Vanliga frågor och svar om VPN Gateway

Ansluta till virtuella nätverk

Kan jag ansluta virtuella nätverk i olika Azure-regioner?

Ja. Faktum är att det inte finns något regionvillkor. Ett virtuellt nätverk kan ansluta till ett annat virtuellt nätverk i samma region eller i en annan Azure-region.

Kan jag ansluta virtuella nätverk i olika prenumerationer?

Ja.

Kan jag ange privata DNS-servrar i mitt VNet när jag konfigurerar VPN Gateway?

Om du angav en DNS-server eller -servrar när du skapade ditt vNet, kommer VPN Gateway att använda de DNS-servrar som du angav. Om du anger en DNS-server ska du kontrollera att DNS-servern kan matcha de domännamn som krävs för Azure.

Kan jag ansluta till flera webbplatser från ett virtuellt nätverk?

Du kan ansluta till flera webbplatser med hjälp Windows PowerShell och Azure REST API:er. Se avsnittet Vanliga frågor och svar om anslutningar till flera webbplatser och VNet-till-VNet.

Blir det någon extra kostnad för att konfigurera en VPN-gateway som aktiv?

Nej.

Vilka är mina anslutningsalternativ för flera platser?

Följande lokala anslutningar stöds:

  • Plats till webbplats – VPN-anslutning via IPsec (IKE v1 och IKE v2). Den här typen av anslutning kräver en VPN-enhet eller RRAS. Mer information finns i Webbplats till webbplats.
  • Punkt till plats – VPN-anslutning via SSTP (Secure Socket Tunneling Protocol) eller IKE v2. Den här anslutningen kräver inte en VPN-enhet. Mer information finns i Punkt till webbplats.
  • VNet-to-VNet – Den här typen av anslutning är samma som en Konfiguration av typen Webbplats till webbplats. VNet till VNet är en VPN-anslutning via IPsec (IKE v1 och IKE v2). Det krävs ingen VPN-enhet. Mer information finns i VNet-to-VNet.
  • Flera webbplatser – Det här är en variant av konfigurationen Webbplats till webbplats som gör att du kan ansluta flera lokala webbplatser till ett virtuellt nätverk. Mer information finns i Flera webbplatser.
  • ExpressRoute – ExpressRoute är en privat anslutning till Azure från ditt WAN, inte en VPN-anslutning via det offentliga Internet. Mer information finns i ExpressRoute Technical Overview och Vanliga frågor och svar om ExpressRoute.

Mer information om VPN-gatewayanslutningar finns i Om VPN Gateway.

Vad är skillnaden mellan en Anslutning mellan webbplats till webbplats och Punkt till webbplats?

Konfigurationer av IPsec/IKE VPN-tunnel (Site-to-Site) är mellan din lokala plats och Azure. Det innebär att du kan ansluta från vilken dator som helst på din lokala dator till valfri virtuell dator eller rollinstans i det virtuella nätverket, beroende på hur du väljer att konfigurera dirigering och behörigheter. Det är ett bra alternativ för en alltid tillgänglig korslokal anslutning och passar bra för hybridkonfigurationer. Den här typen av anslutning är beroende av en VPN-enhet med IPsec (maskinvaruenhet eller mjuk utrustning), som måste distribueras vid kanten av nätverket. Du måste ha en extern IPv4-adress för att kunna skapa den här typen av anslutning.

Med point-to-Site-konfigurationer (VPN över SSTP) kan du ansluta från en enda dator från var som helst till vad som helst i ditt virtuella nätverk. Den använder Windows-in-box VPN-klienten. Som en del av Punkt-till-webbplats-konfigurationen installerar du ett certifikat och ett VPN-klientkonfigurationspaket, som innehåller de inställningar som gör att datorn kan ansluta till valfri virtuell dator eller rollinstans i det virtuella nätverket. Det är väldigt bra när du vill ansluta till ett virtuellt nätverk men inte finns lokalt. Det är också ett bra alternativ när du inte har tillgång till VPN-maskinvara eller en externt vänd IPv4-adress, som båda krävs för en Site-to-Site-anslutning.

Du kan konfigurera det virtuella nätverket så att både Site-to-Site och Point-to-Site används samtidigt, så länge du skapar en Site-to-Site-anslutning med en route-baserad VPN-typ för din gateway. Routebaserade VPN-typer kallas dynamiska gateways i den klassiska distributionsmodellen.

Sekretess

Lagrar eller bearbetar VPN-tjänsten kunddata?

Nej.

Virtuella nätverksgateway

Är en VPN-gateway en virtuell nätverksgateway?

En VPN-gateway är en typ av virtuell nätverksgateway. En VPN-gateway skickar krypterad trafik mellan ditt virtuella nätverk och din lokala plats över en offentlig anslutning. Du kan också använda en VPN-gateway för att skicka trafik mellan virtuella nätverk. När du skapar en VPN-gateway använder du -GatewayType-värdet "Vpn". Mer information finns i Om konfigurationsinställningar för VPN Gateway.

Vad är en principbaserad gateway (statisk dirigering) ?

Principbaserade gateways implementerar principbaserade VPN. Principbaserade VPN krypterar och direkta paket genom IPsec-tunnlar baserat på kombinationer av adressprefix mellan ditt lokala nätverk och Azure VNet. Principen (eller trafikväljaren) definieras vanligtvis som en åtkomstlista i VPN-konfigurationen.

Vad är en routningsbaserad gateway (dynamisk routning) ?

Routebaserade gateways implementerar routebaserade VPN. Routningsbaserade VPN använder "routes" i IP-vidaredirigerings- eller routningstabellen för att dirigera paket till motsvarande tunnelgränssnitt. Tunnelgränssnitten krypterar eller dekrypterar sedan paketen in i och ut ur tunnlarna. Princip- eller trafikväljarna för routebaserade VPN konfigureras som valfria (eller jokertecken).

Kan jag ange mina egna principbaserade trafikväljare?

Ja, trafikväljare kan definieras via attributet trafficSelectorPolicies på en anslutning via kommandot New-AzIpsecTrafficSelectorPolicy PowerShell. För att den angivna trafikväljaren ska gälla ser du till att alternativet Använd principbaserade trafikväljare är aktiverat.

Kan jag uppdatera min policybaserade VPN-gateway till routebaserad?

Nej. En gatewaytyp kan inte ändras från principbaserad till routebaserad eller från routebaserad till principbaserad. Om du vill ändra en gatewaytyp måste gatewayen tas bort och återskapas. Den här processen tar ca 60 minuter. När du skapar den nya gatewayen kan du inte behålla IP-adressen för den ursprungliga gatewayen.

  1. Ta bort alla anslutningar som är associerade med gatewayen.

  2. Ta bort gatewayen med hjälp av någon av följande artiklar:

  3. Skapa en ny gateway med den gatewaytyp du vill använda och slutför sedan VPN-konfigurationen. Instruktioner finns i självstudiekursen Webbplats till webbplats.

Behöver jag ett GatewaySubnet?

Ja. Gatewayundernätet innehåller IP-adresser som används i de tjänster för virtuell nätverksgateway. Du måste skapa ett gatewayundernät för ditt VNet för att kunna konfigurera en virtuell nätverksgateway. Alla gatewayundernät måste ha namnet GatewaySubnet för att fungera korrekt. Ge inte gatewayundernätet något annat namn. Och distribuera inte virtuella maskiner eller något annat till gatewayundernätet.

När du skapar gatewayundernätet anger du antalet IP-adresser som undernätet innehåller. IP-adresserna i gatewayundernätet tilldelas till gatewaytjänsten. För vissa konfigurationer krävs att fler IP-adresser tilldelas gatewaytjänsterna än andra. Du vill kontrollera att gatewayundernätet innehåller tillräckligt med IP-adresser för framtida tillväxt och eventuella ytterligare nya anslutningskonfigurationer. Så även om du kan skapa ett gatewayundernät så litet som /29 rekommenderar vi att du skapar ett gatewayundernät av /27 eller större (/27, /26, /25 osv.). Titta på kraven för konfigurationen som du vill skapa och kontrollera att gatewayundernätet du har uppfyller dessa krav.

Kan jag distribuera virtuella maskiner eller rollinstanser till undernätet för min gateway?

Nej.

Kan jag få min IP-adress till VPN-gatewayen innan jag skapar den?

Zon-redundanta och zonbaserade gateways (gateway-SKU:er som har AZ i namnet) förlitar sig båda på en offentlig IP-resurs med Standard SKU Azure. Offentliga IP-resurser i Azure Standard SKU måste använda en statisk tilldelningsmetod. Därför har du den offentliga IP-adressen för din VPN-gateway så snart du skapar den offentliga SKU-standardresursen som du tänker använda för den.

För icke-zon redundanta och icke-zonbaserade gateways (gateway-SKU:er som inte har AZ i namnet) kan du inte få VPN-gatewayens IP-adress innan den skapas. IP-adressen ändras bara om du tar bort och skapar om din VPN-gateway.

Kan jag begära en statisk offentlig IP-adress för min VPN-gateway?

Som vi nämnt ovan förlitar sig både zon-redundanta gatewayer och zonala gateways (gateway-SKU:er som har AZ i namnet) på en offentlig IP-resurs standard för SKU Azure. Offentliga IP-resurser i Azure Standard SKU måste använda en statisk tilldelningsmetod.

För icke-zon-redundanta och icke-zonbaserade gateways (gateway-SKU:er som inte har AZ i namnet) stöds endast dynamisk IP-adresstilldelning. Men det innebär inte att IP-adressen ändras när den har tilldelats din VPN-gateway. Den enda gången SOM VPN-gatewayens IP-adress ändras är när gatewayen tas bort och sedan skapas på ny plats. Den offentliga VPN-gatewayens offentliga IP-adress ändras inte när du ändrar storlek på, återställer eller slutför annat internt underhåll och uppgraderingar av din VPN-gateway.

Hur autentiseras VPN-tunneln?

Azure VPN använder PSK-autentisering (för delad nyckel). Vi genererar en för delad nyckel (PSK) när vi skapar VPN-tunneln. Du kan ändra den automatiskt genererade PSK till din egen med PowerShell-cmdleten Set Pre-Shared Key eller REST API.

Kan jag använda FÖRdelade nyckel-API:n för att konfigurera min principbaserade (statiska routning) vpn-gateway?

Ja, cmdleten Set Pre-Shared Key API och PowerShell kan användas för att konfigurera både Azure-principbaserade (statiska) VPN och routningsbaserade (dynamiska) VPN för routning.

Kan jag använda andra autentiseringsalternativ?

Vi är begränsade till att använda nycklar som redan har delats (PSK) för autentisering.

Hur anger jag vilken trafik som går genom VPN-gatewayen?

Distributionsmodell för Resurshanteraren

  • PowerShell: Använd "AddressPrefix" för att ange trafik för den lokala nätverksgatewayen.
  • Azure Portal: gå till konfigurationsadressutrymmet för lokal >> nätverksgateway.

Klassisk distributionsmodell

  • Azure Portal: navigera till den klassiska virtuella > nätverket > VPN-anslutningar Site-to-site VPN connections > Local site name Local site Client address >> space.

Kan jag använda NAT-T på mina VPN-anslutningar?

Ja, NAT-traversal (NAT-T) stöds. Azure VPN Gateway utför INTE NAT-liknande funktioner i inre paket till/från IPsec-tunnlarna. I den här konfigurationen bör du säkerställa att den lokala enheten initierar IPSec-tunneln.

Kan jag konfigurera min egen VPN-server i Azure och använda den för att ansluta till mitt lokala nätverk?

Ja, du kan distribuera dina egna VPN-gateways eller servrar i Azure antingen från Azure Marketplace eller skapa dina egna VPN-routrar. Du måste konfigurera användardefinierade routes i det virtuella nätverket för att säkerställa att trafiken dirigeras korrekt mellan dina lokala nätverk och dina virtuella nätverksundernät.

Varför öppnas vissa portar på min virtuella nätverksgateway?

De krävs för kommunikation i Azure-infrastrukturen. De skyddas (låsta) av Azure-certifikat. Utan egencertifikat kommer externa enheter, inklusive kunderna av dessa gateways, inte att kunna orsaka någon effekt för dessa slutpunkter.

En virtuell nätverksgateway är fundamentalt en enhet med flera hem och ett NIC-nätverk som används till kundens privata nätverk och en NIC-enhet mot det offentliga nätverket. Azure-infrastrukturenheter kan av efterlevnadsskäl inte utnyttja privata nätverk, så de behöver använda offentliga slutpunkter för infrastrukturkommunikation. De offentliga slutpunkterna genomsöks regelbundet av Azure-säkerhetsgranskning.

Mer information om gatewaytyper, krav och dataflöde

Mer information finns i Om konfigurationsinställningar för VPN Gateway.

Anslutningar från webbplats till webbplats och VPN-enheter

Vad bör jag tänka på när jag väljer en VPN-enhet?

Vi har validerat en uppsättning vanliga VPN-enheter för webbplats till webbplats i samarbete med enhetsleverantörer. En lista över kända kompatibla VPN-enheter, deras motsvarande konfigurationsinstruktioner eller exempel och enhetsspecifikter finns i artikeln om Om VPN-enheter. Alla enheter i enhetsfamiljerna som anges som kompatibla bör fungera med virtuellt nätverk. Information om hur du konfigurerar vpn-enheten finns i exemplet med enhetskonfigurationen eller länken som motsvarar rätt enhetsfamilj.

Var hittar jag konfigurationsinställningarna för VPN-enheter?

Så här laddar du ned VPN-enhetskonfigurationsskript:

Beroende på VILKEN VPN-enhet du har kanske du kan ladda ned ett VPN-enhetskonfigurationsskript. Mer information finns i Ladda ned KONFIGURATIONsskript för VPN-enheter.

Se följande länkar för ytterligare konfigurationsinformation:

Hur redigerar jag exempel på konfiguration av VPN-enheter?

Mer information om hur du redigerar enhetskonfigurationsexempel finns i Redigera exempel.

Var hittar jag parametrarna IPsec och IKE?

Information om parametrar för IPsec/IKE finns i Parametrar.

Varför går min principbaserade VPN-tunnel ned när trafiken är inaktiv?

Det här är normalt för principbaserade VPN-gatewayer (kallas även statisk routning). När trafiken över tunneln är inaktiv i mer än 5 minuter kommer tunneln att grävas ned. När trafiken börjar flöda i endera riktningen återupprättas tunneln omedelbart.

Kan jag använda VPN för programvara för att ansluta till Azure?

Vi stöder Windows Server 2012 dirigering och RRAS-servrar (Remote Access) för konfiguration mellan webbplatser.

Andra VPN-lösningar för programvara bör fungera med vår gateway så länge de överensstämmer med implementeringar av branschstandard-IPsec. Kontakta leverantören av programvaran för instruktioner om konfiguration och support.

Kan jag ansluta till Azure Gateway via Punkt till plats när jag befinner mig på en webbplats som har en aktiv Site-to-Site-anslutning?

Ja, men de offentliga IP-adresserna för Punkt till webbplats-klienten måste vara annorlunda än de offentliga IP-adresserna som används av VPN-enheten, annars fungerar inte Punkt-till-webbplats-anslutningen. Punkt till webbplats-anslutningar med IKEv2 kan inte initieras från samma offentliga IP-adress(er) där en VPN-anslutning för webbplats till webbplats är konfigurerad på samma Azure VPN Gateway.

Punkt till webbplats – certifikatautentisering

Det här avsnittet gäller för distributionsmodellen för Resurshanteraren.

Hur många VPN-klientslutpunkter kan jag ha i min Punkt till webbplats-konfiguration?

Det beror på gatewayens SKU. Mer information om hur många anslutningar som stöds finns i Gateway-SKU:er.

Vilka klient operativsystem kan jag använda med Punkt till webbplats?

Följande klient operativsystem stöds:

  • Windows Server 2008 R2 (endast 64-bitar)
  • Windows 8.1 (32-bitars och 64-bitars)
  • Windows Server 2012 (endast 64-bitars)
  • Windows Server 2012 R2 (endast 64-bitar)
  • Windows Server 2016 (endast 64-bitars)
  • Windows Server 2019 (endast 64-bitar)
  • Windows 10
  • Windows 11
  • macOS version 10.11 eller senare
  • Linux (StrongSwan)
  • iOS

Obs!

Från och med den 1 juli 2018 tas supporten bort för TLS 1.0 och 1.1 från Azure VPN Gateway. VPN Gateway stöder endast TLS 1.2. Information om hur du behåller support finns i uppdateringarna för att aktivera stöd för TLS1.2.

Dessutom kommer följande äldre algoritmer också att vara inaktuella för TLS den 1 juli 2018:

  • RC4 (Rivest Cipher 4)
  • DES (Algoritmen för datakryptering)
  • 3DES (Trippel datakrypteringsalgoritm)
  • MD5 (Message Digest 5)

Hur aktiverar jag stöd för TLS 1.2 i Windows 8.1?

  1. Öppna en kommandotolk med förhöjd behörighet genom att högerklicka på Kommandotolken och välja Kör som administratör.

  2. Kör följande kommandon i kommandotolken:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installera följande uppdateringar:

  4. Starta om datorn.

  5. Anslut till VPN.

Obs!

Du måste ange registernyckeln ovan om du kör en äldre version av Windows 10 (10240).

Kan jag passera genom proxy proxy och brandväggar med hjälp av Punkt till webbplats-funktion?

Azure har stöd för tre typer av VPN-alternativ från punkt till plats:

  • SSTP (Secure Socket Tunneling Protocol). SSTP är en Ssl-baserad Microsoft-baserad lösning som kan leda till brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-port som 443 SSL använder.

  • OpenVPN. OpenVPN är en SSL-baserad lösning som kan leda till brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-port som 443 SSL använder.

  • IKEv2 VPN. IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder utgående UDP-portar 500 och 4500 och IP-protokollnr. 50. Brandväggar öppnar inte alltid dessa portar, så det är möjligt att IKEv2 VPN inte kan passera proxy proxy och brandväggar.

Om jag startar om en klientdator som konfigurerats för Punkt till webbplats, kommer VPN att återanslutas automatiskt?

Återanslut automatiskt är en funktion som används av klienten. Windows stöder automatisk återanslutning genom att konfigurera funktionen Alltid på VPN-klienten.

Stöder punkt till webbplats DDNS på VPN-klienterna?

DDNS stöds för närvarande inte i VPN mellan två webbplatser.

Kan jag ha konfigurationer av samma typ av plats-till-webbplats och punkt till webbplats-konfigurationer samtidigt för samma virtuella nätverk?

Ja. För resurshanterarens distributionsmodell måste du ha en RouteBased VPN-typ för din gateway. För den klassiska distributionsmodellen behöver du en dynamisk gateway. Vi stöder inte Punkt till webbplats för statiska VPN-gatewayer eller PolicyBased VPN gateways.

Kan jag konfigurera en Punkt till webbplats-klient att ansluta till flera virtuella nätverksgateway samtidigt?

Beroende på vilken VPN-klientprogramvara som används kan du eventuellt ansluta till flera virtuella nätverksgateway förutsatt att de virtuella nätverk som ansluts till inte har adressutrymmen i konflikt mellan dem eller att nätverket från klienten ansluter från. Azure VPN-klienten har stöd för många VPN-anslutningar, men det går bara att ansluta en anslutning åt gången.

Kan jag konfigurera en Punkt till webbplats-klient att ansluta till flera virtuella nätverk samtidigt?

Ja, punkt till plats-klientanslutningar till en virtuell nätverksgateway som distribueras i ett VNet som är peered med andra vNets kan ha åtkomst till andra peered VNets. Point-to-Site-klienter kommer att kunna ansluta till peered VNets så länge peered VNets använder funktionerna UseRemoteGateway/AllowGatewayTransit. Mer information finns i Om Punkt till webbplats-routning.

Hur mycket dataflöde kan jag förvänta mig via Anslutningar från Webbplats till webbplats eller Punkt till webbplats?

Det är svårt att upprätthålla det exakta dataflödet för VPN-tunnlarna. IPsec och SSTP är crypto-heavy VPN-protokoll. Dataflödet begränsas också av svarstiden och bandbredden mellan din lokala plats och Internet. För en VPN-gateway med endast IKEv2 VPN-anslutningar från punkt till plats beror det totala dataflödet som du kan förvänta dig på gatewayens SKU. Mer information om dataflöde finns i Gateway-SKU:er.

Kan jag använda vilken VPN-programvara som helst för Point-to-Site som har stöd för SSTP och/eller IKEv2?

Nej. Du kan bara använda den ursprungliga VPN-klienten på Windows för SSTP och den inbyggda VPN-klienten på Mac för IKEv2. Du kan dock använda OpenVPN-klienten på alla plattformar för att ansluta via OpenVPN-protokollet. Se listan över klientoperativsystemet som stöds.

Kan jag ändra autentiseringstyp för en Punkt till webbplats-anslutning?

Ja. I portalen går du till konfigurationssidan VPN Gateway – Punkt till webbplats. För Autentiseringstypväljer du de autentiseringstyper som du vill använda. Observera att när du har ändrat en autentiseringstyp kanske inte aktuella klienter kan ansluta förrän en ny VPN-klientkonfigurationsprofil har genererats, laddats ned och tillämpats på varje VPN-klient.

Stöder Azure IKEv2 VPN med Windows?

IKEv2 stöds på Windows 10 och Server 2016. Men om du vill använda IKEv2 i vissa OS-versioner måste du installera uppdateringar och ange ett registernyckelvärde lokalt. Observera att OS-versioner före Windows 10 inte stöds och kan bara använda SSTP eller OpenVPN® Protocol.

Obs! Windows OS-versioner som är nyare än Windows 10 version 1709 och Windows Server 2016 version 1607 kräver inte dessa steg.

Förbereda Windows 10 server 2016 för IKEv2:

  1. Installera uppdateringen baserat på din OS-version:

    OS-version Datum Nummer/länk
    Windows Server 2016
    Windows 10 version 1607
    17 januari 2018 KB4057142
    Windows 10 version 1703 17 januari 2018 KB4057144
    Windows 10 version 1709 22 mars 2018 KB4089848
  2. Ange registernyckelvärdet. Skapa eller ställ in "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD till 1 i registret.

Vad händer när jag konfigurerar både SSTP och IKEv2 för P2S VPN-anslutningar?

När du konfigurerar både SSTP och IKEv2 i en blandad miljö (som består av Windows- och Mac-enheter) försöker VPN-klienten i Windows alltid IKEv2-tunneln först, men den kommer tillbaka till SSTP om IKEv2-anslutningen inte lyckas. MacOSX ansluter bara via IKEv2.

Förutom Windows och Mac, vilka andra plattformar har Azure stöd för P2S VPN?

Azure stöder Windows, Mac och Linux för P2S VPN.

Jag har redan en Azure VPN Gateway distribuerad. Kan jag aktivera RADIE och/eller IKEv2 VPN på det?

Ja, om gatewayens SKU som du använder har stöd för RADIE och/eller IKEv2 kan du aktivera de här funktionerna på gateways som du redan har distribuerat med hjälp av PowerShell eller Azure-portalen. Observera att Den grundläggande SKU:n inte har stöd för RADIE eller IKEv2.

Hur tar jag bort konfigurationen av en P2S-anslutning?

En P2S-konfiguration kan tas bort med hjälp av Azure CLI och PowerShell med följande kommandon:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Vad ska jag göra om jag får ett certifikat som inte matchar när jag ansluter med certifikatautentisering?

Avmarkera "Verifiera serverns identitet genom att verifiera certifikatet" eller lägg till serverns FQDN tillsammans med certifikatet när du skapar en profil manuellt. Det kan du göra genom att köra rasphone från en kommandotolk och välja profilen i listrutan.

Att kringgå serveridentitetsvalidering rekommenderas inte i allmänhet, men med Azure-certifikatautentisering används samma certifikat för servervalidering i VPN-tunnelprotokoll (IKEv2/SSTP) och EAP-protokollet. Eftersom servercertifikatet och FQDN redan verifieras av VPN-tunnelprotokoll är det redundanta att verifiera samma sak igen i EAP.

point-to-site auth

Kan jag använda min egen interna PKI-rotcertifikatutfärdare för att generera certifikat för punkt till webbplats-anslutning?

Ja. Tidigare kunde endast själv signerade rotcertifikat användas. Du kan fortfarande ladda upp 20 rotcertifikat.

Kan jag använda certifikat från Azure Key Vault?

Nej.

Vilka verktyg kan jag använda för att skapa certifikat?

Du kan använda din PKI-lösning för företag (din interna PKI), Azure PowerShell, MakeCert och OpenSSL.

Finns det instruktioner för certifikatinställningar och parametrar?

  • Intern PKI/Enterprise PKI-lösning: Se anvisningarna för att generera certifikat.

  • Azure PowerShell: i Azure PowerShell artikeln finns anvisningar.

  • MakeCert: Instruktioner finns i MakeCert-artikeln.

  • OpenSSL:

    • Se till att konvertera rotcertifikatet till Base64 när du exporterar certifikat.

    • För klientcertifikatet:

      • När du skapar den privata nyckeln anger du längden som 4096.
      • När du skapar certifikatet för parametern -extensions anger du usr_cert.

Punkt till plats – RADIE-autentisering

Det här avsnittet gäller för distributionsmodellen för Resurshanteraren.

Hur många VPN-klientslutpunkter kan jag ha i min Punkt till webbplats-konfiguration?

Det beror på gatewayens SKU. Mer information om hur många anslutningar som stöds finns i Gateway-SKU:er.

Vilka klient operativsystem kan jag använda med Punkt till webbplats?

Följande klient operativsystem stöds:

  • Windows Server 2008 R2 (endast 64-bitar)
  • Windows 8.1 (32-bitars och 64-bitars)
  • Windows Server 2012 (endast 64-bitars)
  • Windows Server 2012 R2 (endast 64-bitar)
  • Windows Server 2016 (endast 64-bitars)
  • Windows Server 2019 (endast 64-bitar)
  • Windows 10
  • Windows 11
  • macOS version 10.11 eller senare
  • Linux (StrongSwan)
  • iOS

Obs!

Från och med den 1 juli 2018 tas supporten bort för TLS 1.0 och 1.1 från Azure VPN Gateway. VPN Gateway stöder endast TLS 1.2. Information om hur du behåller support finns i uppdateringarna för att aktivera stöd för TLS1.2.

Dessutom kommer följande äldre algoritmer också att vara inaktuella för TLS den 1 juli 2018:

  • RC4 (Rivest Cipher 4)
  • DES (Algoritmen för datakryptering)
  • 3DES (Trippel datakrypteringsalgoritm)
  • MD5 (Message Digest 5)

Hur aktiverar jag stöd för TLS 1.2 i Windows 8.1?

  1. Öppna en kommandotolk med förhöjd behörighet genom att högerklicka på Kommandotolken och välja Kör som administratör.

  2. Kör följande kommandon i kommandotolken:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Installera följande uppdateringar:

  4. Starta om datorn.

  5. Anslut till VPN.

Obs!

Du måste ange registernyckeln ovan om du kör en äldre version av Windows 10 (10240).

Kan jag passera genom proxy proxy och brandväggar med hjälp av Punkt till webbplats-funktion?

Azure har stöd för tre typer av VPN-alternativ från punkt till plats:

  • SSTP (Secure Socket Tunneling Protocol). SSTP är en Ssl-baserad Microsoft-baserad lösning som kan leda till brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-port som 443 SSL använder.

  • OpenVPN. OpenVPN är en SSL-baserad lösning som kan leda till brandväggar eftersom de flesta brandväggar öppnar den utgående TCP-port som 443 SSL använder.

  • IKEv2 VPN. IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder utgående UDP-portar 500 och 4500 och IP-protokollnr. 50. Brandväggar öppnar inte alltid dessa portar, så det är möjligt att IKEv2 VPN inte kan passera proxy proxy och brandväggar.

Om jag startar om en klientdator som konfigurerats för Punkt till webbplats, kommer VPN att återanslutas automatiskt?

Återanslut automatiskt är en funktion som används av klienten. Windows automatisk återanslutning genom att konfigurera funktionen Alltid på VPN-klienten.

Stöder punkt till webbplats DDNS på VPN-klienterna?

DDNS stöds för närvarande inte i VPN mellan två webbplatser.

Kan jag ha konfigurationer av samma typ av plats-till-webbplats och punkt till webbplats-konfigurationer samtidigt för samma virtuella nätverk?

Ja. För resurshanterarens distributionsmodell måste du ha en RouteBased VPN-typ för din gateway. För den klassiska distributionsmodellen behöver du en dynamisk gateway. Vi stöder inte Punkt till webbplats för statiska VPN-gatewayer eller PolicyBased VPN gateways.

Kan jag konfigurera en Punkt till webbplats-klient att ansluta till flera virtuella nätverksgateway samtidigt?

Beroende på vilken VPN-klientprogramvara som används kan du eventuellt ansluta till flera virtuella nätverksgateway förutsatt att de virtuella nätverk som ansluts till inte har adressutrymmen i konflikt mellan dem eller att nätverket från klienten ansluter från. Azure VPN-klienten har stöd för många VPN-anslutningar, men det går bara att ansluta en anslutning åt gången.

Kan jag konfigurera en Punkt till webbplats-klient att ansluta till flera virtuella nätverk samtidigt?

Ja, punkt till plats-klientanslutningar till en virtuell nätverksgateway som distribueras i ett VNet som är peered med andra vNets kan ha åtkomst till andra peered VNets. Point-to-Site-klienter kommer att kunna ansluta till peered VNets så länge peered VNets använder funktionerna UseRemoteGateway/AllowGatewayTransit. Mer information finns i Om Punkt till webbplats-routning.

Hur mycket dataflöde kan jag förvänta mig via Anslutningar från Webbplats till webbplats eller Punkt till webbplats?

Det är svårt att upprätthålla det exakta dataflödet för VPN-tunnlarna. IPsec och SSTP är crypto-heavy VPN-protokoll. Dataflödet begränsas också av svarstiden och bandbredden mellan din lokala plats och Internet. För en VPN-gateway med endast IKEv2 VPN-anslutningar från punkt till plats beror det totala dataflödet som du kan förvänta dig på gatewayens SKU. Mer information om dataflöde finns i Gateway-SKU:er.

Kan jag använda vilken VPN-programvara som helst för Point-to-Site som har stöd för SSTP och/eller IKEv2?

Nej. Du kan bara använda den ursprungliga VPN-klienten på Windows för SSTP och den inbyggda VPN-klienten på Mac för IKEv2. Du kan dock använda OpenVPN-klienten på alla plattformar för att ansluta via OpenVPN-protokollet. Se listan över klientoperativsystemet som stöds.

Kan jag ändra autentiseringstyp för en Punkt till webbplats-anslutning?

Ja. I portalen går du till konfigurationssidan VPN Gateway – Punkt till webbplats. För Autentiseringstypväljer du de autentiseringstyper som du vill använda. Observera att när du har ändrat en autentiseringstyp kanske inte aktuella klienter kan ansluta förrän en ny VPN-klientkonfigurationsprofil har genererats, laddats ned och tillämpats på varje VPN-klient.

Stöder Azure IKEv2 VPN med Windows?

IKEv2 stöds på Windows 10 och Server 2016. Men om du vill använda IKEv2 i vissa OS-versioner måste du installera uppdateringar och ange ett registernyckelvärde lokalt. Observera att OS-versioner före Windows 10 inte stöds och kan bara använda SSTP eller OpenVPN® Protocol.

Obs! Windows OS-versioner som är nyare än Windows 10 version 1709 och Windows Server 2016 version 1607 kräver inte dessa steg.

Förbereda Windows 10 server 2016 för IKEv2:

  1. Installera uppdateringen baserat på din OS-version:

    OS-version Datum Nummer/länk
    Windows Server 2016
    Windows 10 version 1607
    17 januari 2018 KB4057142
    Windows 10 version 1703 17 januari 2018 KB4057144
    Windows 10 version 1709 22 mars 2018 KB4089848
  2. Ange registernyckelvärdet. Skapa eller ställ in "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD till 1 i registret.

Vad händer när jag konfigurerar både SSTP och IKEv2 för P2S VPN-anslutningar?

När du konfigurerar både SSTP och IKEv2 i en blandad miljö (som består av Windows- och Mac-enheter) försöker VPN-klienten i Windows alltid IKEv2-tunneln först, men den kommer tillbaka till SSTP om IKEv2-anslutningen inte lyckas. MacOSX ansluter bara via IKEv2.

Förutom Windows och Mac, vilka andra plattformar har Azure stöd för P2S VPN?

Azure stöder Windows, Mac och Linux för P2S VPN.

Jag har redan en Azure VPN Gateway distribuerad. Kan jag aktivera RADIE och/eller IKEv2 VPN på det?

Ja, om gatewayens SKU som du använder har stöd för RADIE och/eller IKEv2 kan du aktivera de här funktionerna på gateways som du redan har distribuerat med hjälp av PowerShell eller Azure-portalen. Observera att Den grundläggande SKU:n inte har stöd för RADIE eller IKEv2.

Hur tar jag bort konfigurationen av en P2S-anslutning?

En P2S-konfiguration kan tas bort med hjälp av Azure CLI och PowerShell med följande kommandon:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Stöds RADIE-autentisering på alla Azure VPN Gateway-SKU:er?

RADIE-autentisering stöds för VpnGw1-, VpnGw2- och VpnGw3-SKU:er. Om du använder äldre SKU:er stöds RADIE-autentisering för standard- och högprestanda-SKU:er. Den stöds inte på SKU för grundläggande gateway. 

Stöds RADIE-autentisering för den klassiska distributionsmodellen?

Nej. RADIE-autentisering stöds inte för den klassiska distributionsmodellen.

Vad är tidsgränsperioden för RADIE-begäranden som skickas till RADIE-servern?

RADIE-begäranden ställs in på timeout efter 30 sekunder. Användardefinierade tidsgränsvärden stöds inte i dag.

Stöds RADIE-servrar från tredje part?

Ja, radieservrar från tredje part stöds.

Vilka är anslutningskraven för att säkerställa att Azure Gateway kan nå en lokal RADIUS-server?

En VPN-anslutning mellan webbplatser till den lokala webbplatsen, med rätt vägar konfigurerade, krävs.  

Kan trafik till en lokal RADIE-server (från Azure VPN-gatewayen) dirigeras via en ExpressRoute-anslutning?

Nej. Det kan bara dirigeras via en Anslutning mellan webbplatser.

Går det att ändra antalet SSTP-anslutningar som stöds med RADIE-autentisering? Vad är det maximala antalet SSTP- och IKEv2-anslutningar som stöds?

Det finns ingen förändring av det maximala antalet SSTP-anslutningar som stöds på en gateway med RADIE-autentisering. Den förblir 128 för SSTP, men beror på gatewayens SKU för IKEv2. Mer information om hur många anslutningar som stöds finns i Gateway-SKU:er.

Vad är skillnaden mellan att göra certifikatautentisering med en RADIUS-server jämfört med att använda Azure-inbyggd certifikatautentisering (genom att ladda upp ett betrott certifikat till Azure).

I RADIE-certifikatautentisering vidarebefordras autentiseringsbegäran till en RADIE-server som hanterar den faktiska certifikatverifieringen. Det här alternativet är användbart om du vill integrera med en infrastruktur för certifikatautentisering som du redan har via RADIE.

När du använder Azure för certifikatautentisering utför Azure VPN-gatewayen verifieringen av certifikatet. Du måste ladda upp den offentliga certifikatnyckeln till gatewayen. Du kan också ange en lista med återkallade certifikat som inte ska tillåtas ansluta.

Fungerar RADIE-autentisering med både IKEv2 och SSTP VPN?

Ja, RADIE-autentisering stöds för både IKEv2 och SSTP VPN. 

Fungerar RADIE-autentisering med OpenVPN-klienten?

RADIE-autentisering stöds endast för OpenVPN-protokollet via PowerShell.

VNet-to-VNet- och Multi-Site-anslutningar

Vanliga frågor om VNet-to-VNet gäller VPN Gateway-anslutningar. Mer information om VNet-peering finns i Virtual network peering.

Debiterar Azure trafik mellan vNets?

VNet-to-VNet-trafik inom samma region är gratis för båda riktningarna när du använder en VPN-gatewayanslutning. Den utgående VNet-till-VNet-trafiken mellan olika regioner debiteras med utgående VNet-dataöverföringsfrekvenser baserat på källområdena. Mer information finns på sidan priser på VPN Gateway. Om du ansluter dina vNets genom att använda VNet-peering i stället för en VPN-gateway kan du gå till Priser för virtuella nätverk.

Färdas VNet-till-VNet-trafiken via Internet?

Nej. VNet-to-VNet-trafik färdas Microsoft Azure stommen, inte via Internet.

Kan jag upprätta en VNet-till-VNet-anslutning för Azure Active Directory (AAD) klientorganisation?

Ja, VNet-till-VNet-anslutningar som använder Azure VPN-gatewayer fungerar AAD klientorganisationen.

Är VNet-to-VNet-trafik säker?

Ja, den skyddas av IPsec/IKE-kryptering.

Behöver jag en VPN-enhet för att ansluta VNets tillsammans?

Nej. Anslutning av flera virtuella Azure-nätverk kräver inte en VPN-enhet om inte en tvärlokal anslutning krävs.

Måste mina vNets finnas i samma region?

Nej. De virtuella nätverken kan finnas i samma eller olika Azure-regioner (platser).

Om vNets inte finns i samma prenumeration, behöver prenumerationerna vara kopplade till samma Active Directory-klientorganisation?

Nej.

Kan jag använda VNet-to-VNet för att ansluta virtuella nätverk i separata Azure-instanser?

Nej. VNet-to-VNet har stöd för anslutning av virtuella nätverk inom samma Azure-instans. Du kan till exempel inte skapa en anslutning mellan globala Azure-instanser och Azure-instanser för kinesiska/tyska/amerikanska myndigheter. Överväg att använda en VPN-anslutning mellan webbplatser för dessa scenarier.

Kan jag använda VNet-to-VNet tillsammans med anslutningar till flera webbplatser?

Ja. Virtuell nätverksanslutning kan användas samtidigt med VPN på flera webbplatser.

Hur många lokala webbplatser och virtuella nätverk kan ett virtuellt nätverk ansluta till?

Se tabellen Gatewaykrav.

Kan jag använda VNet-to-VNet för att ansluta virtuella maskiner eller molntjänster utanför ett VNet?

Nej. VNet-to-VNet har stöd för anslutning av virtuella nätverk. Den stöder inte anslutning av virtuella maskiner eller molntjänster som inte är i ett virtuellt nätverk.

Kan en molntjänst eller en slutpunkt för belastningsutjämning vara VNets?

Nej. En molntjänst eller en slutpunkt för belastningsutjämning kan inte sträcka sig över virtuella nätverk, även om de är sammankopplade.

Kan jag använda en PolicyBased VPN-typ för VNet-to-VNet- eller flerwebbplatsanslutningar?

Nej. VNet-to-VNet- och Multi-Site-anslutningar kräver Azure VPN-gateways med RouteBased-typer (tidigare kallad dynamisk dirigering).

Kan jag ansluta ett vNet med en RouteBased VPN-typ till ett annat VNet med en PolicyBased VPN-typ?

Nej, båda virtuella nätverk MÅSTE använda routningsbaserade (tidigare kallat dynamiska routning) VPN.

Delar VPN-tunnlar bandbredd?

Ja. Alla VPN-tunnlar i det virtuella nätverket delar den tillgängliga bandbredden på Azure VPN-gatewayen och samma VPN-gateways drifttids-SLA i Azure.

Stöds redundanta tunnlar?

Redundanta tunnlar mellan ett par av virtuella nätverk stöds när en virtuell nätverksgateway konfigureras som aktiv.

Kan jag ha överlappande adressutrymmen för VNet-till-VNet-konfigurationer?

Nej. Du får inte ha överlappande IP-adressintervall.

Kan det finnas överlappande adressutrymmen mellan anslutna virtuella nätverk och lokala webbplatser?

Nej. Du får inte ha överlappande IP-adressintervall.

Hur aktiverar jag dirigering mellan VPN-anslutningen mellan min webbplats och min ExpressRoute?

Om du vill aktivera routning mellan din gren som är ansluten till ExpressRoute och din gren som är ansluten till en VPN-anslutning mellan webbplatser måste du konfigurera Azure Route Server.

Kan jag använda Azure VPN Gateway för att transittrafik mellan mina lokala webbplatser eller till ett annat virtuellt nätverk?

Distributionsmodell för Resurshanteraren
Ja. Mer information finns i avsnittet BGP.

Klassisk distributionsmodell
Överföringstrafik via Azure VPN Gateway är möjligt med den klassiska distributionsmodellen, men förlitar sig på statiskt definierade adressutrymmen i nätverkskonfigurationsfilen. BGP stöds ännu inte med Azure Virtual Networks och VPN Gateways som använder den klassiska distributionsmodellen. Utan BGP blir det lätt fel att manuellt definiera transitadresser och det rekommenderas inte.

Genererar Azure samma fördelade IPsec/IKE-nyckel för alla mina VPN-anslutningar för samma virtuella nätverk?

Nej, Azure genererar som standard olika fördelade nycklar för olika VPN-anslutningar. Du kan emellertid använda REST API-cmdleten Set VPN Gateway Key REST API eller PowerShell för att ange det nyckelvärde du föredrar. Nyckeln MÅSTE vara utskrivbara ASCII-tecken.

Får jag mer bandbredd med fler VPN mellan webbplatser än för ett virtuellt nätverk?

Nej, alla VPN-tunnlar, inklusive VPN från punkt till plats, delar samma Azure VPN-gateway och den tillgängliga bandbredden.

Kan jag konfigurera flera tunnlar mellan mitt virtuella nätverk och min lokala plats med VPN på flera platser?

Ja, men du måste konfigurera BGP på båda tunnelrna till samma plats.

Stöder Azure VPN Gateway as Path som förvald för att påverka dirigeringsbeslut mellan flera anslutningar till mina lokala webbplatser?

Ja, Azure VPN gateway kommer att respektera AS Path-förvald för att hjälpa dig fatta routningsbeslut när BGP är aktiverat. En kortare AS-sökväg rekommenderas i BGP-sökvägen.

Kan jag använda VPN från punkt till plats med mitt virtuella nätverk med flera VPN-tunnlar?

Ja, P2S-VPN (Punkt till webbplats) kan användas med VPN-gateways som ansluter till flera lokala webbplatser och andra virtuella nätverk.

Kan jag ansluta ett virtuellt nätverk med IPsec-VPN till min ExpressRoute-krets?

Ja, det här stöds. Mer information finns i Konfigurera VPN-anslutningar mellan ExpressRoute och webbplats till webbplats som finns tillsammans.

IPsec-/IKE-princip

Stöds anpassad IPsec/IKE-policy för alla Azure VPN Gateway-SKU:er?

Anpassad IPsec/IKE-princip stöds för alla Azure SKU:er utom Basic SKU.

Hur många principer kan jag ange för en anslutning?

Du kan bara ange en principkombination för en viss anslutning.

Kan jag ange en delvis princip för en anslutning? (Till exempel endast IKE-algoritmer, men inte IPsec)

Nej, du måste ange alla algoritmer och parametrar för både IKE (huvudläge) och IPsec (snabbläge). Vissa principspecifikationer är inte tillåtna.

Vilka algoritmer och nyckelstyrka stöds i den anpassade principen?

I följande tabell visas de kryptografiska algoritmer som stöds och nyckelstyrkan som kan konfigureras av kunderna. Du måste välja ett alternativ för varje fält.

IPsec/IKEv2 Alternativ
IKEv2-kryptering AES256, AES192, AES128, DES3, DES
IKEv2-integritet SHA384, SHA256, SHA1, MD5
DH-grupp DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
IPsec-kryptering GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec-integritet GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-grupp PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Ingen
QM SA Lifetime Sekunder (heltal; min. 300/default 27000 sekunder)
KBytes (heltal; min. 1024/default 102400000 KByte)
Trafikväljare UsePolicyBasedTrafficSelectors ($True/$False, standard $False)

Viktigt

  • DHGroup2048 PFS2048 är samma som & Diffie-Hellman grupp & i IKE- och IPsec-PFS. Mer information om fullständiga mappningar finns i Diffie-Så här gör du för att se de fullständiga mappningarna.
  • För GCMAES-algoritmer måste du ange samma GCMAES-algoritm och nyckellängd för både IPsec-kryptering och integritet.
  • IKEv2 Main Mode SA-livslängd är fast med 28 800 sekunder på Azure VPN-gateways.
  • QM SA-livstider är valfria parametrar. Om inget har angetts används standardvärdena på 27 000 sekunder (7,5 t) och 102400000 KByte (102 GB).
  • UsePolicyBasedTrafficSelector är en alternativparameter för anslutningen. Se nästa vanliga frågor och svar för "UsePolicyBasedTrafficSelectors".

Behöver allt matchas mellan Azure VPN Gateway-policyn och mina lokala VPN-enhetskonfigurationer?

Din lokala VPN-enhetskonfiguration måste matcha eller innehålla följande algoritmer och parametrar som du anger för Azure IPsec/IKE-principen:

  • Algoritmen för IKE-kryptering
  • Algoritmen för IKE-integritet
  • DH-grupp
  • Algoritmen för IPsec-kryptering
  • Algoritmen för IPsec-integritet
  • PFS-grupp
  • Trafikväljare (*)

SA-livstider är bara lokala specifikationer som inte behöver matchas.

Om du aktiverar UsePolicyBasedTrafficSelectorsmåste du se till att din VPN-enhet har matchande trafikväljare definierade med alla kombinationer av dina lokala nätverksprefix (lokal nätverksgateway) till/från Azure-virtuella nätverksprefix, i stället för alla-till-alla. Om dina lokala nätverksprefix exempelvis är 10.1.0.0/16 och 10.2.0.0/16, och dina virtuella nätverksprefix är 192.168.0.0/16 och 172.16.0.0/16, måste du ange följande trafikväljare:

  • 10.1.0.0/16 < ==== > 192.168.0.0/16
  • 10.1.0.0/16 < ==== > 172.16.0.0/16
  • 10.2.0.0/16 < ==== > 192.168.0.0/16
  • 10.2.0.0/16 < ==== > 172.16.0.0/16

Mer information finns i Anslut lokala policybaserade VPN-enheter.

Vilka Diffie-Hellman grupper stöds?

I tabellen nedan visas de Diffie-Hellman grupper för IKE (DHGroup) och IPsec (PFSGroup):

Diffie-Deman-gruppen DHGroup PFSGroup Nyckellängd
1 DHGroup1 PFS1 768-bitars MODP
2 DHGroup2 PFS2 1024-bitars MODP
14 DHGroup14
DHGroup2048
PFS2048 2048-bitars MODP
19 ECP256 ECP256 256-bitars ECP
20 ECP384 ECP384 384-bitars ECP
24 DHGroup24 PFS24 2048-bitars MODP

Mer information finns i RFC3526 och RFC5114.

Ersätter den anpassade principen standarduppsättningarna för IPsec/IKE-policyer för Azure VPN-gateways?

Ja, när en anpassad princip har angetts för en anslutning använder Azure VPN Gateway endast principen för anslutningen, både som IKE-initierare och IKE-svarare.

Tas anslutningen bort om jag tar bort en anpassad IPsec/IKE-princip?

Nej, anslutningen skyddas fortfarande av IPsec/IKE. När du tar bort den anpassade principen från en anslutning återgår Azure VPN-gatewayen till standardlistan över IPsec/IKE-förslag och startar om IKE-handskakningen igen med din lokala VPN-enhet.

Skulle tillägg av eller uppdatering av en IPsec/IKE-princip störa min VPN-anslutning?

Ja, det kan orsaka små störningar (några sekunder) när Azure VPN-gatewayen tar bort den befintliga anslutningen och startar om IKE-handskakningen för att återställa IPsec-tunneln med de nya kryptografiska algoritmerna och parametrarna. Se till att din lokala VPN-enhet också är konfigurerad med matchande algoritmer och nyckelstyrka för att minimera avbrottet.

Kan jag använda olika principer för olika anslutningar?

Ja. Anpassad princip tillämpas per anslutning. Du kan skapa och använda olika IPsec/IKE-principer för olika anslutningar. Du kan också välja att använda anpassade principer för en delmängd anslutningar. De övriga använder Standardprincipuppsättningarna för IPsec/IKE i Azure.

Kan jag också använda den anpassade principen på en VNet-till-VNet-anslutning?

Ja, du kan använda anpassad princip för både IPsec-kors lokala anslutningar eller VNet-till-VNet-anslutningar.

Måste jag ange samma princip på båda VNet-to-VNet-anslutningsresurser?

Ja. En VNet-to-VNet-tunnel består av två anslutningsresurser i Azure, en för varje riktning. Kontrollera att båda anslutningsresurserna har samma princip, annars upprättas inte VNet-till-VNet-anslutningen.

Vad är standardinställningen för standardtidsutsmällning för standardprincipprinciper? Kan jag ange en annan tidsgräns för dpd?

Standardinställningen för standardtid för standardprincipprinciper är 45 sekunder. Du kan ange olika tidsgränsvärden för DPD på varje IPsec- eller VNet-to-VNet-anslutning mellan 9 sekunder och 3600 sekunder.

Fungerar anpassad IPsec/IKE-policy på ExpressRoute-anslutning?

Nej. Principen för IPsec/IKE fungerar bara på S2S VPN- och VNet-till-VNet-anslutningar via Azure VPN-gateways.

Hur skapar jag anslutningar med protokolltypen IKEv1 eller IKEv2?

IKEv1-anslutningar kan skapas på alla RouteBased VPN-typ SKU:er, förutom Basic SKU, Standard SKU och andra äldre SKU:er. Du kan ange en protokolltyp för anslutning av IKEv1 eller IKEv2 när du skapar anslutningar. Om du inte anger en typ av anslutningsprotokoll används IKEv2 som standardalternativ i tillämpliga fall. Mer information finns i dokumentationen för PowerShell-cmdleten. Information om SKU-typer och stöd för IKEv1/IKEv2 finns i Anslut till principbaserade VPN-enheter.

Tillåts överföring mellan IKEv1- och IKEv2-anslutningar?

Ja. Överföring mellan IKEv1- och IKEv2-anslutningar stöds.

Kan jag ha IKEv1 webbplats-till-webbplats-anslutningar på grundläggande SKU:er av RouteBased VPN-typ?

Nej. Grundläggande SKU stöder inte detta.

Kan jag ändra typen av anslutningsprotokoll när anslutningen har skapats (IKEv1 till IKEv2 och vice versa)?

Nej. När anslutningen har skapats kan protokollen IKEv1/IKEv2 inte ändras. Du måste ta bort och återskapa en ny anslutning med önskad protokolltyp.

Var hittar jag mer konfigurationsinformation för IPsec?

Se Konfigurera IPsec/IKE-policy för S2S- eller VNet-till-VNet-anslutningar.

BGP och dirigering

Stöds BGP på alla Azure VPN Gateway-SKU:er?

BGP stöds på alla Azure VPN Gateway-SKU:er utom Basic SKU.

Kan jag använda BGP med Azure Policy VPN gateways?

Nej, BGP stöds endast för routebaserade VPN-gatewayer.

Vilka ASN (autonoma systemtal) kan jag använda?

Du kan använda dina egna offentliga ASN eller privata ASN för både lokala nätverk och virtuella Azure-nätverk. Du kan inte använda intervallen som reserverats av Azure eller IANA.

Följande ASN är reserverade av Azure eller IANA:

  • ASN som är reserverade för Azure:

    • Offentliga ASN: 8074, 8075, 12076
    • Privata ASN: 65515, 65517, 65518, 65519, 65520
  • ASN-reserverade av IANA:

    • 23456, 64496-64511, 65535-65551 och 429496729

Du kan inte ange dessa ASN för dina lokala VPN-enheter när du ansluter till Azure VPN gateways.

Kan jag använda 32-bitars (4-byte) ASN?

Ja, VPN Gateway har nu stöd för 32-bitars (4-byte) ASN. Om du vill konfigurera med ASN i decimalformat använder du PowerShell, Azure CLI eller Azure SDK.

Vilka privata ASN kan jag använda?

De användningsbara intervallen för privata ASN är:

  • 64512-65514 och 65521-65534

Dessa ASN är inte reserverade av IANA eller Azure för användning och kan därför användas för att tilldela till din Azure VPN-gateway.

Vilken adress använder VPN Gateway för BGP-peer-IP?

Som standard avsätter VPN Gateway en enda IP-adress från GatewaySubnet-intervallet för VPN-gatewayer i aktivt vänteläge eller två IP-adresser för aktiva VPN-gatewayer. De här adresserna tilldelas automatiskt när du skapar VPN-gatewayen. Du kan få den faktiska BGP IP-adressen tilldelad med hjälp av PowerShell eller genom att hitta den i Azure-portalen. I PowerShell använder du Get-AzVirtualNetworkGatewayoch letar efter egenskapen bgpPeeringAddress. Titta under egenskapen Konfigurera BGP ASN i Azure-portalen på sidan Gatewaykonfiguration.

Om dina lokala VPN-routrar använder APIPA IP-adresser (169.254.x.x) som BGP-IP-adresser måste du ange ytterligare en Azure APIPA BGP IP-adress på din Azure VPN-gateway. Azure VPN Gateway väljer DEN APIPA-adress som ska användas med den lokala APIPA BGP-peer som angetts i den lokala nätverksgatewayen, eller den privata IP-adressen för en icke-APIPA lokal BGP-peer. Mer information finns i Konfigurera BGP.

Vilka är kraven för BGP-peer IP-adresser på min VPN-enhet?

Din lokala BGP-peer-adress får inte vara samma som den offentliga IP-adressen för din VPN-enhet eller från VPN-gatewayens virtuella nätverksadressutrymme. Använd en annan IP-adress på VPN-enheten för din BGP-peer IP. Det kan vara en adress som tilldelats till loopback-gränssnittet på enheten (antingen en vanlig IP-adress eller en APIPA-adress). Om enheten använder en APIPA-adress för BGP måste du ange en APIPA BGP IP-adress på din Azure VPN-gateway enligt beskrivningen i Konfigurera BGP. Ange den här adressen i motsvarande lokal nätverksgateway som representerar platsen.

Vad ska jag ange som adressprefix för den lokala nätverksgatewayen när jag använder BGP?

Viktigt

Det här är en ändring från det tidigare bedokumenterade kravet. Om du använder BGP för en anslutning lämnar du fältet Adressutrymme tomt för motsvarande lokal nätverksgatewayresurs. Azure VPN Gateway lägger till en värdväg internt till den lokala BGP-peer-IP:en över IPsec-tunneln. Lägg inte till routen /32 i fältet Adressutrymme. Den är redundant och om du använder en APIPA-adress som lokal VPN-enhet BGP IP kan den inte läggas till i det här fältet. Om du lägger till andra prefix i fältet Adressutrymme läggs de till som statiska vägar på Azure VPN-gatewayen, utöver de vägar som lärts via BGP.

Kan jag använda samma ASN för både lokala VPN-nätverk och virtuella Azure-nätverk?

Nej, du måste tilldela olika ASN mellan dina lokala nätverk och dina virtuella Azure-nätverk om du ansluter dem till dem med BGP. Azure VPN-gateways har standard-ASN på 65515 tilldelade, oavsett om BGP är aktiverat eller inte för din tvärlokala anslutning. Du kan åsidosätta den här standardinställningen genom att tilldela ett annat ASN när du skapar VPN-gatewayen, eller så kan du ändra ASN när gatewayen har skapats. Du måste tilldela dina lokala ASN till motsvarande lokala Azure-nätverksgateway.

Vilka adressprefix annonserar Azure VPN Gateways till mig?

Gatewayerna annonserar följande vägar till dina lokala BGP-enheter:

  • Dina prefix för din virtuella nätverksadress.
  • Adressprefix för varje lokal nätverksgateway som är ansluten till Azure VPN-gatewayen.
  • Vägar som lärts från andra BGP-peeringsessioner som är anslutna till Azure VPN-gatewayen, förutom standardrutter som överlappar med eventuella virtuella nätverksprefix.

Hur många prefix kan jag annonsera till Azure VPN Gateway?

Azure VPN Gateway har stöd för upp till 4 000 prefix. BGP-sessionen ignoreras om antalet prefix överskrider gränsen.

Kan jag annonsera standardvägen (0.0.0.0/0) till Azure VPN gateways?

Ja. Observera att detta tvingar all utgående trafik i virtuellt nätverk mot din lokala webbplats. Dessutom förhindrar det virtuella nätverkets virtuella maskiner från att acceptera offentlig kommunikation från internet direkt, t.ex. RDP eller SSH från Internet till de virtuella maskinerna.

Kan jag annonsera de exakta prefixen som mina virtuella nätverksprefix?

Nej, reklam av samma prefix som något av dina prefix för virtuella nätverksadresser kommer att blockeras eller filtreras av Azure. Du kan däremot annonsera ett prefix som är så stort som det du har i det virtuella nätverket.

Om det virtuella nätverket till exempel använde adressutrymmet 10.0.0.0/16 kan du annonsera 10.0.0.0/8. Men du kan inte annonsera 10.0.0.0/16 eller 10.0.0.0/24.

Kan jag använda BGP med mina anslutningar mellan virtuella nätverk?

Ja, du kan använda BGP för både lokala anslutningar och anslutningar mellan virtuella nätverk.

Kan jag blanda BGP med icke-BGP-anslutningar för mina Azure VPN-gateways?

Ja, du kan blanda både BGP- och icke-BGP-anslutningar för samma Azure VPN-gateway.

Stöder Azure VPN Gateway BGP-överföringsdirigering?

Ja, BGP-överföringsdirigering stöds, med undantag för att Azure VPN-gatewayer inte annonserar standardvägar till andra BGP-peers. Om du vill aktivera överföringsdirigering över flera Azure VPN-gateways måste du aktivera BGP på alla mellanliggande anslutningar mellan virtuella nätverk. Mer information finns i Om BGP.

Kan jag ha mer än en tunnel mellan en Azure VPN-gateway och mitt lokala nätverk?

Ja, du kan upprätta mer än en S2S-VPN-tunnel (site-to-site) mellan en Azure VPN-gateway och ditt lokala nätverk. Observera att alla dessa tunnlar räknas mot det totala antalet tunnlar för Dina Azure VPN-gateways, och du måste aktivera BGP på båda tunnelerna.

Om du till exempel har två redundanta tunnlar mellan din Azure VPN-gateway och ett av dina lokala nätverk använder de två tunnlar från den totala kvoten för din Azure VPN-gateway.

Kan jag ha flera tunnlar mellan två virtuella Azure-nätverk med BGP?

Ja, men minst en av de virtuella nätverksgatewayen måste vara i aktiv konfiguration.

Kan jag använda BGP för S2S VPN i en konfiguration med Azure ExpressRoute och S2S VPN-samexistens?

Ja.

Vad ska jag lägga till i min lokala VPN-enhet för BGP-peeringsessionen?

Lägg till en värdväg för Azure BGP-peer-IP-adressen på din VPN-enhet. Den här vägen pekar till VPN-tunneln IPsec S2S. Om Till exempel Azure VPN peer IP är 10.12.255.30 lägger du till en värdväg för 10.12.255.30 med ett nästa hopp-gränssnitt i det matchande IPsec-tunnelgränssnittet på VPN-enheten.

Stöder den virtuella nätverksgatewayen BFD för S2S-anslutningar med BGP?

Nej. BFD (Bidirectional Forwarding Detection) är ett protokoll som du kan använda med BGP för att hitta närliggande driftstopp snabbare än du kan genom att använda vanliga BGP-"keepalives". BFD använder undersekunder timers som är utformade för att fungera i LAN-miljöer, men inte över offentliga internet- eller wide area-nätverksanslutningar.

För anslutningar över det offentliga Internet är det inte ovanligt att vissa paket försenas eller till och med ignoreras, så att introduktion av dessa aggressiva timers kan skapa instabilitet. Den här instabiliteten kan leda till att vägar fuktas av BGP. Alternativt kan du konfigurera din lokala enhet med timers som är lägre än standardintervallet, 60-sekundersintervallet "keepalive" och den 180 sekunders hållna timern. Det leder till en snabbare tid för tids övertid.

Initierar Azure VPN gateways BGP-peeringsessioner eller anslutningar?

Gatewayen initierar BGP-peeringsessioner till de lokala BGP-peer IP-adresserna som anges i de lokala nätverksgatewayresurserna med privata IP-adresser på VPN-gatewayerna. Detta oavsett om de lokala BGP-IP-adresserna finns i APIPA-intervallet eller vanliga privata IP-adresser. Om dina lokala VPN-enheter använder APIPA-adresser som BGP IP måste du konfigurera BGP-högtalaren för att initiera anslutningarna.

Kan jag konfigurera tvingade tunnlar?

Ja. Se Konfigurera tvingade tunnlar.

NAT

Stöds NAT på alla SKU:er för Azure VPN Gateway?

NAT stöds på VpnGw2~5 och VpnGw2AZ~5AZ.

Kan jag använda NAT på VNet-to-VNet- eller P2S-anslutningar?

Nej, NAT stöds endast för IPsec-korslokala anslutningar.

Hur många NAT-regler kan jag använda på en VPN-gateway?

Du kan skapa upp till 100 NAT-regler (Regler för in- och Egress) på en VPN-gateway.

Tillämpas NAT på alla anslutningar på en VPN-gateway?

NAT tillämpas på anslutningar med NAT-regler. Om en anslutning inte har någon NAT-regel börjar INTE NAT gälla för den anslutningen. Du kan ha vissa anslutningar till NAT och andra anslutningar utan att NAT arbetar tillsammans med samma VPN-gateway.

Vilka typer av NAT stöds för Azure VPN Gateways?

Endast statisk 1:1 NAT. Dynamisk NAT eller NAT64 stöds INTE.

Fungerar NAT på aktiva VPN-gatewayer?

Ja. NAT fungerar med både aktiv OCH aktiv VPN-gateway.

Fungerar NAT med BGP-anslutningar?

Ja, du kan använda BGP med NAT. Här är några viktiga saker att tänka på:

  • Välj Aktivera BGP-routeöversättning på konfigurationssidan för NAT-regler för att säkerställa att de inlärda routes och annonserade rutterna översätts till post-NAT-adressprefix (External Mappings) baserat på de NAT-regler som är kopplade till anslutningarna. Du måste säkerställa att de lokala BGP-routrarna annonserar de exakta prefixen som definierats i IngressSNAT-reglerna.

  • Om den lokala VPN-routern använder APIPA (169.254.x.x) som BGP-högtalare/peer IP ska du använda APIPA-adressen direkt i fältet BGP-peer IP-adress för den lokala nätverksgatewayen. Om den lokala VPN-routern använder vanlig, icke-APIPA-adress och den kolliderar med VNet-adressutrymmet eller andra lokala nätverksplatser ska du se till att IngressSNAT-regeln översätter BGP-peer IP-adressen till en unik, icke-överlappande adress och placera efter-NAT-adressen i fältet BGP-peer IP-adress för den lokala nätverksgatewayen.

Måste jag skapa matchande TIDE-regler för SNAT-regeln?

Nej. En enda SNAT-regel definierar översättningen för båda riktningarna för ett visst nätverk:

  • En IngressSNAT-regel definierar översättningen av käll-IP-adresserna som kommer till Azure VPN-gatewayen från det lokala nätverket. Det hanterar också översättningen av mål-IP-adresserna som lämnar från VNet till samma lokala nätverk.

  • En egressSNAT-regel definierar översättningen av VNet-käll-IP-adresser som lämnar Azure VPN-gatewayen till lokala nätverk. Den hanterar även översättningen av mål-IP-adresserna för paket som kommer till VNet via de anslutningarna med regeln EgressSNAT.

  • I båda fallen behövs inga TIDE-regler.

Vad gör jag om det finns två eller fler prefix för mitt VNet eller lokal nätverksgateway?. Kan jag använda NAT för alla? Eller bara en delmängd?

Du måste skapa en NAT-regel för varje prefix som du behöver NAT eftersom varje NAT-regel bara kan innehålla ett adressprefix för NAT. Om det lokala nätverksgatewayens adressutrymme till exempel består av 10.0.1.0/24 och 10.0.2.0/25 kan du skapa två regler enligt nedan:

  • IngressSNAT regel 1: Karta 10.0.1.0/24 till 100.0.1.0/24
  • IngressSNAT regel 2: Karta 10.0.2.0/25 till 100.0.2.0/25

De två reglerna måste matcha prefixlängderna för motsvarande adressprefix. Detsamma gäller för egressSNAT-regler för VNet-adressutrymme.

Viktigt

Om du bara länkar en regel till anslutningen ovan översätts inte det andra adressutrymmet.

Kan jag använda olika egressSNAT-regler för att översätta mitt VNet-adressutrymme till olika prefix till olika lokala nätverk?

Ja, du kan skapa flera EgressSNAT-regler för samma VNet-adressutrymme och tillämpa egressSNAT-reglerna på olika anslutningar. För anslutningar utan en egressSNAT-regel:

Kan jag använda samma IngressSNAT-regel för olika anslutningar?

Ja, det här används vanligtvis när anslutningarna är för samma lokala nätverk för att tillhandahålla redundans. Du kan inte använda samma regler för inkommande anslutningar om anslutningarna är för olika lokala nätverk.

Behöver jag både Ingress- Egress regler i en NAT-anslutning?

Du behöver både regler för Egress och nätverk på samma anslutning när det lokala nätverksadressutrymmet överlappar med det virtuella nätverkets adressutrymme. Om VNet-adressutrymmet är unikt för alla anslutna nätverk behöver du inte regeln UtgåendeSNAT för de anslutningarna. Du kan använda reglerna för inress för att undvika adressöverlappning mellan de lokala nätverken.

Anslutning mellan lokala nätverk och virtuella maskiner

Om min virtuella dator finns i ett virtuellt nätverk och jag har en tvärlokal anslutning, hur ska jag ansluta till den virtuella datorn?

Du har några alternativ. Om RDP är aktiverat för den virtuella maskinerna kan du ansluta till den virtuella datorn med den privata IP-adressen. I så fall anger du den privata IP-adressen och den port som du vill ansluta till (vanligtvis 3389). Du måste konfigurera porten på den virtuella datorn för trafiken.

Du kan också ansluta till den virtuella datorn via en privat IP-adress från en annan virtuell dator som finns i samma virtuella nätverk. Du kan inte RDP till din virtuella dator med hjälp av den privata IP-adressen om du ansluter från en plats utanför det virtuella nätverket. Om du till exempel har ett virtuellt Punkt-till-webbplats-nätverk konfigurerat och du inte upprättar en anslutning från datorn kan du inte ansluta till den virtuella datorn via en privat IP-adress.

Om min virtuella dator finns i ett virtuellt nätverk med en tvärlokal anslutning, går då all trafik från den virtuella datorn genom anslutningen?

Nej. Endast trafiken som har en mål-IP som finns i IP-adressintervallen för det virtuella nätverket som du angett går via den virtuella nätverksgatewayen. Trafiken har en mål-IP som finns inom det virtuella nätverket stannar inom det virtuella nätverket. Annan trafik skickas genom belastningsutjämningen till offentliga nätverk, eller, om tvingad tunnel används, skickas via Azure VPN-gatewayen.

Hur felsöker jag en RDP-anslutning till en VM

Om du har problem med att ansluta till en virtuell dator via din VPN-anslutning kontrollerar du följande:

  • Kontrollera att VPN-anslutningen har lyckats.
  • Kontrollera att du ansluter till den privata IP-adressen för den virtuella maskinerna.
  • Om du kan ansluta till den virtuella datorn med den privata IP-adressen, men inte datornamnet, kontrollerar du att du har konfigurerat DNS korrekt. Mer information om hur namnmatchning fungerar för virtuella maskiner finns i Namnmatchning för virtuella maskiner.

När du ansluter via Punkt till webbplats kontrollerar du följande ytterligare objekt:

  • Använd "ipconfig" för att kontrollera den IPv4-adress som tilldelats Ethernet-adaptern på datorn som du ansluter från. Om IP-adressen finns inom adressintervallet för det vNet du ansluter till, eller inom adressintervallet för VPNClientAddressPool, kallas detta för ett överlappande adressutrymme. När ditt adressutrymme överlappar på det här sättet kommer nätverkstrafiken inte fram till Azure, den stannar i det lokala nätverket.
  • Kontrollera att VPN-klientkonfigurationspaketet har genererats efter att DNS-serverns IP-adresser har angetts för VNet. Om du har uppdaterat IP-adresserna för DNS-servern genererar och installerar du ett nytt konfigurationspaket för VPN-klienten.

Mer information om hur du felsöker en RDP-anslutning finns i Felsöka Fjärrskrivbord-anslutningar till en VM.

Vanliga frågor och svar om virtuellt nätverk

Du kan visa ytterligare information om virtuellt nätverk i vanliga frågor och svar om virtuellt nätverk.

Nästa steg

"OpenVPN" är ett varumärke som tillhör OpenVPN Inc.