Was ist VPN Gateway?

Ein VPN-Gateway ist eine spezielle Art von Gateway für virtuelle Netzwerke, das verwendet wird, um verschlüsselten Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet zu senden. Ein VPN-Gateway kann aber auch verwendet werden, um verschlüsselten Datenverkehr zwischen virtuellen Azure-Netzwerken über das Microsoft-Netzwerk zu senden. Ein virtuelles Netzwerk kann jeweils nur über ein einzelnes VPN-Gateway verfügen. Sie können jedoch mehrere Verbindungen mit dem gleichen VPN-Gateway herstellen. Wenn Sie mehrere Verbindungen mit dem gleichen VPN-Gateway herstellen, wird die für das Gateway zur Verfügung stehende Bandbreite auf alle VPN-Tunnel aufgeteilt.

Was ist ein Gateway für virtuelle Netzwerke?

Ein Gateway für virtuelle Netzwerke besteht aus mindestens zwei VMs, die in einem von Ihnen erstellten speziellen Subnetz namens Gatewaysubnetz bereitgestellt werden. VMs für das Gateway für virtuelle Netzwerke enthalten Routingtabellen und führen bestimmte Gatewaydienste aus. Diese VMs werden beim Erstellen des Gateways für virtuelle Netzwerke erstellt. Sie können die VMs, die Teil des Gateways für virtuelle Netzwerke sind, nicht direkt konfigurieren.

Wenn Sie ein virtuelles Netzwerkgateway konfigurieren, konfigurieren Sie eine Einstellung, die den Gatewaytyp angibt. Der Gatewaytyp bestimmt, wie das Gateway für virtuelle Netzwerke verwendet wird und welche Aktionen es ausführt. Der Gatewaytyp „VPN“ gibt an, dass es sich beim Typ des erstellten Gateways des virtuellen Netzwerks um ein VPN-Gateway handelt. Dadurch unterscheidet es sich von einem ExpressRoute-Gateway, das einen anderen Gatewaytyp verwendet. Ein virtuelles Netzwerk kann zwei virtuelle Netzwerkgateways besitzen, ein VPN-Gateway und ein ExpressRoute-Gateway. Weitere Informationen finden Sie unter Gatewaytypen.

Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern. Bei der Erstellung des Gateways des virtuellen Netzwerks werden Gateway-VMs für das Gatewaysubnetz bereitgestellt und mit den von Ihnen angegebenen Einstellungen konfiguriert. Nach der Erstellung eines VPN-Gateways können Sie eine IPsec/IKE-VPN-Tunnelverbindung zwischen dem VPN-Gateway und einem anderen VPN-Gateway (VNet-to-VNet) oder eine standortübergreifende IPsec/IKE-VPN-Tunnelverbindung zwischen dem VPN-Gateway und einem lokalen VPN-Gerät ( Site-to-Site) erstellen. Sie können auch eine Point-to-Site-VPN-Verbindung (VPN über OpenVPN, IKEv2 oder SSTP) erstellen und so von einem Remotestandort aus (beispielsweise in einer Konferenz oder zu Hause) eine Verbindung mit Ihrem virtuellen Netzwerk herstellen.

Konfigurieren von VPN Gateway

Eine VPN Gateway-Verbindung basiert auf mehreren, mit spezifischen Einstellungen konfigurierten Ressourcen. Die meisten der Ressourcen können separat konfiguriert werden. Bei manchen ist allerdings eine bestimmte Reihenfolge zu beachten.

Entwurf

Wichtig: Für VPN-Gateway-Verbindungen sind verschiedene Konfigurationen verfügbar. Sie müssen ermitteln, welche Konfiguration am besten zu Ihren Anforderungen passt. Point-to-Site, Site-to-Site und parallel bestehende ExpressRoute-/Site-to-Site-Verbindungen weisen z. B. alle unterschiedliche Anweisungen und Konfigurationsanforderungen auf. Informationen zum Entwurf und zum Anzeigen von Verbindungstopologiediagrammen finden Sie unter Entwurf.

Planungstabelle

Die folgende Tabelle kann Ihnen dabei helfen, die beste Verbindungsoption für Ihre Lösung zu finden.

Punkt-zu-Standort Standort-zu-Standort ExpressRoute
Von Azure unterstützte Dienste Cloud Services und Virtual Machines Cloud Services und Virtual Machines Dienstliste
Typische Bandbreiten Basiert auf der Gateway-SKU In der Regel insgesamt < 1 GBit/s 50 MBit/s, 100 MBit/s, 200 MBit/s, 500 MBit/s, 1 GBit/s, 2 GBit/s, 5 GBit/s, 10 GBit/s
Unterstützte Protokolle Secure Sockets Tunneling Protocol (SSTP), OpenVPN und IPsec IPsec Direkte Verbindung über VLANs, VPN-Technologien des NSP (MPLS, VPLS ...)
Routing RouteBased (dynamisch) Wir unterstützen PolicyBased-VPNs (statisches Routing) und RouteBased-VPNs (dynamisches Routing) BGP
Verbindungsstabilität Aktiv-passiv Aktiv-passiv oder aktiv-aktiv Aktiv-aktiv
Typisches Anwendungsbeispiel Schützen des Zugriffs auf virtuelle Azure-Netzwerke für Remotebenutzer Entwicklungs-, Test- und Laborszenarien und kleinere bis mittlere Produktionsworkloads für Clouddienste und virtuelle Computer Zugriff auf alle Azure-Dienste (überprüfte Liste), unternehmensbezogene und wichtige Workloads, Sicherung, Big Data, Azure als DR-Standort
SLA SLA SLA SLA
Preise Preise Preise Preise
Technische Dokumentation VPN Gateway-Dokumentation VPN Gateway-Dokumentation ExpressRoute-Dokumentation
Häufig gestellte Fragen Häufig gestellte Fragen zum VPN-Gateway Häufig gestellte Fragen zum VPN-Gateway ExpressRoute – FAQ

Einstellungen

Die Einstellungen, die Sie für die einzelnen Ressourcen auswählen, sind für eine erfolgreiche Verbindungserstellung entscheidend. Informationen zu einzelnen Ressourcen und Einstellungen für VPN Gateway finden Sie unter Informationen zu VPN Gateway-Einstellungen. Dieser Artikel enthält Informationen zu Gatewaytypen, Gateway-SKUs, VPN-Typen, Verbindungstypen, Gatewaysubnetzen, lokalen Netzwerkgateways und verschiedenen anderen Ressourceneinstellungen, die Sie ggf. berücksichtigen sollten.

Bereitstellungstools

Sie können zunächst mit einem Konfigurationstool wie dem Azure-Portal Ressourcen erstellen und konfigurieren. Später können Sie mit einem anderen Tool (beispielsweise PowerShell) zusätzliche Ressourcen konfigurieren oder ggf. vorhandene Ressourcen ändern. Derzeit können nicht alle Ressourcen und Ressourceneinstellungen über das Azure-Portal konfiguriert werden. Sollte ein bestimmtes Konfigurationstool benötigt werden, ist dies in den Anleitungen der Artikel zu den einzelnen Verbindungstopologien angegeben.

Gateway-SKUs

Beim Erstellen eines Gateways des virtuellen Netzwerks geben Sie die gewünschte Gateway-SKU an. Wählen Sie die SKU aus, die Ihre Anforderungen im Bezug auf Workloadtypen, Durchsätze, Funktionen und SLAs erfüllt.

Gateway-SKUs nach Tunnel, Verbindung und Durchsatz

VPN
Gateway-
Generation
SKU S2S/VNet-zu-VNet-
Tunnels
P2S
SSTP-Verbindungen
P2S
-IKEv2/OpenVPN-Verbindungen
Benchmark für
aggregierten Durchsatz
BGP Zonenredundant
Generation 1 Grundlegend Maximal 10 Maximal 128 Nicht unterstützt 100 MBit/s Nicht unterstützt Nein
Generation 1 VpnGw1 Maximal 30* Maximal 128 Maximal 250 650 MBit/s Unterstützt Nein
Generation 1 VpnGw2 Maximal 30* Maximal 128 Maximal 500 1 GBit/s Unterstützt Nein
Generation 1 VpnGw3 Maximal 30* Maximal 128 Maximal 1000 1,25 GBit/s Unterstützt Nein
Generation 1 VpnGw1AZ Maximal 30* Maximal 128 Maximal 250 650 MBit/s Unterstützt Ja
Generation 1 VpnGw2AZ Maximal 30* Maximal 128 Maximal 500 1 GBit/s Unterstützt Ja
Generation 1 VpnGw3AZ Maximal 30* Maximal 128 Maximal 1000 1,25 GBit/s Unterstützt Ja
Generation 2 VpnGw2 Maximal 30* Maximal 128 Maximal 500 1,25 GBit/s Unterstützt Nein
Generation 2 VpnGw3 Maximal 30* Maximal 128 Maximal 1000 2,5 GBit/s Unterstützt Nein
Generation 2 VpnGw4 Maximal 30* Maximal 128 Maximal 5.000 5 GBit/s Unterstützt Nein
Generation 2 VpnGw5 Maximal 30* Maximal 128 Maximal 10000 10 GBit/s Unterstützt Nein
Generation 2 VpnGw2AZ Maximal 30* Maximal 128 Maximal 500 1,25 GBit/s Unterstützt Ja
Generation 2 VpnGw3AZ Maximal 30* Maximal 128 Maximal 1000 2,5 GBit/s Unterstützt Ja
Generation 2 VpnGw4AZ Maximal 30* Maximal 128 Maximal 5.000 5 GBit/s Unterstützt Ja
Generation 2 VpnGw5AZ Maximal 30* Maximal 128 Maximal 10000 10 GBit/s Unterstützt Ja

(*) Verwenden Sie Virtual WAN, wenn Sie mehr als 30 S2S-VPN-Tunnel benötigen.

  • Größenänderungen für VpnGw-SKUs sind innerhalb der gleichen Generation möglich. Dies gilt jedoch nicht für die Basic-SKU. Die Basic-SKU ist eine Legacy-SKU und unterliegt Featureeinschränkungen. Wenn Sie von der Basic-SKU zu einer anderen VpnGw-SKU wechseln möchten, müssen Sie das VPN-Gateway der Basic-SKU löschen und ein neues Gateway mit der gewünschten Generation und SKU-Größe erstellen.

  • Diese Verbindungsgrenzwerte sind voneinander getrennt. Sie können beispielsweise 128 SSTP-Verbindungen und 250 IKEv2-Verbindungen in der SKU „VpnGw1“ nutzen.

  • Informationen zu den Preisen finden Sie auf der Seite Preise .

  • Informationen zum SLA (Vereinbarung zum Servicelevel) finden Sie auf der SLA-Seite.

  • Mit einem einzelnen Tunnel kann maximal ein Durchsatz von 1 GBit/s erzielt werden. Der Benchmark für den aggregierten Durchsatz in der obigen Tabelle basiert auf Messungen für mehrere, über ein einzelnes Gateway aggregierte Tunnel. Der Benchmark für den aggregierten Durchsatz für ein VPN-Gateway besteht aus einer Kombination aus S2S und P2S. Bei zahlreichen P2S-Verbindungen kann eine S2S-Verbindung aufgrund von Durchsatzeinschränkungen beeinträchtigt sein. Aufgrund der Bedingungen für den Internetdatenverkehr und dem Verhalten Ihrer Anwendung kann der Benchmark für den aggregierten Durchsatz nicht garantiert werden.

Damit unsere Kunden die relative Leistung von SKUs mit unterschiedlichen Algorithmen besser nachvollziehen können, haben wir für die Leistungsermittlung die öffentlich verfügbaren Tools iperf und CTSTraffic verwendet. Die folgende Tabelle enthält die Ergebnisse von Leistungstests für VpnGw-SKUs der ersten Generation. Wie Sie sehen, wird die beste Leistung erzielt, wenn sowohl für die IPSec-Verschlüsselung als auch für die Integrität der GCMAES256-Algorithmus verwendet wird. Bei Verwendung von AES256 für die IPSec-Verschlüsselung und SHA256 für die Integrität wurde eine durchschnittliche Leistung erzielt. Bei Verwendung von DES3 für die IPSec-Verschlüsselung und SHA256 für die Integrität wurde die geringste Leistung erzielt.

Generation SKU Verwendete
Algorithmen
Ermittelter
Durchsatz
Ermittelte Pakete pro Sekunde
pro Tunnel
Generation 1 VpnGw1 GCMAES256
AES256 und SHA256
DES3 und SHA256
650 MBit/s
500 MBit/s
120 MBit/s
58.000
50.000
50.000
Generation 1 VpnGw2 GCMAES256
AES256 und SHA256
DES3 und SHA256
1 GBit/s
500 MBit/s
120 MBit/s
90.000
80.000
55.000
Generation 1 VpnGw3 GCMAES256
AES256 und SHA256
DES3 und SHA256
1,25 GBit/s
550 MBit/s
120 MBit/s
105.000
90.000
60.000
Generation 1 VpnGw1AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
650 MBit/s
500 MBit/s
120 MBit/s
58.000
50.000
50.000
Generation 1 VpnGw2AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
1 GBit/s
500 MBit/s
120 MBit/s
90.000
80.000
55.000
Generation 1 VpnGw3AZ GCMAES256
AES256 und SHA256
DES3 und SHA256
1,25 GBit/s
550 MBit/s
120 MBit/s
105.000
90.000
60.000

Verfügbarkeitszonen

VPN-Gateways können in Azure-Verfügbarkeitszonen bereitgestellt werden. So erzielen Sie Stabilität, Skalierbarkeit und eine höhere Verfügbarkeit für die Gateways des virtuellen Netzwerks. Durch die Bereitstellung von Gateways in Azure-Verfügbarkeitszonen werden die Gateways innerhalb einer Region physisch und logisch getrennt. Gleichzeitig wird die Konnektivität Ihres lokalen Netzwerks mit Azure vor Ausfällen auf Zonenebene geschützt. Unter Informationen zu zonenredundanten Gateways für das virtuelle Netzwerk in Azure-Verfügbarkeitszonen erfahren Sie mehr dazu.

Preise

Sie bezahlen für zwei Dinge: die stündlichen Computekosten für das Gateway des virtuellen Netzwerks und die Übertragung der Ausgangsdaten vom Gateway des virtuellen Netzwerks. Informationen zu den Preisen finden Sie auf der Seite Preise . Preise für ältere Gateway-SKUs finden Sie auf der ExpressRoute-Preisseite im Abschnitt Gateways für virtuelle Netzwerke.

Computekosten für virtuelles Netzwerkgateway
Für jedes Gateway des virtuellen Netzwerks fallen stündliche Computekosten an. Der Preis basiert auf der Gateway-SKU, die Sie beim Erstellen des Gateways des virtuellen Netzwerks angeben. Die Kosten für das eigentliche Gateway fallen zusätzlich zur Datenübertragung an, die über das Gateway durchgeführt wird. Die Kosten eines aktiv-aktiven Setups sind gleich wie für aktiv-passiv.

Datenübertragungskosten
Datenübertragungskosten werden basierend auf ausgehendem Datenverkehr vom Gateway des virtuellen Quellnetzwerks berechnet.

  • Wenn Sie Datenverkehr an Ihr lokales VPN-Gerät senden, wird dafür die Internetrate für die Übertragung von Ausgangsdaten berechnet.
  • Wenn Sie Datenverkehr zwischen virtuellen Netzwerken in unterschiedlichen Regionen senden, richtet sich der Preis nach der Region.
  • Wenn Sie Datenverkehr nur zwischen virtuellen Netzwerken senden, die sich in derselben Region befinden, fallen keine Kosten für die Datenübertragung an. Der Datenverkehr zwischen VNets in derselben Region ist kostenlos.

Weitere Informationen zu Gateway-SKUs für VPN Gateway finden Sie unter Gateway-SKUs.

Häufig gestellte Fragen

Häufig gestellte Fragen zu VPN-Gateways finden Sie unter Häufig gestellte Fragen zum VPN-Gateway.

Neuerungen

Abonnieren Sie den RSS-Feed, und zeigen Sie die neuesten VPN Gateway-Featureupdates auf der Seite Azure-Updates an.

Nächste Schritte