Was ist VPN Gateway?What is VPN Gateway?

Ein VPN-Gateway ist eine spezielle Art von Gateway für virtuelle Netzwerke, das verwendet wird, um verschlüsselten Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet zu senden.A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an on-premises location over the public Internet. Ein VPN-Gateway kann aber auch verwendet werden, um verschlüsselten Datenverkehr zwischen virtuellen Azure-Netzwerken über das Microsoft-Netzwerk zu senden.You can also use a VPN gateway to send encrypted traffic between Azure virtual networks over the Microsoft network. Ein virtuelles Netzwerk kann jeweils nur über ein einzelnes VPN-Gateway verfügen.Each virtual network can have only one VPN gateway. Sie können jedoch mehrere Verbindungen mit dem gleichen VPN-Gateway herstellen.However, you can create multiple connections to the same VPN gateway. Wenn Sie mehrere Verbindungen mit dem gleichen VPN-Gateway herstellen, wird die für das Gateway zur Verfügung stehende Bandbreite auf alle VPN-Tunnel aufgeteilt.When you create multiple connections to the same VPN gateway, all VPN tunnels share the available gateway bandwidth.

Was ist ein Gateway für virtuelle Netzwerke?What is a virtual network gateway?

Ein Gateway für virtuelle Netzwerke besteht aus mindestens zwei virtuellen Computern, die für ein spezielles von Ihnen erstelltes Subnetz bereitgestellt werden, das als Gatewaysubnetz bezeichnet wird.A virtual network gateway is composed of two or more virtual machines that are deployed to a specific subnet you create, which is called the gateway subnet. Die virtuellen Computer im Gatewaysubnetz werden erstellt, wenn Sie das Gateway für virtuelle Netzwerke erstellen.The VMs that are located in the gateway subnet are created when you create the virtual network gateway. Virtuelle Computer im Gateway für virtuelle Netzwerke werden so konfiguriert, dass sie spezifische Routingtabellen und Gatewaydienste für das Gateway enthalten.Virtual network gateway VMs are configured to contain routing tables and gateway services specific to the gateway. Sie können die virtuellen Computer, die Teil des Gateways für virtuelle Netzwerke sind, nicht direkt konfigurieren, und im Gatewaysubnetz dürfen keine weiteren Ressourcen bereitgestellt werden.You can't directly configure the VMs that are part of the virtual network gateway and you should never deploy additional resources to the gateway subnet.

VPN-Gateways können in Azure-Verfügbarkeitszonen bereitgestellt werden.VPN gateways can be deployed in Azure Availability Zones. So erzielen Sie Stabilität, Skalierbarkeit und eine höhere Verfügbarkeit für die Gateways des virtuellen Netzwerks.This brings resiliency, scalability, and higher availability to virtual network gateways. Durch die Bereitstellung von Gateways in Azure-Verfügbarkeitszonen werden die Gateways innerhalb einer Region physisch und logisch getrennt. Gleichzeitig wird die Konnektivität Ihres lokalen Netzwerks mit Azure vor Ausfällen auf Zonenebene geschützt.Deploying gateways in Azure Availability Zones physically and logically separates gateways within a region, while protecting your on-premises network connectivity to Azure from zone-level failures. Unter Informationen zu zonenredundanten Gateways für das virtuelle Netzwerk in Azure-Verfügbarkeitszonen erfahren Sie mehr dazu.see About zone-redundant virtual network gateways in Azure Availability Zones

Die Erstellung eines Gateways des virtuellen Netzwerks kann bis zu 45 Minuten dauern.Creating a virtual network gateway can take up to 45 minutes to complete. Bei der Erstellung des Gateways des virtuellen Netzwerks werden Gateway-VMs für das Gatewaysubnetz bereitgestellt und mit den von Ihnen angegebenen Einstellungen konfiguriert.When you create a virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the settings that you specify. Eine der Einstellungen, die Sie konfigurieren, ist der Gatewaytyp.One of the settings you configure is the gateway type. Der Gatewaytyp „VPN“ gibt an, dass es sich beim Typ des erstellten Gateways des virtuellen Netzwerks um ein VPN-Gateway handelt.The gateway type 'vpn' specifies that the type of virtual network gateway created is a VPN gateway. Nach der Erstellung eines VPN-Gateways können Sie eine IPsec/IKE-VPN-Tunnelverbindung zwischen dem VPN-Gateway und einem anderen VPN-Gateway (VNet-to-VNet) oder eine standortübergreifende IPsec/IKE-VPN-Tunnelverbindung zwischen dem VPN-Gateway und einem lokalen VPN-Gerät ( Site-to-Site) erstellen.After you create a VPN gateway, you can create an IPsec/IKE VPN tunnel connection between that VPN gateway and another VPN gateway (VNet-to-VNet), or create a cross-premises IPsec/IKE VPN tunnel connection between the VPN gateway and an on-premises VPN device (Site-to-Site). Sie können auch eine Point-to-Site-VPN-Verbindung (VPN über OpenVPN, IKEv2 oder SSTP) erstellen und so von einem Remotestandort aus (beispielsweise auf einer Konferenz oder zu Hause) eine Verbindung mit Ihrem virtuellen Netzwerk herstellen.You can also create a Point-to-Site VPN connection (VPN over OpenVPN, IKEv2 or SSTP), which lets you connect to your virtual network from a remote location, such as from a conference or from home.

Konfigurieren von VPN GatewayConfiguring a VPN Gateway

Eine VPN Gateway-Verbindung basiert auf mehreren, mit spezifischen Einstellungen konfigurierten Ressourcen.A VPN gateway connection relies on multiple resources that are configured with specific settings. Die meisten der Ressourcen können separat konfiguriert werden. Bei manchen ist allerdings eine bestimmte Reihenfolge zu beachten.Most of the resources can be configured separately, although some resources must be configured in a certain order.

EinstellungenSettings

Die Einstellungen, die Sie für die einzelnen Ressourcen auswählen, sind für eine erfolgreiche Verbindungserstellung entscheidend.The settings that you chose for each resource are critical to creating a successful connection. Informationen zu einzelnen Ressourcen und Einstellungen für VPN Gateway finden Sie unter Informationen zu VPN Gateway-Einstellungen.For information about individual resources and settings for VPN Gateway, see About VPN Gateway settings. Dieser Artikel enthält Informationen zu Gatewaytypen, Gateway-SKUs, VPN-Typen, Verbindungstypen, Gatewaysubnetzen, lokalen Netzwerkgateways und verschiedenen anderen Ressourceneinstellungen, die Sie ggf. berücksichtigen sollten.The article contains information to help you understand gateway types, gateway SKUs, VPN types, connection types, gateway subnets, local network gateways, and various other resource settings that you may want to consider.

BereitstellungstoolsDeployment tools

Sie können zunächst mit einem Konfigurationstool wie dem Azure-Portal Ressourcen erstellen und konfigurieren.You can start out creating and configuring resources using one configuration tool, such as the Azure portal. Später können Sie mit einem anderen Tool (beispielsweise PowerShell) zusätzliche Ressourcen konfigurieren oder ggf. vorhandene Ressourcen ändern.You can later decide to switch to another tool, such as PowerShell, to configure additional resources, or modify existing resources when applicable. Derzeit können nicht alle Ressourcen und Ressourceneinstellungen über das Azure-Portal konfiguriert werden.Currently, you can't configure every resource and resource setting in the Azure portal. Sollte ein bestimmtes Konfigurationstool benötigt werden, ist dies in den Anleitungen der Artikel zu den einzelnen Verbindungstopologien angegeben.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

BereitstellungsmodellDeployment model

Für Azure stehen derzeit zwei Bereitstellungsmodelle zur Verfügung.There are currently two deployment models for Azure. Die Konfigurationsschritte für ein VPN-Gateway hängen davon ab, mit welchem Bereitstellungsmodell Sie das virtuelle Netzwerk erstellt haben.When you configure a VPN gateway, the steps you take depend on the deployment model that you used to create your virtual network. Wenn Sie Ihr VNET beispielsweise mit dem klassischen Bereitstellungsmodell erstellt haben, verwenden Sie die Richtlinien und Anleitungen für das klassische Bereitstellungsmodell, um die Einstellungen für das VPN Gateway zu erstellen und zu konfigurieren.For example, if you created your VNet using the classic deployment model, you use the guidelines and instructions for the classic deployment model to create and configure your VPN gateway settings. Weitere Informationen zu Bereitstellungsmodellen finden Sie unter Azure Resource Manager-Bereitstellung im Vergleich zur klassischen Bereitstellung: Grundlegendes zu Bereitstellungsmodellen und zum Status von Ressourcen.For more information about deployment models, see Understanding Resource Manager and classic deployment models.

PlanungstabellePlanning table

Die folgende Tabelle kann Ihnen dabei helfen, die beste Verbindungsoption für Ihre Lösung zu finden.The following table can help you decide the best connectivity option for your solution.

Punkt-zu-StandortPoint-to-Site Standort-zu-StandortSite-to-Site ExpressRouteExpressRoute
Von Azure unterstützte DiensteAzure Supported Services Cloud Services und Virtual MachinesCloud Services and Virtual Machines Cloud Services und Virtual MachinesCloud Services and Virtual Machines DienstlisteServices list
Typische BandbreitenTypical Bandwidths Basiert auf der Gateway-SKUBased on the gateway SKU In der Regel insgesamt < 1 GBit/sTypically < 1 Gbps aggregate 50 MBit/s, 100 MBit/s, 200 MBit/s, 500 MBit/s, 1 GBit/s, 2 GBit/s, 5 GBit/s, 10 GBit/s50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Unterstützte ProtokolleProtocols Supported Secure Sockets Tunneling Protocol (SSTP), OpenVPN und IPsecSecure Sockets Tunneling Protocol (SSTP), OpenVPN and IPsec IPsecIPsec Direkte Verbindung über VLANs, VPN-Technologien des NSP (MPLS, VPLS ...)Direct connection over VLANs, NSP's VPN technologies (MPLS, VPLS,...)
RoutingRouting RouteBased (dynamisch)RouteBased (dynamic) Wir unterstützen PolicyBased-VPNs (statisches Routing) und RouteBased-VPNs (dynamisches Routing)We support PolicyBased (static routing) and RouteBased (dynamic routing VPN) BGPBGP
VerbindungsstabilitätConnection resiliency Aktiv-passivactive-passive Aktiv-passiv oder aktiv-aktivactive-passive or active-active Aktiv-aktivactive-active
Typisches AnwendungsbeispielTypical use case Erstellen von Prototypen, Entwicklungs-/Test-/Laborszenarios für Cloud Services und Virtual MachinesPrototyping, dev / test / lab scenarios for cloud services and virtual machines Entwicklungs-/Test-/Laborszenarios und kleine Produktionsworkloads für Cloud Services und Virtual MachinesDev / test / lab scenarios and small scale production workloads for cloud services and virtual machines Zugriff auf alle Azure-Dienste (überprüfte Liste), unternehmensbezogene und wichtige Workloads, Sicherung, Big Data, Azure als DR-StandortAccess to all Azure services (validated list), Enterprise-class and mission critical workloads, Backup, Big Data, Azure as a DR site
SLASLA SLASLA SLASLA SLASLA
PreisePricing PreisePricing PreisePricing PreisePricing
Technische DokumentationTechnical Documentation VPN Gateway-DokumentationVPN Gateway Documentation VPN Gateway-DokumentationVPN Gateway Documentation ExpressRoute-DokumentationExpressRoute Documentation
HÄUFIG GESTELLTE FRAGENFAQ Häufig gestellte Fragen zum VPN-GatewayVPN Gateway FAQ Häufig gestellte Fragen zum VPN-GatewayVPN Gateway FAQ ExpressRoute – FAQExpressRoute FAQ

Gateway-SKUsGateway SKUs

Beim Erstellen eines Gateways des virtuellen Netzwerks geben Sie die gewünschte Gateway-SKU an.When you create a virtual network gateway, you specify the gateway SKU that you want to use. Wählen Sie die SKU aus, die Ihre Anforderungen im Bezug auf Workloadtypen, Durchsätze, Funktionen und SLAs erfüllt.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. Weitere Informationen zu Gateway-SKUs (einschließlich unterstützter Funktionen, Produktions- und Dev-Test-Workloads sowie Konfigurationsschritte) finden Sie im Artikel „Informationen zu VPN Gateway-Einstellungen“ unter Gateway-SKUs.For more information about gateway SKUs, including supported features, production and dev-test, and configuration steps, see the VPN Gateway Settings - Gateway SKUs article. Informationen zu Legacy-SKUs finden Sie unter Arbeiten mit SKUs für virtuelle Netzwerkgateways (Legacy-SKUs).For Legacy SKU information, see Working with Legacy SKUs.

Gateway-SKUs nach Tunnel, Verbindung und DurchsatzGateway SKUs by tunnel, connection, and throughput

SKUSKU S2S/VNet-zu-VNet-
Tunnels
S2S/VNet-to-VNet
Tunnels
P2S
SSTP-Verbindungen
P2S
SSTP Connections
P2S
-IKEv2/OpenVPN-Verbindungen
P2S
IKEv2/OpenVPN Connections
Benchmark für
aggregierten Durchsatz
Aggregate
Throughput Benchmark
BGPBGP ZonenredundantZone-redundant
BasicBasic MaximalMax. 1010 MaximalMax. 128128 Nicht unterstütztNot Supported 100 MBit/s100 Mbps Nicht unterstütztNot Supported NeinNo
VpnGw1VpnGw1 MaximalMax. 30*30* MaximalMax. 128128 MaximalMax. 250250 650 MBit/s650 Mbps UnterstütztSupported NeinNo
VpnGw2VpnGw2 MaximalMax. 30*30* MaximalMax. 128128 MaximalMax. 500500 1 GBit/s1 Gbps UnterstütztSupported NeinNo
VpnGw3VpnGw3 MaximalMax. 30*30* MaximalMax. 128128 MaximalMax. 10001000 1,25 GBit/s1.25 Gbps UnterstütztSupported NeinNo
VpnGw1AZVpnGw1AZ MaximalMax. 30*30* MaximalMax. 128128 MaximalMax. 250250 650 MBit/s650 Mbps UnterstütztSupported JaYes
VpnGw2AZVpnGw2AZ MaximalMax. 30*30* MaximalMax. 128128 MaximalMax. 500500 1 GBit/s1 Gbps UnterstütztSupported JaYes
VpnGw3AZVpnGw3AZ MaximalMax. 30*30* MaximalMax. 128128 MaximalMax. 10001000 1,25 GBit/s1.25 Gbps UnterstütztSupported JaYes

(*) Verwenden Sie Virtual WAN, wenn Sie mehr als 30 S2S-VPN-Tunnel benötigen.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Der Benchmark für den aggregierten Durchsatz basiert auf Messungen von mehreren, durch ein Gateway aggregierten Tunneln.Aggregate Throughput Benchmark is based on measurements of multiple tunnels aggregated through a single gateway. Der Benchmark für den aggregierten Durchsatz für ein VPN-Gateway besteht aus einer Kombination aus S2S und P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Bei zahlreichen P2S-Verbindungen kann eine S2S-Verbindung aufgrund von Durchsatzeinschränkungen beeinträchtigt sein.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Aufgrund der Bedingungen für den Internetdatenverkehr und dem Verhalten Ihrer Anwendung kann der Benchmark für den aggregierten Durchsatz nicht garantiert werden.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

  • Diese Verbindungsgrenzwerte sind voneinander getrennt.These connection limits are separate. Sie können beispielsweise 128 SSTP-Verbindungen und 250 IKEv2-Verbindungen in der SKU „VpnGw1“ nutzen.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Informationen zu den Preisen finden Sie auf der Seite Preise .Pricing information can be found on the Pricing page.

  • Informationen zum SLA (Vereinbarung zum Servicelevel) finden Sie auf der SLA-Seite.SLA (Service Level Agreement) information can be found on the SLA page.

  • VpnGw1, VpnGw2 und VpnGw3 werden nur für VPN-Gateways unterstützt, die das Resource Manager-Bereitstellungsmodell verwenden.VpnGw1, VpnGw2, and VpnGw3 are supported for VPN gateways using the Resource Manager deployment model only.

  • Die Basic-SKU wird als Legacy-SKU betrachtet.The Basic SKU is considered a legacy SKU. Für die Basic-SKU gelten bestimmte Featurebeschränkungen.The Basic SKU has certain feature limitations. Die Größe eines Gateways mit einer Basic-SKU kann nicht auf eine der neuen Gateway-SKUs festgelegt werden. Stattdessen müssen Sie zu einer neuen SKU wechseln und dazu Ihr VPN-Gateway löschen und neu erstellen.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway. Vergewissern Sie sich vor der Verwendung der Basic-SKU, dass das von Ihnen benötigte Feature unterstützt wird.Verify that the feature that you need is supported before you use the Basic SKU.

Diagramme zur VerbindungstopologieConnection topology diagrams

Wichtig: Für VPN-Gateway-Verbindungen sind verschiedene Konfigurationen verfügbar.It's important to know that there are different configurations available for VPN gateway connections. Sie müssen ermitteln, welche Konfiguration am besten zu Ihren Anforderungen passt.You need to determine which configuration best fits your needs. In den folgenden Abschnitten können Sie sich Informationen und Topologiediagramme zu den folgenden VPN-Gatewayverbindungen ansehen: Die folgenden Abschnitte enthalten Tabellen, in denen Folgendes aufgelistet ist:In the sections below, you can view information and topology diagrams about the following VPN gateway connections: The following sections contain tables which list:

  • Verfügbares BereitstellungsmodellAvailable deployment model
  • Verfügbare KonfigurationstoolsAvailable configuration tools
  • Direkte Links zu Artikeln, sofern verfügbarLinks that take you directly to an article, if available

Orientieren Sie sich bei der Wahl einer geeigneten Verbindungstopologie an den Diagrammen und Beschreibungen.Use the diagrams and descriptions to help select the connection topology to match your requirements. Die Diagramme zeigen die grundlegenden Topologien, aber Sie können auch komplexere Topologien erstellen, indem Sie die Diagramme als Anhaltspunkte verwenden.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guideline.

Site-to-Site und Multi-Site (IPsec-/IKE-VPN-Tunnel)Site-to-Site and Multi-Site (IPsec/IKE VPN tunnel)

Site-to-SiteSite-to-Site

Eine VPN Gateway-S2S-Verbindung (Site-to-Site) ist eine Verbindung über einen VPN-Tunnel vom Typ „IPsec/IKE“ (IKEv1 oder IKEv2).A Site-to-Site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv1 or IKEv2) VPN tunnel. S2S-Verbindungen können für standortübergreifende Konfigurationen und Hybridkonfigurationen verwendet werden.S2S connections can be used for cross-premises and hybrid configurations. Für S2S-Verbindungen wird ein lokales VPN-Gerät benötigt, dem eine öffentliche IP-Adresse zugewiesen ist und das sich nicht hinter einer NAT-Einheit befindet.A S2S connection requires a VPN device located on-premises that has a public IP address assigned to it and is not located behind a NAT. Informationen zum Auswählen eines VPN-Geräts finden Sie unter Häufig gestellte Fragen zum VPN-Gateway.For information about selecting a VPN device, see the VPN Gateway FAQ - VPN devices.

Beispiel für Site-to-Site-Verbindung per Azure VPN Gateway

Multi-SiteMulti-Site

Bei dieser Art von Verbindung handelt es sich um eine Abwandlung der Site-to-Site-Verbindung.This type of connection is a variation of the Site-to-Site connection. Sie erstellen mehrere VPN-Verbindung über Ihr Gateway für virtuelle Netzwerke, durch die in der Regel mehrere lokale Standorte verbunden werden.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Bei Verwendung mehrerer Verbindungen müssen Sie den VPN-Typ „RouteBased“ verwenden (wird bei Verwendung klassischer VNets als dynamisches Gateway bezeichnet).When working with multiple connections, you must use a RouteBased VPN type (known as a dynamic gateway when working with classic VNets). Da jedes virtuelle Netzwerk nur über ein einzelnes VPN-Gateway verfügen kann, wird die verfügbare Bandbreite von allen über das Gateway laufenden Verbindungen gemeinsam genutzt.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth. Diese Art von Verbindung wird häufig als Multi-Site-Verbindung bezeichnet.This type of connection is often called a "multi-site" connection.

Beispiel für Multi-Site-Verbindung per Azure VPN Gateway

Bereitstellungsmodelle und -methoden für Site-to-Site und Multi-SiteDeployment models and methods for Site-to-Site and Multi-Site

Bereitstellungsmodell/MethodeDeployment model/method Azure-PortalAzure portal PowerShellPowerShell Azure-BefehlszeilenschnittstelleAzure CLI
Ressourcen-ManagerResource Manager TutorialTutorial
Tutorial+Tutorial+
TutorialTutorial TutorialTutorial
KlassischClassic Tutorial**Tutorial** Tutorial+Tutorial+ Nicht unterstütztNot Supported

( ** ) gibt an, dass die Methode Schritte enthält, für die PowerShell erforderlich ist.(**) denotes that this method contains steps that require PowerShell.

(+) gibt an, dass dieser Artikel für Multi-Site-Verbindungen geschrieben wurde.(+) denotes that this article is written for multi-site connections.

Point-to-Site-VPNPoint-to-Site VPN

Mit einer P2S-VPN-Gatewayverbindung (Point-to-Site) können Sie von einem einzelnen Clientcomputer aus eine sichere Verbindung mit Ihrem virtuellen Netzwerk herstellen.A Point-to-Site (P2S) VPN gateway connection lets you create a secure connection to your virtual network from an individual client computer. Eine P2S-Verbindung wird hergestellt, indem Sie die Verbindung vom Clientcomputer aus starten.A P2S connection is established by starting it from the client computer. Diese Lösung ist nützlich für Telearbeiter, die an einem Remotestandort (beispielsweise zu Hause oder in einer Konferenz) eine Verbindung mit Azure-VNETs herstellen möchten.This solution is useful for telecommuters who want to connect to Azure VNets from a remote location, such as from home or a conference. Wenn nur einige wenige Clients eine Verbindung mit einem VNET herstellen müssen, ist ein P2S-VPN (und nicht ein S2S-VPN) ebenfalls eine nützliche Lösung.P2S VPN is also a useful solution to use instead of S2S VPN when you have only a few clients that need to connect to a VNet.

Im Gegensatz zu S2S-Verbindungen ist für P2S-Verbindungen keine lokale öffentliche IP-Adresse bzw. kein VPN-Gerät erforderlich.Unlike S2S connections, P2S connections do not require an on-premises public-facing IP address or a VPN device. P2S-Verbindungen können mit S2S-Verbindungen über das gleiche VPN-Gateway verwendet werden – vorausgesetzt, alle Konfigurationsanforderungen beider Verbindungen sind kompatibel.P2S connections can be used with S2S connections through the same VPN gateway, as long as all the configuration requirements for both connections are compatible. Weitere Informationen zu Point-to-Site-Verbindungen finden Sie unter About Point-to-Site VPN (Informationen zu P2S-VPN).For more information about Point-to-Site connections, see About Point-to-Site VPN.

Beispiel für Point-to-Site-Verbindung per Azure VPN Gateway

Bereitstellungsmodelle und -methoden für P2SDeployment models and methods for P2S

Native Azure-ZertifikatauthentifizierungAzure native certificate authentication

Bereitstellungsmodell/MethodeDeployment model/method Azure-PortalAzure portal PowerShellPowerShell
Ressourcen-ManagerResource Manager TutorialTutorial TutorialTutorial
KlassischClassic TutorialTutorial UnterstütztSupported

RADIUS-AuthentifizierungRADIUS authentication

Bereitstellungsmodell/MethodeDeployment model/method Azure-PortalAzure portal PowerShellPowerShell
Ressourcen-ManagerResource Manager UnterstütztSupported TutorialTutorial
KlassischClassic Nicht unterstütztNot Supported Nicht unterstütztNot Supported

VNet-zu-VNet-Verbindungen (IPsec-/IKE-VPN-Tunnel)VNet-to-VNet connections (IPsec/IKE VPN tunnel)

Das Verbinden eines virtuellen Netzwerks mit einem anderen virtuellen Netzwerk (VNet-zu-VNet) ähnelt dem Verbinden eines VNet mit einem lokalen Standort.Connecting a virtual network to another virtual network (VNet-to-VNet) is similar to connecting a VNet to an on-premises site location. Beide Verbindungstypen verwenden ein VPN-Gateway, um einen sicheren Tunnel mit IPsec/IKE bereitzustellen.Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE. Die VNet-zu-VNet-Kommunikation kann sogar mit Multi-Site-Verbindungskonfigurationen kombiniert werden.You can even combine VNet-to-VNet communication with multi-site connection configurations. Auf diese Weise können Sie Netzwerktopologien einrichten, die standortübergreifende Konnektivität mit Konnektivität zwischen virtuellen Netzwerken kombinieren.This lets you establish network topologies that combine cross-premises connectivity with inter-virtual network connectivity.

Die verbundenen VNets können wie folgt angeordnet sein:The VNets you connect can be:

  • In derselben Region oder in verschiedenen Regionenin the same or different regions
  • In demselben Abonnement oder in verschiedenen Abonnementsin the same or different subscriptions
  • In demselben Bereitstellungsmodell oder in verschiedenen Bereitstellungsmodellenin the same or different deployment models

Beispiel für VNet-zu-VNet-Verbindung per Azure VPN Gateway

Verbindungen zwischen BereitstellungsmodellenConnections between deployment models

In Azure sind zurzeit zwei Bereitstellungsmodelle verfügbar: klassisches Modell und Resource Manager-Modell.Azure currently has two deployment models: classic and Resource Manager. Wenn Sie Azure seit einiger Zeit verwenden, verfügen Sie wahrscheinlich über Azure-VMs und Instanzrollen, die in einem klassischen VNet ausgeführt werden.If you have been using Azure for some time, you probably have Azure VMs and instance roles running in a classic VNet. Ihre neueren VMs und Rolleninstanzen werden möglicherweise in einem in Resource Manager erstellten VNet ausgeführt.Your newer VMs and role instances may be running in a VNet created in Resource Manager. Sie können eine Verbindung zwischen den VNets erstellen, damit die Ressourcen in einem VNet direkt mit Ressourcen im anderen VNet kommunizieren können.You can create a connection between the VNets to allow the resources in one VNet to communicate directly with resources in another.

VNet-PeeringVNet peering

Sofern Ihr virtuelles Netzwerk bestimmte Anforderungen erfüllt, können Sie Ihre Verbindung ggf. mithilfe von VNet-Peering erstellen.You may be able to use VNet peering to create your connection, as long as your virtual network meets certain requirements. Beim VNet-Peering wird kein Gateway für das virtuelle Netzwerk verwendet.VNet peering does not use a virtual network gateway. Weitere Informationen finden Sie unter VNet-Peering.For more information, see VNet peering.

Bereitstellungsmodelle und -methoden für VNet-zu-VNetDeployment models and methods for VNet-to-VNet

Bereitstellungsmodell/MethodeDeployment model/method Azure-PortalAzure portal PowerShellPowerShell Azure-BefehlszeilenschnittstelleAzure CLI
KlassischClassic Tutorial*Tutorial* UnterstütztSupported Nicht unterstütztNot Supported
Ressourcen-ManagerResource Manager Tutorial+Tutorial+ TutorialTutorial TutorialTutorial
Verbindungen zwischen verschiedenen BereitstellungsmodellenConnections between different deployment models Tutorial*Tutorial* TutorialTutorial Nicht unterstütztNot Supported

(+) bedeutet, dass diese Bereitstellungsmethode nur für VNets in demselben Abonnement verfügbar ist.(+) denotes this deployment method is available only for VNets in the same subscription.
( * ) gibt an, dass diese Bereitstellungsmethode auch PowerShell erfordert.(*) denotes that this deployment method also requires PowerShell.

ExpressRoute (private Verbindung)ExpressRoute (private connection)

Mit ExpressRoute können Sie Ihre lokalen Netzwerke über eine private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, auf die Microsoft Cloud ausdehnen.ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. Mit ExpressRoute können Sie Verbindungen mit Microsoft-Clouddiensten herstellen, z. B. Microsoft Azure, Office 365 und CRM Online.With ExpressRoute, you can establish connections to Microsoft cloud services, such as Microsoft Azure, Office 365, and CRM Online. Die Konnektivität kann über ein Any-to-Any-Netzwerk (IP VPN), ein Point-to-Point-Ethernet-Netzwerk oder eine virtuelle Querverbindung über einen Konnektivitätsanbieter in einer Co-Location-Einrichtung bereitgestellt werden.Connectivity can be from an any-to-any (IP VPN) network, a point-to-point Ethernet network, or a virtual cross-connection through a connectivity provider at a co-location facility.

ExpressRoute-Verbindungen verlaufen nicht über das öffentliche Internet.ExpressRoute connections do not go over the public Internet. Auf diese Weise können ExpressRoute-Verbindungen eine höhere Sicherheit, größere Zuverlässigkeit und schnellere Geschwindigkeit bei geringerer Latenz als herkömmliche Verbindungen über das Internet bieten.This allows ExpressRoute connections to offer more reliability, faster speeds, lower latencies, and higher security than typical connections over the Internet.

Bei ExpressRoute-Verbindungen ist ein Gateway für virtuelle Netzwerke Teil der erforderlichen Konfiguration.An ExpressRoute connection uses a virtual network gateway as part of its required configuration. Bei einer ExpressRoute-Verbindung wird das Gateway für virtuelle Netzwerke nicht mit dem Gatewaytyp „Vpn“, sondern mit „ExpressRoute“ konfiguriert.In an ExpressRoute connection, the virtual network gateway is configured with the gateway type 'ExpressRoute', rather than 'Vpn'. Datenverkehr, der über eine ExpressRoute-Verbindung übertragen wird, ist standardmäßig nicht verschlüsselt. Es besteht jedoch die Möglichkeit, eine Lösung zu erstellen, die es ermöglicht, verschlüsselten Datenverkehr über eine ExpressRoute-Verbindung zu senden.While traffic that travels over an ExpressRoute circuit is not encrypted by default, it is possible create a solution that allows you to send encrypted traffic over an ExpressRoute circuit. Weitere Informationen über ExpressRoute finden Sie unter ExpressRoute – Technische Übersicht.For more information about ExpressRoute, see the ExpressRoute technical overview.

Parallel bestehende Site-to-Site- und ExpressRoute-VerbindungenSite-to-Site and ExpressRoute coexisting connections

ExpressRoute ist eine direkte, private Verbindung aus Ihrem WAN mit Microsoft Services (einschließlich Azure), die nicht über das öffentliche Internet verläuft.ExpressRoute is a direct, private connection from your WAN (not over the public Internet) to Microsoft Services, including Azure. Site-to-Site-VPN-Datenverkehr wird verschlüsselt über das öffentliche Internet gesendet.Site-to-Site VPN traffic travels encrypted over the public Internet. Die Möglichkeit, Site-to-Site-VPN- und ExpressRoute-Verbindungen für dasselbe virtuelle Netzwerk zu konfigurieren, hat mehrere Vorteile.Being able to configure Site-to-Site VPN and ExpressRoute connections for the same virtual network has several advantages.

Sie können eine Site-to-Site-VPN-Verbindung als sicheren Failoverpfad für ExpressRoute konfigurieren oder für die Verbindung mit Websites nutzen, die nicht Teil Ihres Netzwerks, aber über ExpressRoute verbunden sind.You can configure a Site-to-Site VPN as a secure failover path for ExpressRoute, or use Site-to-Site VPNs to connect to sites that are not part of your network, but that are connected through ExpressRoute. Diese Konfiguration erfordert zwei Gateways für das gleiche virtuelle Netzwerk: eins mit dem Gatewaytyp „Vpn“ und eins mit dem Gatewaytyp „ExpressRoute“.Notice that this configuration requires two virtual network gateways for the same virtual network, one using the gateway type 'Vpn', and the other using the gateway type 'ExpressRoute'.

Beispiel für gleichzeitig bestehende ExpressRoute- und VPN Gateway-Verbindungen

Koexistenz von Bereitstellungsmodellen und -methoden für S2S und ExpressRouteDeployment models and methods for S2S and ExpressRoute coexist

Bereitstellungsmodell/MethodeDeployment model/method Azure-PortalAzure portal PowerShellPowerShell
Ressourcen-ManagerResource Manager UnterstütztSupported TutorialTutorial
KlassischClassic Nicht unterstütztNot Supported TutorialTutorial

PreisePricing

Sie bezahlen für zwei Dinge: die stündlichen Computekosten für das Gateway des virtuellen Netzwerks und die Übertragung der Ausgangsdaten vom Gateway des virtuellen Netzwerks.You pay for two things: the hourly compute costs for the virtual network gateway, and the egress data transfer from the virtual network gateway. Informationen zu den Preisen finden Sie auf der Seite Preise .Pricing information can be found on the Pricing page. Preise für ältere Gateway-SKUs finden Sie auf der ExpressRoute-Preisseite im Abschnitt Gateways für virtuelle Netzwerke.For legacy gateway SKU pricing, see the ExpressRoute pricing page and scroll to the Virtual Network Gateways section.

Computekosten für virtuelles NetzwerkgatewayVirtual network gateway compute costs
Für jedes Gateway des virtuellen Netzwerks fallen stündliche Computekosten an.Each virtual network gateway has an hourly compute cost. Der Preis basiert auf der Gateway-SKU, die Sie beim Erstellen des Gateways des virtuellen Netzwerks angeben.The price is based on the gateway SKU that you specify when you create a virtual network gateway. Die Kosten für das eigentliche Gateway fallen zusätzlich zur Datenübertragung an, die über das Gateway durchgeführt wird.The cost is for the gateway itself and is in addition to the data transfer that flows through the gateway. Die Kosten eines aktiv-aktiven Setups sind gleich wie für aktiv-passiv.Cost of an active-active setup is the same as active-passive.

DatenübertragungskostenData transfer costs
Datenübertragungskosten werden basierend auf ausgehendem Datenverkehr vom Gateway des virtuellen Quellnetzwerks berechnet.Data transfer costs are calculated based on egress traffic from the source virtual network gateway.

  • Wenn Sie Datenverkehr an Ihr lokales VPN-Gerät senden, wird dafür die Internetrate für die Übertragung von Ausgangsdaten berechnet.If you are sending traffic to your on-premises VPN device, it will be charged with the Internet egress data transfer rate.
  • Wenn Sie Datenverkehr zwischen virtuellen Netzwerken in unterschiedlichen Regionen senden, richtet sich der Preis nach der Region.If you are sending traffic between virtual networks in different regions, the pricing is based on the region.
  • Wenn Sie Datenverkehr nur zwischen virtuellen Netzwerken senden, die sich in derselben Region befinden, fallen keine Kosten für die Datenübertragung an.If you are sending traffic only between virtual networks that are in the same region, there are no data costs. Der Datenverkehr zwischen VNets in derselben Region ist kostenlos.Traffic between VNets in the same region is free.

Weitere Informationen zu Gateway-SKUs für VPN Gateway finden Sie unter Gateway-SKUs.For more information about gateway SKUs for VPN Gateway, see Gateway SKUs.

Häufig gestellte FragenFAQ

Häufig gestellte Fragen zu VPN-Gateways finden Sie unter Häufig gestellte Fragen zum VPN-Gateway.For frequently asked questions about VPN gateway, see the VPN Gateway FAQ.

Nächste SchritteNext steps