Руководство. Создание подключения "сеть — сеть" на портале Azure

VPN-шлюзы Azure предоставляют распределенное подключение между локальными сетями клиента и Azure. В этом учебнике показано, как с помощью портала Azure создать подключение типа "сеть — сеть" с использованием VPN-шлюза между вашей локальной сетью и виртуальной. Эту конфигурацию можно создать также с помощью Azure PowerShell или Azure CLI.

Схема подключения

В этом руководстве описано следующее:

  • Создание виртуальной сети
  • Создание VPN-шлюза
  • Создание локального сетевого шлюза
  • Создание VPN-подключения
  • Проверка подключения
  • Подключение к виртуальной машине

Предварительные требования

  • Учетная запись Azure с активной подпиской. Если у вас ее нет, создайте подписку бесплатно.
  • Убедитесь, что у вас есть совместимое VPN–устройство и пользователь, который может настроить его. Дополнительные сведения о совместимых устройствах VPN и их настройке см. в этой статье.
  • Убедитесь, что у вас есть общедоступный IPv4–адрес для вашего VPN–устройства.
  • Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, найдите того, кто сможет предоставить вам нужную информацию. При создании этой конфигурации необходимо указать префиксы диапазона IP-адресов, которые Azure будет направлять к локальному расположению. Ни одна из подсетей локальной сети не может перекрывать виртуальные подсети, к которым вы хотите подключиться.

Создание виртуальной сети

Создайте виртуальную сеть, используя следующие значения:

  • Группа ресурсов: TestRG1
  • Имя: VNet1
  • Регион: (США) Восточная часть США
  • Диапазон IPv4-адресов: 10.1.0.0/16
  • Имя подсети: FrontEnd
  • Диапазон адресов подсети: 10.1.0.0/24

Примечание

При использовании виртуальной сети в качестве части распределенной архитектуры вам необходимо обратиться к администратору локальной сети, чтобы выделить диапазон IP-адресов, который будет использоваться специально для этой виртуальной сети. Если повторяющийся диапазон адресов существует на обеих сторонах VPN-подключения, трафик будет маршрутизироваться неправильно. Кроме того, если вы хотите подключить эту виртуальную сеть к другой виртуальной сети, ее адресное пространство не может перекрываться с адресным пространством другой виртуальной сети. Спланируйте конфигурацию сети соответствующим образом.

  1. Войдите на портал Azure.

  2. В поле Поиск ресурсов, служб и документов (G+/) введите виртуальная сеть. В результатах поиска на Marketplace найдите и щелкните Виртуальная сеть, чтобы открыть страницу Виртуальная сеть.

    Снимок экрана: результаты на панели поиска на портале Azure с выбранным пунктом

  3. На странице Виртуальная сеть щелкните Создать. Откроется страница Создание виртуальной сети.

  4. На вкладке Основные сведения настройте параметры виртуальной сети в разделах Сведения о проекте и Сведения об экземпляре. Если введенные вами значения допустимы, вы увидите значок зеленой галочки. Значения, показанные в этом примере, можно изменить в соответствии с нужными вам параметрами.

    Снимок экрана: вкладка

    • Подписка. Убедитесь, что указана правильная подписка. Подписки можно менять с помощью раскрывающегося списка.
    • Группа ресурсов. Выберите существующую группу ресурсов или щелкните Создать новую, чтобы создать ее. Дополнительные сведения о группах ресурсов см. в статье Общие сведения об Azure Resource Manager.
    • Имя. Введите имя виртуальной сети.
    • Регион. Выберите расположение для виртуальной сети. Расположение определяет, где будут находиться ресурсы, развертываемые в этой виртуальной сети.
  5. Щелкните IP-адреса, чтобы перейти на соответствующую вкладку. На вкладке "IP-адреса" настройте параметры. Значения, показанные в этом примере, можно изменить в соответствии с нужными вам параметрами.

    Снимок экрана: вкладка

    • Диапазон адресов IPv4. По умолчанию диапазон IP-адресов создается автоматически. Вы можете щелкнуть адресное пространство, чтобы изменить значения на нужные вам. Вы также можете добавить диапазоны адресов.
    • Подсеть. Если используется диапазон адресов по умолчанию, подсеть по умолчанию создается автоматически. При изменении адресного пространства необходимо добавить подсеть. Выберите + Добавить подсеть, чтобы открыть окно Добавление подсети. Настройте следующие параметры и выберите Добавить, чтобы добавить значения.
      • Имя подсети. В этом примере используется подсеть с именем FrontEnd.
      • Диапазон адресов подсети. Диапазон адресов для этой подсети.
  6. Щелкните Безопасность, чтобы перейти на соответствующую вкладку. Пока что оставьте значения по умолчанию.

    • BastionHost: отключить.
    • Защита от атак DDoS уровня "Стандартный": отключить.
    • Брандмауэр: отключить.
  7. Выберите Проверка и создание, чтобы проверить настройки виртуальной сети.

  8. После проверки параметров нажмите кнопку Создать, чтобы создать виртуальную сеть.

Создание VPN-шлюза

На этом шаге вы создадите шлюз для своей виртуальной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза.

Сведения о подсети шлюза

Шлюз виртуальной сети использует определенную подсеть, которая называется подсетью шлюза. Подсеть шлюза входит в диапазон IP-адресов виртуальной сети, который вы указываете при ее настройке. Подсеть шлюза содержит IP-адреса, которые используют ресурсы и службы шлюза виртуальной сети.

При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. Необходимое количество IP-адресов зависит от конфигурации VPN-шлюза, который вы хотите создать. Некоторым конфигурациям требуется больше IP-адресов, чем прочим. Рекомендуем создать подсеть шлюза, которая использует /27 или /28.

Если появится сообщение об ошибке, которое указывает, что адресное пространство пересекается с подсетью или что подсеть находится вне адресного пространства виртуальной сети, проверьте диапазон адресов виртуальной сети. Возможно, в диапазоне адресов, созданном для виртуальной сети, недостаточно IP-адресов. Например, если подсеть по умолчанию охватывает весь диапазон адресов, не остается IP-адресов для создания дополнительных подсетей. Можно настроить подсети в существующем пространстве адресов, чтобы освободить IP-адреса, или указать дополнительный диапазон адресов и создать в нем подсеть шлюза.

Создание шлюза

Создайте шлюз виртуальной сети, используя следующие значения:

  • Имя: VNet1GW
  • Регион: Восточная часть США
  • Тип шлюза: VPN
  • Тип VPN: на основе маршрутов
  • SKU: VpnGw2
  • Поколение. Поколение 2
  • Виртуальная сеть: VNet1
  • Диапазон адресов подсети шлюза: 10.1.255.0/27
  • Общедоступный IP-адрес: выберите вариант "Создать новый"
  • Имя общедоступного IP-адреса: VNet1GWpip
  • Включить режим "активный — активный": выключено
  • Настройка BGP: выключено
  1. В поле Поиск ресурсов, служб и документов (G+/) введите шлюз виртуальной сети. Найдите шлюз виртуальной сети в результатах поиска и выберите его.

    Снимок экрана: поле поиска.

  2. На странице Шлюз виртуальной сети выберите + Создать. Откроется страница Создание шлюза виртуальной сети.

    Снимок экрана: страница шлюзов виртуальной сети с выделенной кнопкой

  3. На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.

    Снимок экрана: поля для экземпляра.

    • Подписка. В раскрывающемся списке выберите нужную подписку.
    • Группа ресурсов. Этот параметр заполняется автоматически при выборе виртуальной сети на этой странице.
    • Имя. Назовите свой шлюз. Имя шлюза должно отличаться от имени подсети шлюза. Это имя объекта шлюза, который создается.
    • Регион. Выберите регион, в котором требуется создать ресурс. Шлюз должен находиться в том же регионе, где и виртуальная сеть.
    • Тип шлюза. Выберите VPN. VPN-шлюзы используют тип шлюза виртуальной сети VPN.
    • Тип VPN. Выберите тип VPN, который указан для конфигурации. Для большинства конфигураций требуется тип VPN на основе маршрута.
    • SKU. Выберите нужный номер SKU шлюза в раскрывающемся списке. Номера SKU, перечисленные в раскрывающемся списке, зависят от выбранного типа VPN. Выберите тот номер SKU, который поддерживает необходимые функции. Дополнительные сведения о номерах SKU шлюзов см. в разделе SKU шлюзов.
    • Поколение. Выберите поколение, которое необходимо использовать. Дополнительные сведения см. в разделе о номерах SKU шлюзов.
    • Виртуальная сеть. В раскрывающемся списке выберите виртуальную сеть, в которую будет добавлен этот шлюз.
    • Диапазон адресов подсети шлюза. Это поле отображается, только если в виртуальной сети нет подсети шлюза. Рекомендуется указать /27 или больше (/26, /25 и т. д.). Это позволяет получить достаточное количество IP-адресов для будущих изменений, например добавление шлюза ExpressRoute. Не рекомендуется создавать диапазоны с количеством единиц в маске меньше 28. Если у вас уже есть подсеть шлюза, вы можете просмотреть сведения о параметре GatewaySubnet, перейдя к своей виртуальной сети. Щелкните Подсети, чтобы посмотреть диапазон. Если вы хотите изменить диапазон, можно удалить и создать заново параметр GatewaySubnet.
  1. Введите значения для общедоступного IP-адреса. Эти параметры задают объект общедоступного IP-адреса, который связывается с VPN-шлюзом. Общедоступный IP-адрес динамически назначается этому объекту при создании VPN-шлюза. Общедоступный IP-адрес изменяется только после удаления и повторного создания шлюза. При изменении размера, сбросе или других внутренних операциях обслуживания или обновления IP-адрес VPN-шлюза не изменяется.

    Снимок экрана: поле общедоступного IP-адреса.

    • Общедоступный IP-адрес. Оставьте выбранный параметр Создать новый.
    • Имя общедоступного IP-адреса. В текстовом поле укажите имя общедоступного IP-адреса.
    • Назначение. VPN-шлюз поддерживает только динамическое назначение IP-адресов.
    • Включить режим " активный — активный". Параметр Включить режим " активный — активный" следует использовать только в том случае, если вы настраиваете конфигурацию шлюза в режиме "активный — активный". В противном случае оставьте для этого параметра значение Отключено.
    • Не выбирайте параметр Configure BGP (Настроить BGP), кроме случаев, когда его выбор обусловлен используемой конфигурацией. Если этот параметр необходим, по умолчанию для ASN устанавливается значение 65515, которое при необходимости можно изменить.
  2. Выберите Просмотр и создание, чтобы выполнить проверку.

  3. Затем щелкните Создать, чтобы развернуть шлюз виртуальной частной сети.

Состояние развертывания можно отслеживать на странице обзора шлюза. Это может занять до 45 минут. После создания шлюза вы можете просмотреть назначенный ему IP-адрес в разделе сведений о виртуальной сети на портале. Шлюз будет отображаться как подключенное устройство.

Важно!

При работе с подсетями шлюза не связывайте группу безопасности сети (NSG) с подсетью шлюза. Связывание группы безопасности сети с этой подсетью приведет к тому, что шлюз виртуальной сети (VPN-шлюз и шлюз Express Route) перестанет работать ожидаемым способом. Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.

Просмотр общедоступного IP-адреса

Общедоступный IP-адрес шлюза можно просмотреть на странице Обзор для шлюза.

Страница обзора

Чтобы просмотреть дополнительные сведения об объекте общедоступного IP-адреса, щелкните ссылку имени/IP-адреса возле параметра Общедоступный IP-адрес.

Создание локального сетевого шлюза

Шлюз локальной сети — это конкретный объект, который представляет локальное расположение (сайт) для целей маршрутизации. Присвойте сайту имя, по которому Azure может обращаться к этому сайту, а затем укажите IP-адрес локального VPN-устройства, к которому вы подключитесь. Вы можете также указать префиксы IP-адресов, которые будут направляться через VPN-шлюз к VPN-устройству. Указываемые префиксы адресов расположены в локальной сети. Если вы внесли изменения в локальной сети или вам нужно изменить общедоступный IP-адрес для VPN-устройства, значения можно легко обновить позже.

Создайте шлюз локальной сети, используя следующие значения:

  • Имя: Site1
  • Группа ресурсов: TestRG1
  • Расположение: восточная часть США.
  1. На портале Azure в разделе Поиск по ресурсам, службам и документам (G+/) введите текст шлюз локальной сети. Найдите шлюз локальной сети в разделе Marketplace в результатах поиска и выберите его. Откроется страница Создание шлюза локальной сети.

  2. На странице Создание шлюза локальной сети укажите значения для своего шлюза.

    Создание шлюза локальной сети с использованием IP-адреса

    • Имя — укажите имя для объекта шлюза локальной сети.
    • Конечная точка. Выберите тип конечной точки для локального VPN-устройства — IP-адрес или FQDN (полное доменное имя).
      • IP-адрес. Если у вас есть статический общедоступный IP-адрес, выделенный вашим поставщиком услуг Интернета для VPN-устройства, выберите вариант "IP-адрес" и введите этот адрес, как показано в примере. Это общедоступный IP-адрес VPN-устройства, к которому вы хотите подключить VPN-шлюз Azure. Если у вас сейчас нет IP-адреса, вы можете использовать значения, показанные в примере. Но позже вам нужно будет заменить заполнитель IP-адреса общедоступным IP-адресом устройства VPN. Иначе Azure не удастся установить подключение.
      • FQDN. Если у вас есть динамический общедоступный IP-адрес, который через некоторое время (обычно определяемое вашим поставщиком услуг Интернета) может измениться, вы можете использовать постоянное DNS-имя с динамической службой DNS для указания на текущий общедоступный IP-адрес своего VPN-устройства. Ваш VPN-шлюз Azure будет выполнять разрешение полного доменного имени для определения общедоступного IP-адреса для подключения.
    • Адресное пространство обозначает диапазон адресов для сети, которую представляет эта локальная сеть. Можно добавить несколько диапазонов пространства адресов. Убедитесь, что указанные диапазоны не перекрывают диапазоны других сетей, к которым необходимо подключиться. Azure будет маршрутизировать указанный диапазон адресов на IP-адрес локального VPN-устройства. Чтобы подключиться к локальному сайту, используйте здесь собственные значения, а не значения из примера.
    • Настройка параметров BGP — используйте только при настройке BGP. В противном случае не выбирайте этот параметр.
    • Подписка — убедитесь, что указана правильная подписка.
    • Группа ресурсов — выберите нужную группу ресурсов. Можно создать новую группу ресурсов или выбрать уже созданную.
    • Расположение: расположение соответствует значению Регион в других параметрах. Укажите расположение, в котором будет создан этот объект. Вы можете выбрать расположение, в котором размещена виртуальная сеть, но это не обязательно.

    Примечание

    • VPN Azure поддерживает только один IPv4-адрес для каждого полного доменного имени. Если доменное имя разрешается на несколько IP-адресов, VPN-шлюз Azure будет использовать первый IP-адрес, возвращенный DNS-серверами. Чтобы устранить такую неопределенность, мы рекомендуем всегда разрешать полное доменное имя на один IPv4-адрес. IPv6 не поддерживается.
    • VPN-шлюз Azure использует кэш DNS, который обновляется каждые 5 минут. Шлюз пытается разрешить полные доменные имена только для отключенных туннелей. Разрешение полных доменных имен также активируется при сбросе настроек шлюза.
  3. Завершив ввод значений, щелкните Создать в нижней части страницы, чтобы создать шлюз локальной сети.

Настройка устройства VPN

Для подключения типа "сеть — сеть" к локальной сети требуется VPN-устройство. На этом этапе мы настроим VPN-устройство. Чтобы настроить локальное VPN-устройство, потребуются следующие значения:

  • Общий ключ. Это тот же общий ключ, который указывается при создании VPN-подключения "сеть — сеть". В наших примерах мы используем простые общие ключи. Для практического использования рекомендуется создавать более сложные ключи.
  • Общедоступный IP-адрес шлюза виртуальной сети. Общедоступный IP-адрес можно просмотреть с помощью портала Azure, PowerShell или CLI. Чтобы найти общедоступный IP-адрес VPN-шлюза с помощью портала Azure, перейдите к разделу Шлюзы виртуальной сети и выберите имя шлюза.

Скачивание скриптов конфигурации VPN-устройства:

В зависимости устройства VPN можно загрузить для него скрипт конфигурации. Дополнительные сведения см. в статье о скачивании скриптов конфигурации для VPN-устройств.

Дополнительные сведения о конфигурации см. по следующим ссылкам:

Создание VPN-подключения

Создайте VPN-подключение типа "сеть — сеть" между шлюзом виртуальной сети и локальным VPN-устройством.

Создайте подключение, используя следующие значения:

  • Имя шлюза локальной сети: Site1.
  • Имя подключения: VNet1toSite1.
  • Общий ключ: в этом примере мы используем abc123. Но можно использовать любой ключ, совместимый с оборудованием VPN. Важно, чтобы значения совпадали на обеих сторонах подключения.
  1. Откройте страницу шлюза виртуальной сети. Вы можете перейти к шлюзу, последовательно выбрав элементы имя виртуальной сети - Обзор -> Подключенные устройства -> имя шлюза. Кроме того, есть множество других способов навигации.

  2. На странице шлюза выберите элемент Подключения. В верхней части страницы "Подключения" выберите элемент Добавить, чтобы открыть страницу Добавление подключения.

    Подключение

  3. На странице Добавление подключения задайте значения для подключения.

    • Имя — имя подключения.
    • Тип подключения: выберите Сеть — сеть (IPSec).
    • Шлюз виртуальной сети — значение является фиксированным, так как вы подключаетесь из этого шлюза.
    • Шлюз локальной сети: щелкните Выбрать шлюз локальной сети и укажите нужный шлюз.
    • Общий ключ — это значение должно соответствовать ключу локального VPN-устройства. В этом примере используется abc123, но вы можете (это рекомендуется) создать и использовать что-нибудь посложнее. Важно, чтобы заданное здесь значение совпадало со значением, указываемым при настройке вашего VPN-устройства.
    • Не устанавливайте флажок Использовать частный IP-адрес Azure.
    • Не устанавливайте флажок Включить BGP.
    • Выберите элемент IKEv2.
    • Остальные значения для подписки, группы ресурсов, и расположения являются фиксированными.
  4. Щелкните ОК для создания подключения. На экране появится надпись Идет создание подключения .

  5. Данные созданного подключения появятся на странице Подключения шлюза виртуальной сети. Состояние изменится с Неизвестно на Подключение, а затем — Успешно.

Проверка VPN-подключения

Чтобы на портале Azure просмотреть состояние подключения для VPN-шлюза в модели Resource Manager, перейдите к нужному подключению. Ниже показано, как перейти к подключению и проверить его.

  1. На портале Azure выберите в меню Все ресурсы или выполните поиск на любой странице и в результатах выберите Все ресурсы.

  2. Выберите нужный шлюз виртуальной сети.

  3. В колонке шлюза виртуальной сети щелкните Подключения. Вы увидите состояние каждого подключения.

  4. Чтобы открыть вкладку Основные компоненты, щелкните имя подключения, которое необходимо проверить. На вкладке "Основные компоненты" можно просмотреть дополнительные сведения о подключении. В случае успешного подключения будет отображаться состояние "Успешно" и "Подключено".

    Снимок экрана: проверка подключения VPN-шлюза с помощью портала Azure

Подключение к виртуальной машине

Вы можете подключиться к виртуальной машине, которая развернута в вашей виртуальной сети, создав подключение к удаленному рабочему столу. Лучший способ проверить, можете ли вы подключиться к своей виртуальной машине, — подключиться, используя частный IP-адрес, а не имя компьютера. Таким образом, вы проверяете, можете ли вы подключиться, а не правильно ли настроено разрешение имен.

  1. Найдите частный IP-адрес. Вы можете найти частный IP-адрес виртуальной машины, просмотрев ее свойства на портале Azure или используя PowerShell.

    • Портал Azure. Найдите свою виртуальную машину на портале Azure. Просмотрите свойства виртуальной машины. Там будет указан частный IP-адрес.

    • PowerShell. Воспользуйтесь примером ниже, чтобы просмотреть список виртуальных машин и частных IP-адресов из ваших групп ресурсов. Вам не нужно изменять этот пример перед использованием.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Убедитесь, что вы подключены к виртуальной сети с помощью VPN-подключения "точка — сеть".

  3. Откройте подключение к удаленному рабочему столу. Для этого введите "RDP" или "подключение к удаленному рабочему столу" в поле поиска на панели задач, а затем выберите подключение к удаленному рабочему столу. Вы также можете открыть подключение к удаленному рабочему столу с помощью команды mstsc в PowerShell.

  4. В сеансе подключения к удаленному рабочему столу введите частный IP-адрес виртуальной машины. Щелкните "Показать параметры", чтобы настроить дополнительные параметры, а затем подключитесь.

Устранение неполадок с подключением

Если возникают проблемы при подключении к виртуальной машине через VPN-подключение, проверьте следующее.

Другие возможные шаги

Добавление подключений в шлюз

Вы можете добавлять дополнительные подключения при условии, что ни один из диапазонов адресов не перекрывается между подключениями.

  1. Чтобы добавить дополнительное подключение, перейдите к VPN-шлюзу и выберите Подключения. Откроется страница "Подключения".
  2. Выберите +Добавить, чтобы добавить подключение. Задайте соответствующий тип соединения: "виртуальная сеть — виртуальная сеть" (при подключении к другому шлюзу виртуальной сети) или "сеть — сеть".
  3. Если вы используете подключение "сеть — сеть", но еще не создали шлюз для локальной сети, к которой подключаетесь, создайте этот шлюз.
  4. Укажите необходимый общий ключ и нажмите кнопку ОК, чтобы создать подключение.

Изменение размера SKU шлюза

Существуют определенные правила, касающиеся изменения размера и изменения SKU шлюза. В этом разделе показано, как изменить размер SKU. Дополнительные сведения см. в разделе об изменении размера и изменении номеров SKU.

  1. Откройте страницу Конфигурация для шлюза виртуальной сети.

  2. Выберите стрелки для раскрывающегося списка.

    Изменение размера шлюза

  3. Выберите SKU в раскрывающемся списке.

    Выбор SKU

Сброс параметров шлюза

Сброс настроек VPN-шлюза Azure полезен при потере распределенного VPN-подключения в одном или нескольких VPN-туннелях типа "сеть-сеть". В этой ситуации все локальные VPN-устройства работают правильно, но не могут взаимодействовать с VPN-шлюзами Azure через туннели IPsec.

  1. На портале перейдите к шлюзу виртуальной сети, который нужно сбросить.

  2. На странице шлюза виртуальной сети выберите элемент Сброс.

    Меню — сброс параметров шлюза

  3. На странице Сброс щелкните Сбросить. Выполнение команды влечет за собой немедленную перезагрузку текущего активного экземпляра VPN-шлюза Azure. При сбросе шлюза произойдет прерывание VPN-подключения. Кроме того, это может ограничить возможности анализа первопричин в будущем.

    Сброс настроек шлюза

Дополнительные рекомендации по настройке

Конфигурации типа "сеть — сеть" можно настраивать различными способами. Дополнительные сведения см. в следующих статьях:

Очистка ресурсов

Если вы не собираетесь использовать это приложение в дальнейшем или переходить к следующему учебнику, удалите эти ресурсы, выполнив следующие действия.

  1. Введите имя группы ресурсов в поле Поиск в верхней части портала и выберите ее в результатах поиска.

  2. Выберите Удалить группу ресурсов.

  3. В поле TYPE THE RESOURCE GROUP NAME (ВВЕДИТЕ ИМЯ ГРУППЫ РЕСУРСОВ) введите имя и выберите Удалить.

Дальнейшие действия

После настройки подключения "сеть — сеть" можно добавить к тому же шлюзу подключение "точка — сеть".