VPN Gateway – gyakori kérdések

Csatlakozás virtuális hálózatokhoz

Összekapcsolhatok eltérő Azure-régiókban található virtuális hálózatokat?

Igen. Nincs régiókorlátozás. A virtuális hálózatok összekapcsolhatók az azonos régióban vagy más Azure-régiókban található virtuális hálózatokkal is.

Összekapcsolhatok egymással különböző előfizetésekben található virtuális hálózatokat?

Igen.

Megadhatok privát DNS-kiszolgálókat a virtuális hálózatomban VPN-átjáró konfigurálásakor?

Ha a virtuális hálózat létrehozásakor DNS-kiszolgálót vagy -kiszolgálókat adott meg, VPN Gateway a megadott DNS-kiszolgálókat fogja használni. Ha DNS-kiszolgálót ad meg, ellenőrizze, hogy a DNS-kiszolgáló fel tudja-e oldani az Azure-hoz szükséges tartományneveket.

Csatlakozhatok több helyhez egyetlen virtuális hálózatból?

A Windows PowerShell és az Azure REST API-k használatával kapcsolódhat több helyhez is. Lásd a gyakori kérdések Többhelyes és virtuális hálózatok közötti kapcsolatok című szakaszát.

További költségek merülnek fel a VPN-átjárók aktív-aktívként való beállításakor?

Nem.

Mik a lehetőségeim létesítmények közötti kapcsolat esetén?

A következő létesítmények közötti virtuális hálózati átjárókapcsolatok támogatottak:

  • Helyek közötti: VPN-kapcsolat IPsec-en keresztül (IKE v1 és IKE v2). Ehhez a kapcsolattípushoz VPN-eszköz vagy RRAS szükséges. További információ: Helyek közötti kapcsolat.
  • Pont–hely kapcsolat: VPN-kapcsolat SSTP -n (Secure Socket Tunneling Protocol) vagy IKE v2-n keresztül. Ehhez a kapcsolattípushoz nem szükséges VPN-eszköz. További információ: Pont–hely kapcsolat.
  • Virtuális hálózatok közötti kapcsolat: Ez a kapcsolattípus megegyezik a helyek közötti konfigurációval. A virtuális hálózatok közötti kapcsolat egy IPsec-et (IKE v1 és IKE v2) használó VPN-kapcsolat, nem szükséges hozzá VPN-eszköz. További információ: Virtuális hálózatok közötti kapcsolat.
  • Többhelyes: Ez a helyek közötti konfiguráció egy változata, amellyel több helyszíni helyet csatlakoztathat egy virtuális hálózathoz. További információ: Többhelyes kapcsolat.
  • ExpressRoute: Az ExpressRoute privát kapcsolat az Azure-hoz a WAN-ból, nem vpn-kapcsolat a nyilvános interneten keresztül. További információk: ExpressRoute Technical Overview (Az ExpressRoute műszaki áttekintése) és ExpressRoute FAQ (ExpressRoute – gyakori kérdések).

A VPN Gateway kapcsolatokról további információt a VPN Gateway névjegye című témakörben talál.

Mi a különbség a helyek közötti és a pont–hely kapcsolatok között?

A helyek közötti (IPsec/IKE VPN-alagút) konfigurációk az Ön telephelye és az Azure között vannak. Ez azt jelenti, hogy a helyszínen található számítógépek bármelyikéről csatlakozhat a virtuális hálózaton belüli virtuális gépek vagy szerepkörpéldányok bármelyikéhez az útválasztás és az engedélyek konfigurációjától függően. Kiváló lehetőség a mindig elérhető létesítmények közötti kapcsolatokhoz, és kiválóan alkalmas hibrid konfigurációkhoz. Ez a kapcsolattípus IPsec VPN-készüléket használ (hardvereszközt vagy szoftverkészüléket), amelyet a hálózat szélén kell üzembe helyezni. Ilyen típusú kapcsolat létrehozásához külső IPv4-címmel kell rendelkeznie.

A pont–hely (SSTP-alapú VPN) konfigurációkkal csatlakozhat egy tetszőleges helyen található számítógépről a virtuális hálózata összes eleméhez. Ez a típus a Windows beépített VPN-ügyfelét használja. A pont–hely konfiguráció részeként telepíteni kell egy tanúsítványt és egy VPN-ügyfélkonfigurációs csomagot, amelyben azok a beállítások találhatók, amelyeket a számítógépe használ a virtuális hálózatban található virtuális gépekhez vagy szerepkörpéldányokhoz való csatlakozáshoz. Ez ideális megoldás, ha csatlakozni szeretne egy virtuális hálózathoz, de nem a helyszínen tartózkodik, valamint akkor is jól használható, ha nincs hozzáférése VPN-hardverhez vagy kifelé irányuló IPv4-címhez, amelyek a helyek közötti kapcsolatok kialakításához szükségesek.

A virtuális hálózatát konfigurálhatja úgy, hogy helyek közötti és pont–hely kapcsolatokat használjon egyidejűleg – ha a helyek közötti kapcsolatot útvonalalapú VPN-típussal hozza létre az átjáróhoz. Az útvonalalapú VPN-típusok korábbi megnevezése dinamikus átjáró volt a klasszikus üzemi modellben.

Adatvédelem

A VPN-szolgáltatás tárolja vagy dolgozza fel az ügyféladatokat?

Nem.

Virtuális hálózati átjárók

A VPN Gateway virtuális hálózati átjáró?

A VPN Gateway a virtuális hálózati átjárók egy típusa. A VPN Gateway titkosított adatforgalmat továbbít nyilvános kapcsolaton keresztül a virtuális hálózat és az Ön telephelye között. VPN Gateway használatával a virtuális hálózatok között is továbbíthat adatforgalmat. VPN Gateway létrehozásakor a „Vpn” -GatewayType értéket használja. További információ: Információk a VPN Gateway konfigurációs beállításairól.

Mik azok a házirendalapú (statikus útválasztású) átjárók?

A házirendalapú átjárók házirendalapú VPN-kapcsolatokat valósítanak meg. A házirendalapú VPN-ek a helyszíni hálózat és az Azure VNet közötti címelőtag-kombinációk alapján titkosítják és irányítják a csomagokat az IPsec-alagutakon keresztül. A házirend (vagy forgalomválasztó) általában egy hozzáférési listaként van megadva a VPN-konfigurációban.

Mik azok az útvonalalapú (dinamikus útválasztású) átjárók?

Az útvonalalapú átjárók útvonalalapú VPN-kapcsolatokat valósítanak meg. Az útvonalalapú VPN-ek „útvonalakat” használnak az IP-továbbítási vagy útvonalválasztási táblán, hogy a csomagokat a megfelelő alagútkapcsolatokhoz irányítsák. Az alagútkapcsolatok ezután titkosítják vagy visszafejtik az alagutakba bemenő vagy onnan kijövő csomagokat. Az útvonalalapú VPN-ek házirend- vagy forgalomválasztói any-to-any (vagy helyettesítő) karakterként vannak konfigurálva.

Megadhatok saját szabályzatalapú forgalomválasztókat?

Igen, a forgalomválasztók a kapcsolatok trafficSelectorPolicies attribútumával határozhatók meg a New-AzIpsecTrafficSelectorPolicy PowerShell-paranccsal. Ahhoz, hogy a megadott forgalomválasztó érvénybe lépjen, győződjön meg arról, hogy a Szabályzatalapú forgalomválasztók használata beállítás engedélyezve van.

Az egyénileg konfigurált forgalomválasztók csak akkor lesznek javasolva, ha egy Azure VPN-átjáró kezdeményezi a kapcsolatot. A VPN-átjáró fogadja a távoli átjáró (helyszíni VPN-eszköz) által javasolt forgalomválasztókat. Ez a viselkedés konzisztens az összes kapcsolati mód között (Default, InitiatorOnly és ResponderOnly).

Frissíthetem a szabályzatalapú VPN-átjárómat útvonalalapúra?

Nem. Az átjáró típusa nem módosítható szabályzatalapúról útvonalalapúra vagy útvonalalapúról szabályzatalapúra. Az átjáró típusának módosításához az átjárót törölni kell, majd újra létre kell hozni. Ez a folyamat körülbelül 60 percet vesz igénybe. Az új átjáró létrehozásakor nem őrizheti meg az eredeti átjáró IP-címét.

  1. Törölje az átjáróhoz társított kapcsolatokat.

  2. Törölje az átjárót az alábbi cikkek egyikével:

  3. Hozzon létre egy új átjárót a kívánt átjárótípussal, majd végezze el a VPN beállítását. A lépéseket a helyek közötti oktatóanyagban találja.

Szükségem van GatewaySubnetre?

Igen. Az átjáróalhálózat tartalmazza a virtuális hálózati átjáró-szolgáltatások által használt IP-címeket. A virtuális hálózati átjáró konfigurálásához létre kell hozni egy átjáróalhálózatot a virtuális hálózathoz. A megfelelő működéshez az összes átjáró-alhálózatnak a „GatewaySubnet” névvel kell rendelkeznie. Ne nevezze el másként az átjáróalhálózatát, és ne helyezzen üzembe rajta virtuális gépeket vagy más eszközt.

Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat. Az átjáróalhálózatban lévő IP-címeket az átjárószolgáltatás számára foglalja le a rendszer. Egyes konfigurációk a többinél nagyobb számú IP-cím kiosztását követelik meg az átjárószolgáltatásokhoz. Győződjön meg arról, hogy az átjáróalhálózat elég IP-címet tartalmaz a későbbi növekedéshez és az esetleges új kapcsolatkonfigurációk kialakításához. Tehát, míg egyes konfigurációkhoz létrehozhat kicsi, akár /29-es méretű átjáróalhálózatot is, ajánlott /27-est vagy nagyobbat létrehozni (/27, /26, /25 stb.). Vizsgálja meg a létrehozni kívánt konfiguráció követelményeit és ellenőrizze, hogy az átjáró-alhálózat megfelel-e ezeknek a követelményeknek.

Telepíthetek virtuális gépeket vagy szerepkörpéldányokat az átjáróalhálózatomra?

Nem.

Megszerezhetem a VPN-átjáróm IP-címét, mielőtt létrehozom az átjárót?

A zónaredundáns és zónaszintű átjárók (átjáró-termékváltozatok, amelyek nevében az AZ szerepel) egyaránt egy Standard termékváltozatú Azure nyilvános IP-erőforrásra támaszkodnak. Az Azure Standard termékváltozat nyilvános IP-erőforrásainak statikus lefoglalási módszert kell használniuk. Ezért a VPN-átjáró nyilvános IP-címével fog rendelkezni, amint létrehozza a standard termékváltozatú nyilvános IP-erőforrást, amelyet használni szeretne.

Nem zónaredundáns és nem zónaszintű átjárók (olyan átjáró-termékváltozatok esetében, amelyek nevében az AZnem szerepel) nem szerezheti be a VPN-átjáró IP-címét a létrehozása előtt. Az IP-cím csak akkor változik, ha törli és újra létrehozza a VPN-átjárót.

Kérhetek statikus nyilvános IP-címet a VPN-átjáróm számára?

A zónaredundáns és zónaszintű átjárók (átjáró-termékváltozatok, amelyek nevében az AZ szerepel) egyaránt egy Standard termékváltozatú Azure nyilvános IP-erőforrásra támaszkodnak. Az Azure Standard termékváltozat nyilvános IP-erőforrásainak statikus lefoglalási módszert kell használniuk.

Nem zónaredundáns és nem zónaszintű átjárók (olyan átjáró-termékváltozatok esetében, amelyek nevében nem szerepel az AZ ) csak a dinamikus IP-cím-hozzárendelés támogatott. Ez azonban nem jelenti azt, hogy az IP-cím megváltozik, miután hozzárendelték a VPN-átjáróhoz. A VPN-átjáró IP-címe csak akkor változik, ha az átjárót törlik, majd újra létrehozták. A VPN-átjáró nyilvános IP-címe nem változik, amikor átméretezi, alaphelyzetbe állítja vagy elvégzi a VPN-átjáró egyéb belső karbantartását és frissítését.

Hogyan történik a VPN-alagút hitelesítése?

Az Azure VPN PSK (előmegosztott kulcsos) hitelesítést használ. A VPN-alagút létrehozásakor létrehozunk egy előmegosztott kulcsot (PSK) is. Az automatikusan létrehozott PSK-t az előre megosztott kulcs beállítása PowerShell-parancsmaggal vagy a REST API-val módosíthatja.

Használhatom-e az Előmegosztott kulcs beállítása API-t a házirendalapú (statikus útválasztású) átjárói VPN konfigurálásához?

Igen, az Előmegosztott kulcs beállítása API és PowerShell-parancsmag használható az Azure házirendalapú (statikus) VPN-ek és útvonalalapú (dinamikus) VPN-ek konfigurálásához is.

Használhatok más hitelesítési módszert?

Hitelesítésként csak az előmegosztott kulcsok (PSK-k) használhatók.

Hogyan határozhatom meg, milyen adatforgalom haladjon át a VPN-átjárón?

Resource Manager-alapú üzemi modell

  • PowerShell esetén: Használja az „AddressPrefix” parancsot a helyi hálózati átjáró forgalmának meghatározásához.
  • Azure Portal: navigáljon a helyi hálózati átjáróhoz > Konfigurációs > címtér.

Klasszikus üzemi modell

  • Azure Portal: navigáljon a klasszikus virtuális hálózathoz > VPN-kapcsolatok > helyek közötti VPN-kapcsolatok > Helyi hely neve > Helyi hely > ügyfélcímtere.

Használhatom a NAT-T-t a VPN-kapcsolataimon?

Igen, a NAT-bejárás (NAT-T) támogatott. Az Azure VPN Gateway NEM hajt végre NAT-szerű funkciókat az IPsec-alagutakba vagy onnan érkező belső csomagokon. Ebben a konfigurációban győződjön meg arról, hogy a helyszíni eszköz kezdeményezi az IPSec-alagutat.

Üzembe helyezhetem a saját VPN-kiszolgálómat az Azure-ban, és csatlakozhatok vele a helyszíni hálózatomhoz?

Igen, az Azure-ban üzembe helyezheti saját VPN-átjáróit vagy -kiszolgálóit az Azure Piactérről, vagy saját VPN-útválasztók létrehozásával. Felhasználó által megadott útvonalakat kell konfigurálnia a virtuális hálózatban, hogy a forgalom megfelelően legyen irányítva a helyszíni hálózatok és a virtuális hálózati alhálózatok között.

Miért vannak megnyitva bizonyos portok a virtuális hálózati átjárómon?

Ezek szükségesek az Azure-infrastruktúra kommunikációjához. A portokat Azure-tanúsítványok védik (zárják le). A megfelelő tanúsítványok nélkül a külső entitások – például az átjárók ügyfelei – nem gyakorolhatnak semmilyen hatást a végpontokra.

A virtuális hálózati átjáró alapvetően egy több-otthonos eszköz, amelynek egy hálózati adaptere az ügyfél magánhálózatára koppint, és egy hálózati adapter a nyilvános hálózat felé. Az Azure-infrastruktúra entitásai megfelelőségi okokból nem csatlakozhatnak az ügyfelek magánhálózataihoz, így az infrastruktúra-kommunikációhoz nyilvános végpontokat kell használniuk. A nyilvános végpontokat az Azure biztonsági naplózás rendszeresen ellenőrzi.

További információk az átjárótípusokról, a követelményekről és az adatátviteli sebességről

További információ: Információk a VPN Gateway konfigurációs beállításairól.

Helyek közötti kapcsolatok és VPN-eszközök

Mit érdemes figyelembe venni a VPN-eszköz kiválasztásakor?

Eszközszállítói partnereinkkel különböző standard helyek közötti VPN-eszközöket ellenőriztünk. A kompatibilis VPN-eszközök, a hozzájuk tartozó konfigurációs útmutatók vagy minták, valamint az eszközökre vonatkozó műszaki adatok listája a Tudnivalók a VPN-eszközökről című cikkben található. A listán kompatibilisként szereplő eszközcsaládokba tartozó összes eszköz működik a virtuális hálózatokkal. A VPN-eszköz konfigurálásához tekintse meg az eszközkonfigurációs mintát, vagy kövesse a megfelelő eszközcsaládhoz tartozó hivatkozást.

Hol találom a VPN-eszközök konfigurációs beállításait?

VPN-eszközök konfigurációs szkriptjeinek letöltése:

A meglévő VPN-eszköztől függően lehet, hogy letölthet egy VPN-eszközhöz kapcsolódó konfigurációs szkriptet. További információ: VPN-eszközök konfigurációs szkriptjeinek letöltése.

További konfigurációs információért lásd az alábbi hivatkozásokat:

Hogyan szerkeszthetem a VPN-eszközök konfigurációs mintáit?

Az eszközök konfigurációs mintáinak szerkesztésével kapcsolatos információkért tekintse meg a minták szerkesztésével kapcsolatos részt.

Hol találom az IPsec/IKE-paramétereket?

Az IPsec/IKE-paraméterekkel kapcsolatos információkért tekintse meg a paraméterekkel kapcsolatos részt.

Miért áll le a házirendalapú VPN-alagutam, amikor nincs adatforgalom?

Ez normális működés házirendalapú (más néven statikus útválasztású) VPN-átjárók esetében. Ha az alagúton átmenő adatforgalom több mint 5 percig inaktív, a rendszer megszakítja az alagutat, Amikor az adatforgalom megindul bármelyik irányba, az alagút azonnal újra létrejön.

Csatlakozhatok az Azure-hoz szoftveres VPN-nel?

A helyek közötti létesítmények közötti konfigurációkhoz támogatottak a Windows Server 2012 útválasztási és távelérési (RRAS) kiszolgálók is.

Az egyéb szoftveres VPN-megoldások szintén működhetnek, ha megfelelnek az iparági szabványos IPsec-megvalósításoknak. A konfigurációs és támogatási útmutatáshoz vegye fel a kapcsolatot a szoftver szállítójával.

Csatlakozhatok VPN-átjáróhoz pont–hely kapcsolaton keresztül, ha aktív helyek közötti kapcsolattal rendelkező helyen található?

Igen, de a pont–hely ügyfél nyilvános IP-címének meg kell különböznie a helyek közötti VPN-eszköz által használt nyilvános IP-cím(ek)étől, különben a pont–hely kapcsolat nem fog működni. Az IKEv2-vel nem indíthatók pont–hely kapcsolatok ugyanazon nyilvános IP-cím(ek)ről, ahol a helyek közötti VPN-kapcsolat ugyanazon az Azure VPN-átjárón van konfigurálva.

Pont–hely kapcsolat – Tanúsítványalapú hitelesítés

Ez a szakasz a Resource Manager-alapú üzemi modellre vonatkozik.

Hány VPN-ügyfélvégpont lehet a pont–hely konfigurációban?

Ez az átjáró termékváltozatától függ. A támogatott kapcsolatok számával kapcsolatos további információkért lásd az átjáró termékváltozatait.

Milyen ügyfél operációs rendszereket használhatok pont–hely kapcsolatokhoz?

A következő ügyféloldali operációs rendszerek támogatottak:

  • Windows Server 2008 R2 (csak 64 bites)
  • Windows 8.1 (32 bites és 64 bites)
  • Windows Server 2012 (csak 64 bites)
  • Windows Server 2012 R2 (csak 64 bites)
  • Windows Server 2016 (csak 64 bites)
  • Windows Server 2019 (csak 64 bites)
  • Windows Server 2022 (csak 64 bites)
  • Windows 10
  • Windows 11
  • macOS 10.11-es vagy újabb verzió
  • Linux (StrongSwan)
  • iOS

Megjegyzés

2018. július 1-től az Azure VPN Gatewayből el lett távolítva a TLS 1.0 és 1.1 támogatása. Ettől kezdve az Azure VPN Gateway csak a TLS 1.2-es verzióját támogatja. A támogatás fenntartásához tekintse meg a TLS1.2 támogatásának engedélyezéséhez szükséges frissítéseket.

Emellett a következő örökölt algoritmusok is elavultak lesznek a TLS-hez 2018. július 1-jén:

  • RC4 (Rivest Cipher 4)
  • DES (adattitkosítási algoritmus)
  • 3DES (háromszoros adattitkosítási algoritmus)
  • MD5 (Message Digest 5)

Hogyan engedélyezi a TLS 1.2 támogatását a Windows 8.1-ben?

  1. Nyisson meg egy rendszergazdai jogosultságokkal rendelkező parancssort. Ehhez kattintson a jobb gombbal a parancssorra , és válassza a Futtatás rendszergazdaként parancsot.

  2. Futtassa az alábbi parancsokat a parancssorban:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Telepítse a következő frissítéseket:

  4. Indítsa újra a számítógépet.

  5. Csatlakozás a VPN-hez.

Megjegyzés

Ha a Windows 10 (10240) régebbi verzióját futtatja, be kell állítania a fenti beállításkulcsot.

Lehetővé teszi-e a pont–hely kapcsolat a proxykon és tűzfalakon való áthaladást?

Az Azure háromféle pont–hely TÍPUSÚ VPN-lehetőséget támogat:

  • Secure Socket Tunneling Protocol (SSTP). Az SSTP egy Microsoft által védett SSL-alapú megoldás, amely áthatolhat a tűzfalakon, mivel a legtöbb tűzfal megnyitja a 443 SSL által használt kimenő TCP-portot.

  • Openvpn. Az OpenVPN egy SSL-alapú megoldás, amely áthatolhat a tűzfalakon, mivel a legtöbb tűzfal megnyitja a 443 SSL által használt kimenő TCP-portot.

  • IKEv2 VPN. Az IKEv2 VPN egy szabványalapú IPsec VPN-megoldás, amely az 500-s és a 4500-s kimenő UDP-portot és az 50-ös IP-protokollt használja. A tűzfalak ezeket a portokat nem mindig nyitják meg, ezért elképzelhető, hogy az IKEv2 VPN nem képes átjutni egyes proxykon és tűzfalakon.

Ha újraindítok egy pont–hely kapcsolat használatára konfigurált ügyfélszámítógépet, a VPN automatikusan újracsatlakozik?

Az automatikus újracsatlakozás a használt ügyfél függvénye. Windows támogatja az automatikus újracsatlakozást az Always On VPN-ügyfél funkció konfigurálásával.

Támogatja a pont–hely kapcsolat a DDNS-t a VPN-ügyfeleken?

A pont–hely VPN-ek jelenleg nem támogatják a DDNS-t.

Lehetnek-e helyek közötti és pont–hely konfigurációk egyidejűleg egy virtuális hálózaton?

Igen. A Resource Manager-alapú üzemi modell esetén az átjáróhoz RouteBased (útvonalalapú) VPN-típust kell használni. A klasszikus üzemi modellhez dinamikus átjáróra van szükség. A pont–hely kapcsolat nem támogatott a statikus útválasztású vagy PolicyBased (házirendalapú) VPN-átjárókhoz.

Konfigurálhatok egy pont–hely típusú ügyfelet úgy, hogy egyszerre több virtuális hálózati átjáróhoz csatlakozzanak?

A használt VPN-ügyfélszoftvertől függően előfordulhat, hogy több Virtual Network-átjáróhoz is csatlakozhat, feltéve, hogy a csatlakoztatott virtuális hálózatok között nincsenek ütköző címterek, vagy a hálózat, amelyről az ügyfél csatlakozik. Bár az Azure VPN-ügyfél számos VPN-kapcsolatot támogat, egyszerre csak egy kapcsolat csatlakoztatható.

Konfigurálhatok úgy egy pont–hely ügyfelet, hogy több virtuális hálózathoz csatlakozzon egyszerre?

Igen, a pont–hely ügyfélkapcsolatok egy olyan virtuális hálózati átjáróhoz kapcsolódhatnak, amely más virtuális hálózatokkal társviszonyban álló virtuális hálózaton van üzembe helyezve, és más virtuális hálózatokhoz is hozzáférhetnek. A pont–hely ügyfelek képesek lesznek csatlakozni a virtuális társhálózatokhoz, ha a társviszonyban álló virtuális hálózatok a UseRemoteGateway/AllowGatewayTransit funkciókat használják. További információ: Tudnivalók a pont–hely útválasztásról.

Milyen átviteli sebességre számíthatok a helyek közötti és a pont–hely kapcsolatok esetében?

Az átviteli sebesség fenntartása nehéz a VPN-alagutakban. Az IPsec és az SSTP erős titkosítást használó VPN-protokoll. Az átviteli sebességet emellett a késés, valamint a helyszín és az internet közötti sávszélesség is korlátozza. Az olyan VPN-átjárók esetében, amelyek csak IKEv2 pont-hely típusú VPN-kapcsolattal rendelkeznek, a várható teljes átviteli sebesség az átjáró termékváltozatától függ. Az átviteli sebességekkel kapcsolatos további információkért lásd: Az átjárók termékváltozatai.

Használhatok szoftveres VPN-ügyfelet az SSTP-t és/vagy IKEv2-t támogató pont–hely kapcsolatokhoz?

Nem. Az SSTP esetében csak a Windows natív VPN-ügyfele, az IKEv2 esetében pedig csak a Mac natív VPN-ügyfele használható. Az OpenVPN-ügyfelet azonban minden platformon használhatja az OpenVPN protokollon keresztüli csatlakozáshoz. Tekintse meg a támogatott ügyféloldali operációs rendszerek listáját.

Módosíthatom a pont–hely kapcsolat hitelesítési típusát?

Igen. A portálon lépjen a VPN-átjáró pont> –hely konfigurációs lapjára. A hitelesítés típusaként válassza ki a használni kívánt hitelesítési típusokat. Vegye figyelembe, hogy miután módosította a hitelesítési típust, előfordulhat, hogy a jelenlegi ügyfelek nem tudnak csatlakozni, amíg létre nem hoz egy új VPN-ügyfélkonfigurációs profilt, letölti és alkalmazza azokat az egyes VPN-ügyfelekre.

Támogatja az Azure az IKEv2 VPN használatát Windows rendszeren?

Az IKEv2 Windows 10 és Server 2016 rendszeren támogatott. Ahhoz azonban, hogy az IKEv2-t bizonyos operációsrendszer-verziókban használni tudja, telepítenie kell a frissítéseket, és helyileg be kell állítania egy beállításkulcs-értéket. Vegye figyelembe, hogy a Windows 10 előtti operációsrendszer-verziók nem támogatottak, és csak SSTP- vagy OpenVPN-protokollt® használhatnak.

MEGJEGYZÉS: Windows operációs rendszer Windows 10 1709-es és Windows Server 2016 1607-es verziójánál újabb buildeket készít, nem igénylik ezeket a lépéseket.

A Windows 10 vagy a Server 2016 előkészítése az IKEv2 használatára:

  1. Telepítse a frissítést az operációs rendszer verziója alapján:

    Operációs rendszer verziója Dátum Szám/hivatkozás
    Windows Server 2016
    Windows 10, 1607-es verzió
    2018. január 17. KB4057142
    Windows 10, 1703-as verzió 2018. január 17. KB4057144
    Windows 10 1709-es verzió 2018. március 22. KB4089848
  2. Adja meg a beállításkulcs értékét. Hozza létre a „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD kulcsot a beállításjegyzékben, vagy állítsa az értékét 1-re.

Mi az IKEv2 forgalomválasztó korlátja a pont–hely kapcsolatokhoz?

Windows 10 2004-es verzió (megjelent: 2021. szeptember) 255-re növelte a forgalomválasztó korlátját. Az ennél korábbi Windows verziók forgalomválasztó korlátja 25.

A forgalomválasztók Windows korlátozása határozza meg a virtuális hálózat címtereinek maximális számát, valamint a helyi hálózatok, a virtuális hálózatok közötti kapcsolatok és az átjáróhoz csatlakoztatott virtuális társhálózatok maximális összegét. Windows alapú pont–hely ügyfelek nem tudnak csatlakozni az IKEv2-en keresztül, ha túllépik ezt a korlátot.

Mi történik, ha az SSTP-t és az IKEv2-t is konfigurálom a P2S VPN-kapcsolatokhoz?

Ha SSTP-t és IKEv2-t is konfigurál vegyes (Windows és Mac eszközökből álló) környezetben, a Windows VPN-ügyfél először mindig az IKEv2-alagutat próbálja meg használni, de átvált az SSTP-re, ha nem lehet IKEv2-kapcsolatot létesíteni. A MacOSX csak IKEv2-n keresztül fog csatlakozni.

A Windows- és Mac-eszközökön kívül mely platformokhoz támogatja még az Azure a P2S VPN-t?

Az Azure támogatja a P2S VPN-hez készült Windows, Mac és Linux rendszert.

Már rendelkezem üzembe helyezett Azure VPN-átjáróval. Engedélyezhetem rajta a RADIUS-t és/vagy az IKEv2 VPN-t?

Igen, ha a használt átjáró-termékváltozat támogatja a RADIUS-t és/vagy az IKEv2-t, engedélyezheti ezeket a funkciókat azon átjárókon, amelyeket már üzembe helyezett a PowerShell vagy a Azure Portal használatával. Vegye figyelembe, hogy az alapszintű termékváltozat nem támogatja a RADIUS-t vagy az IKEv2-t.

Hogyan eltávolítja a P2S-kapcsolat konfigurációját?

A P2S-konfiguráció az Azure CLI és a PowerShell használatával az alábbi parancsokkal távolítható el:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Mit tegyek, ha a tanúsítványhitelesítés használatával történő csatlakozáskor eltérő tanúsítványt kapok?

Törölje a jelet a "Kiszolgáló identitásának ellenőrzése a tanúsítvány érvényesítésével" jelölőnégyzetből , vagy adja hozzá a kiszolgáló teljes tartománynevét a tanúsítvánnyal együtt a profil manuális létrehozásakor. Ehhez futtassa a rasphone parancsot egy parancssorból, és a legördülő listából választja ki a profilt.

A kiszolgálóidentitás-ellenőrzés megkerülése általában nem ajánlott, de az Azure-tanúsítványhitelesítés esetén ugyanazt a tanúsítványt használja a kiszolgálóérvényesítéshez a VPN Tunneling Protocol (IKEv2/SSTP) és az EAP protokoll. Mivel a kiszolgálótanúsítványt és az FQDN-t már érvényesíti a VPN-bújtatási protokoll, redundáns az EAP-ban is ugyanez ellenőrzése.

point-to-site auth

Használhatom a saját belső PKI legfelső szintű hitelesítésszolgáltatómat a pont–hely kapcsolatok tanúsítványainak létrehozásához?

Igen. Korábban csak önaláírt főtanúsítványt lehetett használni. Továbbra is 20 főtanúsítvány tölthető fel.

Használhatom az Azure Key Vault tanúsítványait?

Nem.

Milyen eszközökkel hozhatok létre tanúsítványokat?

Használhatja a Vállalati nyilvános kulcsú infrastruktúra megoldást (belső nyilvános kulcsú infrastruktúrát), az Azure PowerShellt, a MakeCertet vagy az OpenSSL-t.

Elérhető útmutató a tanúsítvány beállításaihoz és paramétereihez?

  • Belső/vállalati nyilvános kulcsú infrastruktúra: a lépéseket a Tanúsítványok előállítása pontban találja.

  • Azure PowerShell: a lépéseket az Azure PowerShell cikkében találja.

  • MakeCert: a lépéseket a MakeCert cikkében találja.

  • Openssl:

    • A tanúsítványok exportálása során ügyeljen arra, hogy a főtanúsítványt Base64 formátumba konvertálja.

    • Ügyféltanúsítvány esetén:

      • Amikor létrehozza a titkos kulcsot, 4096 bites hosszt adjon meg.
      • Amikor létrehozza a tanúsítványt, az -extensions paraméter értéke usr_cert legyen.

Pont–hely kapcsolat – RADIUS-hitelesítés

Ez a szakasz a Resource Manager-alapú üzemi modellre vonatkozik.

Hány VPN-ügyfélvégpont lehet a pont–hely konfigurációban?

Ez az átjáró termékváltozatától függ. A támogatott kapcsolatok számával kapcsolatos további információkért lásd az átjáró termékváltozatait.

Milyen ügyfél operációs rendszereket használhatok pont–hely kapcsolatokhoz?

A következő ügyféloldali operációs rendszerek támogatottak:

  • Windows Server 2008 R2 (csak 64 bites)
  • Windows 8.1 (32 bites és 64 bites)
  • Windows Server 2012 (csak 64 bites)
  • Windows Server 2012 R2 (csak 64 bites)
  • Windows Server 2016 (csak 64 bites)
  • Windows Server 2019 (csak 64 bites)
  • Windows Server 2022 (csak 64 bites)
  • Windows 10
  • Windows 11
  • macOS 10.11-es vagy újabb verzió
  • Linux (StrongSwan)
  • iOS

Megjegyzés

2018. július 1-től az Azure VPN Gatewayből el lett távolítva a TLS 1.0 és 1.1 támogatása. Ettől kezdve az Azure VPN Gateway csak a TLS 1.2-es verzióját támogatja. A támogatás fenntartásához tekintse meg a TLS1.2 támogatásának engedélyezéséhez szükséges frissítéseket.

Emellett a következő örökölt algoritmusok is elavultak lesznek a TLS-hez 2018. július 1-jén:

  • RC4 (Rivest Cipher 4)
  • DES (adattitkosítási algoritmus)
  • 3DES (háromszoros adattitkosítási algoritmus)
  • MD5 (Message Digest 5)

Hogyan engedélyezi a TLS 1.2 támogatását a Windows 8.1-ben?

  1. Nyisson meg egy emelt szintű jogosultságokkal rendelkező parancssort. Ehhez kattintson a jobb gombbal a parancssorra , és válassza a Futtatás rendszergazdaként parancsot.

  2. Futtassa az alábbi parancsokat a parancssorban:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Telepítse a következő frissítéseket:

  4. Indítsa újra a számítógépet.

  5. Csatlakozás a VPN-hez.

Megjegyzés

Ha a Windows 10 (10240) régebbi verzióját futtatja, a fenti beállításkulcsot kell beállítania.

Lehetővé teszi-e a pont–hely kapcsolat a proxykon és tűzfalakon való áthaladást?

Az Azure háromféle pont–hely VPN-lehetőséget támogat:

  • Secure Socket Tunneling Protocol (SSTP). Az SSTP egy Microsoft által védett SSL-alapú megoldás, amely képes áthatolni a tűzfalakon, mivel a legtöbb tűzfal megnyitja a 443 SSL által használt kimenő TCP-portot.

  • Openvpn. Az OpenVPN egy SSL-alapú megoldás, amely képes áthatolni a tűzfalakon, mivel a legtöbb tűzfal megnyitja a 443 SSL által használt kimenő TCP-portot.

  • IKEv2 VPN. Az IKEv2 VPN egy szabványalapú IPsec VPN-megoldás, amely az 500-ban és a 4500-ban kimenő UDP-portot, valamint az 50-ös IP-protokollt használja. A tűzfalak ezeket a portokat nem mindig nyitják meg, ezért elképzelhető, hogy az IKEv2 VPN nem képes átjutni egyes proxykon és tűzfalakon.

Ha újraindítok egy pont–hely kapcsolat használatára konfigurált ügyfélszámítógépet, a VPN automatikusan újracsatlakozik?

Az automatikus újracsatlakozás a használt ügyfél függvénye. Windows támogatja az automatikus újracsatlakozást az Always On VPN-ügyfélfunkció konfigurálásával.

Támogatja a pont–hely kapcsolat a VPN-ügyfeleken a DDNS-t?

A pont–hely VPN-ek jelenleg nem támogatják a DDNS-t.

Lehetnek-e helyek közötti és pont–hely konfigurációk egyidejűleg egy virtuális hálózaton?

Igen. A Resource Manager-alapú üzemi modell esetén az átjáróhoz RouteBased (útvonalalapú) VPN-típust kell használni. A klasszikus üzemi modellhez dinamikus átjáróra van szükség. A pont–hely kapcsolat nem támogatott a statikus útválasztású vagy PolicyBased (házirendalapú) VPN-átjárókhoz.

Konfigurálhatok pont–hely típusú ügyfelet úgy, hogy egyszerre több virtuális hálózati átjáróhoz csatlakozzanak?

A használt VPN-ügyfélszoftvertől függően több Virtual Network-átjáróhoz is csatlakozhat, feltéve, hogy a csatlakoztatott virtuális hálózatok nem ütköznek a címterek között, vagy ha a hálózat az ügyféllel csatlakozik. Bár az Azure VPN-ügyfél számos VPN-kapcsolatot támogat, egyszerre csak egy kapcsolat csatlakoztatható.

Konfigurálhatok úgy egy pont–hely ügyfelet, hogy több virtuális hálózathoz csatlakozzon egyszerre?

Igen, a más virtuális hálózatokkal társviszonyban lévő virtuális hálózatokon üzembe helyezett virtuális hálózati átjáró pont–hely ügyfélkapcsolatai más virtuális hálózatokhoz is hozzáférhetnek. A pont–hely ügyfelek akkor tudnak csatlakozni a társviszonyban lévő virtuális hálózatokhoz, ha a társviszonyban lévő virtuális hálózatok a UseRemoteGateway/AllowGatewayTransit funkciókat használják. További információ: Tudnivalók a pont–hely útválasztásról.

Milyen átviteli sebességre számíthatok a helyek közötti és a pont–hely kapcsolatok esetében?

Az átviteli sebesség fenntartása nehéz a VPN-alagutakban. Az IPsec és az SSTP erős titkosítást használó VPN-protokoll. Az átviteli sebességet emellett a késés, valamint a helyszín és az internet közötti sávszélesség is korlátozza. Az olyan VPN-átjárók esetében, amelyek csak IKEv2 pont-hely típusú VPN-kapcsolattal rendelkeznek, a várható teljes átviteli sebesség az átjáró termékváltozatától függ. Az átviteli sebességekkel kapcsolatos további információkért lásd: Az átjárók termékváltozatai.

Használhatok szoftveres VPN-ügyfelet az SSTP-t és/vagy IKEv2-t támogató pont–hely kapcsolatokhoz?

Nem. Az SSTP esetében csak a Windows natív VPN-ügyfele, az IKEv2 esetében pedig csak a Mac natív VPN-ügyfele használható. Az OpenVPN-ügyfelet azonban minden platformon használhatja openVPN protokollon keresztüli csatlakozáshoz. Tekintse meg a támogatott ügyfél operációs rendszerek listáját.

Módosíthatom a pont–hely kapcsolat hitelesítési típusát?

Igen. A portálon lépjen a VPN-átjáró pont> –hely konfigurációs lapjára. A hitelesítés típusaként válassza ki a használni kívánt hitelesítési típusokat. Vegye figyelembe, hogy a hitelesítési típus módosítása után előfordulhat, hogy az aktuális ügyfelek nem tudnak csatlakozni, amíg új VPN-ügyfélkonfigurációs profilt nem hoz létre, tölt le és alkalmaz az egyes VPN-ügyfelekre.

Támogatja az Azure az IKEv2 VPN használatát Windows rendszeren?

Az IKEv2 Windows 10 és Server 2016 rendszeren támogatott. Ahhoz azonban, hogy az IKEv2-t bizonyos operációsrendszer-verziókban használhassa, telepítenie kell a frissítéseket, és helyileg be kell állítania egy beállításkulcs-értéket. Vegye figyelembe, hogy a Windows 10 előtti operációsrendszer-verziók nem támogatottak, és csak SSTP- vagy OpenVPN-protokollt® használhatnak.

MEGJEGYZÉS: Windows operációs rendszer az Windows 10 1709-es és Windows Server 2016 1607-es verziójánál újabb buildeket készít, ezek a lépések nem szükségesek.

A Windows 10 vagy a Server 2016 előkészítése az IKEv2 használatára:

  1. Telepítse a frissítést az operációs rendszer verziója alapján:

    Operációs rendszer verziója Dátum Szám/hivatkozás
    Windows Server 2016
    Windows 10, 1607-es verzió
    2018. január 17. KB4057142
    Windows 10, 1703-as verzió 2018. január 17. KB4057144
    Windows 10 1709-es verzió 2018. március 22. KB4089848
  2. Adja meg a beállításkulcs értékét. Hozza létre a „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD kulcsot a beállításjegyzékben, vagy állítsa az értékét 1-re.

Mi az IKEv2 forgalomválasztó korlátja a pont–hely kapcsolatokhoz?

Windows 10 2004-es verzió (megjelent: 2021. szeptember) 255-re növelte a forgalomválasztó korlátját. Az ennél korábbi Windows-verziók forgalomválasztó korlátja 25.

A Windows forgalomválasztóinak korlátja határozza meg a virtuális hálózat címtereinek maximális számát, valamint a helyi hálózatok, a virtuális hálózatok közötti kapcsolatok és az átjáróhoz csatlakoztatott társhálózatok maximális összegét. Windows pont–hely alapú ügyfelek nem tudnak csatlakozni az IKEv2-en keresztül, ha túllépik ezt a korlátot.

Mi történik, ha az SSTP-t és az IKEv2-t is konfigurálom a P2S VPN-kapcsolatokhoz?

Ha SSTP-t és IKEv2-t is konfigurál vegyes (Windows és Mac eszközökből álló) környezetben, a Windows VPN-ügyfél először mindig az IKEv2-alagutat próbálja meg használni, de átvált az SSTP-re, ha nem lehet IKEv2-kapcsolatot létesíteni. A MacOSX csak IKEv2-n keresztül fog csatlakozni.

A Windows- és Mac-eszközökön kívül mely platformokhoz támogatja még az Azure a P2S VPN-t?

Az Azure támogatja a P2S VPN-hez készült Windows, Mac és Linux rendszert.

Már rendelkezem üzembe helyezett Azure VPN-átjáróval. Engedélyezhetem rajta a RADIUS-t és/vagy az IKEv2 VPN-t?

Igen, ha a használt átjáró-termékváltozat támogatja a RADIUS-t és/vagy az IKEv2-t, engedélyezheti ezeket a funkciókat azon átjárókon, amelyeket már üzembe helyezett a PowerShell vagy a Azure Portal használatával. Vegye figyelembe, hogy az alapszintű termékváltozat nem támogatja a RADIUS-t vagy az IKEv2-t.

Hogyan eltávolítja a P2S-kapcsolat konfigurációját?

A P2S-konfiguráció az Azure CLI és a PowerShell használatával az alábbi parancsokkal távolítható el:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Minden Azure VPN Gateway termékváltozaton támogatott a RADIUS-hitelesítés?

A RADIUS-hitelesítést a VpnGw1, VpnGw2 és VpnGw3 termékváltozatok támogatják. Örökölt termékváltozatok használata esetén a RADIUS-hitelesítést a szabványos és a nagy teljesítményű termékváltozatok támogatják. Az alapszintű átjáró termékváltozat nem támogatja. 

A klasszikus üzemi modell támogatja a RADIUS-hitelesítést?

Nem. A klasszikus üzemi modell nem támogatja a RADIUS-hitelesítést.

Mi a RADIUS-kiszolgálónak küldött RADIUS-kérelmek időtúllépési időtartama?

A RADIUS-kérések 30 másodperc után időtúllépésre vannak beállítva. A felhasználó által megadott időtúllépési értékek jelenleg nem támogatottak.

Támogatottak a külső RADIUS-kiszolgálók?

Igen, a külső RADIUS-kiszolgálók támogatottak.

Milyen kapcsolati követelményei vannak annak, hogy az Azure-átjáró biztosan elérjen egy helyszíni RADIUS-kiszolgálót?

Egy helyek közötti VPN-kapcsolat szükséges a helyszíni helyhez, amelyhez be kell állítani a megfelelő útvonalakat.  

Lehetséges-e a helyszíni RADIUS-kiszolgáló felé (az Azure VPN-átjáróról) irányuló adatforgalmat egy ExpressRoute-kapcsolaton keresztül irányítani?

Nem. Csak helyek közötti kapcsolaton keresztül lehetséges.

Változik a RADIUS-hitelesítés használatakor a támogatott SSTP-kapcsolatok száma? Legfeljebb hány SSTP- vagy IKEv2-kapcsolat támogatott?

RADIUS-hitelesítést használó átjárókon nem változik a támogatott SSTP-kapcsolatok maximális száma. Az SSTP esetében továbbra is 128, de az IKEv2 átjáró-termékváltozatától függ. A támogatott kapcsolatok számával kapcsolatos további információkért lásd az átjáró termékváltozatait.

Mi a különbség a RADIUS-kiszolgáló használatával végzett tanúsítványalapú hitelesítés és az Azure natív tanúsítványalapú hitelesítése (egy megbízható tanúsítvány Azure-ba való feltöltése) között?

A RADIUS tanúsítványalapú hitelesítése esetén a hitelesítési kérelem egy RADIUS-kiszolgálóra lesz továbbítva, amely a tényleges tanúsítványhitelesítést végzi. Ez a lehetőség egy olyan tanúsítványhitelesítő infrastruktúrával való integrációkor hasznos, amellyel a RADIUS révén már rendelkezik.

Ha az Azure használatával hitelesíti a tanúsítványokat, akkor az Azure VPN-átjáró végzi a tanúsítványok ellenőrzését. Ehhez fel kell tölteni az átjáróra a tanúsítvány nyilvános kulcsát. Megadhat egy listát a visszavont tanúsítványokról is, amelyek számára nem engedélyezett a kapcsolódás.

A RADIUS-hitelesítés az IKEv2 és az SSTP VPN esetében is működik?

Igen, a RADIUS-hitelesítés az IKEv2-höz és az SSTP VPN-hez is támogatott. 

Működik a RADIUS-hitelesítés az OpenVPN-ügyféllel?

A RADIUS-hitelesítés csak a PowerShellen keresztül támogatott az OpenVPN protokollhoz.

Virtuális hálózatok közötti kapcsolat és többhelyes kapcsolatok

A virtuális hálózatok közötti gyakori kérdések a VPN-átjárókapcsolatokra vonatkoznak. A virtuális hálózatok közötti társviszony-létesítéssel kapcsolatos információkért lásd: Virtuális hálózatok közötti társviszony-létesítés.

Felszámol az Azure díjat a virtuális hálózatok közötti adatforgalomért?

Az ugyanazon a régión belüli virtuális hálózatok közötti forgalom mindkét irányban ingyenes, ha VPN-átjárókapcsolatot használ. A régiók közötti virtuális hálózatok közötti kimenő forgalomért a forrásrégiókon alapuló kimenő virtuális hálózatok közötti adatátviteli díjakat számítjuk fel. További információ: VPN Gateway díjszabási oldal. Ha vpn-átjáró helyett virtuális társhálózat-létesítéssel csatlakoztatja a virtuális hálózatokat, tekintse meg a virtuális hálózat díjszabását.

A virtuális hálózatok közötti forgalom az interneten keresztül halad?

Nem. A virtuális hálózatok közötti forgalom a Microsoft Azure gerinchálózatán halad át, nem az interneten.

Létesíthetek virtuális hálózatok közötti kapcsolatot Azure Active Directory bérlők között?

Igen, az Azure VPN-átjárókat használó virtuális hálózatok közötti kapcsolatok Azure AD bérlők között működnek.

Biztonságos-e a virtuális hálózatok közötti adatforgalom?

Igen, IPsec/IKE-titkosítás védi.

Szükségem van VPN-eszközre a virtuális hálózatok egymáshoz kapcsolásához?

Nem. Az Azure Virtual Networkök összekapcsolása nem igényel VPN-eszközöket, hacsak nem szükséges a létesítmények közötti kapcsolat.

A virtuális hálózataimnak ugyanabban a régióban kell lenniük?

Nem. A virtuális hálózatok lehetnek azonos vagy eltérő Azure-régiókban (helyeken).

Ha a virtuális hálózatok nem ugyanabban az előfizetésben találhatók, az előfizetéseket ugyanahhoz az Active Directory-bérlőhöz kell társítani?

Nem.

Összekapcsolhatok egymással különböző Azure-példányokban található virtuális hálózatokat?

Nem. A virtuális hálózatok közötti kapcsolat az azonos Azure-példányon belüli virtuális hálózatok csatlakoztatását támogatja. Például nem hozhat létre kapcsolatot a globális Azure és a kínai/német/USA kormányzati Azure-példányok között. Ilyen esetekben érdemes lehet helyek közötti VPN-kapcsolatot használni.

A virtuális hálózatok közötti kapcsolatot használhatom többhelyes kapcsolatokhoz?

Igen. A virtuális hálózati kapcsolat használható többhelyes virtuális VPN-ekkel együtt.

Hány helyszíni helyhez és virtuális hálózathoz kapcsolódhat egyetlen virtuális hálózat?

Lásd az átjáróra vonatkozó követelmények táblázatát.

A virtuális hálózatok közötti kapcsolattal csatlakoztathatok a virtuális hálózaton kívüli virtuális gépeket vagy felhőszolgáltatásokat?

Nem. A virtuális hálózatok közötti kapcsolat támogatja a virtuális hálózatok csatlakoztatását, Nem támogatja a virtuális hálózaton nem található virtuális gépek vagy felhőszolgáltatások összekapcsolását.

Egy felhőszolgáltatás vagy egy terheléselosztási végpont kiterjedhet a virtuális hálózatokra?

Nem. Egy felhőszolgáltatás vagy egy terheléselosztási végpont nem terjedhet ki a virtuális hálózatok között, még akkor sem, ha azok össze vannak kapcsolva.

Használhatok házirendalapú VPN-típust virtuális hálózatok közötti vagy többhelyes kapcsolatokhoz?

Nem. A virtuális hálózatok közötti és a többhelyes kapcsolatokhoz útvonalalapú (korábban dinamikus útválasztású) VPN-típusokkal rendelkező Azure VPN-átjárókra van szükség.

Összekapcsolhatok egy RouteBased (útvonalapú) VPN-típussal rendelkező virtuális hálózatot egy házirendalapú VPN-típussal rendelkezővel?

Nem, mindkét virtuális hálózatnak útvonalalapú (korábban dinamikus útválasztású) VPN-eket kell használnia.

A VPN-alagutak osztoznak a sávszélességen?

Igen. A virtuális hálózat minden VPN-alagútja az Azure VPN Gateway átjárón elérhető sávszélességet használja, és azonos VPN-átjáró üzemidőre vonatkozó SLA-t az Azure-ban.

Támogatottak a redundáns alagutak?

A virtuális hálózatok párjai közötti redundáns alagutak nem támogatottak, amikor a virtuális hálózati átjáró aktív-aktívként van konfigurálva.

Lehetnek átfedő címterek a virtuális hálózatok közötti konfigurációkhoz?

Nem. Nem lehetnek átfedő IP-címtartományok.

Lehetnek-e egymással átfedésben lévő címterek a csatlakoztatott virtuális hálózatok és helyszíni helyek között?

Nem. Nem lehetnek átfedő IP-címtartományok.

Hogyan engedélyezi az útválasztást a helyek közötti VPN-kapcsolat és az ExpressRoute között?

Ha engedélyezni szeretné az Útválasztást az ExpressRoute-hoz csatlakoztatott ág és a helyek közötti VPN-kapcsolathoz csatlakoztatott ág között, be kell állítania az Azure Route Servert.

Használhatok Azure VPN Gateway átjárót az adatforgalomhoz a helyszíni helyeim között vagy egy másik virtuális hálózatba?

Resource Manager-alapú üzemi modell
Igen. További információért lásd a BGP szakaszt.

Klasszikus üzemi modell
Az Azure VPN Gateway-átjárókon keresztüli adatátvitel a klasszikus üzemi modellel lehetséges, de ez a hálózati konfigurációs fájlban statikusan meghatározott címterekre hagyatkozik. A BGP jelenleg nem támogatott az Azure Virtual Networkökhöz és VPN Gateway-átjárókhoz a klasszikus üzemi modell használatával. BGP nélkül az átviteli címterek manuális meghatározása sok hibalehetőséggel jár, ezért nem ajánlott.

Egy adott virtuális hálózaton az Azure ugyanazt az IPsec/IKE előmegosztott kulcsot hozza létre az összes VPN-kapcsolathoz?

Nem, az Azure alapértelmezés szerint különböző előmegosztott kulcsokat hoz létre a különböző VPN-kapcsolatokhoz. Azonban a VPN-átjáró kulcsának megadása REST API-val vagy PowerShell-parancsmaggal tetszőlegesen megadhatja a kulcs értékét. A kulcsnak csak nyomtatható ASCII-karaktereket kell tartalmaznia, a szóköz, a kötőjel (-) és a tilde (~) kivételével.

Nagyobb sávszélességhez jutok több helyek közötti VPN használatával, mint egyetlen virtuális hálózattal?

Nem, az összes VPN-alagút, így a pont–hely VPN-ek is ugyanazt az Azure VPN Gateway átjárót és elérhető sávszélességet használják.

Konfigurálhatok több alagutat a virtuális hálózatom és a helyszíni helyem között többhelyes VPN használatával?

Igen, de mindkét alagúton ugyanarra a helyre kell konfigurálnia a BGP-t.

Az Azure VPN Gateway figyelembe veszi az AS Path előtagot, hogy befolyásolja a helyszíni helyekkel létesített több kapcsolat közötti útválasztási döntéseket?

Igen, az Azure VPN Gateway figyelembe veszi az AS Path előtagolást, hogy segítsen az útválasztási döntések meghozatalában, ha a BGP engedélyezve van. A BGP-útvonal kiválasztásakor egy rövidebb AS-útvonal lesz előnyben részesítve.

Használhatom a RoutingWeight tulajdonságot új VPN VirtualNetworkGateway-kapcsolat létrehozásakor?

Nem, ez a beállítás expressroute-átjárókapcsolatokhoz van fenntartva. Ha több kapcsolat közötti útválasztási döntéseket szeretne befolyásolni, as Path előtagolást kell használnia.

Használhatok pont–hely VPN-t több VPN-alagúttal a virtuális hálózatomhoz?

Igen, a pont–hely (P2S) VPN-ek több helyszíni helyhez és egyéb virtuális hálózatokhoz csatlakozó VPN-átjárókkal is használhatók.

Csatlakoztathatok IPsec VPN-ekkel rendelkező virtuális hálózatot az ExpressRoute-kapcsolatcsoportomhoz?

Igen, ez támogatott. További információk: Párhuzamosan fennálló ExpressRoute- és helyek közötti VPN-kapcsolatok konfigurálása.

IPsec/IKE-szabályzat

Minden Azure VPN-átjáróhoz tartozó termékváltozat támogatja az egyéni IPsec/IKE-házirendet?

Az egyéni IPsec/IKE-szabályzat az alapszintű termékváltozat kivételével minden Azure-termékváltozatban támogatott.

Hány házirendeket adhatok meg egy kapcsolathoz?

Egy adott kapcsolathoz csak egy szabályzatkombinációt adhat meg.

Megadhatok részleges házirendet egy kapcsolathoz? (például csak IKE-algoritmusokat, IPsec nélkül)

Nem, minden algoritmust és paramétert meg kell adnia mind az IKE (Elsődleges mód), mind az IPsec (Gyors mód) esetében. A részleges házirend-megadás nem engedélyezett.

Milyen algoritmusokat és milyen erősségű kulcsokat támogat az egyéni házirend?

Az alábbi táblázatban megtekintheti az ügyfelek által konfigurálható, támogatott titkosítási algoritmusokat és kulcserősségeket. Minden mezőhöz választania kell egy lehetőséget.

IPsec/IKEv2 Beállítások
IKEv2-titkosítás GCMAES256, GCMAES128, AES256, AES192, AES128, DES3, DES
IKEv2-integritás GCMAES256, GCMAES128, SHA384, SHA256, SHA1, MD5
DH-csoport DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, Nincs
IPsec-titkosítás GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Nincs
IPsec-integritás GCMAES256, GCMAES192, GCMAES128, SHA-256, SHA1, MD5
PFS-csoport PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Nincs
Gyorsmódú biztonsági társítás élettartama Másodperc (egész szám; min. 300/alapértelmezett érték: 27000 másodperc)
KB (egész szám; min. 1024/alapértelmezett érték: 102400000 KB)
Forgalomválasztó UsePolicyBasedTrafficSelectors ($True/$False; alapértelmezett: $False)

Fontos

  • A DHGroup2048 & PFS2048 megegyezik Diffie-Hellman 14 . csoporttal az IKE-ben és az IPsec PFS-ben. A teljes leképezések megtekintéséhez lásd: Diffie-Hellman csoport.
  • GCMAES-algoritmusok esetében ugyanazt a GCMAES-algoritmust és kulcshosszt kell megadnia az IPsec-titkosítás és -integritás esetében.
  • Az IKEv2 főmódú sa élettartama 28 800 másodpercen van rögzítve az Azure VPN-átjárókon.
  • A gyorsmódú biztonsági társítás élettartama paraméter megadása opcionális. Ha nem ad meg értéket, a rendszer az alapértelmezett értékeket használja: 27 000 másodperc (7,5 óra) és 102 400 000 kB (102 GB).
  • A UsePolicyBasedTrafficSelector a kapcsolat egy opcionális paramétere. Tekintse meg a következő gyakori kérdéseket a "UsePolicyBasedTrafficSelectors" kifejezéshez.

Mindennek egyeznie kell az Azure VPN-átjáró házirendjében és a helyszíni VPN-eszközkonfigurációkban?

A helyszíni VPN-eszköz konfigurációjának meg kell egyezniük velük, vagy tartalmazniuk kell az alábbi, az Azure IPsec/IKE-házirendben megadott algoritmusokat és paramétereket:

  • IKE titkosítási algoritmus
  • IKE integritási algoritmus
  • DH-csoport
  • IPsec titkosítási algoritmus
  • IPsec integritási algoritmus
  • PFS-csoport
  • Forgalomválasztó (*)

AZ SA-k élettartamai helyi szinten definiáltak, így azoknak nem kell megegyezniük.

Ha engedélyezi az UsePolicyBasedTrafficSelectors lehetőséget, meg kell győződnie arról, hogy a VPN-eszköz megegyező forgalomválasztóihoz a helyszíni hálózat az Azure virtuális hálózatától (helyi hálózati átjáró), illetve onnan érkező előtagjainak minden kombinációja van definiálva a bármely elemek közötti definíció helyett. Például ha a helyszíni hálózati előtagok a 10.1.0.0/16 és a 10.2.0.0/16, a virtuális hálózati előtagok pedig 192.168.0.0/16 és 172.16.0.0/16, az alábbi forgalomválasztókat kell megadnia:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

További információ: Több helyszíni házirendalapú VPN-eszköz csatlakoztatása.

Mely Diffie-Hellman csoportok támogatottak?

Az alábbi táblázat az IKE (DHGroup) és IPsec (PFSGroup) esetében támogatott Diffie-Hellman csoportokat tartalmazza:

Diffie-Hellman Group DH-csoport PFS-csoport A kulcs hossza
1 DHGroup1 PFS1 768 bites MODP
2 DHGroup2 PFS2 1024 bites MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 bites MODP
19 ECP256 ECP256 256 bites ECP
20 ECP384 ECP384 384 bites ECP
24 DHGroup24 PFS24 2048 bites MODP

További információ: RFC3526 és RFC5114.

Az egyéni házrend helyettesíti az alapértelmezett IPsec/IKE-házirendet az Azure VPN-átjárókon?

Igen. Miután megadott egy egyéni házirendet egy kapcsolathoz, az Azure VPN-átjáró csak a kapcsolat házirendjét használja, mind IKE-kezdeményezőként, mind IKE-válaszadóként.

Ha eltávolítok egy egyéni IPsec/IKE-házirendet, azzal a kapcsolat nem védetté válik?

Nem, a kapcsolatot továbbra is védi az IPsec/IKE. Miután eltávolítja a kapcsolat egyéni házirendjét, az Azure VPN-átjáró visszaáll az IPsec/IKE-javaslatok alapértelmezett listájára, és újraindítja az IKE-kézfogást a helyszíni VPN-eszközzel.

Az IPsec/IKE-házirend hozzáadása vagy frissítése megszakítja a VPN-kapcsolatot?

Igen, ez okozhat rövid (néhány másodperces) megszakítást, mivel az Azure VPN-átjáró bontja a meglévő kapcsolatot, és újraindítja az IKE-kézfogást, így újra létrehozza az IPsec-alagutat az új titkosítási algoritmusokkal és paraméterekkel. Győződjön meg róla, hogy a helyszíni VPN-eszközt is konfigurálta ugyanazokkal az algoritmusokkal és kulcserősségekkel, így minimálisra csökkentheti a megszakítások időtartamát.

Használhatok különböző házirendeket különböző kapcsolatokhoz?

Igen. Az egyéni házirendeket kapcsolatonként hozza létre. A különböző kapcsolatokhoz különböző IPsec/IKE-házirendeket hozhat létre és alkalmazhat. Emellett a kapcsolatok egy részhalmazára is alkalmazhat egyéni házirendeket. A fennmaradó kapcsolatok az Azure alapértelmezett IPsec/IKE-házirendjét használják.

Használhatok egyéni házirendet a virtuális hálózatok közötti kapcsolatokhoz is?

Igen, mind az IPsec létesítmények közötti kapcsolataihoz, mind a virtuális hálózatok közötti kapcsolatokhoz alkalmazhat egyéni házirendet.

Ugyanazt a házirendet kell megadnom mindkét, virtuális hálózatok közötti kapcsolat erőforrásaihoz?

Igen. A virtuális hálózatok közötti alagút két kapcsolati erőforrásból áll az Azure-ban, amelyek a két különböző irányba mutatnak. Győződjön meg róla, hogy mindkét kapcsolati erőforrás azonos házirenddel rendelkezik, ellenkező esetben a virtuális hálózatok közötti kapcsolat nem jön létre.

Mi az alapértelmezett DPD időtúllépési érték? Megadhatok másik DPD-időtúllépést?

A DPD alapértelmezett időtúllépése 45 másodperc. Minden IPsec- vagy VNet–VNet-kapcsolaton megadhat egy másik DPD-időtúllépési értéket 9 másodperc és 3600 másodperc között.

Működik az egyéni IPsec/IKE-házirend az ExpressRoute-kapcsolatokkal?

Nem. Az IPsec/IKE-házirend csak az S2S VPN- és a virtuális hálózatok közötti kapcsolatokkal, az Azure VPN-átjárókon keresztül működik.

Hogyan IKEv1 vagy IKEv2 protokolltípussal hoz létre kapcsolatokat?

Az IKEv1-kapcsolatok az összes routeBased VPN-típusú termékváltozaton létrehozhatók, kivéve az alapszintű termékváltozatot, a standard termékváltozatot és az egyéb örökölt termékváltozatokat. A kapcsolatok létrehozásakor megadhatja az IKEv1 vagy az IKEv2 kapcsolati protokolltípust. Ha nem ad meg kapcsolati protokolltípust, a rendszer az IKEv2-t használja alapértelmezett beállításként, ahol alkalmazható. További információkért tekintse meg a PowerShell-parancsmag dokumentációját. Az SKU-típusok és az IKEv1/IKEv2 támogatásával kapcsolatban lásd Csatlakozás házirendalapú VPN-eszközök átjáróit.

Engedélyezett az átvitel az IKEv1 és az IKEv2 kapcsolatok között?

Igen. Az IKEv1 és az IKEv2 kapcsolatok közötti átvitel támogatott.

Rendelkezhetek IKEv1 helyek közötti kapcsolatokkal az útvonalalapú VPN-típus alapszintű termékváltozataihoz?

Nem. Az alapszintű termékváltozat ezt nem támogatja.

Módosíthatom a kapcsolat protokolltípusát a kapcsolat létrehozása után (IKEv1–IKEv2 és fordítva)?

Nem. A kapcsolat létrehozása után az IKEv1/IKEv2 protokollok nem módosíthatók. Törölnie kell, majd újra létre kell hoznia egy új kapcsolatot a kívánt protokolltípussal.

Miért kapcsolódik gyakran újra az IKEv1-kapcsolatom?

Ha a statikus útválasztási vagy útvonalalapú IKEv1-kapcsolat rutin időközönként megszakad, annak valószínűleg az az oka, hogy a VPN-átjárók nem támogatják a helyszíni kulcsokat. A fő mód újrakulcsolásakor az IKEv1-alagutak megszakadnak, és akár 5 másodpercig is eltarthat az újracsatlakozás. A fő módú egyeztetés időtúllépési értéke határozza meg az újrakulcsok gyakoriságát. Az újracsatlakozások megakadályozása érdekében átválthat az IKEv2 használatára, amely támogatja a helyszíni újrakulcsokat.

Ha a kapcsolat véletlenszerűen újracsatlakozik, kövesse a hibaelhárítási útmutatót.

Hol találhatok további konfigurációs információkat az IPsec-ről?

Lásd: IPsec/IKE-szabályzat konfigurálása S2S- vagy virtuális hálózatok közötti kapcsolatokhoz.

BGP és útválasztás

Minden Azure VPN Gateway SKU-n támogatott a BGP?

A BGP az alapszintű termékváltozat kivételével minden Azure VPN Gateway termékváltozatban támogatott.

Használhatom a BGP-t Azure Policy VPN-átjárókkal?

Nem, a BGP csak útvonalalapú VPN-átjárókon támogatott.

Milyen ASN-eket (autonóm rendszerszámokat) használhatok?

Saját nyilvános ASN-eket vagy privát ASN-eket használhat a helyszíni és az Azure-beli virtuális hálózatokhoz is. Az Azure vagy az IANA által fenntartott tartományok nem használhatók.

Az Azure vagy az IANA a következő ASN-eket foglalta le:

  • Az Azure által fenntartott ASN-ek:

    • Nyilvános ASN-ek: 8074, 8075, 12076
    • Privát ASN-ek: 65515, 65517, 65518, 65519, 65520
  • Az IANA által fenntartott ASN-eket:

    • 23456, 64496–64511, 65535–65551 és 429496729

Ezeket az ASN-eket nem adhatja meg a helyszíni VPN-eszközökhöz, amikor Azure VPN-átjárókhoz csatlakozik.

Használhatok 32 bites (4 bájtos) ASN-eket?

Igen, VPN Gateway mostantól támogatja a 32 bites (4 bájtos) ASN-eket. Az ASN decimális formátumban történő konfigurálásához használja a PowerShellt, az Azure CLI-t vagy az Azure SDK-t.

Milyen privát ASN-eket használhatok?

A privát ASN-ek használható tartományai a következők:

  • 64512-65514 és 65521-65534

Ezeket az ASN-eket az IANA vagy az Azure nem használja, ezért az Azure VPN-átjáróhoz való hozzárendeléshez használható.

Milyen címet VPN Gateway használni a BGP-társ IP-címéhez?

Alapértelmezés szerint VPN Gateway egyetlen IP-címet foglal le a GatewaySubnet tartományból az aktív-készenléti VPN-átjárókhoz, vagy két IP-címet az aktív-aktív VPN-átjárókhoz. Ezeket a címeket a rendszer automatikusan lefoglalja a VPN-átjáró létrehozásakor. A tényleges BGP IP-címet lekérheti a PowerShell használatával vagy a Azure Portal. A PowerShellben használja a Get-AzVirtualNetworkGateway parancsmagot, és keresse meg a bgpPeeringAddress tulajdonságot. A Azure Portal átjárókonfigurációs oldalán keresse meg a BGP ASN konfigurálása tulajdonságot.

Ha a helyszíni VPN-útválasztók APIPA IP-címeket (169.254.x.x) használnak BGP IP-címként, meg kell adnia egy vagy több Azure APIPA BGP IP-címet az Azure VPN-átjárón. Az Azure VPN Gateway kiválasztja a helyi hálózati átjáróban megadott helyszíni APIPA BGP-társhoz használni kívánt APIPA-címeket, vagy egy nem APIPA-alapú helyszíni BGP-társ magánhálózati IP-címét. További információ: BGP konfigurálása.

Milyen követelmények vonatkoznak a BGP-társ IP-címére a VPN-eszközömön?

A helyszíni BGP-társcím nem lehet azonos a VPN-eszköz nyilvános IP-címével vagy a VPN-átjáró virtuális hálózati címterével. Használjon másik IP-címet a VPN-eszközön a BGP-társ IP-címéhez. Ez lehet az eszköz visszacsatolási felületéhez rendelt cím (normál IP-cím vagy APIPA-cím). Ha az eszköz APIPA-címet használ a BGP-hez, meg kell adnia egy vagy több APIPA BGP IP-címet az Azure VPN-átjárón a BGP konfigurálása című szakaszban leírtak szerint. Adja meg ezeket a címeket a helynek megfelelő helyi hálózati átjáróban.

Mit kell megadnom címelőtagként a helyi hálózati átjáróhoz a BGP használatakor?

Fontos

Ez a korábban dokumentált követelménytől való változás. Ha BGP-t használ egy kapcsolathoz, hagyja üresen a Címtartomány mezőt a megfelelő helyi hálózati átjáró erőforrásához. Az Azure VPN Gateway belsőleg hozzáad egy gazdagépútvonalat a helyszíni BGP-társ IP-címéhez az IPsec-alagúton keresztül. Ne adja hozzá a /32 útvonalat a Címtér mezőben. Ez redundáns, és ha APIPA-címet használ helyszíni VPN-eszköz BGP IP-címeként, az nem adható hozzá ehhez a mezőhöz. Ha további előtagokat ad hozzá a Címtér mezőben, azok statikus útvonalakként lesznek hozzáadva az Azure VPN-átjárón, a BGP-n keresztül megtanult útvonalakon kívül.

Használhatom ugyanazt az ASN-t a helyszíni VPN-hálózatokhoz és az Azure-beli virtuális hálózatokhoz is?

Nem, különböző ASN-eket kell hozzárendelnie a helyszíni hálózatok és az Azure-beli virtuális hálózatok között, ha a BGP-vel csatlakoztatja őket. Az Azure VPN-átjárók alapértelmezett ASN-je 65515, függetlenül attól, hogy a BGP engedélyezve van-e a létesítmények közötti kapcsolathoz. Ezt az alapértelmezett értéket felülbírálhatja, ha egy másik ASN-t rendel hozzá a VPN-átjáró létrehozásakor, vagy módosíthatja az ASN-t az átjáró létrehozása után. A helyszíni ASN-eket a megfelelő Azure helyi hálózati átjárókhoz kell hozzárendelnie.

Milyen címelőtagokat ajánlanak majd az Azure VPN Gatewayek?

Az átjárók a következő útvonalakat hirdetik meg a helyszíni BGP-eszközökre:

  • A virtuális hálózat címelőtagja.
  • Címelőtagok az Azure VPN-átjáróhoz csatlakoztatott minden helyi hálózati átjáróhoz.
  • Az Azure VPN-átjáróhoz csatlakoztatott egyéb BGP társviszony-létesítési munkamenetekből tanult útvonalak, kivéve az alapértelmezett útvonalat vagy útvonalakat, amelyek átfedésben vannak bármely virtuális hálózati előtaggal.

Hány előtagot hirdethetek meg az Azure VPN Gateway?

Az Azure VPN Gateway legfeljebb 4000 előtagot támogat. A rendszer eldobja a BGP-munkameneteket, ha az előtagok száma meghaladja a korlátot.

Meghirdethetem az Azure VPN Gateway átjárókhoz vezető alapértelmezett útvonalat (0.0.0.0/0)?

Igen. Vegye figyelembe, hogy ez az összes virtuális hálózat kimenő forgalmát a helyszíni hely felé kényszeríti. Azt is megakadályozza, hogy a virtuális hálózati virtuális gépek közvetlenül fogadjanak nyilvános internetes kommunikációt, például RDP-t vagy SSH-t az internetről a virtuális gépek felé.

Meghirdethetem a pontos előtagokat a virtuális hálózati előtagokként?

Nem, a virtuális hálózat címelőtagjainak hirdetését az Azure blokkolja vagy szűri. Meghirdethet azonban egy előtagot, amely a virtuális hálózaton belüli adatok helyettesítésére használható.

Ha például a virtuális hálózat a 10.0.0.0/16 címteret használta, meghirdetheti a 10.0.0.0/8 címet. A 10.0.0.0/16 vagy a 10.0.0.0/24 nem hirdethető meg.

Használhatom a BGP-t a virtuális hálózatok közötti kapcsolatokkal?

Igen, a BGP-t a létesítmények közötti kapcsolatokhoz és a virtuális hálózatok közötti kapcsolatokhoz is használhatja.

Kombinálhatom a BGP-t nem BGP-kapcsolatokkal az Azure VPN Gatewayeknél?

Igen, kombinálhatja a BGP- és nem BGP-kapcsolatokat ugyanazon Azure VPN Gatewaynél.

Támogatja az Azure VPN Gateway a BGP-tranzit útválasztást?

Igen, a BGP-tranzit útválasztás támogatott, azzal a kivétellel, hogy az Azure VPN-átjárók nem hirdetnek alapértelmezett útvonalakat más BGP-társak számára. Ha több Azure VPN-átjárón keresztül szeretné engedélyezni az átvitelt, engedélyeznie kell a BGP-t a virtuális hálózatok közötti összes köztes kapcsolaton. További információ: A BGP ismertetése.

Lehet egynél több alagút egy Azure VPN-átjáró és a helyszíni hálózatom között?

Igen, több helyek közötti (S2S) VPN-alagutat is létesíthet egy Azure VPN-átjáró és a helyszíni hálózat között. Vegye figyelembe, hogy ezek az alagutak beleszámítanak az Azure VPN-átjárók alagútjainak teljes számába, és mindkét alagúton engedélyeznie kell a BGP-t.

Ha például két redundáns alagúttal rendelkezik az Azure VPN Gateway és az egyik helyszíni hálózat között, azok az Azure VPN Gateway teljes kvótáján kívül 2 alagutat használnak fel.

Használhatok több alagutat két Azure-beli virtuális hálózat között BGP-vel?

Igen, de a virtuális hálózati átjárók legalább egyikének aktív-aktív konfigurációban kell lennie.

Használhatok BGP-t S2S VPN-hez egyidejű Azure ExpressRoute- és S2S VPN-konfigurációban?

Igen.

Mit kell felvennem a helyszíni VPN-eszközön a BGP társviszony-munkamenethez?

Adja hozzá az Azure BGP-társ IP-címének gazdaútvonalát a VPN-eszközön. Ez az útvonal az IPsec S2S VPN-alagútra mutat. Ha például az Azure VPN-társ IP-címe 10.12.255.30, akkor hozzáad egy gazdaútvonalat a 10.12.255.30-as verzióhoz a VPN-eszköz megfelelő IPsec-alagútillesztőjének következő ugrási felületével.

Támogatja a virtuális hálózati átjáró a BFD-t a BGP-vel létesített S2S-kapcsolatokhoz?

Nem. A kétirányú továbbítás észlelése (BFD) egy olyan protokoll, amellyel a BGP-vel gyorsabban észlelheti a szomszéd állásidőt, mint a szokásos BGP "fenntartókkal". A BFD a helyi hálózati környezetekben való munkavégzésre tervezett, de a nyilvános interneten vagy a nagy kiterjedésű hálózati kapcsolatokon nem működő alszekundumos időzítőket használ.

A nyilvános interneten keresztüli kapcsolatok esetében bizonyos csomagok késleltetése vagy elvetése nem szokatlan, ezért ezeknek az agresszív időzítőknek a bevezetése instabilitást okozhat. Ez az instabilitás az útvonalak BGP általi csillapítását okozhatja. Másik lehetőségként konfigurálhatja a helyszíni eszközt az alapértelmezettnél alacsonyabb időzítőkkel, a 60 másodperces "megtartási" időközzel és a 180 másodperces visszatartási időzítővel. Ez gyorsabb konvergenciát eredményez.

Az Azure VPN-átjárók kezdeményeznek BGP-társviszony-munkameneteket vagy kapcsolatokat?

Az átjáró BGP-társviszony-munkameneteket kezdeményez a helyi hálózati átjáró erőforrásaiban megadott helyszíni BGP-társ IP-címekkel a VPN-átjárók magánhálózati IP-címeivel. Ez függetlenül attól, hogy a helyszíni BGP IP-címek az APIPA-tartományban vagy a normál magánhálózati IP-címeken találhatók-e. Ha a helyszíni VPN-eszközök APIPA-címeket használnak BGP IP-címként, konfigurálnia kell a BGP-hangszórót a kapcsolatok elindításához.

Konfigurálhatok kényszerített bújtatást?

Igen. Lásd: Kényszerített bújtatás konfigurálása.

NAT

A NAT minden Azure-VPN Gateway termékváltozatban támogatott?

A NAT a VpnGw2~5 és a VpnGw2AZ~5AZ esetén támogatott.

Használhatom a NAT-ot virtuális hálózatok közötti vagy P2S-kapcsolatokon?

Nem, a NAT csak IPsec létesítmények közötti kapcsolatokon támogatott.

Hány NAT-szabályt használhatok EGY VPN-átjárón?

Egy VPN-átjárón legfeljebb 100 NAT-szabályt hozhat létre (bejövő és Egress szabályok kombinálva).

A NAT egy VPN-átjáró összes kapcsolatára alkalmazva van?

A NAT a NAT-szabályokkal rendelkező kapcsolatokra lesz alkalmazva. Ha egy kapcsolatnak nincs NAT-szabálya, a NAT nem lép érvénybe a kapcsolaton. Ugyanazon a VPN-átjárón lehet néhány kapcsolat NAT-tal és más, NAT nélküli kapcsolatokkal.

Milyen típusú NAT támogatott az Azure VPN-átjárókon?

Csak a statikus 1:1 NAT és a dinamikus NAT támogatott. A NAT64 NEM támogatott.

Működik a NAT az aktív-aktív VPN-átjárókon?

Igen. A NAT aktív-aktív és aktív-készenléti VPN-átjárókon is működik.

Működik a NAT BGP-kapcsolatokkal?

Igen, használhatja a BGP-t NAT-tal. Íme néhány fontos szempont:

  • Válassza a BGP-útvonalfordítás engedélyezése lehetőséget a NAT-szabályok konfigurációs oldalán, hogy a megtanult útvonalak és a meghirdetett útvonalak nat utáni címelőtagokra (külső leképezésekre) legyenek lefordítva a kapcsolatokhoz társított NAT-szabályok alapján. Meg kell győződnie arról, hogy a helyszíni BGP-útválasztók a bejövőforgalom-elemzési szabályokban meghatározott pontos előtagokat hirdetik meg.

  • Ha a helyszíni VPN-útválasztó APIPA-t (169.254.x.x) használ BGP-beszélő/társ IP-címként, használja az APIPA-címet közvetlenül a helyi hálózati átjáró BGP-társ IP-cím mezőjében. Ha a helyszíni VPN-útválasztó normál, nem APIPA-címet használ, és ütközik a virtuális hálózat címterével vagy más helyszíni hálózati térrel, győződjön meg arról, hogy a bejövő forgalomra vonatkozó SNAT-szabály a BGP-társ IP-címét egy egyedi, nem átfedésben lévő címre fordítja le, és a NAT utáni címet a helyi hálózati átjáró BGP-társ IP-címének mezőjébe helyezi.

Létre kell hoznom a megfelelő DNAT-szabályokat az SNAT-szabályhoz?

Nem. Egyetlen SNAT-szabály határozza meg egy adott hálózat mindkét irányának fordítását:

  • Az IngressSNAT-szabály határozza meg az Azure VPN Gatewaybe érkező forrás IP-címek fordítását a helyszíni hálózatról. A VNetről ugyanarra a helyszíni hálózatra elhagyó cél IP-címek fordítását is kezeli.

  • Az EgressSNAT-szabály határozza meg a virtuális hálózat forrás IP-címeinek fordítását, így az Azure VPN-átjárót helyszíni hálózatokra hagyja. A VNetbe érkező csomagok cél IP-címeinek fordítását is kezeli az EgressSNAT-szabvánnyal létesített kapcsolatokon keresztül.

  • Mindkét esetben nincs szükség DNAT-szabályokra .

Mit tegyek, ha a virtuális hálózatom vagy a helyi hálózati átjáró címtere két vagy több előtaggal rendelkezik? Alkalmazhatok NAT-ot mindegyikre? Vagy csak egy részhalmaz?

Minden NAT-előtaghoz létre kell hoznia egy NAT-szabályt, mert minden NAT-szabály csak egy címelőtagot tartalmazhat a NAT-hoz. Ha például a helyi hálózati átjáró címtere a 10.0.1.0/24 és a 10.0.2.0/25 címtérből áll, két szabályt hozhat létre az alábbiak szerint:

  • IngressSNAT rule 1: Map 10.0.1.0/24 to 100.0.1.0/24
  • IngressSNAT rule 2: Map 10.0.2.0/25 to 100.0.2.0/25

A két szabálynak meg kell egyeznie a megfelelő címelőtagok előtaghosszával. Ugyanez vonatkozik a virtuális hálózat címterére vonatkozó EgressSNAT-szabályokra is.

Fontos

Ha csak egy szabályt csatol a fenti kapcsolathoz, a másik címtér NEM lesz lefordítva.

Milyen IP-címtartományokat használhatok külső leképezéshez?

Bármilyen megfelelő IP-címtartományt használhat a külső leképezéshez, beleértve a nyilvános és a magánhálózati IP-címeket is.

Használhatok különböző EgressSNAT-szabályokat a virtuális hálózat címterének különböző előtagokra való lefordításához különböző helyszíni hálózatokra?

Igen, több EgressSNAT-szabályt is létrehozhat ugyanahhoz a virtuális hálózat címteréhez, és alkalmazhatja a kimenő forgalomra vonatkozó szabályokat a különböző kapcsolatokra. Az EgressSNAT-szabály nélküli kapcsolatok esetében:

Használhatom ugyanazt az IngressSNAT-szabályt a különböző kapcsolatokon?

Igen, ez általában akkor használatos, ha a kapcsolatok ugyanarra a helyszíni hálózatra vannak kapcsolva a redundancia biztosításához. Nem használhatja ugyanazt a bemeneti szabályt, ha a kapcsolatok különböző helyszíni hálózatokhoz tartoznak.

Szükségem van bejövő és Egress szabályokra is a NAT-kapcsolaton?

Ha a helyszíni hálózati címtér átfedésben van a virtuális hálózat címterével, akkor ugyanazon a kapcsolaton bejövő és Egress szabályokra is szükség van. Ha a virtuális hálózat címtere minden csatlakoztatott hálózatban egyedi, akkor nincs szükség a kimenő forgalomra vonatkozó SZABÁLYra ezen kapcsolatokon. A bejövőforgalom-szabályokkal elkerülheti a címátfedést a helyszíni hálózatok között.

Több helyszínt érintő kapcsolatok és virtuális gépek

Ha a virtuális gépem egy virtuális hálózaton található, és rendelkezem egy létesítmények közötti kapcsolattal, hogyan csatlakozhatok a virtuális géphez?

Több lehetősége van. Ha az RDP engedélyezve van a virtuális gép számára, a magánhálózati IP-címmel csatlakozhat a virtuális géphez. Ebben az esetben meg kell adnia azt a magánhálózati IP-címet és a portot, amelyhez csatlakozni szeretne (a portszám általában 3389). a virtuális gép portját pedig konfigurálnia kell az adatátvitelhez.

A magánhálózati IP-címmel egy, a virtuális hálózaton található másik virtuális gépről is csatlakoztathat a virtuális géphez. Ha a virtuális hálózatán kívüli helyről csatlakozik, nem használhatja az RDP-t a virtuális gépéhez való csatlakozáshoz a magánhálózati IP-címmel. Ha például pont–hely virtuális hálózatot konfigurált, és nem létesít kapcsolatot a számítógépéről, nem csatlakozhat a virtuális gépéhez a magánhálózati IP-címmel.

Ha a virtuális gépem létesítmények közötti kapcsolattal rendelkező virtuális hálózaton található, a virtuális gépem teljes adatforgalma ezen a kapcsolaton halad át?

Nem. Csak az az adatforgalom fog áthaladni a virtuális hálózati átjárón, amely a virtuális hálózat Ön által meghatározott helyi hálózati IP-címtartományaiban található cél-IP-címmel rendelkezik. A virtuális hálózaton belüli cél-IP-címmel rendelkező adatforgalom a virtuális hálózaton belül marad. Az egyéb adatforgalom a terheléselosztón keresztül a nyilvános hálózatok felé lesz irányítva, vagy ha kényszerített bújtatást használ, akkor az Azure VPN Gatewayen megy keresztül.

Hogyan háríthatom el egy virtuális gép RDP-kapcsolatának hibáit?

Ha probléma adódik egy virtuális gép VPN-kapcsolaton keresztüli csatlakoztatása során, ellenőrizze az alábbiakat:

  • Ellenőrizze, hogy a VPN-kapcsolat sikeresen létrejött-e.
  • Ellenőrizze, hogy a virtuális gép magánhálózati IP-címéhez csatlakozik-e.
  • Ha tud csatlakozni a virtuális géphez a magánhálózati IP-címmel, de a számítógép nevével nem, ellenőrizze, hogy a DNS-konfiguráció megfelelő-e. A virtuális gépek névfeloldásának működésével kapcsolatos további információkért lásd a virtuális gépek névfeloldásával foglakozó cikket.

Ha pont–hely kapcsolattal csatlakozik, ellenőrizze az alábbi elemeket is:

  • Az „ipconfig” használatával ellenőrizze annak a számítógépnek az Ethernet-adapteréhez hozzárendelt IPv4-címet, amelyről a kapcsolatot létesíti. Ha az IP-cím azon virtuális hálózat tartományában található, amelyhez csatlakozni kíván, vagy a VPN-ügyfél címkészletének címtartományában, akkor átfedő címtérről beszélünk. Ilyen átfedés esetén a hálózati forgalom nem éri el az Azure-t, és a helyi hálózaton marad.
  • Ellenőrizze, hogy létrejött-e a VPN-ügyfél konfigurációs csomagja azután, hogy a DNS-kiszolgáló IP-címei meg lettek adva a virtuális hálózathoz. Ha frissítette a DNS-kiszolgáló IP-címeit, hozzon létre és telepítsen egy új VPN-ügyfélkonfigurációs csomagot.

Az RDP-kapcsolatok hibaelhárításával kapcsolatos további információkért lásd a virtuális gép távoli asztali kapcsolatainak hibaelhárításával foglalkozó cikket.

Virtual Network – gyakori kérdések

A virtuális hálózatokra vonatkozó további információkat a gyakori kérdések Virtual Network tekintheti meg.

Következő lépések

Az "OpenVPN" az OpenVPN Inc. védjegye.