Hinzufügen einer Standort-zu-Standort-Verbindung mit einem VNet über eine vorhandene VPN-Gatewayverbindung (klassisch)Add a Site-to-Site connection to a VNet with an existing VPN gateway connection (classic)

Hinweis

Dieser Artikel wurde für das klassische Bereitstellungsmodell verfasst.This article is written for the classic deployment model. Falls Sie noch nicht mit Azure vertraut sind, empfiehlt sich stattdessen die Verwendung des Resource Manager-Bereitstellungsmodells.If you're new to Azure, we recommend that you use the Resource Manager deployment model instead. Das Resource Manager-Bereitstellungsmodell ist das neueste Bereitstellungsmodell und bietet mehr Optionen sowie eine bessere Featurekompatibilität als das klassische Bereitstellungsmodell.The Resource Manager deployment model is the most current deployment model and offers more options and feature compatibility than the classic deployment model. Weitere Informationen zu den Bereitstellungsmodellen finden Sie unter Azure Resource Manager-Bereitstellung im Vergleich zur klassischen Bereitstellung: Grundlegendes zu Bereitstellungsmodellen und zum Status von Ressourcen.For more information about the deployment models, see Understanding deployment models.

Wählen Sie zum Anzeigen der Resource Manager-Version dieses Artikels in der Dropdownliste weiter unten oder links im Inhaltsverzeichnis die entsprechende Version aus.For the Resource Manager version of this article, select it from the drop-down list below, or from the table of contents on the left.

In diesem Artikel wird beschrieben, wie Sie mithilfe von PowerShell Site-to-Site-Verbindungen (S2S) zu einem VPN-Gateway hinzufügen, für das bereits eine Verbindung besteht.This article walks you through using PowerShell to add Site-to-Site (S2S) connections to a VPN gateway that has an existing connection. Diese Art der Verbindung wird häufig als Multi-Site-Konfiguration bezeichnet.This type of connection is often referred to as a "multi-site" configuration. Die Schritte in diesem Artikel beziehen sich auf virtuelle Netzwerke, die mithilfe des klassischen Bereitstellungsmodells (auch als Dienstverwaltung bezeichnet) erstellt wurden.The steps in this article apply to virtual networks created using the classic deployment model (also known as Service Management). Diese Schritte gelten nicht für Konfigurationen von parallel bestehenden ExpressRoute- und S2S-Verbindungen.These steps do not apply to ExpressRoute/Site-to-Site coexisting connection configurations.

Bereitstellungsmodelle und -methodenDeployment models and methods

In Azure können derzeit zwei Bereitstellungsmodelle verwendet werden: die Resource Manager-Bereitstellung und die klassische Bereitstellung.Azure currently works with two deployment models: Resource Manager and classic. Die beiden Modelle sind nicht vollständig kompatibel.The two models are not completely compatible with each other. Bevor Sie beginnen, müssen Sie wissen, in welchem Modell Sie arbeiten möchten.Before you begin, you need to know which model that you want to work in. Informationen zu den Bereitstellungsmodellen finden Sie unter Understanding deployment models (Grundlagen von Bereitstellungsmodellen).For information about the deployment models, see Understanding deployment models. Wenn Sie noch nicht mit Azure vertraut sind, wird die Verwendung des Resource Manager-Modells empfohlen.If you are new to Azure, we recommend that you use the Resource Manager deployment model.

Die folgende Tabelle wird aktualisiert, wenn neue Artikel und weitere Tools für diese Konfiguration verfügbar werden.We update this table as new articles and additional tools become available for this configuration. Wenn ein Artikel verfügbar ist, fügen wir in der Tabelle einen direkten Link dazu ein.When an article is available, we link directly to it from this table.

Bereitstellungsmodell/MethodeDeployment model/method Azure portalAzure portal PowerShellPowerShell
Ressourcen-ManagerResource Manager TutorialTutorial UnterstütztSupported
KlassischClassic Nicht unterstütztNot Supported TutorialTutorial

Über das Herstellen einer VerbindungAbout connecting

Sie können mehrere lokale Standorte mit einem einzigen virtuellen Netzwerk verbinden.You can connect multiple on-premises sites to a single virtual network. Dies ist besonders beim Erstellen von Hybrid Cloud-Lösungen interessant.This is especially attractive for building hybrid cloud solutions. Das Erstellen einer Mehrfachstandort- bzw. Multisite-Verbindung mit Ihrem virtuellen Azure-Netzwerkgateway ähnelt sehr dem Erstellen anderer Standort-zu-Standort-Verbindungen.Creating a multi-site connection to your Azure virtual network gateway is similar to creating other Site-to-Site connections. Sie können dafür ein vorhandenes Azure-VPN-Gateway verwenden, sofern das Gateway dynamisch (routenbasiert) ist.In fact, you can use an existing Azure VPN gateway, as long as the gateway is dynamic (route-based).

Wenn bereits ein statisches Gateway mit Ihrem virtuellen Netzwerk verbunden ist, können Sie den Gatewaytyp in „dynamisch“ ändern, um mehrere Standorte einzubinden. Dafür müssen Sie das virtuelle Netzwerk nicht neu erstellen.If you already have a static gateway connected to your virtual network, you can change the gateway type to dynamic without needing to rebuild the virtual network in order to accommodate multi-site. Stellen Sie vor dem Ändern des Routingtyps sicher, dass Ihr lokales VPN-Gateway routenbasierte VPN-Konfigurationen unterstützt.Before changing the routing type, make sure that your on-premises VPN gateway supports route-based VPN configurations.

Multi-Site-Diagrammmulti-site diagram

Zu berücksichtigende PunktePoints to consider

Es ist nicht möglich, Änderungen an diesem virtuellen Netzwerk über das Portal vorzunehmen.You won't be able to use the portal to make changes to this virtual network. Sie müssen die Netzwerkkonfigurationsdatei ändern, anstatt das Portal zu verwenden.You need to make changes to the network configuration file instead of using the portal. Wenn Sie Änderungen im Portal vornehmen, überschreiben diese Ihre Multisite-Verweiseinstellungen für dieses virtuelle Netzwerk.If you make changes in the portal, they'll overwrite your multi-site reference settings for this virtual network.

Sie werden sich während der Einrichtung der Multisite-Verbindung schnell mit der Verwendung der Netzwerkkonfigurationsdatei vertraut machen.You should feel comfortable using the network configuration file by the time you've completed the multi-site procedure. Wenn jedoch mehrere Personen an Ihrer Netzwerkkonfiguration arbeiten, müssen Sie sicherstellen, dass jeder über diese Einschränkung informiert ist.However, if you have multiple people working on your network configuration, you'll need to make sure that everyone knows about this limitation. Dies bedeutet nicht, dass Sie das Portal überhaupt nicht verwenden können.This doesn't mean that you can't use the portal at all. Sie können es für alle anderen Aufgaben verwenden, nur nicht zum Ändern der Konfiguration dieses speziellen virtuellen Netzwerks.You can use it for everything else, except making configuration changes to this particular virtual network.

VoraussetzungenBefore you begin

Vergewissern Sie sich vor Beginn der Konfiguration, dass Sie über Folgendes verfügen:Before you begin configuration, verify that you have the following:

  • Kompatible VPN-Hardware für jeden lokalen Standort.Compatible VPN hardware for each on-premises location. Lesen Sie unter Informationen zu VPN-Geräten und Gateways für virtuelle Netzwerkverbindungen nach, ob das Gerät, das Sie verwenden möchten, bekanntermaßen kompatibel ist.Check About VPN Devices for Virtual Network Connectivity to verify if the device that you want to use is something that is known to be compatible.
  • Eine externe öffentliche IPv4-Adresse für jedes VPN-Gerät.An externally facing public IPv4 IP address for each VPN device. Die IP-Adresse darf sich nicht hinter einer NAT befinden.The IP address cannot be located behind a NAT. Dies ist eine VoraussetzungThis is requirement.
  • Eine Person, die sich mit der Konfiguration Ihrer VPN-Hardware auskennt.Someone who is proficient at configuring your VPN hardware. Sie müssen über profunde Kenntnisse der Konfiguration des VPN-Geräts verfügen oder jemanden mit entsprechenden Fachkenntnissen hinzuziehen.You'll have to have a strong understanding of how to configure your VPN device, or work with someone who does.
  • Die IP-Adressbereiche, die Sie für Ihr virtuelles Netzwerk verwenden möchten (sofern Sie sie noch nicht erstellt haben).The IP address ranges that you want to use for your virtual network (if you haven't already created one).
  • Die IP-Adressbereiche für alle lokalen Netzwerkstandorte, mit denen Sie eine Verbindung herstellen.The IP address ranges for each of the local network sites that you'll be connecting to. Sie müssen sicherstellen, dass sich die IP-Adressbereiche der lokalen Netzwerkstandorte nicht überlappen.You'll need to make sure that the IP address ranges for each of the local network sites that you want to connect to do not overlap. Andernfalls wird das Hochladen der Konfiguration vom Portal oder der REST-API abgelehnt.Otherwise, the portal or the REST API will reject the configuration being uploaded.
    Wenn Sie z. B. zwei lokale Netzwerkstandorte haben, die beide den IP-Adressbereich 10.2.3.0/24 enthalten, und ein Paket die Zieladresse 10.2.3.3 aufweist, würde Azure nicht wissen, an welchen Standort Sie das Paket senden möchten, weil sich die Adressbereiche überlappen.For example, if you have two local network sites that both contain the IP address range 10.2.3.0/24 and you have a package with a destination address 10.2.3.3, Azure wouldn't know which site you want to send the package to because the address ranges are overlapping. Zur Vermeidung von Routingproblemen lässt Azure das Hochladen von Konfigurationsdateien mit überlappenden Bereichen nicht zu.To prevent routing issues, Azure doesn't allow you to upload a configuration file that has overlapping ranges.

Arbeiten mit Azure PowerShellWorking with Azure PowerShell

Wenn Sie mit dem klassischen Bereitstellungsmodell arbeiten, können Sie Azure Cloud Shell nicht verwenden.When working with the classic deployment model, you can't use Azure Cloud Shell. Stattdessen müssen Sie die aktuelle Version der PowerShell-Cmdlets der Azure-Dienstverwaltung (Service Management, SM) lokal auf Ihrem Computer installieren.Instead, you must install the latest version of the Azure Service Management (SM) PowerShell cmdlets locally on your computer. Diese Cmdlets unterscheiden sich von den AzureRM- oder AZ-Cmdlets.These cmdlets are different from the AzureRM or Az cmdlets. Informationen zum Installieren der SM-Cmdlets finden Sie unter Installieren von Cmdlets der Dienstverwaltung.To install the SM cmdlets, see Install Service Management cmdlets. Weitere allgemeine Informationen zu Azure PowerShell finden Sie in der Azure PowerShell-Dokumentation.For more information about Azure PowerShell in general, see the Azure PowerShell documentation.

1. Erstellen eines Standort-zu-Standort-VPN1. Create a Site-to-Site VPN

Sie verfügen bereits über ein Standort-zu-Standort-VPN mit einem Gateway mit dynamischem Routing.If you already have a Site-to-Site VPN with a dynamic routing gateway, great! In diesem Fall können Sie direkt mit dem Exportieren der Konfigurationseinstellungen für das virtuelle Netzwerkfortfahren.You can proceed to Export the virtual network configuration settings. Andernfalls führen Sie die folgenden Schritte aus:If not, do the following:

Wenn Sie bereits über ein virtuelles Standort-zu-Standort-Netzwerk verfügen, für dieses aber ein Gateway mit statischem (richtlinienbasiertem) Routing konfiguriert ist, gehen Sie wie folgt vor:If you already have a Site-to-Site virtual network, but it has a static (policy-based) routing gateway:

  1. Ändern Sie den Gatewaytyp in dynamisches Routing.Change your gateway type to dynamic routing. Für ein VPN mit mehreren Standorten ist ein Gateway mit dynamischem Routing (auch als „routenbasiert“ bezeichnet) erforderlich.A multi-site VPN requires a dynamic (also known as route-based) routing gateway. Um den Gatewaytyp zu ändern, müssen Sie zuerst das vorhandene Gateway löschen und dann ein neues erstellen.To change your gateway type, you'll need to first delete the existing gateway, then create a new one.
  2. Konfigurieren Sie das neue Gateway, und erstellen Sie den VPN-Tunnel.Configure your new gateway and create your VPN tunnel. Eine Anleitung finden Sie im Abschnitt Angeben der SKU und des VPN-Typs.For instructions, For instructions, see Specify the SKU and VPN type. Achten Sie darauf, als Routingtyp „Dynamisch“ anzugeben.Make sure you specify the Routing Type as 'Dynamic'.

Wenn Sie nicht über ein virtuelles Standort-zu-Standort-Netzwerk verfügen, gehen Sie wie folgt vor:If you don't have a Site-to-Site virtual network:

  1. Erstellen Sie Ihr virtuelles Site-to-Site-Netzwerk mithilfe der folgenden Anleitung: Erstellen eines virtuellen Netzwerks mit einer Site-to-Site-VPN-Verbindung.Create your Site-to-Site virtual network using these instructions: Create a Virtual Network with a Site-to-Site VPN Connection.
  2. Konfigurieren Sie mithilfe der folgenden Anleitung ein Gateway mit dynamischem Routing: Konfigurieren eines VPN-Gateways.Configure a dynamic routing gateway using these instructions: Configure a VPN Gateway. Denken Sie daran, dynamisches Routing als Gatewaytyp auszuwählen.Be sure to select dynamic routing for your gateway type.

2. Exportieren der Netzwerkkonfigurationsdatei2. Export the network configuration file

Öffnen Sie die PowerShell-Konsole mit erhöhten Rechten.Open your PowerShell console with elevated rights. Verwenden Sie den folgenden Befehl, um zur Dienstverwaltung zu wechseln:To switch to service management, use this command:

azure config mode asm

Stellen Sie eine Verbindung mit Ihrem Konto her.Connect to your account. Verwenden Sie das folgende Beispiel, um eine Verbindung herzustellen:Use the following example to help you connect:

Add-AzureAccount

Exportieren Sie Ihre Azure-Netzwerkkonfigurationsdatei, indem Sie den folgenden Befehl ausführen.Export your Azure network configuration file by running the following command. Sie können den Speicherort der zu exportierenden Datei bei Bedarf ändern.You can change the location of the file to export to a different location if necessary.

Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

3. Öffnen der Netzwerkkonfigurationsdatei3. Open the network configuration file

Öffnen Sie die Netzwerkkonfigurationsdatei, die Sie im letzten Schritt heruntergeladen haben.Open the network configuration file that you downloaded in the last step. Verwenden Sie dazu einen beliebigen XML-Editor.Use any xml editor that you like. Die Datei sollte in etwa wie folgt aussehen:The file should look similar to the following:

<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
  <VirtualNetworkConfiguration>
    <LocalNetworkSites>
      <LocalNetworkSite name="Site1">
        <AddressSpace>
          <AddressPrefix>10.0.0.0/16</AddressPrefix>
          <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
      </LocalNetworkSite>
      <LocalNetworkSite name="Site2">
        <AddressSpace>
          <AddressPrefix>10.2.0.0/16</AddressPrefix>
          <AddressPrefix>10.3.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
      </LocalNetworkSite>
    </LocalNetworkSites>
    <VirtualNetworkSites>
      <VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
        <AddressSpace>
          <AddressPrefix>10.20.0.0/16</AddressPrefix>
          <AddressPrefix>10.21.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="FE">
            <AddressPrefix>10.20.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="BE">
            <AddressPrefix>10.20.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.20.2.0/29</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="Site1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
          </ConnectionsToLocalNetwork>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSites>
  </VirtualNetworkConfiguration>
</NetworkConfiguration>

4. Hinzufügen von mehreren Standortverweisen4. Add multiple site references

Beim Hinzufügen oder Entfernen der Informationen für Standortverweise nehmen Sie Konfigurationsänderungen an „ConnectionsToLocalNetwork/LocalNetworkSiteRef“ vor.When you add or remove site reference information, you'll make configuration changes to the ConnectionsToLocalNetwork/LocalNetworkSiteRef. Wenn Sie einen neuen Verweis für einen lokalen Standort hinzufügen, erstellt Azure einen neuen Tunnel.Adding a new local site reference triggers Azure to create a new tunnel. Das folgende Beispiel zeigt die Netzwerkkonfiguration für eine Einzelstandortverbindung.In the example below, the network configuration is for a single-site connection. Speichern Sie die Datei, wenn Sie alle Änderungen vorgenommen haben.Save the file once you have finished making your changes.

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

Zum Hinzufügen zusätzlicher Standortverweise (Erstellen einer Konfiguration mit mehreren Standorten) fügen Sie, wie im folgenden Beispiel gezeigt, einfach weitere Zeilen des Typs „LocalNetworkSiteRef“ hinzu:To add additional site references (create a multi-site configuration), simply add additional "LocalNetworkSiteRef" lines, as shown in the example below:

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
      <LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

5. Importieren der Netzwerkkonfigurationsdatei5. Import the network configuration file

Importieren Sie die Netzwerkkonfigurationsdatei.Import the network configuration file. Wenn Sie diese Datei mit den Änderungen importieren, werden die neuen Tunnel hinzugefügt.When you import this file with the changes, the new tunnels will be added. Die Tunnel verwenden das dynamische Gateway, das Sie zuvor erstellt haben.The tunnels will use the dynamic gateway that you created earlier. Sie können PowerShell verwenden, um die Datei zu importieren.You can use PowerShell to import the file.

6. Herunterladen der Schlüssel6. Download keys

Nachdem die neuen Tunnel hinzugefügt wurden, rufen Sie mit dem PowerShell-Cmdlet „Get-AzureVNetGatewayKey“ die vorinstallierten IPsec-/IKE-Schlüssel für jeden Tunnel ab.Once your new tunnels have been added, use the PowerShell cmdlet 'Get-AzureVNetGatewayKey' to get the IPsec/IKE pre-shared keys for each tunnel.

Beispiel:For example:

Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"

Sie können auch die REST-API Get Virtual Network Gateway Shared Key zum Abrufen der vorinstallierten Schlüssel verwenden.If you prefer, you can also use the Get Virtual Network Gateway Shared Key REST API to get the pre-shared keys.

7. Überprüfen der Verbindungen7. Verify your connections

Überprüfen Sie den Multisite-Tunnelstatus.Check the multi-site tunnel status. Nachdem Sie die Schlüssel für jeden Tunnel heruntergeladen haben, sollten Sie die Verbindungen überprüfen.After downloading the keys for each tunnel, you'll want to verify connections. Verwenden Sie wie im folgenden Beispiel gezeigt „Get-AzureVnetConnection“, um eine Liste der virtuellen Netzwerktunnel abzurufen.Use 'Get-AzureVnetConnection' to get a list of virtual network tunnels, as shown in the example below. „VNet1“ ist der Name des VNets.VNet1 is the name of the VNet.

Get-AzureVnetConnection -VNetName VNET1

Beispielrückgabe:Example return:

    ConnectivityState         : Connected
    EgressBytesTransferred    : 661530
    IngressBytesTransferred   : 519207
    LastConnectionEstablished : 5/2/2014 2:51:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site1
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

    ConnectivityState         : Connected
    EgressBytesTransferred    : 789398
    IngressBytesTransferred   : 143908
    LastConnectionEstablished : 5/2/2014 3:20:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site2
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7893b329-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

Nächste SchritteNext steps

Weitere Informationen zu VPN-Gateways finden Sie unter Informationen zu VPN-Gateways.To learn more about VPN Gateways, see About VPN Gateways.