Veelgestelde vragen VPN-gateways

Verbinding maken met virtuele netwerken

Kan ik virtuele netwerken in verschillende Azure-regio's verbinden?

Ja. Er is zelfs helemaal geen regiobeperking. Een virtueel netwerk kan verbinding maken met een ander virtueel netwerk in dezelfde regio of in een andere Azure-regio.

Kan ik virtuele netwerken uit verschillende abonnementen verbinden?

Ja.

Kan ik privé-DNS-servers in mijn VNet opgeven bij het configureren van VPN Gateway?

Als u een DNS-server of -servers hebt opgegeven tijdens het maken van uw VNet, gebruikt VPN Gateway de DNS-servers die u hebt opgegeven. Als u een DNS-server opgeeft, controleert u of uw DNS-server de domeinnamen kan oplossen die nodig zijn voor Azure.

Kan ik vanuit één virtueel netwerk verbinding maken met meerdere sites?

U kunt verbinding maken met meerdere sites met behulp van Windows PowerShell en de REST-API's van Azure. Raadpleeg de sectie Veelgestelde vragen bij Multi-site- en VNet-naar-VNet-connectiviteit.

Zijn er extra kosten verbonden aan het instellen van een VPN-gateway als actief-actief?

Nee.

Wat zijn de opties voor cross-premises-verbinding?

De volgende cross-premises verbindingen worden ondersteund:

  • Site-naar-site: VPN-verbinding via IPsec (IKE v1 en IKE v2). Voor dit type verbinding is een VPN-apparaat of RRAS vereist. Zie Site-naar-site voor meer informatie.
  • Punt-naar-site: VPN-verbinding via SSTP (Secure Socket Tunneling Protocol) of IKE v2. Voor deze verbinding is geen VPN-apparaat vereist. Zie Punt-naar-site voor meer informatie.
  • VNet-naar-VNet: dit type verbinding is hetzelfde als de site-naar-site-configuratie. VNet-naar-VNet is een VPN-verbinding via IPsec (IKE v1 en IKE v2). Hiervoor is geen VPN-apparaat vereist. Zie VNet-naar-VNet voor meer informatie.
  • Multi-site: dit is een variant op een site-naar-site-configuratie waarmee u meerdere on-premises sites kunt verbinden met een virtueel netwerk. Zie Multi-site voor meer informatie.
  • ExpressRoute: ExpressRoute is een privéverbinding met Azure vanaf uw WAN, geen VPN-verbinding via het openbare internet. Raadpleeg het Technisch overzicht van ExpressRoute en de Veelgestelde vragen over ExpressRoute voor meer informatie.

Zie Informatie over VPN Gateway voor meer informatie over VPN-gatewayverbindingen.

Wat is het verschil tussen een site-naar-site-verbinding en een punt-naar-site?

Er is sprake van site-naar-site-configuraties (IPsec-/IKE VPN-tunnel) tussen uw on-premises locatie en Azure. Dit betekent dat u vanaf elke computer op uw locatie verbinding kunt maken met elke virtuele machine of rolinstantie binnen uw virtuele netwerk, afhankelijk van hoe u routering en machtigingen wilt configureren. Het is een uitstekende optie voor een altijd beschikbare cross-premises verbinding en is zeer geschikt voor hybride configuraties. Dit type verbinding is afhankelijk van een IPsec-VPN-apparaat (hardwareapparaat of software) dat aan de rand van uw netwerk moet worden geïmplementeerd. Als u dit type verbinding wilt maken, moet u een extern gericht IPv4-adres hebben.

Met punt-naar-site-configuraties (VPN via SSTP) kunt u vanaf één computer waar dan ook verbinding maken met alles binnen het virtuele netwerk. Hiervoor wordt de met Windows meegeleverde VPN-client gebruikt. Als onderdeel van de punt-naar-site-configuratie installeert u een certificaat en een VPN-clientconfiguratiepakket. Dit pakket bevat de instellingen waarmee de computer verbinding kan maken met elke virtuele machine of rolinstantie in het virtuele netwerk. Het is ideaal wanneer u verbinding wilt maken met een virtueel netwerk maar u zich niet on-premises bevindt. Het is ook een goede optie wanneer u geen toegang hebt tot VPN-hardware of een extern gericht IPv4-adres, twee zaken die vereist zijn voor een site-naar-site-verbinding.

U kunt uw virtuele netwerk configureren om tegelijkertijd gebruik te maken van site-naar-site en punt-naar-site, mits u de site-naar-site-verbinding maakt met een op route gebaseerd VPN-type voor uw gateway. Op route gebaseerde VPN-typen worden in het klassieke implementatiemodel dynamische gateways genoemd.

Privacy

Worden klantgegevens opgeslagen of verwerkt door de VPN-service?

Nee.

Virtuele netwerkgateways

Is een VPN-gateway een virtuele netwerkgateway?

Een VPN-gateway is een type virtuele netwerkgateway. Een VPN-gateway verzendt via een openbare verbinding versleuteld verkeer tussen uw virtuele netwerk en uw on-premises locatie. U kunt ook een VPN-gateway gebruiken om verkeer te verzenden tussen virtuele netwerken. Wanneer u een VPN-gateway maakt, kunt u de waarde -GatewayType-waarde Vpn gebruiken. Zie Informatie over VPN-gatewayconfiguratie-instellingen voor meer informatie.

Wat is een op beleid gebaseerde gateway (statische routering)?

Op beleid gebaseerde gateways implementeren op beleid gebaseerde VPN's. Op beleid gebaseerde VPN-verbindingen versleutelen pakketten en versturen deze op basis van de combinaties van adresvoorvoegsels tussen uw on-premises netwerk en het Azure-VNET. Het beleid (of de verkeersselector) wordt gewoonlijk gedefinieerd als een toegangslijst in de VPN-configuratie.

Wat is een op route gebaseerde gateway (dynamische routering)?

Op route gebaseerde gateways implementeren op route gebaseerde VPN's. VPN-verbindingen op basis van een route gebruiken "routes" in de IP-doorstuurtabel of routeringstabel om pakketten naar de bijbehorende tunnelinterfaces te sturen. De tunnelinterfaces versleutelen of ontsleutelen de pakketten vervolgens naar en vanuit de tunnels. Het beleid of de verkeers selectors voor op route gebaseerde VPN's worden geconfigureerd als any-to-any (of jokers).

Kan ik mijn eigen verkeers selectors op basis van beleid opgeven?

Ja, verkeersselectors kunnen worden gedefinieerd via het kenmerk trafficSelectorPolicies op een verbinding via de PowerShell-opdracht New-AzIpsecTrafficSelectorPolicy. Zorg ervoor dat de optie Use Policy Based Traffic Selectors is ingeschakeld om de opgegeven verkeers selector van kracht te laten worden.

Kan ik mijn op beleid gebaseerde VPN-gateway bijwerken naar op route gebaseerd?

Nee. Een gatewaytype kan niet worden gewijzigd van op beleid gebaseerd naar op route gebaseerd, of van op route gebaseerd naar op beleid gebaseerd. Als u een gatewaytype wilt wijzigen, moet de gateway worden verwijderd en opnieuw worden gemaakt. Dit proces duurt ongeveer 60 minuten. Wanneer u de nieuwe gateway maakt, kunt u het IP-adres van de oorspronkelijke gateway niet behouden.

  1. Verwijder alle verbindingen die aan de gateway zijn gekoppeld.

  2. Verwijder de gateway met behulp van een van de volgende artikelen:

  3. Maak een nieuwe gateway met het gatewaytype dat u wilt en voltooi vervolgens de VPN-installatie. Zie de site-naar-site-zelfstudie voor stappen.

Heb ik een gatewaysubnet nodig?

Ja. Het gatewaysubnet bevat de IP-adressen waarvan de virtuele-netwerkgatewayservices gebruik van maken. U moet een gatewaysubnet maken voor uw VNet om een virtuele netwerkgateway te kunnen configureren. Voor een goede werking moeten alle gatewaysubnetten de naam GatewaySubnet krijgen. Geef het gatewaysubnet geen andere naam. Implementeer ook geen VM's of iets anders in het gatewaysubnet.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. De IP-adressen in het gatewaysubnet worden toegewezen aan de gatewayservice. Bij sommige configuraties moeten er meer IP-adressen worden toegewezen aan de gatewayservices dan bij andere. U moet ervoor zorgen dat uw gatewaysubnet voldoende IP-adressen bevat om groei mogelijk te maken en om mogelijke nieuwe verbindingsconfiguraties toe te kunnen voegen. U kunt dus wel een gatewaysubnet maken met een grootte van slechts /29, maar het wordt aangeraden om een gatewaysubnet van /27 of groter te maken (/27, /26, /25 enz.). Bekijk de vereisten voor de configuratie die u wilt gebruiken en controleer of het gatewaysubnet dat u hebt, voldoet aan deze vereisten.

Kan ik Virtual Machines of rolinstanties implementeren in het gatewaysubnet?

Nee.

Kan ik het IP-adres van de VPN-gateway verkrijgen voordat ik de gateway maak?

Zone-redundante en zonelijke gateways (gateway-SKU's met AZ in de naam) zijn beide afhankelijk van een openbare IP-resource van een Standard-SKU voor Azure. Openbare IP-resources van de Azure Standard-SKU moeten gebruikmaken van een statische toewijzingsmethode. Daarom hebt u het openbare IP-adres voor uw VPN-gateway zodra u de openbare IP-resource van de Standard-SKU maakt die u hiervoor wilt gebruiken.

Voor niet-zone-redundante en niet-zonelijke gateways (gateway-SKU's die geen AZ in de naam hebben), kunt u het IP-adres van de VPN-gateway niet krijgen voordat deze is gemaakt. Het IP-adres verandert alleen als u uw VPN-gateway verwijdert en opnieuw maakt.

Kan ik een statisch openbaar IP-adres voor mijn VPN-gateway aanvragen?

Zoals hierboven vermeld, zijn zone-redundante en zone-zone-gateways (gateway-SKU's met AZ in de naam) beide afhankelijk van een openbare IP-resource van een Standard-SKU voor Azure. Openbare IP-resources van de Azure Standard-SKU moeten gebruikmaken van een statische toewijzingsmethode.

Voor niet-zone-redundante en niet-zonelijke gateways (gateway-SKU's die geen AZ in de naam hebben), wordt alleen dynamische IP-adrestoewijzing ondersteund. Dit betekent echter niet dat het IP-adres verandert nadat het is toegewezen aan uw VPN-gateway. De enige keer dat het IP-adres van de VPN-gateway verandert, is wanneer de gateway wordt verwijderd en vervolgens opnieuw wordt gemaakt. Het openbare IP-adres van de VPN-gateway verandert niet wanneer u de vpn-gateway wijzigt, opnieuw inwerkt of andere interne onderhoudswerkzaamheden en upgrades van uw VPN-gateway voltooit.

Hoe wordt mijn VPN-tunnel geverifieerd?

Azure VPN maakt gebruik van PSK-verificatie (verificatie op basis van een vooraf gedeelde sleutel). Er wordt een PSK (vooraf gedeelde sleutel) gegenereerd wanneer de VPN-tunnel wordt gemaakt. U kunt de automatisch gegenereerde PSK wijzigen in uw eigen met de PowerShell-cmdlet Set Pre-Shared Key of REST API.

Kan ik de API Set Pre-Shared Key gebruiken om een op beleid gebaseerde VPN-gateway (statische routering) te configureren?

Ja, u kunt de API en PowerShell-cmdlet Set Pre-Shared Key gebruiken om zowel op beleid gebaseerde (statische) VPN's als op route gebaseerde VPN's (dynamische routering) van Azure te configureren.

Kan ik andere verificatieopties gebruiken?

U kunt alleen PSK-verificatie (vooraf gedeelde sleutels) gebruiken.

Hoe geef ik op welk verkeer via de VPN-gateway loopt?

Resource Manager-implementatiemodel

  • PowerShell: gebruik 'AddressPrefix' om verkeer voor de gateway van het lokale netwerk op te geven.
  • Azure Portal: ga naar de gateway van het lokale netwerk > Configuratie > Adresruimte.

Klassiek implementatiemodel

  • Azure Portal: ga naar het klassieke virtuele netwerk > VPN-verbindingen > Site-naar-site VPN-verbindingen > Naam lokale site > Lokale site > Adresruimte van client.

Kan ik NAT-T gebruiken voor mijn VPN-verbindingen?

Ja, NAT-traversal (NAT-T) wordt ondersteund. Azure VPN Gateway voert GEEN NAT-achtige functionaliteit uit op de binnenste pakketten van/naar de IPsec-tunnels. Zorg ervoor dat in deze configuratie het on-premises apparaat de IPSec-tunnel initieert.

Kan ik mijn eigen VPN-server in Azure instellen en deze gebruiken om verbinding te maken met mijn on-premises netwerk?

Ja, kunt u uw eigen VPN-gateways of -servers in Azure implementeren vanuit de Azure Marketplace of door uw eigen VPN-routers te implementeren. U moet in het virtuele netwerk zelfgedefinieerde routes configureren om ervoor te zorgen dat verkeer juist wordt gerouteerd tussen uw on-premises netwerken en de subnetten van het virtuele netwerk.

Waarom worden bepaalde poorten geopend op mijn virtuele netwerkgateway?

Deze zijn nodig voor communicatie met de Azure-infrastructuur. Ze zijn beveiligd (vergrendeld) met Azure-certificaten. Zonder de juiste certificaten kunnen externe entiteiten, waaronder de klanten van deze gateways, niets uitvoeren op de eindpunten.

Een virtuele netwerkgateway is in principe een multi-homed apparaat met één NIC die op het particuliere netwerk van de klant tikt en één NIC die gericht is op het openbare netwerk. Infrastructuurentiteiten van Azure hebben om wettelijke redenen geen toegang tot particuliere netwerken van klanten. Daarom moeten ze voor infrastructuurcommunicatie gebruikmaken van openbare eindpunten. De openbare eindpunten worden periodiek gescand door de beveiligingscontrole van Azure.

Meer informatie over gatewaytypen, vereisten en doorvoer

Zie Informatie over VPN-gatewayconfiguratie-instellingen voor meer informatie.

Site-naar-site-verbindingen en VPN-apparaten

Waaraan moet ik denken bij het selecteren van een VPN-apparaat?

We hebben samen met apparaatleveranciers een reeks standaard site-naar-site-VPN-apparaten gevalideerd. In het artikel Over VPN-apparaten vindt u een lijst met bekende compatibele VPN-apparaten, de bijbehorende configuratie-instructies of -voorbeelden en apparaatspecificaties. Alle apparaten in de vermelde apparaatfamilies die als compatibel worden weergegeven, zouden met Virtual Network moeten werken. Als hulp bij de configuratie van uw VPN-apparaat kunt u het voorbeeld van de apparaatconfiguratie raadplegen of de koppeling bij de betreffende apparaatfamilie.

Waar vind ik configuratie-instellingen voor VPN-apparaten?

Om configuratiescripts voor VPN-apparaten te downloaden

Afhankelijk van het VPN-apparaat dat u hebt, kunt u mogelijk een script van VPN-apparaatconfiguratie downloaden. Zie voor meer informatie Configuratiescripts van VPN-apparaat downloaden.

Zie de volgende links voor meer informatie over configuratie:

Hoe bewerk ik voorbeelden van VPN-apparaatconfiguraties?

Zie Bewerkingsvoorbeelden voor voorbeelden van het bewerken van de apparaatconfiguratie.

Waar vind ik IPsec- en IKE-parameters?

Zie Parameters voor de IPsec/IKE-parameters.

Waarom wordt mijn op beleid gebaseerde VPN-tunnel inactief als er geen verkeer is?

Dit is normaal voor op beleid gebaseerde VPN-gateways (ook wel bekend als statische routering genoemd). Wanneer er langer dan vijf minuten geen verkeer is via de tunnel, wordt de tunnel verwijderd. Zodra er verkeer is in een van de richtingen, wordt de tunnel onmiddellijk opnieuw ingesteld.

Kan ik software-VPN's gebruiken om verbinding te maken met Azure?

Windows Server 2012 RRAS-servers (Routering en RAS) worden ondersteund voor site-naar-site-cross-premises-configuratie.

Andere VPN-softwareoplossingen zouden in principe met onze gateway moeten werken zolang ze voldoen aan de standaard-IPSec-implementaties. Neem contact op met de leverancier van de software voor configuratie- en ondersteuningsinstructies.

Kan ik verbinding maken met Azure Gateway via punt-naar-site op een site die een actieve site-naar-site-verbinding heeft?

Ja, maar de openbare IP-adressen van de punt-naar-site-client moeten anders zijn dan de openbare IP-adressen die worden gebruikt door het site-naar-site-VPN-apparaat, anders werkt de punt-naar-site-verbinding niet. Punt-naar-site-verbindingen met IKEv2 kunnen niet worden geïnitieerd vanaf hetzelfde openbare IP-adres(en) waar een site-naar-site-VPN-verbinding is geconfigureerd op dezelfde Azure-VPN Gateway.

Punt-naar-site- certificaatverificatie

Deze sectie is van toepassing op het Resource Manager-implementatiemodel.

Hoeveel VPN-clienteindpunten kan mijn punt-naar-site-configuratie hebben?

Dit is afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.

Welke clientbesturingssystemen kan ik met point-to-site gebruiken?

De volgende clientbesturingssystemen worden ondersteund:

  • Windows Server 2008 R2 (alleen 64-bits)
  • Windows 8.1 (32-bits en 64-bits)
  • Windows Server 2012 (alleen 64-bits)
  • Windows Server 2012 R2 (alleen 64-bits)
  • Windows Server 2016 (alleen 64-bits)
  • Windows Server 2019 (alleen 64-bits)
  • Windows 10
  • Windows 11
  • macOS-versie 10.11 of hoger
  • Linux (StrongSwan)
  • iOS

Notitie

Vanaf 1 juli 2018 is ondersteuning voor TLS 1.0 en 1.1 uit Azure VPN Gateway verwijderd. VPN Gateway ondersteunt alleen TLS 1.2. Als u ondersteuning wilt behouden, raadpleegt u de updates om ondersteuning voor TLS 1.2 in te schakelen.

Daarnaast worden de volgende verouderde algoritmen ook vanaf 1 juli 2018 afgeschaft voor TLS:

  • RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)

Hoe kan ik ondersteuning voor TLS 1.2 in Windows 8.1 inschakelen?

  1. Open een opdrachtprompt met verhoogde bevoegdheden door met de rechtermuisknop te klikken op Opdrachtprompt en Als administrator uitvoeren te selecteren.

  2. Voer bij de opdrachtprompt de volgende opdrachten uit:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

  3. Installeer de volgende updates:

  4. Start de computer opnieuw op.

  5. Maak verbinding met het VPN.

Notitie

U moet de bovenstaande registersleutel instellen als u een oudere versie van Windows 10 (10240) gebruikt.

Kan ik met punt-naar-site-functionaliteit proxy's en firewalls passeren?

Azure ondersteunt drie soorten point-to-site-VPN-opties:

  • Secure Socket Tunneling Protocol (SSTP). SSTP is een bedrijfseigen, op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • OpenVPN. OpenVPN is een op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • IKEv2 VPN. IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van uitgaande UDP-poorten 500 en 4500 en IP-protocol nr. 50. Firewalls openen deze poorten niet altijd, zodat de kans bestaat dat een IKEv2 VPN proxy's en firewalls niet kan passeren.

Als ik een clientcomputer die is geconfigureerd voor punt-naar-site opnieuw start, wordt de VPN-verbinding dan automatisch opnieuw tot stand gebracht?

Standaard wordt de VPN-verbinding niet automatisch op de clientcomputer hersteld.

Biedt punt-naar-site ondersteuning voor automatisch opnieuw verbinding maken en DDNS op de VPN-clients?

Automatisch opnieuw verbinding maken en DDNS worden momenteel niet ondersteund in VPN’s met punt-naar-site-verbinding.

Kunnen site-naar-site- en punt-naar-site-configuraties naast elkaar worden gebruikt in hetzelfde virtuele netwerk?

Ja. Voor het Resource Manager-implementatiemodel moet u een RouteBased VPN-type hebben voor uw gateway. Voor het klassieke implementatiemodel hebt u een dynamische gateway nodig. Point-to-site wordt niet ondersteund voor VPN-gateways met statische routering of PolicyBased VPN-gateways.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerkgateways tegelijk?

Afhankelijk van de gebruikte VPN-clientsoftware, is het wellicht mogelijk dat u verbinding kunt maken met meerdere virtuele netwerkgateways, mits er geen conflicterende adresruimten worden gebruikt in de virtuele netwerken onderling of het netwerk van waaruit de client verbinding maakt. Hoewel de Azure VPN Client ondersteuning biedt voor veel VPN-verbindingen, kan er maar één verbinding tegelijk Verbonden zijn.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerken tegelijk?

Ja, punt-naar-site-clientverbindingen met een virtuele netwerkgateway die is geïmplementeerd in een VNet dat is verbonden met andere VNets, hebben mogelijk toegang tot andere peered VNets. Punt-naar-site-clients kunnen verbinding maken met peered VNets zolang de peered VNets de functies UseRemoteGateway/AllowGatewayTransit gebruiken. Zie Over punt-naar-site-routering voor meer informatie.

Hoeveel doorvoer kan ik verwachten via site-naar-site- of punt-naar-site-verbindingen?

Het is moeilijk om de exacte doorvoer van de VPN-tunnels te onderhouden. IPSec en SSTP zijn cryptografisch zware VPN-protocollen. Doorvoer wordt ook beperkt door de latentie en bandbreedte tussen uw locatie en het internet. Voor een VPN-gateway met alleen IKEv2 point-to-site-VPN-verbindingen is de totale doorvoer die u kunt verwachten, afhankelijk van de Gateway-SKU. Zie Gateway-SKU's voor meer informatie over doorvoer.

Kan ik voor point-to-site elke VPN-softwareclient gebruiken die SSTP en/of IKEv2 ondersteunt?

Nee. U kunt alleen de systeemeigen VPN-client van Windows voor SSTP en de systeemeigen VPN-client van Mac voor IKEv2 gebruiken. U kunt echter de OpenVPN-client op alle platforms gebruiken om verbinding te maken via het OpenVPN-protocol. Raadpleeg de lijst met ondersteunde clientbesturingssystemen.

Kan ik het verificatietype voor een punt-naar-site-verbinding wijzigen?

Ja. Navigeer in de portal naar de pagina VPN-gateway -> punt-naar-site-configuratie. Selecteer bij Verificatietype de verificatietypen die u wilt gebruiken. Nadat u een verificatietype hebt gewijzigd, kunnen huidige clients mogelijk geen verbinding maken totdat een nieuw vpn-clientconfiguratieprofiel is gegenereerd, gedownload en toegepast op elke VPN-client.

Biedt Azure ondersteuning voor IKEv2-VPN met Windows?

IKEv2 wordt ondersteund op Windows 10 en Server 2016. Als u IKEv2 echter in bepaalde versies van het besturingssysteem wilt gebruiken, moet u updates installeren en lokaal een registersleutelwaarde instellen. Besturingssysteemversies vóór Windows 10 worden niet ondersteund en kunnen alleen SSTP of OpenVPN® Protocol gebruiken.

OPMERKING: voor Windows oudere versies dan Windows 10 versie 1709 en Windows Server 2016 versie 1607 zijn deze stappen niet vereist.

Windows 10 of Server 2016 voorbereiden voor IKEv2:

  1. Installeer de update op basis van uw versie van het besturingssysteem:

    Besturingssysteemversie Date Aantal/koppeling
    Windows Server 2016
    Windows 10 versie 1607    		 17 januari 2018 KB4057142
    Windows 10 versie 1703 17 januari 2018 KB4057144
    Windows 10 versie 1709 22 maart 2018 KB4089848

  2. De registersleutelwaarde instellen. Maak of stel de REG_DWORD-sleutel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload' in het register in op 1.

Wat gebeurt er als ik zowel SSTP als IKEv2 voor P2S-VPN-verbindingen configureer?

Als u zowel SSTP en IKEv2 configureert in een gemengde omgeving (bestaande uit Windows- en Mac-apparaten), probeert de VPN-client van Windows altijd als eerst de IKEv2-tunnel, maar valt de client terug op SSTP als de IKEv2-verbinding niet is geslaagd. MacOSX maakt alleen verbinding via IKEv2.

Welke platformen, naast Windows en Mac, worden door Azure ondersteund voor P25-VPN?

Azure ondersteunt Windows, Mac en Linux voor P2S VPN.

Ik heb al een Azure VPN-gateway geïmplementeerd. Kan ik er RADIUS en/of IKEv2 VPN voor inschakelen?

Ja, als de gateway-SKU die u gebruikt RADIUS en/of IKEv2 ondersteunt, kunt u deze functies inschakelen op gateways die u al hebt geïmplementeerd met behulp van PowerShell of de Azure Portal. De Basic-SKU biedt geen ondersteuning voor RADIUS of IKEv2.

Hoe kan ik de configuratie van een P2S-verbinding verwijderen?

Een P2S-configuratie kan worden verwijderd met behulp van Azure CLI en PowerShell met behulp van de volgende opdrachten:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Wat moet ik doen als een certificaat niet overeenkomt wanneer ik verbinding maak met certificaatverificatie?

Schakel het vakje De identiteit van de server verifiëren door het certificaat te valideren of voeg de server-FQDN toe met het certificaat uit wanneer u handmatig een profiel maakt. U doet dit door rasphone uit te voeren vanuit de opdrachtprompt en het profiel te selecteren uit het vervolgkeuzemenu.

Het is in het algemeen niet aan te raden om de validatie van de serveridentiteit over te slaan, maar met Azure-certificaatverificatie wordt hetzelfde certificaat gebruikt voor servervalidatie in het VPN-tunnelprotocol (IKEv2/SSTP) en het EAP-protocol. Aangezien het servercertificaat en de FQDN al gevalideerd zijn door het VPN-tunnelprotocol, is het overbodig om deze nogmaals te valideren in de EAP.

Verificatie van punt-naar-site

Kan ik mijn eigen interne PKI basis-CA gebruiken om certificaten te genereren voor een punt-naar-site-verbinding?

Ja. Voorheen konen alleen zelfondertekende basiscertificaten worden gebruikt. U kunt nog steeds 20 basiscertificaten uploaden.

Kan ik certificaten gebruiken uit Azure Key Vault?

Nee.

Welke hulpprogramma's kan ik gebruiken om certificaten te maken?

U kunt uw Enterprise PKI-oplossing (uw interne PKI), Azure PowerShell, MakeCert en OpenSSL gebruiken.

Zijn er instructies voor het instellen van het certificaat en de parameters?

  • Interne PKI/Enterprise PKI-oplossing: zie de stappen om certificaten te genereren.

  • Azure PowerShell: zie het Azure PowerShell-artikel voor een stappenplan.

  • MakeCert: zie het MakeCert-artikel voor een stappenplan.

  • OpenSSL:

    • Bij het exporteren van certificaten, moet u het basiscertificaat naar Base64 converteren.

    • Voor het clientcertificaat:

      • Bij het maken van de persoonlijke sleutel, moet u de lengte 4096 opgeven.
      • Bij het maken van het certificaat moet u voor de paramter -extensies de waarde usr_cert opgeven.

Point-to-site - RADIUS-verificatie

Deze sectie is van toepassing op het Resource Manager-implementatiemodel.

Hoeveel VPN-clienteindpunten kan mijn punt-naar-site-configuratie hebben?

Dit is afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.

Welke clientbesturingssystemen kan ik met point-to-site gebruiken?

De volgende clientbesturingssystemen worden ondersteund:

  • Windows Server 2008 R2 (alleen 64-bits)
  • Windows 8.1 (32-bits en 64-bits)
  • Windows Server 2012 (alleen 64-bits)
  • Windows Server 2012 R2 (alleen 64-bits)
  • Windows Server 2016 (alleen 64-bits)
  • Windows Server 2019 (alleen 64-bits)
  • Windows 10
  • Windows 11
  • macOS-versie 10.11 of hoger
  • Linux (StrongSwan)
  • iOS

Notitie

Vanaf 1 juli 2018 is ondersteuning voor TLS 1.0 en 1.1 uit Azure VPN Gateway verwijderd. VPN Gateway ondersteunt alleen TLS 1.2. Als u ondersteuning wilt behouden, raadpleegt u de updates om ondersteuning voor TLS 1.2 in te schakelen.

Daarnaast worden de volgende verouderde algoritmen ook vanaf 1 juli 2018 afgeschaft voor TLS:

  • RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)

Hoe kan ik ondersteuning voor TLS 1.2 in Windows 8.1 inschakelen?

  1. Open een opdrachtprompt met verhoogde bevoegdheden door met de rechtermuisknop te klikken op Opdrachtprompt en Als administrator uitvoeren te selecteren.

  2. Voer bij de opdrachtprompt de volgende opdrachten uit:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

  3. Installeer de volgende updates:

  4. Start de computer opnieuw op.

  5. Maak verbinding met het VPN.

Notitie

U moet de bovenstaande registersleutel instellen als u een oudere versie van Windows 10 (10240) gebruikt.

Kan ik met punt-naar-site-functionaliteit proxy's en firewalls passeren?

Azure ondersteunt drie soorten point-to-site-VPN-opties:

  • Secure Socket Tunneling Protocol (SSTP). SSTP is een bedrijfseigen, op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • OpenVPN. OpenVPN is een op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.

  • IKEv2 VPN. IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van uitgaande UDP-poorten 500 en 4500 en IP-protocol nr. 50. Firewalls openen deze poorten niet altijd, zodat de kans bestaat dat een IKEv2 VPN proxy's en firewalls niet kan passeren.

Als ik een clientcomputer die is geconfigureerd voor punt-naar-site opnieuw start, wordt de VPN-verbinding dan automatisch opnieuw tot stand gebracht?

Standaard wordt de VPN-verbinding niet automatisch op de clientcomputer hersteld.

Biedt punt-naar-site ondersteuning voor automatisch opnieuw verbinding maken en DDNS op de VPN-clients?

Automatisch opnieuw verbinding maken en DDNS worden momenteel niet ondersteund in VPN’s met punt-naar-site-verbinding.

Kunnen site-naar-site- en punt-naar-site-configuraties naast elkaar worden gebruikt in hetzelfde virtuele netwerk?

Ja. Voor het Resource Manager-implementatiemodel moet u een RouteBased VPN-type hebben voor uw gateway. Voor het klassieke implementatiemodel hebt u een dynamische gateway nodig. Point-to-site wordt niet ondersteund voor VPN-gateways met statische routering of PolicyBased VPN-gateways.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerkgateways tegelijk?

Afhankelijk van de gebruikte VPN-clientsoftware, is het wellicht mogelijk dat u verbinding kunt maken met meerdere virtuele netwerkgateways, mits er geen conflicterende adresruimten worden gebruikt in de virtuele netwerken onderling of het netwerk van waaruit de client verbinding maakt. Hoewel de Azure VPN Client ondersteuning biedt voor veel VPN-verbindingen, kan er maar één verbinding tegelijk Verbonden zijn.

Kan ik een punt-naar-site-client configureren om verbinding te maken met meerdere virtuele netwerken tegelijk?

Ja, punt-naar-site-clientverbindingen met een virtuele netwerkgateway die is geïmplementeerd in een VNet dat is verbonden met andere VNets, hebben mogelijk toegang tot andere peered VNets. Punt-naar-site-clients kunnen verbinding maken met peered VNets zolang de peered VNets de functies UseRemoteGateway/AllowGatewayTransit gebruiken. Zie Over punt-naar-site-routering voor meer informatie.

Hoeveel doorvoer kan ik verwachten via site-naar-site- of punt-naar-site-verbindingen?

Het is moeilijk om de exacte doorvoer van de VPN-tunnels te onderhouden. IPSec en SSTP zijn cryptografisch zware VPN-protocollen. Doorvoer wordt ook beperkt door de latentie en bandbreedte tussen uw locatie en het internet. Voor een VPN-gateway met alleen IKEv2 point-to-site-VPN-verbindingen is de totale doorvoer die u kunt verwachten, afhankelijk van de Gateway-SKU. Zie Gateway-SKU's voor meer informatie over doorvoer.

Kan ik voor point-to-site elke VPN-softwareclient gebruiken die SSTP en/of IKEv2 ondersteunt?

Nee. U kunt alleen de systeemeigen VPN-client van Windows voor SSTP en de systeemeigen VPN-client van Mac voor IKEv2 gebruiken. U kunt echter de OpenVPN-client op alle platforms gebruiken om verbinding te maken via het OpenVPN-protocol. Raadpleeg de lijst met ondersteunde clientbesturingssystemen.

Kan ik het verificatietype voor een punt-naar-site-verbinding wijzigen?

Ja. Navigeer in de portal naar de pagina VPN-gateway -> punt-naar-site-configuratie. Selecteer bij Verificatietype de verificatietypen die u wilt gebruiken. Nadat u een verificatietype hebt gewijzigd, kunnen huidige clients mogelijk geen verbinding maken totdat een nieuw vpn-clientconfiguratieprofiel is gegenereerd, gedownload en toegepast op elke VPN-client.

Biedt Azure ondersteuning voor IKEv2-VPN met Windows?

IKEv2 wordt ondersteund op Windows 10 en Server 2016. Als u IKEv2 echter in bepaalde versies van het besturingssysteem wilt gebruiken, moet u updates installeren en lokaal een registersleutelwaarde instellen. Besturingssysteemversies vóór Windows 10 worden niet ondersteund en kunnen alleen SSTP of OpenVPN® Protocol gebruiken.

OPMERKING: voor Windows oudere versies dan Windows 10 versie 1709 en Windows Server 2016 versie 1607 zijn deze stappen niet vereist.

Windows 10 of Server 2016 voorbereiden voor IKEv2:

  1. Installeer de update op basis van uw versie van het besturingssysteem:

    Besturingssysteemversie Date Aantal/koppeling
    Windows Server 2016
    Windows 10 versie 1607    		 17 januari 2018 KB4057142
    Windows 10 versie 1703 17 januari 2018 KB4057144
    Windows 10 versie 1709 22 maart 2018 KB4089848

  2. De registersleutelwaarde instellen. Maak of stel de REG_DWORD-sleutel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload' in het register in op 1.

Wat gebeurt er als ik zowel SSTP als IKEv2 voor P2S-VPN-verbindingen configureer?

Als u zowel SSTP en IKEv2 configureert in een gemengde omgeving (bestaande uit Windows- en Mac-apparaten), probeert de VPN-client van Windows altijd als eerst de IKEv2-tunnel, maar valt de client terug op SSTP als de IKEv2-verbinding niet is geslaagd. MacOSX maakt alleen verbinding via IKEv2.

Welke platformen, naast Windows en Mac, worden door Azure ondersteund voor P25-VPN?

Azure ondersteunt Windows, Mac en Linux voor P2S VPN.

Ik heb al een Azure VPN-gateway geïmplementeerd. Kan ik er RADIUS en/of IKEv2 VPN voor inschakelen?

Ja, als de gateway-SKU die u gebruikt RADIUS en/of IKEv2 ondersteunt, kunt u deze functies inschakelen op gateways die u al hebt geïmplementeerd met behulp van PowerShell of de Azure Portal. De Basic-SKU biedt geen ondersteuning voor RADIUS of IKEv2.

Hoe kan ik de configuratie van een P2S-verbinding verwijderen?

Een P2S-configuratie kan worden verwijderd met behulp van Azure CLI en PowerShell met behulp van de volgende opdrachten:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Wordt RADIUS-verificatie ondersteund op alle Azure VPN Gateway SKU’s?

RADIUS-verificatie wordt ondersteund voor de SKU's VpnGw1, VpnGw2 en VpnGw3. Als u verouderde SKU's gebruikt, wordt RADIUS-verificatie ondersteund op Standard- en High Performance-SKU's. Het wordt niet ondersteund op de Basic Gateway-SKU.

Wordt RADIUS-verificatie ondersteund voor het klassieke implementatiemodel?

Nee. RADIUS-verificatie wordt niet ondersteund voor het klassieke implementatiemodel.

Wat is de time-outperiode voor RADIUS-aanvragen die naar de RADIUS-server worden verzonden?

RADIUS-aanvragen worden ingesteld op time-out na 30 seconden. Door de gebruiker gedefinieerde time-outwaarden worden momenteel niet ondersteund.

Worden RADIUS-servers van derden ondersteund?

Ja, RADIUS-servers van derden worden ondersteund.

Wat zijn de connectiviteitsvereisten om ervoor te zorgen dat de Azure-gateway een on-premises RADIUS-server kan bereiken?

Er is een site-to-site VPN-verbinding met de on-premises site nodig waarop de juiste routes zijn geconfigureerd.

Kan het verkeer naar een on-premises RADIUS-server (van de Azure VPN-gateway) worden gerouteerd via een ExpressRoute-verbinding?

Nee. Dit verkeer kan alleen worden gerouteerd via een site-to-site-verbinding.

Is er een wijziging in het aantal SSTP-verbindingen dat met RADIUS-verificatie wordt ondersteund? Wat is het maximumaantal ondersteunde SSTP- en IKEv2-verbindingen?

Het maximumaantal SSTP-verbindingen dat op een gateway met RADIUS-verificatie wordt ondersteund, is niet gewijzigd. Dit blijft 128 voor SSTP, maar is afhankelijk van de gateway-SKU voor IKEv2.  Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.

Wat is het verschil tussen certificaatverificatie met behulp van een RADIUS-server en de systeemeigen verificatie van Azure (door een vertrouwd certificaat naar Azure te uploaden)?

Bij RADIUS-certificaatverificatie wordt de verificatieaanvraag doorgestuurd naar een RADIUS-server, waar de werkelijke certificaatvalidatie wordt uitgevoerd. Deze optie is nuttig als u via RADIUS wilt integreren met een certificaatverificatie-infrastructuur die u al hebt.

Wanneer u Azure gebruikt voor certificaatverificatie, voert de Azure VPN-gateway de validatie van het certificaat uit. U moet de openbare sleutel van uw certificaat uploaden naar de gateway. U kunt ook een lijst opgeven met ingetrokken certificaten die niet mogen worden gebruikt om verbinding te maken.

Werkt RADIUS-verificatie met zowel IKEv2 als SSTP VPN?

Ja, RADIUS-verificatie wordt ondersteund voor zowel IKEv2 als SSTP VPN.

Werkt RADIUS-verificatie met de OpenVPN client?

RADIUS-verificatie wordt ondersteund voor het OpenVPN-protocol via PowerShell.

VNet-naar-VNET- en multi-site-verbindingen

De veelgestelde vragen voor VNet-naar-VNet zijn van toepassing op VPN Gateway-verbindingen. Zie Peering op virtueel netwerk voor informatie over VNet-peering.

Worden er door Azure kosten in rekening gebracht voor verkeer tussen VNets?

VNet-naar-VNet-verkeer binnen dezelfde regio is gratis in beide richtingen wanneer u een VPN Gateway-verbinding gebruikt. Voor uitgaand VNet-naar-VNet-verkeer tussen regio's gelden de tarieven voor uitgaande gegevensoverdracht tussen VNets op basis van de bronregio's. Zie de pagina Prijzen van VPN Gateway voor meer informatie. Zie Prijzen voor virtuele netwerken als u uw VNets verbindt op basis van VNet-peering in plaats van VPN Gateway.

Verloopt VNet-naar-VNet-verkeer via internet?

Nee. Voor VNet-naar-VNet-verkeer wordt het Microsoft-netwerk gebruikt in plaats van internet.

Kan ik een VNet-naar-VNet-verbinding maken tussen verschillende AAD-tenants (Azure Active Directory)?

Ja, VNet-naar-VNet-verbindingen met behulp van Azure VPN-gateways werken tussen verschillende AAD-tenants.

Is het VNet-naar-VNet-verkeer beveiligd?

Ja, het is beveiligd met IPsec/IKE-versleuteling.

Heb ik een VPN-apparaat nodig om VNets met elkaar te verbinden?

Nee. Om meerdere virtuele netwerken van Azure met elkaar te verbinden, hebt u geen VPN-apparaat nodig, tenzij cross-premises connectiviteit is vereist.

Moeten mijn VNets zich in dezelfde regio bevinden?

Nee. De virtuele netwerken kunnen zich in dezelfde of verschillende Azure-regio's (locaties) bevinden.

Als de VNets niet tot hetzelfde abonnement behoren, moeten de abonnementen dan aan dezelfde Active Directory-tenant zijn gekoppeld?

Nee.

Kan ik VNet-naar-VNet-verbindingen gebruiken tussen virtuele netwerken in verschillende Azure-exemplaren?

Nee. VNet-naar-VNet ondersteunt het verbinden van virtuele netwerken binnen hetzelfde Azure-exemplaar. U kunt bijvoorbeeld geen verbinding maken tussen wereldwijde Azure-exemplaren en Chinese/Duitse/US government Azure-exemplaren. Voor deze scenario's kunt u een site-naar-site-VPN-verbinding gebruiken.

Kan ik VNet-naar-VNet- én multi-site-verbindingen gebruiken?

Ja. U kunt virtuele-netwerkverbindingen tegelijk gebruiken met multi-site-VPN’s.

Met hoeveel on-premises sites en virtuele netwerken kan één virtueel netwerk verbinding maken?

Zie de tabel Gatewayvereisten.

Kan ik VNet-naar-VNet gebruiken om virtuele machines of cloudservices met elkaar te verbinden buiten een VNet?

Nee. VNet naar VNet ondersteunt het verbinden van virtuele netwerken. Er is geen ondersteuning voor het verbinden van virtuele machines of cloudservices die geen deel uitmaken van een virtueel netwerk.

Kan een cloudservice of een taakverdelingseindpunt VNets overbruggen?

Nee. Een cloudservice of een taakverdelingseindpunt kan geen virtuele netwerken overbruggen, zelfs niet als ze met elkaar zijn verbonden.

Kan ik een op beleid gebaseerd VPN-type gebruiken voor VNet-naar-VNet- of multi-site-verbindingen?

Nee. VNet-naar-VNet- en multi-site-verbindingen vereisen Azure VPN-gateways met op route gebaseerde VPN-typen (voorheen dynamische routering genoemd).

Kan ik een VNet met een op route gebaseerd VPN-type verbinden met een op beleid gebaseerd VPN-type?

Nee, voor beide virtuele netwerken MOET gebruik worden gemaakt van op route gebaseerde VPN's (voorheen dynamische routering genoemd).

Delen VPN-tunnels bandbreedte?

Ja. Alle VPN-tunnels van het virtuele netwerk delen de beschikbare bandbreedte op de Azure VPN-gateway en dezelfde SLA voor VPN-gatewaybedrijfstijd in Azure.

Worden redundante tunnels ondersteund?

Redundante tunnels tussen twee virtuele netwerken worden ondersteund, mits één virtuele-netwerkgateway is geconfigureerd als actief-actief.

Mogen er overlappende adresruimten zijn voor VNet-naar-VNet-configuraties?

Nee. Er mag geen sprake zijn van overlappende IP-adresbereiken.

Mogen er overlappende adresruimten zijn tussen de verbonden virtuele netwerken en on-premises lokale sites?

Nee. Er mag geen sprake zijn van overlappende IP-adresbereiken.

Hoe kan ik routering inschakelen tussen mijn site-naar-site-VPN-verbinding en mijn ExpressRoute?

Als u routering wilt inschakelen tussen uw vertakking die is verbonden met ExpressRoute en uw vertakking die is verbonden met een site-naar-site-VPN-verbinding, moet u Azure Route Server instellen.

Kan ik Azure VPN-gateway gebruiken om verkeer tussen mijn on-premises sites of naar een ander virtueel netwerk over te brengen?

Resource Manager-implementatiemodel
Ja. Raadpleeg de sectie BGP voor meer informatie.

Klassiek implementatiemodel
Transitverkeer via Azure VPN-gateway is mogelijk met het klassieke implementatiemodel, maar is afhankelijk van statisch gedefinieerde adresruimten in het netwerkconfiguratiebestand. BGP wordt nog niet ondersteund met Azure Virtual Networks en VPN-gateways via het klassieke implementatiemodel. Zonder BGP is het handmatig definiëren van adresruimten voor doorvoer zeer foutgevoelig en het wordt daarom niet aanbevolen.

Genereert Azure dezelfde vooraf gedeelde IPsec/IKE-sleutel voor al mijn VPN-verbindingen voor hetzelfde virtuele netwerk?

Nee, Azure genereert standaard verschillende vooraf gedeelde sleutels voor verschillende VPN-verbindingen. U kunt echter de REST-API of PowerShell-cmdlet Set VPN Gateway gebruiken om de gewenste sleutelwaarde in te stellen. De sleutel MOET afdrukbare ASCII-tekens zijn.

Krijg ik meer bandbreedte met meerdere site-naar-site-VPN-verbindingen dan met één virtueel netwerk?

Nee, alle VPN-tunnels, inclusief punt-naar-site-VPN-verbindingen, delen dezelfde Azure VPN-gateway en beschikbare bandbreedte.

Kan ik meerdere tunnels tussen mijn virtuele netwerk en mijn on-premises site configureren met multi-site-VPN?

Ja, maar u moet BGP op beide tunnels op dezelfde locatie instellen.

Houdt Azure VPN Gateway as-pad toe om de routeringsbeslissingen tussen meerdere verbindingen met mijn on-premises sites te beïnvloeden?

Ja, Azure VPN-gateway respecteert AS-pad vooraf om routeringsbeslissingen te nemen wanneer BGP is ingeschakeld. Een korter AS-pad heeft de voorkeur bij het selecteren van het BGP-pad.

Kan ik punt-naar-site-VPN-verbindingen met het virtuele netwerk gebruiken met meerdere VPN-tunnels?

Ja, P2S-VPN-verbindingen (punt-naar-site) kunnen worden gebruikt met de VPN-gateways die verbinding maken met meerdere on-premises sites en andere virtuele netwerken.

Kan ik een virtueel netwerk met IPsec-VPN's verbinden met mijn ExpressRoute-circuit?

Ja, dit wordt ondersteund. Voor meer informatie raadpleegt u Expressroute en site-naar-site-VPN-verbindingen die naast elkaar kunnen worden gebruikt configureren

IPsec/IKE-beleid

Wordt het aangepaste beleid voor IPsec/IKE op alle Azure VPN Gateway-SKU's ondersteund?

Aangepast IPsec-/IKE-beleid wordt ondersteund in alle Azure-SKU's, behalve Basic.

Hoeveel beleidsregels kan ik opgeven voor een verbinding?

U kunt maar één beleidscombinatie opgeven voor een bepaalde verbinding.

Kan ik een gedeeltelijk beleid opgeven voor een verbinding? (Bijvoorbeeld alleen IKE-algoritmen, maar geen IPsec-algoritmen)

Nee, u moet alle algoritmen en parameters opgeven voor zowel IKE (Main Mode) en IPsec (Quick Mode). Gedeeltelijke beleidsspecificatie is niet toegestaan.

Wat zijn de algoritmen en belangrijkste sterke punten die in het aangepaste beleid worden ondersteund?

De volgende tabel bevat de ondersteunde cryptografische algoritmen en sleutelsterkten die door klanten kunnen worden geconfigureerd. U moet voor elk veld een optie selecteren.

IPsec/IKEv2 Opties
IKEv2-versleuteling AES256, AES192, AES128, DES3, DES
IKEv2-integriteit SHA384, SHA256, SHA1, MD5
DH-groep DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, geen
IPsec-versleuteling GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geen
IPsec-integriteit GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-groep PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, geen
QM SA-levensduur Seconden (geheel getal; min. 300/standaard 27000 seconden)
KB (geheel getal; min. 1024/standaard 102400000 KB)
Verkeersselector UsePolicyBasedTrafficSelectors ($True/$False; standaard $False)

Belangrijk

  • DHGroup2048 en PFS2048 zijn hetzelfde als Diffie-Hellman-groep 14 in IKE en IPsec PFS. Zie Diffie-Hellman-groepen voor de volledige toewijzingen.
  • Voor GCMAES-algoritmen moet u de hetzelfde GCMAES-algoritme en dezelfde lengte van de sleutel voor de IPsec-codering en -integriteit opgeven.
  • SA-levensduur voor IKEv2 Main Mode staat vastgesteld op 28.800 seconden op de Azure VPN-gateways.
  • De QM SA-levensduur is een optionele parameter. Als niets is opgegeven, worden de standaardwaarden 27.000 seconden (7,5 uur) en 102400000 kilobytes (102 GB) gebruikt.
  • UsePolicyBasedTrafficSelector is een optieparameter voor de verbinding. Zie het volgende FAQ-item voor ' UsePolicyBasedTrafficSelectors '.

Moeten het beleid van de Azure VPN-gateway en de configuraties van mijn on-premises VPN-apparaat volledig overeenkomen?

De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u in het Azure IPsec/IKE-beleid opgeeft:

  • IKE-versleutelingsalgoritme
  • IKE-integriteitsalgoritme
  • DH-groep
  • IPsec-versleutelingsalgoritme
  • IPsec-integriteitsalgoritme
  • PFS-groep
  • Verkeersselector (*)

De SA-levensduren zijn alleen lokale specificaties en hoeven niet overeen te komen.

Als u UsePolicyBasedTrafficSelectors inschakelt, moet u ervoor zorgen dat voor uw VPN-apparaat dezelfde verkeersselectoren zijn gedefinieerd voor alle combinaties van de voorvoegsels van uw lokale netwerk (lokale netwerkgateway) naar/vanuit de voorvoegsels van het virtuele Azure-netwerk, in plaats van any-to-any. Als uw lokale netwerkvoorvoegsels bijvoorbeeld 10.1.0.0/16 en 10.2.0.0/16 zijn, en de voorvoegsels van uw virtuele netwerk 192.168.0.0/16 en 172.16.0.0/16, moet u de volgende verkeersselectoren opgeven:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

Zie Connect multiple on-premises policy-based VPN devices (Verbinding maken met meerdere on-premises, op beleid gebaseerde VPN-apparaten) voor meer informatie.

Welke Diffie-Hellman-groepen worden ondersteund?

De volgende tabel bevat de ondersteunde Diffie-Hellman-groepen voor IKE (DHGroup) en IPsec (PFSGroup):

Diffie-Hellman-groep DHGroup PFSGroup Sleutellengte
1 DHGroup1 PFS1 768-bits MODP
2 DHGroup2 PFS2 1024-bits MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048-bits MODP
19 ECP256 ECP256 256-bits ECP
20 ECP384 ECP384 384-bits ECP
24 DHGroup24 PFS24 2048-bits MODP

Zie RFC3526 en RFC5114 voor meer informatie.

Vervangt het aangepaste beleid de standaard IPsec/IKE-beleidssets voor Azure VPN-gateways?

Ja, zodra een aangepast beleid is opgegeven voor een verbinding, gebruikt de Azure VPN-gateway alleen het beleid op de verbinding, zowel als IKE-initiator als IKE-beantwoorder.

Als ik een aangepast beleid voor IPsec/IKE verwijder, wordt de verbinding dan onbeveiligd?

Nee, de verbinding wordt nog steeds beveiligd met IPsec/IKE. Wanneer u het aangepaste beleid van een verbinding verwijdert, wordt de Azure VPN-gateway teruggezet naar de standaardlijst met IPsec/IKE-voorstellen en wordt de IKE-handshake opnieuw gestart met uw on-premises VPN-apparaat.

Kan het toevoegen of bijwerken van een beleid voor IPsec/IKE mijn VPN-verbinding verstoren?

Ja, dit kan tot een onderbreking van een paar seconden leiden, omdat de Azure VPN-gateway de bestaande verbinding verbreekt en de IKE-handshake opnieuw start om de IPsec-tunnel opnieuw in te stellen met de nieuwe cryptografische algoritmen en parameters. Zorg ervoor dat uw on-premises VPN-apparaat met dezelfde algoritmen en sleutelsterkten wordt geconfigureerd om de onderbreking te minimaliseren.

Kan ik verschillende beleidsregels voor verschillende verbindingen gebruiken?

Ja. Aangepast beleid wordt per verbinding toegepast. U kunt verschillende IPsec/IKE-beleidsregels toepassen op verschillende verbindingen. U kunt ook aangepaste beleidsregels toepassen op een subset van verbindingen. Voor de resterende verbindingen worden de standaard IPsec/IKE-beleidssets voor Azure toegepast.

Kan ik het aangepaste beleid ook voor een VNet-naar-VNet-verbinding gebruiken?

Ja, u kunt een aangepast beleid toepassen op zowel cross-premises IPsec-verbindingen als VNet-naar-VNet-verbindingen.

Moet ik hetzelfde beleid opgeven voor beide VNet-naar-VNet-verbindingsresources?

Ja. Een VNet-naar-VNet-tunnel bestaat uit twee verbindingsresources in Azure, één voor elke richting. Zorg dat beide verbindingsresources hetzelfde beleid hebben, anders kan de VNet-naar-VNet-verbinding niet tot stand worden gebracht.

Wat is de standaard time-outwaarde voor DPD? Kan ik een andere time-out voor DPD opgeven?

De standaard time-out voor DPD is 45 seconden. U kunt een andere time-outwaarde voor DPD opgeven voor elke IPsec of VNet-naar-VNet-verbinding tussen 9 tot 3600 seconden.

Werkt een aangepast IPsec/IKE-beleid op een ExpressRoute-verbinding?

Nee. IPsec/IKE-beleid werkt alleen op S2S-VPN- en VNet-naar-VNet-verbindingen via de Azure VPN-gateways.

Hoe maak ik verbindingen met IKEv1- of IKEv2-protocoltypen?

IKEv1-verbindingen kunnen worden gemaakt op alle RouteBased VPN-type SKU's, met uitzondering van de Basic, Standard en andere verouderde SKU's. U kunt een verbindingsprotocol opgeven van IKEv1 of IKEv2 wanneer u een verbinding maakt. Als u geen verbindingsprotocoltype opgeeft, wordt IKEv2 gebruikt als standaardinstelling waar dat mogelijk is. Raadpleeg de documentatie voor PowerShell-cmdlets voor meer informatie. Voor SKY-typen en IKEv1-/IKEv2-ondersteuning, raadpleegt u Gateways verbinden met op beleid gebaseerde VPN-apparaten.

Is er doorvoer tussen IKEv1- en IKEv2-verbindingen toegestaan?

Ja. Doorvoer tussen IKEv1- en IKEv2-verbindingen wordt ondersteund.

Kan ik een IKEv1-site-naar-site-verbindingen hebben in het VPN-type Basic SKU of RouteBased?

Nee. De Basic SKU ondersteunt dit niet.

Kan ik het verbindingsprotocoltype wijzigen nadat de verbinding is gemaakt (IKEv1 naar IKEv2 en vice versa)?

Nee. Nadat de verbinding is gemaakt, kunnen IKEv1-/IKEv2-protocollen niet worden gewijzigd. U moet een verbinding verwijderen en een nieuwe maken met het gewenste protocoltype.

Waar vind ik meer configuratie-informatie voor IPsec?

Zie IPSec/IKE-beleid configureren voor S2S-of vnet-naar-vnet-verbindingen.

BGP en routering

Wordt BGP ondersteund op alle Azure VPN-gateway SKU’s?

BGP wordt ondersteund op alle Azure VPN Gateawy SKU's, behalve Basic SKU.

Kan ik BGP gebruiken met VPN-gateways van Azure?

Nee, BGP wordt alleen ondersteund op route-gebaseerde VPN-gateways.

Welke ASN's (autonome systeemnummers) kan ik gebruiken?

U kunt uw eigen openbare ASN's of persoonlijke ASN's voor zowel uw on-premises netwerken en virtuele netwerken van Azure gebruiken. U kunt de bereiken die door Azure of IANA zijn gereserveerd niet gebruiken.

De volgende ASN's zijn gereserveerd voor Azure of IANA:

  • ASN's die zijn gereserveerd voor Azure:

    • Openbare ASN's: 8074, 8075, 12076
    • Privé-ASNs: 65515, 65517, 65518, 65519, 65520

  • ASN's die zijn gereserveerd door IANA:

    • 23456, 64496-64511, 65535-65551 en 429496729

U kunt deze ASN's niet opgeven voor uw on-premises VPN-apparaten wanneer u verbinding maakt met Azure VPN-gateways.

Kan ik 32-bits (4-byte) ASN's gebruiken?

Ja, VPN Gateway ondersteunt nu 32-bits (4-bytes) ASN's. Als u ASN wilt configureren voor gebruik in decimaal formaat, gebruikt u PowerShell, de Azure-CLI of de Azure-SDK.

Welke privé-ASN's kan ik gebruiken?

De bruikbare bereiken van privé-ASN's zijn:

  • 64512-65514 en 65521-65534

Deze ASN's zijn niet gereserveerd voor gebruik door IANA of Azure en kunnen daarom worden gebruikt om te worden toegewezen aan uw Azure-VPN Gateway.

Welk adres gebruikt VPN Gateway voor BGP-peer-IP?

Standaard wijst VPN Gateway één IP-adres uit het GatewaySubnet-bereik toe voor active-standby VPN-gateways, of twee IP-adressen voor active-active VPN-gateways. Deze adressen worden automatisch toegewezen wanneer u de VPN-gateway maakt. U kunt het werkelijke BGP IP-adres dat is toegewezen ophalen met PowerShell of door het te zoeken in de Azure Portal. Gebruik in PowerShell Get-AzVirtualNetworkGateway en zoek naar de eigenschap bgpPeeringAddress. Ga in Azure Portal naar de pagina Gatewayconfiguratie en zoek naar de eigenschap BGP ASN configureren.

Als uw on-premises VPN-routers APIPA-IP-adressen gebruiken (169.254.x.x) als het BGP-IP-adres, moet u een aanvullend Azure APIPA BGP-IP-adres opgeven in uw Azure VPN-gateway. Azure VPN-gateway selecteert het APIPA-adres dat moet worden gebruikt met de on-premises APIPA BGP-peer die is opgegeven in de lokale netwerkgateway of het privé-IP-adres voor een niet-APIPA on-premises BGP-peer. Raadpleeg BGP configureren voor meer informatie.

Wat zijn de vereisten voor de BGP-peer-IP-adressen op mijn VPN-apparaat?

Het adres van uw on-premises BGP-peer mag niet gelijk zijn aan het openbare IP-adres van uw VPN-apparaat of de virtuele netwerkadresruimte van de VPN-gateway. Gebruik een ander IP-adres op het VPN-apparaat voor uw BGP-peer-IP. Het kan een adres zijn dat is toegewezen aan de loopback-interface op het apparaat (zowel een normaal IP-adres of een APIPA-adres). Als uw apparaat een APIPA-adres gebruikt voor BGP, moet u een APIP BGP-IP-adres opgeven in uw Azure VPN-gateway, zoals is beschreven in BGP configureren. Specificeer dit adres in de bijbehorende lokale netwerkgateway die de locatie vertegenwoordigt.

Wat moet ik opgeven als adresvoorvoegsels voor mijn lokale netwerkgateway wanneer ik BGP gebruik?

Belangrijk

Dit is een wijziging van een eerder vastgelegde vereiste. Als u BGP gebruikt voor een verbinding, moet u het veld Adresruimte leeg houden voor de corresponderende lokale netwerkgateway-resource. Azure VPN-gateway voegt een hostroute intern toe aan het IP-adres van de on-premises BGP-peer via de IPsec-tunnel. Voeg de route /32 niet toe in het veld Adresruimte. Het is overbodig en als u een APIPA-adres gebruikt als het BGP-IP-adres van het on-premises VPN-apparaat, kan het niet aan het veld worden toegevoegd. Als u andere voorvoegsels toevoegt aan het veld Adresruimte, worden ze toegevoegd als statische routes in de Azure VPN-gateway, in aanvulling op de routes die via BGP zijn aangeleerd.

Kan ik hetzelfde ASN gebruiken voor on-premises VPN-netwerken en virtuele Azure-netwerken?

Nee, u moet verschillende ASN’s toewijzen aan uw on-premises netwerken en uw virtuele Azure-netwerken als u ze beide verbindt met BGP. Aan Azure VPN-gateways wordt standaard een ASN van 65515 toegewezen, onafhankelijk van of BGP is ingeschakeld voor verbinding tussen gebouwen. U kunt deze standaardwaarde onderdrukken door een andere ASN toe te wijzen bij het aanmaken van de VPN-gateway of door het ASN te wijzigen nadat de gateway is aangemaakt. U moet uw lokale ASN's toewijzen aan de bijbehorende on-premises netwerkgateways van Azure.

Welke adresvoorvoegsels maakt Azure VPN-gateways aan mij bekend?

De gateway maakt de volgende routes bekend aan uw on-premises BGP-apparaten:

  • Voorvoegsels van uw virtuele netwerkadres.
  • Adresvoorvoegsels voor alle lokale netwerkgateways die zijn verbonden met de Azure VPN-gateway.
  • Routes die afkomstig zijn van andere BGP-peeringsessies die zijn verbonden met de Azure VPN-gateway, behalve standaardroutes of routes die overlappen met een voorvoegsel van een virtueel netwerk.

Hoeveel voorvoegsels kan ik adverteren voor Azure VPN Gateway?

Azure VPN Gateway ondersteunt tot 4000 voorvoegsels. De BGP-sessie wordt verwijderd als het aantal voorvoegsels de limiet overschrijdt.

Kan ik standaardroute (0.0.0.0/0) adverteren naar Azure VPN-gateways?

Ja. Onthoud dat dit al het uitgaand verkeer van het virtueel netwerk richting uw on-premises site dwingt. Het voorkomt ook dat virtuele netwerk-VM's openbare communicatie rechtstreeks van het internet accepteren, zoals RDP of SSH vanaf het internet naar de VM's.

Kan ik de exacte voorvoegsels als de voorvoegsels van mijn virtuele netwerk adverteren?

Nee, het adverteren van dezelfde voorvoegsels als een van de adresvoorvoegsels van uw virtuele netwerk wordt door Azure geblokkeerd of gefilterd. U kunt echter een voorvoegsel aankondigen dat een superset is van wat u in Virtual Network hebt.

Als uw virtueel netwerk bijvoorbeeld adresruimte 10.0.0.0/16 gebruikt, kunt u 10.0.0.0/8 adverteren. U kunt echter niet 10.0.0.0/16 of 10.0.0.0/24 adverteren.

Kan ik BGP gebruiken met mijn verbindingen tussen virtuele netwerken?

Ja, u kunt BGP zowel gebruiken voor verbindingen tussen premises en verbindingen tussen virtuele netwerken.

Kan ik BGP combineren met niet-BGP-verbindingen voor mijn Azure VPN-gateways?

Ja, u kunt zowel BGP- als niet-BGP-verbindingen combineren voor dezelfde VPN-gateway.

Biedt Azure VPN Gateway ondersteuning voor BGP-transitroutering?

Ja, BGP-transitroutering wordt ondersteund, met uitzondering dat Azure VPN-gateways geen standaardroutes bekendmaakt aan andere BGP-peers. Om transitroutering op meerdere VPN-gateways mogelijk te maken, moet u BGP op alle tussenliggende verbindingen tussen virtuele netwerken inschakelen. Zie Over BGP voor meer informatie.

Kan ik meer dan één tunnel aanbrengen tussen een Azure VPN-gateway en mijn on-premises netwerk?

Ja, u kunt meer dan één S2S-VPN-tunnel (site naar site) aanbrengen tussen een Azure VPN-gateway en uw on-premises netwerk. Houd er wel rekening mee dat deze tunnels meetellen voor het totaal aantal tunnels voor uw Azure VPN-gateways, en dat u BGP op beide tunnels moet inschakelen.

Als u bijvoorbeeld twee redundante tunnels heeft tussen uw Azure VPN-gateway en een van uw on-premises netwerken, gebruiken ze 2 tunnels van het totaalaantal voor uw Azure VPN-gateway.

Kan ik meerdere tunnels tussen twee virtuele Azure-netwerken met BGP hebben?

Ja, maar minimaal één van de gateways voor het virtuele netwerk moet de actief/actief-configuratie hebben.

Kan ik BGP gebruiken voor S2S-VPN in een configuratie waarin zowel Azure ExpressRoute als S2S-VPN wordt gebruikt?

Ja.

Wat moet ik toevoegen aan mijn on-premises VPN-apparaat voor de BGP-peeringsessie?

Voeg een hostroute van het IP-adres van de Azure BGP-peer toe aan uw VPN-apparaat. Deze route verwijst naar de IPsec S2S-VPN-tunnel. Als het Azure VPN-peer-IP-adres bijvoorbeeld 10.12.255.30 is, dient u een hostroute toe te voegen voor 10.12.255.30 met een nexthop-interface van de overeenkomende IPsec-tunnelinterface op uw VPN-apparaat.

Ondersteunt de virtuele netwerkgateway BFD voor S2S-verbindingen met BGP?

Nee. Bidirectional Forwarding Detection (BFD) is een protocol dat u met BGP kunt gebruiken om sneller naburige downtime te detecteren dan u met standaard BGP-keepalives kan. BFD gebruikt timers die zijn ontworpen om te werken in LAN-omgevingen, maar niet in openbare internet- of Wide Area Network-verbindingen.

Voor verbindingen via het openbare internet is het niet ongebruikelijk dat bepaalde pakketten worden vertraagd of zelfs wegvallen. Door deze agressieve timers te introduceren, ontstaat er instabiliteit. Die instabiliteit zorgt er mogelijk voor dat routes worden gedempt door BGP. Als alternatief kunt u uw on-premises apparaat configureren met timers die lager zijn dan de standaard keepalive-interval van 60 seconden en de holdtimer van 180 seconden. Dat leidt tot een snellere convergentietijd.

Initiëren Azure VPN-gateways BGP-peering sessies of verbindingen?

De gateway initieert BGP-peering sessies naar de on-premises BGP-peer-IP-adressen die zijn opgegeven in de lokale netwerk gateway bronnen met behulp van de privé-IP-adressen op de VPN-gateways. Dit is onafhankelijk van het feit of de on-premises BGP IP-adressen zich in het APIPA-bereik of gewone privé-IP-adressen bevinden. Als uw on-premises VPN-apparaten APIPA-adressen gebruiken als BGP IP, moet u de BGP-luid spreker configureren om de verbindingen te initiëren.

Kan ik geforceerd tunnelen configureren?

Ja. Zie Configure forced tunneling (Geforceerde tunneling configureren).

NAT

Wordt NAT ondersteund op alle Azure VPN Gateway-SKU's?

NAT wordt ondersteund op VpnGw2~5 en VpnGw2AZ~5AZ.

Kan ik NAT gebruiken op VNet-naar-VNet- of P2S-verbindingen?

Nee, NAT wordt alleen ondersteund op cross-premises IPsec-verbindingen.

Hoeveel NAT-regels kan ik gebruiken op een VPN-gateway?

U kunt maximaal 100 NAT-regels (gecombineerde toegangs- en Egress) maken op een VPN-gateway.

Wordt NAT toegepast op alle verbindingen op een VPN-gateway?

NAT wordt toegepast op de verbindingen met NAT-regels. Als een verbinding geen NAT-regel heeft, wordt NAT niet van kracht op die verbinding. Op dezelfde VPN-gateway kunt u een aantal verbindingen met NAT en andere verbindingen hebben zonder dat NAT met elkaar werkt.

Welke typen NAT worden ondersteund in Azure VPN-gateways?

Alleen statisch 1:1 NAT. Dynamische NAT of NAT64 wordt NIET ondersteund.

Werkt NAT op actief-actief VPN-gateways?

Ja. NAT werkt op zowel actief-actief- als actief-stand-by VPN-gateways.

Werkt NAT met BGP-verbindingen?

Ja, u kunt BGP gebruiken met NAT. Hier zijn enkele belangrijke overwegingen:

  • Selecteer BGP-routevertaling inschakelen op de configuratiepagina nat-regels om ervoor te zorgen dat de geleerde routes en geadverteerde routes worden vertaald naar post-NAT-adres voorvoegsels (externe toewijzingen) op basis van de NAT-regels die zijn gekoppeld aan de verbindingen. U moet ervoor zorgen dat de on-premises BGP-routers de exacte voorvoegsels adverteren zoals gedefinieerd in de Regels voor ingressSNAT.

  • Als de on-premises VPN-router APIPA (169.254.x.x) gebruikt als het IP-adres van de BGP-spreker/peer, gebruikt u het APIPA-adres rechtstreeks in het veld IP-adres van BGP-peer van de lokale netwerkgateway. Als de on-premises VPN-router regelmatig, niet-APIPA-adres gebruikt en deze botst met de VNet-adresruimte of andere on-premises netwerkruimten, zorgt u ervoor dat de regel IngressSNAT het IP-adres van de BGP-peer vertaalt naar een uniek, niet-overlappend adres en het post-NAT-adres in het veld BGP-peer-IP-adres van de lokale netwerkgateway plaatst.

Moet ik de overeenkomende DNAT-regels voor de SNAT-regel maken?

Nee. Eén SNAT-regel definieert de vertaling voor beide richtingen van een bepaald netwerk:

  • Een ingressSNAT-regel definieert de vertaling van de bron-IP-adressen die vanaf het on-premises netwerk in de Azure VPN-gateway komen. Het verwerkt ook de vertaling van de doel-IP-adressen die van het VNet naar hetzelfde on-premises netwerk gaan.

  • Een EgressSNAT-regel definieert de vertaling van de VNet-bron-IP-adressen die de Azure VPN-gateway verlaten naar on-premises netwerken. Het verwerkt ook de vertaling van de doel-IP-adressen voor pakketten die het VNet binnenkomt via deze verbindingen met de EgressSNAT-regel.

  • In beide gevallen zijn er geen DNAT-regels nodig.

Wat moet ik doen als de adresruimte van mijn VNet of lokale netwerkgateway twee of meer voorvoegsels heeft? Kan ik NAT op al deze aanvragen toepassen? Of gewoon een subset?

U moet één NAT-regel maken voor elk voorvoegsel dat u nodig hebt voor NAT, omdat elke NAT-regel slechts één adres voorvoegsel voor NAT kan bevatten. Als de adresruimte van de lokale netwerkgateway bijvoorbeeld uit 10.0.1.0/24 en 10.0.2.0/25 bestaat, kunt u twee regels maken zoals hieronder wordt weergegeven:

  • IngressSNAT-regel 1: Wijs 10.0.1.0/24 toe aan 100.0.1.0/24
  • IngressSNAT-regel 2: Wijs 10.0.2.0/25 toe aan 100.0.2.0/25

De twee regels moeten overeenkomen met de lengte van het voorvoegsel van de bijbehorende adres voorvoegsels. Hetzelfde geldt voor EgressSNAT-regels voor VNet-adresruimte.

Belangrijk

Als u slechts één regel aan de bovenstaande verbinding koppelt, wordt de andere adresruimte NIET vertaald.

Kan ik verschillende EgressSNAT-regels gebruiken om mijn VNet-adresruimte om te zetten in verschillende voorvoegsels naar verschillende on-premises netwerken?

Ja, u kunt meerdere EgressSNAT-regels maken voor dezelfde VNet-adresruimte en de EgressSNAT-regels toepassen op verschillende verbindingen. Voor de verbindingen zonder een EgressSNAT-regel:

Kan ik dezelfde ingressSNAT-regel gebruiken voor verschillende verbindingen?

Ja, dit wordt meestal gebruikt wanneer de verbindingen voor hetzelfde on-premises netwerk redundantie bieden. U kunt niet dezelfde toegangsregel gebruiken als de verbindingen voor verschillende on-premises netwerken zijn.

Heb ik zowel de ingress- als Egress voor een NAT-verbinding nodig?

U hebt zowel de ingress- als Egress op dezelfde verbinding nodig wanneer de adresruimte van het on-premises netwerk overlapt met de VNet-adresruimte. Als de VNet-adresruimte uniek is voor alle verbonden netwerken, hebt u de EgressSNAT-regel voor deze verbindingen niet nodig. U kunt de regels voor ingress gebruiken om adresoverlapping tussen de on-premises netwerken te voorkomen.

Cross-premises-connectiviteit en virtuele machines

Als de virtuele machine zich in een virtueel netwerk bevindt en ik een cross-premises-verbinding heb, hoe moet ik dan verbinding maken met de virtuele machine?

U hebt een aantal opties. Als u RDP hebt ingeschakeld voor uw virtuele machine, kunt u het particuliere IP-adres gebruiken om verbinding te maken met uw virtuele machine. In dat geval geeft u het particuliere IP-adres op en de poort waarmee u verbinding wilt maken (meestal 3389). U moet de poort op de virtuele machine configureren voor het verkeer.

U kunt uw virtuele machine ook verbinden met behulp van het particuliere IP-adres van een andere virtuele machine die zich in hetzelfde virtuele netwerk bevindt. Het is niet mogelijk om met het particuliere IP-adres een RDP-verbinding met de virtuele machine te maken als u verbinding maakt vanaf een locatie buiten het virtuele netwerk. Als u bijvoorbeeld een virtueel punt-naar-site-netwerk hebt geconfigureerd en u geen verbinding maakt vanaf uw computer, dan kunt u het particuliere IP-adres niet gebruiken om verbinding te maken met de virtuele machine.

Als mijn virtuele machine zich in een virtueel netwerk met cross-premises-connectiviteit bevindt, gaat al het verkeer vanuit mijn VM dan langs die verbinding?

Nee. Alleen het verkeer met een doel-IP dat zich bevindt in de door u opgegeven IP-adresbereiken van het lokale netwerk van het virtuele netwerk, loopt via de gateway van het virtuele netwerk. Verkeer met een doel-IP binnen het virtuele netwerk blijft in het virtuele netwerk. Ander verkeer wordt via de load balancer verzonden naar de openbare netwerken, tenzij geforceerde tunneling wordt gebruikt. In dat geval wordt het verzonden via de Azure VPN-gateway.

Hoe los ik problemen met de RDP-verbinding met een VM op?

Als u problemen ondervindt bij het verbinding maken met een virtuele machine via de VPN-verbinding, controleert u het volgende:

  • Controleer of uw VPN-verbinding tot stand is gebracht.
  • Controleer of u verbinding maakt met het privé-IP-adres voor de VM.
  • Als u verbinding met de VM kunt maken met behulp van het privé-IP-adres, maar niet met de computernaam, controleert u of DNS correct is geconfigureerd. Zie Naamomzetting voor VM's voor meer informatie over de werking van naamomzetting voor VM's.

Als u verbinding via punt-naar-site maakt, controleert u de volgende extra items:

  • Gebruik de opdracht 'ipconfig' om het IPv4-adres te controleren dat is toegewezen aan de ethernetadapter op de computer waarmee u de verbinding tot stand brengt. Als het IP-adres zich binnen het adresbereik bevindt van het VNet waarmee u verbinding maakt of binnen het adresbereik van uw VPNClientAddressPool, wordt dit een overlappende adresruimte genoemd. Als uw adresruimte op deze manier overlapt, kan het netwerkverkeer Azure niet bereiken en blijft het in het lokale netwerk.
  • Controleer of het configuratiepakket voor de VPN-client is gegenereerd nadat de IP-adressen van de DNS-server zijn opgegeven voor het VNet. Als u de IP-adressen van de DNS-server hebt bijgewerkt, genereert en installeert u een nieuw configuratiepakket voor de VPN-client.

Zie Problemen met Extern-bureaubladverbindingen met een VM oplossen voor meer informatie over het oplossen van problemen met Extern-bureaubladverbindingen.

Virtual Network veelgestelde vragen

U kunt aanvullende informatie over het virtuele netwerk bekijken in de Virtual Network veelgestelde vragen.

Volgende stappen

OpenVPN is een handelsmerk van OpenVPN Inc.