Veelgestelde vragen VPN-gatewaysVPN Gateway FAQ

Verbinding maken met virtuele netwerkenConnecting to virtual networks

Kan ik virtuele netwerken in verschillende Azure-regio's verbinden?Can I connect virtual networks in different Azure regions?

Ja.Yes. Er is zelfs helemaal geen regiobeperking.In fact, there is no region constraint. Een virtueel netwerk kan verbinding maken met een ander virtueel netwerk in dezelfde regio of in een andere Azure-regio.One virtual network can connect to another virtual network in the same region, or in a different Azure region.

Kan ik virtuele netwerken uit verschillende abonnementen verbinden?Can I connect virtual networks in different subscriptions?

Ja.Yes.

Kan ik vanuit één virtueel netwerk verbinding maken met meerdere sites?Can I connect to multiple sites from a single virtual network?

U kunt verbinding maken met meerdere sites met behulp van Windows PowerShell en de REST-API's van Azure.You can connect to multiple sites by using Windows PowerShell and the Azure REST APIs. Raadpleeg de sectie Veelgestelde vragen bij Multi-site- en VNet-naar-VNet-connectiviteit.See the Multi-Site and VNet-to-VNet Connectivity FAQ section.

Zijn er extra kosten verbonden aan het instellen van een VPN-gateway als actief-actief?Is there an additional cost for setting up a VPN gateway as active-active?

Nee.No.

Wat zijn de opties voor cross-premises-verbinding?What are my cross-premises connection options?

De volgende cross-premises verbindingen worden ondersteund:The following cross-premises connections are supported:

  • Site-naar-site: VPN-verbinding via IPsec (IKE v1 en IKE v2).Site-to-Site – VPN connection over IPsec (IKE v1 and IKE v2). Voor dit type verbinding is een VPN-apparaat of RRAS vereist.This type of connection requires a VPN device or RRAS. Zie Site-naar-site voor meer informatie.For more information, see Site-to-Site.
  • Punt-naar-site: VPN-verbinding via SSTP (Secure Socket Tunneling Protocol) of IKE v2.Point-to-Site – VPN connection over SSTP (Secure Socket Tunneling Protocol) or IKE v2. Voor deze verbinding is geen VPN-apparaat vereist.This connection does not require a VPN device. Zie Punt-naar-site voor meer informatie.For more information, see Point-to-Site.
  • VNet-naar-VNet: dit type verbinding is hetzelfde als de site-naar-site-configuratie.VNet-to-VNet – This type of connection is the same as a Site-to-Site configuration. VNet-naar-VNet is een VPN-verbinding via IPsec (IKE v1 en IKE v2).VNet to VNet is a VPN connection over IPsec (IKE v1 and IKE v2). Hiervoor is geen VPN-apparaat vereist.It does not require a VPN device. Zie VNet-naar-VNet voor meer informatie.For more information, see VNet-to-VNet.
  • Multi-site: dit is een variant op een site-naar-site-configuratie waarmee u meerdere on-premises sites kunt verbinden met een virtueel netwerk.Multi-Site – This is a variation of a Site-to-Site configuration that allows you to connect multiple on-premises sites to a virtual network. Zie Multi-site voor meer informatie.For more information, see Multi-Site.
  • ExpressRoute: ExpressRoute is een particuliere verbinding met Azure van uw WAN, en niet een VPN-verbinding via het open bare Internet.ExpressRoute – ExpressRoute is a private connection to Azure from your WAN, not a VPN connection over the public Internet. Raadpleeg het Technisch overzicht van ExpressRoute en de Veelgestelde vragen over ExpressRoute voor meer informatie.For more information, see the ExpressRoute Technical Overview and the ExpressRoute FAQ.

Zie Informatie over VPN Gateway voor meer informatie over VPN-gatewayverbindingen.For more information about VPN gateway connections, see About VPN Gateway.

Wat is het verschil tussen een site-naar-site-verbinding en een punt-naar-site?What is the difference between a Site-to-Site connection and Point-to-Site?

Er is sprake van site-naar-site-configuraties (IPsec-/IKE VPN-tunnel) tussen uw on-premises locatie en Azure.Site-to-Site (IPsec/IKE VPN tunnel) configurations are between your on-premises location and Azure. Dit betekent dat u vanaf elke computer op uw locatie verbinding kunt maken met elke virtuele machine of rolinstantie binnen uw virtuele netwerk, afhankelijk van hoe u routering en machtigingen wilt configureren.This means that you can connect from any of your computers located on your premises to any virtual machine or role instance within your virtual network, depending on how you choose to configure routing and permissions. Het is een geweldige optie voor een cross-premises-verbinding die altijd beschikbaar is.It's a great option for an always-available cross-premises connection and is well-suited for hybrid configurations. Dit type verbinding is afhankelijk van een IPsec-VPN-apparaat (hardwareapparaat of software) dat aan de rand van uw netwerk moet worden geïmplementeerd.This type of connection relies on an IPsec VPN appliance (hardware device or soft appliance), which must be deployed at the edge of your network. Als u dit type verbinding wilt maken, moet u een extern gericht IPv4-adres hebben.To create this type of connection, you must have an externally facing IPv4 address.

Met punt-naar-site-configuraties (VPN via SSTP) kunt u vanaf één computer waar dan ook verbinding maken met alles binnen het virtuele netwerk.Point-to-Site (VPN over SSTP) configurations let you connect from a single computer from anywhere to anything located in your virtual network. Hiervoor wordt de met Windows meegeleverde VPN-client gebruikt.It uses the Windows in-box VPN client. Als onderdeel van de punt-naar-site-configuratie installeert u een certificaat en een VPN-clientconfiguratiepakket. Dit pakket bevat de instellingen waarmee de computer verbinding kan maken met elke virtuele machine of rolinstantie in het virtuele netwerk.As part of the Point-to-Site configuration, you install a certificate and a VPN client configuration package, which contains the settings that allow your computer to connect to any virtual machine or role instance within the virtual network. Het is ideaal wanneer u verbinding wilt maken met een virtueel netwerk maar u zich niet on-premises bevindt.It's great when you want to connect to a virtual network, but aren't located on-premises. Het is ook een goede optie wanneer u geen toegang hebt tot VPN-hardware of een extern gericht IPv4-adres, twee zaken die vereist zijn voor een site-naar-site-verbinding.It's also a good option when you don't have access to VPN hardware or an externally facing IPv4 address, both of which are required for a Site-to-Site connection.

U kunt uw virtuele netwerk configureren om tegelijkertijd gebruik te maken van site-naar-site en punt-naar-site, mits u de site-naar-site-verbinding maakt met een op route gebaseerd VPN-type voor uw gateway.You can configure your virtual network to use both Site-to-Site and Point-to-Site concurrently, as long as you create your Site-to-Site connection using a route-based VPN type for your gateway. Op route gebaseerde VPN-typen worden in het klassieke implementatiemodel dynamische gateways genoemd.Route-based VPN types are called dynamic gateways in the classic deployment model.

Virtuele netwerkgatewaysVirtual network gateways

Is een VPN-gateway een virtuele netwerkgateway?Is a VPN gateway a virtual network gateway?

Een VPN-gateway is een type virtuele netwerkgateway.A VPN gateway is a type of virtual network gateway. Een VPN-gateway verzendt via een openbare verbinding versleuteld verkeer tussen uw virtuele netwerk en uw on-premises locatie.A VPN gateway sends encrypted traffic between your virtual network and your on-premises location across a public connection. U kunt ook een VPN-gateway gebruiken om verkeer te verzenden tussen virtuele netwerken.You can also use a VPN gateway to send traffic between virtual networks. Wanneer u een VPN-gateway maakt, kunt u de waarde -GatewayType-waarde Vpn gebruiken.When you create a VPN gateway, you use the -GatewayType value 'Vpn'. Zie Informatie over VPN-gatewayconfiguratie-instellingen voor meer informatie.For more information, see About VPN Gateway configuration settings.

Wat is een op beleid gebaseerde gateway (statische routering)?What is a policy-based (static-routing) gateway?

Op beleid gebaseerde gateways implementeren op beleid gebaseerde VPN's.Policy-based gateways implement policy-based VPNs. Op beleid gebaseerde VPN-verbindingen versleutelen pakketten en versturen deze op basis van de combinaties van adresvoorvoegsels tussen uw on-premises netwerk en het Azure-VNET.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the combinations of address prefixes between your on-premises network and the Azure VNet. Het beleid (of de verkeersselector) wordt gewoonlijk gedefinieerd als een toegangslijst in de VPN-configuratie.The policy (or Traffic Selector) is usually defined as an access list in the VPN configuration.

Wat is een op route gebaseerde gateway (dynamische routering)?What is a route-based (dynamic-routing) gateway?

Op route gebaseerde gateways implementeren op route gebaseerde VPN's.Route-based gateways implement the route-based VPNs. VPN-verbindingen op basis van een route gebruiken "routes" in de IP-doorstuurtabel of routeringstabel om pakketten naar de bijbehorende tunnelinterfaces te sturen.Route-based VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. De tunnelinterfaces versleutelen of ontsleutelen de pakketten vervolgens naar en vanuit de tunnels.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Het beleid of de verkeersselector voor op route gebaseerde VPN's is geconfigureerd als alles-naar-alles (of jokertekens).The policy or traffic selector for route-based VPNs are configured as any-to-any (or wild cards).

Kan ik mijn op beleid gebaseerde VPN-gateway bijwerken naar op route gebaseerd?Can I update my policy-based VPN gateway to route-based?

Nee.No. Een gateway van het type Azure-Vnet kan niet worden gewijzigd van op beleid gebaseerd in op route gebaseerd, of andersom.An Azure Vnet gateway type cannot be changed from policy-based to route-based or the other way. De gateway moet worden verwijderd en opnieuw worden gemaakt. Dit duurt ongeveer 60 minuten.The gateway must be deleted and recreated, a process taking around 60 minutes. Het IP-adres van de gateway en ook de PSK (vooraf gedeelde sleutel) blijven niet behouden.The IP address of the gateway will not be preserved nor will the Pre-Shared Key (PSK).

  1. Verwijder alle verbindingen die zijn gekoppeld aan de gateway die moet worden verwijderd.Delete any connections associated with the gateway to be deleted.
  2. Gateway verwijderen:Delete the gateway:
  3. Maak een nieuwe gateway van het type dat u wilt en voltooi de VPN-installatie.Create a new gateway of the type you want and complete the VPN setup.

Heb ik een gatewaysubnet nodig?Do I need a 'GatewaySubnet'?

Ja.Yes. Het gatewaysubnet bevat de IP-adressen waarvan de virtuele-netwerkgatewayservices gebruik van maken.The gateway subnet contains the IP addresses that the virtual network gateway services use. U moet een gatewaysubnet maken voor uw VNet om een virtuele netwerkgateway te kunnen configureren.You need to create a gateway subnet for your VNet in order to configure a virtual network gateway. Voor een goede werking moeten alle gatewaysubnetten de naam GatewaySubnet krijgen.All gateway subnets must be named 'GatewaySubnet' to work properly. Geef het gatewaysubnet geen andere naam.Don't name your gateway subnet something else. Implementeer ook geen VM's of iets anders in het gatewaysubnet.And don't deploy VMs or anything else to the gateway subnet.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. De IP-adressen in het gatewaysubnet worden toegewezen aan de gatewayservice.The IP addresses in the gateway subnet are allocated to the gateway service. Bij sommige configuraties moeten er meer IP-adressen worden toegewezen aan de gatewayservices dan bij andere.Some configurations require more IP addresses to be allocated to the gateway services than do others. U moet ervoor zorgen dat uw gatewaysubnet voldoende IP-adressen bevat om groei mogelijk te maken en om mogelijke nieuwe verbindingsconfiguraties toe te kunnen voegen.You want to make sure your gateway subnet contains enough IP addresses to accommodate future growth and possible additional new connection configurations. U kunt dus wel een gatewaysubnet maken met een grootte van slechts /29, maar het wordt aangeraden om een gatewaysubnet van /27 of groter te maken (/27, /26, /25 enz.).So, while you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26, /25 etc.). Bekijk de vereisten voor de configuratie die u wilt gebruiken en controleer of het gatewaysubnet dat u hebt, voldoet aan deze vereisten.Look at the requirements for the configuration that you want to create and verify that the gateway subnet you have will meet those requirements.

Kan ik Virtual Machines of rolinstanties implementeren in het gatewaysubnet?Can I deploy Virtual Machines or role instances to my gateway subnet?

Nee.No.

Kan ik het IP-adres van de VPN-gateway verkrijgen voordat ik de gateway maak?Can I get my VPN gateway IP address before I create it?

Zone-redundante en zonegebonden-gateways (gateway-Sku's die AZ in de naam hebben) beide vertrouwen op een standaard-SKU Azure open bare IP-resource.Zone-redundant and zonal gateways (gateway SKUs that have AZ in the name) both rely on a Standard SKU Azure public IP resource. Open bare IP-resources voor Azure Standard SKU moeten een statische toewijzings methode gebruiken.Azure Standard SKU public IP resources must use a static allocation method. Daarom hebt u het open bare IP-adres voor uw VPN-gateway wanneer u de open bare standaard-SKU-resource maakt die u wilt gebruiken.Therefore, you will have the public IP address for your VPN gateway as soon as you create the Standard SKU public IP resource you intend to use for it.

Voor niet-zone-redundante en niet-zonegebonden gateways (gateway-Sku's zonder AZ in de naam), kunt u het IP-adres van de VPN-gateway niet ophalen voordat het wordt gemaakt.For non-zone-redundant and non-zonal gateways (gateway SKUs that do not have AZ in the name), you cannot get the VPN gateway IP address before it is created. Het IP-adres wordt alleen gewijzigd als u de VPN-gateway verwijdert en opnieuw maakt.The IP address changes only if you delete and re-create your VPN gateway.

Kan ik een statisch openbaar IP-adres voor mijn VPN-gateway aanvragen?Can I request a Static Public IP address for my VPN gateway?

Zoals hierboven vermeld, zijn zone-redundante en zonegebonden-gateways (gateway-Sku's met AZ in de naam) beide gebaseerd op een standaard-SKU Azure open bare IP-resource.As stated above, zone-redundant and zonal gateways (gateway SKUs that have AZ in the name) both rely on a Standard SKU Azure public IP resource. Open bare IP-resources voor Azure Standard SKU moeten een statische toewijzings methode gebruiken.Azure Standard SKU public IP resources must use a static allocation method.

Voor niet-zone-redundante en niet-zonegebonden gateways (gateway-Sku's zonder AZ in de naam) wordt alleen dynamische IP-adres toewijzing ondersteund.For non-zone-redundant and non-zonal gateways (gateway SKUs that do not have AZ in the name), only dynamic IP address assignment is supported. Dit betekent echter niet dat het IP-adres verandert nadat het aan uw VPN-gateway is toegewezen.However, this doesn't mean that the IP address changes after it has been assigned to your VPN gateway. De enige keer dat het IP-adres van de VPN-gateway verandert wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt.The only time the VPN gateway IP address changes is when the gateway is deleted and then re-created. Het open bare IP-adres van de VPN-gateway verandert niet wanneer u het formaat van het apparaat wijzigt, opnieuw instelt of een ander intern onderhoud en upgrades van uw VPN-gateway uitvoert.The VPN gateway public IP address doesn't change when you resize, reset, or complete other internal maintenance and upgrades of your VPN gateway.

Hoe wordt mijn VPN-tunnel geverifieerd?How does my VPN tunnel get authenticated?

Azure VPN maakt gebruik van PSK-verificatie (verificatie op basis van een vooraf gedeelde sleutel).Azure VPN uses PSK (Pre-Shared Key) authentication. Er wordt een PSK (vooraf gedeelde sleutel) gegenereerd wanneer de VPN-tunnel wordt gemaakt.We generate a pre-shared key (PSK) when we create the VPN tunnel. Met de PowerShell-cmdlet of REST-API Set Pre-Shared Key kunt u de automatisch gegenereerde PSK wijzigen in een eigen sleutel.You can change the auto-generated PSK to your own with the Set Pre-Shared Key PowerShell cmdlet or REST API.

Kan ik de API Set Pre-Shared Key gebruiken om een op beleid gebaseerde VPN-gateway (statische routering) te configureren?Can I use the Set Pre-Shared Key API to configure my policy-based (static routing) gateway VPN?

Ja, u kunt de API en PowerShell-cmdlet Set Pre-Shared Key gebruiken om zowel op beleid gebaseerde (statische) VPN's als op route gebaseerde VPN's (dynamische routering) van Azure te configureren.Yes, the Set Pre-Shared Key API and PowerShell cmdlet can be used to configure both Azure policy-based (static) VPNs and route-based (dynamic) routing VPNs.

Kan ik andere verificatieopties gebruiken?Can I use other authentication options?

U kunt alleen PSK-verificatie (vooraf gedeelde sleutels) gebruiken.We are limited to using pre-shared keys (PSK) for authentication.

Hoe geef ik op welk verkeer via de VPN-gateway loopt?How do I specify which traffic goes through the VPN gateway?

Resource Manager-implementatiemodelResource Manager deployment model

  • PowerShell: gebruik 'AddressPrefix' om verkeer voor de gateway van het lokale netwerk op te geven.PowerShell: use "AddressPrefix" to specify traffic for the local network gateway.
  • Azure Portal: ga naar de gateway van het lokale netwerk > Configuratie > Adresruimte.Azure portal: navigate to the Local network gateway > Configuration > Address space.

Klassiek implementatiemodelClassic deployment model

  • Azure Portal: ga naar het klassieke virtuele netwerk > VPN-verbindingen > Site-naar-site VPN-verbindingen > Naam lokale site > Lokale site > Adresruimte van client.Azure portal: navigate to the classic virtual network > VPN connections > Site-to-site VPN connections > Local site name > Local site > Client address space.

Kan ik geforceerde tunneling configureren?Can I configure Force Tunneling?

Ja.Yes. Zie Configure force tunneling (Geforceerde tunneling configureren).See Configure force tunneling.

Kan ik NAT-T op mijn VPN-verbindingen gebruiken?Can I use NAT-T on my VPN connections?

Ja, NAT-Traversal (NAT-T) wordt ondersteund.Yes, NAT traversal (NAT-T) is supported. Er wordt door Azure VPN Gateway geen NAT-achtige functionaliteit uitgevoerd voor de interne pakketten van/naar de IPsec-tunnels.Azure VPN Gateway will NOT perform any NAT-like functionality on the inner packets to/from the IPsec tunnels. Controleer in deze configuratie of het on-premises apparaat de IPSec-tunnel initieert.In this configuration, please ensure the on-premises device initiates the IPSec tunnel.

Kan ik mijn eigen VPN-server in Azure instellen en deze gebruiken om verbinding te maken met mijn on-premises netwerk?Can I set up my own VPN server in Azure and use it to connect to my on-premises network?

Ja, kunt u uw eigen VPN-gateways of -servers in Azure implementeren vanuit de Azure Marketplace of door uw eigen VPN-routers te implementeren.Yes, you can deploy your own VPN gateways or servers in Azure either from the Azure Marketplace or creating your own VPN routers. U moet in het virtuele netwerk zelfgedefinieerde routes configureren om ervoor te zorgen dat verkeer juist wordt gerouteerd tussen uw on-premises netwerken en de subnetten van het virtuele netwerk.You need to configure user-defined routes in your virtual network to ensure traffic is routed properly between your on-premises networks and your virtual network subnets.

Waarom worden bepaalde poorten geopend op mijn virtuele netwerk gateway?Why are certain ports opened on my virtual network gateway?

Deze zijn nodig voor communicatie met de Azure-infrastructuur.They are required for Azure infrastructure communication. Ze zijn beveiligd (vergrendeld) met Azure-certificaten.They are protected (locked down) by Azure certificates. Zonder de juiste certificaten kunnen externe entiteiten, waaronder de klanten van deze gateways, niets uitvoeren op de eindpunten.Without proper certificates, external entities, including the customers of those gateways, will not be able to cause any effect on those endpoints.

Een virtuele netwerk gateway is fundamenteel een multi-Home apparaat met één NIC die op het privé netwerk van de klant tikt en één NIC gericht op het open bare netwerk.A virtual network gateway is fundamentally a multi-homed device with one NIC tapping into the customer private network, and one NIC facing the public network. Infrastructuurentiteiten van Azure hebben om wettelijke redenen geen toegang tot particuliere netwerken van klanten. Daarom moeten ze voor infrastructuurcommunicatie gebruikmaken van openbare eindpunten.Azure infrastructure entities cannot tap into customer private networks for compliance reasons, so they need to utilize public endpoints for infrastructure communication. De openbare eindpunten worden periodiek gescand door de beveiligingscontrole van Azure.The public endpoints are periodically scanned by Azure security audit.

Meer informatie over gatewaytypen, vereisten en doorvoerMore information about gateway types, requirements, and throughput

Zie Informatie over VPN-gatewayconfiguratie-instellingen voor meer informatie.For more information, see About VPN Gateway configuration settings.

Site-naar-site-verbindingen en VPN-apparatenSite-to-Site connections and VPN devices

Waaraan moet ik denken bij het selecteren van een VPN-apparaat?What should I consider when selecting a VPN device?

We hebben samen met apparaatleveranciers een reeks standaard site-naar-site-VPN-apparaten gevalideerd.We have validated a set of standard Site-to-Site VPN devices in partnership with device vendors. In het artikel Over VPN-apparaten vindt u een lijst met bekende compatibele VPN-apparaten, de bijbehorende configuratie-instructies of -voorbeelden en apparaatspecificaties.A list of known compatible VPN devices, their corresponding configuration instructions or samples, and device specs can be found in the About VPN devices article. Alle apparaten in de vermelde apparaatfamilies die als compatibel worden weergegeven, zouden met Virtual Network moeten werken.All devices in the device families listed as known compatible should work with Virtual Network. Als hulp bij de configuratie van uw VPN-apparaat kunt u het voorbeeld van de apparaatconfiguratie raadplegen of de koppeling bij de betreffende apparaatfamilie.To help configure your VPN device, refer to the device configuration sample or link that corresponds to appropriate device family.

Waar vind ik configuratie-instellingen voor VPN-apparaten?Where can I find VPN device configuration settings?

Om configuratiescripts voor VPN-apparaten te downloadenTo download VPN device configuration scripts:

Afhankelijk van het VPN-apparaat dat u hebt, kunt u mogelijk een script van VPN-apparaatconfiguratie downloaden.Depending on the VPN device that you have, you may be able to download a VPN device configuration script. Zie voor meer informatie Configuratiescripts van VPN-apparaat downloaden.For more information, see Download VPN device configuration scripts.

Zie de volgende links voor meer informatie over configuratie:See the following links for additional configuration information:

Hoe bewerk ik voorbeelden van VPN-apparaatconfiguraties?How do I edit VPN device configuration samples?

Zie Bewerkingsvoorbeelden voor voorbeelden van het bewerken van de apparaatconfiguratie.For information about editing device configuration samples, see Editing samples.

Waar vind ik IPsec- en IKE-parameters?Where do I find IPsec and IKE parameters?

Zie Parameters voor de IPsec/IKE-parameters.For IPsec/IKE parameters, see Parameters.

Waarom wordt mijn op beleid gebaseerde VPN-tunnel inactief als er geen verkeer is?Why does my policy-based VPN tunnel go down when traffic is idle?

Dit is normaal voor op beleid gebaseerde VPN-gateways (ook wel bekend als statische routering genoemd).This is expected behavior for policy-based (also known as static routing) VPN gateways. Wanneer er langer dan vijf minuten geen verkeer is via de tunnel, wordt de tunnel verwijderd.When the traffic over the tunnel is idle for more than 5 minutes, the tunnel will be torn down. Zodra er verkeer is in een van de richtingen, wordt de tunnel onmiddellijk opnieuw ingesteld.When traffic starts flowing in either direction, the tunnel will be reestablished immediately.

Kan ik software-VPN's gebruiken om verbinding te maken met Azure?Can I use software VPNs to connect to Azure?

Windows Server 2012 RRAS-servers (Routering en RAS) worden ondersteund voor site-naar-site-cross-premises-configuratie.We support Windows Server 2012 Routing and Remote Access (RRAS) servers for Site-to-Site cross-premises configuration.

Andere VPN-softwareoplossingen zouden in principe met onze gateway moeten werken zolang ze voldoen aan de standaard-IPSec-implementaties.Other software VPN solutions should work with our gateway as long as they conform to industry standard IPsec implementations. Neem contact op met de leverancier van de software voor configuratie- en ondersteuningsinstructies.Contact the vendor of the software for configuration and support instructions.

Hoe kan ik het verificatie type voor mijn punt-naar-site-verbindingen wijzigen?How do I change the authentication type for my point-to-site connections?

U kunt de verificatie methode voor uw punt-naar-site-verbindingen wijzigen door te gaan naar de sectie punt-naar-site-configuratie onder het VPN gateway en het gewenste keuze rondje te controleren.You can change the authentication method for your point-to-site connections by going to the Point-to-site configuration section under the VPN Gateway and checking the desired radio button. De huidige opties zijn Azure-certificaat, RADIUS-verificatie en Azure Active Directory.Current options are Azure certificate, RADIUS authentication and Azure Active Directory. Houd er rekening mee dat de huidige clients mogelijk geen verbinding kunnen maken na de wijziging totdat het nieuwe profiel is gedownload en geconfigureerd op de client.Please note that current clients may not be able to connect after the change until the new profile has been downloaded and configured on the client.

Point-to-site met behulp van systeemeigen Azure-certificaatverificatiePoint-to-Site using native Azure certificate authentication

Deze sectie is van toepassing op het Resource Manager-implementatiemodel.This section applies to the Resource Manager deployment model.

Hoeveel VPN-clienteindpunten kan mijn punt-naar-site-configuratie hebben?How many VPN client endpoints can I have in my Point-to-Site configuration?

Dit is afhankelijk van de gateway-SKU.It depends on the gateway SKU. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.For more information on the number of connections supported, see Gateway SKUs.

Welke clientbesturingssystemen kan ik met point-to-site gebruiken?What client operating systems can I use with Point-to-Site?

De volgende clientbesturingssystemen worden ondersteund:The following client operating systems are supported:

  • Windows 7 (32-bits en 64-bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (alleen 64-bits)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32-bits en 64-bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (alleen 64-bits)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (alleen 64-bits)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (alleen 64-bits)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (alleen 64-bits)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X versie 10.11 of hogerMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Notitie

Vanaf 1 juli 2018 is ondersteuning voor TLS 1.0 en 1.1 uit Azure VPN Gateway verwijderd.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway ondersteunt alleen TLS 1.2.VPN Gateway will support only TLS 1.2. Als u ondersteuning wilt behouden, raadpleegt u de updates om ondersteuning voor TLS 1.2 in te schakelen.To maintain support, see the updates to enable support for TLS1.2.

Daarnaast worden de volgende verouderde algoritmen ook vanaf 1 juli 2018 afgeschaft voor TLS:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Hoe kan ik ondersteuning voor TLS 1.2 in Windows 7 en Windows 8.1 inschakelen?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Open een opdrachtprompt met verhoogde bevoegdheden door met de rechtermuisknop te klikken op Opdrachtprompt en Als administrator uitvoeren te selecteren.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Voer bij de opdrachtprompt de volgende opdrachten uit:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installeer de volgende updates:Install the following updates:

  4. Start de computer opnieuw op.Reboot the computer.

  5. Maak verbinding met het VPN.Connect to the VPN.

Notitie

U moet de bovenstaande registersleutel instellen als u een oudere versie van Windows 10 (10240) gebruikt.You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Kan ik met punt-naar-site-functionaliteit proxy's en firewalls passeren?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure ondersteunt drie soorten point-to-site-VPN-opties:Azure supports three types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP is een bedrijfseigen, op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN is een op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van uitgaande UDP-poorten 500 en 4500 en IP-protocol nr.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Firewalls openen deze poorten niet altijd, zodat de kans bestaat dat een IKEv2 VPN proxy's en firewalls niet kan passeren.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Als ik een clientcomputer die is geconfigureerd voor punt-naar-site opnieuw start, wordt de VPN-verbinding dan automatisch opnieuw tot stand gebracht?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Standaard wordt de VPN-verbinding niet automatisch op de clientcomputer hersteld.By default, the client computer will not reestablish the VPN connection automatically.

Biedt punt-naar-site ondersteuning voor automatisch opnieuw verbinding maken en DDNS op de VPN-clients?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Automatisch opnieuw verbinding maken en DDNS worden momenteel niet ondersteund in VPN’s met punt-naar-site-verbinding.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Kunnen site-naar-site- en punt-naar-site-configuraties naast elkaar worden gebruikt in hetzelfde virtuele netwerk?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Ja.Yes. Voor het Resource Manager-implementatiemodel moet u een RouteBased VPN-type hebben voor uw gateway.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Voor het klassieke implementatiemodel hebt u een dynamische gateway nodig.For the classic deployment model, you need a dynamic gateway. Point-to-site wordt niet ondersteund voor VPN-gateways met statische routering of PolicyBased VPN-gateways.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerkgateways tegelijk?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

Afhankelijk van de gebruikte VPN-clientsoftware, is het wellicht mogelijk dat u verbinding kunt maken met meerdere virtuele netwerkgateways, mits er geen conflicterende adresruimten worden gebruikt in de virtuele netwerken onderling of het netwerk van waaruit de client verbinding maakt.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Hoewel de Azure VPN Client ondersteuning biedt voor veel VPN-verbindingen, kan er maar één verbinding tegelijk Verbonden zijn.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerken tegelijk?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Ja, punt-naar-site-verbindingen met een virtuele netwerkgateway die is geïmplementeerd in een VNet dat is gekoppeld aan andere VNets, kunnen toegang hebben tot andere gekoppelde VNets.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Als de gekoppelde VNets gebruik maken van de functies UseRemoteGateway/AllowGatewayTransit, kan de punt-naar-site-client verbinding maken met die gekoppelde VNets.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Raadpleeg voor meer informatie dit artikel.For more information please reference this article.

Hoeveel doorvoer kan ik verwachten via site-naar-site- of punt-naar-site-verbindingen?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Het is moeilijk om de exacte doorvoer van de VPN-tunnels te onderhouden.It's difficult to maintain the exact throughput of the VPN tunnels. IPSec en SSTP zijn cryptografisch zware VPN-protocollen.IPsec and SSTP are crypto-heavy VPN protocols. Doorvoer wordt ook beperkt door de latentie en bandbreedte tussen uw locatie en het internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Voor een VPN-gateway met alleen IKEv2 point-to-site-VPN-verbindingen is de totale doorvoer die u kunt verwachten, afhankelijk van de Gateway-SKU.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Zie Gateway-SKU's voor meer informatie over doorvoer.For more information on throughput, see Gateway SKUs.

Kan ik voor point-to-site elke VPN-softwareclient gebruiken die SSTP en/of IKEv2 ondersteunt?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Nee.No. U kunt alleen de systeemeigen VPN-client van Windows voor SSTP en de systeemeigen VPN-client van Mac voor IKEv2 gebruiken.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. U kunt echter de OpenVPN-client op alle platforms gebruiken om verbinding te maken via het OpenVPN-protocol.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Raadpleeg de lijst met ondersteunde clientbesturingssystemen.Refer to the list of supported client operating systems.

Biedt Azure ondersteuning voor IKEv2-VPN met Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 wordt ondersteund op Windows 10 en Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Als u IKEv2 wilt gebruiken, moet u lokaal updates installeren en een registersleutelwaarde instellen.However, in order to use IKEv2, you must install updates and set a registry key value locally. Besturingssysteemversies ouder dan Windows 10 worden niet ondersteund en kunnen alleen SSTP of het OpenVPN® Protocol gebruiken.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Windows 10 of Server 2016 voorbereiden voor IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Installeer de update.Install the update.

    BesturingssysteemversieOS version DateDate Aantal/koppelingNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 versie 1607Windows 10 Version 1607
    17 januari 2018January 17, 2018 KB4057142KB4057142
    Windows 10 versie 1703Windows 10 Version 1703 17 januari 2018January 17, 2018 KB4057144KB4057144
    Windows 10 versie 1709Windows 10 Version 1709 22 maart 2018March 22, 2018 KB4089848KB4089848
  2. De registersleutelwaarde instellen.Set the registry key value. Maak of stel de REG_DWORD-sleutel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload' in het register in op 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Wat gebeurt er als ik zowel SSTP als IKEv2 voor P2S-VPN-verbindingen configureer?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Als u zowel SSTP en IKEv2 configureert in een gemengde omgeving (bestaande uit Windows- en Mac-apparaten), probeert de VPN-client van Windows altijd als eerst de IKEv2-tunnel, maar valt de client terug op SSTP als de IKEv2-verbinding niet is geslaagd.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX maakt alleen verbinding via IKEv2.MacOSX will only connect via IKEv2.

Welke platformen, naast Windows en Mac, worden door Azure ondersteund voor P25-VPN?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure biedt voor P2S VPN ondersteuning voor Windows, Mac en Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Ik heb al een Azure VPN-gateway geïmplementeerd.I already have an Azure VPN Gateway deployed. Kan ik er RADIUS en/of IKEv2 VPN voor inschakelen?Can I enable RADIUS and/or IKEv2 VPN on it?

Ja, u kunt deze nieuwe functies op reeds geïmplementeerde gateways inschakelen met behulp van PowerShell of Azure Portal, mits de gateway-SKU die u gebruikt RADIUS en/of IKEv2 ondersteunt.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Bijvoorbeeld de VPN-gateway Basic SKU ondersteunt RADIUS of IKEv2 niet.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Hoe kan ik de configuratie van een P2S-verbinding verwijderen?How do I remove the configuration of a P2S connection?

Een P2S-configuratie kan worden verwijderd met behulp van Azure CLI en PowerShell met behulp van de volgende opdrachten:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Wat moet ik doen als een certificaat niet overeenkomt wanneer ik verbinding maak met certificaatverificatie?What should I do if I'm getting a certificate mismatch when connecting using certificate authentication?

Schakel het vakje De identiteit van de server verifiëren door het certificaat te valideren of voeg de server-FQDN toe met het certificaat uit wanneer u handmatig een profiel maakt.Uncheck "Verify the server's identity by validating the certificate" or add the server FQDN along with the certificate when creating a profile manually. U doet dit door rasphone uit te voeren vanuit de opdrachtprompt en het profiel te selecteren uit het vervolgkeuzemenu.You can do this by running rasphone from a command prompt and picking the profile from the drop-down list.

Het is in het algemeen niet aan te raden om de validatie van de serveridentiteit over te slaan, maar met Azure-certificaatverificatie wordt hetzelfde certificaat gebruikt voor servervalidatie in het VPN-tunnelprotocol (IKEv2/SSTP) en het EAP-protocol.Bypassing server identity validation is not recommended in general, but with Azure certificate authentication, the same certificate is being used for server validation in the VPN tunneling protocol (IKEv2/SSTP) and the EAP protocol. Aangezien het servercertificaat en de FQDN al gevalideerd zijn door het VPN-tunnelprotocol, is het overbodig om deze nogmaals te valideren in de EAP.Since the server certificate and FQDN is already validated by the VPN tunneling protocol, it is redundant to validate the same again in EAP.

Verificatie van punt-naar-sitepoint-to-site auth

Kan ik mijn eigen interne PKI basis-CA gebruiken om certificaten te genereren voor een punt-naar-site-verbinding?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Ja.Yes. Voorheen konen alleen zelfondertekende basiscertificaten worden gebruikt.Previously, only self-signed root certificates could be used. U kunt nog steeds 20 basiscertificaten uploaden.You can still upload 20 root certificates.

Kan ik certificaten gebruiken uit Azure Key Vault?Can I use certificates from Azure Key Vault?

Nee.No.

Welke hulpprogramma's kan ik gebruiken om certificaten te maken?What tools can I use to create certificates?

U kunt uw Enterprise PKI-oplossing (uw interne PKI), Azure PowerShell, MakeCert en OpenSSL gebruiken.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Zijn er instructies voor het instellen van het certificaat en de parameters?Are there instructions for certificate settings and parameters?

  • Interne PKI/Enterprise PKI-oplossing: zie de stappen om certificaten te genereren.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: zie het Azure PowerShell-artikel voor een stappenplan.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: zie het MakeCert-artikel voor een stappenplan.MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • Bij het exporteren van certificaten, moet u het basiscertificaat naar Base64 converteren.When exporting certificates, be sure to convert the root certificate to Base64.

    • Voor het clientcertificaat:For the client certificate:

      • Bij het maken van de persoonlijke sleutel, moet u de lengte 4096 opgeven.When creating the private key, specify the length as 4096.
      • Bij het maken van het certificaat moet u voor de paramter -extensies de waarde usr_cert opgeven.When creating the certificate, for the -extensions parameter, specify usr_cert.

Point-to-site met behulp van RADIUS-verificatiePoint-to-Site using RADIUS authentication

Deze sectie is van toepassing op het Resource Manager-implementatiemodel.This section applies to the Resource Manager deployment model.

Hoeveel VPN-clienteindpunten kan mijn punt-naar-site-configuratie hebben?How many VPN client endpoints can I have in my Point-to-Site configuration?

Dit is afhankelijk van de gateway-SKU.It depends on the gateway SKU. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.For more information on the number of connections supported, see Gateway SKUs.

Welke clientbesturingssystemen kan ik met point-to-site gebruiken?What client operating systems can I use with Point-to-Site?

De volgende clientbesturingssystemen worden ondersteund:The following client operating systems are supported:

  • Windows 7 (32-bits en 64-bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (alleen 64-bits)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32-bits en 64-bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (alleen 64-bits)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (alleen 64-bits)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (alleen 64-bits)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (alleen 64-bits)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X versie 10.11 of hogerMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Notitie

Vanaf 1 juli 2018 is ondersteuning voor TLS 1.0 en 1.1 uit Azure VPN Gateway verwijderd.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway ondersteunt alleen TLS 1.2.VPN Gateway will support only TLS 1.2. Als u ondersteuning wilt behouden, raadpleegt u de updates om ondersteuning voor TLS 1.2 in te schakelen.To maintain support, see the updates to enable support for TLS1.2.

Daarnaast worden de volgende verouderde algoritmen ook vanaf 1 juli 2018 afgeschaft voor TLS:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Hoe kan ik ondersteuning voor TLS 1.2 in Windows 7 en Windows 8.1 inschakelen?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Open een opdrachtprompt met verhoogde bevoegdheden door met de rechtermuisknop te klikken op Opdrachtprompt en Als administrator uitvoeren te selecteren.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Voer bij de opdrachtprompt de volgende opdrachten uit:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installeer de volgende updates:Install the following updates:

  4. Start de computer opnieuw op.Reboot the computer.

  5. Maak verbinding met het VPN.Connect to the VPN.

Notitie

U moet de bovenstaande registersleutel instellen als u een oudere versie van Windows 10 (10240) gebruikt.You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Kan ik met punt-naar-site-functionaliteit proxy's en firewalls passeren?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure ondersteunt drie soorten point-to-site-VPN-opties:Azure supports three types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP is een bedrijfseigen, op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN is een op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van uitgaande UDP-poorten 500 en 4500 en IP-protocol nr.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Firewalls openen deze poorten niet altijd, zodat de kans bestaat dat een IKEv2 VPN proxy's en firewalls niet kan passeren.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Als ik een clientcomputer die is geconfigureerd voor punt-naar-site opnieuw start, wordt de VPN-verbinding dan automatisch opnieuw tot stand gebracht?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Standaard wordt de VPN-verbinding niet automatisch op de clientcomputer hersteld.By default, the client computer will not reestablish the VPN connection automatically.

Biedt punt-naar-site ondersteuning voor automatisch opnieuw verbinding maken en DDNS op de VPN-clients?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Automatisch opnieuw verbinding maken en DDNS worden momenteel niet ondersteund in VPN’s met punt-naar-site-verbinding.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Kunnen site-naar-site- en punt-naar-site-configuraties naast elkaar worden gebruikt in hetzelfde virtuele netwerk?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Ja.Yes. Voor het Resource Manager-implementatiemodel moet u een RouteBased VPN-type hebben voor uw gateway.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Voor het klassieke implementatiemodel hebt u een dynamische gateway nodig.For the classic deployment model, you need a dynamic gateway. Point-to-site wordt niet ondersteund voor VPN-gateways met statische routering of PolicyBased VPN-gateways.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerkgateways tegelijk?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

Afhankelijk van de gebruikte VPN-clientsoftware, is het wellicht mogelijk dat u verbinding kunt maken met meerdere virtuele netwerkgateways, mits er geen conflicterende adresruimten worden gebruikt in de virtuele netwerken onderling of het netwerk van waaruit de client verbinding maakt.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Hoewel de Azure VPN Client ondersteuning biedt voor veel VPN-verbindingen, kan er maar één verbinding tegelijk Verbonden zijn.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerken tegelijk?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Ja, punt-naar-site-verbindingen met een virtuele netwerkgateway die is geïmplementeerd in een VNet dat is gekoppeld aan andere VNets, kunnen toegang hebben tot andere gekoppelde VNets.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Als de gekoppelde VNets gebruik maken van de functies UseRemoteGateway/AllowGatewayTransit, kan de punt-naar-site-client verbinding maken met die gekoppelde VNets.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Raadpleeg voor meer informatie dit artikel.For more information please reference this article.

Hoeveel doorvoer kan ik verwachten via site-naar-site- of punt-naar-site-verbindingen?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Het is moeilijk om de exacte doorvoer van de VPN-tunnels te onderhouden.It's difficult to maintain the exact throughput of the VPN tunnels. IPSec en SSTP zijn cryptografisch zware VPN-protocollen.IPsec and SSTP are crypto-heavy VPN protocols. Doorvoer wordt ook beperkt door de latentie en bandbreedte tussen uw locatie en het internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Voor een VPN-gateway met alleen IKEv2 point-to-site-VPN-verbindingen is de totale doorvoer die u kunt verwachten, afhankelijk van de Gateway-SKU.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Zie Gateway-SKU's voor meer informatie over doorvoer.For more information on throughput, see Gateway SKUs.

Kan ik voor point-to-site elke VPN-softwareclient gebruiken die SSTP en/of IKEv2 ondersteunt?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Nee.No. U kunt alleen de systeemeigen VPN-client van Windows voor SSTP en de systeemeigen VPN-client van Mac voor IKEv2 gebruiken.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. U kunt echter de OpenVPN-client op alle platforms gebruiken om verbinding te maken via het OpenVPN-protocol.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Raadpleeg de lijst met ondersteunde clientbesturingssystemen.Refer to the list of supported client operating systems.

Biedt Azure ondersteuning voor IKEv2-VPN met Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 wordt ondersteund op Windows 10 en Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Als u IKEv2 wilt gebruiken, moet u lokaal updates installeren en een registersleutelwaarde instellen.However, in order to use IKEv2, you must install updates and set a registry key value locally. Besturingssysteemversies ouder dan Windows 10 worden niet ondersteund en kunnen alleen SSTP of het OpenVPN® Protocol gebruiken.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Windows 10 of Server 2016 voorbereiden voor IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Installeer de update.Install the update.

    BesturingssysteemversieOS version DateDate Aantal/koppelingNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 versie 1607Windows 10 Version 1607
    17 januari 2018January 17, 2018 KB4057142KB4057142
    Windows 10 versie 1703Windows 10 Version 1703 17 januari 2018January 17, 2018 KB4057144KB4057144
    Windows 10 versie 1709Windows 10 Version 1709 22 maart 2018March 22, 2018 KB4089848KB4089848
  2. De registersleutelwaarde instellen.Set the registry key value. Maak of stel de REG_DWORD-sleutel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload' in het register in op 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Wat gebeurt er als ik zowel SSTP als IKEv2 voor P2S-VPN-verbindingen configureer?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Als u zowel SSTP en IKEv2 configureert in een gemengde omgeving (bestaande uit Windows- en Mac-apparaten), probeert de VPN-client van Windows altijd als eerst de IKEv2-tunnel, maar valt de client terug op SSTP als de IKEv2-verbinding niet is geslaagd.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX maakt alleen verbinding via IKEv2.MacOSX will only connect via IKEv2.

Welke platformen, naast Windows en Mac, worden door Azure ondersteund voor P25-VPN?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure biedt voor P2S VPN ondersteuning voor Windows, Mac en Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Ik heb al een Azure VPN-gateway geïmplementeerd.I already have an Azure VPN Gateway deployed. Kan ik er RADIUS en/of IKEv2 VPN voor inschakelen?Can I enable RADIUS and/or IKEv2 VPN on it?

Ja, u kunt deze nieuwe functies op reeds geïmplementeerde gateways inschakelen met behulp van PowerShell of Azure Portal, mits de gateway-SKU die u gebruikt RADIUS en/of IKEv2 ondersteunt.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Bijvoorbeeld de VPN-gateway Basic SKU ondersteunt RADIUS of IKEv2 niet.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Hoe kan ik de configuratie van een P2S-verbinding verwijderen?How do I remove the configuration of a P2S connection?

Een P2S-configuratie kan worden verwijderd met behulp van Azure CLI en PowerShell met behulp van de volgende opdrachten:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Wordt RADIUS-verificatie ondersteund op alle Azure VPN Gateway SKU’s?Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

RADIUS-verificatie wordt ondersteund voor de SKU's VpnGw1, VpnGw2 en VpnGw3.RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. Als u verouderde SKU's gebruikt, wordt RADIUS-verificatie ondersteund op Standard- en High Performance-SKU's.If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Het wordt niet ondersteund op de Basic Gateway-SKU.It is not supported on the Basic Gateway SKU. 

Wordt RADIUS-verificatie ondersteund voor het klassieke implementatiemodel?Is RADIUS authentication supported for the classic deployment model?

Nee.No. RADIUS-verificatie wordt niet ondersteund voor het klassieke implementatiemodel.RADIUS authentication is not supported for the classic deployment model.

Worden RADIUS-servers van derden ondersteund?Are 3rd-party RADIUS servers supported?

Ja, RADIUS-servers van derden worden ondersteund.Yes, 3rd-party RADIUS servers are supported.

Wat zijn de connectiviteitsvereisten om ervoor te zorgen dat de Azure-gateway een on-premises RADIUS-server kan bereiken?What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

Er is een site-to-site VPN-verbinding met de on-premises site nodig waarop de juiste routes zijn geconfigureerd.A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

Kan het verkeer naar een on-premises RADIUS-server (van de Azure VPN-gateway) worden gerouteerd via een ExpressRoute-verbinding?Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

Nee.No. Dit verkeer kan alleen worden gerouteerd via een site-to-site-verbinding.It can only be routed over a Site-to-Site connection.

Is er een wijziging in het aantal SSTP-verbindingen dat met RADIUS-verificatie wordt ondersteund?Is there a change in the number of SSTP connections supported with RADIUS authentication? Wat is het maximumaantal ondersteunde SSTP- en IKEv2-verbindingen?What is the maximum number of SSTP and IKEv2 connections supported?

Het maximumaantal SSTP-verbindingen dat op een gateway met RADIUS-verificatie wordt ondersteund, is niet gewijzigd.There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. Dit blijft 128 voor SSTP, maar is afhankelijk van de gateway-SKU voor IKEv2.It remains 128 for SSTP, but depends on the gateway SKU for IKEv2. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen. For more information on the number of connections supported, see Gateway SKUs.

Wat is het verschil tussen certificaatverificatie met behulp van een RADIUS-server en de systeemeigen verificatie van Azure (door een vertrouwd certificaat naar Azure te uploaden)?What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

Bij RADIUS-certificaatverificatie wordt de verificatieaanvraag doorgestuurd naar een RADIUS-server, waar de werkelijke certificaatvalidatie wordt uitgevoerd.In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. Deze optie is nuttig als u via RADIUS wilt integreren met een certificaatverificatie-infrastructuur die u al hebt.This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

Wanneer u Azure gebruikt voor certificaatverificatie, voert de Azure VPN-gateway de validatie van het certificaat uit.When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. U moet de openbare sleutel van uw certificaat uploaden naar de gateway.You need to upload your certificate public key to the gateway. U kunt ook een lijst opgeven met ingetrokken certificaten die niet mogen worden gebruikt om verbinding te maken.You can also specify list of revoked certificates that shouldn’t be allowed to connect.

Werkt RADIUS-verificatie met zowel IKEv2 als SSTP VPN?Does RADIUS authentication work with both IKEv2, and SSTP VPN?

Ja, RADIUS-verificatie wordt ondersteund voor zowel IKEv2 als SSTP VPN.Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

Werkt RADIUS-verificatie met de OpenVPN client?Does RADIUS authentication work with the OpenVPN client?

RADIUS-verificatie wordt ondersteund voor het OpenVPN-protocol via PowerShell.RADIUS authentication is supported for the OpenVPN protocol only through PowerShell.

VNet-naar-VNET- en multi-site-verbindingenVNet-to-VNet and Multi-Site connections

De veelgestelde vragen voor VNet-naar-VNet zijn van toepassing op VPN Gateway-verbindingen.The VNet-to-VNet FAQ applies to VPN gateway connections. Zie Peering op virtueel netwerk voor informatie over VNet-peering.For information about VNet peering, see Virtual network peering.

Worden er door Azure kosten in rekening gebracht voor verkeer tussen VNets?Does Azure charge for traffic between VNets?

VNet-naar-VNet-verkeer binnen dezelfde regio is gratis in beide richtingen wanneer u een VPN Gateway-verbinding gebruikt.VNet-to-VNet traffic within the same region is free for both directions when you use a VPN gateway connection. Voor uitgaand VNet-naar-VNet-verkeer tussen regio's gelden de tarieven voor uitgaande gegevensoverdracht tussen VNets op basis van de bronregio's.Cross-region VNet-to-VNet egress traffic is charged with the outbound inter-VNet data transfer rates based on the source regions. Zie de pagina Prijzen van VPN Gateway voor meer informatie.For more information, see VPN Gateway pricing page. Zie Prijzen voor virtuele netwerken als u uw VNets verbindt op basis van VNet-peering in plaats van VPN Gateway.If you're connecting your VNets by using VNet peering instead of a VPN gateway, see Virtual network pricing.

Verloopt VNet-naar-VNet-verkeer via internet?Does VNet-to-VNet traffic travel across the internet?

Nee.No. Voor VNet-naar-VNet-verkeer wordt het Microsoft-netwerk gebruikt in plaats van internet.VNet-to-VNet traffic travels across the Microsoft Azure backbone, not the internet.

Kan ik een VNet-naar-VNet-verbinding maken tussen verschillende AAD-tenants (Azure Active Directory)?Can I establish a VNet-to-VNet connection across Azure Active Directory (AAD) tenants?

Ja, VNet-naar-VNet-verbindingen met behulp van Azure VPN-gateways werken tussen verschillende AAD-tenants.Yes, VNet-to-VNet connections that use Azure VPN gateways work across AAD tenants.

Is het VNet-naar-VNet-verkeer beveiligd?Is VNet-to-VNet traffic secure?

Ja, het is beveiligd met IPsec/IKE-versleuteling.Yes, it's protected by IPsec/IKE encryption.

Heb ik een VPN-apparaat nodig om VNets met elkaar te verbinden?Do I need a VPN device to connect VNets together?

Nee.No. Om meerdere virtuele netwerken van Azure met elkaar te verbinden, hebt u geen VPN-apparaat nodig, tenzij cross-premises connectiviteit is vereist.Connecting multiple Azure virtual networks together doesn't require a VPN device unless cross-premises connectivity is required.

Moeten mijn VNets zich in dezelfde regio bevinden?Do my VNets need to be in the same region?

Nee.No. De virtuele netwerken kunnen zich in dezelfde of verschillende Azure-regio's (locaties) bevinden.The virtual networks can be in the same or different Azure regions (locations).

Als de VNets niet tot hetzelfde abonnement behoren, moeten de abonnementen dan aan dezelfde Active Directory-tenant zijn gekoppeld?If the VNets aren't in the same subscription, do the subscriptions need to be associated with the same Active Directory tenant?

Nee.No.

Kan ik VNet-naar-VNet-verbindingen gebruiken tussen virtuele netwerken in verschillende Azure-exemplaren?Can I use VNet-to-VNet to connect virtual networks in separate Azure instances?

Nee.No. VNet-naar-VNet ondersteunt het verbinden van virtuele netwerken binnen hetzelfde Azure-exemplaar.VNet-to-VNet supports connecting virtual networks within the same Azure instance. U kunt bijvoorbeeld geen verbinding maken tussen wereldwijde Azure-exemplaren en Chinese/Duitse/US government Azure-exemplaren.For example, you can’t create a connection between global Azure and Chinese/German/US government Azure instances. Voor deze scenario's kunt u een site-naar-site-VPN-verbinding gebruiken.Consider using a Site-to-Site VPN connection for these scenarios.

Kan ik VNet-naar-VNet- én multi-site-verbindingen gebruiken?Can I use VNet-to-VNet along with multi-site connections?

Ja.Yes. U kunt virtuele-netwerkverbindingen tegelijk gebruiken met multi-site-VPN’s.Virtual network connectivity can be used simultaneously with multi-site VPNs.

Met hoeveel on-premises sites en virtuele netwerken kan één virtueel netwerk verbinding maken?How many on-premises sites and virtual networks can one virtual network connect to?

Zie de tabel Gatewayvereisten.See the Gateway requirements table.

Kan ik VNet-naar-VNet gebruiken om virtuele machines of cloudservices met elkaar te verbinden buiten een VNet?Can I use VNet-to-VNet to connect VMs or cloud services outside of a VNet?

Nee.No. VNet naar VNet ondersteunt het verbinden van virtuele netwerken.VNet-to-VNet supports connecting virtual networks. Er is geen ondersteuning voor het verbinden van virtuele machines of cloudservices die geen deel uitmaken van een virtueel netwerk.It doesn't support connecting virtual machines or cloud services that aren't in a virtual network.

Kan een cloudservice of een taakverdelingseindpunt VNets overbruggen?Can a cloud service or a load-balancing endpoint span VNets?

Nee.No. Een cloudservice of een taakverdelingseindpunt kan geen virtuele netwerken overbruggen, zelfs niet als ze met elkaar zijn verbonden.A cloud service or a load-balancing endpoint can't span across virtual networks, even if they're connected together.

Kan ik een op beleid gebaseerd VPN-type gebruiken voor VNet-naar-VNet- of multi-site-verbindingen?Can I use a PolicyBased VPN type for VNet-to-VNet or Multi-Site connections?

Nee.No. VNet-naar-VNet- en multi-site-verbindingen vereisen Azure VPN-gateways met op route gebaseerde VPN-typen (voorheen dynamische routering genoemd).VNet-to-VNet and Multi-Site connections require Azure VPN gateways with RouteBased (previously called dynamic routing) VPN types.

Kan ik een VNet met een op route gebaseerd VPN-type verbinden met een op beleid gebaseerd VPN-type?Can I connect a VNet with a RouteBased VPN Type to another VNet with a PolicyBased VPN type?

Nee, voor beide virtuele netwerken MOET gebruik worden gemaakt van op route gebaseerde VPN's (voorheen dynamische routering genoemd).No, both virtual networks MUST use route-based (previously called dynamic routing) VPNs.

Delen VPN-tunnels bandbreedte?Do VPN tunnels share bandwidth?

Ja.Yes. Alle VPN-tunnels van het virtuele netwerk delen de beschikbare bandbreedte op de Azure VPN-gateway en dezelfde SLA voor VPN-gatewaybedrijfstijd in Azure.All VPN tunnels of the virtual network share the available bandwidth on the Azure VPN gateway and the same VPN gateway uptime SLA in Azure.

Worden redundante tunnels ondersteund?Are redundant tunnels supported?

Redundante tunnels tussen twee virtuele netwerken worden ondersteund, mits één virtuele-netwerkgateway is geconfigureerd als actief-actief.Redundant tunnels between a pair of virtual networks are supported when one virtual network gateway is configured as active-active.

Mogen er overlappende adresruimten zijn voor VNet-naar-VNet-configuraties?Can I have overlapping address spaces for VNet-to-VNet configurations?

Nee.No. Er mag geen sprake zijn van overlappende IP-adresbereiken.You can't have overlapping IP address ranges.

Mogen er overlappende adresruimten zijn tussen de verbonden virtuele netwerken en on-premises lokale sites?Can there be overlapping address spaces among connected virtual networks and on-premises local sites?

Nee.No. Er mag geen sprake zijn van overlappende IP-adresbereiken.You can't have overlapping IP address ranges.

Kan ik Azure VPN-gateway gebruiken om verkeer tussen mijn on-premises sites of naar een ander virtueel netwerk over te brengen?Can I use Azure VPN gateway to transit traffic between my on-premises sites or to another virtual network?

Resource Manager-implementatiemodelResource Manager deployment model
Ja.Yes. Raadpleeg de sectie BGP voor meer informatie.See the BGP section for more information.

Klassiek implementatiemodelClassic deployment model
Transitverkeer via Azure VPN-gateway is mogelijk met het klassieke implementatiemodel, maar is afhankelijk van statisch gedefinieerde adresruimten in het netwerkconfiguratiebestand.Transit traffic via Azure VPN gateway is possible using the classic deployment model, but relies on statically defined address spaces in the network configuration file. BGP wordt nog niet ondersteund met Azure Virtual Networks en VPN-gateways via het klassieke implementatiemodel.BGP is not yet supported with Azure Virtual Networks and VPN gateways using the classic deployment model. Zonder BGP is het handmatig definiëren van adresruimten voor doorvoer zeer foutgevoelig en het wordt daarom niet aanbevolen.Without BGP, manually defining transit address spaces is very error prone, and not recommended.

Genereert Azure dezelfde vooraf gedeelde IPsec/IKE-sleutel voor al mijn VPN-verbindingen voor hetzelfde virtuele netwerk?Does Azure generate the same IPsec/IKE pre-shared key for all my VPN connections for the same virtual network?

Nee, Azure genereert standaard verschillende vooraf gedeelde sleutels voor verschillende VPN-verbindingen.No, Azure by default generates different pre-shared keys for different VPN connections. U kunt echter de REST-API of PowerShell-cmdlet Set VPN Gateway gebruiken om de gewenste sleutelwaarde in te stellen.However, you can use the Set VPN Gateway Key REST API or PowerShell cmdlet to set the key value you prefer. De sleutel moet Afdruk bare ASCII-tekens zijn.The key MUST be printable ASCII characters.

Krijg ik meer bandbreedte met meerdere site-naar-site-VPN-verbindingen dan met één virtueel netwerk?Do I get more bandwidth with more Site-to-Site VPNs than for a single virtual network?

Nee, alle VPN-tunnels, inclusief punt-naar-site-VPN-verbindingen, delen dezelfde Azure VPN-gateway en beschikbare bandbreedte.No, all VPN tunnels, including Point-to-Site VPNs, share the same Azure VPN gateway and the available bandwidth.

Kan ik meerdere tunnels tussen mijn virtuele netwerk en mijn on-premises site configureren met multi-site-VPN?Can I configure multiple tunnels between my virtual network and my on-premises site using multi-site VPN?

Ja, maar u moet BGP op beide tunnels op dezelfde locatie instellen.Yes, but you must configure BGP on both tunnels to the same location.

Kan ik punt-naar-site-VPN-verbindingen met het virtuele netwerk gebruiken met meerdere VPN-tunnels?Can I use Point-to-Site VPNs with my virtual network with multiple VPN tunnels?

Ja, P2S-VPN-verbindingen (punt-naar-site) kunnen worden gebruikt met de VPN-gateways die verbinding maken met meerdere on-premises sites en andere virtuele netwerken.Yes, Point-to-Site (P2S) VPNs can be used with the VPN gateways connecting to multiple on-premises sites and other virtual networks.

Kan ik een virtueel netwerk met IPsec-VPN's verbinden met mijn ExpressRoute-circuit?Can I connect a virtual network with IPsec VPNs to my ExpressRoute circuit?

Ja, dit wordt ondersteund.Yes, this is supported. Voor meer informatie raadpleegt u Expressroute en site-naar-site-VPN-verbindingen die naast elkaar kunnen worden gebruikt configurerenFor more information, see Configure ExpressRoute and Site-to-Site VPN connections that coexist.

IPsec/IKE-beleidIPsec/IKE policy

Wordt het aangepaste beleid voor IPsec/IKE op alle Azure VPN Gateway-SKU's ondersteund?Is Custom IPsec/IKE policy supported on all Azure VPN Gateway SKUs?

Aangepast IPsec-/IKE-beleid wordt ondersteund in alle Azure-SKU's, behalve Basic.Custom IPsec/IKE policy is supported on all Azure SKUs except the Basic SKU.

Hoeveel beleidsregels kan ik opgeven voor een verbinding?How many policies can I specify on a connection?

U kunt maar één beleidscombinatie opgeven voor een bepaalde verbinding.You can only specify *one _ policy combination for a given connection.

Kan ik een gedeeltelijk beleid opgeven voor een verbinding?Can I specify a partial policy on a connection? (Bijvoorbeeld alleen IKE-algoritmen, maar geen IPsec-algoritmen)(for example, only IKE algorithms, but not IPsec)

Nee, u moet alle algoritmen en parameters opgeven voor zowel IKE (Main Mode) en IPsec (Quick Mode).No, you must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Gedeeltelijke beleidsspecificatie is niet toegestaan.Partial policy specification is not allowed.

Wat zijn de algoritmen en belangrijkste sterke punten die in het aangepaste beleid worden ondersteund?What are the algorithms and key strengths supported in the custom policy?

De volgende tabel bevat de ondersteunde cryptografische algoritmen en sleutelsterkten die door klanten kunnen worden geconfigureerd.The following table lists the supported cryptographic algorithms and key strengths configurable by the customers. U moet voor elk veld een optie selecteren.You must select one option for every field.

_ IPsec/IKEv2*_ IPsec/IKEv2* OptiesOptions
IKEv2-versleutelingIKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2-integriteitIKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
DH-groepDH Group DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, geenDHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
IPsec-versleutelingIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geenGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec-integriteitIPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-groepPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, geenPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA-levensduurQM SA Lifetime Seconden (geheel getal; min. 300/standaard 27000 seconden)Seconds (integer; min. 300/default 27000 seconds)
KB (geheel getal; min. 1024/standaard 102400000 KB)KBytes (integer; min. 1024/default 102400000 KBytes)
VerkeersselectorTraffic Selector UsePolicyBasedTrafficSelectors ($True/$False; standaard $False)UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Belangrijk

  1. DHGroup2048 en PFS2048 zijn hetzelfde als Diffie-Hellman-groep 14 in IKE en IPsec PFS.DHGroup2048 & PFS2048 are the same as Diffie-Hellman Group 14 in IKE and IPsec PFS. Zie Diffie-Hellman-groepen voor de volledige toewijzingen.See Diffie-Hellman Groups for the complete mappings.
  2. Voor GCMAES-algoritmen moet u de hetzelfde GCMAES-algoritme en dezelfde lengte van de sleutel voor de IPsec-codering en -integriteit opgeven.For GCMAES algorithms, you must specify the same GCMAES algorithm and key length for both IPsec Encryption and Integrity.
  3. SA-levensduur voor IKEv2 Main Mode staat vastgesteld op 28.800 seconden op de Azure VPN-gateways.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways.
  4. De QM SA-levensduur is een optionele parameter.QM SA Lifetimes are optional parameters. Als niets is opgegeven, worden de standaardwaarden 27.000 seconden (7,5 uur) en 102400000 kilobytes (102 GB) gebruikt.If none was specified, default values of 27,000 seconds (7.5 hrs) and 102400000 KBytes (102GB) are used.
  5. UsePolicyBasedTrafficSelector is een optieparameter voor de verbinding.UsePolicyBasedTrafficSelector is an option parameter on the connection. Zie het volgende FAQ-item voor 'UsePolicyBasedTrafficSelectors'See the next FAQ item for "UsePolicyBasedTrafficSelectors"

Moeten het beleid van de Azure VPN-gateway en de configuraties van mijn on-premises VPN-apparaat volledig overeenkomen?Does everything need to match between the Azure VPN gateway policy and my on-premises VPN device configurations?

De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u in het Azure IPsec/IKE-beleid opgeeft:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • IKE-versleutelingsalgoritmeIKE encryption algorithm
  • IKE-integriteitsalgoritmeIKE integrity algorithm
  • DH-groepDH Group
  • IPsec-versleutelingsalgoritmeIPsec encryption algorithm
  • IPsec-integriteitsalgoritmeIPsec integrity algorithm
  • PFS-groepPFS Group
  • Verkeersselector (*)Traffic Selector (*)

De SA-levensduren zijn alleen lokale specificaties en hoeven niet overeen te komen.The SA lifetimes are local specifications only, do not need to match.

Als u UsePolicyBasedTrafficSelectors inschakelt, moet u ervoor zorgen dat voor uw VPN-apparaat dezelfde verkeersselectoren zijn gedefinieerd voor alle combinaties van de voorvoegsels van uw lokale netwerk (lokale netwerkgateway) naar/vanuit de voorvoegsels van het virtuele Azure-netwerk, in plaats van any-to-any.If you enable UsePolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Als uw lokale netwerkvoorvoegsels bijvoorbeeld 10.1.0.0/16 en 10.2.0.0/16 zijn, en de voorvoegsels van uw virtuele netwerk 192.168.0.0/16 en 172.16.0.0/16, moet u de volgende verkeersselectoren opgeven:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

  • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Zie Connect multiple on-premises policy-based VPN devices (Verbinding maken met meerdere on-premises, op beleid gebaseerde VPN-apparaten) voor meer informatie.For more information, see Connect multiple on-premises policy-based VPN devices.

Welke Diffie-Hellman-groepen worden ondersteund?Which Diffie-Hellman Groups are supported?

De volgende tabel bevat de ondersteunde Diffie-Hellman-groepen voor IKE (DHGroup) en IPsec (PFSGroup):The table below lists the supported Diffie-Hellman Groups for IKE (DHGroup) and IPsec (PFSGroup):

Diffie-Hellman-groepDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup SleutellengteKey length
11 DHGroup1DHGroup1 PFS1PFS1 768-bits MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024-bits MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048-bits MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256-bits ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384-bits ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048-bits MODP2048-bit MODP

Zie RFC3526 en RFC5114 voor meer informatie.For more information, see RFC3526 and RFC5114.

Vervangt het aangepaste beleid de standaard IPsec/IKE-beleidssets voor Azure VPN-gateways?Does the custom policy replace the default IPsec/IKE policy sets for Azure VPN gateways?

Ja, zodra een aangepast beleid is opgegeven voor een verbinding, gebruikt de Azure VPN-gateway alleen het beleid op de verbinding, zowel als IKE-initiator als IKE-beantwoorder.Yes, once a custom policy is specified on a connection, Azure VPN gateway will only use the policy on the connection, both as IKE initiator and IKE responder.

Als ik een aangepast beleid voor IPsec/IKE verwijder, wordt de verbinding dan onbeveiligd?If I remove a custom IPsec/IKE policy, does the connection become unprotected?

Nee, de verbinding wordt nog steeds beveiligd met IPsec/IKE.No, the connection will still be protected by IPsec/IKE. Wanneer u het aangepaste beleid van een verbinding verwijdert, wordt de Azure VPN-gateway teruggezet naar de standaardlijst met IPsec/IKE-voorstellen en wordt de IKE-handshake opnieuw gestart met uw on-premises VPN-apparaat.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and restart the IKE handshake again with your on-premises VPN device.

Kan het toevoegen of bijwerken van een beleid voor IPsec/IKE mijn VPN-verbinding verstoren?Would adding or updating an IPsec/IKE policy disrupt my VPN connection?

Ja, dit kan tot een onderbreking van een paar seconden leiden, omdat de Azure VPN-gateway de bestaande verbinding verbreekt en de IKE-handshake opnieuw start om de IPsec-tunnel opnieuw in te stellen met de nieuwe cryptografische algoritmen en parameters.Yes, it could cause a small disruption (a few seconds) as the Azure VPN gateway tears down the existing connection and restarts the IKE handshake to re-establish the IPsec tunnel with the new cryptographic algorithms and parameters. Zorg ervoor dat uw on-premises VPN-apparaat met dezelfde algoritmen en sleutelsterkten wordt geconfigureerd om de onderbreking te minimaliseren.Ensure your on-premises VPN device is also configured with the matching algorithms and key strengths to minimize the disruption.

Kan ik verschillende beleidsregels voor verschillende verbindingen gebruiken?Can I use different policies on different connections?

Ja.Yes. Aangepast beleid wordt per verbinding toegepast.Custom policy is applied on a per-connection basis. U kunt verschillende IPsec/IKE-beleidsregels toepassen op verschillende verbindingen.You can create and apply different IPsec/IKE policies on different connections. U kunt ook aangepaste beleidsregels toepassen op een subset van verbindingen.You can also choose to apply custom policies on a subset of connections. Voor de resterende verbindingen worden de standaard IPsec/IKE-beleidssets voor Azure toegepast.The remaining ones use the Azure default IPsec/IKE policy sets.

Kan ik het aangepaste beleid ook voor een VNet-naar-VNet-verbinding gebruiken?Can I use the custom policy on VNet-to-VNet connection as well?

Ja, u kunt een aangepast beleid toepassen op zowel cross-premises IPsec-verbindingen als VNet-naar-VNet-verbindingen.Yes, you can apply custom policy on both IPsec cross-premises connections or VNet-to-VNet connections.

Moet ik hetzelfde beleid opgeven voor beide VNet-naar-VNet-verbindingsresources?Do I need to specify the same policy on both VNet-to-VNet connection resources?

Ja.Yes. Een VNet-naar-VNet-tunnel bestaat uit twee verbindingsresources in Azure, één voor elke richting.A VNet-to-VNet tunnel consists of two connection resources in Azure, one for each direction. Zorg dat beide verbindingsresources hetzelfde beleid hebben, anders kan de VNet-naar-VNet-verbinding niet tot stand worden gebracht.Make sure both connection resources have the same policy, otherwise the VNet-to-VNet connection won't establish.

Wat is de standaard time-outwaarde voor DPD?What is the default DPD timeout value? Kan ik een andere time-out voor DPD opgeven?Can I specify a different DPD timeout?

De standaard time-out voor DPD is 45 seconden.The default DPD timeout is 45 seconds. U kunt een andere time-outwaarde voor DPD opgeven voor elke IPsec of VNet-naar-VNet-verbinding tussen 9 tot 3600 seconden.You can specify a different DPD timeout value on each IPsec or VNet-to-VNet connection between 9 seconds to 3600 seconds.

Werkt een aangepast IPsec/IKE-beleid op een ExpressRoute-verbinding?Does custom IPsec/IKE policy work on ExpressRoute connection?

Nee.No. IPsec/IKE-beleid werkt alleen op S2S-VPN- en VNet-naar-VNet-verbindingen via de Azure VPN-gateways.IPsec/IKE policy only works on S2S VPN and VNet-to-VNet connections via the Azure VPN gateways.

Hoe maak ik verbindingen met IKEv1- of IKEv2-protocoltypen?How do I create connections with IKEv1 or IKEv2 protocol type?

IKEv1-verbindingen kunnen worden gemaakt op alle RouteBased VPN-type SKU's, met uitzondering van de Basic, Standard en andere verouderde SKU's.IKEv1 connections can be created on all RouteBased VPN type SKUs, except the Basic SKU, Standard SKU, and other legacy SKUs. U kunt een verbindingsprotocol opgeven van IKEv1 of IKEv2 wanneer u een verbinding maakt.You can specify a connection protocol type of IKEv1 or IKEv2 while creating connections. Als u geen verbindingsprotocoltype opgeeft, wordt IKEv2 gebruikt als standaardinstelling waar dat mogelijk is.If you do not specify a connection protocol type, IKEv2 is used as default option where applicable. Raadpleeg de documentatie voor PowerShell-cmdlets voor meer informatie.For more information, see the PowerShell cmdlet documentation. Voor SKY-typen en IKEv1-/IKEv2-ondersteuning, raadpleegt u Gateways verbinden met op beleid gebaseerde VPN-apparaten.For SKU types and IKEv1/IKEv2 support, see Connect gateways to policy-based VPN devices.

Is er doorvoer tussen IKEv1- en IKEv2-verbindingen toegestaan?Is transit between between IKEv1 and IKEv2 connections allowed?

Ja.Yes. Doorvoer tussen IKEv1- en IKEv2-verbindingen wordt ondersteund.Transit between IKEv1 and IKEv2 connections is supported.

Kan ik een IKEv1-site-naar-site-verbindingen hebben in het VPN-type Basic SKU of RouteBased?Can I have IKEv1 site-to-site connections on Basic SKUs of RouteBased VPN type?

Nee.No. De Basic SKU ondersteunt dit niet.The Basic SKU does not support this.

Kan ik het verbindingsprotocoltype wijzigen nadat de verbinding is gemaakt (IKEv1 naar IKEv2 en vice versa)?Can I change the connection protocol type after the connection is created (IKEv1 to IKEv2 and vice versa)?

Nee.No. Nadat de verbinding is gemaakt, kunnen IKEv1-/IKEv2-protocollen niet worden gewijzigd.Once the connection is created, IKEv1/IKEv2 protocols cannot be changed. U moet een verbinding verwijderen en een nieuwe maken met het gewenste protocoltype.You must delete and recreate a new connection with the desired protocol type.

Waar vind ik meer configuratie-informatie voor IPsec?Where can I find more configuration information for IPsec?

Raadpleeg IPsec/IKE-beleid configureren voor S2S-verbindingen of VNet-naar-VNet-verbindingenSee Configure IPsec/IKE policy for S2S or VNet-to-VNet connections

BGPBGP

Wordt BGP ondersteund op alle Azure VPN-gateway SKU’s?Is BGP supported on all Azure VPN Gateway SKUs?

BGP wordt ondersteund op alle Azure VPN Gateawy SKU's, behalve Basic SKU.BGP is supported on all Azure VPN Gateway SKUs except Basic SKU.

Kan ik BGP gebruiken met VPN-gateways van Azure?Can I use BGP with Azure Policy VPN gateways?

Nee, BGP wordt alleen ondersteund op route-gebaseerde VPN-gateways.No, BGP is supported on route-based VPN gateways only.

Welke ASN's (autonome systeemnummers) kan ik gebruiken?What ASNs (Autonomous System Numbers) can I use?

U kunt uw eigen openbare ASN's of persoonlijke ASN's voor zowel uw on-premises netwerken en virtuele netwerken van Azure gebruiken.You can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks. U kunt de bereiken die door Azure of IANA zijn gereserveerd niet gebruiken.You can't use the ranges reserved by Azure or IANA.

De volgende ASN's zijn gereserveerd voor Azure of IANA:The following ASNs are reserved by Azure or IANA:

  • ASN's die zijn gereserveerd voor Azure:ASNs reserved by Azure:
    • Openbare ASN's: 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
    • Privé-ASNs: 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520
  • ASN's die zijn gereserveerd door IANA:ASNs reserved by IANA:
    • 23456, 64496-64511, 65535-65551 en 42949672923456, 64496-64511, 65535-65551 and 429496729

U kunt deze ASN's niet opgeven voor uw on-premises VPN-apparaten wanneer u verbinding maakt met Azure VPN-gateways.You can't specify these ASNs for your on-premises VPN devices when you're connecting to Azure VPN gateways.

Kan ik 32-bits (4-byte) ASN's gebruiken?Can I use 32-bit (4-byte) ASNs?

Ja, VPN Gateway ondersteunt nu 32-bits (4-bytes) ASN's.Yes, VPN Gateway now supports 32-bit (4-byte) ASNs. Als u ASN wilt configureren voor gebruik in decimaal formaat, gebruikt u PowerShell, de Azure-CLI of de Azure-SDK.To configure by using ASN in decimal format, use PowerShell, the Azure CLI, or the Azure SDK.

Welke privé-ASN's kan ik gebruiken?What private ASNs can I use?

De bruikbare bereiken van privé-ASN's zijn:The useable ranges of private ASNs are:

  • 64512-65514 en 65521-6553464512-65514 and 65521-65534

Deze ASN's zijn niet gereserveerd voor gebruik door IANA of Azure en kunnen daarom worden gebruikt om te worden toegewezen aan uw Azure-VPN Gateway.These ASNs aren't reserved by IANA or Azure for use, and therefore can be used to assign to your Azure VPN gateway.

Welk adres gebruikt VPN Gateway voor BGP-peer-IP?What address does VPN Gateway use for BGP peer IP?

Standaard wijst VPN Gateway één IP-adres uit het GatewaySubnet -bereik toe voor active-standby VPN-gateways, of twee IP-adressen voor active-active VPN-gateways.By default, VPN Gateway allocates a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. Deze adressen worden automatisch toegewezen wanneer u de VPN-gateway maakt.These addresses are allocated automatically when you create the VPN gateway. U kunt het werkelijke BGP IP-adres dat is toegewezen ophalen met PowerShell of door het te zoeken in de Azure Portal.You can get the actual BGP IP address allocated by using PowerShell or by locating it in the Azure portal. Gebruik in PowerShell Get-AzVirtualNetworkGateway en zoek naar de eigenschap bgpPeeringAddress .In PowerShell, use Get-AzVirtualNetworkGateway , and look for the bgpPeeringAddress property. Ga in Azure Portal naar de pagina Gatewayconfiguratie en zoek naar de eigenschap BGP ASN configureren .In the Azure portal, on the Gateway Configuration page, look under the Configure BGP ASN property.

Als uw on-premises VPN-routers APIPA -IP-adressen gebruiken (169.254.x.x) als het BGP-IP-adres, moet u een aanvullend Azure APIPA BGP-IP-adres opgeven in uw Azure VPN-gateway.If your on-premises VPN routers use APIPA IP addresses (169.254.x.x) as the BGP IP addresses, you must specify an additional Azure APIPA BGP IP address on your Azure VPN gateway. Azure VPN-gateway selecteert het APIPA-adres dat moet worden gebruikt met de on-premises APIPA BGP-peer die is opgegeven in de lokale netwerkgateway of het privé-IP-adres voor een niet-APIPA on-premises BGP-peer.Azure VPN Gateway selects the APIPA address to use with the on-premises APIPA BGP peer specified in the local network gateway, or the private IP address for a non-APIPA, on-premises BGP peer. Raadpleeg BGP configureren voor meer informatie.For more information, see Configure BGP.

Wat zijn de vereisten voor de BGP-peer-IP-adressen op mijn VPN-apparaat?What are the requirements for the BGP peer IP addresses on my VPN device?

Het adres van uw on-premises BGP-peer mag niet gelijk zijn aan het openbare IP-adres van uw VPN-apparaat of de virtuele netwerkadresruimte van de VPN-gateway.Your on-premises BGP peer address must not be the same as the public IP address of your VPN device or from the virtual network address space of the VPN gateway. Gebruik een ander IP-adres op het VPN-apparaat voor uw BGP-peer-IP.Use a different IP address on the VPN device for your BGP peer IP. Het kan een adres zijn dat is toegewezen aan de loopback-interface op het apparaat (zowel een normaal IP-adres of een APIPA-adres).It can be an address assigned to the loopback interface on the device (either a regular IP address or an APIPA address). Als uw apparaat een APIPA-adres gebruikt voor BGP, moet u een APIP BGP-IP-adres opgeven in uw Azure VPN-gateway, zoals is beschreven in BGP configureren.If your device uses an APIPA address for BGP, you must specify an APIPA BGP IP address on your Azure VPN gateway, as described in Configure BGP. Specificeer dit adres in de bijbehorende lokale netwerkgateway die de locatie vertegenwoordigt.Specify this address in the corresponding local network gateway representing the location.

Wat moet ik opgeven als adresvoorvoegsels voor mijn lokale netwerkgateway wanneer ik BGP gebruik?What should I specify as my address prefixes for the local network gateway when I use BGP?

Belangrijk

Dit is een wijziging van een eerder vastgelegde vereiste.This is a change from the previously documented requirement. Als u BGP gebruikt voor een verbinding, moet u het veld Adresruimte leeg houden voor de corresponderende lokale netwerkgateway-resource.If you use BGP for a connection, leave the Address space field empty for the corresponding local network gateway resource. Azure VPN-gateway voegt een hostroute intern toe aan het IP-adres van de on-premises BGP-peer via de IPsec-tunnel.Azure VPN Gateway adds a host route internally to the on-premises BGP peer IP over the IPsec tunnel. Voeg de route /32 niet toe in het veld Adresruimte .Don't add the /32 route in the Address space field. Het is overbodig en als u een APIPA-adres gebruikt als het BGP-IP-adres van het on-premises VPN-apparaat, kan het niet aan het veld worden toegevoegd.It's redundant and if you use an APIPA address as the on-premises VPN device BGP IP, it can't be added to this field. Als u andere voorvoegsels toevoegt aan het veld Adresruimte, worden ze toegevoegd als statische routes in de Azure VPN-gateway, in aanvulling op de routes die via BGP zijn aangeleerd.If you add any other prefixes in the Address space field, they are added as static routes on the Azure VPN gateway, in addition to the routes learned via BGP.

Kan ik hetzelfde ASN gebruiken voor on-premises VPN-netwerken en virtuele Azure-netwerken?Can I use the same ASN for both on-premises VPN networks and Azure virtual networks?

Nee, u moet verschillende ASN’s toewijzen aan uw on-premises netwerken en uw virtuele Azure-netwerken als u ze beide verbindt met BGP.No, you must assign different ASNs between your on-premises networks and your Azure virtual networks if you're connecting them together with BGP. Aan Azure VPN-gateways wordt standaard een ASN van 65515 toegewezen, onafhankelijk van of BGP is ingeschakeld voor verbinding tussen gebouwen.Azure VPN gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. U kunt deze standaardwaarde onderdrukken door een andere ASN toe te wijzen bij het aanmaken van de VPN-gateway of door het ASN te wijzigen nadat de gateway is aangemaakt.You can override this default by assigning a different ASN when you're creating the VPN gateway, or you can change the ASN after the gateway is created. U moet uw lokale ASN's toewijzen aan de bijbehorende on-premises netwerkgateways van Azure.You will need to assign your on-premises ASNs to the corresponding Azure local network gateways.

Welke adresvoorvoegsels maakt Azure VPN-gateways aan mij bekend?What address prefixes will Azure VPN gateways advertise to me?

De gateway maakt de volgende routes bekend aan uw on-premises BGP-apparaten:The gateways advertise the following routes to your on-premises BGP devices:

  • Voorvoegsels van uw virtuele netwerkadres.Your virtual network address prefixes.
  • Adresvoorvoegsels voor alle lokale netwerkgateways die zijn verbonden met de Azure VPN-gateway.Address prefixes for each local network gateway connected to the Azure VPN gateway.
  • Routes die afkomstig zijn van andere BGP-peeringsessies die zijn verbonden met de Azure VPN-gateway, behalve standaardroutes of routes die overlappen met een voorvoegsel van een virtueel netwerk.Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except for the default route or routes that overlap with any virtual network prefix.

Hoeveel voorvoegsels kan ik adverteren voor Azure VPN Gateway?How many prefixes can I advertise to Azure VPN Gateway?

Azure VPN Gateway ondersteunt tot 4000 voorvoegsels.Azure VPN Gateway supports up to 4000 prefixes. De BGP-sessie wordt verwijderd als het aantal voorvoegsels de limiet overschrijdt.The BGP session is dropped if the number of prefixes exceeds the limit.

Kan ik standaardroute (0.0.0.0/0) adverteren naar Azure VPN-gateways?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Ja.Yes. Onthoud dat dit al het uitgaand verkeer van het virtueel netwerk richting uw on-premises site dwingt.Note that this forces all virtual network egress traffic towards your on-premises site. Het voorkomt ook dat virtuele netwerk-VM's openbare communicatie rechtstreeks van het internet accepteren, zoals RDP of SSH vanaf het internet naar de VM's.It also prevents the virtual network VMs from accepting public communication from the internet directly, such RDP or SSH from the internet to the VMs.

Kan ik de exacte voorvoegsels als de voorvoegsels van mijn virtuele netwerk adverteren?Can I advertise the exact prefixes as my virtual network prefixes?

Nee, het adverteren van dezelfde voorvoegsels als een van de adresvoorvoegsels van uw virtuele netwerk wordt door Azure geblokkeerd of gefilterd.No, advertising the same prefixes as any one of your virtual network address prefixes will be blocked or filtered by Azure. U kunt echter een voorvoegsel aankondigen dat een superset is van wat u in Virtual Network hebt.You can, however, advertise a prefix that is a superset of what you have inside your virtual network.

Als uw virtueel netwerk bijvoorbeeld adresruimte 10.0.0.0/16 gebruikt, kunt u 10.0.0.0/8 adverteren.For example, if your virtual network used the address space 10.0.0.0/16, you can advertise 10.0.0.0/8. U kunt echter niet 10.0.0.0/16 of 10.0.0.0/24 adverteren.But you can't advertise 10.0.0.0/16 or 10.0.0.0/24.

Kan ik BGP gebruiken met mijn verbindingen tussen virtuele netwerken?Can I use BGP with my connections between virtual networks?

Ja, u kunt BGP zowel gebruiken voor verbindingen tussen premises en verbindingen tussen virtuele netwerken.Yes, you can use BGP for both cross-premises connections and connections between virtual networks.

Kan ik BGP combineren met niet-BGP-verbindingen voor mijn Azure VPN-gateways?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Ja, u kunt zowel BGP- als niet-BGP-verbindingen combineren voor dezelfde VPN-gateway.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Biedt Azure VPN Gateway ondersteuning voor BGP-transitroutering?Does Azure VPN Gateway support BGP transit routing?

Ja, BGP-transitroutering wordt ondersteund, met uitzondering dat Azure VPN-gateways geen standaardroutes bekendmaakt aan andere BGP-peers.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways don't advertise default routes to other BGP peers. Om transitroutering op meerdere VPN-gateways mogelijk te maken, moet u BGP op alle tussenliggende verbindingen tussen virtuele netwerken inschakelen.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate connections between virtual networks. Zie Over BGP voor meer informatie.For more information, see About BGP.

Kan ik meer dan één tunnel aanbrengen tussen een Azure VPN-gateway en mijn on-premises netwerk?Can I have more than one tunnel between an Azure VPN gateway and my on-premises network?

Ja, u kunt meer dan één S2S-VPN-tunnel (site naar site) aanbrengen tussen een Azure VPN-gateway en uw on-premises netwerk.Yes, you can establish more than one site-to-site (S2S) VPN tunnel between an Azure VPN gateway and your on-premises network. Houd er wel rekening mee dat deze tunnels meetellen voor het totaal aantal tunnels voor uw Azure VPN-gateways, en dat u BGP op beide tunnels moet inschakelen.Note that all these tunnels are counted against the total number of tunnels for your Azure VPN gateways, and you must enable BGP on both tunnels.

Als u bijvoorbeeld twee redundante tunnels heeft tussen uw Azure VPN-gateway en een van uw on-premises netwerken, gebruiken ze 2 tunnels van het totaalaantal voor uw Azure VPN-gateway.For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they consume 2 tunnels out of the total quota for your Azure VPN gateway.

Kan ik meerdere tunnels tussen twee virtuele Azure-netwerken met BGP hebben?Can I have multiple tunnels between two Azure virtual networks with BGP?

Ja, maar minimaal één van de gateways voor het virtuele netwerk moet de actief/actief-configuratie hebben.Yes, but at least one of the virtual network gateways must be in active-active configuration.

Kan ik BGP gebruiken voor S2S-VPN in een configuratie waarin zowel Azure ExpressRoute als S2S-VPN wordt gebruikt?Can I use BGP for S2S VPN in an Azure ExpressRoute and S2S VPN coexistence configuration?

Ja.Yes.

Wat moet ik toevoegen aan mijn on-premises VPN-apparaat voor de BGP-peeringsessie?What should I add to my on-premises VPN device for the BGP peering session?

Voeg een hostroute van het IP-adres van de Azure BGP-peer toe aan uw VPN-apparaat.Add a host route of the Azure BGP peer IP address on your VPN device. Deze route verwijst naar de IPsec S2S-VPN-tunnel.This route points to the IPsec S2S VPN tunnel. Als het Azure VPN-peer-IP-adres bijvoorbeeld 10.12.255.30 is, dient u een hostroute toe te voegen voor 10.12.255.30 met een nexthop-interface van de overeenkomende IPsec-tunnelinterface op uw VPN-apparaat.For example, if the Azure VPN peer IP is 10.12.255.30, you add a host route for 10.12.255.30 with a next-hop interface of the matching IPsec tunnel interface on your VPN device.

Ondersteunt de virtuele netwerkgateway BFD voor S2S-verbindingen met BGP?Does the virtual network gateway support BFD for S2S connections with BGP?

Nee.No. Bidirectional Forwarding Detection (BFD) is een protocol dat u met BGP kunt gebruiken om sneller naburige downtime te detecteren dan u met standaard BGP-keepalives kan.Bidirectional Forwarding Detection (BFD) is a protocol that you can use with BGP to detect neighbor downtime quicker than you can by using standard BGP "keepalives." BFD gebruikt timers die zijn ontworpen om te werken in LAN-omgevingen, maar niet in openbare internet- of Wide Area Network-verbindingen.BFD uses subsecond timers designed to work in LAN environments, but not across the public internet or Wide Area Network connections.

Voor verbindingen via het openbare internet is het niet ongebruikelijk dat bepaalde pakketten worden vertraagd of zelfs wegvallen. Door deze agressieve timers te introduceren, ontstaat er instabiliteit.For connections over the public internet, having certain packets delayed or even dropped isn't unusual, so introducing these aggressive timers can add instability. Die instabiliteit zorgt er mogelijk voor dat routes worden gedempt door BGP.This instability might cause routes to be dampened by BGP. Als alternatief kunt u uw on-premises apparaat configureren met timers die lager zijn dan de standaard keepalive-interval van 60 seconden en de holdtimer van 180 seconden.As an alternative, you can configure your on-premises device with timers lower than the default, 60-second "keepalive" interval, and the 180-second hold timer. Dat leidt tot een snellere convergentietijd.This results in a quicker convergence time.

Cross-premises-connectiviteit en virtuele machinesCross-premises connectivity and VMs

Als de virtuele machine zich in een virtueel netwerk bevindt en ik een cross-premises-verbinding heb, hoe moet ik dan verbinding maken met de virtuele machine?If my virtual machine is in a virtual network and I have a cross-premises connection, how should I connect to the VM?

U hebt een aantal opties.You have a few options. Als u RDP hebt ingeschakeld voor uw virtuele machine, kunt u het particuliere IP-adres gebruiken om verbinding te maken met uw virtuele machine.If you have RDP enabled for your VM, you can connect to your virtual machine by using the private IP address. In dat geval geeft u het particuliere IP-adres op en de poort waarmee u verbinding wilt maken (meestal 3389).In that case, you would specify the private IP address and the port that you want to connect to (typically 3389). U moet de poort op de virtuele machine configureren voor het verkeer.You'll need to configure the port on your virtual machine for the traffic.

U kunt uw virtuele machine ook verbinden met behulp van het particuliere IP-adres van een andere virtuele machine die zich in hetzelfde virtuele netwerk bevindt.You can also connect to your virtual machine by private IP address from another virtual machine that's located on the same virtual network. Het is niet mogelijk om met het particuliere IP-adres een RDP-verbinding met de virtuele machine te maken als u verbinding maakt vanaf een locatie buiten het virtuele netwerk.You can't RDP to your virtual machine by using the private IP address if you are connecting from a location outside of your virtual network. Als u bijvoorbeeld een virtueel punt-naar-site-netwerk hebt geconfigureerd en u geen verbinding maakt vanaf uw computer, dan kunt u het particuliere IP-adres niet gebruiken om verbinding te maken met de virtuele machine.For example, if you have a Point-to-Site virtual network configured and you don't establish a connection from your computer, you can't connect to the virtual machine by private IP address.

Als mijn virtuele machine zich in een virtueel netwerk met cross-premises-connectiviteit bevindt, gaat al het verkeer vanuit mijn VM dan langs die verbinding?If my virtual machine is in a virtual network with cross-premises connectivity, does all the traffic from my VM go through that connection?

Nee.No. Alleen het verkeer met een doel-IP dat zich bevindt in de door u opgegeven IP-adresbereiken van het lokale netwerk van het virtuele netwerk, loopt via de gateway van het virtuele netwerk.Only the traffic that has a destination IP that is contained in the virtual network Local Network IP address ranges that you specified will go through the virtual network gateway. Verkeer met een doel-IP binnen het virtuele netwerk blijft in het virtuele netwerk.Traffic has a destination IP located within the virtual network stays within the virtual network. Ander verkeer wordt via de load balancer verzonden naar de openbare netwerken, tenzij geforceerde tunneling wordt gebruikt. In dat geval wordt het verzonden via de Azure VPN-gateway.Other traffic is sent through the load balancer to the public networks, or if forced tunneling is used, sent through the Azure VPN gateway.

Hoe los ik problemen met de RDP-verbinding met een VM op?How do I troubleshoot an RDP connection to a VM

Als u problemen ondervindt bij het verbinding maken met een virtuele machine via de VPN-verbinding, controleert u het volgende:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Controleer of uw VPN-verbinding tot stand is gebracht.Verify that your VPN connection is successful.
  • Controleer of u verbinding maakt met het privé-IP-adres voor de VM.Verify that you are connecting to the private IP address for the VM.
  • Als u verbinding met de VM kunt maken met behulp van het privé-IP-adres, maar niet met de computernaam, controleert u of DNS correct is geconfigureerd.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Zie Naamomzetting voor VM's voor meer informatie over de werking van naamomzetting voor VM's.For more information about how name resolution works for VMs, see Name Resolution for VMs.

Als u verbinding via punt-naar-site maakt, controleert u de volgende extra items:When you connect over Point-to-Site, check the following additional items:

  • Gebruik de opdracht 'ipconfig' om het IPv4-adres te controleren dat is toegewezen aan de ethernetadapter op de computer waarmee u de verbinding tot stand brengt.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Als het IP-adres zich binnen het adresbereik bevindt van het VNet waarmee u verbinding maakt of binnen het adresbereik van uw VPNClientAddressPool, wordt dit een overlappende adresruimte genoemd.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Als uw adresruimte op deze manier overlapt, kan het netwerkverkeer Azure niet bereiken en blijft het in het lokale netwerk.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Controleer of het configuratiepakket voor de VPN-client is gegenereerd nadat de IP-adressen van de DNS-server zijn opgegeven voor het VNet.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Als u de IP-adressen van de DNS-server hebt bijgewerkt, genereert en installeert u een nieuw configuratiepakket voor de VPN-client.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.

Zie Problemen met Extern-bureaubladverbindingen met een VM oplossen voor meer informatie over het oplossen van problemen met Extern-bureaubladverbindingen.For more information about troubleshooting an RDP connection, see Troubleshoot Remote Desktop connections to a VM.

Veelgestelde vragen over Virtual NetworkVirtual Network FAQ

Aanvullende informatie over virtuele netwerken vindt u in de Veelgestelde vragen over Virtual Network.You view additional virtual network information in the Virtual Network FAQ.

Volgende stappenNext steps

' OpenVPN ' is een handels merk van OpenVPN Inc."OpenVPN" is a trademark of OpenVPN Inc.