Zelfstudie: Een site-naar-site-VPN-verbinding maken in Azure Portal

In deze zelfstudie leert u hoe u Azure Portal gebruikt om een site-naar-site-VPN-gatewayverbinding (S2S) te maken tussen uw on-premises netwerk en een virtueel netwerk. U kunt deze configuratie ook maken met behulp van Azure PowerShell of de Azure CLI.

In deze zelfstudie leert u het volgende:

• Maak een virtueel netwerk.
• Maak een VPN-gateway.
• Maak een lokale netwerkgateway.
• Maak een VPN-verbinding.
• Controleer de VPN-verbinding.
• Verbinding maken naar een virtuele machine.

Vereisten

• U hebt een Azure-account met een actief abonnement nodig. Als u geen account hebt, kunt u er gratis een maken.
• Zorg ervoor dat u een compatibel VPN-apparaat hebt en iemand die het kan configureren. Zie Over VPN-apparaten voor meer informatie over compatibele VPN-apparaten en apparaatconfiguratie.
• Controleer of u een extern gericht openbaar IPv4-adres voor het VPN-apparaat hebt.
• Als u niet bekend bent met de IP-adresbereiken in uw on-premises netwerkconfiguratie, moet u contact opnemen met iemand die deze gegevens voor u kan opgeven. Wanneer u deze configuratie maakt, moet u de IP-adresbereikvoorvoegsels opgeven die Azure naar uw on-premises locatie doorstuurt. Geen van de subnetten van uw on-premises netwerk kan overlappen met de subnetten van het virtuele netwerk waarmee u verbinding wilt maken.

Een virtueel netwerk maken

In deze sectie maakt u een virtueel netwerk met behulp van de volgende waarden:

• Resourcegroep: TestRG1
• Naam: VNet1
• Regio: (VS) VS - oost
• IPv4-adresruimte: 10.1.0.0/16
• Subnetnaam: FrontEnd
• Subnetadresruimte: 10.1.0.0/24

Notitie

Wanneer u een virtueel netwerk gebruikt als onderdeel van een cross-premises architectuur, moet u contact opnemen met uw on-premises netwerkbeheerder om een IP-adresbereik te maken dat u specifiek voor dit virtuele netwerk kunt gebruiken. Als er een dubbel adresbereik bestaat aan beide zijden van de VPN-verbinding, wordt verkeer niet correct gerouteerd. Als u dit virtuele netwerk wilt verbinden met een ander virtueel netwerk, kan de adresruimte niet overlappen met het andere virtuele netwerk. Houd hier rekening mee als u uw netwerkconfiguratie gaan plannen.

1. Meld u aan bij het Azure-portaal.

2. Voer in Zoekbronnen, service en documenten (G+/) boven aan de portalpagina het virtuele netwerk in. Selecteer Virtueel netwerk in de zoekresultaten van Marketplace om de pagina Virtueel netwerk te openen.

3. Selecteer Maken op de pagina Virtueel netwerk om de pagina Virtueel netwerk maken te openen.

4. Configureer op het tabblad Basis de instellingen van het virtuele netwerk voor projectdetails en instantiedetails. U ziet een groen vinkje wanneer de waarden die u invoert, worden gevalideerd. U kunt de waarden in het voorbeeld aanpassen op basis van de instellingen die u nodig hebt.

   

   • Abonnement: controleer of het weergegeven abonnement het juiste is. U kunt abonnementen wijzigen met behulp van de vervolgkeuzelijst.
   • Resourcegroep: Selecteer een bestaande resourcegroep of selecteer Nieuwe maken om een nieuwe te maken. Zie Overzicht van Azure Resource Manager voor meer informatie over resourcegroepen.
   • Naam: geef de naam op voor het virtuele netwerk.
   • Regio: Selecteer de locatie voor uw virtuele netwerk. De locatie bepaalt waar de resources die u in dit virtuele netwerk implementeert, zich bevinden.

5. Selecteer Volgende of Beveiliging om naar het tabblad Beveiliging te gaan. Laat voor deze oefening de standaardwaarden voor alle services op deze pagina staan.

6. Selecteer IP-adressen om naar het tabblad IP-adressen te gaan. Configureer de instellingen op het tabblad IP-adressen .

   • IPv4-adresruimte: standaard wordt er automatisch een adresruimte gemaakt. U kunt de adresruimte selecteren en deze aanpassen om uw eigen waarden weer te geven. U kunt ook een andere adresruimte toevoegen en de standaardwaarde verwijderen die automatisch is gemaakt. U kunt bijvoorbeeld het beginadres opgeven als 10.1.0.0 en de adresruimtegrootte opgeven als /16. Selecteer Vervolgens Toevoegen om die adresruimte toe te voegen.

   • + Subnet toevoegen: Als u de standaardadresruimte gebruikt, wordt automatisch een standaardsubnet gemaakt. Als u de adresruimte wijzigt, voegt u een nieuw subnet toe binnen die adresruimte. Selecteer + Subnet toevoegen om het venster Subnet toevoegen te openen. Configureer de volgende instellingen en selecteer vervolgens Toevoegen onder aan de pagina om de waarden toe te voegen.

     • Subnetnaam: Een voorbeeld is FrontEnd.
     • Subnetadresbereik: Het adresbereik voor dit subnet. Voorbeelden zijn 10.1.0.0 en /24.

7. Controleer de pagina IP-adressen en verwijder eventuele adresruimten of subnetten die u niet nodig hebt.

8. Selecteer Beoordelen en maken om de instellingen voor het virtuele netwerk te valideren.

9. Nadat de instellingen zijn gevalideerd, selecteert u Maken om het virtuele netwerk te maken.

Nadat u uw virtuele netwerk hebt gemaakt, kunt u desgewenst Azure DDoS Protection configureren. Azure DDoS Protection is eenvoudig in te schakelen op een nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in toepassingen of resources. Zie Wat is Azure DDoS Protection? voor meer informatie over Azure DDoS Protection.

Een gatewaysubnet maken

Voor de virtuele netwerkgateway is een specifiek subnet met de naam GatewaySubnet vereist. Het gatewaysubnet maakt deel uit van het IP-adresbereik voor uw virtuele netwerk en bevat de IP-adressen die door de resources en services van de virtuele netwerkgateway worden gebruikt.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. Hoeveel IP-adressen er nodig zijn, is afhankelijk van de configuratie van de VPN-gateway die u wilt maken. Sommige configuraties vereisen meer IP-adressen dan andere. U kunt het beste /27 of groter (/26, /25, enzovoort) opgeven voor uw gatewaysubnet.

Als er een fout wordt weergegeven waarin wordt aangegeven dat de adresruimte overlapt met een subnet of dat het subnet zich niet in de adresruimte voor uw virtuele netwerk bevindt, controleert u het adresbereik van het virtuele netwerk. Mogelijk hebt u niet voldoende IP-adressen beschikbaar in het adresbereik dat u voor uw virtuele netwerk hebt gemaakt. Als uw standaardsubnet bijvoorbeeld het hele adresbereik omvat, zijn er geen IP-adressen meer subnetten te maken. U kunt uw subnetten in de bestaande adresruimte aanpassen om IP-adressen vrij te maken of een ander adresbereik opgeven en daar het gatewaysubnet maken.

1. Selecteer op de pagina voor uw virtuele netwerk in het linkerdeelvenster Subnetten om de pagina Subnetten te openen.
2. Selecteer boven aan de pagina het subnet + Gateway om het deelvenster Subnet toevoegen te openen.
3. De naam wordt automatisch ingevoerd als GatewaySubnet. Pas indien nodig de waarde van het IP-adresbereik aan. Een voorbeeld is 10.1.255.0/27.
4. Pas de andere waarden op de pagina niet aan. Selecteer Opslaan onder aan de pagina om het subnet op te slaan.

Een VPN-gateway maken

In deze stap maakt u de gateway van het virtuele netwerk voor uw virtuele netwerk. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU.

De gateway maken

Maak een virtuele netwerkgateway (VPN-gateway) met behulp van de volgende waarden:

• Naam: VNet1GW
• Regio: VS - oost
• Gatewaytype: VPN
• SKU: VpnGw2
• Generatie: Generatie 2
• Virtueel netwerk: VNet1
• Adresbereik van gatewaysubnet: 10.1.255.0/27
• Openbaar IP-adres: nieuwe maken
• Openbare IP-adresnaam: VNet1GWpip
• Actief-actiefmodus inschakelen: Uitgeschakeld
• BGP configureren: uitgeschakeld

1. Voer in Zoekbronnen, -services en -documenten (G+/) de gateway van het virtuele netwerk in. Zoek virtuele netwerkgateway in de zoekresultaten van Marketplace en selecteer deze om de pagina Gateway van het virtuele netwerk maken te openen.

   

2. Vul op het tabblad Basisinformatie de waarden in voor projectdetails en instantiedetails.

   

   • Abonnement: Selecteer het abonnement dat u wilt gebruiken in de vervolgkeuzelijst.

   • Resourcegroep: Deze instelling wordt automatisch ingevuld wanneer u uw virtuele netwerk op deze pagina selecteert.

   • Naam: naam van uw gateway. De naam van uw gateway is niet hetzelfde als het benoemen van een gatewaysubnet. Hier gaat het om de naam van het gatewayobject dat u maakt.

   • Regio: Selecteer de regio waarin u deze resource wilt maken. De regio voor de gateway moet hetzelfde zijn als die voor het virtuele netwerk.

   • Gatewaytype: selecteer VPN. VPN-gateways maken gebruik van een gateway van het virtuele netwerk van het type VPN.

   • SKU: Selecteer in de vervolgkeuzelijst de gateway-SKU die ondersteuning biedt voor de functies die u wilt gebruiken. Zie Gateway-SKU's. In de portal zijn de SKU's die beschikbaar zijn in de vervolgkeuzelijst, afhankelijk van de VPN type door u geselecteerde SKU's. De Basic-SKU kan alleen worden geconfigureerd met behulp van Azure CLI of PowerShell. U kunt de Basic-SKU niet configureren in Azure Portal.

   • Generatie: selecteer de generatie die u wilt gebruiken. U wordt aangeraden een Generation2-SKU te gebruiken. Zie Gateway-SKU's voor meer informatie.

   • Virtueel netwerk: Selecteer in de vervolgkeuzelijst het virtuele netwerk waaraan u deze gateway wilt toevoegen. Als u het virtuele netwerk waarvoor u een gateway wilt maken niet ziet, controleert u of u het juiste abonnement en de juiste regio hebt geselecteerd in de vorige instellingen.

   • Gatewaysubnetadresbereik of subnet: het gatewaysubnet is vereist om een VPN-gateway te maken.

     Op dit moment heeft dit veld een aantal verschillende gedragingen, afhankelijk van de adresruimte van het virtuele netwerk en of u al een subnet met de naam GatewaySubnet voor uw virtuele netwerk hebt gemaakt.

     Als u geen gatewaysubnet hebt en u geen optie ziet om er een te maken op deze pagina, gaat u terug naar uw virtuele netwerk en maakt u het gatewaysubnet. Ga vervolgens terug naar deze pagina en configureer de VPN-gateway.

3. Geef de waarden op voor het openbare IP-adres. Met deze instellingen geeft u het openbare IP-adresobject op dat wordt gekoppeld aan de VPN-gateway. Het openbare IP-adres wordt toegewezen aan dit object wanneer de VPN-gateway wordt gemaakt. De enige keer dat het primaire openbare IP-adres wordt gewijzigd, is wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet wanneer de grootte van uw VPN Gateway verandert, wanneer deze gateway opnieuw wordt ingesteld of wanneer andere interne onderhoudswerkzaamheden of upgrades worden uitgevoerd.

   

   • Type openbaar IP-adres: als u voor deze oefening de optie hebt om het adrestype te kiezen, selecteert u Standard.
   • Openbaar IP-adres: Laat Nieuwe maken geselecteerd.
   • Naam van openbaar IP-adres: Voer in het tekstvak een naam in voor uw exemplaar van het openbare IP-adres.
   • Openbare IP-adres-SKU: Instelling wordt automatisch geselecteerd.
   • Toewijzing: De toewijzing wordt doorgaans automatisch geselecteerd en kan dynamisch of statisch zijn.
   • Actief-actiefmodus inschakelen: Selecteer Uitgeschakeld. Schakel deze instelling alleen in als u een actief-actief-gatewayconfiguratie maakt.
   • BGP configureren: Selecteer Uitgeschakeld, tenzij voor uw configuratie specifiek deze instelling is vereist. Als u deze instelling wel nodig hebt, is de standaard-ASN 65515, hoewel deze waarde kan worden gewijzigd.

4. Selecteer Beoordelen en maken om de validatie uit te voeren.

5. Nadat de validatie is geslaagd, selecteert u Maken om de VPN-gateway te implementeren.

U kunt de implementatiestatus zien op de pagina Overzicht voor uw gateway. Het kan tot 45 minuten duren voordat een gateway volledig is gemaakt en geïmplementeerd. Nadat de gateway is gemaakt, kunt u het IP-adres bekijken dat eraan is toegewezen door naar het virtuele netwerk in de portal te kijken. De gateway wordt weergegeven als verbonden apparaat.

Belangrijk

Wanneer u met gatewaysubnetten werkt, moet u voorkomen dat u een netwerkbeveiligingsgroep (NSG) koppelt aan het gatewaysubnet. Als u een netwerkbeveiligingsgroep koppelt aan dit subnet, werkt uw virtuele netwerkgateway (VPN en ExpressRoute-gateways) mogelijk niet meer zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.

Het openbare IP-adres weergeven

U kunt het openbare IP-adres van de gateway weergeven op de pagina Overzicht voor uw gateway.

Als u meer informatie over het openbare IP-adresobject wilt zien, selecteert u de naam/IP-adreskoppeling naast het openbare IP-adres.

Een lokale netwerkgateway maken

De lokale netwerkgateway is een specifiek object dat uw on-premises locatie (de site) voor routering aangeeft. U geeft de site een naam waarmee Azure ernaar kan verwijzen en geef vervolgens het IP-adres op van het on-premises VPN-apparaat waarnaar u een verbinding maakt. U geeft ook de IP-adresvoorvoegsels op die worden gerouteerd via de VPN-gateway naar het VPN-apparaat. De adresvoorvoegsels die u opgeeft, zijn de voorvoegsels die zich in uw on-premises netwerk bevinden. Als uw on-premises netwerk verandert of als u het openbare IP-adres voor het VPN-apparaat moet wijzigen, kunt u de waarden later eenvoudig bijwerken.

Maak een lokale netwerkgateway met behulp van de volgende waarden:

• Naam: Site1
• Resourcegroep: TestRG1
• Locatie: VS - oost

1. Voer in De Azure-portal in Search-resources, -services en -documenten (G+/) de lokale netwerkgateway in. Zoek de lokale netwerkgateway onder Marketplace in de zoekresultaten en selecteer deze om de pagina Lokale netwerkgateway maken te openen.

2. Geef op de pagina Lokale netwerkgateway maken op het tabblad Basis de waarden voor uw lokale netwerkgateway op.

   

   • Abonnement: controleer of het juiste abonnement wordt weergegeven.
   • Resourcegroep: Selecteer de resourcegroep die u wilt gebruiken. U kunt een nieuwe resourcegroep maken of een resourcegroep selecteren die u al hebt gemaakt.
   • Regio: Selecteer de regio waarin dit object wordt gemaakt. Mogelijk wilt u dezelfde locatie selecteren waar uw virtuele netwerk zich bevindt, maar u hoeft dit niet te doen.
   • Naam: geef een naam op voor uw lokale netwerkgateway.
   • Eindpunt: selecteer het eindpunttype voor het on-premises VPN-apparaat als IP-adres of FQDN (Fully Qualified Domain Name).
     • IP-adres: Als u een statisch openbaar IP-adres hebt toegewezen van uw internetprovider (ISP) voor uw VPN-apparaat, selecteert u de optie IP-adres. Vul het IP-adres in zoals wordt weergegeven in het voorbeeld. Dit adres is het openbare IP-adres van het VPN-apparaat waarmee u Azure VPN Gateway verbinding wilt laten maken. Als u het IP-adres momenteel niet hebt, kunt u de waarden in het voorbeeld gebruiken. Later moet u teruggaan en uw tijdelijke ip-adres vervangen door het openbare IP-adres van uw VPN-apparaat. Anders kan Azure geen verbinding maken.
     • FQDN: Als u een dynamisch openbaar IP-adres hebt dat na een bepaalde periode kan veranderen, vaak bepaald door uw internetprovider, kunt u een constante DNS-naam met een dynamische DNS-service gebruiken om te verwijzen naar uw huidige openbare IP-adres van uw VPN-apparaat. Uw Azure VPN-gateway zet de FQDN om het openbare IP-adres te bepalen waarmee verbinding moet worden gemaakt.
   • Adresruimte: De adresruimte verwijst naar de adresbereiken voor het netwerk dat dit lokale netwerk vertegenwoordigt. U kunt meerdere adresruimtebereiken toevoegen. Zorg ervoor dat de bereiken die u hier opgeeft, niet overlappen met bereiken van andere netwerken waarmee u verbinding wilt maken. Azure routeert het adresbereik dat u opgeeft naar het IP-adres van het on-premises VPN-apparaat. Gebruik hier uw eigen waarden als u verbinding wilt maken met uw on-premises site, niet de waarden die worden weergegeven in het voorbeeld.

   Notitie

   • Azure VPN Gateway ondersteunt slechts één IPv4-adres voor elke FQDN. Als de domeinnaam wordt omgezet in meerdere IP-adressen, gebruikt VPN Gateway het eerste IP-adres dat door de DNS-servers wordt geretourneerd. Om de onzekerheid te beperken, raden we aan dat uw FQDN altijd een enkel IPv4-adres omzet. IPv6 wordt niet ondersteund.
   • VPN Gateway onderhoudt een DNS-cache die elke 5 minuten wordt vernieuwd. De gateway probeert alleen de FQDN's voor onderbroken tunnels om te zetten. Het opnieuw instellen van de gateway activeert ook FQDN-resolutie.
   • Hoewel azure VPN Gateway meerdere verbindingen met verschillende lokale netwerkgateways met verschillende FQDN's ondersteunt, moeten alle FQDN's worden omgezet naar verschillende IP-adressen.

3. Op het tabblad Geavanceerd kunt u zo nodig BGP-instellingen configureren.

4. Nadat u de waarden hebt opgegeven, selecteert u Controleren en maken onderaan de pagina om de pagina te valideren.

5. Klik op Maken om het lokale netwerkgateway-object te maken.

Uw VPN-apparaat configureren

Site-naar-site-verbindingen met een on-premises netwerk vereisen een VPN-apparaat. In deze stap configureert u het VPN-apparaat. Wanneer u uw VPN-apparaat configureert, hebt u de volgende waarden nodig:

• Gedeelde sleutel: deze gedeelde sleutel is dezelfde sleutel die u opgeeft wanneer u uw site-naar-site-VPN-verbinding maakt. In onze voorbeelden gebruiken we een eenvoudige gedeelde sleutel. We raden u aan een complexere sleutel te genereren.
• Openbaar IP-adres van uw virtuele netwerkgateway: u kunt het openbare IP-adres weergeven met behulp van Azure Portal, PowerShell of de Azure CLI. Als u het openbare IP-adres van uw VPN-gateway wilt vinden met behulp van Azure Portal, gaat u naar gateways van het virtuele netwerk en selecteert u vervolgens de naam van uw gateway.

Afhankelijk van het VPN-apparaat dat u hebt, kunt u mogelijk een configuratiescript voor een VPN-apparaat downloaden. Zie voor meer informatie Configuratiescripts van VPN-apparaat downloaden.

Zie de volgende koppelingen voor meer configuratie-informatie:

• Zie VPN-apparaten voor meer informatie over compatibele VPN-apparaten.
• Controleer voordat u uw VPN-apparaat configureert op bekende compatibiliteitsproblemen met apparaten voor het VPN-apparaat dat u wilt gebruiken.
• Zie Gevalideerde VPN-apparaten voor koppelingen naar instellingen voor apparaatconfiguratie. De koppelingen over apparaatconfiguratie worden naar beste vermogen geleverd. Het is altijd verstandig om de actuele configuratie-informatie op te vragen bij de fabrikant van uw apparaat. De lijst bevat de versies die we hebben getest. Als uw besturingssysteem niet in die lijst staat, is het nog steeds mogelijk dat de versie compatibel is. Neem contact op met de fabrikant van uw apparaat om te controleren of de versie van het besturingssysteem voor uw VPN-apparaat compatibel is.
• Zie Overzicht van VPN-apparaatconfiguraties van derden voor een overzicht van vpn-apparaatconfiguraties van derden.
• Zie Bewerkingsvoorbeelden voor voorbeelden van het bewerken van de apparaatconfiguratie.
• Zie Informatie over cryptografische vereisten en Azure VPN-gateways voor informatie over cryptografische vereisten.
• Zie Vpn-apparaten en IPsec-/IKE-parameters voor site-naar-site-VPN-gatewayverbindingen voor informatie over IPsec-/IKE-parameters. Deze koppeling bevat informatie over IKE-versie, Diffie-Hellman Group, verificatiemethode, versleuteling en hashing-algoritmen, SA-levensduur, PFS en DPD, naast andere parametergegevens die u nodig hebt om uw configuratie te voltooien.
• Zie IPsec-/IKE-beleidsconfiguratiestappen configureren voor site-naar-site-VPN- of VNet-naar-VNet-verbindingen voor IPsec-/IKE-beleid.
• Zie Connect Azure VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Azure VPN-gateways verbinden met meerdere on-premises, op beleid gebaseerde VPN-apparaten met behulp van PowerShell) om meerdere, op beleid gebaseerde VPN-apparaten te verbinden.

VPN-verbindingen maken

Maak een site-naar-site-VPN-verbinding tussen uw virtuele netwerkgateway en uw on-premises VPN-apparaat.

Maak een verbinding met behulp van de volgende waarden:

• Naam van lokale netwerkgateway: Site1
• Verbinding maken ionnaam: VNet1toSite1
• Gedeelde sleutel: In dit voorbeeld gebruikt u abc123. Maar u kunt alles gebruiken dat compatibel is met uw VPN-hardware. Het belangrijkste is dat de waarden aan beide zijden van de verbinding met elkaar overeenkomen.

1. Ga naar uw virtuele netwerk. Selecteer aan de linkerkant op de pagina van het virtuele netwerk Verbinding maken ed-apparaten. Zoek uw VPN-gateway en selecteer deze om deze te openen.

2. Op de pagina voor de gateway selecteert u Verbindingen.

3. Selecteer + Toevoegen bovenaan de pagina Verbinding maken ions om de pagina Verbinding maken te openen.

   

4. Configureer op de pagina Verbinding maken op het tabblad Basisbeginselen de waarden voor uw verbinding:

   • Selecteer onder Projectdetails het abonnement en de resourcegroep waar uw resources zich bevinden.

   • Configureer onder Instantiedetails de volgende instellingen:

     • Verbinding maken iontype: Selecteer Site-naar-site (IPSec).
     • Naam: de naam van de verbinding.
     • Regio: selecteer de regio voor deze verbinding.

5. Selecteer het tabblad Instellingen en configureer de volgende waarden:

   

   • Virtuele netwerkgateway: Selecteer de gateway van het virtuele netwerk in de vervolgkeuzelijst.
   • Lokale netwerkgateway: selecteer de lokale netwerkgateway in de vervolgkeuzelijst.
   • Gedeelde sleutel: de waarde moet overeenkomen met de waarde die u gebruikt voor uw lokale on-premises VPN-apparaat.
   • IKE-protocol: selecteer IKEv2.
   • Privé-IP-adres van Azure gebruiken: selecteer niet.
   • BGP inschakelen: selecteer deze optie niet.
   • FastPath: Selecteer niet.
   • IPsec-/IKE-beleid: Selecteer Standaard.
   • Op beleid gebaseerde verkeersselector gebruiken: Selecteer Uitschakelen.
   • Time-out van DPD in seconden: Selecteer 45.
   • Verbinding maken ionmodus: selecteer Standaard. Deze instelling wordt gebruikt om op te geven welke gateway de verbinding kan initiëren. Zie VPN Gateway-instellingen - Verbinding maken ionmodi voor meer informatie.

6. Voor NAT-regelskoppelingen laat u zowel Inkomend als Uitgaand verkeer geselecteerd als 0.

7. Selecteer Controleren en maken om de verbindingsinstellingen te valideren.

8. Selecteer Maken om de verbinding te maken.

9. Nadat de implementatie is voltooid, kunt u de verbinding weergeven op de pagina Verbinding maken ions van de gateway van het virtuele netwerk. De status verandert van Onbekend in Verbinding maken en vervolgens in Geslaagd.

Meer verbindingsinstellingen configureren (optioneel)

U kunt indien nodig meer instellingen voor uw verbinding configureren. Anders slaat u deze sectie over en laat u de standaardinstellingen staan. Zie Aangepast IPsec-/IKE-verbindingsbeleid configureren voor meer informatie.

1. Ga naar uw virtuele netwerkgateway en selecteer Verbinding maken ionen om de pagina Verbinding maken ions te openen.

2. Selecteer de naam van de verbinding die u wilt configureren om de pagina Verbinding maken ion te openen.

3. Selecteer Aan de linkerkant van de pagina Verbinding maken ion de optie Configuratie om de pagina Configuratie te openen. Breng de benodigde wijzigingen aan en selecteer Opslaan.

   In de volgende schermopnamen zijn de instellingen ingeschakeld, zodat u de configuratie-instellingen kunt zien die beschikbaar zijn in de portal. Selecteer de schermopname om de uitgevouwen weergave weer te geven. Wanneer u uw verbindingen configureert, configureert u alleen de instellingen die u nodig hebt. Laat anders de standaardinstellingen staan.

   

   

De VPN-verbinding controleren

In Azure Portal kunt u de verbindingsstatus van een VPN-gateway bekijken door naar de verbinding te gaan. In de volgende stappen ziet u een manier om naar uw verbinding te gaan en te controleren.

1. Selecteer in het menu van Azure Portal alle resources of zoek en selecteer alle resources op een willekeurige pagina.
2. Selecteer uw virtuele netwerkgateway.
3. Selecteer Verbinding maken ions in het deelvenster voor uw virtuele netwerkgateway. U ziet de status van elke verbinding.
4. Selecteer de naam van de verbinding die u wilt verifiëren om Essentials te openen. In het deelvenster Essentials kunt u meer informatie over uw verbinding bekijken. De status is Geslaagd en Verbinding maken nadat u verbinding hebt gemaakt.

Verbinding maken met een virtuele machine

U kunt verbinding maken met een virtuele machine die is geïmplementeerd in uw virtuele netwerk door een extern bureaublad-Verbinding maken ion met uw virtuele machine te maken. De beste manier om eerst te controleren of u verbinding met uw VM kunt maken is door verbinding te maken met behulp van het privé-IP-adres in plaats van de computernaam. Op die manier test u of u verbinding kunt maken, niet of naamomzetting correct is geconfigureerd.

1. Zoek het privé-IP-adres. U kunt het privé-IP-adres van een virtuele machine vinden door de eigenschappen voor de VIRTUELE machine te bekijken in Azure Portal of met behulp van PowerShell.

   • Azure Portal: zoek uw VIRTUELE machine in Azure Portal. Bekijk de eigenschappen voor de VM. Het privé-IP-adres wordt vermeld.

   • PowerShell: gebruik het voorbeeld om een lijst met VM's en privé-IP-adressen uit uw resourcegroepen weer te geven. U hoeft het voorbeeld niet te wijzigen voordat u het gebruikt.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Controleer of u bent verbonden met uw virtuele netwerk.

3. Open Extern bureaublad-Verbinding maken ion door RDP of Extern bureaublad-Verbinding maken ion in te voeren in het zoekvak op de taakbalk. Selecteer vervolgens Extern bureaublad Verbinding maken ion. U kunt extern bureaublad ook openen Verbinding maken ion met behulp van de mstsc opdracht in PowerShell.

4. Voer het privé-IP-adres van de VM in Verbinding met extern bureaublad in. U kunt Opties weergeven selecteren om andere instellingen aan te passen en vervolgens verbinding te maken.

Als u problemen ondervindt bij het maken van verbinding met een VIRTUELE machine via uw VPN-verbinding, controleert u de volgende punten:

• Controleer of uw VPN-verbinding tot stand is gebracht.
• Controleer of u verbinding maakt met het privé-IP-adres voor de VM.
• Als u verbinding kunt maken met de virtuele machine met behulp van het privé-IP-adres, maar niet de computernaam, controleert u of u DNS juist hebt geconfigureerd. Zie Naamomzetting voor VM's voor meer informatie over de werking van naamomzetting voor VM's.

Zie Problemen met Extern-bureaubladverbindingen met een VM oplossen voor meer informatie over Extern-bureaubladverbindingen.

Optionele stappen

In deze sectie worden opties beschreven die voor u beschikbaar zijn.

Het formaat van een gateway-SKU wijzigen

Er zijn specifieke regels voor het wijzigen van de grootte en het wijzigen van een gateway-SKU. In deze sectie wijzigt u het formaat van de SKU. Zie Het formaat van gateway-SKU's wijzigen of het formaat ervan wijzigen voor meer informatie.

1. Ga naar de pagina Configuratie voor uw virtuele netwerkgateway.

2. Selecteer aan de rechterkant van de pagina de vervolgkeuzepijl om een lijst met beschikbare SKU's weer te geven.

   U ziet dat de lijst alleen SKU's vult die u kunt gebruiken om het formaat van uw huidige SKU te wijzigen. Als u de SKU die u wilt gebruiken niet ziet in plaats van het formaat te wijzigen, moet u overschakelen naar een nieuwe SKU.

   

3. Selecteer de SKU in de vervolgkeuzelijst.

Een gateway opnieuw instellen

Het opnieuw instellen van een Azure VPN-gateway is handig als u cross-premises VPN-connectiviteit verliest in een of meer site-to-site-VPN-tunnels. In een dergelijke situatie functioneren al uw on-premises VPN-apparaten naar behoren, maar kunnen ze geen IPsec-tunnels tot stand brengen met de Azure VPN-gateways.

1. Ga in de portal naar de virtueel netwerkgateway die u opnieuw wilt instellen.
2. Schuif op de pagina Gateway van het virtuele netwerk in het linkerdeelvenster omlaag naar Opnieuw instellen.
3. Selecteer Opnieuw instellen op de pagina Opnieuw instellen. Nadat de opdracht is uitgegeven, wordt het huidige actieve exemplaar van Azure VPN Gateway onmiddellijk opnieuw opgestart. Het opnieuw instellen van de gateway veroorzaakt een hiaat in VPN-connectiviteit en kan de analyse van de hoofdoorzaak van het probleem beperken.

Een andere verbinding toevoegen

U kunt een verbinding maken met meerdere on-premises sites vanaf dezelfde VPN-gateway. Als u meerdere verbindingen wilt configureren, kunnen de adresruimten niet overlappen tussen een van de verbindingen.

1. Als u nog een verbinding wilt toevoegen, gaat u naar de VPN-gateway en selecteert u Verbinding maken ions om de pagina Verbinding maken ions te openen.
2. Selecteer + Toevoegen om uw verbinding toe te voegen. Pas het verbindingstype aan zodat dit overeenkomt met netwerk-naar-netwerk (als u verbinding maakt met een andere virtuele netwerkgateway) of site-naar-site.
3. Als u verbinding maakt via site-naar-site en u nog geen lokale netwerkgateway hebt gemaakt voor de site waarmee u verbinding wilt maken, kunt u een nieuwe maken.
4. Geef de gedeelde sleutel op die u wilt gebruiken en selecteer vervolgens OK om de verbinding te maken.

Meer configuratieoverwegingen

U kunt site-naar-site-configuraties op verschillende manieren aanpassen. Raadpleeg voor meer informatie de volgende artikelen:

• Zie het BGP-overzicht en het configureren van BGP voor meer informatie over BGP.
• Zie Informatie over geforceerde tunneling voor meer informatie over geforceerde tunneling.
• Zie Maximaal beschikbare cross-premises en VNet-naar-VNet-connectiviteit voor informatie over maximaal beschikbare actief-actieve verbindingen.
• Zie Netwerkbeveiliging voor informatie over het beperken van netwerkverkeer naar resources in een virtueel netwerk.
• Zie Routering van virtueel netwerkverkeer voor informatie over hoe Azure verkeer routeert tussen Azure-, on-premises en internetbronnen.

Resources opschonen

Als u deze toepassing niet meer gaat gebruiken of naar de volgende zelfstudie gaat, verwijdert u deze resources.

1. Voer de naam van uw resourcegroep in het vak Zoeken bovenaan de portal in en selecteer het in de zoekresultaten.
2. Selecteer Resourcegroep verwijderen.
3. Voer uw resourcegroep in voor TYP DE NAAM VAN DE RESOURCEGROEP en selecteer Verwijderen.

Volgende stappen

Nadat u een site-naar-site-verbinding hebt geconfigureerd, kunt u een punt-naar-site-verbinding toevoegen aan dezelfde gateway.

Punt-naar-site-VPN-verbindingen