Membuat koneksi Situs-ke-Situs menggunakan portal Microsoft Azure (klasik)

Artikel ini menunjukkan cara menggunakan portal Microsoft Azure untuk membuat koneksi gateway VPN Situs-ke-Situs dari jaringan lokal Anda ke VNet. Langkah-langkah dalam artikel ini berlaku untuk model penyebaran klasik dan tidak berlaku untuk model penyebaran terkini, Resource Manager. Anda juga dapat membuat konfigurasi ini menggunakan alat penyebaran atau model penyebaran yang berbeda dengan memilih opsi lain dari daftar berikut:

• Portal Microsoft Azure
• PowerShell
• CLI
• portal Microsoft Azure (klasik)

Koneksi gateway VPN Situs ke Situs digunakan untuk menghubungkan jaringan lokal Anda ke jaringan virtual Azure melalui terowongan VPN IPsec/IKE (IKEv1 atau IKEv2). Jenis koneksi ini memerlukan perangkat VPN yang terletak di tempat yang memiliki alamat IP publik yang menghadap luar yang telah ditetapkan untuknya. Untuk informasi selengkapnya tentang gateway VPN, lihat Tentang gateway VPN.

Sebelum Anda mulai

Pastikan bahwa Anda telah memenuhi kriteria berikut sebelum memulai konfigurasi:

• Pastikan bahwa Anda ingin bekerja dalam model penyebaran klasik. Jika Anda ingin bekerja dalam model penyebaran Resource Manager, lihat Membuat koneksi Situs-ke-Situs (Resource Manager). Kami menganjurkan agar Anda menggunakan model penyebaran Resource Manager, karena model klasik adalah warisan.
• Pastikan Anda memiliki perangkat VPN yang kompatibel dan seseorang yang dapat mengonfigurasinya. Untuk informasi selengkapnya tentang perangkat VPN dan konfigurasi perangkat yang kompatibel, lihat Tentang Perangkat VPN.
• Pastikan bahwa Anda memiliki alamat IPv4 publik yang menghadap ke eksternal untuk perangkat VPN Anda.
• Jika Anda tidak terbiasa dengan rentang alamat IP yang terletak di konfigurasi jaringan lokal, Anda perlu berkoordinasi dengan seseorang yang dapat memberikan detail tersebut untuk Anda. Saat Anda membuat konfigurasi ini, Anda harus menentukan prefiks rentang alamat IP yang akan dirutekan Azure ke lokasi lokal Anda. Tidak ada subnet dari jaringan lokal Anda yang bisa tumpang tindih dengan subnet jaringan virtual yang ingin Anda sambungkan.
• PowerShell diperlukan untuk menentukan kunci bersama dan membuat koneksi VPN gateway. Saat bekerja dengan model penyebaran klasik, Anda tidak dapat menggunakan Azure Cloud Shell. Sebagai gantinya, Anda harus menginstal versi terbaru cmdlet PowerShell Azure Service Management (SM) secara lokal di komputer Anda. Cmdlet ini berbeda dari cmdlet AzureRM atau Az. Untuk menginstal cmdlet SM, lihat Menginstal cmdlet Manajemen Layanan. Untuk mengeteahui informasi selengkapnya tentang Azure PowerShell secara umum, lihat Dokumentasi Azure PowerShell.

Nilai konfigurasi sampel untuk latihan ini

Contoh pada artikel ini menggunakan nilai berikut. Anda dapat menggunakan berbagai nilai ini untuk membuat lingkungan pengujian, atau merujuknya untuk lebih memahami contoh pada artikel ini. Biasanya, ketika bekerja dengan nilai alamat IP untuk ruang Alamat, Anda ingin mengoordinasikannya bersama admin jaringan Anda untuk menghindari ruang alamat yang tumpang tindih, yang dapat memengaruhi perutean. Dalam hal ini, gantilah nilai alamat IP dengan milik Anda sendiri jika Anda ingin membuat koneksi kerja.

• Grup sumber daya: TestRG1
• Nama VNet: TestVNet1
• Ruang alamat: 10.11.0.0/16
• Nama subnet: FrontEnd
• Rentang alamat subnet: 10.11.0.0/24
• GatewaySubnet: 10.11.255.0/27
• Wilayah: (US) US Timur
• Nama situs lokal: Site2
• Ruang alamat klien: Ruang alamat yang berada pada situs lokal Anda.

Membuat jaringan virtual

Ketika Anda membuat jaringan virtual untuk digunakan dengan koneksi S2S, Anda perlu memastikan bahwa ruang alamat yang Anda tentukan tidak tumpang tindih dengan salah satu ruang alamat klien untuk situs lokal yang ingin Anda sambungkan. Jika Anda mempunyai subnet yang tumpang tindih, koneksi Anda tidak akan berfungsi dengan baik.

• Jika Anda telah memiliki VNet, pastikan pengaturannya kompatibel dengan desain VPN gateway Anda. Perhatikan setiap subnet yang mungkin tumpang tindih dengan jaringan lain.

• Jika Anda belum memiliki jaringan virtual, buatlah. Cuplikan layar disediakan sebagai contoh. Pastikan untuk mengganti nilainya dengan nilai Anda sendiri.

Untuk membuat jaringan virtual

1. Dari browser, masuk portal Microsoft Azure dan, jika perlu, masuk dengan akun Azure Anda.
2. Pilih +Buat sumber daya. Di bidang Cari marketplace, ketik 'Virtual Network'. Temukan Jaringan Virtual dari daftar yang dikembalikan dan pilih untuk membuka halaman Jaringan Virtual.
3. Pada halaman Jaringan Virtual, di bawah tombol Buat, Anda melihat "Terapkan dengan Manajer Sumber Daya (ubah ke Klasik)". Resource Manager adalah default untuk membuat VNet. Anda tidak ingin membuat Resource Manager VNet. Pilih (ubah ke Klasik) untuk membuat VNet Klasik. Lalu, pilih tab Gambaran Umum dan pilih Buat.
4. Di halaman Buat jaringan virtual (klasik) , pada tab Dasar, konfigurasikan pengaturan VNet dengan nilai contoh.
5. Pilih Tinjau + buat untuk memvalidasi VNet Anda.
6. Validasi berjalan. Setelah VNet divalidasi, pilih Buat.

Pengaturan DNS bukan merupakan bagian yang diperlukan dari konfigurasi ini, tetapi DNS diperlukan jika Anda ingin resolusi nama di antara VM Anda. Menentukan nilai tidak membuat server DNS baru. Alamat IP server DNS yang Anda tentukan harus server DNS yang dapat menyelesaikan nama untuk sumber daya yang Anda hubungkan.

Setelah membuat jaringan virtual, Anda dapat menambahkan alamat IP server DNS untuk menangani resolusi nama. Buka pengaturan untuk jaringan virtual Anda, pilih server DNS, dan tambahkan alamat IP server DNS yang ingin Anda gunakan untuk resolusi nama.

1. Temukan jaringan virtual di portal.
2. Pada halaman untuk jaringan virtual Anda, di bawah bagian Setelan, pilih server DNS.
3. Tambahkan server DNS.
4. Untuk menyimpan pengaturan Anda, pilih Simpan di bagian atas halaman.

Konfigurasikan situs dan gateway

Untuk mengonfigurasikan situs

Situs lokal biasanya mengacu ke lokasi lokal Anda. Ini berisi alamat IP perangkat VPN tempat Anda akan membuat koneksi, dan rentang alamat IP yang akan dirutekan melalui VPN gateway ke perangkat VPN.

1. Di halaman untuk VNet Anda, pada Pengaturan, pilih Koneksi situs-ke-situs.

2. Pada halaman Koneksi situs-ke-situs, pilihlah + Tambahkan.

3. Pada halaman Konfigurasi koneksi VPN dan gateway, untuk Tipe koneksi, biarkan Situs-ke-situs terpilih. Untuk latihan ini, Anda harus menggunakan kombinasi nilai contoh dan nilai Anda sendiri.

   • Alamat IP VPN gateway: Ini adalah alamat IP publik perangkat VPN untuk jaringan lokal Anda. Perangkat VPN memerlukan alamat IP publik IPv4. Tentukan alamat IP publik yang valid untuk perangkat VPN yang ingin Anda sambungkan. Alamat IP ini harus dapat dijangkau oleh Azure. Jika Anda tidak mengetahui alamat IP perangkat VPN, Anda selalu dapat memasukkan nilai tempat penampung (selama dalam format alamat IP publik yang valid) lalu mengubahnya nanti.

   • Ruang Alamat Klien: Cantumkan rentang alamat IP yang ingin Anda rutekan ke jaringan lokal lain melalui gateway ini. Anda dapat menambahkan beberapa rentang ruang alamat. Pastikan rentang yang Anda tentukan di sini tidak tumpang tindih dengan rentang jaringan lain yang tersambung ke jaringan virtual Anda atau dengan rentang alamat jaringan virtual itu sendiri.

4. Di bagian bawah halaman, JANGAN pilih Tinjau + buat. Sebagai gantinya, pilih Berikutnya: Gateway>.

Untuk mengonfigurasi gateway jaringan virtual

1. Di halaman Gateway, pilih nilai berikut ini:

   • Ukuran: Ini adalah SKU gateway yang Anda gunakan untuk membuat gateway jaringan virtual Anda. VPN gateway klasik menggunakan SKU gateway lama (warisan). Untuk informasi selengkapnya tentang SKU gateway warisan, lihat Bekerja dengan SKU gateway jaringan virtual (SKU lama). Anda dapat memilih Standar untuk latihan ini.

   • Jenis perutean: Pilih jenis perutean untuk gateway Anda. Ini juga dikenal sebagai jenis VPN. Penting untuk memilih jenis yang benar karena Anda tidak dapat mengubah satu jenis gateway ke jenis lainnya. Perangkat VPN Anda harus kompatibel dengan jenis perutean yang dipilih. Untuk informasi selengkapnya tentang Jenis Perutean, lihat Tentang Pengaturan VPN Gateway. Anda dapat melihat artikel yang merujuk ke jenis VPN 'RouteBased' dan 'PolicyBased'. 'Dinamis' sesuai dengan 'RouteBased', dan 'Statis' sesuai dengan' PolicyBased'. Biasanya, Anda mau perutean Dinamis.

   • Subnet gateway: Ukuran subnet gateway yang Anda tentukan tergantung pada konfigurasi VPN gateway yang ingin Anda buat. Meskipun dimungkinkan untuk membuat subnet gateway sekecil /29, kami menyarankan agar Anda menggunakan /27 atau /28. Cara ini membuat subnet lebih besar yang mencakup lebih banyak alamat. Dengan menggunakan subnet gateway yang lebih besar, Anda akan memiliki alamat IP yang cukup untuk mengakomodasi potensi konfigurasi di masa mendatang.

2. Pilihlah Tinjau + buat di bagian bawah halaman untuk memvalidasi pengaturan Anda. Pilih Buat untuk menyebarkan. Diperlukan waktu hingga 45 menit untuk membuat gateway jaringan virtual, tergantung pada SKU gateway yang Anda pilih.

Konfigurasi perangkat VPN Anda

Koneksi Situs ke Situs ke jaringan lokal memerlukan perangkat VPN. Dalam langkah ini, Anda mengonfigurasi perangkat VPN Anda. Saat mengonfigurasi perangkat VPN, Anda memerlukan nilai berikut:

• Kunci bersama. Ini adalah kunci bersama yang sama dengan yang Anda tentukan saat membuat koneksi VPN Situs-ke-Situs. Dalam contoh kami, kami menggunakan kunci bersama dasar. Kami menyarankan Anda membuat kunci yang lebih kompleks untuk digunakan.
• Alamat IP Publik gateway jaringan virtual Anda. Anda bisa menampilkan alamat IP publik dengan menggunakan portal Microsoft Azure, PowerShell, atau CLI.

Untuk mengunduh skrip konfigurasi perangkat VPN:

Tergantung pada perangkat VPN yang dimiliki, Anda mungkin dapat mengunduh skrip konfigurasi perangkat VPN. Untuk mengetahui informasi selengkapnya, lihat Mengunduh skrip konfigurasi perangkat VPN.

Lihat tautan berikut untuk mengetahui informasi konfigurasi tambahan:

• Untuk mengetahui informasi tentang perangkat VPN yang kompatibel, lihat Perangkat VPN.

• Sebelum mengonfigurasi perangkat VPN Anda, periksa Masalah kompatibilitas perangkat yang diketahui untuk perangkat VPN yang ingin Anda gunakan.

• Untuk tautan ke pengaturan konfigurasi perangkat, lihat Perangkat VPN yang Divalidasi. Tautan konfigurasi perangkat diberikan berdasarkan upaya terbaik. Ada baiknya untuk memeriksa produsen perangkat Anda untuk informasi konfigurasi terbaru. Daftar menunjukkan versi yang telah kami uji. Jika OS Anda tidak ada dalam daftar tersebut, masih ada kemungkinan bahwa versi tersebut kompatibel. Pastikan produsen perangkat untuk memverifikasi bahwa versi OS untuk perangkat VPN Anda kompatibel.

• Untuk gambaran umum konfigurasi perangkat VPN, lihat Gambaran umum konfigurasi perangkat VPN.

• Untuk mengetahui informasi tentang pengeditan sampel konfigurasi perangkat, lihat Pengeditan sampel.

• Untuk persyaratan kriptografis, lihat Tentang persyaratan kriptografis dan gateway VPN Azure.

• Untuk mengetahui informasi tentang parameter IPsec/IKE, lihat Tentang perangkat VPN dan parameter IPsec/IKE untuk koneksi gateway VPN Situs-ke-Situs. Tautan ini menunjukkan informasi tentang versi IKE, Grup Diffie-Hellman, Metode autentikasi, enkripsi dan algoritme hash, masa pakai SA, PFS, dan DPD, selain informasi parameter lain yang Anda perlukan untuk menyelesaikan konfigurasi.

• Untuk langkah-langkah konfigurasi kebijakan IPsec/IKE, lihat Mengonfigurasi kebijakan IPsec/IKE untuk koneksi VPN S2S atau VNet-ke-VNet.

• Untuk menyambungkan beberapa perangkat VPN berbasis kebijakan, lihat Menghubungkan gateway VPN Azure ke beberapa perangkat VPN berbasis kebijakan lokal menggunakan PowerShell.

Ambil nilai

Saat Anda membuat VNet klasik di portal Azure, nama yang Anda lihat bukan nama lengkap yang Anda gunakan untuk PowerShell. Misalnya, VNet yang tampaknya bernama TestVNet1 di portal, mungkin memiliki nama yang lebih panjang dalam file konfigurasi jaringan. Untuk VNet di grup sumber, nama "ClassicRG" mungkin terlihat seperti: Group ClassicRG TestVNet1. Saat Anda membuat koneksi, penting untuk menggunakan nilai yang Anda lihat dalam file konfigurasi jaringan.

Dalam langkah-langkah berikut, Anda akan tersambung ke akun Azure Anda dan mengunduh serta melihat file konfigurasi jaringan untuk mendapatkan nilai yang diperlukan untuk koneksi Anda.

1. Unduh dan instal versi terbaru Azure Service Management (SM) PowerShell cmdlet. Kebanyakan orang memiliki modul Resource Manager yang diinstal secara lokal, tetapi tidak memiliki modul Manajemen Layanan. Modul Manajemen Layanan adalah legacy dan harus diinstal secara terpisah. Untuk informasi selengkapnya, lihat Instal Manajemen Layanan cmdlet.

2. Buka konsol PowerShell Anda dengan hak yang ditinggikan dan sambungkan ke akun Anda. Gunakan contoh berikut untuk membantu Anda terhubung. Anda harus menjalankan perintah ini secara lokal menggunakan modul Manajemen Layanan PowerShell. Sambungkan ke akun Anda. Gunakan contoh berikut agar Anda terhubung:

   Add-AzureAccount
   

3. Periksa langganan untuk akun.

   Get-AzureSubscription
   

4. Jika Anda memiliki lebih dari satu langganan, pilih langganan yang ingin Anda gunakan.

   Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
   

5. Buat direktori pada komputer Anda. Misalnya, C:\AzureVNet

6. Ekspor file konfigurasi jaringan ke direktori. Dalam contoh ini, file konfigurasi jaringan diekspor ke C:\AzureNet.

   Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
   

7. Buka file dengan editor teks dan tampilkan nama-nama untuk VNet dan situs Anda. Nama-nama ini akan menjadi nama yang Anda gunakan ketika Anda membuat koneksi.
   Nama-nama VNet tercantum sebagai Nama VirtualNetworkSite =
   Nama-nama situs tercantum sebagai Nama LocalNetworkSiteRef =

Buat koneksi

Catatan

Untuk model penyebaran klasik, langkah ini tidak tersedia di portal Microsoft Azure atau melalui Azure Cloud Shell. Anda harus menggunakan Azure PowerShell cmdlet versi Service Management (SM) secara lokal dari desktop Anda.

Pada langkah ini, dengan nilai dari langkah sebelumnya, Anda mengatur kunci bersama dan membuat koneksi. Kunci yang Anda atur harus kunci yang sama dengan yang digunakan dalam konfigurasi perangkat VPN Anda.

1. Aturlah kunci bersama dan buat koneksi.

   • Ubah nilai -VNetName dan nilai -LocalNetworkSiteName. Saat menentukan nama yang berisi spasi, gunakan tanda kutip tunggal di sekitar nilai.
   • '-SharedKey' adalah nilai yang Anda buat lalu tentukan. Pada contoh, kami menggunakan 'abc123', tetapi Anda dapat (dan sebaiknya) membuat sesuatu yang lebih kompleks. Hal yang penting adalah bahwasanya nilai yang Anda tentukan di sini haruslah nilai yang sama dengan yang Anda tentukan saat mengonfigurasikan perangkat VPN Anda.

   Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
   -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
   

2. Saat koneksi dibuat, hasilnya adalah: Status: Berhasil.

Memverifikasi koneksi Anda

Di portal Azure, Anda bisa menampilkan status koneksi untuk VPN Gateway VNet klasik dengan menavigasi ke koneksi. Langkah-langkah berikut ini menunjukkan salah satu cara untuk menavigasi ke koneksi Anda dan memverifikasi.

1. Di portal Azure, buka jaringan virtual klasik Anda (VNet).
2. Di halaman jaringan virtual, pilih jenis koneksi yang ingin dilihat. Misalnya, Koneksi situs ke situs.
3. Pada halaman Koneksi situs ke situs, di bawah Nama, pilih koneksi situs yang ingin Anda tampilkan.
4. Pada halaman Properti, tampilkan informasi tentang koneksi.

Jika Anda mengalami masalah saat menyambung, lihat bagian Pemecahan Masalah dari daftar isi di panel sebelah kiri.

Cara mereset VPN gateway

Mengatur ulang Azure VPN Gateway mungkin berguna jika Anda kehilangan konektivitas VPN lintas lokal di satu atau beberapa terowongan VPN Situs-ke-Situs. Dalam situasi ini, semua perangkat VPN lokal Anda berfungsi dengan benar, tetapi tidak dapat membuat terowongan IPsec dengan Azure VPN Gateway. Untuk langkah-langkahnya, lihat Mereset VPN gateway.

Cara mengubah SKU gateway

Untuk langkah-langkah mengubah SKU gateway, lihat Mengubah ukuran SKU gateway.

Langkah berikutnya

• Setelah koneksi selesai, Anda dapat menambahkan komputer virtual ke jaringan virtual Anda. Untuk informasi selengkapnya, lihat Komputer Virtual.
• Untuk informasi tentang Penerowongan Paksa, lihat Tentang Penerowongan Paksa.