VPN Gateway SSS

Sanal ağlara bağlanma

Farklı Azure bölgelerinde sanal ağlara bağlanabilir miyim?

Evet. Aslında, hiçbir bölge kısıtlaması yoktur. Bir sanal ağ aynı bölgedeki veya farklı bir Azure bölgesindeki başka bir sanal ağa bağlanabilir.

Farklı aboneliklerle sanal ağlara bağlanabilir miyim?

Evet.

VPN Gateway yapılandırırken VNet 'imde özel DNS sunucuları belirtebilir miyim?

VNet dosyanızı oluştururken bir DNS sunucusu veya sunucuları belirttiyseniz, VPN Gateway belirttiğiniz DNS sunucularını kullanır. Bir DNS sunucusu belirtirseniz, DNS sunucunuzun Azure için gereken etki alanı adlarını çözümleyebildiğini doğrulayın.

Tek bir sanal ağdan birden çok siteye bağlanabilir miyim?

Windows PowerShell ve Azure REST API'lerini kullanarak birden çok siteye bağlanabilirsiniz. Çok siteli ve VNet - VNet Bağlantı SSS bölümüne bakın.

VPN ağ geçidini etkin-etkin olarak ayarlamak için ek bir maliyet var mı?

Hayır.

Şirket içi ve dışı bağlantı seçeneklerim nelerdir?

Aşağıdaki şirket içi ve dışı bağlantılar desteklenmektedir:

  • Siteden Siteye – IPsec üzerinden (IKE v1 ve IKE v2) VPN bağlantısı. Bu bağlantı türüne şirket içi bir VPN cihazı ya da RRAS gerekir. Daha fazla bilgi için bkz. Siteden Siteye.
  • Noktadan Siteye – SSTP (Güvenli Yuva Tünel Protokolü) veya IKE v2 üzerinden VPN bağlantısı. Bu bağlantıya VPN cihazı gerekmez. Daha fazla bilgi için bkz. Noktadan Siteye.
  • Sanal Ağdan Sanal Ağa – Bu bağlantı türü, Siteden Siteye yapılandırmasıyla aynıdır. VNet - VNet, IPsec üzerinden (IKE v1 ve IKE v2) bir VPN bağlantısıdır. VPN cihazı gerekmez. Daha fazla bilgi için bkz. Sanal Ağdan Sanal Ağa.
  • Çok Siteli – Birden çok şirket içi sitenin bir sanal ağa bağlanmasına olanak sağlayan Siteden Siteye yapılandırmanın bir çeşididir. Daha fazla bilgi için bkz. Çok Siteli.
  • ExpressRoute – ExpressRoute, genel Internet üzerinden VPN bağlantısıyla değil, WAN 'ınızdan Azure 'a özel bir bağlantıdır. Daha fazla bilgi için bkz. ExpressRoute’a Teknik Genel Bakış ve ExpressRoute SSS.

VPN ağ geçidi bağlantıları hakkında daha fazla bilgi için bkz. VPN Gateway Hakkında.

Siteden Siteye bağlantı ve Noktadan Siteye bağlantı arasındaki fark nelerdir?

Siteden Siteye (IPsec/IKE VPN tüneli) yapılandırmalar, şirket içi konumunuz ile Azure arasında yapılır. Diğer bir deyişle, şirket içinde yer alan bilgisayarlarla sanal makineler arasında ya da yönlendirme ve izin yapılandırmayı nasıl seçtiğinize bağlı olarak sanal ağınızdaki rol örneği ile bağlantı kurabilirsiniz. Her zaman kullanılabilir şirket içi bağlantı için harika bir seçenektir ve karma yapılandırmalara uygun hale gelir. Bu tür bir bağlantı; ağınıza ucuna dağıtılmış olması gereken IPsec VPN uygulamasına bağlıdır (donanım cihazı veya yazılım aracı). Bu tür bir bağlantı oluşturmak için, dışarıdan yönelik bir IPv4 adresine sahip olmanız gerekir.

Noktadan Siteye (SSTP üzerinden VPN) yapılandırmalar, sanal ağınızda bulunan her yerden her şeye tek bir bilgisayardan bağlanmanızı sağlar. Windows yerleşik VPN istemcisi kullanır. Noktadan Siteye yapılandırmasının bir parçası olarak, bir sertifika ve bir VPN istemci yapılandırma paketi yüklerseniz; bu pakette, bilgisayarınızın sanal ağda herhangi bir sanal makineye veya rol örneğine bağlanmasını sağlayan ayarlar bulunur. Şirket içi olmayan sanal ağa bağlanmak istediğinizde çok yararlıdır. Her ikisi de Siteden Siteye bağlantısına gereken VPN donanımına veya dışarıya dönük IPv4 adresine erişiminiz yoksa bu da iyi bir seçenektir.

Siteden Siteye bağlantınızı ağ geçidinizi için rota tabanlı VPN türü kullanarak oluşturmanız kaydıyla, sanal ağınızı aynı anda hem Siteden Siteye, hem de Noktadan Siteye bağlanacak şekilde yapılandırabilirsiniz. Rota tabanlı VPN türlerine klasik dağıtım modelinde dinamik ağ geçitleri adı verilir.

Gizlilik

VPN hizmeti müşteri verilerini depolar veya işler mi?

Hayır.

Sanal ağ geçitleri

VPN ağ geçidi bir sanal ağ geçidi midir?

VPN ağ geçidi bir sanal ağ geçidi türüdür. VPN ağ geçidi, şifrelenmiş trafiği bir genel bağlantı üzerinden sanal ağınız ile şirket içi konumunuz arasında gönderir. Sanal ağlar arasında trafik göndermek için de VPN ağ geçidi kullanabilirsiniz. Bir VPN ağ geçidi oluştururken 'Vpn' -GatewayType değerini kullanın. Daha fazla bilgi için bkz. VPN Gateway yapılandırma ayarları hakkında.

İlke tabanlı (statik yönlendirme) ağ geçidi nedir?

İlke tabanlı ağ geçitleri, ilke tabanlı VPN'leri uygular. İlke temelli VPN'ler, şirket içi ağınızla Azure VNet'iniz arasında adres öneklerinin birleşimleri temelindeki IPsec tüneller üzerinden paketleri şifreler ve yönlendirirler. İlke (veya Trafik Seçici) çoğunlukla VPN yapılandırmasında bir erişim listesi olarak tanımlanır.

Rota tabanlı (dinamik yönlendirme) ağ geçidi nedir?

Rota tabanlı ağ geçitleri yol tabanlı VPN'leri uygular. Rota temelli VPN'ler, paketleri kendi ilgili arabirimlerine yönlendirmek için IP iletme veya yönlendirme tablosunda "yolları" seçeneğini kullanır. Bundan sonra tünel arabirimleri, paketleri tünellerin içinde veya dışında şifreler veya şifrelerini çözer. Rota tabanlı VPN 'Ler için ilke veya trafik seçicileri, herhangi bir (veya joker karakter) olarak yapılandırılır.

Kendi ilke tabanlı trafik seçicileri belirtebilir miyim?

Evet, trafik seçicileri New-AzIpsecTrafficSelectorPolicy PowerShell komutu aracılığıyla bir bağlantıda trafficSelectorPolicies özniteliği aracılığıyla tanımlanabilir. Belirtilen trafik seçicisinin etkili olabilmesi için Ilke tabanlı trafik seçicileri kullan seçeneğinin etkinleştirildiğinden emin olun.

İlke tabanlı VPN ağ Geçidimi rota temelinde güncelleştirebilir miyim?

Hayır. Ağ Geçidi türü, ilke tabanlı ya da yol tabanlı olarak, ilke tabanlı olarak değiştirilemez. Bir ağ geçidi türünü değiştirmek için, ağ geçidinin silinip yeniden oluşturulması gerekir. Bu işlem yaklaşık 60 dakika sürer. Yeni ağ geçidini oluşturduğunuzda, özgün ağ geçidinin IP adresini tutamaz.

  1. Ağ geçidiyle ilişkili tüm bağlantıları silin.

  2. Aşağıdaki makalelerden birini kullanarak ağ geçidini silin:

  3. İstediğiniz ağ geçidi türünü kullanarak yeni bir ağ geçidi oluşturun ve ardından VPN kurulumunu doldurun. Adımlar için, siteden siteye öğreticiyebakın.

'GatewaySubnet' gerekli mi?

Evet. Ağ geçidi alt ağı, sanal ağ geçidi hizmetlerinin kullandığı IP adreslerini içerir. Bir sanal ağ geçidi yapılandırmak için sanal ağınıza yönelik bir ağ geçidi alt ağı oluşturmanız gerekir. Tüm ağ geçidi alt ağlarının düzgün çalışması için GatewaySubnet şeklinde adlandırılması gerekir. Ağ geçidi alt ağını başka şekilde adlandırmayın. VM’leri veya herhangi başka bir şeyi de ağ geçidi alt ağına dağıtmayın.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Ağ geçidi alt ağındaki IP adresleri, ağ geçidi hizmetine ayrılır. Bazı yapılandırmalar, ağ geçidi hizmetlerine daha fazla IP adresi ayrılmasını gerektirir. Gelecekteki büyümeye ve meydana gelebilecek diğer yeni bağlantı yapılandırmalarına uyum sağlaması için ağ geçidi alt ağınızın yeterince IP adresi içerdiğinden emin olmanız gerekir. Bu nedenle, /29 kadar küçük bir ağ geçidi alt ağı oluşturmanız mümkün olsa da /27 veya daha büyük bir (/27, /26, /25 vb.) ağ geçidi alt ağı oluşturmanız önerilir. Oluşturmak istediğiniz yapılandırmanın gereksinimlerine bakın ve sahip olduğunuz ağ geçidi alt ağının bu gereksinimleri karşıladığından emin olun.

Sanal Makineleri veya rol örneklerini ağ geçidi alt ağıma dağıtabilir miyim?

Hayır.

Oluşturmadan önce VPN ağ geçidi IP adresimi alabilir miyim?

Hem alan olarak yedekli hem de alanlı ağ geçitleri (adı AZ olan ağ geçidi SKU'ları) Standart SKU Azure genel IP kaynağını temel alır. Azure Standart SKU genel IP kaynaklarının statik ayırma yöntemi kullanması gerekir. Bu nedenle, vpn ağ geçidiniz için kullanmak üzere standart SKU genel IP kaynağını oluşturdukları anda genel IP adresine sahip oluruz.

Bölgeye yedekli olmayan ve alan dışı ağ geçitleri (adı AZ olmayan ağ geçidi SKU'ları) için, oluşturulmadan önce VPN ağ geçidi IP adresini aamazsiniz. IP adresi yalnızca VPN ağ geçidinizi silebilir ve yeniden oluşturmanız gerekir.

VPN ağ geçidim için bir Statik Genel IP adresi isteğinde bulunabilir miyim?

Yukarıda belirtildiği gibi, hem alan olarak yedekli hem de alanlı ağ geçitleri (adı AZ olan ağ geçidi SKU'ları) standart SKU Azure genel IP kaynağını temel alır. Azure Standart SKU genel IP kaynaklarının statik ayırma yöntemi kullanması gerekir.

Alan yedekli olmayan ve alan dışı ağ geçitleri (adı AZ olmayan ağ geçidi SKU'ları) için yalnızca dinamik IP adresi ataması de desteklenmiş olur. Ancak bu, IP adresinin VPN ağ geçidinize atandıktan sonra değiştikleri anlamına gelir. VPN ağ geçidi IP adresi yalnızca ağ geçidi silindikten sonra yeniden oluşturulduğunda değişir. VPN ağ geçidinizin iç bakım ve yükseltmelerini yeniden boyutlandırabilir, sıfırlar veya tamamlarsanız VPN ağ geçidi genel IP adresi değişmez.

VPN tünelimin kimliği nasıl doğrulanır?

Azure VPN PSK (Önceden Paylaşılan Anahtar) kimlik doğrulamasını kullanır. VPN tüneli oluşturduğumuzda önceden paylaşılan anahtar (PSK) oluştururuz. Önceden Paylaşılan Anahtar Ayarla PowerShell cmdlet'i veya komut kümesi ile otomatik olarak REST API.

Önceden Paylaşılan Anahtar API’sini Ayarla’yı ilke tabanlı (statik yönlendirme) ağ geçidi VPN’mi yapılandırmak için kullanabilir miyim?

Evet, Önceden Paylaşılan Anahtar API’sini ve PowerShell cmdlet’ini Ayarla, hem Azure ilke tabanlı (statik) VPN'ler, hem de rota tabanlı (dinamik) yönlendirme VPN'leri yapılandırmak için kullanılabilir.

Diğer kimlik doğrulama seçeneklerini kullanabilir miyim?

Önceden paylaşılan anahtarı (PSK) kimlik doğrulaması için sınırladık.

VPN ağ geçidime hangi trafiğin gideceğini nasıl belirtirim?

Resource Manager dağıtım modeli

  • PowerShell: yerel ağ geçidinize ait trafiği belirtmek için "AddressPrefix" kullanın.
  • Azure portalı: Yerel ağ geçidi > Yapılandırma > Adres alanı'na gidin.

Klasik dağıtım modeli

  • Azure portalı: Klasik sanal ağ > VPN bağlantıları > Siteden siteye VPN bağlantıları > Yerel site adı > Yerel site > İstemci adres alanı yolunu izleyin.

VPN bağlantılarımda NAT-T kullanabilir miyim?

Evet, NAT geçişi (NAT-T) de destekleni. Azure VPN Gateway, IPsec tünellerine gelen/giden iç paketlerde NAT gibi işlevler gerçekleştirmeZ. Bu yapılandırmada, lütfen şirket içi cihazın IPSec tüneli başlattığına emin olun.

Azure'da kendi VPN sunucumu kurup bu sunucuyu şirket içi ağıma bağlanmak üzere kullanabilir miyim?

Evet, Azure’de kendi VPN ağ geçitlerinizi veya sunucularınızı ister Azure Market’ten, ister kendi VPN yönlendiricilerinizi oluşturarak dağıtabilirsiniz. Şirket içi ağlarınız ve sanal ağ alt ağları arasında trafiğin düzgün yönlendirilmesini sağlamak amacıyla sanal ağınızda kullanıcı tanımlı yolları yapılandırmanız gerekir.

Sanal ağ geçidimde neden belirli bağlantı noktaları açık?

Azure altyapı iletişimi için gereklidirler. Bunlar Azure sertifikaları tarafından korunur (kilitlenir). Uygun sertifikaları olmadan, bu ağ geçitlerinin müşterileri de dahil dış varlıklar, bu uç noktalarında etkiye neden olamazlar.

Sanal ağ geçidi temelde müşteri özel ağına dokunan bir NIC'ye ve genel ağa bakan bir NIC'ye sahip çok girişli bir cihazdır. Azure altyapı varlıkları uyum nedenleriyle müşterinin özel ağlarına dokunamazlar; bu nedenle altyapı iletişimi için ortak uç noktaları kullanmaları gerekir. Ortak uç noktalar düzenli aralıklarla Azure güvenlik denetimi tarafından taranır.

Ağ geçidi türleri, gereksinimleri ve verimliliği hakkında daha fazla bilgi

Daha fazla bilgi için bkz. VPN Gateway yapılandırma ayarları hakkında.

Siteden Siteye bağlantılar ve VPN cihazları

VPN cihazını seçerken nelere dikkat etmeliyim?

Cihaz satıcılarıyla işbirliğiyle bir dizi standart Siteden Siteye VPN cihazını doğruladık. Bilinen uyumlu VPN cihazlarının listesi, ilgili yapılandırma yönergeleri veya örnekleri ve cihaz özellikleri listesi VPN cihazları hakkında makalesinde bulunabilir. Bilinen uyumlu olarak listelenen cihaz ailelerindeki tüm cihazlar Virtual Network ile çalışmalıdır. VPN cihazınızı yapılandırmaya yardım için uygun cihaz ailesine karşılık gelen cihaz yapılandırma örneğine veya bağlantılara bakın.

VPN cihazı yapılandırma ayarlarını nerede bulabilirim?

VPN cihazı yapılandırma betiklerini indirmek için

Sahip olduğunuz VPN cihazına bağlı olarak, bir VPN cihazı yapılandırma betiğini indirebilirsiniz. Daha fazla bilgi için bkz. VPN cihazı yapılandırma betiklerini indirme.

Ek yapılandırma bilgileri için aşağıdaki bağlantılara bakın:

VPN cihazı yapılandırma örneklerini nasıl düzenleyebilirim?

Cihaz yapılandırma örneklerini düzenleme hakkında daha fazla bilgi için bkz. Örnekleri düzenleme.

IPsec ve IKE parametrelerini nerede bulabilirim?

IPsec/IKE parametreleri için bkz. Parametreler.

Trafik boştayken neden ilke tabanlı VPN tünelim kayboluyor?

İlke tabanlı (statik rota olarak da bilinir) VPN Ağ geçitleri için bu beklenen bir davranıştır. tünel üzerindeki trafik 5 dakikadan fazla boşta kalırsa tünel bozulur. Herhangi bir yönde trafik akışı başladığında tünel hemen yeniden başlatılır.

Azure'e bağlanmak için VPN'ler yazılımını kullanabilir miyim?

Siteden Siteyi şirket içi ve dışı yapılandırması için Windows Server 2012 Yönlendirme ve Uzaktan Erişim (RRAS) sunucularını destekliyoruz.

Endüstri standardı IPsec uygulamalarıyla uyumlu olana kadar diğer yazılım VPN çözümleri bizim ağ geçidimizle çalışmalıdır. Yapılandırma ve destek hakkında yönergeler için yazılım satıcısına başvurun.

Etkin bir Siteden Siteye bağlantısı olan bir Sitede yer alıyorken Noktadan Siteye üzerinden Azure Gateway'e bağlanamıyor musunuz?

Evet, ancak Noktadan Siteye istemcisinin Genel IP adreslerinin Siteden Siteye VPN cihazı tarafından kullanılan Genel IP adreslerinden farklı olması gerekir, yoksa Noktadan Siteye bağlantı çalışmaz. IKEv2 ile Noktadan Siteye bağlantılar, Siteden Siteye VPN bağlantısının Aynı Azure bağlantı noktasında yapılandırıldığı genel IP adreslerinden VPN Gateway.

Noktadan Siteye - Sertifika kimlik doğrulaması

Bu bölüm Resource Manager dağıtım modeli için geçerlidir.

Noktadan Siteye yapılandırmamda kaç VPN istemci uç noktam olabilir?

Ağ Geçidi SKU 'suna bağımlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için bkz. ağ geçidi SKU 'ları.

Noktadan siteye hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:

  • Windows Server 2008 R2 (yalnızca 64 bit)
  • Windows 8.1 (32 bit ve 64 bit)
  • Windows Server 2012 (yalnızca 64 bit)
  • Windows Server 2012 R2 (yalnızca 64 bit)
  • Windows Server 2016 (yalnızca 64 bit)
  • Windows Sunucu 2019 (yalnızca 64 bit)
  • Windows 10
  • Windows 11
  • macOS sürüm 10,11 veya üzeri
  • Linux (StrongSwan)
  • iOS

Not

1 Temmuz 2018 tarihinden itibaren TLS 1.0 ve 1.1 desteği Azure VPN Gateway'den kaldırılıyor. VPN Gateway, yalnızca TLS 1.2’yi destekleyecektir. Destek sağlamak için, TLS 1.2 desteğini etkinleştirmek üzere güncelleştirmelerbölümüne bakın.

Ayrıca, aşağıdaki eski algoritmalar 1 Temmuz 2018 tarihinde TLS için de kullanım dışı olacaktır:

  • RC4 (Rivest Şifrelemesi 4)
  • DES (Veri Şifreleme Algoritması)
  • 3DES (Üçlü Veri Şifreleme Algoritması)
  • MD5 (İleti Özeti 5)

Windows 8.1 Nasıl yaparım? TLS 1,2 desteğini etkinleştirmek istiyor musunuz?

  1. Komut istemi ' ne sağ tıklayıp yönetici olarak çalıştır' ı seçerek yükseltilmiş ayrıcalıklarla bir komut istemi açın.

  2. Komut isteminde aşağıdaki komutları çalıştırın:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

  3. Aşağıdaki güncelleştirmeleri yükleyin:

  4. Bilgisayarı yeniden başlatın.

  5. VPN 'ye bağlanın.

Not

Windows 10 ' un eski bir sürümünü çalıştırıyorsanız Yukarıdaki kayıt defteri anahtarını ayarlamanız gerekir (10240).

Noktadan Siteye özelliğini kullanarak ara sunucuları ve güvenlik duvarlarını geçirebilir miyim?

Azure üç tür Noktadan siteye VPN seçeneğini destekler:

  • Güvenli Yuva Tünel Protokolü (SSTP). SSTP, çoğu güvenlik duvarı tarafından 443 SSL 'nin kullandığı giden TCP bağlantı noktasını açdığından güvenlik duvarlarını sızlayabileceğiniz Microsoft özel bir SSL tabanlı çözümüdür.

  • OpenVPN. OpenVPN, çoğu güvenlik duvarları 443 SSL tarafından kullanılan giden TCP bağlantı noktasını açdığından güvenlik duvarlarını sızlayabileceğiniz SSL tabanlı bir çözümdür.

  • IKEv2 VPN. IKEv2 VPN, 500 ve 4500 ve IP protokol No giden UDP bağlantı noktalarını kullanan standart tabanlı bir IPSec VPN çözümüdür. kullanır. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz ve bu nedenle IKEv2 VPN’nin proxy ile güvenlik duvarlarını geçememe olasılığı vardır.

Noktadan Siteye için yapılandırılmış istemci bilgisayarını yeniden başlatırsam VPN de otomatik olarak yeniden bağlanacak mı?

Varsayılan olarak, istemci bilgisayar VPN bağlantısını otomatik olarak yeniden başlatmaz.

Noktadan Siteye, VPN istemcilerde otomatik yeniden bağlanmayı ve DDNS’yi destekler mi?

Otomatik olarak yeniden ve DDNS şu anda Noktadan Siteye VPN'lerde desteklenmiyor.

Siteden Siteye ve Noktadan Siteye yapılandırmalarına aynı sanal ağda birlikte sahip olabilir miyim?

Evet. Resouce Manager dağıtım modeli için, ağ geçidiniz için RouteBased VPN türü olmalıdır. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir. Statik yönlendirme VPN ağ geçitleri veya PolicyBased VPN ağ geçitleri için Noktadan Siteye çözümünü desteklemiyoruz.

Aynı anda birden çok sanal ağ geçidine bağlanmak için Noktadan siteye istemci yapılandırabilir miyim?

Kullanılan VPN Istemci yazılımına bağlı olarak, bağlanılan sanal ağların istemciyle bağlantısı olan ağ ile arasında çakışan adres alanları olmadığından, birden çok sanal ağ geçidine bağlanabilirsiniz. Azure VPN Istemcisi birçok VPN bağlantısını desteklese de, belirli bir zamanda yalnızca bir bağlantı bağlanabilir.

Aynı anda birden çok sanal ağa bağlanmak için Noktadan Siteye istemcisi yapılandırabilir miyim?

Evet, diğer VNet 'ler ile eşlenmiş bir sanal ağa dağıtılan bir sanal ağ geçidine yönelik olarak, eşlenen diğer VNET 'lere erişimi olabilir. Bir noktadan siteye istemciler, eşlenen sanal ağlar UseRemoteGateway/AllowGatewayTransit özelliklerini kullanıyorsa, eşlenmiş sanal ağlara bağlanabilirler. Daha fazla bilgi için bkz. Noktadan siteye yönlendirme hakkında.

Siteden Siteye ve Noktadan Siteye bağlantılardan ne kadar verimlilik bekleyebilirim?

VPN tünellerinin tam verimini elde etmek zordur. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir. Verimlilik, şirket içi ve İnternet arasındaki bant genişliğiyle ve gecikme süresiyle de sınırlıdır. Yalnızca IKEv2 Noktadan Siteye VPN bağlantıları olan bir VPN Gateway için, bekleyebileceğiniz toplam aktarım hızı Ağ Geçidi SKU’suna bağlıdır. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ geçidi SKU’ları.

SSTP ve/veya IKEv2 desteği sağlayan Noktadan Siteye bağlantı için herhangi bir yazılım VPN istemcisi kullanabilir miyim?

Hayır. SSTP için yalnızca Windows’daki yerel VPN istemcisini ve IKEv2 için yalnızca Mac’teki yerel VPN istemcisini kullanabilirsiniz. Ancak, OpenVPN istemcisini, OpenVPN protokolüne bağlanmak için tüm platformlarda kullanabilirsiniz. Desteklenen istemci işletim sistemlerilistesine başvurun.

Noktadan siteye bağlantı için kimlik doğrulaması türünü değiştirebilir miyim?

Evet. Portalda VPN Gateway-> Noktadan siteye yapılandırma sayfasına gidin. Kimlik doğrulama türü için, kullanmak istediğiniz kimlik doğrulama türlerini seçin. Kimlik doğrulama türünde bir değişiklik yaptıktan sonra, geçerli istemcilerin yeni bir VPN istemci yapılandırma profili üretilmeden, indirilene ve her VPN istemcisine uygulanana kadar bağlanamaabileceğini unutmayın.

Azure Windows ile IKEv2 VPN destekler mi?

IKEv2, Windows 10 ve Server 2016’da desteklenir. Ancak, belirli işletim sistemi sürümlerindeki Ikev2 'yi kullanmak için güncelleştirmeleri yüklemeli ve bir kayıt defteri anahtarı değerini yerel olarak ayarlamanız gerekir. Windows 10 'den önceki işletim sistemi sürümlerinin desteklenmediğini ve yalnızca SSTP veya openvpn® protokolünü kullanabileceğini unutmayın.

not: Windows işletim sistemi derlemeleri Windows 10 sürüm 1709 ' den daha yeni ve Windows Server 2016 sürüm 1607 ' nin bu adımları gerektirmez.

IKEv2 için Windows 10 ve Server 2016’yı hazırlamak için:

  1. Güncelleştirmeyi işletim sistemi sürümünüze bağlı olarak yükler:

    İşletim sistemi sürümü Tarih Sayı/Bağlantı
    Windows Server 2016
    Windows 10 Sürüm 1607    		 17 Ocak 2018 KB4057142
    Windows 10 Sürüm 1703 17 Ocak 2018 KB4057144
    Windows 10 Sürüm 1709 22 Mart 2018 KB4089848

  2. Kayıt defteri anahtar değerini ayarlayın. Kayıt defterinde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD anahtarını oluşturun veya 1 olarak ayarlayın.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırırsam ne olur?

Karma bir ortamda (Windows ve Mac cihazlarından oluşan) hem SSTP hem de IKEv2 yapılandırdığınızda, Windows VPN istemcisi her zaman ilk önce IKEv2 tünelini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP’ye geri döner. MacOSX yalnızca IKEv2 üzerinden bağlanır.

Azure, P2S VPN için Windows ve Mac dışında hangi platformları destekliyor?

Azure, P2S VPN için Windows, Mac ve Linux 'yi destekler.

Zaten dağıtılmış bir Azure VPN Gateway’im var. Bu ağ geçidi üzerinde RADIUS ve/veya IKEv2 VPN etkinleştirebilir miyim?

Evet, kullandığınız ağ geçidi SKU 'SU RADIUS ve/veya Ikev2 destekliyorsa, PowerShell veya Azure portal kullanarak zaten dağıttığınız ağ geçitlerinde bu özellikleri etkinleştirebilirsiniz. Temel SKU 'nun RADIUS veya Ikev2 desteklemediğini unutmayın.

P2S bağlantısının yapılandırmasını kaldırmak Nasıl yaparım??

Aşağıdaki komutları kullanarak Azure CLı ve PowerShell kullanılarak P2S yapılandırması kaldırılabilir:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Sertifika kimlik doğrulamasını kullanarak bağlanırken bir sertifika uyumsuzluğu alıyorsanız ne yapmam gerekir?

"Sertifikayı doğrulayarak sunucu kimliğini doğrula" işaretini kaldırın veya el ile profil oluştururken SERTIFIKAYLA birlikte sunucu FQDN 'sini ekleyin . Bunu komut isteminden RASPHONE çalıştırarak ve açılan listeden profili seçerek yapabilirsiniz.

Sunucu kimlik doğrulamasını atlama, genel olarak önerilmez, ancak Azure sertifika kimlik doğrulaması ile, VPN Tünel Protokolü (Ikev2/SSTP) ve EAP protokolünde sunucu doğrulaması için aynı sertifika kullanılır. Sunucu sertifikası ve FQDN, VPN tünel oluşturma protokolü tarafından zaten doğrulandığından, EAP 'de yeniden doğrulanması gereksizdir.

Noktadan siteye kimlik doğrulaması

Noktadan siteye bağlantı için sertifika oluşturmak üzere kendi iç PKI kök sertifika yetkilimi kullanabilir miyim?

Evet. Önceden, yalnızca otomatik olarak imzalanan kök sertifikalar kullanılabiliyordu. 20 kök sertifika yükleyebilirsiniz.

Azure Key Vault sertifikaları kullanabilir miyim?

Hayır.

Sertifikaları oluşturmak için hangi araçları kullanabilirim?

Kurumsal PKI çözümünüzü (dahili PKI'nizi), Azure PowerShell'i, MakeCert'i ve OpenSSL'yi kullanabilirsiniz.

Sertifika ayarları ve parametreler için yönergeler var mı?

  • Dahili PKI/Kurumsal PKI çözümü:Sertifikaları oluşturma adımlarına bakın.

  • Azure PowerShell: Adımlar için Azure PowerShell makalesine bakın.

  • MakeCert: Adımlar için MakeCert makalesine bakın.

  • OpenSSL

    • Sertifikaları dışarı aktarırken kök sertifikayı Base64'e dönüştürdüğünüzden emin olun.

    • İstemci sertifikası için:

      • Özel anahtarı oluştururken uzunluğu 4096 olarak belirtin.
      • Sertifikayı oluştururken, -extensions parametresini usr_cert olarak belirtin.

Noktadan Siteye - RADIUS Kimlik Doğrulaması

Bu bölüm Resource Manager dağıtım modeli için geçerlidir.

Noktadan Siteye yapılandırmamda kaç VPN istemci uç noktam olabilir?

Ağ Geçidi SKU 'suna bağımlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için bkz. ağ geçidi SKU 'ları.

Noktadan siteye hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:

  • Windows Server 2008 R2 (yalnızca 64 bit)
  • Windows 8.1 (32 bit ve 64 bit)
  • Windows Server 2012 (yalnızca 64 bit)
  • Windows Server 2012 R2 (yalnızca 64 bit)
  • Windows Server 2016 (yalnızca 64 bit)
  • Windows Sunucu 2019 (yalnızca 64 bit)
  • Windows 10
  • Windows 11
  • macOS sürüm 10,11 veya üzeri
  • Linux (StrongSwan)
  • iOS

Not

1 Temmuz 2018 tarihinden itibaren TLS 1.0 ve 1.1 desteği Azure VPN Gateway'den kaldırılıyor. VPN Gateway, yalnızca TLS 1.2’yi destekleyecektir. Destek sağlamak için, TLS 1.2 desteğini etkinleştirmek üzere güncelleştirmelerbölümüne bakın.

Ayrıca, aşağıdaki eski algoritmalar 1 Temmuz 2018 tarihinde TLS için de kullanım dışı olacaktır:

  • RC4 (Rivest Şifrelemesi 4)
  • DES (Veri Şifreleme Algoritması)
  • 3DES (Üçlü Veri Şifreleme Algoritması)
  • MD5 (İleti Özeti 5)

Windows 8.1 Nasıl yaparım? TLS 1,2 desteğini etkinleştirmek istiyor musunuz?

  1. Komut istemi ' ne sağ tıklayıp yönetici olarak çalıştır' ı seçerek yükseltilmiş ayrıcalıklarla bir komut istemi açın.

  2. Komut isteminde aşağıdaki komutları çalıştırın:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

  3. Aşağıdaki güncelleştirmeleri yükleyin:

  4. Bilgisayarı yeniden başlatın.

  5. VPN 'ye bağlanın.

Not

Windows 10 ' un eski bir sürümünü çalıştırıyorsanız Yukarıdaki kayıt defteri anahtarını ayarlamanız gerekir (10240).

Noktadan Siteye özelliğini kullanarak ara sunucuları ve güvenlik duvarlarını geçirebilir miyim?

Azure üç tür Noktadan siteye VPN seçeneğini destekler:

  • Güvenli Yuva Tünel Protokolü (SSTP). SSTP, çoğu güvenlik duvarı tarafından 443 SSL 'nin kullandığı giden TCP bağlantı noktasını açdığından güvenlik duvarlarını sızlayabileceğiniz Microsoft özel bir SSL tabanlı çözümüdür.

  • OpenVPN. OpenVPN, çoğu güvenlik duvarları 443 SSL tarafından kullanılan giden TCP bağlantı noktasını açdığından güvenlik duvarlarını sızlayabileceğiniz SSL tabanlı bir çözümdür.

  • IKEv2 VPN. IKEv2 VPN, 500 ve 4500 ve IP protokol No giden UDP bağlantı noktalarını kullanan standart tabanlı bir IPSec VPN çözümüdür. kullanır. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz ve bu nedenle IKEv2 VPN’nin proxy ile güvenlik duvarlarını geçememe olasılığı vardır.

Noktadan Siteye için yapılandırılmış istemci bilgisayarını yeniden başlatırsam VPN de otomatik olarak yeniden bağlanacak mı?

Varsayılan olarak, istemci bilgisayar VPN bağlantısını otomatik olarak yeniden başlatmaz.

Noktadan Siteye, VPN istemcilerde otomatik yeniden bağlanmayı ve DDNS’yi destekler mi?

Otomatik olarak yeniden ve DDNS şu anda Noktadan Siteye VPN'lerde desteklenmiyor.

Siteden Siteye ve Noktadan Siteye yapılandırmalarına aynı sanal ağda birlikte sahip olabilir miyim?

Evet. Resouce Manager dağıtım modeli için, ağ geçidiniz için RouteBased VPN türü olmalıdır. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir. Statik yönlendirme VPN ağ geçitleri veya PolicyBased VPN ağ geçitleri için Noktadan Siteye çözümünü desteklemiyoruz.

Aynı anda birden çok sanal ağ geçidine bağlanmak için Noktadan siteye istemci yapılandırabilir miyim?

Kullanılan VPN Istemci yazılımına bağlı olarak, bağlanılan sanal ağların istemciyle bağlantısı olan ağ ile arasında çakışan adres alanları olmadığından, birden çok sanal ağ geçidine bağlanabilirsiniz. Azure VPN Istemcisi birçok VPN bağlantısını desteklese de, belirli bir zamanda yalnızca bir bağlantı bağlanabilir.

Aynı anda birden çok sanal ağa bağlanmak için Noktadan Siteye istemcisi yapılandırabilir miyim?

Evet, diğer VNet 'ler ile eşlenmiş bir sanal ağa dağıtılan bir sanal ağ geçidine yönelik olarak, eşlenen diğer VNET 'lere erişimi olabilir. Bir noktadan siteye istemciler, eşlenen sanal ağlar UseRemoteGateway/AllowGatewayTransit özelliklerini kullanıyorsa, eşlenmiş sanal ağlara bağlanabilirler. Daha fazla bilgi için bkz. Noktadan siteye yönlendirme hakkında.

Siteden Siteye ve Noktadan Siteye bağlantılardan ne kadar verimlilik bekleyebilirim?

VPN tünellerinin tam verimini elde etmek zordur. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir. Verimlilik, şirket içi ve İnternet arasındaki bant genişliğiyle ve gecikme süresiyle de sınırlıdır. Yalnızca IKEv2 Noktadan Siteye VPN bağlantıları olan bir VPN Gateway için, bekleyebileceğiniz toplam aktarım hızı Ağ Geçidi SKU’suna bağlıdır. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ geçidi SKU’ları.

SSTP ve/veya IKEv2 desteği sağlayan Noktadan Siteye bağlantı için herhangi bir yazılım VPN istemcisi kullanabilir miyim?

Hayır. SSTP için yalnızca Windows’daki yerel VPN istemcisini ve IKEv2 için yalnızca Mac’teki yerel VPN istemcisini kullanabilirsiniz. Ancak, OpenVPN istemcisini, OpenVPN protokolüne bağlanmak için tüm platformlarda kullanabilirsiniz. Desteklenen istemci işletim sistemlerilistesine başvurun.

Noktadan siteye bağlantı için kimlik doğrulaması türünü değiştirebilir miyim?

Evet. Portalda VPN Gateway-> Noktadan siteye yapılandırma sayfasına gidin. Kimlik doğrulama türü için, kullanmak istediğiniz kimlik doğrulama türlerini seçin. Kimlik doğrulama türünde bir değişiklik yaptıktan sonra, geçerli istemcilerin yeni bir VPN istemci yapılandırma profili üretilmeden, indirilene ve her VPN istemcisine uygulanana kadar bağlanamaabileceğini unutmayın.

Azure Windows ile IKEv2 VPN destekler mi?

IKEv2, Windows 10 ve Server 2016’da desteklenir. Ancak, belirli işletim sistemi sürümlerindeki Ikev2 'yi kullanmak için güncelleştirmeleri yüklemeli ve bir kayıt defteri anahtarı değerini yerel olarak ayarlamanız gerekir. Windows 10 'den önceki işletim sistemi sürümlerinin desteklenmediğini ve yalnızca SSTP veya openvpn® protokolünü kullanabileceğini unutmayın.

not: Windows işletim sistemi derlemeleri Windows 10 sürüm 1709 ' den daha yeni ve Windows Server 2016 sürüm 1607 ' nin bu adımları gerektirmez.

IKEv2 için Windows 10 ve Server 2016’yı hazırlamak için:

  1. Güncelleştirmeyi işletim sistemi sürümünüze bağlı olarak yükler:

    İşletim sistemi sürümü Tarih Sayı/Bağlantı
    Windows Server 2016
    Windows 10 Sürüm 1607    		 17 Ocak 2018 KB4057142
    Windows 10 Sürüm 1703 17 Ocak 2018 KB4057144
    Windows 10 Sürüm 1709 22 Mart 2018 KB4089848

  2. Kayıt defteri anahtar değerini ayarlayın. Kayıt defterinde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD anahtarını oluşturun veya 1 olarak ayarlayın.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırırsam ne olur?

Karma bir ortamda (Windows ve Mac cihazlarından oluşan) hem SSTP hem de IKEv2 yapılandırdığınızda, Windows VPN istemcisi her zaman ilk önce IKEv2 tünelini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP’ye geri döner. MacOSX yalnızca IKEv2 üzerinden bağlanır.

Azure, P2S VPN için Windows ve Mac dışında hangi platformları destekliyor?

Azure, P2S VPN için Windows, Mac ve Linux 'yi destekler.

Zaten dağıtılmış bir Azure VPN Gateway’im var. Bu ağ geçidi üzerinde RADIUS ve/veya IKEv2 VPN etkinleştirebilir miyim?

Evet, kullandığınız ağ geçidi SKU 'SU RADIUS ve/veya Ikev2 destekliyorsa, PowerShell veya Azure portal kullanarak zaten dağıttığınız ağ geçitlerinde bu özellikleri etkinleştirebilirsiniz. Temel SKU 'nun RADIUS veya Ikev2 desteklemediğini unutmayın.

P2S bağlantısının yapılandırmasını kaldırmak Nasıl yaparım??

Aşağıdaki komutları kullanarak Azure CLı ve PowerShell kullanılarak P2S yapılandırması kaldırılabilir:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

RADIUS kimlik doğrulaması tüm Azure VPN Gateway SKU’larında destekleniyor mu?

RADIUS kimlik doğrulaması VpnGw1, VpnGw2 ve VpnGw3 SKU’ları için desteklenir. Eski SKU’ları kullanıyorsanız, RADIUS kimlik doğrulaması Standart ve Yüksek Performans SKU’larında desteklenir. Temel Ağ Geçidi SKU’sunda desteklenmez.

RADIUS kimlik doğrulaması klasik dağıtım modeli için desteklenir mi?

Hayır. RADIUS kimlik doğrulaması klasik dağıtım modeli için desteklenmez.

RADIUS sunucusuna gönderilen RADIUS istekleri için zaman aşımı süresi nedir?

RADIUS istekleri 30 saniye sonra zaman aşımına ayarlanır. Kullanıcı tanımlı zaman aşımı değerleri bugün desteklenmiyor.

Üçüncü taraf RADIUS sunucuları desteklenir mi?

Evet, üçüncü taraf RADIUS sunucuları desteklenir.

Azure ağ geçidinin şirket içi bir RADIUS sunucusuna ulaşabildiğinden emin olmak için bağlantı gereksinimleri nelerdir?

Şirket içi sitede doğru rotalar yapılandırılmış biçimde bir VPN Siteden Siteye bağlantı gereklidir.

Şirket içi RADIUS sunucusuna gelen trafik (Azure VPN ağ geçidinden) bir ExpressRoute bağlantısı üzerinden yönlendirilebilir mi?

Hayır. Yalnızca bir Siteden Siteye bağlantı üzerinden yönlendirilebilir.

RADIUS kimlik doğrulaması ile desteklenen SSTP bağlantılarının sayısında bir değişiklik var mı? En fazla kaç SSTP ve IKEv2 bağlantısı desteklenir?

RADIUS kimlik doğrulaması ile bir ağ geçidinde desteklenen en fazla SSTP bağlantısı sayısında bir değişiklik yoktur. SSTP için 128 olarak kalır, ancak IKEv2 için ağ geçidi SKU'suza bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için bkz. Ağ geçidi SKUS'ları.

RADIUS sunucusu kullanarak sertifika doğrulaması yapma ve Azure yerel sertifika doğrulaması kullanma (güvenilir bir sertifikayı Azure’a yükleyerek) arasındaki fark nedir?

RADIUS sertifika doğrulamasında, doğrulaması isteği gerçek sertifika doğrulamasını işleyen bir RADIUS sunucusuna iletilir. Zaten mevcut bir sertifika doğrulaması altyapısını RADIUS üzerinden tümleştirmek istiyorsanız bu seçenek yararlı olur.

Sertifika doğrulaması için Azure kullanıldığında, Azure VPN ağ geçidi sertifikayı doğrular. Sertifika ortak anahtarınızı ağ geçidine yüklemeniz gerekir. Ayrıca bağlanmasına izin verilmeyen iptal edilmiş sertifikaların bir listesini belirtebilirsiniz.

RADIUS kimlik doğrulaması hem IKEv2 hem de SSTP VPN ile çalışır mı?

Evet, RADIUS kimlik doğrulaması hem IKEv2 hem de SSTP VPN için desteklenir.

RADIUS kimlik doğrulaması OpenVPN istemcisiyle çalışır mı?

RADIUS kimlik doğrulaması yalnızca PowerShell aracılığıyla OpenVPN protokolü için de kullanılır.

Sanal Ağdan Sanal Ağa ve Çok Siteli bağlantılar

Sanal Ağdan Sanal Ağa SSS, VPN ağ geçidi bağlantıları için geçerlidir. Sanal ağ eşlemesi hakkında bilgi için bkz. Sanal ağ eşlemesi.

Azure sanal ağlar arasındaki trafik için ücretli midir?

Vpn ağ geçidi bağlantısı kullanılırken aynı bölge içindeki Sanal Ağdan Sanal Ağa trafik her iki yönde de ücretsizdir. Bölgeler arası sanal ağdan sanal ağa çıkış trafiği, kaynak bölgelere göre giden sanal ağlar arası veri aktarım hızları ile ücrete tabidir. Daha fazla bilgi için bkz. VPN Gateway fiyatlandırma sayfası. Sanal ağlarınızı VPN ağ geçidi yerine sanal ağ eşlemesi kullanarak bağlayarak bağlanıyorsanız bkz. Sanal ağ fiyatlandırması.

Sanal Ağdan Sanal Ağa trafik internet üzerinden geliyor mu?

Hayır. Sanal Ağdan Sanal Ağa trafik, İnternet'Microsoft Azure değil, ana omurga üzerinden ilerler.

Azure Active Directory (AAD) kiracıları arasında sanal ağdan sanal Azure Active Directory bağlantı kurabilirsiniz?

Evet, Azure VPN ağ geçitlerini kullanan Sanal Ağdan Sanal Ağa bağlantılar AAD kiracıları arasında çalışır.

Sanal Ağdan Sanal Ağa trafiği güvenli mi?

Evet, IPsec/IKE şifrelemesi ile korunuyor.

Sanal ağları birbirine bağlamak için bir VPN cihazı gerekiyor mu?

Hayır. İşletmeler arası bağlantı gerekmediği sürece birden fazla Azure sanal ağını birleştirmek için VPN cihazına gerek yoktur.

Sanal ağlarımın aynı bölgede olması gerekiyor mu?

Hayır. Sanal ağlar aynı ya da farklı Azure bölgelerinde (konumlarında) bulunabilir.

VNet'ler aynı abonelikte yoksa aboneliklerin aynı Active Directory kiracısı ile ilişkilendirilmiş olması gerekir mi?

Hayır.

Farklı Azure örneklerinde sanal ağları bağlamak için Sanal Ağdan Sanal Ağa bağlantı kullanabilir miyim?

Hayır. Sanal Ağdan Sanal Ağa, aynı Azure örneğindeki sanal ağları bağlamayı destekler. Örneğin, genel Azure ile Çince/Almanya/ABD kamu Azure örnekleri arasında bağlantı oluşturamayabilirsiniz. Bu senaryolar için Siteden Siteye VPN bağlantısı kullanmayı göz önünde bulundurabilirsiniz.

Sanal Ağdan Sanal Ağa bağlantıyı çoklu site bağlantılarıyla birlikte kullanabilir miyim?

Evet. Sanal ağ bağlantısı, çoklu site VPN’leri ile eşzamanlı olarak kullanılabilir.

Bir sanal ağ kaç şirket içi siteye ve sanal ağa bağlanabilir?

Ağ geçidi gereksinimleri tablosuna bakın.

Bir sanal ağın dışındaki sanal makineleri veya bulut hizmetlerini bağlamak için Sanal Ağdan Sanal Ağa bağlantı kullanabilir miyim?

Hayır. Sanal Ağdan Sanal Ağa, sanal ağları bağlamayı destekler. Sanal ağ içinde olmayan sanal makineleri veya bulut hizmetlerini bağlamayı desteklemez.

Bir bulut hizmeti veya yük dengeleme uç noktası sanal ağlara yayma durumuna neden olabilir mi?

Hayır. Bulut hizmeti veya yük dengeleme uç noktası, birbirine bağlı olsalar bile sanal ağlara yayılamaz.

Sanal Ağdan Sanal Ağa veya Çok Siteli bağlantılar için PolicyBased VPN türü kullanabilir miyim?

Hayır. Sanal Ağdan Sanal Ağa ve Çok Siteli bağlantılar, RouteBased (daha önce dinamik yönlendirme olarak da adlandırılan) VPN türlerine sahip Azure VPN ağ geçitlerini gerektirir.

PolicyBased VPN türüne sahip VNet’i RouteBased VPN türüne sahip başka bir VNet’e bağlayabilir miyim?

Hayır, her iki sanal ağ da rota tabanlı (daha önce dinamik yönlendirme olarak adlandırılan) VPN'leri KULLANIMLI.

VPN tünelleri bant genişliğini paylaşır mı?

Evet. Sanal ağ üzerindeki tüm VPN tünelleri, Azure VPN ağ geçidi ve aynı ağ geçidi çalışma süresi SLA’sı üzerinde aynı kullanılabilir bant genişliğini paylaşır.

Yedekli tüneller destekleniyor mu?

Bir sanal ağ çifti arasındaki yedekli tüneller, sanal ağ geçitlerinden biri etkin-etkin olarak yapılandırıldığında desteklenir.

Sanal Ağdan Sanal Ağa yapılandırmalar için çakışan adres alanları kullanabilir miyim?

Hayır. Çakışan IP adresi aralıklarını kullanamazsınız.

Bağlı sanal ağlar ve şirket içi yerel siteleri arasında çakışan adres alanları olabilir mi?

Hayır. Çakışan IP adresi aralıklarını kullanamazsınız.

Nasıl yaparım? siteden siteye VPN bağlantım ile ExpressRoute bağlantım arasında yönlendirmeyi etkinleştirmek mi?

ExpressRoute'a bağlı dalın ve siteden siteye VPN bağlantısına bağlı dalın arasında yönlendirmeyi etkinleştirmek için Azure Yönlendirme Sunucusu'nı ayarlamanız gerekir.

Şirket içi sitelerim arasında veya başka bir sanal ağa trafiği geçirmek için Azure VPN ağ geçidini kullanabilir miyim?

Resource Manager dağıtım modeli
Evet. Daha fazla bilgi için BGP bölümüne bakın.

Klasik dağıtım modeli
Klasik dağıtım modeli kullanılarak Azure VPN ağ geçidi üzerinden trafik geçirilebilse de, bu geçiş, ağ yapılandırma dosyasında statik olarak tanımlanan adres alanlarına bağlıdır. Klasik dağıtım modeli kullanan Azure Sanal Ağlar ve VPN ağ geçitleri ile BGP henüz desteklenmemektedir. BGP olmadan, geçiş adres alanlarının el ile tanımlanması çok hata eğilimindedir ve önerilmez.

Azure, IPsec/IKE önceden paylaşılan anahtarı tüm VPN bağlantılarımla aynı sanal ağ için mi üretiyor?

Hayır, varsayılan olarak Azure farklı VPN bağlantıları için farklı önceden paylaşılan anahtarlar oluşturur. Ancak, isterseniz anahtar değeri ayarlamak için VPN Ağ Geçidi Anahtarı REST API veya PowerShell cmdlet'ini kullanabilirsiniz. Anahtarın yazdırılabilir ASCII karakterleri olması GEREKIR.

Daha fazla Siteden Siteye VPN ile tek bir sanal ağa göre daha fazla bant genişliği elde edebilir miyim?

Hayır, Noktadan Siteye VPN’lerde dahil tüm VPN tünelleri aynı Azure VPN ağ geçidini ve kullanılabilir bant genişliğini paylaşır.

Çok siteli VPN kullanarak sanal ağlarım ve şirket içi sitem arasında birden fazla tünel yapılandırabilir miyim?

Evet, ancak iki tünelde de aynı konum için BGP yapılandırması gerçekleştirmeniz gerekir.

Azure, VPN Gateway bağlantılarım arasındaki yönlendirme kararlarını etkilemek için AS Yolu'na ek olarak izin verir mi?

Evet, BgP etkinleştirildiğinde yönlendirme kararları alamanıza yardımcı olmak için Azure VPN ağ geçidi AS Yolu eklerini karşılar. BGP yol seçiminde daha kısa bir AS Yolu tercih edilir.

Birden çok VPN tüneline sahip sanal ağımla birlikte Noktadan Siteye VPN’lerini kullanabilir miyim?

Evet, Noktadan Siteye (P2S) VPN’ler şirket içi sitelere ve başka sanal ağlara VPN ağ geçitleriyle kullanılabilir.

IPsec VPN’lerle sanal ağı ExpressRoute devreme bağlayabilir miyim?

Evet, bu desteklenir. Daha fazla bilgi için bkz. Bir arada var olan ExpressRoute ve Siteden Siteye VPN bağlantıları yapılandırma.

IPsec/IKE ilkesi

Özel IPsec/IKE ilkesi tüm Azure VPN Gateway SKU’larında desteklenir mi?

Özel IPSec/ıKE ilkesi, temel SKU dışında tüm Azure SKU 'Larında desteklenir.

Bir bağlantıda kaç tane ilke belirtebilirim?

Belirli bir bağlantı için yalnızca bir ilke birleşimi belirtebilirsiniz.

Bir bağlantıda kısmi bir ilke belirtebilir miyim? (örneğin IPsec olmadan yalnızca IKE algoritmaları)

Hayır, hem IKE (Ana Mod) hem de IPsec (Hızlı Mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir. Kısmi ilke belirtimine izin verilmez.

Özel ilkede desteklenen algoritmalar ve anahtar güçleri nelerdir?

Aşağıdaki tabloda, müşteriler tarafından yapılandırılabilecek şifreleme algoritmaları ve anahtar güçleri listelenmiştir. Her alan için bir seçeneği belirlemeniz gerekir.

IPsec/IKEv2 Seçenekler
IKEv2 Şifrelemesi AES256, AES192, AES128, DES3, DES
IKEv2 Bütünlüğü SHA384, SHA256, SHA1, MD5
DH Grubu DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, Hiçbiri
IPsec Şifrelemesi GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec Bütünlüğü GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS Grubu PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Hiçbiri
QM SA Yaşam Süresi Saniye (tamsayı; en az 300/varsayılan 27000 saniye)
Kilobayt (tamsayı; en az 1024/varsayılan 102400000 kilobayt)
Trafik Seçicisi UsePolicyBasedTrafficSelectors ($True/$False; varsayılan $False)

Önemli

  • DHGroup2048 ve PFS2048, IKE ve IPsec PFS’de Diffie-Hellman Grubu 14 ile aynıdır. Eşlemelerin tamamı için Diffie-Hellman Grupları konusuna bakın.
  • GCMAES algoritmalarında, hem IPsec Şifrelemesi hem de Bütünlüğü için aynı GCMAES algoritmasını belirtmelisiniz.
  • Ikev2 ana mod SA yaşam süresi, Azure VPN ağ geçitlerinde 28.800 saniye içinde düzeltilir.
  • QM SA Yaşam Süreleri isteğe bağlı parametrelerdir. Hiçbiri belirtilmemişse, varsayılan 27.000 saniye (7,5 saat) ve 102400000 kilobayt (102 GB) değerleri kullanılır.
  • UsePolicyBasedTrafficSelector, bağlantıda bir seçenek parametresidir. "UsePolicyBasedTrafficSelectors" için bir sonraki SSS öğesine bakın.

Azure VPN ağ geçidi ilkesi ile şirket içi VPN cihazı yapılandırmalarım arasında her şey eşleşmeli mi?

Şirket içi VPN cihazı yapılandırmanızın Azure IPsec/IKE ilkesinde belirttiğiniz şu algoritmalar ve parametrelerle eşleşmesi ya da bunları içermesi gerekir:

  • IKE şifreleme algoritması
  • IKE bütünlük algoritması
  • DH Grubu
  • IPsec şifreleme algoritması
  • IPsec bütünlük algoritması
  • PFS Grubu
  • Trafik Seçicisi ( * )

SA yaşam süreleri yalnızca yerel belirtimlerdir ve bunların eşleşmesi gerekmez.

UsePolicyBasedTrafficSelectors ilkesini etkinleştirirseniz, VPN cihazınızın herhangi bir noktadan herhangi bir noktaya bağlantı yerine şirket içi ağınızın (yerel ağ geçidi) tüm ön ekleri ile Azure sanal ağ ön ekleri arasındaki tüm birleşimlerle tanımlanmış, eşleşen trafik seçicilerine sahip olduğundan emin olmanız gerekir. Örneğin, şirket içi ağınızın ön ekleri 10.1.0.0/16 ve 10.2.0.0/16; sanal ağınızın ön ekleriyse 192.168.0.0/16 ve 172.16.0.0/16 şeklindeyse, aşağıdaki trafik seçicileri belirtmeniz gerekir:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

Daha fazla bilgi için bkz. Birden çok şirket içi ilke tabanlı VPN cihazını bağlama.

Hangi Diffie-Hellman Grupları desteklenir?

Aşağıdaki tabloda IKE (DHGroup) ve IPsec (PFSGroup) için desteklenen Diffie-Hellman Grupları listelenmiştir:

Diffie-Hellman Grubu DHGroup PFSGroup Anahtar uzunluğu
1 DHGroup1 PFS1 768 bit MODP
2 DHGroup2 PFS2 1024 bit MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048 bit MODP
19 ECP256 ECP256 256 bit ECP
20 ECP384 ECP384 384 bit ECP
24 DHGroup24 PFS24 2048 bit MODP

Daha fazla bilgi için bkz. RFC3526 ve RFC5114.

Özel ilke, Azure VPN ağ geçitleri için IPsec/IKE ilke kümelerinin yerini mi alır?

Evet, bir bağlantıda özel bir ilke belirtildiğinde VPN ağ geçidi, bağlantıda hem IKE başlatıcı hem de IKE yanıtlayıcısı olarak yalnızca bu ilkeyi kullanır.

Özel bir IPsec/IKE ilkesini kaldırırsam bağlantı korumasız hale mi gelir?

Hayır, bağlantı IPsec/IKE tarafından korunmaya devam eder. Bir bağlantıdan özel bir ilkeyi kaldırdığınızda, Azure VPN ağ geçidi varsayılan IPsec/IKE teklifleri listesine döner ve şirket içi VPN cihazınızla IKE el sıkışmasını yeniden başlatır.

Bir IPsec/IKE ilkesinin eklenmesi veya güncelleştirilmesi, VPN bağlantımı kesintiye uğratır mı?

Evet, Azure VPN ağ geçidi tarafından mevcut bağlantı yıkılıp yeni şifreleme algoritmaları ve parametrelerle IPsec tünelini yeniden kurmak üzere IKE el sıkışması yeniden başlatılırken kısa bir kesinti (birkaç saniye) gerçekleşebilir. Kesinti süresini mümkün olduğunca azaltmak için şirket içi VPN cihazınızın da eşleşen algoritmalar ve anahtar güçleriyle yapılandırıldığından emin olun.

Farklı bağlantılarda farklı ilkeler kullanabilir miyim?

Evet. Özel ilkeler, bağlantı başına bir ilke temelinde uygulanır. Farklı bağlantılarda farklı IPsec/IKE ilkeleri oluşturabilir ve uygulayabilirsiniz. Bağlantıların bir alt kümesinde özel ilkeler uygulamayı da tercih edebilirsiniz. Geriye kalan bağlantılar, Azure’daki varsayılan IPsec/IKE ilke kümelerin kullanır.

Özel ilkeyi VNet-VNet bağlantısında da kullanabilir miyim?

Evet, hem IPsec şirket içi ve dışı karışık bağlantılarda hem de Vnet-Vnet bağlantılarında özel ilke uygulayabilirsiniz.

Her iki VNet-VNet bağlantı kaynağında aynı ilkeyi belirtmem mi gerekir?

Evet. VNet-VNet tüneli, her iki yön için birer tane olmak üzere Azure’daki iki bağlantı kaynağından oluşur. Her iki bağlantı kaynağının da aynı ilkeye sahip olduğundan emin olun, aksi takdirde VNet-VNet bağlantısı kurulamaz.

Varsayılan DPD zaman aşımı değeri nedir? Farklı bir DPD zaman aşımı belirtebilir miyim?

Varsayılan DPD zaman aşımı 45 saniyedir. Her bir IPSec veya VNet-VNet bağlantısında 3600 saniye arasında farklı bir DPD zaman aşımı değeri belirtebilirsiniz.

Özel IPsec/IKE ilkesi ExpressRoute bağlantısında çalışır mı?

Hayır. IPsec/IKE ilkesi yalnızca Azure VPN ağ geçitleri aracılığıyla kurulan S2S VPN ve VNet-VNet bağlantılarında çalışır.

Nasıl yaparım? IKEv1 veya Ikev2 protokol türüyle bağlantı oluşturulsun mu?

Temel SKU, standart SKU ve diğer eski SKU 'larhariç tüm ROUTEBASED VPN türü SKU 'larında IKEv1 bağlantısı oluşturulabilir. Bağlantılar oluştururken, IKEv1 veya Ikev2 bağlantı protokolü türünü belirtebilirsiniz. Bağlantı protokolü türü belirtmezseniz, Ikev2 varsayılan seçenek olarak kullanılır. Daha fazla bilgi için bkz. PowerShell cmdlet belgeleri. SKU türleri ve IKEv1/Ikev2 desteği için bkz. ağ geçitlerini ilke tabanlı VPN cihazlarına bağlama.

IKEv1 ve IKEv2 bağlantıları arasında aktarım yapılmasına izin veriliyor mu?

Evet. IKEv1 ve IKEv2 bağlantıları arasındaki aktarım desteklenir.

RouteBased VPN türünün temel SKU 'Larında siteden siteye bağlantıları IKEv1 olabilir mi?

Hayır. Temel SKU bunu desteklemez.

Bağlantı oluşturulduktan sonra bağlantı protokolü türünü değiştirebilir miyim (Ikev2 'e IKEv1 ve tam tersi)?

Hayır. Bağlantı oluşturulduktan sonra, IKEv1/Ikev2 protokolleri değiştirilemez. İstenen protokol türüyle yeni bir bağlantı silip yeniden oluşturmanız gerekir.

IPSec için daha fazla yapılandırma bilgilerini nerede bulabilirim?

Bkz. S2S veya VNET-VNET bağlantıları Için IPSec/IKE Ilkesini yapılandırma.

BGP ve yönlendirme

BGP tüm Azure VPN Gateway SKU'larında destekleniyor mu?

BGP, temel SKU hariç tüm Azure VPN Gateway SKU 'Larında desteklenir.

BGP 'yi Azure Policy VPN Gateway 'ler ile kullanabilir miyim?

Hayır, BGP yalnızca rota tabanlı VPN ağ geçitlerinde desteklenir.

Hangi ASNs (özerk sistem numaraları) kullanabilirim?

Hem şirket içi ağlarınız hem de Azure sanal ağlarınız için kendi genel Ilişkinizi veya özel ans 'leri kullanabilirsiniz. Azure veya ıANA tarafından ayrılan aralıkları kullanamazsınız.

Aşağıdaki ASNs 'ler Azure veya ıANA tarafından ayrılmıştır:

  • Azure tarafından ayrılan ASNs:

    • Ortak ASN’ler: 8074, 8075, 12076
    • Özel ASN’ler: 65515, 65517, 65518, 65519, 65520

  • IANA tarafından ayrılmışASNs:

    • 23456, 64496-64511, 65535-65551 and 429496729

Azure VPN ağ geçitlerine bağlanırken şirket içi VPN cihazlarınız için bu ASNs belirtemezsiniz.

32 bit (4 baytlık) ASNs kullanabilir miyim?

Evet, VPN Gateway artık 32-bit (4 baytlık) ASNs 'yi destekliyor. ASN 'yi ondalık biçimde kullanarak yapılandırmak için PowerShell, Azure CLı veya Azure SDK 'yı kullanın.

Hangi özel ASNs 'yi kullanabilirim?

Kullanılabilen özel ASNs aralıkları şunlardır:

  • 64512-65514 ve 65521-65534

Bu ASNs 'ler ıANA veya Azure tarafından kullanılmak üzere ayrılmamıştır ve bu nedenle Azure VPN Gateway 'e atamak için kullanılabilir.

BGP eşi IP 'si için hangi adresi VPN Gateway kullanır?

Varsayılan olarak, VPN Gateway Active-standby VPN Gateway 'ler için Gatewaysubnet aralığından tek bir IP adresi ayırır veya etkin-etkin VPN ağ geçitleri IÇIN iki IP adresi ayırır. VPN ağ geçidini oluşturduğunuzda bu adresler otomatik olarak ayrılır. PowerShell kullanarak veya Azure portal bularak, ayrılmış gerçek BGP IP adresini alabilirsiniz. PowerShell 'de Get-AzVirtualNetworkGateway' i kullanın ve Bgppeeringaddress özelliğini arayın. Azure portal, ağ geçidi yapılandırması SAYFASıNDA BGP ASN özelliğini yapılandırma ' ya bakın.

Şirket içi VPN yönlendiricileriniz, BGP IP adresleri olarak APIPA IP adreslerini (169.254. x. x) kullanıyorsa, Azure VPN ağ geçidiniz üzerinde ek BIR Azure APIPA BGP IP adresi belirtmeniz gerekir. Azure VPN Gateway, yerel ağ geçidinde belirtilen şirket içi APIPA BGP eşi veya APIPA olmayan, şirket içi BGP eşi için özel IP adresi ile kullanılacak APIPA adresini seçer. Daha fazla bilgi için bkz. BGP 'Yi yapılandırma.

VPN cihazımın BGP eşi IP adresleri için gereksinimler nelerdir?

Şirket içi BGP eş adresiniz, VPN cihazınızın genel IP adresiyle veya VPN ağ geçidinin sanal ağ adresi alanından aynı olmamalıdır. BGP eşi IP 'niz için VPN cihazında farklı bir IP adresi kullanın. Bu, cihazdaki geri döngü arabirimine atanmış bir adres olabilir (normal bir IP adresi veya bir APIPA adresi). Cihazınız BGP için bir APIPA adresi kullanıyorsa, BGP 'Yi yapılandırmabölümünde açıklandığı gibi, Azure VPN ağ GEÇIDINIZDE BIR APIPA BGP IP adresi belirtmeniz gerekir. Bu adresi, konumu temsil eden karşılık gelen yerel ağ geçidinde belirtin.

BGP 'yi kullandığım sırada yerel ağ geçidi için adres ön ekleri olarak ne belirtmem gerekir?

Önemli

Bu, daha önce belgelenen gereksinimin bir değişikidir. Bir bağlantı için BGP kullanıyorsanız, karşılık gelen yerel ağ geçidi kaynağı için Adres alanı alanını boş bırakın. Azure VPN Gateway, IPSec tüneli üzerinden şirket içi BGP eşi IP 'ye dahili olarak bir ana bilgisayar yolu ekler. Adres alanı alanına/32 yolunu eklemeyin. Bu, yedekli ve şirket içi VPN cihazı BGP IP 'si olarak bir APIPA adresi kullanırsanız, bu alana eklenemez. Adres alanı alanına başka ön ekler eklersenız, BGP aracılığıyla öğrenilen yolların yanı sıra Azure VPN Gateway 'e statik yollar olarak eklenirler.

Aynı ASN 'yi hem şirket içi VPN ağları hem de Azure sanal ağları için kullanabilir miyim?

Hayır, şirket içi ağlarınız ve Azure sanal ağlarınız arasında, bunları BGP ile birlikte bağlıyorsanız, farklı ASNs atamanız gerekir. Azure VPN ağ geçitlerinde, şirket içi bağlantınız için BGP 'nin etkin olup olmadığı için varsayılan ASN 65515 ' dir. VPN ağ geçidini oluştururken farklı bir ASN atayarak bu varsayılanı geçersiz kılabilirsiniz veya ağ geçidi oluşturulduktan sonra ASN 'yi değiştirebilirsiniz. Şirket içi güvenlerinizi ilgili Azure yerel ağ geçitlerine atamanız gerekir.

Azure VPN Gateway’ler bana hangi adres öneklerini tanıtacak?

Ağ geçitleri, şirket içi BGP cihazlarınıza aşağıdaki yolları duyurur:

  • Sanal ağ adresi ön ekleri.
  • Azure VPN Gateway 'e bağlı her yerel ağ geçidi için adres ön ekleri.
  • Azure VPN Gateway 'e bağlı diğer BGP eşleme oturumlarından öğrenilen yollar, herhangi bir sanal ağ öneki ile çakışan varsayılan yol veya rotalar dışında.

Azure VPN Gateway 'de kaç önek tanıtırım?

Azure VPN Gateway en fazla 4000 ön eki destekler. Ön ek sayısı bu sınırı aşarsa BGP oturumu düşürülür.

Varsayılan yolu (0.0.0.0/0) Azure VPN ağ geçitlerine tanıtabilir miyim?

Evet. Bunun, tüm sanal ağ çıkış trafiğini şirket içi sitenize doğru zoryacağını unutmayın. Ayrıca, sanal ağ VM 'lerinin internet 'ten VM 'lere, RDP veya SSH gibi genel iletişimi kabul etmesini engeller.

Sanal ağ öneklerim olarak tam önekleri tanıtımda yapabilir miyim?

Hayır, sanal ağ adresi öneklerinizden herhangi biri ile aynı önekleri duyurmak, Azure tarafından engellenecek veya filtrelenecektir. Bununla birlikte, sanal ağınızın içinde sahip olduğunuz bir üst küme olan bir ön ek tanıtabilirsiniz.

Örneğin, sanal ağınız 10.0.0.0/16 adres alanını kullandıysanız 10.0.0.0/8 ' i tanıtabilirsiniz. Ancak 10.0.0.0/16 veya 10.0.0.0/24 ' i duyuramıyoruz.

Sanal ağlar arasındaki bağlantılarıma sahip BGP kullanabilir miyim?

Evet, BGP 'yi şirket içi bağlantılar ve sanal ağlar arasındaki bağlantılar için kullanabilirsiniz.

Azure VPN Gateway’lerim için BGP’yi BGP olmayan bağlantılarla karıştırabilir miyim?

Evet, aynı Azure VPN Gateway için BGP ve BGP olmayan bağlantıları karıştırabilirsiniz.

Azure VPN Gateway BGP geçiş yönlendirmesini destekliyor mu?

Evet, Azure VPN ağ geçitlerinin diğer BGP eşlerine varsayılan yollar bildirmeyen özel durum ile BGP aktarma yönlendirmesi desteklenir. Birden çok Azure VPN ağ geçidi arasında geçiş yönlendirmeyi etkinleştirmek için sanal ağlar arasındaki tüm ara bağlantılarda BGP 'yi etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. BGP hakkında.

Azure VPN ağ geçidi ve şirket içi ağlarım arasında birden fazla tünele sahip olabilir miyim?

Evet, bir Azure VPN ağ geçidi ve şirket içi ağınız arasında birden çok siteden siteye (S2S) VPN tüneli oluşturabilirsiniz. Bu tünellerin tümü, Azure VPN ağ geçitleriniz için Toplam Tünel sayısına göre sayılır ve her iki tünelde BGP 'yi etkinleştirmeniz gerekir.

Örneğin, Azure VPN ağ geçidiniz ile şirket içi ağlarınızdan biri arasında iki yedekli Tüneliniz varsa, Azure VPN ağ geçidinizin toplam kotasının 2 tünellerini tüketir.

BGP ile iki Azure sanal ağı arasında birden fazla tünele sahip olabilir miyim?

Evet, ancak sanal ağ geçitlerinden en az birinin etkin-etkin yapılandırmada olması gerekir.

Azure ExpressRoute ve S2S VPN birlikte bulunma yapılandırmasında S2S VPN için BGP kullanabilir miyim?

Evet.

BGP eşdeğer oturumu için şirket içi VPN cihazıma ne eklemeliyim?

VPN cihazınıza Azure BGP eş IP adresinin bir konak yolunu ekleyin. Bu yol, IPSec S2S VPN tünelini işaret eder. Örneğin, Azure VPN eş IP 'si 10.12.255.30 ise, VPN cihazınızda eşleşen IPSec tüneli arabiriminin bir sonraki atlama arabirimine sahip 10.12.255.30 için bir ana bilgisayar yolu eklersiniz.

Sanal ağ geçidi, BGP ile S2S bağlantıları için BFD 'yi destekliyor mu?

Hayır. Çift yönlü Iletme algılaması (BFD) BGP ile birlikte kullanabileceğiniz ve standart BGP "keepkeep" kullanarak daha hızlı komşu kesinti süresini tespit eden bir protokoldür. BFD, genel İnternet veya geniş alan ağı bağlantılarında değil, LAN ortamlarında çalışmak için tasarlanan alt saniye zamanlayıcıları kullanır.

Genel internet üzerinden yapılan bağlantılar için, belirli paketlerin gecikilmesi veya hatta bırakılması olağandışı olmadığından, bu ısrarlı zamanlayıcılar için bir tutarsızlık eklenebilir. Bu kararsızlık, yolların BGP tarafından sönmesine neden olabilir. Alternatif olarak, şirket içi cihazınızı varsayılan, 60-ikinci "KeepAlive" aralığından ve 180 saniyelik ayrı tutma zamanlayıcıdan daha düşük zamanlayıcılar ile yapılandırabilirsiniz. Bu, daha hızlı yakınsama süresine neden olur.

Azure VPN ağ geçitleri BGP eşleme oturumları veya bağlantıları başlatır mi?

Ağ Geçidi, VPN ağ geçitlerinde özel IP adresleri kullanılarak yerel ağ geçidi kaynaklarında belirtilen şirket içi BGP eşi IP adreslerine BGP eşleme oturumları başlatacak. Bu, şirket içi BGP IP adreslerinin APIPA aralığında veya normal özel IP adreslerinde olup olmadığına bakılmaksızın olur. Şirket içi VPN cihazlarınız APIPA adreslerini BGP IP 'si olarak kullanıyorsa, bağlantıları başlatmak için BGP konuşmacıyı yapılandırmanız gerekir.

Zorlamalı tüneli yapılandırmış olabilir miyim?

Evet. Bkz. Zorlamalı tüneli yapılandırma.

NAT

NAT tüm Azure VPN Gateway SKU 'Larında destekleniyor mu?

NAT, VpnGw2 ~ 5 ve VpnGw2AZ ~ 5AZ ' de desteklenir.

VNet 'ten VNet 'e veya P2S bağlantılarında NAT kullanabilir miyim?

Hayır, NAT yalnızca IPSec şirket içi bağlantılarında desteklenir.

Bir VPN ağ geçidinde kaç NAT kuralı kullanabilirim?

bir VPN ağ geçidinde en çok 100 NAT kuralı (birleşik giriş ve Egress kuralları) oluşturabilirsiniz.

NAT, bir VPN ağ geçidinde tüm bağlantılara uygulandı mi?

NAT, NAT kurallarıyla bağlantılara uygulanır. Bir bağlantının NAT kuralı yoksa, NAT Bu bağlantı üzerinde etkili olmayacaktır. Aynı VPN ağ geçidinde, NAT ile bazı bağlantılar ve NAT olmadan diğer bağlantılar birlikte çalışır.

Azure VPN ağ geçitlerinde hangi tür NAT desteklenir?

Yalnızca statik 1:1 NAT. Dinamik NAT veya NAT64 desteklenmez.

NAT, etkin-etkin VPN ağ geçitleri üzerinde çalışıyor mu?

Evet. NAT hem etkin-etkin hem de etkin bekleme VPN ağ geçitleri üzerinde çalışmaktadır.

NAT BGP bağlantılarıyla çalışıyor mu?

Evet, BGP 'yi NAT ile kullanabilirsiniz. Bazı önemli noktalar şunlardır:

  • Öğrenilmiş yolların ve tanıtılan yolların, bağlantılarla ilişkili NAT kurallarına göre NAT-posta ön eklerine (dış eşlemeler) çevrildiğinden emin olmak için NAT kuralları yapılandırma sayfasında BGP yol çevirisini etkinleştir ' i seçin. Şirket içi BGP yönlendiricilerinin, IngressSNAT kurallarında tanımlandığı şekilde tam önekleri tanıttığınızdan emin olmanız gerekir.

  • Şirket içi VPN yönlendiricisi, BGP konuşmacı/eş IP 'si olarak APIPA (169.254. x. x) kullanıyorsa, yerel ağ geçidinin BGP EŞI IP adresi alanındaki APIPA adresini doğrudan kullanın. Şirket içi VPN yönlendiricisi normal, APIPA olmayan adres kullanıyorsa ve VNet adres alanı veya diğer şirket içi ağ alanları ile çakışıyorsa, IngressSNAT kuralının BGP eşi IP 'sini benzersiz, çakışmayan bir adrese çevirdiğinden emin olun ve NAT-post adresini yerel ağ geçidinin BGP EŞI IP adresi alanına yerleştirin.

SNAT kuralı için eşleşen DNAT kurallarını oluşturmem gerekir mi?

Hayır. Tek bir SNAT kuralı, belirli bir ağın her iki yönü için çeviriyi tanımlar:

  • Bir IngressSNAT kuralı, şirket içi ağdan gelen Azure VPN ağ geçidine gelen kaynak IP adreslerinin çevirisini tanımlar. Ayrıca VNet 'ten aynı şirket içi ağa kadar olan hedef IP adreslerinin çevirisini de işler.

  • Yumurresssnat kuralı, Azure VPN ağ geçidini şirket içi ağlara bırakarak VNet kaynak IP adreslerinin çevirisini tanımlar. Ayrıca, Yumurresssnat kuralıyla bu bağlantılar aracılığıyla VNet 'e gelen paketlerin hedef IP adreslerinin çevirisini de işler.

  • Her iki durumda da hiçbir DNAT kuralı gerekmez.

VNet veya yerel ağ geçidi adres alanım iki veya daha fazla önek içeriyorsa ne yapmam gerekiyor? NAT 'yi tümüne uygulayabilir miyim? Mi yoksa yalnızca bir alt küme mı?

Her NAT kuralı NAT için yalnızca bir adres öneki içerebildiğinden, NAT için gereken her önek için bir NAT kuralı oluşturmanız gerekir. Örneğin, yerel ağ geçidi adres alanı 10.0.1.0/24 ve 10.0.2.0/25 ' den oluşuyorsa, aşağıda gösterildiği gibi iki kural oluşturabilirsiniz:

  • IngressSNAT kural 1: eşleme 10.0.1.0/24 ile 100.0.1.0/24 arası
  • IngressSNAT kural 2: eşleme 10.0.2.0/25-100.0.2.0/25

İki kural, karşılık gelen adres öneklerinin önek uzunluklarına uymalıdır. Aynı, VNet adres alanı için Yumurresssnat kuralları için de geçerlidir.

Önemli

Yukarıdaki bağlantıya yalnızca bir kural bağlarsanız, diğer adres alanı çevrilmeyecektir.

VNet adres alanım 'ı farklı öneklerde farklı olan şirket içi ağlara dönüştürmek için farklı Yumurresssnat kuralları kullanabilir miyim?

Evet, aynı VNet adres alanı için birden çok Yumurresssnat kuralı oluşturabilir ve Yumurresssnat kurallarını farklı bağlantılara uygulayabilirsiniz. Yumurresssnat kuralı olmayan bağlantılarda,

Aynı ınresssnat kuralını farklı bağlantılarda kullanabilir miyim?

Evet, bu genellikle bağlantılar aynı şirket içi ağ için artıklığı sağlamak üzere olduğunda kullanılır. Bağlantılar farklı şirket içi ağlarda varsa, aynı giriş kuralını kullanamazsınız.

NAT bağlantısı üzerinde hem giriş hem de Egress kurallara ihtiyacım var mı?

şirket içi ağ adresi alanı VNet adres alanıyla çakışıyorsa aynı bağlantı üzerinde hem giriş hem de Egress kuralları gerekir. VNet adres alanı tüm bağlı ağlar arasında benzersiz ise, bu bağlantılarda Yumurresssnat kuralına gerek kalmaz. Şirket içi ağlar arasındaki adres çakışmasını önlemek için giriş kurallarını kullanabilirsiniz.

Şirket içi ve dışı bağlantısı ve VM'ler

Sanal makinem sanal bir ağdaysa, şirket içi ve dışı bağlantım varsa VM’ye nasıl bağlanmalıyım?

Birkaç seçeneğiniz vardır. Sanal makineniz için RDP’yi etkinleştirdiyseniz, özel IP adresini kullanarak sanal makinenize bağlanabilirsiniz. Bu durumda, özel IP adresini ve bağlanmak istediğiniz bağlantı noktasını (genellikle 3389) belirtmeniz gerekir. Sanal makinenizde trafik için bağlantı noktası yapılandırmanız gerekir.

Ayrıca, aynı sanal ağda bulunan başka bir sanal makineden sanal makinenize özel IP adresi ile bağlanabilirsiniz. Sanal ağınızın dışında bir konumdan bağlanıyorsanız özel IP adresi kullanarak sanal makinenizde RDP gerçekleştiremezsiniz. Örneğin, yapılandırılmış bir Noktadan Siteye sanal ağınız varsa ve bilgisayarınızdan bağlantı kurmuyorsanız, sanal makineyi özel IP adresi ile bağlayamazsınız.

Sanal makinem şirket içi ve dışı bağlantılı bir sanal ağdaysa, VM’me ait trafiğin tümü bu bağlantıdan geçer mi?

Hayır. Bir tek, belirttiğiniz sanal ağ Yerel Ağ Ip adresi aralıklarında bulunan hedef IP’si olan trafik sanal ağ geçidinden geçer. Sanal ağ içinde yer alan bir hedef IP'ye sahip olan trafik, sanal ağ içinde kalır. Diğer trafik ortak ağlara yük dengeleyiciyle gönderilir veya zorlamalı tünel kullanılırsa, Azure VPN ağ geçidi üzerinden gönderilir.

VM ile RDP bağlantısı sorunlarını nasıl giderebilirim?

VPN bağlantınız üzerinden bir sanal makineye bağlanmakta sorun yaşıyorsanız aşağıdaki kontrolleri yapın:

  • VPN bağlantınızın başarılı olduğunu doğrulayın.
  • VM’nin özel IP adresine bağlandığınızı doğrulayın.
  • Bilgisayar adı yerine özel IP adresini kullanarak VM ile bağlantı kurabiliyorsanız, DNS’i düzgün yapılandırdığınızdan emin olun. VM’ler için ad çözümlemesinin nasıl çalıştığı hakkında daha fazla bilgi için bkz. VM'ler için Ad Çözümlemesi.

Noktadan Siteye bağlantı üzerinden bağlandığınızda aşağıdaki ek denetimleri yapın:

  • 'ipconfig' seçeneğini kullanarak bağlantıyı kurduğunuz bilgisayardaki Ethernet bağdaştırıcısına atanmış IPv4 adresini denetleyin. IP adresi bağlanacağınız sanal ağın adres aralığında veya VPNClientAddressPool adres aralığında ise, bu durum çakışan bir adres alanı olarak adlandırılır. Adres alanınız bu şekilde çakıştığında, ağ trafiği Azure’a ulaşmaz ve yerel ağda kalır.
  • Sanal ağ için DNS sunucusu IP adresleri belirtildikten sonra VPN istemci yapılandırma paketinin oluşturulduğunu doğrulayın. DNS sunucusu IP adreslerini güncelleştirdiyseniz, yeni bir VPN istemci yapılandırma paketi oluşturup yükleyin.

Bir RDP bağlantısıyla ilgili sorun giderme hakkında daha fazla bilgi için bkz. Bir VM ile Uzak Masaüstü bağlantılarında sorun giderme.

Sanal ağ hakkında SSS

Sanal ağ hakkında SSSbölümünde ek sanal ağ bilgileri görüntüleyebilirsiniz.

Sonraki adımlar

"OpenVPN", OpenVPN Inc 'nin ticari markasıdır.