Vanliga frågor och svar om VPN Gateway

Ansluta till virtuella nätverk

Kan jag ansluta till virtuella nätverk i olika Azure-regioner?

Ja. Faktum är att det inte finns någon regionbegränsning. Ett virtuellt nätverk kan ansluta till ett annat virtuellt nätverk i samma region eller i en annan Azure-region.

Kan jag ansluta till virtuella nätverk i olika prenumerationer?

Ja.

Kan jag ange privata DNS-servrar i mitt VNet när jag konfigurerar VPN Gateway?

Om du angav en DNS-server eller -servrar när du skapade ditt VNet VPN Gateway du de DNS-servrar som du angav. Om du anger en DNS-server kontrollerar du att DNS-servern kan matcha de domännamn som behövs för Azure.

Kan jag ansluta till flera platser från en enda virtuellt nätverk?

Du kan ansluta till flera platser med hjälp av Windows PowerShell och Azure REST-API:er. Se Multisite- och VNet-till-VNet-anslutning, avsnittet Vanliga frågor och svar.

Tillkommer en extra kostnad för att konfigurera en VPN-gateway som aktiv-aktiv?

Nej.

Vilka alternativ finns det för min anslutning till flera platser?

Följande anslutningar mellan flera platser stöds:

  • Plats-till-plats – VPN-anslutning via IPsec (IKE v1 och IKE v2). Den här typen av anslutning kräver en VPN-enhet eller RRAS. Mer information finns i Plats-till-plats.
  • Punkt-till-plats – VPN-anslutning över SSTP (Secure Socket Tunneling Protocol) eller IKE v2. Den här anslutningen kräver inte någon VPN-enhet. Mer information finns i Punkt-till-plats.
  • VNet-till-VNet – Den här typen av anslutning är samma som en plats-till-plats-konfiguration. VNet-till-VNet är en VPN-anslutning via IPsec (IKE v1 och IKE v2). Den kräver inte någon VPN-enhet. Mer information finns i VNet-till-VNet.
  • Flera platser – Det här är en variant av en plats-till-plats-konfiguration som gör att du kan ansluta flera lokala platser till ett virtuellt nätverk. Mer information finns i Flera platser.
  • ExpressRoute – ExpressRoute är en privat anslutning till Azure från ditt WAN, inte en VPN-anslutning via offentligt Internet. Mer information finns i Teknisk översikt för ExpressRoute och Vanliga frågor och svar om ExpressRoute.

Mer information om VPN-gatewayanslutningar finns i Om VPN Gateway.

Vad är skillnaden mellan en plats-till-plats-anslutning och en punkt-till-plats-anslutning?

Plats-till-plats-konfigurationer (IPsec/IKE VPN-tunnel) sker mellan en lokal plats och Azure. Detta innebär att du kan ansluta mellan datorer i dina lokaler till valfri virtuell dator eller rollinstans i det virtuella nätverket, beroende på hur du väljer att konfigurera routning och behörigheter. Det är ett bra alternativ för en anslutning mellan flera platser som alltid är tillgänglig och passar bra för hybridkonfigurationer. Den här typen av anslutning bygger på en IPsec VPN-installation (maskinvara eller programinstallation), som måste distribueras i utkanten av nätverket. Om du vill skapa den här typen av anslutning måste du ha en extern IPv4-adress.

Med punkt-till-plats-konfigurationer (VPN över SSTP) kan du ansluta från en enda dator varifrån som helst till något som finns i ditt virtuella nätverk. Den använder Windows som ingår i VPN-klienten. Som en del av punkt-till-plats-konfigurationen kan du installera ett certifikat och ett VPN-klientkonfigurationspaket, som innehåller inställningar för att datorn ska kunna ansluta till en virtuell dator eller rollinstans i det virtuella nätverket. Detta är användbart om du vill ansluta till ett virtuellt nätverk som inte finns lokalt. Det är också ett bra alternativ om du inte har tillgång till VPN-maskinvara eller en extern IPv4-adress. Båda krävs för en plats-till-plats-anslutning.

Du kan konfigurera ditt virtuella nätverk till att använda både plats-till-plats och punkt-till-plats samtidigt, förutsatt att du skapar din plats-till-plats-anslutning med en routningsbaserad VPN-typ för din gateway. Routningsbaserade VPN-typer kallas för dynamiska gateways i den klassiska distributionsmodellen.

Sekretess

Lagrar eller bearbetar VPN-tjänsten kunddata?

Nej.

Virtuella nätverksgatewayer

Är en VPN-gateway en virtuell nätverksgateway?

En VPN-gateway är en typ av virtuell nätverksgateway. En VPN-gateway skickar krypterad trafik mellan det virtuella nätverket och lokal plats via en offentlig anslutning. Du kan också använda en VPN-gateway för att skicka trafik mellan virtuella nätverk. När du skapar en VPN-gateway använder du värdet ”Vpn” för -GatewayType. Mer information finns i Om konfigurationsinställningar för VPN Gateway.

Vad är en principbaserad gateway (statisk routning)?

Principbaserade gateways implementerar principbaserade VPN:er. Principbaserade VPN:er krypterar och dirigerar paket via IPsec-tunnlar, baserat på kombinationerna av adressprefix mellan ditt lokala nätverk och Azure VNet. Principen (eller trafikväljaren) definieras vanligtvis som en åtkomstlista i VPN-konfigurationen.

Vad är en routningsbaserad gateway (dynamisk routning)?

Routningsbaserade gateways implementerar routningsbaserade VPN:er. Routningsbaserade VPN:er använder ”vägar” i IP-vidarebefordringen eller i routningstabellen för att dirigera paket till sina respektive tunnelgränssnitt. Tunnelgränssnitten krypterar eller dekrypterar sedan paketen in och ut från tunnlarna. Principen eller trafikväljarna för ruttbaserade VPN:er konfigureras som alla-till-alla (eller jokertecken).

Kan jag ange mina egna principbaserade trafikväljare?

Ja, trafikväljare kan definieras via attributet trafficSelectorPolicies på en anslutning via PowerShell-kommandot New-AzIpsecTrafficSelectorPolicy. Se till att alternativet Använd principbaserade trafikväljare är aktiverat för att den angivna trafikväljaren ska gälla.

Kan jag uppdatera min principbaserade VPN-gateway till vägbaserad?

Nej. En gatewaytyp kan inte ändras från principbaserad till vägbaserad eller från vägbaserad till principbaserad. Om du vill ändra en gatewaytyp måste du ta bort och återskapa gatewayen. Den här processen tar cirka 60 minuter. När du skapar den nya gatewayen kan du inte behålla IP-adressen för den ursprungliga gatewayen.

  1. Ta bort alla anslutningar som är associerade med gatewayen.

  2. Ta bort gatewayen med någon av följande artiklar:

  3. Skapa en ny gateway med den gatewaytyp du vill ha och slutför sedan VPN-installationen. Anvisningar finns i självstudien för plats-till-plats.

Behöver jag ett gatewayundernät?

Ja. Gatewayundernätet innehåller de IP-adresser som gatewaytjänsterna för virtuella nätverk använder. Om du vill konfigurera en virtuell nätverksgateway måste du först skapa ett gatewayundernät för det virtuella nätverket. Alla gatewayundernät måste ha namnet ”GatewaySubnet” för att fungera korrekt. Ge inte något annat namn till gateway-undernätet. Och distribuera inte virtuella datorer eller något annat till gateway-undernätet.

När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. IP-adresserna i gatewayundernätet allokeras till gatewaytjänsten. Vissa konfigurationer kräver att fler IP-adresser allokeras till gatewaytjänsterna än andra. Du måste kontrollera att gatewayundernätet innehåller tillräckligt med IP-adresser för att hantera framtida tillväxt och eventuella ytterligare nya anslutningskonfigurationer. Även om du kan skapa ett gatewayundernät som är så litet som /29, rekommenderar vi att du skapar ett gatewayundernät på /27 eller större (/27, /26, /25 osv.). Granska kraven för den konfiguration som du vill skapa och kontrollera att gatewayundernätet som du har kommer att uppfylla dessa krav.

Kan jag distribuera virtuella datorer eller rollinstanser till mitt gateway-undernät?

Nej.

Kan jag få min IP-adress för VPN-gatewayen innan jag skapar den?

Zonredundant och zonindead gateway (gateway-SKU:er som har AZ i namnet) förlitar sig båda på en offentlig IP-resurs för Standard SKU i Azure. Offentliga IP-resurser i Azure Standard SKU måste använda en statisk allokeringsmetod. Därför kommer du att ha den offentliga IP-adressen för din VPN-gateway så snart du skapar den offentliga IP-resursen Standard-SKU som du tänker använda för den.

För icke-zonredundant och icke-zonindead gateway (gateway-SKU:er som inte har AZ i namnet) kan du inte hämta IP-adressen för VPN-gatewayen innan den skapas. IP-adressen ändras bara om du tar bort och skapar vpn-gatewayen på nytt.

Kan jag begära en statisk offentlig IP-adress för min VPN-gateway?

Som vi nämnt ovan förlitar sig zonredundant och zonindelig gateway (gateway-SKU:er som har AZ i namnet) på en offentlig IP-resurs för Standard SKU i Azure. Offentliga IP-resurser i Azure Standard SKU måste använda en statisk allokeringsmetod.

För icke-zonredundant och icke-zonindead gateway (gateway-SKU:er som inte har AZ i namnet) stöds endast dynamisk IP-adresstilldelning. Detta innebär dock inte att IP-adressen ändras när den har tilldelats till din VPN-gateway. Den enda gången VPN-gatewayens IP-adress ändras är när gatewayen tas bort och sedan skapas på ny plats. Den offentliga IP-adressen för VPN-gatewayen ändras inte när du ändrar storlek, återställer eller slutför annat internt underhåll och uppgraderingar av din VPN-gateway.

Hur blir min VPN-tunnel autentiserad?

Azure VPN använder PSK-autentisering (I förväg delad nyckel). Vi kan generera en i förväg delad nyckel (PSK) när vi skapar VPN-tunneln. Du kan ändra den automatiskt genererade PSK:n till din egen med PowerShell-cmdleten Set Pre-Shared Key REST API.

Kan jag använda API:n Set Pre-Shared Key till att konfigurera min principbaserade gateway-VPN (statisk routning)?

Ja, både API:n och PowerShell-cmdleten Set Pre-Shared Key kan användas för att konfigurera Azures principbaserade (statiska) VPN:er och routningsbaserade (dynamisk) routning-VPN:er.

Kan jag använda andra autentiseringsalternativ?

Vi är begränsade till att använda PSK (I förväg delad nyckel) vid autentisering.

Hur anger jag vilken trafik som ska passera VPN-gatewayen?

Distributionsmodell med Resource Manager

  • PowerShell: Använd ”AddressPrefix” för att ange trafik för den lokala nätverksgatewayen.
  • Azure Portal: Gå till den lokala nätverksgatewayen > Konfiguration > Adressutrymme.

Klassisk distributionsmodell

  • Azure Portal: Gå till det klassiska virtuella nätverket > VPN-anslutningar > Plats-till-plats-VPN-anslutningar > Namn på lokal plats > Lokal plats > Adressutrymme för klient.

Kan jag använda NAT-T på mina VPN-anslutningar?

Ja, NAT-traverserning (NAT-T) stöds. Azure VPN Gateway utför INTE NAT-liknande funktioner på de inre paketen till och från IPsec-tunnlarna. I den här konfigurationen ser du till att den lokala enheten initierar IPSec-tunneln.

Kan jag installera min egen VPN-server i Azure och använda den för att ansluta till mitt lokala nätverk?

Ja, du kan distribuera egna VPN-gatewayer eller servrar i Azure, antingen från Azure Marketplace eller genom att skapa egna VPN-routrar. Du måste konfigurera användardefinierade vägar i det virtuella nätverket så att trafiken dirigeras korrekt mellan de lokala nätverken och de virtuella undernätverken.

Varför är vissa portar öppna på min virtuella nätverksgateway?

De krävs för Azures infrastrukturkommunikation. De är skyddade (låsta) med Azure-certifikat. Utan rätt certifikat kommer externa entiteter, inklusive kunderna till dessa gateways, inte kunna orsaka någon effekt på dessa slutpunkter.

En virtuell nätverksgateway är i grunden en enhet med flera värdar med ett nätverkskort som trycker på kundens privata nätverk och ett nätverkskort mot det offentliga nätverket. Azure-infrastrukturens entiteter kan inte använda kundens privata nätverk av kompatibilitetsskäl, så de måste använda offentliga slutpunkter för infrastrukturkommunikationen. De offentliga slutpunkterna genomsöks regelbundet av Azures säkerhetsgranskning.

Mer information om gateway-typer, krav och dataflöde

Mer information finns i Om konfigurationsinställningar för VPN Gateway.

Plats-till-plats-anslutningar och VPN-enheter

Vad bör jag tänka på när jag väljer en VPN-enhet?

Vi har verifierat en uppsättning VPN-standardenheter för plats-till-plats tillsammans med våra enhetsleverantörer. En lista med kända kompatibla VPN-enheter, deras konfigurationsanvisningar eller exempel, samt specifikationer för enheten finns i artikeln Om VPN-enheter. Alla enheter i enhetsfamiljerna som är kompatibla bör fungera tillsammans med Virtual Network. Om du behöver hjälp med att konfigurera din VPN-enhet kan du se enhetens konfigurationsexempel eller den länk som leder till lämplig enhetsfamilj.

Var hittar jag konfigurationsinställningar för VPN-enheter?

För att ladda ned konfigurationsskript för VPN-enheten:

Beroende på vilken VPN-enhet du har kan du eventuellt hämta ett skript för VPN-enhetskonfiguration. Mer information finns i Ladda ned konfigurationsskript för VPN-enheten.

Se följande länkar för ytterligare information om konfiguration:

Hur redigerar jag konfigurationsexempel för VPN-enheter?

Mer information om att redigera enhetens konfigurationsexempel finns i Redigera exempel.

Var hittar jag IPsec- och IKE-parametrar?

Mer information om IPsec-/IKE-parametrar finns i Parametrar.

Varför stängs min principbaserade VPN-tunnel när trafiken är inaktiv?

Detta är ett förväntat beteende för principbaserade VPN-gatewayer (även kallat statisk routning). När trafiken i tunneln varit inaktiv i mer än 5 minuter kommer tunneln att stängas. När trafik börjar flöda i båda riktningarna, upprättas tunneln på nytt omedelbart.

Kan jag använda programvaru-VPN:er för att ansluta till Azure?

Vi har stöd för Routning och fjärråtkomst (RRAS) i Windows Server 2012 för plats-till-plats-konfiguration mellan flera platser.

Andra VPN-programlösningar bör fungera med vår gateway så länge de uppfyller branschens standardimplementeringar för IPsec. Kontakta leverantören av programvaran för konfigurations- och supportinstruktioner.

Kan jag ansluta till Azure Gateway via punkt-till-plats när det finns på en plats som har en aktiv plats-till-plats-anslutning?

Ja, men de offentliga IP-adresserna för punkt-till-plats-klienten måste vara annorlunda än de offentliga IP-adresser som används av plats-till-plats-VPN-enheten, annars fungerar inte punkt-till-plats-anslutningen. Punkt-till-plats-anslutningar med IKEv2 kan inte initieras från samma offentliga IP-adress(er) där en VPN-anslutning för plats till plats är konfigurerad på samma Azure-VPN Gateway.

Punkt-till-plats – certifikatautentisering

Det här avsnittet gäller distributionsmodellen i Resource Manager.

Hur många slutpunkter på VPN-klienter kan jag ha i min punkt-till-plats-konfiguration?

Det beror på gateway-SKU:n. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.

Vilka klientoperativsystemet kan jag använda med punkt-till-plats?

Följande klientoperativsystem stöds:

  • Windows Server 2008 R2 (endast 64-bitars)
  • Windows 8.1 (32-bitars och 64-bitars)
  • Windows Server 2012 (endast 64-bitars)
  • Windows Server 2012 R2 (endast 64-bitars)
  • Windows Server 2016 (endast 64-bitars)
  • Windows Server 2019 (endast 64-bitars)
  • Windows 10
  • Windows 11
  • macOS version 10.11 eller senare
  • Linux (StrongSwan)
  • iOS

Anteckning

Från och med 1 juli 2018 tas stödet för TLS 1.0 och 1.1 bort från Azure VPN Gateway. VPN Gateway kommer endast att stödja TLS 1.2. Information om hur du behåller stödet finns i uppdateringarna för att aktivera stöd för TLS1.2.

Dessutom kommer följande äldre algoritmer också att bli inaktuella för TLS den 1 juli 2018:

  • RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm, datakrypteringsalgoritm)
  • 3DES (Triple Data Encryption Algorithm, tredubbel datakrypteringsalgoritm)
  • MD5 (Message Digest 5)

Hur gör jag för att stöd för TLS 1.2 i Windows 8.1?

  1. Öppna en kommando tolk med förhöjd behörighet genom att högerklicka på kommando tolken och välja Kör som administratör.

  2. Kör följande kommandon i kommandotolken:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

  3. Installera följande uppdateringar:

  4. Starta om datorn.

  5. Anslut till VPN.

Anteckning

Du måste ange register nyckeln ovan om du kör en äldre version av Windows 10 (10240).

Kan jag korsa proxyservrar och brandväggar med punkt-till-plats-funktionen?

Azure stöder tre typer av VPN-alternativ för punkt-till-plats:

  • SSTP (Secure Socket Tunneling Protocol). SSTP är en SSL-baserad lösning från Microsoft som kan ta sig in i brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-port som 443 SSL använder.

  • Openvpn. OpenVPN är en SSL-baserad lösning som kan ta sig in i brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-port som 443 SSL använder.

  • IKEv2 VPN. IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder utgående UDP-portar 500 och 4500 och IP-protokoll nej. 50. Eftersom inte alla brandväggar öppnar dessa portar kan det hända att IKEv2 VPN inte kan komma igenom proxyservrar och brandväggar.

Om jag startar om en klientdator som konfigurerats för punkt-till-plats, kommer då VPN att återansluta automatiskt?

Som standard kommer klientdatorn inte återupprätta VPN-anslutningen automatiskt.

Har punkt-till-plats stöd för automatisk återanslutning och DDNS på VPN-klienterna?

Automatisk återanslutning och DDNS stöds för närvarande inte i punkt-till-plats-VPN:er.

Kan jag ha plats-till-plats- och punkt-till-plats-konfigurationer samtidigt på samma virtuella nätverk?

Ja. Med Resource Manager-distributionsmodellen krävs en gateway med routningsbaserad VPN. I den klassiska distributionsmodellen måste du ha en dynamisk gateway. Punkt-till-plats stöds inte för VPN-gatewayer med statisk routning eller principbaserade VPN-gatewayer.

Kan jag konfigurera en punkt-till-plats-klient så att den ansluter till flera virtuella nätverksgatewayer samtidigt?

Beroende på vilken VPN-klientprogramvara som används kan du eventuellt ansluta till flera Virtual Network-gatewayer, förutsatt att de virtuella nätverk som ansluts till inte har motstridiga adressutrymmen mellan dem eller att nätverket från med klienten ansluter från. Azure VPN-klienten stöder många VPN-anslutningar, men endast en anslutning kan anslutas åt gången.

Kan jag konfigurera en punkt-till-plats-klient så att den ansluter till flera virtuella nätverk samtidigt?

Ja, punkt-till-plats-klientanslutningar till en virtuell nätverksgateway som distribueras i ett virtuellt nätverk som är peer-peering med andra virtuella nätverk kan ha åtkomst till andra peer-ade VNet. Punkt-till-plats-klienter kommer att kunna ansluta till peer-ade virtuella nätverk så länge de peer-koppla virtuella nätverken använder funktionerna UseRemoteGateway/AllowGatewayTransit. Mer information finns i Om punkt-till-plats-routning.

Hur högt dataflöde kan jag förvänta mig vid anslutningar för plats-till-plats eller punkt-till-plats?

Det är svårt att bibehålla ett exakt dataflöde i VPN-tunnlarna. IPsec och SSTP är kryptografifrekventa VPN-protokoll. Dataflödet är också begränsat av svarstiden och bandbredden mellan din lokala plats och Internet. För VPN Gateway med endast IKEv2-baserade VPN-anslutningar från punkt till plats beror det totala dataflödet som du kan förvänta dig på Gateway-SKU:n. Mer information om dataflödet finns i avsnittet om Gateway-SKU:er.

Kan jag använda alla VPN-programklienter för punkt-till-plats som har stöd för SSTP och/eller IKEv2?

Nej. Du kan bara använda den inbyggda VPN-klienten i Windows för SSTP, och den inbyggda VPN-klienten i Mac för IKEv2. Du kan dock använda OpenVPN-klienten på alla plattformar för att ansluta via OpenVPN-protokollet. Se listan över klientoperativsystemet som stöds.

Kan jag ändra autentiseringstyp för en punkt-till-plats-anslutning?

Ja. I portalen går du till sidan VPN gateway -> för punkt-till-plats-konfiguration. För Autentiseringstyp väljer du de autentiseringstyper som du vill använda. Observera att när du har gjort en ändring i en autentiseringstyp kanske aktuella klienter inte kan ansluta förrän en ny VPN-klientkonfigurationsprofil har genererats, laddats ned och tillämpats på varje VPN-klient.

Har Azure stöd för IKEv2 VPN-anslutningar i Windows?

IKEv2 stöds på Windows 10 och Server 2016. För att kunna använda IKEv2 i vissa operativsystemversioner måste du dock installera uppdateringar och ange ett registernyckelvärde lokalt. Observera att tidigare operativsystemversioner inte Windows 10 och endast kan använda SSTP eller OpenVPN® Protocol.

Obs! Windows operativsystem som är nyare än version 1709 Windows 10 version 1709 och Windows Server 2016 version 1607 kräver inte dessa steg.

Förbereda Windows 10 eller Server 2016 för IKEv2:

  1. Installera uppdateringen baserat på din os-version:

    OS-version Datum Antal/länk
    Windows Server 2016
    Windows 10, version 1607    		 17 januari 2018 KB4057142
    Windows 10, version 1703 17 januari 2018 KB4057144
    Windows 10 Version 1709 Den 22 mars 2018 KB4089848

  2. Ange registernyckelvärdet. Skapa eller ange "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD-nyckeln i registret till 1.

Vad händer när jag konfigurerar både SSTP och IKEv2 för P2S VPN-anslutningar?

När du konfigurerar både SSTP och IKEv2 i en blandad miljö (som består av Windows- och Mac-enheter) testar alltid Windows VPN-klienten IKEv2-tunneln först, men går tillbaka till SSTP om IKEv2-anslutningen inte lyckas. MacOSX ansluter endast via IKEv2.

För vilka andra plattformar förutom Windows och Mac har Azure stöd för P2S VPN?

Azure stöder Windows, Mac och Linux för P2S VPN.

Jag har redan en Azure VPN Gateway distribuerad. Kan jag aktivera RADIUS och/eller IKEv2 VPN på den?

Ja, om den gateway-SKU som du använder stöder RADIUS och/eller IKEv2 kan du aktivera dessa funktioner på gatewayer som du redan har distribuerat med hjälp av PowerShell eller Azure Portal. Observera att Basic-SKU:n inte stöder RADIUS eller IKEv2.

Hur gör jag för att du ta bort konfigurationen av en P2S-anslutning?

Du kan ta bort en P2S-konfiguration med Hjälp av Azure CLI och PowerShell med hjälp av följande kommandon:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Vad gör jag om ett certifikat inte matchar när jag ansluter med certifikatautentisering?

Avmarkera "Verifiera serverns identitet genom att verifiera certifikatet" eller lägg till serverns FQDN tillsammans med certifikatet när du skapar en profil manuellt. Du kan göra detta genom att köra rasphone från en kommandotolk och välja profilen från listrutan.

Att kringgå serveridentitetsverifiering rekommenderas inte i allmänhet, men med Azure-certifikatautentisering används samma certifikat för serververifiering i VPN-tunnelprotokollet (IKEv2/SSTP) och EAP-protokollet. Eftersom servercertifikatet och FQDN redan har verifierats av VPN-tunnelprotokollet är det redundant att validera det igen i EAP.

punkt-till-plats-autentisering

Kan jag använda min egen interna PKI-rotcertifikatutfärdare för att generera certifikat för punkt-till-plats-anslutning?

Ja. Tidigare kunde bara självsignerade rotcertifikat användas. Du kan fortfarande överföra 20 rotcertifikat.

Kan jag använda certifikat från Azure Key Vault?

Nej.

Vilka verktyg kan jag använda för att skapa certifikat?

Du kan använda lösningen för företags-PKI (din interna PKI), Azure PowerShell, MakeCert och OpenSSL.

Finns det anvisningar för certifikatinställningar och -parametrar?

  • Lösning för intern PKI/företags-PKI: Se hur du kan generera certifikat.

  • Azure PowerShell: Se anvisningarna i artikeln om Azure PowerShell.

  • MakeCert: Se anvisningarna i artikeln om MakeCert.

  • Openssl:

    • Se till att konvertera rotcertifikatet till Base64 när du exporterar certifikat.

    • För klientcertifikatet:

      • Ange längden 4096 när du skapar den privata nyckeln.
      • För parametern -tillägg anger du usr_cert när du skapar certifikatet.

Punkt-till-plats – RADIUS-autentisering

Det här avsnittet gäller distributionsmodellen i Resource Manager.

Hur många slutpunkter på VPN-klienter kan jag ha i min punkt-till-plats-konfiguration?

Det beror på gateway-SKU:n. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.

Vilka klientoperativsystemet kan jag använda med punkt-till-plats?

Följande klientoperativsystem stöds:

  • Windows Server 2008 R2 (endast 64-bitars)
  • Windows 8.1 (32-bitars och 64-bitars)
  • Windows Server 2012 (endast 64-bitars)
  • Windows Server 2012 R2 (endast 64-bitars)
  • Windows Server 2016 (endast 64-bitars)
  • Windows Server 2019 (endast 64-bitars)
  • Windows 10
  • Windows 11
  • macOS version 10.11 eller senare
  • Linux (StrongSwan)
  • iOS

Anteckning

Från och med 1 juli 2018 tas stödet för TLS 1.0 och 1.1 bort från Azure VPN Gateway. VPN Gateway kommer endast att stödja TLS 1.2. Information om hur du behåller stödet finns i uppdateringarna för att aktivera stöd för TLS1.2.

Dessutom kommer följande äldre algoritmer också att bli inaktuella för TLS den 1 juli 2018:

  • RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm, datakrypteringsalgoritm)
  • 3DES (Triple Data Encryption Algorithm, tredubbel datakrypteringsalgoritm)
  • MD5 (Message Digest 5)

Hur gör jag för att stöd för TLS 1.2 i Windows 8.1?

  1. Öppna en kommando tolk med förhöjd behörighet genom att högerklicka på kommando tolken och välja Kör som administratör.

  2. Kör följande kommandon i kommandotolken:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

  3. Installera följande uppdateringar:

  4. Starta om datorn.

  5. Anslut till VPN.

Anteckning

Du måste ange register nyckeln ovan om du kör en äldre version av Windows 10 (10240).

Kan jag korsa proxyservrar och brandväggar med punkt-till-plats-funktionen?

Azure stöder tre typer av VPN-alternativ för punkt-till-plats:

  • SSTP (Secure Socket Tunneling Protocol). SSTP är en SSL-baserad lösning från Microsoft som kan ta sig in i brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-port som 443 SSL använder.

  • Openvpn. OpenVPN är en SSL-baserad lösning som kan ta sig in i brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-port som 443 SSL använder.

  • IKEv2 VPN. IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder utgående UDP-portar 500 och 4500 och IP-protokoll nej. 50. Eftersom inte alla brandväggar öppnar dessa portar kan det hända att IKEv2 VPN inte kan komma igenom proxyservrar och brandväggar.

Om jag startar om en klientdator som konfigurerats för punkt-till-plats, kommer då VPN att återansluta automatiskt?

Som standard kommer klientdatorn inte återupprätta VPN-anslutningen automatiskt.

Har punkt-till-plats stöd för automatisk återanslutning och DDNS på VPN-klienterna?

Automatisk återanslutning och DDNS stöds för närvarande inte i punkt-till-plats-VPN:er.

Kan jag ha plats-till-plats- och punkt-till-plats-konfigurationer samtidigt på samma virtuella nätverk?

Ja. Med Resource Manager-distributionsmodellen krävs en gateway med routningsbaserad VPN. I den klassiska distributionsmodellen måste du ha en dynamisk gateway. Punkt-till-plats stöds inte för VPN-gatewayer med statisk routning eller principbaserade VPN-gatewayer.

Kan jag konfigurera en punkt-till-plats-klient så att den ansluter till flera virtuella nätverksgatewayer samtidigt?

Beroende på vilken VPN-klientprogramvara som används kan du eventuellt ansluta till flera Virtual Network-gatewayer, förutsatt att de virtuella nätverk som ansluts till inte har motstridiga adressutrymmen mellan dem eller att nätverket från med klienten ansluter från. Azure VPN-klienten stöder många VPN-anslutningar, men endast en anslutning kan anslutas åt gången.

Kan jag konfigurera en punkt-till-plats-klient så att den ansluter till flera virtuella nätverk samtidigt?

Ja, punkt-till-plats-klientanslutningar till en virtuell nätverksgateway som distribueras i ett virtuellt nätverk som är peer-peering med andra virtuella nätverk kan ha åtkomst till andra peer-ade VNet. Punkt-till-plats-klienter kommer att kunna ansluta till peer-ade virtuella nätverk så länge de peer-koppla virtuella nätverken använder funktionerna UseRemoteGateway/AllowGatewayTransit. Mer information finns i Om punkt-till-plats-routning.

Hur högt dataflöde kan jag förvänta mig vid anslutningar för plats-till-plats eller punkt-till-plats?

Det är svårt att bibehålla ett exakt dataflöde i VPN-tunnlarna. IPsec och SSTP är kryptografifrekventa VPN-protokoll. Dataflödet är också begränsat av svarstiden och bandbredden mellan din lokala plats och Internet. För VPN Gateway med endast IKEv2-baserade VPN-anslutningar från punkt till plats beror det totala dataflödet som du kan förvänta dig på Gateway-SKU:n. Mer information om dataflödet finns i avsnittet om Gateway-SKU:er.

Kan jag använda alla VPN-programklienter för punkt-till-plats som har stöd för SSTP och/eller IKEv2?

Nej. Du kan bara använda den inbyggda VPN-klienten i Windows för SSTP, och den inbyggda VPN-klienten i Mac för IKEv2. Du kan dock använda OpenVPN-klienten på alla plattformar för att ansluta via OpenVPN-protokollet. Se listan över klientoperativsystemet som stöds.

Kan jag ändra autentiseringstyp för en punkt-till-plats-anslutning?

Ja. I portalen går du till sidan VPN gateway -> för punkt-till-plats-konfiguration. För Autentiseringstyp väljer du de autentiseringstyper som du vill använda. Observera att när du har gjort en ändring i en autentiseringstyp kanske aktuella klienter inte kan ansluta förrän en ny VPN-klientkonfigurationsprofil har genererats, laddats ned och tillämpats på varje VPN-klient.

Har Azure stöd för IKEv2 VPN-anslutningar i Windows?

IKEv2 stöds på Windows 10 och Server 2016. För att kunna använda IKEv2 i vissa operativsystemversioner måste du dock installera uppdateringar och ange ett registernyckelvärde lokalt. Observera att tidigare operativsystemversioner inte Windows 10 och endast kan använda SSTP eller OpenVPN® Protocol.

Obs! Windows operativsystem som är nyare än version 1709 Windows 10 version 1709 och Windows Server 2016 version 1607 kräver inte dessa steg.

Förbereda Windows 10 eller Server 2016 för IKEv2:

  1. Installera uppdateringen baserat på din os-version:

    OS-version Datum Antal/länk
    Windows Server 2016
    Windows 10, version 1607    		 17 januari 2018 KB4057142
    Windows 10, version 1703 17 januari 2018 KB4057144
    Windows 10 Version 1709 Den 22 mars 2018 KB4089848

  2. Ange registernyckelvärdet. Skapa eller ange "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD-nyckeln i registret till 1.

Vad händer när jag konfigurerar både SSTP och IKEv2 för P2S VPN-anslutningar?

När du konfigurerar både SSTP och IKEv2 i en blandad miljö (som består av Windows- och Mac-enheter) testar alltid Windows VPN-klienten IKEv2-tunneln först, men går tillbaka till SSTP om IKEv2-anslutningen inte lyckas. MacOSX ansluter endast via IKEv2.

För vilka andra plattformar förutom Windows och Mac har Azure stöd för P2S VPN?

Azure stöder Windows, Mac och Linux för P2S VPN.

Jag har redan en Azure VPN Gateway distribuerad. Kan jag aktivera RADIUS och/eller IKEv2 VPN på den?

Ja, om den gateway-SKU som du använder stöder RADIUS och/eller IKEv2 kan du aktivera dessa funktioner på gatewayer som du redan har distribuerat med hjälp av PowerShell eller Azure Portal. Observera att Basic-SKU:n inte stöder RADIUS eller IKEv2.

Hur gör jag för att du ta bort konfigurationen av en P2S-anslutning?

Du kan ta bort en P2S-konfiguration med Hjälp av Azure CLI och PowerShell med hjälp av följande kommandon:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Stöds RADIUS-autentisering med alla Azure VPN Gateway-SKU:er?

RADIUS-autentisering stöds med VpnGw1-, VpnGw2- och VpnGw3-SKU:er. Om du använder äldre SKU:er stöds RADIUS-autentisering med SKU:er på nivåerna Standard och Hög kapacitet. RADIUS-autentiserings stöds inte med Gateway-SKU:n på Basic-nivå.

Stöds RADIUS-autentisering med den klassiska distributionsmodellen?

Nej. RADIUS-autentisering stöds inte med den klassiska distributionsmodellen.

Vad är tidsgränsen för RADIUS-begäranden som skickas till RADIUS-servern?

RADIUS-begäranden ställs in på timeout efter 30 sekunder. Användardefinierade timeout-värden stöds inte i dag.

Stöds RADIUS-servrar från tredje part?

Ja, RADIUS-servrar från tredje part stöds.

Vilka anslutningskrav måste vara uppfyllda för att Azure-gatewayen ska kunna ansluta till en lokal RADIUS-server?

En VPN-anslutning för plats-till-plats till den lokala platsen, med rätt konfigurerade vägar, krävs.

Kan trafik till en lokal RADIUS-server (från Azure VPN-gatewayen) skickas via en ExpressRoute-anslutning?

Nej. Den kan bara skickas via en plats-till-plats-anslutning.

Har antalet SSTP-anslutningar som stöds med RADIUS-autentisering ändrats? Hur många SSTP- och IKEv2-anslutningar stöds?

Det högsta antalet SSTP-anslutningar som stöds på en gateway med RADIUS-autentisering har inte ändrats. Det är fortfarande 128 för SSTP, men är beroende av gateway-SKU:n för IKEv2. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.

Vad är skillnaden mellan att utföra certifikatautentisering med hjälp av en RADIUS-server och att använda Azures interna certifikatautentisering (genom att ladda upp ett betrott certifikat till Azure).

När RADIUS-certifikatautentisering används vidarebefordras autentiseringsbegäran till en RADIUS-server som hanterar själva certifikatverifieringen. Det här alternativet är bra om du vill integrera med en infrastruktur för certifikatautentisering som du redan har via RADIUS.

När Azure används för certifikatautentisering utförs certifikatverifieringen av Azure VPN-gatewayen. Du måste ladda upp den offentliga nyckeln för ditt certifikat till gatewayen. Du kan också ange en lista med återkallade certifikat som inte har tillåtelse att ansluta.

Fungerar RADIUS-autentisering med både IKEv2 och SSTP VPN?

Ja, RADIUS-autentisering stöds för både IKEv2 och SSTP VPN.

Fungerar RADIUS-autentisering med OpenVPN-klienten?

RADIUS-autentisering stöds endast för OpenVPN-protokollet via PowerShell.

Anslutning mellan virtuella nätverk och flera platser

Vanliga frågor och svar om VNet-till-VNet gäller för VPN-gatewayanslutningar. Information om VNet-peering finns i Peering för virtuella nätverk.

Tar Azure ut avgifter för trafik mellan virtuella nätverk?

VNet-till-VNet-trafik inom samma region är kostnadsfri i båda riktningarna när du använder en VPN-gatewayanslutning. VNet-till-VNet-utgående trafik mellan regioner debiteras med utgående dataöverföringspriser mellan virtuella nätverk baserat på källregionerna. Mer information finns på VPN Gateway sidan med priser. Om du ansluter dina virtuella nätverk med hjälp av VNet-peering i stället för en VPN-gateway kan du gå till Prissättning för virtuellt nätverk.

Färdas VNet-till-VNet-trafik via Internet?

Nej. VNet-till-VNet-trafik färdas Microsoft Azure nätverket, inte Internet.

Kan jag upprätta en VNet-till-VNet-anslutning mellan Azure Active Directory (AAD)-klienter?

Ja, VNet-till-VNet-anslutningar som använder Azure VPN-gatewayer fungerar mellan AAD-klienter.

Är trafiken mellan virtuella nätverk säker?

Ja, den skyddas av IPsec/IKE-kryptering.

Behöver jag en VPN-enhet för att koppla ihop virtuella nätverk?

Nej. Att ansluta flera virtuella Azure-nätverk till varandra kräver inte någon VPN-enhet, såvida inte en anslutning mellan flera platser krävs.

Behöver mina virtuella nätverk finnas inom samma region?

Nej. De virtuella nätverken kan finnas i samma eller olika Azure-regioner (platser).

Om de virtuella nätverken inte finns i samma prenumeration, måste prenumerationerna associeras med samma Active Directory-klient?

Nej.

Kan jag använda VNet-till-VNet för att ansluta virtuella nätverk i separata Azure-instanser?

Nej. Du kan använda VNet-till-VNet för att ansluta virtuella nätverk inom samma Azure-instans. Du kan till exempel inte skapa en anslutning mellan globala Azure-instanser och Azure-instanser för kinesiska/tyska/amerikanska myndigheter. Överväg att använda en VPN-anslutning från plats till plats för dessa scenarier.

Kan jag använda anslutningar mellan virtuella nätverk tillsammans med anslutningar mellan flera platser?

Ja. Virtuell nätverksanslutning kan användas samtidigt med VPN på flera platser.

Hur många lokala platser och virtuella nätverk kan ett virtuellt nätverk ansluta till?

Se tabellen Gateway-krav.

Kan jag använda anslutningar mellan virtuella nätverk för att ansluta virtuella datorer eller molntjänster utanför en virtuellt nätverk?

Nej. VNet-till-VNet stöder anslutning av virtuella nätverk. Den stöder inte anslutning av virtuella datorer eller molntjänster som inte finns i ett virtuellt nätverk.

Kan en molntjänst eller en slutpunkt för belastningsutjämning sträcka sig över virtuella nätverk?

Nej. En molntjänst eller en slutpunkt för belastningsutjämning kan inte sträcka sig över virtuella nätverk, även om de är sammankopplade.

Kan jag använda en principbaserad VPN-typ för anslutningar mellan virtuella nätverk eller flera webbplatser?

Nej. Anslutningar mellan virtuella nätverk och flera platser kräver Azure VPN-gatewayer med VPN-typer med Routningsbaserad (tidigare kallad dynamisk routning).

Kan jag ansluta ett VNet med en routningsbaserad VPN-typ till ett annat VNet med en policybaserad VPN-typ?

Nej, båda virtuella nätverken MÅSTE använda routningsbaserade VPN-nätverk (tidigare kallat dynamisk routning).

Delar VPN-tunnlar bandbredd?

Ja. Alla VPN-tunnlar i det virtuella nätverket delar på den tillgängliga bandbredden i Azures VPN-gateway och samma VPN-gateways upptids-SLA i Azure.

Finns det stöd för redundanta tunnlar?

Redundanta tunnlar mellan ett par med virtuella nätverk stöds när en virtuell nätverksgateway är konfigurerad som aktiv-aktiv.

Kan jag har överlappande adressutrymmen för konfigurationer mellan virtuella nätverk?

Nej. Du kan inte ha överlappande IP-adressintervall.

Får det finnas överlappande adressutrymmen i anslutna virtuella nätverk och på lokala platser?

Nej. Du kan inte ha överlappande IP-adressintervall.

Hur gör jag för att routning mellan min VPN-anslutning för plats-till-plats och min ExpressRoute?

Om du vill aktivera routning mellan din gren som är ansluten till ExpressRoute och din gren som är ansluten till en PLATS-till-plats-VPN-anslutning måste du konfigurera Azure Route Server.

Kan jag använda Azures VPN-gateway till att överföra trafik mellan mina lokala platser eller till ett annat virtuellt nätverk?

Distributionsmodell med Resource Manager
Ja. Mer information finns i avsnittet om BGP.

Klassisk distributionsmodell
Överföringstrafik via Azures VPN-gateway är möjlig med den klassiska distributionsmodellen, men den förlitar sig på statiska definierade adressutrymmen i nätverkskonfigurationsfilen. BGP stöds inte ännu med virtuella Azure-nätverk och VPN-gatewayer som använder den klassiska distributionsmodellen. Utan BGP är manuellt definierade överföringsadressutrymmen mycket felbenägna och rekommenderas inte.

Genererar Azure samma i förväg delade IPsec/IKE-nyckel för alla mina VPN-anslutningar för samma virtuella nätverk?

Nej, Azure genererar som standard olika nycklar för olika VPN-anslutningar. Du kan dock använda REST-API:n eller PowerShell-cmdleten Set VPN Gateway Key för att ange det nyckelvärde som du föredrar. Nyckeln MÅSTE vara utskrivbara ASCII-tecken.

Får jag mer bandbredd med fler plats-till-plats-VPN:er än med ett enda virtuellt nätverk?

Nej, alla VPN-tunnlar, inklusive punkt-till-plats-VPN:er, delar samma Azure VPN-gateway och tillgänglig bandbredd.

Kan jag konfigurera flera tunnlar mellan mitt virtuella nätverk och min lokala plats med hjälp av multisite-VPN?

Ja, men du måste konfigurera BGP för båda tunnlarna till samma plats.

Respekterar Azure VPN Gateway AS Path som väntar för att påverka beslut om routning mellan flera anslutningar till mina lokala platser?

Ja, Azure VPN-gatewayen respekterar as path prepending för att fatta beslut om routning när BGP är aktiverat. En kortare AS-sökväg föredras i valet av BGP-sökväg.

Kan jag använda punkt-till-plats-VPN med mitt virtuella nätverk med flera VPN-tunnlar?

Ja, VPN:er för punkt-till-plats (P2S) kan användas med VPN-gateways som ansluter till flera lokala platser och andra virtuella nätverk.

Kan jag ansluta ett virtuellt nätverk med IPsec-VPN:er till min ExpressRoute-krets?

Ja, det stöds. Mer information finns i Konfigurera ExpressRoute och VPN-anslutningar för plats till plats som kan samexistera

IPsec/IKE-princip

Stöds anpassade IPsec/IKE-principer på alla Azure VPN Gateway-SKU: er?

Anpassad IPsec/IKE-princip stöds på alla Azure SKU: er förutom Basic SKU.

Hur många principer kan jag ställa in för en anslutning?

Du kan bara ange en principkombination för en viss anslutning.

Kan jag ange en partiell princip på en anslutning? (till exempel endast IKE-algoritmer, men inte IPsec)

Nej, du måste ange alla algoritmer och parametrar för både IKE (huvudläge) och IPsec (snabbläge). Partiell principspecifikationen tillåts inte.

Vilka är de algoritmer och viktiga fördelar som stöds i den anpassade principen?

Tabellen nedan innehåller de krypteringsalgoritmer och nyckellängder som stöds och som kan konfigureras av kunden. Du måste välja ett alternativ för varje fält.

IPsec/IKEv2 Alternativ
IKEv2-kryptering AES256, AES192, AES128, DES3, DES
IKEv2 Integrity SHA384, SHA256, SHA1, MD5
DH-grupp DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
IPsec-kryptering GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-grupp PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA-livstid Sekunder (heltal. min. 300/standard 27 000 sekunder)
Kilobyte (heltal. min. 1024/standard 102400000 kilobyte)
Trafikväljare UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Viktigt

  • DHGroup2048 och PFS2048 är samma som Diffie-Hellman-grupp 14 i IKE och IPsec PFS. De fullständiga mappningarna finns i avsnittet om Diffie-Hellman-grupper.
  • För GCMAES-algoritmer måste du ange samma GCMAES-algoritm och nyckellängd för både IPsec-kryptering och -integritet.
  • IKEv2 huvud läges livs längd för SA är fast i 28 800 sekunder på Azure VPN-gatewayer.
  • QM SA-livslängder är valfria parametrar. Om inget har angetts används standardvärdena på 27 000 sekunder (7,5 timmar) och 102 400 000 kB (102 GB).
  • UsePolicyBasedTrafficSelector är en valfri parameter för anslutningen. Se nästa FAQ-objekt för "UsePolicyBasedTrafficSelectors".

Behöver allt matcha mellan Azure VPN gateway-principen och mina lokala konfigurationer för VPN-enheter?

Din lokala konfiguration för VPN-enheten måste stämma överens med eller innehålla följande algoritmer och parametrar som du anger på Azure IPsec/IKE-principen:

  • IKE-krypteringsalgoritm
  • IKE-integritetsalgoritm
  • DH-grupp
  • IPsec-krypteringsalgoritm
  • IPsec-integritetsalgoritm
  • PFS-grupp
  • Trafikväljare (*)

SA-livstider är lokala specifikationer och behöver inte matcha.

Om du aktiverar UsePolicyBasedTrafficSelectors, måste du se till att din VPN-enhet har matchande trafikväljare som har definierats med alla prefixkombinationer i ditt lokala nätverk (lokal nätverksgateway) till eller från de virtuella Azure-nätverksprefixen, i stället för alla-till-alla. Om ditt prefix för det lokala nätverket är 10.1.0.0/16 och 10.2.0.0/16 och ditt prefix för det virtuella nätverket är 192.168.0.0/16 och 172.16.0.0/16, måste du ange följande trafik väljare:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

Mer information finns i avsnittet Connect multiple on-premises policy-based VPN devices (Ansluta flera lokala principbaserade VPN-enheter).

Vilka Diffie-Hellman-grupper stöds?

Tabellen nedan visar de Diffie-Hellman-grupper som stöds för IKE (DHGroup) och IPsec (PFSGroup):

Diffie-Hellman-grupp DHGroup PFSGroup Nyckellängd
1 DHGroup1 PFS1 768-bitars MODP
2 DHGroup2 PFS2 1024-bitars MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048-bitars MODP
19 ECP256 ECP256 256-bitars ECP
20 ECP384 ECP384 384-bitars ECP
24 DHGroup24 PFS24 2048-bitars MODP

Mer information finns i RFC3526 och RFC5114.

Ersätter den anpassade principen standardprincipuppsättningar för IPsec/IKE för Azure VPN-gatewayer?

Ja, när en anpassad princip har angetts på en anslutning kommer Azure VPN-gatewayen bara använda principen på anslutningen, både som IKE-initierare och IKE-responder.

Om jag tar bort en anpassad princip för IPsec/IKE, blir anslutningen mindre säker?

Nej, anslutningen kommer att skyddas av IPsec/IKE. När du tar bort den anpassade principen från en anslutning återgår Azure VPN-gatewayen till standardlistan med IPsec/IKE-förslag och startar om IKE-handskakningen med din lokala VPN-enhet.

Kan det störa VPN-anslutningen att lägga till eller uppdatera en IPsec/IKE-princip?

Ja, det kan uppstå ett kort avbrott (några sekunder) när Azure VPN-gatewayen bryter den befintliga anslutningen och startar om IKE-handskakningen för att återupprätta IPsec-tunneln med de nya krypteringsalgoritmerna och parametrarna. Kontrollera att din lokala VPN-enhet har konfigurerats med matchande algoritmer och nyckellängder för att minimera avbrottet.

Kan jag använda olika principer för olika anslutningar?

Ja. Anpassade principer tillämpats på per-anslutningbasis. Du kan skapa och tillämpa olika IPsec/IKE-principer på olika anslutningar. Du kan också välja att använda anpassade principer för en delmängd av anslutningar. Övriga principer använder de fördefinierade IPsec/IKE-principuppsättningarna i Azure.

Kan jag använda den anpassade principen på VNet-till-VNet-anslutningen?

Ja, du kan använda anpassade principen på både IPSec-anslutningar mellan lokala anslutningar eller VNet-till-VNet-anslutningar.

Behöver jag ange samma princip på båda resurserna för VNet-till-VNet-anslutningen?

Ja. En VNet-till-VNet-tunnel består av två anslutningsresurser i Azure, en för varje riktning. Kontrollera att båda anslutningsresurserna har samma princip, annars upprättas inte anslutningen mellan de virtuella nätverken.

Vad är standard tids gräns värdet för DPD? Kan jag ange en annan DPD-timeout?

Standardvärdet för DPD är 45 sekunder. Du kan ange ett annat timeout-värde för DPD på varje IPsec-eller VNet-till-VNet-anslutning mellan 9 sekunder och 3600 sekunder.

Fungerar en anpassad IPsec/IKE-princip på ExpressRoute-anslutningen?

Nej. IPSec-/ princip fungerar bara på S2S VPN- och VNet-till-VNet-anslutningar via Azure VPN-gatewayer.

Hur gör jag för att skapa anslutningar med IKEv1-eller IKEv2-protokoll typ?

IKEv1-anslutningar kan skapas på alla Routningsbaserad VPN-typer SKU: er, förutom Basic SKU, standard SKU och andra äldre SKU: er. Du kan ange en typ av anslutnings protokoll för IKEv1 eller IKEv2 när du skapar anslutningar. Om du inte anger någon typ av anslutnings protokoll används IKEv2 som standard alternativ i förekommande fall. Mer information finns i PowerShell- cmdlet -dokumentationen. För SKU-typer och IKEv1/IKEv2-stöd, se ansluta gatewayar till principbaserade VPN-enheter.

Tillåts överföring mellan IKEv1-och IKEv2-anslutningar?

Ja. Överföring mellan IKEv1-och IKEv2-anslutningar stöds.

Kan jag använda IKEv1 plats-till-plats-anslutningar på Basic SKU: er av Routningsbaserad VPN-typ?

Nej. Bas-SKU: n stöder inte detta.

Kan jag ändra typ av anslutnings protokoll när anslutningen har skapats (IKEv1 till IKEv2 och vice versa)?

Nej. När anslutningen har skapats går det inte att ändra IKEv1/IKEv2-protokoll. Du måste ta bort och återskapa en ny anslutning med önskad protokoll typ.

Var kan jag hitta mer konfigurations information för IPsec?

Se Konfigurera IPSec/IKE-princip för S2S-eller VNet-till-VNet-anslutningar.

BGP och routning

Stöds BGP på alla Azure VPN Gateway-SKU:er?

BGP stöds på alla Azure VPN Gateway SKU: er förutom Basic SKU.

Kan jag använda BGP med Azure Policy VPN-gatewayer?

Nej, BGP stöds endast på routning-baserade VPN-gatewayer.

Vilka ASN: er (autonoma system nummer) kan jag använda?

Du kan använda din egen offentliga ASN: er eller privata ASN: er för både dina lokala nätverk och virtuella Azure-nätverk. Du kan inte använda de intervall som reserver ATS av Azure eller IANA.

Följande ASN: er är reserverade för Azure eller IANA:

  • ASN: er reserverade av Azure:

    • Offentliga ASN:er: 8074, 8075, 12076
    • Privata ASN:er: 65515, 65517, 65518, 65519, 65520

  • ASN: er reserverade av IANA:

    • 23456, 64496-64511, 65535-65551 och 429496729

Du kan inte ange dessa ASN: er för dina lokala VPN-enheter när du ansluter till Azure VPN-gatewayer.

Kan jag använda 32-bitars (4-byte) ASN: er?

Ja, VPN Gateway stöder nu 32-bitars (4 byte) ASN: er. Om du vill konfigurera med hjälp av ASN i decimal format använder du PowerShell, Azure CLI eller Azure SDK.

Vilken privat ASN: er kan jag använda?

De användbara intervallen privata ASN: er är:

  • 64512-65514 och 65521-65534

Dessa ASN: er är inte reserverade för IANA eller Azure för användning och kan därför användas för att tilldela din Azure VPN-gateway.

Vilken adress använder VPN Gateway för BGP-peer-IP?

Som standard allokerar VPN Gateway en enskild IP-adress från GatewaySubnet -INTERVALLET för VPN-gatewayer med aktiv vänte läge eller två IP-adresser för aktiva, aktiva VPN-gatewayer. De här adresserna tilldelas automatiskt när du skapar VPN-gatewayen. Du kan få den faktiska BGP-IP-adress som allokeras med hjälp av PowerShell eller genom att leta upp den i Azure Portal. I PowerShell använder du Get-AzVirtualNetworkGateway och letar efter egenskapen bgpPeeringAddress . I Azure Portal på sidan Gateway- konfiguration tittar du under egenskapen Konfigurera BGP ASN .

Om dina lokala VPN-routrar använder APIPA IP-adresser (169.254. x. x) som BGP-IP-adresser, måste du ange ytterligare en Azure APIPA BGP-IP-adress på din Azure VPN-gateway. Azure VPN Gateway väljer APIPA-adressen som ska användas med den lokala APIPA BGP-peer som anges i den lokala Nätverksgatewayen eller den privata IP-adressen för en lokal BGP-peer som inte är APIPA. Mer information finns i Configure BGP.

Vilka är kraven för IP-adresserna för BGP-peer på min VPN-enhet?

Din lokala BGP-peer-adress får inte vara samma som den offentliga IP-adressen för VPN-enheten eller från det virtuella nätverkets adress utrymme för VPN-gatewayen. Använd en annan IP-adress på VPN-enheten för din BGP-peer-IP. Det kan vara en adress som tilldelats till loopback-gränssnittet på enheten (antingen en vanlig IP-adress eller en APIPA-adress). Om enheten använder en APIPA-adress för BGP måste du ange en APIPA BGP-IP-adress på din Azure VPN-gateway, enligt beskrivningen i Konfigurera BGP. Ange den här adressen i motsvarande lokala nätverksgateway som representerar platsen.

Vad ska jag ange som mina adressprefix för den lokala Nätverksgatewayen när jag använder BGP?

Viktigt

Detta är en ändring från det tidigare dokumenterade kravet. Om du använder BGP för en anslutning lämnar du fältet adress utrymme tomt för motsvarande resurs för den lokala Nätverksgatewayen. Azure VPN Gateway lägger till en värd väg internt i den lokala BGP-peer IP-adressen via IPsec-tunneln. Lägg inte till vägen/32 i fältet adress utrymme . Den är redundant och om du använder en APIPA-adress som den lokala VPN-enhetens BGP IP kan den inte läggas till i det här fältet. Om du lägger till andra prefix i fältet adress utrymme läggs de till som statiska vägar på Azure VPN-gatewayen, utöver de vägar som har lärts via BGP.

Kan jag använda samma ASN för både lokala VPN-nätverk och virtuella Azure-nätverk?

Nej, du måste tilldela olika ASN: er mellan dina lokala nätverk och dina virtuella Azure-nätverk om du ansluter dem tillsammans med BGP. Azure VPN-gatewayer har ett fördefinierat ASN för 65515 som är tilldelat, om BGP är aktiverat eller inte för din anslutning mellan olika platser. Du kan åsidosätta det här standardvärdet genom att tilldela ett annat ASN när du skapar VPN-gatewayen, eller så kan du ändra ASN när gatewayen har skapats. Du måste tilldela din lokala ASN: er till motsvarande Azure lokala nätverksgateway.

Vilka adressprefix kommer Azure VPN-gatewayer att meddela mig?

Gatewayerna annonserar följande vägar till dina lokala BGP-enheter:

  • Dina adressprefix för ditt virtuella nätverk.
  • Adressprefix för varje lokal nätverksgateway som är ansluten till Azure VPN-gatewayen.
  • Vägar som lärts från andra BGP-peering-sessioner anslutna till Azure VPN-gatewayen, förutom standard vägen eller vägarna som överlappar ett virtuellt nätverksprefix.

Hur många prefix kan jag annonsera till Azure VPN Gateway?

Azure VPN Gateway stöder upp till 4000 prefix. BGP-sessionen kommer att tas bort om antalet prefix överskrider gränsen.

Kan jag annonsera standardväg (0.0.0.0/0) till Azure VPN-gatewayer?

Ja. Observera att detta tvingar all utgående trafik från det virtuella nätverket till din lokala plats. Det förhindrar också att virtuella virtuella nätverk kan acceptera offentlig kommunikation direkt från Internet, till exempel RDP eller SSH från Internet till de virtuella datorerna.

Kan jag annonsera de exakta prefixen som mina virtuella nätverks-prefix?

Nej, samma prefix som någon av dina virtuella nätverks adressprefix kommer att blockeras eller filtreras av Azure. Du kan dock annonsera ett prefix som är en supermängd av vad du har i det virtuella nätverket.

Om ditt virtuella nätverk till exempel har använt adress utrymmet 10.0.0.0/16 kan du annonsera 10.0.0.0/8. Men du kan inte annonsera 10.0.0.0/16 eller 10.0.0.0/24.

Kan jag använda BGP med mina anslutningar mellan virtuella nätverk?

Ja, du kan använda BGP för både anslutningar mellan olika platser och anslutningar mellan virtuella nätverk.

Kan jag blanda BGP- med icke-BGP-anslutningar för mina Azure VPN- gatewayer?

Ja, du kan blanda både BGP- och icke-BGP-anslutningar för samma Azure VPN-gateway.

Stöder Azure-VPN Gateway BGP-transit routning?

Ja, BGP-transit routning stöds, med undantaget att Azure VPN-gatewayer inte annonserar standard vägar till andra BGP-peer-datorer. Om du vill aktivera överförings dirigering över flera Azure VPN-gatewayer måste du aktivera BGP på alla mellanliggande anslutningar mellan virtuella nätverk. Mer information finns i om BGP.

Kan jag ha fler än en tunnel mellan en Azure VPN-gateway och mitt lokala nätverk?

Ja, du kan skapa fler än en VPN-tunnel för plats-till-plats (S2S) mellan en Azure VPN-gateway och ditt lokala nätverk. Observera att alla dessa tunnlar räknas mot det totala antalet tunnlar för dina Azure VPN-gatewayer, och du måste aktivera BGP i båda tunnlarna.

Om du till exempel har två redundanta tunnlar mellan din Azure VPN-gateway och ett av dina lokala nätverk, förbrukar de 2 tunnlar av den totala kvoten för din Azure VPN-gateway.

Kan jag ha flera tunnlar mellan två virtuella Azure-nätverk med BGP?

Ja, men minst en av dina virtuella nätverksgateways måste ha en aktiv-aktiv-konfiguration.

Kan jag använda BGP för S2S VPN i en Azure-ExpressRoute och konfiguration av S2S VPN-samexistens?

Ja.

Vad bör jag lägga till på min lokala VPN-enhet för BGP-peeringsessionen?

Lägg till en värd väg för Azure BGP-peer-IP-adressen på VPN-enheten. Den här vägen pekar på IPsec-S2S-VPN-tunneln. Om till exempel Azure VPN-peer-IP: en är 10.12.255.30, lägger du till en värd väg för 10.12.255.30 med ett Next-hop-gränssnitt för det matchande IPsec-gränssnittet på VPN-enheten.

Stöder den virtuella Nätverksgatewayen BFD för S2S-anslutningar med BGP?

Nej. Upptäckt av dubbelriktad vidarebefordran (BFD) är ett protokoll som du kan använda med BGP för att identifiera intilliggande nedtid snabbare än du kan använda standard-BGP "KeepAlive". BFD använder andra timers som utformats för att fungera i LAN-miljöer, men inte över det offentliga Internet eller Wide Area Network-anslutningar.

För anslutningar via det offentliga Internet är vissa paket fördröjda eller till och med borttagna inte ovanliga, så vi kan lägga till instabilitet i dessa aggressiva timers. Den här instabiliteten kan orsaka att vägar dämpas av BGP. Som ett alternativ kan du konfigurera den lokala enheten med timers som är lägre än standard intervallet, 60-andra "keepalive-intervallet" och den 180-andra Hold-timern. Detta resulterar i en snabbare konvergens tid.

Initierar Azure VPN-gatewayer BGP-peering-sessioner eller anslutningar?

Gatewayen initierar BGP-peering-sessioner till de lokala BGP-peer-IP-adresserna som anges i resurserna för lokal nätverksgateway med hjälp av de privata IP-adresserna på VPN-gatewayerna. Detta är oavsett om de lokala BGP-IP-adresserna finns i APIPA-intervallet eller vanliga privata IP-adresser. Om dina lokala VPN-enheter använder APIPA-adresser som BGP-IP måste du konfigurera BGP-högtalaren för att initiera anslutningarna.

Kan jag konfigurera tvingad tunneling?

Ja. Se Konfigurera tvingad tunneltrafik.

NAT

Stöds NAT på alla Azure VPN Gateway-SKU:er?

NAT stöds på VpnGw2~5 och VpnGw2AZ~5AZ.

Kan jag använda NAT på VNet-till-VNet- eller P2S-anslutningar?

Nej, NAT stöds endast på IPsec-anslutningar mellan olika platser.

Hur många NAT-regler kan jag använda på en VPN-gateway?

Du kan skapa upp till 100 NAT-regler (ingress- och Egress-regler kombinerat) på en VPN-gateway.

Tillämpas NAT på alla anslutningar på en VPN-gateway?

NAT tillämpas på anslutningar med NAT-regler. Om en anslutning inte har någon NAT-regel börjar NAT inte gälla för anslutningen. På samma VPN-gateway kan du ha vissa anslutningar med NAT och andra anslutningar utan att NAT fungerar tillsammans.

Vilka typer av NAT stöds på Azure VPN-gatewayer?

Endast statiskt 1:1 NAT. Dynamisk NAT eller NAT64 stöds INTE.

Fungerar NAT på aktiva-aktiva VPN-gatewayer?

Ja. NAT fungerar på VPN-gatewayer för både aktiv-aktiv och aktiv-vänteläge.

Fungerar NAT med BGP-anslutningar?

Ja, du kan använda BGP med NAT. Här är några viktiga överväganden:

  • Välj Aktivera BGP-vägöversättning på konfigurationssidan för NAT-regler för att se till att inlärda vägar och annonserade vägar översätts till post-NAT-adressprefix (externa mappningar) baserat på NAT-reglerna som är associerade med anslutningarna. Du måste se till att de lokala BGP-routrarna annonserar de exakta prefixen enligt definitionen i IngressSNAT-reglerna.

  • Om den lokala VPN-routern använder APIPA (169.254.x.x) som BGP-talar-/peer-IP-adress använder du APIPA-adressen direkt i fältet BGP-peer-IP-adress för den lokala nätverksgatewayen. Om den lokala VPN-routern använder vanlig, icke-APIPA-adress och den krockar med VNet-adressutrymmet eller andra lokala nätverksutrymmen ska du se till att IngressSNAT-regeln översätter BGP-peer-IP-adressen till en unik, icke-överlappande adress och anger efter NAT-adressen i BGP-peerens IP-adressfält för den lokala nätverksgatewayen.

Måste jag skapa matchande DNAT-regler för SNAT-regeln?

Nej. En enda SNAT-regel definierar översättningen för båda riktningarna i ett visst nätverk:

  • En IngressSNAT-regel definierar översättningen av källans IP-adresser som kommer till Azure VPN-gatewayen från det lokala nätverket. Den hanterar också översättningen av de mål-IP-adresser som lämnar från det virtuella nätverket till samma lokala nätverk.

  • En EgressSNAT-regel definierar översättningen av VNet-källans IP-adresser som lämnar Azure VPN-gatewayen till lokala nätverk. Den hanterar också översättningen av mål-IP-adresserna för paket som kommer till det virtuella nätverket via dessa anslutningar med EgressSNAT-regeln.

  • I båda fallen behövs inga DNAT-regler.

Vad gör jag om adressutrymmet för min virtuella nätverk eller lokala nätverksgateway har två eller flera prefix? Kan jag använda NAT för alla? Eller bara en delmängd?

Du måste skapa en NAT-regel för varje prefix som du behöver NAT eftersom varje NAT-regel bara kan innehålla ett adressprefix för NAT. Om adressutrymmet för den lokala nätverksgatewayen till exempel består av 10.0.1.0/24 och 10.0.2.0/25 kan du skapa två regler enligt nedan:

  • IngressSNAT regel 1: Mappa 10.0.1.0/24 till 100.0.1.0/24
  • IngressSNAT regel 2: Mappa 10.0.2.0/25 till 100.0.2.0/25

De två reglerna måste matcha prefixlängderna för motsvarande adressprefix. Samma sak gäller för EgressSNAT-regler för VNet-adressutrymme.

Viktigt

Om du länkar endast en regel till anslutningen ovan översätts inte det andra adressutrymmet.

Kan jag använda olika EgressSNAT-regler för att översätta mitt VNet-adressutrymme till olika prefix till olika lokala nätverk?

Ja, du kan skapa flera EgressSNAT-regler för samma VNet-adressutrymme och tillämpa EgressSNAT-reglerna på olika anslutningar. För anslutningar utan en EgressSNAT-regel,

Kan jag använda samma IngressSNAT-regel för olika anslutningar?

Ja, detta används vanligtvis när anslutningarna är för samma lokala nätverk för att tillhandahålla redundans. Du kan inte använda samma inkommande regel om anslutningarna är för olika lokala nätverk.

Behöver jag både ingress- och Egress på en NAT-anslutning?

Du behöver både ingress- och Egress på samma anslutning när det lokala nätverkets adressutrymme överlappar det virtuella nätverkets adressutrymme. Om VNet-adressutrymmet är unikt bland alla anslutna nätverk behöver du inte egressSNAT-regeln för dessa anslutningar. Du kan använda ingressreglerna för att undvika adressöverlappning mellan de lokala nätverken.

Anslutning mellan platser och VM:ar

Om min virtuella dator finns i ett virtuellt nätverk och jag har en anslutning mellan flera platser, hur ansluter jag då till den virtuella datorn?

Du har några alternativ att välja mellan. Om du har aktiverat RDP för din virtuella dator kan du ansluta till den genom att använda den privata IP-adressen. I detta fall anger du den privata IP-adressen och den port som du vill ansluta till (vanligtvis 3389). Du måste konfigurera porten på den virtuella datorn för trafiken.

Du kan också ansluta till den virtuella datorn med en privat IP-adress från en annan virtuell dator som finns i samma virtuella nätverk. Du kan inte använda RDP till den virtuella datorn med hjälp av den privata IP-adressen om du ansluter från en plats utanför ditt virtuella nätverk. Om du till exempel har konfigurerat ett virtuellt nätverk från punkt-till-plats och du inte har upprättat någon anslutning från datorn så kan du inte ansluta till den virtuella datorn med en privat IP-adress.

Om min virtuella dator finns i ett virtuellt nätverk med flera platsanslutningar, går då all trafik från min virtuella dator via den anslutningen?

Nej. Bara den trafik som har ett mål-IP som finns i det virtuella nätverkets lokala nätverks-IP-adressintervall som du har angett passerar den virtuella nätverksgatewayen. Trafik med ett mål-IP som finns i det virtuella nätverket stannar kvar i det virtuella nätverket. Annan trafik skickas via lastbalanseraren till offentliga nätverk. Om tvingad tunneltrafik används skickas den via Azures VPN-gateway.

Hur felsöker jag en RDP-anslutning till en virtuell dator

Om du har problem med att ansluta till en virtuell dator via VPN-anslutningen kan du kontrollera följande:

  • Kontrollera att VPN-anslutningen har genomförts.
  • Kontrollera att du ansluter till den virtuella datorns privata IP-adress.
  • Om du kan ansluta till den virtuella datorn med hjälp av den privata IP-adressen, men inte med namnet på datorn, kontrollerar du att du har konfigurerat DNS korrekt. Mer information om hur namnmatchningen fungerar för virtuella datorer finns i Namnmatchning för virtuella datorer.

Kontrollera följande funktioner när du ansluter via punkt-till-plats:

  • Använd ”ipconfig” för att kontrollera vilken IPv4-adress som har tilldelats till Ethernet-adaptern på den dator som du ansluter från. Om IP-adressen ligger inom adressintervallet för det virtuella nätverk som du ansluter till eller inom adressintervallet för din VPNClientAddressPool, kallas detta för ett överlappande adressutrymme. När ditt adressutrymme överlappar på det här sättet når inte nätverkstrafiken Azure, utan stannar i det lokala nätverket.
  • Kontrollera att paketet för VPN-klientkonfiguration har skapats efter att IP-adresser för DNS-server har angetts för VNet. Om du uppdaterade IP-adresserna för DNS-servern skapar och installerar du ett nytt paket för VPN-klientkonfiguration.

Mer information om att felsöka en RDP-anslutning finns i Felsöka fjärrskrivbordsanslutningar till en virtuell dator.

Virtual Network vanliga frågor och svar

Du kan visa ytterligare information om virtuella nätverk i vanliga Virtual Network vanliga frågor och svar.

Nästa steg

"OpenVPN" är ett varumärke som tillhör OpenVPN Inc.