model nasazení Classic.

Jaká je doba časového limitu požadavků RADIUS odesílaných na server RADIUS?

Požadavky RADIUS se nastaví na časový limit po 30 sekundách. Hodnoty časového limitu definované uživatelem se dnes nepodporují.

Podporují se servery RADIUS třetích stran?

Ano, servery RADIUS třetích stran se podporují.

Jaké jsou požadavky na připojení, aby se zajistilo, že se brána Azure může spojit s místním serverem RADIUS?

Vyžaduje se připojení VPN typu site-to-site k místní lokalitě s nakonfigurovanými správnými trasami.

Je možné směrovat provoz do místního serveru RADIUS server (ze služby Azure VPN Gateway) přes připojení ExpressRoute?

No. Dá se směrovat jenom přes připojení typu site-to-site.

Došlo ke změně počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS? Jaký je maximální podporovaný počet připojení SSTP a IKEv2?

K žádné změně maximálního počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS nedošlo. Zůstává 128 pro SSTP, ale závisí na skladové poloze brány pro IKEv2. Další informace o počtu podporovaných připojení najdete v tématu Skladové položky brány.

Jaký je rozdíl mezi ověřováním certifikátů pomocí serveru RADIUS a ověřováním pomocí nativního certifikátu Azure (nahráním důvěryhodného certifikátu do Azure)?

Při ověřování certifikátů pomocí protokolu RADIUS se žádost o ověření předá serveru RADIUS, který zpracuje vlastní ověření certifikátu. Tato možnost je užitečná, pokud chcete využít integraci s infrastrukturou ověřování certifikátů, kterou již prostřednictvím protokolu RADIUS máte.

Při použití Azure k ověřování certifikátů provádí ověření certifikátu služba Azure VPN Gateway. Do brány musíte nahrát veřejný klíč certifikátu. Můžete také zadat seznam odvolaných certifikátů, kterým by nemělo být povoleno připojení.

Funguje ověřování RADIUS s IKEv2 i SSTP VPN?

Ano, ověřování RADIUS je podporované jak pro IKEv2, tak i pro SSTP VPN.

Funguje ověřování RADIUS s klientem OpenVPN?

Ověřování radius je podporováno pro protokol OpenVPN.

Připojení typu VNet-to-VNet a Multi-Site

Nejčastější dotazy týkající se připojení brány VPN platí pro virtuální síť VNet-to-VNet. Informace o partnerském vztahu virtuálních sítí najdete v tématu Peering virtuálních sítí.

Účtuje se v Azure provoz mezi virtuálními sítěmi?

Provoz typu VNet-to-VNet v rámci stejné oblasti je bezplatný pro oba směry při použití připojení brány VPN. Přenosy odchozích přenosů mezi oblastmi VNet-to-VNet se účtují s odchozími přenosy dat mezi virtuálními sítěmi na základě zdrojových oblastí. Další informace najdete na stránce s cenami VPN Gateway. Pokud připojujete virtuální sítě pomocí partnerského vztahu virtuálních sítí místo brány VPN, přečtěte si informace o cenách virtuální sítě.

Cestuje provoz typu VNet-to-VNet přes internet?

No. Provoz typu VNet-to-VNet prochází přes páteřní síť Microsoft Azure, nikoli přes internet.

Můžu vytvořit připojení typu VNet-to-VNet mezi Azure Active Directory tenanty?

Ano, připojení typu VNet-to-VNet, která používají brány Azure VPN, fungují napříč Azure AD tenanty.

Je provoz VNet-to-VNet bezpečný?

Ano, je chráněná šifrováním IPsec/IKE.

Je k propojení virtuálních sítí potřeba zařízení VPN?

No. Propojení více virtuálních sítí Azure nevyžaduje žádná zařízení VPN, pokud není vyžadována možnost připojení mezi různými místy.

Je nutné, aby virtuální sítě byly ve stejné oblasti?

No. Virtuální sítě se můžou nacházet ve stejné oblasti (umístění) Azure nebo v různých oblastech.

Pokud virtuální sítě nejsou ve stejném předplatném, musí být předplatná přidružená ke stejnému tenantovi Služby Active Directory?

No.

Je možné použít VNet-to-VNet k propojení virtuálních sítí v samostatných instancích Azure?

No. VNet-to-VNet podporuje propojování virtuálních sítí v rámci stejné instance Azure. Nemůžete například vytvořit připojení mezi globálními instancemi Azure a čínskými nebo německými nebo americkými instancemi Azure pro státní správu. Zvažte použití připojení VPN typu Site-to-Site pro tyto scénáře.

Je možné použít VNet-to-VNet společně s připojením propojujícím víc serverů?

Ano. Možnost připojení k virtuální síti je možné využívat současně se sítěmi VPN s více servery.

Ke kolika místních serverům a virtuálním sítím se může připojit jedna virtuální síť?

Podívejte se na tabulku požadavků brány .

Je možné použít VNet-to-VNet k propojení virtuálních počítačů nebo cloudových služeb mimo virtuální síť?

No. Propojení VNet-to-VNet podporují propojování virtuálních sítí. Nepodporuje připojení virtuálních počítačů ani cloudových služeb, které nejsou ve virtuální síti.

Může cloudová služba nebo koncový bod vyrovnávání zatížení přesahovat virtuální sítě?

No. Cloudová služba nebo koncový bod vyrovnávání zatížení nemůže překlenovat mezi virtuálními sítěmi, i když jsou vzájemně propojené.

Můžu pro připojení typu VNet-to-VNet nebo Multi-Site použít typ sítě VPN PolicyBased?

No. Připojení typu VNet-to-VNet a Multi-Site vyžadují brány VPN Azure s typy VPN RouteBased (dříve označované jako dynamické směrování).

Je možné připojit virtuální síť typu RouteBased k jiné virtuální síti typu PolicyBased?

Ne, obě virtuální sítě musí používat sítě VPN založené na směrování (dříve označované jako dynamické směrování).

Sdílejí tunely VPN šířku pásma?

Ano. Všechna tunelová propojení sítí VPN v rámci virtuální sítě sdílejí v bráně VPN Azure šířku pásma, která je k dispozici, a stejnou smlouvu SLA pro dostupnost brány VPN v Azure.

Jsou podporovány redundantní tunely?

Redundantní tunely mezi párem virtuálních sítí jsou podporovány, pokud je jedna brána virtuální sítě nakonfigurována jako aktivní-aktivní.

Můžou se překrývat adresní prostory pro konfigurace VNet-to-VNet?

No. Není možné, aby se rozsahy IP adres překrývaly.

Můžou se překrývat adresní prostory mezi propojenými virtuálními sítěmi a místními servery?

No. Není možné, aby se rozsahy IP adres překrývaly.

Návody povolit směrování mezi připojením VPN typu site-to-site a expressRoute?

Pokud chcete povolit směrování mezi vaší větví připojenou k ExpressRoute a vaší větví připojenou k připojení VPN typu site-to-site, budete muset nastavit Azure Route Server.

Je možné používat bránu VPN Azure pro provoz mezi místními servery a jinou virtuální sítí?

Model nasazení Resource Manager
Ano. Další informace najdete v článku o BGP.

Model nasazení Classic
Provoz prostřednictvím brány VPN Azure s použitím modelu nasazení Classic je možný, je však závislý na staticky definovaných adresních prostorech v souboru konfigurace sítě. Protokol BGP zatím nepodporuje virtuální sítě Azure a brány VPN pomocí modelu nasazení Classic. Bez protokolu BGP je ruční definování adresních prostorů pro přenos velmi náchylné k chybám a nedoporučuje se.

Generuje Azure stejný předsdílený klíč protokolu IPsec/IKE pro všechna připojení k síti VPN pro stejnou virtuální síť?

Ne, Azure ve výchozím nastavení pro různá připojení k síti VPN generuje různé předsdílené klíče. K nastavení hodnoty klíče, kterou chcete použít, ale můžete použít Set VPN Gateway Key rozhraní REST API nebo rutinu PowerShellu. Klíč musí obsahovat pouze tisknutelné znaky ASCII s výjimkou mezery, spojovníku (-) nebo tildy (~).

Získám větší šířku pásma s více sítěmi VPN typu site-to-site než pro jednu virtuální síť?

Ne, všechny tunely VPN, včetně sítí VPN typu point-to-site, sdílejí stejnou bránu Azure VPN a dostupnou šířku pásma.

Je možné nakonfigurovat více tunelových propojení mezi virtuální sítí a místního serverem prostřednictvím sítě VPN pro více serverů?

Ano, ale budete muset nakonfigurovat BGP na obou tunelech ve stejné lokalitě.

Respektuje Azure VPN Gateway předpřipravenou cestu AS, aby ovlivnila rozhodování o směrování mezi několika připojeními k mým místním lokalitám?

Ano, azure VPN Gateway bude dodržovat předběžné nastavení cesty AS, aby pomohla při rozhodování o směrování při povolení protokolu BGP. Při výběru cesty protokolu BGP bude upřednostňovaná kratší cesta AS.

Můžu při vytváření nového připojení VPN VirtualNetworkGateway použít vlastnost RoutingWeight?

Ne, toto nastavení je vyhrazené pro připojení brány ExpressRoute. Pokud chcete ovlivnit rozhodování o směrování mezi více připojeními, musíte použít předběžné rozdělení cesty AS Path.

Můžu použít sítě VPN typu point-to-site s virtuální sítí s několika tunely VPN?

Ano, sítě VPN typu point-to-site (P2S) se dají použít s bránami VPN, které se připojují k několika místním lokalitám a dalším virtuálním sítím.

Je možné připojit virtuální síť se sítěmi VPN s protokolem IPsec k okruhu ExpressRoute?

Ano, tato možnost je podporována. Další informace najdete v tématu Konfigurace expressRoute a připojení VPN typu site-to-site, která existují společně.

Zásady IPsec/IKE

Jsou vlastní zásady IPsec/IKE podporovány ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?

Vlastní zásady IPsec/IKE se podporují u všech skladových položek Azure s výjimkou skladové položky Basic.

Kolik zásad můžu zadat pro jedno připojení?

Pro dané připojení můžete zadat pouze jednu kombinaci zásad.

Můžu pro připojení zadat částečné zásady? (například pouze algoritmy IKE, ale ne IPsec)

Ne, musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim). Částečná specifikace zásad není povolená.

Jaké algoritmy a síly klíče jsou podporované ve vlastních zásadách?

Následující tabulka uvádí podporované kryptografické algoritmy a síly klíče, které můžou zákazníci konfigurovat. Pro každé pole musíte vybrat jednu možnost.

IPsec/IKEv2 Možnosti
Šifrování protokolem IKEv2 GCMAES256, GCMAES128, AES256, AES192, AES128, DES3, DES
Integrita protokolu IKEv2 GCMAES256, GCMAES128, SHA384, SHA256, SHA1, MD5
Skupina DH DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, Žádná
Šifrování protokolem IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádné
Integrita protokolu IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Skupina PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Žádná
Doba života přidružení zabezpečení v rychlém režimu Sekundy (integer; min. 300 / výchozí hodnota 27 000 sekund)
Kilobajty (integer; min. 1024 / výchozí hodnota 102 400 000 kilobajtů)
Selektor provozu UsePolicyBasedTrafficSelectors ($True nebo $False; výchozí hodnota je $False)

Důležité

  • DHGroup2048 & PFS2048 jsou stejné jako Diffie-Hellman Skupina 14 v IKE a IPsec PFS. Kompletní mapování najdete v části Skupiny Diffie-Hellman.
  • V případě algoritmů GCMAES musíte zadat stejný algoritmus GCMAES a délku klíče pro šifrování protokolem IPsec i integritu dat.
  • Životnost přidružení zabezpečení hlavního režimu IKEv2 je u bran Azure VPN nastavená na 28 800 sekund.
  • Doby života přidružení zabezpečení v rychlém režimu jsou volitelné parametry. Pokud nebyla zadána žádná doba života, použijí se výchozí hodnoty 27 000 sekund (7,5 hodiny) a 102 400 000 kilobajtů (102 GB).
  • UsePolicyBasedTrafficSelector je parametr možnosti v připojení. Další položku nejčastějších dotazů najdete v části UsePolicyBasedTrafficSelectors.

Je nutné, aby zásady brány Azure VPN Gateway přesně odpovídaly konfiguraci místního zařízení VPN?

Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:

  • Algoritmus šifrování protokolem IKE
  • Algoritmus integrity protokolu IKE
  • Skupina DH
  • Algoritmus šifrování protokolem IPsec
  • Algoritmus integrity protokolu IPsec
  • Skupina PFS
  • Selektor provozu (*)

ŽivotnostI přidružení služby jsou pouze místní specifikace, které se nemusí shodovat.

Pokud povolíte možnost UsePolicyBasedTrafficSelectors, je potřeba zajistit, aby vaše zařízení VPN mělo definované odpovídající selektory provozu pro všechny kombinace předpon místní sítě (brány místní sítě) a předpon virtuální sítě Azure (oběma směry), namísto použití konfigurace typu any-to-any. Například pokud jsou předpony vaší místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony vaší virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, je potřeba zadat následující selektory provozu:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

Další informace najdete v článku Připojení několika místních zařízení VPN založených na zásadách.

Které skupiny Diffie-Hellman jsou podporovány?

Následující tabulka uvádí podporované skupiny Diffie-Hellman pro protokoly IKE (DHGroup) a IPsec (PFSGroup):

Skupina Diffie-Hellman DHGroup PFSGroup Délka klíče
1 DHGroup1 PFS1 768bitová skupina MODP
2 DHGroup2 PFS2 1024bitová skupina MODP
14 DHGroup14
DHGroup2048
PFS2048 2048bitová skupina MODP
19 ECP256 ECP256 256bitová skupina ECP
20 ECP384 ECP384 384bitová skupina ECP
24 DHGroup24 PFS24 2048bitová skupina MODP

Další informace najdete na stránkách RFC3526 a RFC5114.

Nahrazují vlastní zásady výchozí sady zásad IPsec/IKE pro brány Azure VPN Gateway?

Ano, jakmile jsou pro připojení zadány vlastní zásady, brána Azure VPN Gateway bude používat pouze zásady pro připojení, a to jako iniciátor IKE i jako respondér IKE.

Pokud odeberu vlastní zásady IPsec/IKE, stane se připojení nechráněným?

Ne, připojení bude i nadále chráněno protokolem IPsec/IKE. Jakmile z připojení odeberete vlastní zásady, brána Azure VPN Gateway se vrátí k výchozímu seznamu návrhů IPsec/IKE a znovu spustí metodu handshake protokolu IKE s vaším místním zařízením VPN.

Přerušilo by přidání nebo aktualizace zásad IPsec/IKE připojení VPN?

Ano, mohlo by dojít ke krátkému přerušení (několik sekund), protože brána Azure VPN Gateway přeruší stávající připojení a znovu spustí metodu handshake protokolu IKE pro opětovné vytvoření tunelu IPsec s využitím nových kryptografických algoritmů a parametrů. Pokud chcete přerušení minimalizovat, ujistěte se, že vaše místní zařízení VPN je také nakonfigurováno s odpovídajícími algoritmy a silami klíče.

Můžou se pro různá připojení použít různé zásady?

Ano. Vlastní zásady se aplikují na jednotlivá připojení. Pro různá připojení můžete vytvořit a použít různé zásady IPsec/IKE. Můžete také použít vlastní zásady pro podmnožinu připojení. Zbývající připojení budou používat výchozí sady zásad IPsec/IKE Azure.

Dají se vlastní zásady použít také pro připojení typu VNet-to-VNet?

Ano, vlastní zásady můžete použít pro připojení IPsec mezi různými místy i pro připojení typu VNet-to-VNet.

Je nutné zadat stejné zásady pro oba prostředky připojení typu VNet-to-VNet?

Ano. Tunel typu VNet-to-VNet se skládá ze dvou prostředků připojení v Azure (jeden pro každý směr). Zajistěte, aby oba prostředky připojení měly stejné zásady, jinak se připojení typu VNet-to-VNet nevytvoří.

Jaká je výchozí hodnota časového limitu DPD? Můžu zadat jiný časový limit DPD?

Výchozí časový limit DPD je 45 sekund. Pro každé připojení IPsec nebo VNet-to-VNet můžete zadat jinou hodnotu časového limitu DPD mezi 9 sekundy a 3600 sekund.

Fungují zásady IPsec/IKE na připojení ExpressRoute?

No. Zásady IPsec/IKE fungují pouze na připojeních VPN typu Site-to-Site a VNet-to-VNet prostřednictvím bran Azure VPN Gateway.

Návody vytvářet připojení s typem protokolu IKEv1 nebo IKEv2?

Připojení IKEv1 se dají vytvořit ve všech skladových úrovních typu VPN typu RouteBased s výjimkou skladových položek Úrovně Basic, skladové položky Standard a dalších starších skladových položek. Při vytváření připojení můžete zadat typ protokolu připojení IKEv1 nebo IKEv2. Pokud nezadáte typ protokolu připojení, použije se IKEv2 jako výchozí možnost, pokud je to možné. Další informace najdete v dokumentaci k rutinám PowerShellu . Informace o typech SKU a podpoře IKEv1/IKEv2 najdete v tématu Připojení brány pro zařízení VPN založená na zásadách.

Je povolen přenos mezi připojeními IKEv1 a IKEv2?

Ano. Podporuje se přenos mezi připojeními IKEv1 a IKEv2.

Můžu mít připojení site-to-site IKEv1 v základních SKU typu RouteBased VPN?

No. Skladová položka Basic tuto položku nepodporuje.

Můžu po vytvoření připojení změnit typ protokolu připojení (IKEv1 na IKEv2 a naopak)?

No. Po vytvoření připojení není možné změnit protokoly IKEv1/IKEv2. Musíte odstranit a znovu vytvořit nové připojení s požadovaným typem protokolu.

Proč se moje připojení IKEv1 často znovu připojuje?

Pokud se připojení IKEv1 založené na statickém směrování nebo směrování odpojí v pravidelných intervalech, je pravděpodobné, že brány VPN nepodporují místní klíče. Při opětovném vytvoření klíče hlavního režimu se tunely IKEv1 odpojí a opětovné připojení trvá až 5 sekund. Hodnota vypršení časového limitu vyjednávání v hlavním režimu určí frekvenci opakovaných klíčů. Chcete-li těmto opětovným připojením zabránit, můžete přepnout na příkaz IKEv2, který podporuje místní klíče.

Pokud se připojení opakovaně připojuje náhodně, postupujte podle našeho průvodce odstraňováním potíží.

Kde najdu další informace o konfiguraci protokolu IPsec?

Viz Konfigurace zásad IPsec/IKE pro připojení typu S2S nebo VNet-to-VNet.

Protokol BGP a směrování

Je protokol BGP podporován ve všech SKU služby Azure VPN Gateway?

Protokol BGP se podporuje u všech skladových položek azure VPN Gateway s výjimkou skladové položky Basic.

Můžu použít protokol BGP s branami VPN Azure Policy?

Ne, protokol BGP se podporuje jenom u bran VPN založených na směrování.

Jaké sítě ASN (čísla autonomního systému) můžu použít?

Pro místní sítě i virtuální sítě Azure můžete použít vlastní veřejné sítě ASN nebo privátní sítě ASN. Rozsahy rezervované službou Azure ani IANA nemůžete použít.

Azure nebo IANA si vyhrazuje následující sítě ASN:

  • Sítě ASN rezervované v Azure:

    • Veřejná ASN: 8074, 8075, 12076
    • Soukromá ASN: 65515, 65517, 65518, 65519, 65520
  • Sítě ASN rezervované IANA:

    • 23456, 64496–64511, 65535–65551 a 429496729

Tyto sítě ASN nemůžete zadat pro místní zařízení VPN, když se připojujete k branám Azure VPN.

Můžu použít 32bitové (4 bajtové) sítě ASN?

Ano, VPN Gateway teď podporuje 32bitové (4 bajtové) sítě ASN. Ke konfiguraci pomocí ASN v desítkovém formátu použijte PowerShell, Azure CLI nebo sadu Azure SDK.

Jaké privátní sítě ASN můžu použít?

Využitelné rozsahy privátních sítí ASN jsou:

  • 64512-65514 a 65521-65534

Tyto sítě ASN nejsou rezervované pro použití IANA nebo Azure, a proto je můžete použít k přiřazení k bráně Azure VPN.

Jakou adresu VPN Gateway používá pro IP adresu partnerského vztahu protokolu BGP?

Ve výchozím nastavení VPN Gateway přidělí jednu IP adresu z rozsahu GatewaySubnet pro brány VPN s aktivním pohotovostním režimem nebo dvě IP adresy pro brány VPN aktivní-aktivní. Tyto adresy se při vytváření brány VPN přidělují automaticky. Skutečnou IP adresu protokolu BGP přidělenou pomocí PowerShellu nebo ji můžete vyhledat v Azure Portal. V PowerShellu použijte Get-AzVirtualNetworkGateway a vyhledejte vlastnost bgpPeeringAddress . V Azure Portal na stránce Konfigurace brány vyhledejte vlastnost Konfigurace protokolu BGP ASN.

Pokud místní směrovače VPN jako IP adresy protokolu BGP používají IP adresy APIPA (169.254.x.x), musíte zadat jednu nebo více IP adres protokolu BGP azure APIPA na bráně Azure VPN. Azure VPN Gateway vybere adresy APIPA, které se mají použít s místním partnerským vztahem protokolu APIPA BGP zadaným v bráně místní sítě, nebo privátní IP adresou pro místní partnerský vztah protokolu BGP mimo rozhraní APIPA. Další informace naleznete v tématu Konfigurace protokolu BGP.

Jaké jsou požadavky na IP adresy partnerského vztahu protokolu BGP na mém zařízení VPN?

Vaše místní adresa partnerského vztahu protokolu BGP nesmí být stejná jako veřejná IP adresa vašeho zařízení VPN nebo z adresního prostoru virtuální sítě brány VPN. Jako místní adresu partnera BGP v zařízení VPN použijte jinou IP adresu. Může se jednat o adresu přiřazenou rozhraní zpětné smyčky na zařízení (buď běžnou IP adresu, nebo adresu APIPA). Pokud vaše zařízení používá adresu APIPA pro protokol BGP, musíte zadat jednu nebo více IP adres PROTOKOLU APIPA BGP na bráně Azure VPN, jak je popsáno v tématu Konfigurace protokolu BGP. Zadejte tyto adresy v odpovídající bráně místní sítě představující umístění.

Co mám zadat jako předpony adres pro bránu místní sítě při použití protokolu BGP?

Důležité

Jedná se o změnu z dříve zdokumentovaného požadavku. Pokud pro připojení použijete protokol BGP, ponechte pole Adresní prostor prázdný pro odpovídající prostředek brány místní sítě. Azure VPN Gateway interně přidá trasu hostitele do místní IP adresy partnerského vztahu protokolu BGP přes tunel IPsec. Do pole Adresní prostor nepřidávejte trasu /32. Je redundantní a pokud jako IP adresu protokolu BGP místního zařízení VPN použijete adresu APIPA, nedá se do tohoto pole přidat. Pokud do pole Adresní prostor přidáte další předpony, přidají se jako statické trasy na bráně Azure VPN, a to kromě tras, které se naučili prostřednictvím protokolu BGP.

Můžu použít stejný ASN pro místní sítě VPN i virtuální sítě Azure?

Ne, pokud je připojujete společně s protokolem BGP, musíte mezi místními sítěmi a virtuálními sítěmi Azure přiřadit různé sítě ASN. Brány Azure VPN mají přiřazenou výchozí ASN 65515, ať už je protokol BGP povolený nebo ne pro vaše připojení mezi místy. Toto výchozí nastavení můžete přepsat přiřazením jiného ASN při vytváření brány VPN nebo můžete po vytvoření brány změnit ASN. Místní sítě ASN budete muset přiřadit odpovídající bránám místní sítě Azure.

Které předpony adres budou služby Azure VPN gateway prezentovat?

Brány inzerují na místní zařízení BGP následující trasy:

  • Předpony adres virtuální sítě
  • Předpony adres pro každou bránu místní sítě připojené k bráně Azure VPN.
  • Trasy získané z jiných relací partnerského vztahu protokolu BGP připojené ke službě Azure VPN Gateway s výjimkou výchozí trasy nebo tras, které se překrývají s předponou virtuální sítě.

Kolik předpon můžu inzerovat do Azure VPN Gateway?

Azure VPN Gateway podporuje až 4000 předpon. Pokud počet předpon překročí toto omezení, relace BGP se ukončí.

Mohu inzerovat výchozí cestu (0.0.0.0/0) do bran Azure VPN Gateway?

Ano. Všimněte si, že tím se vynutí veškerý odchozí provoz virtuální sítě směrem k vaší místní lokalitě. Také brání virtuálním počítačům virtuální sítě přijímat veřejnou komunikaci z internetu přímo, například protokol RDP nebo SSH z internetu do virtuálních počítačů.

Můžu inzerovat přesné předpony jako předpony virtuální sítě?

Ne, inzerce stejných předpon jako některá z předpon vaší virtuální sítě bude blokována nebo filtrována v Azure. Můžete ale inzerovat předponu, která je nadmnožinou toho, co máte ve své virtuální síti.

Pokud například vaše virtuální síť používala adresní prostor 10.0.0.0/16, můžete inzerovat 10.0.0.0.0/8. Nemůžete ale inzerovat 10.0.0.0/16 nebo 10.0.0.0/24.

Můžu používat protokol BGP se svými připojeními mezi virtuálními sítěmi?

Ano, protokol BGP můžete použít pro připojení mezi různými místy a připojení mezi virtuálními sítěmi.

Lze u služeb Azure VPN Gateway používat kombinaci připojení pomocí protokolu BGP a bez protokolu BGP?

Ano, u stejné služby Azure VPN Gateway je možné kombinovat připojení pomocí protokolu BGP i bez protokolu BGP.

Podporuje Azure VPN Gateway směrování přenosu protokolu BGP?

Ano, směrování přenosu protokolu BGP se podporuje s výjimkou, že brány Azure VPN neinzerují výchozí trasy jiným partnerským uzlům protokolu BGP. Pokud chcete povolit směrování přenosu mezi několika bránami Azure VPN, musíte povolit protokol BGP u všech zprostředkujících připojení mezi virtuálními sítěmi. Další informace najdete v tématu O protokolu BGP.

Můžu mezi bránou Azure VPN a místní sítí mít více než jeden tunel?

Ano, mezi bránou Azure VPN a vaší místní sítí můžete vytvořit více tunelů VPN typu site-to-site (S2S). Všimněte si, že všechny tyto tunely se počítají do celkového počtu tunelů pro brány Azure VPN a musíte povolit protokol BGP na obou tunelech.

Pokud máte například dva redundantní tunely mezi bránou Azure VPN a jednou z místních sítí, spotřebují 2 tunely mimo celkovou kvótu pro vaši bránu Azure VPN.

Můžu mezi dvěma virtuálními sítěmi Azure s protokolem BGP mít více tunelů?

Ano, ale alespoň jedna z bran virtuální sítě musí být v konfiguraci aktivní–aktivní.

Můžu použít protokol BGP pro síť VPN S2S v konfiguraci koexistence sítě VPN Azure ExpressRoute a S2S?

Ano.

Co je třeba přidat do místního zařízení VPN pro relaci partnerského vztahu protokolu BGP?

Přidejte na zařízení VPN trasu hostitele IP adresy partnerského vztahu Azure BGP. Tato trasa odkazuje na tunel IPsec S2S VPN. Pokud je například IP adresa partnerského vztahu Azure VPN 10.12.255.30, přidáte na zařízení VPN trasu hostitele pro 10.12.255.30 s rozhraním dalšího směrování odpovídajícího tunelového rozhraní IPsec.

Podporuje brána virtuální sítě BFD pro připojení S2S pomocí protokolu BGP?

No. Obousměrná detekce předávání (BFD) je protokol, který můžete použít s protokolem BGP k rychlejšímu zjišťování výpadků sousedů, než můžete použít pomocí standardního protokolu BGP "keepalives". BFD používá podsekundové časovače navržené tak, aby fungovaly v prostředích LAN, ale ne přes veřejné připojení k internetu nebo síti Wide Area Network.

U připojení přes veřejný internet může mít určité pakety zpožděné nebo dokonce vyřazené není neobvyklé, takže zavedení těchto agresivních časovačů může přidat nestabilitu. Tato nestabilita může způsobit, že trasy se ztlumí protokolem BGP. Jako alternativu můžete místní zařízení nakonfigurovat s časovači nižším než výchozí, 60sekundový interval "keepalive" a časovač blokování 180 sekund. Výsledkem je rychlejší konvergenční doba.

Inicializuje brány Azure VPN Gateway relace nebo připojení partnerského vztahu protokolu BGP?

Brána zahájí relace partnerského vztahu protokolu BGP s místními IP adresami partnerského vztahu protokolu BGP zadanými v prostředcích brány místní sítě pomocí privátních IP adres na branách VPN. To je bez ohledu na to, jestli jsou místní IP adresy protokolu BGP v rozsahu APIPA nebo běžné privátní IP adresy. Pokud vaše místní zařízení VPN používají adresy APIPA jako IP adresu protokolu BGP, musíte nakonfigurovat reproduktor protokolu BGP tak, aby inicioval připojení.

Můžu nakonfigurovat vynucené tunelování?

Ano. Informace najdete v části Konfigurace vynuceného tunelování.

NAT

Podporuje se překlad adres (NAT) ve všech skladových úrovních Azure VPN Gateway?

Překlad adres (NAT) je podporován v síti VpnGw2~5 a VpnGw2AZ~5AZ.

Můžu použít překlad adres (NAT) u připojení typu VNet-to-VNet nebo P2S?

Ne, překlad adres (NAT) se podporuje jenom u místních připojení IPsec .

Kolik pravidel překladu adres (NAT) můžu použít na bráně VPN?

Na bráně VPN můžete vytvořit až 100 pravidel překladu adres (příchozího přenosu dat a Egress v kombinaci).

Používá se překlad adres (NAT) pro všechna připojení ve službě VPN Gateway?

Na připojení s pravidly překladu adres (NAT) se použije překlad adres (NAT). Pokud připojení nemá pravidlo překladu adres (NAT), překlad adres (NAT) se na toto připojení neprojeví. Na stejné bráně VPN můžete mít některá připojení s překladem adres (NAT) a další připojení bez spolupráce překladu adres (NAT).

Jaké typy překladu adres (NAT) se podporují u bran Azure VPN Gateway?

Podporuje se pouze statický překlad adres (NAT) 1:1 a dynamický překlad adres (NAT). PŘEKLAD ADRES (NAT64) není podporován.

Funguje překlad adres NAT na branách VPN aktivní-aktivní?

Ano. Překlad adres (NAT) funguje na branách VPN typu aktivní-aktivní i aktivní-pohotovostní.

Funguje překlad adres (NAT) s připojeními protokolu BGP?

Ano, protokol BGP můžete použít s překladem adres (NAT). Tady je několik důležitých aspektů:

  • Na stránce konfigurace pravidel překladu adres (NAT) vyberte Povolit překlad tras protokolu BGP , abyste zajistili, že se naučené trasy a inzerované trasy přeloží na předpony adres post-NAT (externí mapování) na základě pravidel PŘEKLADU adres přidružených k připojením. Musíte zajistit, aby místní směrovače protokolu BGP inzerují přesné předpony definované v pravidlech příchozího přenosu dat.

  • Pokud místní směrovač VPN používá rozhraní APIPA (169.254.x.x.x) jako IP adresu mluvčího nebo partnerského vztahu protokolu BGP, použijte adresu APIPA přímo v poli IP adresy partnerského vztahu protokolu BGP brány místní sítě. Pokud místní směrovač VPN používá běžnou adresu, která není adresou APIPA a koliduje s adresní prostorem virtuální sítě nebo jinými místními síťovými prostory, ujistěte se, že pravidlo příchozího přenosu dat přeloží ip adresu partnerského vztahu protokolu BGP na jedinečnou, nepřekrývanou adresu a umístí adresu post-NAT do pole IP adresy partnerského vztahu protokolu BGP brány místní sítě.

Potřebuji vytvořit odpovídající pravidla DNAT pro pravidlo SNAT?

No. Jedno pravidlo SNAT definuje překlad pro oba směry konkrétní sítě:

  • Pravidlo příchozího přenosu dat definuje překlad zdrojových IP adres přicházejících do brány Azure VPN z místní sítě. Zpracovává také překlad cílových IP adres odcházejících z virtuální sítě do stejné místní sítě.

  • Pravidlo EgressSNAT definuje překlad zdrojových IP adres virtuální sítě, které opustí bránu Azure VPN do místních sítí. Zpracovává také překlad cílových IP adres pro pakety přicházející do virtuální sítě prostřednictvím těchto připojení s pravidlem EgressSNAT.

  • V obou případech nejsou nutná žádná pravidla DNAT .

Co mám dělat, když má adresní prostor virtuální sítě nebo brány místní sítě dvě nebo více předpon? Můžu použít překlad adres (NAT) pro všechny? Nebo jen podmnožinu?

Pro každou předponu, kterou potřebujete, musíte vytvořit jedno pravidlo PŘEKLADU adres, protože každé pravidlo PŘEKLADU adres může obsahovat jenom jednu předponu adresy pro PŘEKLAD ADRES. Pokud se například adresní prostor brány místní sítě skládá z adresního prostoru 10.0.1.0/24 a 10.0.2.0/25, můžete vytvořit dvě pravidla, jak je znázorněno níže:

  • Pravidlo příchozího přenosu dat 1: Mapování 10.0.1.0/24 na 100.0.1.0/24
  • Pravidlo příchozího přenosu dat 2: Mapa 10.0.2.0/25 na 100.0.2.0/25

Dvě pravidla musí odpovídat délce předpon odpovídajících předpon adres. Totéž platí pro pravidla EgressSNAT pro adresní prostor virtuální sítě.

Důležité

Pokud propošíte pouze jedno pravidlo s připojením výše, druhý adresní prostor se nepřeloží .

Jaké rozsahy IP adres můžu použít pro externí mapování?

Můžete použít libovolný vhodný rozsah IP adres, který chcete použít pro externí mapování, včetně veřejných a privátních IP adres.

Můžu použít různá pravidla EgressSNAT k překladu adresního prostoru virtuální sítě na různé předpony do různých místních sítí?

Ano, pro stejný adresní prostor virtuální sítě můžete vytvořit několik pravidel EgressSNAT a použít pravidla odchozího přenosu dat na různá připojení. Pro připojení bez pravidla EgressSNAT

Můžu pro různá připojení použít stejné pravidlo příchozího přenosu dat?

Ano, obvykle se používá, když jsou připojení pro stejnou místní síť k zajištění redundance. Stejné pravidlo příchozího přenosu dat nemůžete použít, pokud jsou připojení pro různé místní sítě.

Potřebuji pravidla příchozího přenosu dat i Egress připojení NAT?

Potřebujete pravidla příchozího přenosu dat i Egress na stejném připojení, když se místní adresní prostor sítě překrývají s adresní prostorem virtuální sítě. Pokud je adresní prostor virtuální sítě jedinečný mezi všemi připojenými sítěmi, nepotřebujete u těchto připojení pravidlo EgressSNAT. Pravidla příchozího přenosu dat můžete použít k tomu, abyste se vyhnuli překrývání adres mezi místními sítěmi.

Připojení mezi místními sítěmi a virtuální počítače

Pokud se virtuální počítač nachází ve virtuální síti s propojením mezi různými místy, jak se k virtuálnímu počítači připojovat?

Možností je několik. Pokud je pro virtuální počítač povolen protokol RDP, je možné připojit se k virtuálnímu počítači s použitím privátní IP adresy. V takovém případě zadáte privátní IP adresu a port, ke kterému se chcete připojit (obvykle 3389). Je třeba nakonfigurovat příslušný port ve virtuálním počítači pro provoz.

K virtuálnímu počítači se lze připojit pomocí privátní IP adresy i z jiného virtuálního počítače umístěného ve stejné virtuální síti. Pokud se připojujete z umístění mimo vaši virtuální síť, nemůžete k virtuálnímu počítači použít privátní IP adresu. Pokud máte například nakonfigurovanou virtuální síť typu point-to-site a nenavazujete připojení z počítače, nemůžete se k virtuálnímu počítači připojit pomocí privátní IP adresy.

Pokud se virtuální počítač nachází ve virtuální síti s možností připojení mezi různými místy, prochází tímto připojením veškerý provoz z virtuálního počítače?

No. Bránou virtuální sítě prochází pouze s cílovou IP adresou uvedenou v nastavených rozsazích IP adres místní sítě pro příslušnou virtuální síť. Provoz s cílovou IP adresou v příslušné virtuální síti probíhá v rámci této virtuální sítě. Ostatní provoz je odesílán prostřednictvím služby Load Balancer do veřejných sítí nebo prostřednictvím brány VPN Azure, pokud je použito vynucené tunelování.

Řešení potíží s připojením ke vzdálené ploše virtuálního počítače

Pokud se vám nedaří připojit k virtuálnímu počítači přes připojení VPN, zkontrolujte následující:

  • Ověřte, že je úspěšně navázáno připojení VPN.
  • Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.
  • Pokud se k virtuálnímu počítači můžete připojit s použitím privátní IP adresy, ale ne pomocí názvu počítače, ověřte, že jste správně nakonfigurovali DNS. Další informace o tom, jak funguje překlad IP adres pro virtuální počítače, najdete v tématu Překlad IP adres pro virtuální počítače.

Pokud se připojujete přes Point-to-Site, zkontrolujte navíc následující položky:

  • Pomocí příkazu ipconfig zkontrolujte IPv4 adresu přiřazenou adaptéru Ethernet na počítači, ze kterého se připojujete. Pokud je IP adresa v rámci rozsahu adres virtuální sítě, ke které se připojujete, nebo v rámci rozsahu adres VPNClientAddressPool, tato situace se označuje jako překrývající se adresní prostor. Když se adresní prostor tímto způsobem překrývá, síťový provoz nemá přístup do Azure a zůstane v místní síti.
  • Ověřte, že se po zadání IP adres serveru DNS pro virtuální síť vygeneroval balíček pro konfiguraci klienta VPN. Pokud jste aktualizovali IP adresy serveru DNS, vygenerujte a nainstalujte nový balíček pro konfiguraci klienta VPN.

Další informace o řešení potíží s připojením ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.

Nejčastější dotazy týkající se virtuálních sítí

Další informace o virtuální síti můžete zobrazit v nejčastějších dotazech Virtual Network.

Další kroky

OpenVPN je ochranná známka společnosti OpenVPN Inc.