VPN Gateway SSSVPN Gateway FAQ

Sanal ağlara bağlanmaConnecting to virtual networks

Farklı Azure bölgelerinde sanal ağlara bağlanabilir miyim?Can I connect virtual networks in different Azure regions?

Evet.Yes. Aslında, hiçbir bölge kısıtlaması yoktur.In fact, there is no region constraint. Bir sanal ağ aynı bölgedeki veya farklı bir Azure bölgesindeki başka bir sanal ağa bağlanabilir.One virtual network can connect to another virtual network in the same region, or in a different Azure region.

Farklı aboneliklerle sanal ağlara bağlanabilir miyim?Can I connect virtual networks in different subscriptions?

Evet.Yes.

Tek bir sanal ağdan birden çok siteye bağlanabilir miyim?Can I connect to multiple sites from a single virtual network?

Windows PowerShell ve Azure REST API'lerini kullanarak birden çok siteye bağlanabilirsiniz.You can connect to multiple sites by using Windows PowerShell and the Azure REST APIs. Çok siteli ve VNet - VNet Bağlantı SSS bölümüne bakın.See the Multi-Site and VNet-to-VNet Connectivity FAQ section.

Aktif olarak vpn ağ geçidi kurmak için ek bir maliyet var mı?Is there an additional cost for setting up a VPN gateway as active-active?

Hayır.No.

Şirket içi ve dışı bağlantı seçeneklerim nelerdir?What are my cross-premises connection options?

Aşağıdaki şirket içi ve dışı bağlantılar desteklenmektedir:The following cross-premises connections are supported:

  • Siteden Siteye – IPsec üzerinden (IKE v1 ve IKE v2) VPN bağlantısı.Site-to-Site – VPN connection over IPsec (IKE v1 and IKE v2). Bu bağlantı türüne şirket içi bir VPN cihazı ya da RRAS gerekir.This type of connection requires a VPN device or RRAS. Daha fazla bilgi için bkz. Siteden Siteye.For more information, see Site-to-Site.
  • Noktadan Siteye – SSTP (Güvenli Yuva Tünel Protokolü) veya IKE v2 üzerinden VPN bağlantısı.Point-to-Site – VPN connection over SSTP (Secure Socket Tunneling Protocol) or IKE v2. Bu bağlantıya VPN cihazı gerekmez.This connection does not require a VPN device. Daha fazla bilgi için bkz. Noktadan Siteye.For more information, see Point-to-Site.
  • Sanal Ağdan Sanal Ağa – Bu bağlantı türü, Siteden Siteye yapılandırmasıyla aynıdır.VNet-to-VNet – This type of connection is the same as a Site-to-Site configuration. VNet - VNet, IPsec üzerinden (IKE v1 ve IKE v2) bir VPN bağlantısıdır.VNet to VNet is a VPN connection over IPsec (IKE v1 and IKE v2). VPN cihazı gerekmez.It does not require a VPN device. Daha fazla bilgi için bkz. Sanal Ağdan Sanal Ağa.For more information, see VNet-to-VNet.
  • Çok Siteli – Birden çok şirket içi sitenin bir sanal ağa bağlanmasına olanak sağlayan Siteden Siteye yapılandırmanın bir çeşididir.Multi-Site – This is a variation of a Site-to-Site configuration that allows you to connect multiple on-premises sites to a virtual network. Daha fazla bilgi için bkz. Çok Siteli.For more information, see Multi-Site.
  • ExpressRoute – ExpressRoute, genel Internet üzerinden VPN bağlantısı değil, WAN'ınızdan Azure'a özel bir bağlantıdır.ExpressRoute – ExpressRoute is a private connection to Azure from your WAN, not a VPN connection over the public Internet. Daha fazla bilgi için bkz. ExpressRoute’a Teknik Genel Bakış ve ExpressRoute SSS.For more information, see the ExpressRoute Technical Overview and the ExpressRoute FAQ.

VPN ağ geçidi bağlantıları hakkında daha fazla bilgi için bkz. VPN Gateway Hakkında.For more information about VPN gateway connections, see About VPN Gateway.

Siteden Siteye bağlantı ve Noktadan Siteye bağlantı arasındaki fark nelerdir?What is the difference between a Site-to-Site connection and Point-to-Site?

Siteden Siteye (IPsec/IKE VPN tüneli) yapılandırmalar, şirket içi konumunuz ile Azure arasında yapılır.Site-to-Site (IPsec/IKE VPN tunnel) configurations are between your on-premises location and Azure. Diğer bir deyişle, şirket içinde yer alan bilgisayarlarla sanal makineler arasında ya da yönlendirme ve izin yapılandırmayı nasıl seçtiğinize bağlı olarak sanal ağınızdaki rol örneği ile bağlantı kurabilirsiniz.This means that you can connect from any of your computers located on your premises to any virtual machine or role instance within your virtual network, depending on how you choose to configure routing and permissions. Her zaman kullanıma uygun şirket içi ve dışı bağlantı için müthiş bir seçenek; karma yapılandırmalar için de çok uygundur.It's a great option for an always-available cross-premises connection and is well-suited for hybrid configurations. Bu tür bir bağlantı; ağınıza ucuna dağıtılmış olması gereken IPsec VPN uygulamasına bağlıdır (donanım cihazı veya yazılım aracı).This type of connection relies on an IPsec VPN appliance (hardware device or soft appliance), which must be deployed at the edge of your network. Bu tür bir bağlantı oluşturmak için harici olarak bakan bir IPv4 adresiniz olmalıdır.To create this type of connection, you must have an externally facing IPv4 address.

Noktadan Siteye (SSTP üzerinden VPN) yapılandırmalar, sanal ağınızda bulunan her yerden her şeye tek bir bilgisayardan bağlanmanızı sağlar.Point-to-Site (VPN over SSTP) configurations let you connect from a single computer from anywhere to anything located in your virtual network. Windows yerleşik VPN istemcisi kullanır.It uses the Windows in-box VPN client. Noktadan Siteye yapılandırmasının bir parçası olarak, bir sertifika ve bir VPN istemci yapılandırma paketi yüklerseniz; bu pakette, bilgisayarınızın sanal ağda herhangi bir sanal makineye veya rol örneğine bağlanmasını sağlayan ayarlar bulunur.As part of the Point-to-Site configuration, you install a certificate and a VPN client configuration package, which contains the settings that allow your computer to connect to any virtual machine or role instance within the virtual network. Şirket içi olmayan sanal ağa bağlanmak istediğinizde çok yararlıdır.It's great when you want to connect to a virtual network, but aren't located on-premises. Her ikisi de Siteden Siteye bağlantısına gereken VPN donanımına veya dışarıya dönük IPv4 adresine erişiminiz yoksa bu da iyi bir seçenektir.It's also a good option when you don't have access to VPN hardware or an externally facing IPv4 address, both of which are required for a Site-to-Site connection.

Siteden Siteye bağlantınızı ağ geçidinizi için rota tabanlı VPN türü kullanarak oluşturmanız kaydıyla, sanal ağınızı aynı anda hem Siteden Siteye, hem de Noktadan Siteye bağlanacak şekilde yapılandırabilirsiniz.You can configure your virtual network to use both Site-to-Site and Point-to-Site concurrently, as long as you create your Site-to-Site connection using a route-based VPN type for your gateway. Rota tabanlı VPN türlerine klasik dağıtım modelinde dinamik ağ geçitleri adı verilir.Route-based VPN types are called dynamic gateways in the classic deployment model.

Sanal ağ geçitleriVirtual network gateways

VPN ağ geçidi bir sanal ağ geçidi midir?Is a VPN gateway a virtual network gateway?

VPN ağ geçidi bir sanal ağ geçidi türüdür.A VPN gateway is a type of virtual network gateway. VPN ağ geçidi, şifrelenmiş trafiği bir genel bağlantı üzerinden sanal ağınız ile şirket içi konumunuz arasında gönderir.A VPN gateway sends encrypted traffic between your virtual network and your on-premises location across a public connection. Sanal ağlar arasında trafik göndermek için de VPN ağ geçidi kullanabilirsiniz.You can also use a VPN gateway to send traffic between virtual networks. Bir VPN ağ geçidi oluştururken 'Vpn' -GatewayType değerini kullanın.When you create a VPN gateway, you use the -GatewayType value 'Vpn'. Daha fazla bilgi için bkz. VPN Gateway yapılandırma ayarları hakkında.For more information, see About VPN Gateway configuration settings.

İlke tabanlı (statik yönlendirme) ağ geçidi nedir?What is a policy-based (static-routing) gateway?

İlke tabanlı ağ geçitleri, ilke tabanlı VPN'leri uygular.Policy-based gateways implement policy-based VPNs. İlke temelli VPN'ler, şirket içi ağınızla Azure VNet'iniz arasında adres öneklerinin birleşimleri temelindeki IPsec tüneller üzerinden paketleri şifreler ve yönlendirirler.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the combinations of address prefixes between your on-premises network and the Azure VNet. İlke (veya Trafik Seçici) çoğunlukla VPN yapılandırmasında bir erişim listesi olarak tanımlanır.The policy (or Traffic Selector) is usually defined as an access list in the VPN configuration.

Rota tabanlı (dinamik yönlendirme) ağ geçidi nedir?What is a route-based (dynamic-routing) gateway?

Rota tabanlı ağ geçitleri yol tabanlı VPN'leri uygular.Route-based gateways implement the route-based VPNs. Rota temelli VPN'ler, paketleri kendi ilgili arabirimlerine yönlendirmek için IP iletme veya yönlendirme tablosunda "yolları" seçeneğini kullanır.Route-based VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. Bundan sonra tünel arabirimleri, paketleri tünellerin içinde veya dışında şifreler veya şifrelerini çözer.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. Rota temelli VPN’lerle ilgili ilke veya trafik seçici herhangi birinden herhangi birine (veya joker karakterler) olarak yapılandırılır.The policy or traffic selector for route-based VPNs are configured as any-to-any (or wild cards).

İlke tabanlı VPN ağ geçidimi rota tabanlı olarak güncelleyebilir miyim?Can I update my policy-based VPN gateway to route-based?

Hayır.No.Bir Azure sanal ağ geçidi türü ilke temelli veya rota temelli olarak değiştirilemez. An Azure Vnet gateway type cannot be changed from policy-based to route-based or the other way. Ağ geçidinin silinip yeniden oluşturulması gerekir ve bu işlem yaklaşık 60 dakika sürer.The gateway must be deleted and recreated, a process taking around 60 minutes. Ağ geçidinin IP adresi veya Önceden Paylaşılan Anahtar (PSK) korunmaz.The IP address of the gateway will not be preserved nor will the Pre-Shared Key (PSK).

  1. Silinecek ağ geçidiyle ilişkilendirilmiş bağlantıları silin.Delete any connections associated with the gateway to be deleted.
  2. Ağ geçidini silin:Delete the gateway:
  3. İstediğindiğiniz türde yeni bir ağ geçidi oluşturun ve VPN kurulumuna tamamlayın.Create a new gateway of the type you want and complete the VPN setup.

'GatewaySubnet' gerekli mi?Do I need a 'GatewaySubnet'?

Evet.Yes. Ağ geçidi alt ağı, sanal ağ geçidi hizmetlerinin kullandığı IP adreslerini içerir.The gateway subnet contains the IP addresses that the virtual network gateway services use. Bir sanal ağ geçidi yapılandırmak için sanal ağınıza yönelik bir ağ geçidi alt ağı oluşturmanız gerekir.You need to create a gateway subnet for your VNet in order to configure a virtual network gateway. Tüm ağ geçidi alt ağlarının düzgün çalışması için GatewaySubnet şeklinde adlandırılması gerekir.All gateway subnets must be named 'GatewaySubnet' to work properly. Ağ geçidi alt ağını başka şekilde adlandırmayın.Don't name your gateway subnet something else. VM’leri veya herhangi başka bir şeyi de ağ geçidi alt ağına dağıtmayın.And don't deploy VMs or anything else to the gateway subnet.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Ağ geçidi alt ağındaki IP adresleri, ağ geçidi hizmetine ayrılır.The IP addresses in the gateway subnet are allocated to the gateway service. Bazı yapılandırmalar, ağ geçidi hizmetlerine daha fazla IP adresi ayrılmasını gerektirir.Some configurations require more IP addresses to be allocated to the gateway services than do others. Gelecekteki büyümeye ve meydana gelebilecek diğer yeni bağlantı yapılandırmalarına uyum sağlaması için ağ geçidi alt ağınızın yeterince IP adresi içerdiğinden emin olmanız gerekir.You want to make sure your gateway subnet contains enough IP addresses to accommodate future growth and possible additional new connection configurations. Bu nedenle, /29 kadar küçük bir ağ geçidi alt ağı oluşturmanız mümkün olsa da /27 veya daha büyük bir (/27, /26, /25 vb.) ağ geçidi alt ağı oluşturmanız önerilir.So, while you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26, /25 etc.). Oluşturmak istediğiniz yapılandırmanın gereksinimlerine bakın ve sahip olduğunuz ağ geçidi alt ağının bu gereksinimleri karşıladığından emin olun.Look at the requirements for the configuration that you want to create and verify that the gateway subnet you have will meet those requirements.

Sanal Makineleri veya rol örneklerini ağ geçidi alt ağıma dağıtabilir miyim?Can I deploy Virtual Machines or role instances to my gateway subnet?

Hayır.No.

Oluşturmadan önce VPN ağ geçidi IP adresimi alabilir miyim?Can I get my VPN gateway IP address before I create it?

Bölge gereksiz ve bölge ağ geçitleri (adda AZ olan ağ geçidi SKU'lar) her ikisi de standart SKU Azure genel IP kaynağına güvenir.Zone-redundant and zonal gateways (gateway SKUs that have AZ in the name) both rely on a Standard SKU Azure public IP resource. Azure Standart SKU genel IP kaynakları statik bir ayırma yöntemi kullanmalıdır.Azure Standard SKU public IP resources must use a static allocation method. Bu nedenle, vpn ağ geçidiniz için kullanmak istediğiniz Standart SKU genel IP kaynağını oluşturur oluşturmaz genel IP adresine sahip olursunuz.Therefore, you will have the public IP address for your VPN gateway as soon as you create the Standard SKU public IP resource you intend to use for it.

Bölge gereksiz olmayan ve zonal olmayan ağ geçitleri (adda AZ olmayan ağ geçidi SUS'ları) için, oluşturulmadan önce VPN ağ geçidi IP adresini alamazsınız.For non-zone-redundant and non-zonal gateways (gateway SKUs that do not have AZ in the name), you cannot get the VPN gateway IP address before it is created. IP adresi yalnızca VPN ağ geçidinizi siler ve yeniden oluşturursanız değişir.The IP address changes only if you delete and re-create your VPN gateway.

VPN ağ geçidim için bir Statik Genel IP adresi isteğinde bulunabilir miyim?Can I request a Static Public IP address for my VPN gateway?

Yukarıda belirtildiği gibi, bölge gereksiz ve bölge ağ geçitleri (adda AZ olan ağ geçidi SKU'ları) her ikisi de standart sku Azure genel IP kaynağına güvenir.As stated above, zone-redundant and zonal gateways (gateway SKUs that have AZ in the name) both rely on a Standard SKU Azure public IP resource. Azure Standart SKU genel IP kaynakları statik bir ayırma yöntemi kullanmalıdır.Azure Standard SKU public IP resources must use a static allocation method.

Bölge gereksiz olmayan ve zonal olmayan ağ geçitleri (adda AZ olmayan ağ geçidi SUS'ları) için yalnızca dinamik IP adresi ataması desteklenir.For non-zone-redundant and non-zonal gateways (gateway SKUs that do not have AZ in the name), only dynamic IP address assignment is supported. Ancak bu, IP adresinin VPN ağ geçidinize atandıktan sonra değiştiği anlamına gelmez.However, this doesn't mean that the IP address changes after it has been assigned to your VPN gateway. VPN ağ geçidi IP adresiyalnızca ağ geçidi silindiğinde ve sonra yeniden oluşturulduğunda değişir.The only time the VPN gateway IP address changes is when the gateway is deleted and then re-created. VPN ağ geçidinin genel IP adresi, VPN ağ geçidinizin diğer dahili bakımlarını ve yükseltmelerini yeniden boyutlandırdığınızda, sıyrıkla veya tamamladığınızda değişmez.The VPN gateway public IP address doesn't change when you resize, reset, or complete other internal maintenance and upgrades of your VPN gateway.

VPN tünelimin kimliği nasıl doğrulanır?How does my VPN tunnel get authenticated?

Azure VPN PSK (Önceden Paylaşılan Anahtar) kimlik doğrulamasını kullanır.Azure VPN uses PSK (Pre-Shared Key) authentication. VPN tüneli oluşturduğumuzda önceden paylaşılan anahtar (PSK) oluştururuz.We generate a pre-shared key (PSK) when we create the VPN tunnel. Otomatik olarak oluşturulan PSK’yi, Önceden Paylaştırılan Anahtar PowerShell cmdlet'ini veya REST API’sini Ayarla ile kendi istediğiniz gibi değiştirebilirsiniz.You can change the auto-generated PSK to your own with the Set Pre-Shared Key PowerShell cmdlet or REST API.

Önceden Paylaşılan Anahtar API’sini Ayarla’yı ilke tabanlı (statik yönlendirme) ağ geçidi VPN’mi yapılandırmak için kullanabilir miyim?Can I use the Set Pre-Shared Key API to configure my policy-based (static routing) gateway VPN?

Evet, Önceden Paylaşılan Anahtar API’sini ve PowerShell cmdlet’ini Ayarla, hem Azure ilke tabanlı (statik) VPN'ler, hem de rota tabanlı (dinamik) yönlendirme VPN'leri yapılandırmak için kullanılabilir.Yes, the Set Pre-Shared Key API and PowerShell cmdlet can be used to configure both Azure policy-based (static) VPNs and route-based (dynamic) routing VPNs.

Diğer kimlik doğrulama seçeneklerini kullanabilir miyim?Can I use other authentication options?

Önceden paylaşılan anahtarı (PSK) kimlik doğrulaması için sınırladık.We are limited to using pre-shared keys (PSK) for authentication.

VPN ağ geçidime hangi trafiğin gideceğini nasıl belirtirim?How do I specify which traffic goes through the VPN gateway?

Resource Manager dağıtım modeliResource Manager deployment model

  • PowerShell: yerel ağ geçidinize ait trafiği belirtmek için "AddressPrefix" kullanın.PowerShell: use "AddressPrefix" to specify traffic for the local network gateway.
  • Azure portalı: Yerel ağ geçidi > Yapılandırma > Adres alanı'na gidin.Azure portal: navigate to the Local network gateway > Configuration > Address space.

Klasik dağıtım modeliClassic deployment model

  • Azure portalı: Klasik sanal ağ > VPN bağlantıları > Siteden siteye VPN bağlantıları > Yerel site adı > Yerel site > İstemci adres alanı yolunu izleyin.Azure portal: navigate to the classic virtual network > VPN connections > Site-to-site VPN connections > Local site name > Local site > Client address space.

Zorlamalı Tüneli yapılandırabilir miyim?Can I configure Force Tunneling?

Evet.Yes. Bkz. Zorlamalı tüneli yapılandırma.See Configure force tunneling.

Azure'da kendi VPN sunucumu kurup bu sunucuyu şirket içi ağıma bağlanmak üzere kullanabilir miyim?Can I set up my own VPN server in Azure and use it to connect to my on-premises network?

Evet, Azure’de kendi VPN ağ geçitlerinizi veya sunucularınızı ister Azure Market’ten, ister kendi VPN yönlendiricilerinizi oluşturarak dağıtabilirsiniz.Yes, you can deploy your own VPN gateways or servers in Azure either from the Azure Marketplace or creating your own VPN routers. Şirket içi ağlarınız ve sanal ağ alt ağları arasında trafiğin düzgün yönlendirilmesini sağlamak amacıyla sanal ağınızda kullanıcı tanımlı yolları yapılandırmanız gerekir.You need to configure user-defined routes in your virtual network to ensure traffic is routed properly between your on-premises networks and your virtual network subnets.

Sanal ağ ağ geçidimde neden belirli bağlantı noktaları açılıyor?Why are certain ports opened on my virtual network gateway?

Azure altyapı iletişimi için gereklidirler.They are required for Azure infrastructure communication. Bunlar Azure sertifikaları tarafından korunur (kilitlenir).They are protected (locked down) by Azure certificates. Uygun sertifikaları olmadan, bu ağ geçitlerinin müşterileri de dahil dış varlıklar, bu uç noktalarında etkiye neden olamazlar.Without proper certificates, external entities, including the customers of those gateways, will not be able to cause any effect on those endpoints.

Sanal ağ ağ geçidi temelde bir NIC müşteri özel ağına dokunarak ve bir NIC ortak ağ bakan çok evli bir cihazdır.A virtual network gateway is fundamentally a multi-homed device with one NIC tapping into the customer private network, and one NIC facing the public network. Azure altyapı varlıkları uyum nedenleriyle müşterinin özel ağlarına dokunamazlar; bu nedenle altyapı iletişimi için ortak uç noktaları kullanmaları gerekir.Azure infrastructure entities cannot tap into customer private networks for compliance reasons, so they need to utilize public endpoints for infrastructure communication. Ortak uç noktalar düzenli aralıklarla Azure güvenlik denetimi tarafından taranır.The public endpoints are periodically scanned by Azure security audit.

Ağ geçidi türleri, gereksinimleri ve verimliliği hakkında daha fazla bilgiMore information about gateway types, requirements, and throughput

Daha fazla bilgi için bkz. VPN Gateway yapılandırma ayarları hakkında.For more information, see About VPN Gateway configuration settings.

Siteden Siteye bağlantılar ve VPN cihazlarıSite-to-Site connections and VPN devices

VPN cihazını seçerken nelere dikkat etmeliyim?What should I consider when selecting a VPN device?

Cihaz satıcılarıyla işbirliğiyle bir dizi standart Siteden Siteye VPN cihazını doğruladık.We have validated a set of standard Site-to-Site VPN devices in partnership with device vendors. Bilinen uyumlu VPN cihazlarının listesi, ilgili yapılandırma yönergeleri veya örnekleri ve cihaz özellikleri listesi VPN cihazları hakkında makalesinde bulunabilir.A list of known compatible VPN devices, their corresponding configuration instructions or samples, and device specs can be found in the About VPN devices article. Bilinen uyumlu olarak listelenen cihaz ailelerindeki tüm cihazlar Virtual Network ile çalışmalıdır.All devices in the device families listed as known compatible should work with Virtual Network. VPN cihazınızı yapılandırmaya yardım için uygun cihaz ailesine karşılık gelen cihaz yapılandırma örneğine veya bağlantılara bakın.To help configure your VPN device, refer to the device configuration sample or link that corresponds to appropriate device family.

VPN cihazı yapılandırma ayarlarını nerede bulabilirim?Where can I find VPN device configuration settings?

VPN cihazı yapılandırma betiklerini indirmek içinTo download VPN device configuration scripts:

Sahip olduğunuz VPN cihazına bağlı olarak, bir VPN cihazı yapılandırma betiğini indirebilirsiniz.Depending on the VPN device that you have, you may be able to download a VPN device configuration script. Daha fazla bilgi için bkz. VPN cihazı yapılandırma betiklerini indirme.For more information, see Download VPN device configuration scripts.

Ek yapılandırma bilgileri için aşağıdaki bağlantılara bakın:See the following links for additional configuration information:

VPN cihazı yapılandırma örneklerini nasıl düzenleyebilirim?How do I edit VPN device configuration samples?

Cihaz yapılandırma örneklerini düzenleme hakkında daha fazla bilgi için bkz. Örnekleri düzenleme.For information about editing device configuration samples, see Editing samples.

IPsec ve IKE parametrelerini nerede bulabilirim?Where do I find IPsec and IKE parameters?

IPsec/IKE parametreleri için bkz. Parametreler.For IPsec/IKE parameters, see Parameters.

Trafik boştayken neden ilke tabanlı VPN tünelim kayboluyor?Why does my policy-based VPN tunnel go down when traffic is idle?

İlke tabanlı (statik rota olarak da bilinir) VPN Ağ geçitleri için bu beklenen bir davranıştır.This is expected behavior for policy-based (also known as static routing) VPN gateways. tünel üzerindeki trafik 5 dakikadan fazla boşta kalırsa tünel bozulur.When the traffic over the tunnel is idle for more than 5 minutes, the tunnel will be torn down. Herhangi bir yönde trafik akışı başladığında tünel hemen yeniden başlatılır.When traffic starts flowing in either direction, the tunnel will be reestablished immediately.

Azure'e bağlanmak için VPN'ler yazılımını kullanabilir miyim?Can I use software VPNs to connect to Azure?

Siteden Siteyi şirket içi ve dışı yapılandırması için Windows Server 2012 Yönlendirme ve Uzaktan Erişim (RRAS) sunucularını destekliyoruz.We support Windows Server 2012 Routing and Remote Access (RRAS) servers for Site-to-Site cross-premises configuration.

Endüstri standardı IPsec uygulamalarıyla uyumlu olana kadar diğer yazılım VPN çözümleri bizim ağ geçidimizle çalışmalıdır.Other software VPN solutions should work with our gateway as long as they conform to industry standard IPsec implementations. Yapılandırma ve destek hakkında yönergeler için yazılım satıcısına başvurun.Contact the vendor of the software for configuration and support instructions.

Noktaya bağlantılarımın kimlik doğrulama türünü nasıl değiştiririm?How do I change the authentication type for my point-to-site connections?

VPN Ağ Geçidi altındaki Noktadan siteye yapılandırma bölümüne giderek ve istediğiniz radyo düğmesini kontrol ederek, noktaya bağlantılarınızın kimlik doğrulama yöntemini değiştirebilirsiniz.You can change the authentication method for your point-to-site connections by going to the Point-to-site configuration section under the VPN Gateway and checking the desired radio button. Geçerli seçenekler Azure sertifikası, RADIUS kimlik doğrulaması ve Azure Etkin Dizini'dir.Current options are Azure certificate, RADIUS authentication and Azure Active Directory. Yeni profil indirilip istemci üzerinde yapılandırılınceye kadar geçerli istemcilerin değişiklikten sonra bağlanamayabileceğini lütfen unutmayın.Please note that current clients may not be able to connect after the change until the new profile has been downloaded and configured on the client.

Yerel Azure sertifika doğrulamasını kullanarak Noktadan SiteyePoint-to-Site using native Azure certificate authentication

Bu bölüm Resource Manager dağıtım modeli için geçerlidir.This section applies to the Resource Manager deployment model.

Noktadan Siteye yapılandırmamda kaç VPN istemci uç noktam olabilir?How many VPN client endpoints can I have in my Point-to-Site configuration?

Bu ağ geçidi SKU bağlıdır.It depends on the gateway SKU. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için ağ geçidi SNU'larınabakın.For more information on the number of connections supported, see Gateway SKUs.

Noktadan Siteye ile hangi istemci işletim sistemlerini kullanabilirim?What client operating systems can I use with Point-to-Site?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:The following client operating systems are supported:

  • Windows 7 (32 bit ve 64 bit)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (yalnızca 64 bit)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bit ve 64 bit)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (yalnızca 64 bit)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (yalnızca 64 bit)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (yalnızca 64 bit)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X sürüm 10.11 veya üzeriMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Not

1 Temmuz 2018 tarihinden itibaren TLS 1.0 ve 1.1 desteği Azure VPN Gateway'den kaldırılıyor.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway, yalnızca TLS 1.2’yi destekleyecektir.VPN Gateway will support only TLS 1.2. Desteği korumak için TLS1.2 desteğini etkinleştirmek için güncelleştirmelerebakın.To maintain support, see the updates to enable support for TLS1.2.

Ayrıca, 1 Temmuz 2018 tarihinde TLS için aşağıdaki eski algoritmalar da amortismana alınacaktır:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Şifrelemesi 4)RC4 (Rivest Cipher 4)
  • DES (Veri Şifreleme Algoritması)DES (Data Encryption Algorithm)
  • 3DES (Üçlü Veri Şifreleme Algoritması)3DES (Triple Data Encryption Algorithm)
  • MD5 (İleti Özeti 5)MD5 (Message Digest 5)

Windows 7 ve Windows 8.1'de TLS 1.2 desteğini nasıl etkinleştirebilirim?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Komut İstemi'ni sağ tıklayarak ve yönetici olarak Çalıştır'ıseçerek yüksek ayrıcalıklara sahip bir komut istemi açın.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Komut isteminde aşağıdaki komutları çalıştırın:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Aşağıdaki güncelleştirmeleri yükleyin:Install the following updates:

  4. Bilgisayarı yeniden başlatın.Reboot the computer.

  5. VPN'e bağlanın.Connect to the VPN.

Not

Windows 10'un (10240) eski bir sürümünü çalıştırıyorsanız yukarıdaki kayıt defteri anahtarını ayarlamanız gerekir.You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Noktadan Siteye özelliğini kullanarak ara sunucuları ve güvenlik duvarlarını geçirebilir miyim?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure, üç tür Noktaya Bilgisayar VPN seçeneğini destekler:Azure supports three types of Point-to-site VPN options:

  • Güvenli Yuva Tünel Protokolü (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP, çoğu güvenlik duvarı 443 SSL'nin kullandığı giden TCP bağlantı noktasını açtığı ndan güvenlik duvarlarına nüfuz edebilen Microsoft tescilli SSL tabanlı bir çözümdür.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • Openvpn.OpenVPN. OpenVPN, çoğu güvenlik duvarı 443 SSL'nin kullandığı giden TCP bağlantı noktasını açtığı ndan güvenlik duvarlarına nüfuz edebilen SSL tabanlı bir çözümdür.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. IKEv2 VPN, 500 ve 4500 ve IP protokol no giden UDP bağlantı noktalarını kullanan standartlara dayalı bir IPsec VPN çözümüdür.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. kullanır.50. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz ve bu nedenle IKEv2 VPN’nin proxy ile güvenlik duvarlarını geçememe olasılığı vardır.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Noktadan Siteye için yapılandırılmış istemci bilgisayarını yeniden başlatırsam VPN de otomatik olarak yeniden bağlanacak mı?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Varsayılan olarak, istemci bilgisayar VPN bağlantısını otomatik olarak yeniden başlatmaz.By default, the client computer will not reestablish the VPN connection automatically.

Noktadan Siteye, VPN istemcilerde otomatik yeniden bağlanmayı ve DDNS’yi destekler mi?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Otomatik olarak yeniden ve DDNS şu anda Noktadan Siteye VPN'lerde desteklenmiyor.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Siteden Siteye ve Noktadan Siteye yapılandırmalarına aynı sanal ağda birlikte sahip olabilir miyim?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Evet.Yes. Resouce Manager dağıtım modeli için, ağ geçidiniz için RouteBased VPN türü olmalıdır.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir.For the classic deployment model, you need a dynamic gateway. Statik yönlendirme VPN ağ geçitleri veya PolicyBased VPN ağ geçitleri için Noktadan Siteye çözümünü desteklemiyoruz.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Aynı anda birden çok sanal ağ ağ geçidine bağlanmak için bir Noktaya Nokta istemcisi yapılandırabilir miyim?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

Kullanılan VPN İstemci yazılımına bağlı olarak, bağlanan sanal ağların aralarında çakışan adres boşlukları olmaması veya istemciden bağlanan ağ dışında olması koşuluyla birden çok Sanal Ağ Ağ Geçidi'ne bağlanabilirsiniz.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Azure VPN İstemcisi birçok VPN bağlantısını desteklerken, herhangi bir anda yalnızca bir bağlantı bağlanabilir.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Aynı anda birden çok sanal ağa bağlanmak için Noktadan Siteye istemcisi yapılandırabilir miyim?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Evet, diğer VNet'lerle birlikte görünen bir VNet'te dağıtılan sanal ağ ağ geçidine yapılan noktadan siteye bağlantılar, diğer eşlenen VNet'lere erişebilir.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Bakan VNet'lerin UseRemoteGateway / AllowGatewayTransit özelliklerini kullanması koşuluyla, Noktadan Siteye istemci bu bakan VNet'lere bağlanabilecektir.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Daha fazla bilgi için lütfen bu makaleye başvurun.For more information please reference this article.

Siteden Siteye ve Noktadan Siteye bağlantılardan ne kadar verimlilik bekleyebilirim?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

VPN tünellerinin tam verimini elde etmek zordur.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir.IPsec and SSTP are crypto-heavy VPN protocols. Verimlilik, şirket içi ve İnternet arasındaki bant genişliğiyle ve gecikme süresiyle de sınırlıdır.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Yalnızca IKEv2 Noktadan Siteye VPN bağlantıları olan bir VPN Gateway için, bekleyebileceğiniz toplam aktarım hızı Ağ Geçidi SKU’suna bağlıdır.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ geçidi SKU’ları.For more information on throughput, see Gateway SKUs.

SSTP ve/veya IKEv2 desteği sağlayan Noktadan Siteye bağlantı için herhangi bir yazılım VPN istemcisi kullanabilir miyim?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Hayır.No. SSTP için yalnızca Windows’daki yerel VPN istemcisini ve IKEv2 için yalnızca Mac’teki yerel VPN istemcisini kullanabilirsiniz.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Ancak, OpenVPN protokolü üzerinden bağlanmak için tüm platformlarda OpenVPN istemcisini kullanabilirsiniz.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Desteklenen istemci işletim sistemleri listesine başvurun.Refer to the list of supported client operating systems.

Azure Windows ile IKEv2 VPN destekler mi?Does Azure support IKEv2 VPN with Windows?

IKEv2, Windows 10 ve Server 2016’da desteklenir.IKEv2 is supported on Windows 10 and Server 2016. Ancak IKEv2 kullanmak için güncelleştirmeleri yüklemeli ve yerel bir kayıt defteri anahtar değeri ayarlamalısınız.However, in order to use IKEv2, you must install updates and set a registry key value locally. Windows 10'dan önceki işletim sistemi sürümleri desteklenmez ve yalnızca SSTP veya OpenVPN® Protokolü'nükullanabilir.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

IKEv2 için Windows 10 ve Server 2016’yı hazırlamak için:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Güncelleştirmeyi yükleyin.Install the update.

    İşletim sistemi sürümüOS version TarihDate Sayı/BağlantıNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 Sürüm 1607Windows 10 Version 1607
    17 Ocak 2018January 17, 2018 KB4057142KB4057142
    Windows 10 Sürüm 1703Windows 10 Version 1703 17 Ocak 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Sürüm 1709Windows 10 Version 1709 22 Mart 2018March 22, 2018 KB4089848KB4089848
  2. Kayıt defteri anahtar değerini ayarlayın.Set the registry key value. Kayıt defterinde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD anahtarını oluşturun veya 1 olarak ayarlayın.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırırsam ne olur?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Karma bir ortamda (Windows ve Mac cihazlarından oluşan) hem SSTP hem de IKEv2 yapılandırdığınızda, Windows VPN istemcisi her zaman ilk önce IKEv2 tünelini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP’ye geri döner.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX yalnızca IKEv2 üzerinden bağlanır.MacOSX will only connect via IKEv2.

Azure, P2S VPN için Windows ve Mac dışında hangi platformları destekliyor?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure, P2S VPN için Windows, Mac ve Linux’u destekler.Azure supports Windows, Mac and Linux for P2S VPN.

Zaten dağıtılmış bir Azure VPN Gateway’im var.I already have an Azure VPN Gateway deployed. Bu ağ geçidi üzerinde RADIUS ve/veya IKEv2 VPN etkinleştirebilir miyim?Can I enable RADIUS and/or IKEv2 VPN on it?

Evet, kullandığınız ağ geçidi SKU’sunun RADIUS ve/veya IKEv2’yi desteklemesi şartıyla Azure portalı veya PowerShell’i kullanarak zaten dağıtılmış ağ geçitleri üzerinde bu yeni özellikleri etkinleştirebilirsiniz.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Örneğin VPN ağ geçidi Temel SKU’su RADIUS’u veya IKEv2’yi desteklemez.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

P2S bağlantısıyapılandırmasını nasıl kaldırırım?How do I remove the configuration of a P2S connection?

Bir P2S yapılandırması Aşağıdaki komutlar kullanılarak Azure CLI ve PowerShell kullanılarak kaldırılabilir:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Sertifika kimlik doğrulaması kullanarak bağlanırken sertifika uyuşmazlığı alıyorsam ne yapmalıyım?What should I do if I'm getting a certificate mismatch when connecting using certificate authentication?

"Sertifikayı doğrulayarak sunucunun kimliğini doğrulayın" veya el ile profil oluştururken sunucu FQDN'yi sertifikayla birlikte ekleyin.Uncheck "Verify the server's identity by validating the certificate" or add the server FQDN along with the certificate when creating a profile manually. Bunu, bir komut isteminden rasphone çalıştırarak ve açılan listeden profili seçerek yapabilirsiniz.You can do this by running rasphone from a command prompt and picking the profile from the drop-down list.

Sunucu kimlik doğrulamasını atlayarak genel olarak önerilmez, ancak Azure sertifikası kimlik doğrulaması ile aynı sertifika VPN tünelleme protokolünde (IKEv2/SSTP) ve EAP protokolünde sunucu doğrulaması için kullanılır.Bypassing server identity validation is not recommended in general, but with Azure certificate authentication, the same certificate is being used for server validation in the VPN tunneling protocol (IKEv2/SSTP) and the EAP protocol. Sunucu sertifikası ve FQDN vpn tünelleme protokolü tarafından zaten doğrulandığı için, EAP'de aynı şeyi yeniden doğrulamak gereksizdir.Since the server certificate and FQDN is already validated by the VPN tunneling protocol, it is redundant to validate the same again in EAP.

noktadan siteyepoint-to-site

Site'ye Nokta bağlantısı için sertifikalar oluşturmak için kendi dahili PKI kök CA'mı kullanabilir miyim?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Evet.Yes. Önceden, yalnızca otomatik olarak imzalanan kök sertifikalar kullanılabiliyordu.Previously, only self-signed root certificates could be used. 20 kök sertifika yükleyebilirsiniz.You can still upload 20 root certificates.

Azure Key Vault'un sertifikalarını kullanabilir miyim?Can I use certificates from Azure Key Vault?

Hayır.No.

Sertifikaları oluşturmak için hangi araçları kullanabilirim?What tools can I use to create certificates?

Kurumsal PKI çözümünüzü (dahili PKI'nizi), Azure PowerShell'i, MakeCert'i ve OpenSSL'yi kullanabilirsiniz.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Sertifika ayarları ve parametreler için yönergeler var mı?Are there instructions for certificate settings and parameters?

  • Dahili PKI/Kurumsal PKI çözümü:Sertifikaları oluşturma adımlarına bakın.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: Adımlar için Azure PowerShell makalesine bakın.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: Adımlar için MakeCert makalesine bakın.MakeCert: See the MakeCert article for steps.

  • Openssl:OpenSSL:

    • Sertifikaları dışarı aktarırken kök sertifikayı Base64'e dönüştürdüğünüzden emin olun.When exporting certificates, be sure to convert the root certificate to Base64.

    • İstemci sertifikası için:For the client certificate:

      • Özel anahtarı oluştururken uzunluğu 4096 olarak belirtin.When creating the private key, specify the length as 4096.
      • Sertifikayı oluştururken, -extensions parametresini usr_cert olarak belirtin.When creating the certificate, for the -extensions parameter, specify usr_cert.

RADIUS kimlik doğrulamasını kullanarak Noktadan SiteyePoint-to-Site using RADIUS authentication

Bu bölüm Resource Manager dağıtım modeli için geçerlidir.This section applies to the Resource Manager deployment model.

Noktadan Siteye yapılandırmamda kaç VPN istemci uç noktam olabilir?How many VPN client endpoints can I have in my Point-to-Site configuration?

Bu ağ geçidi SKU bağlıdır.It depends on the gateway SKU. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için ağ geçidi SNU'larınabakın.For more information on the number of connections supported, see Gateway SKUs.

Noktadan Siteye ile hangi istemci işletim sistemlerini kullanabilirim?What client operating systems can I use with Point-to-Site?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:The following client operating systems are supported:

  • Windows 7 (32 bit ve 64 bit)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (yalnızca 64 bit)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bit ve 64 bit)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (yalnızca 64 bit)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (yalnızca 64 bit)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (yalnızca 64 bit)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X sürüm 10.11 veya üzeriMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Not

1 Temmuz 2018 tarihinden itibaren TLS 1.0 ve 1.1 desteği Azure VPN Gateway'den kaldırılıyor.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway, yalnızca TLS 1.2’yi destekleyecektir.VPN Gateway will support only TLS 1.2. Desteği korumak için TLS1.2 desteğini etkinleştirmek için güncelleştirmelerebakın.To maintain support, see the updates to enable support for TLS1.2.

Ayrıca, 1 Temmuz 2018 tarihinde TLS için aşağıdaki eski algoritmalar da amortismana alınacaktır:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Şifrelemesi 4)RC4 (Rivest Cipher 4)
  • DES (Veri Şifreleme Algoritması)DES (Data Encryption Algorithm)
  • 3DES (Üçlü Veri Şifreleme Algoritması)3DES (Triple Data Encryption Algorithm)
  • MD5 (İleti Özeti 5)MD5 (Message Digest 5)

Windows 7 ve Windows 8.1'de TLS 1.2 desteğini nasıl etkinleştirebilirim?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Komut İstemi'ni sağ tıklayarak ve yönetici olarak Çalıştır'ıseçerek yüksek ayrıcalıklara sahip bir komut istemi açın.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Komut isteminde aşağıdaki komutları çalıştırın:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Aşağıdaki güncelleştirmeleri yükleyin:Install the following updates:

  4. Bilgisayarı yeniden başlatın.Reboot the computer.

  5. VPN'e bağlanın.Connect to the VPN.

Not

Windows 10'un (10240) eski bir sürümünü çalıştırıyorsanız yukarıdaki kayıt defteri anahtarını ayarlamanız gerekir.You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Noktadan Siteye özelliğini kullanarak ara sunucuları ve güvenlik duvarlarını geçirebilir miyim?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure, üç tür Noktaya Bilgisayar VPN seçeneğini destekler:Azure supports three types of Point-to-site VPN options:

  • Güvenli Yuva Tünel Protokolü (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP, çoğu güvenlik duvarı 443 SSL'nin kullandığı giden TCP bağlantı noktasını açtığı ndan güvenlik duvarlarına nüfuz edebilen Microsoft tescilli SSL tabanlı bir çözümdür.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • Openvpn.OpenVPN. OpenVPN, çoğu güvenlik duvarı 443 SSL'nin kullandığı giden TCP bağlantı noktasını açtığı ndan güvenlik duvarlarına nüfuz edebilen SSL tabanlı bir çözümdür.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. IKEv2 VPN, 500 ve 4500 ve IP protokol no giden UDP bağlantı noktalarını kullanan standartlara dayalı bir IPsec VPN çözümüdür.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. kullanır.50. Güvenlik duvarları her zaman bu bağlantı noktalarını açmaz ve bu nedenle IKEv2 VPN’nin proxy ile güvenlik duvarlarını geçememe olasılığı vardır.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Noktadan Siteye için yapılandırılmış istemci bilgisayarını yeniden başlatırsam VPN de otomatik olarak yeniden bağlanacak mı?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Varsayılan olarak, istemci bilgisayar VPN bağlantısını otomatik olarak yeniden başlatmaz.By default, the client computer will not reestablish the VPN connection automatically.

Noktadan Siteye, VPN istemcilerde otomatik yeniden bağlanmayı ve DDNS’yi destekler mi?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Otomatik olarak yeniden ve DDNS şu anda Noktadan Siteye VPN'lerde desteklenmiyor.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Siteden Siteye ve Noktadan Siteye yapılandırmalarına aynı sanal ağda birlikte sahip olabilir miyim?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Evet.Yes. Resouce Manager dağıtım modeli için, ağ geçidiniz için RouteBased VPN türü olmalıdır.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir.For the classic deployment model, you need a dynamic gateway. Statik yönlendirme VPN ağ geçitleri veya PolicyBased VPN ağ geçitleri için Noktadan Siteye çözümünü desteklemiyoruz.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Aynı anda birden çok sanal ağ ağ geçidine bağlanmak için bir Noktaya Nokta istemcisi yapılandırabilir miyim?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

Kullanılan VPN İstemci yazılımına bağlı olarak, bağlanan sanal ağların aralarında çakışan adres boşlukları olmaması veya istemciden bağlanan ağ dışında olması koşuluyla birden çok Sanal Ağ Ağ Geçidi'ne bağlanabilirsiniz.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Azure VPN İstemcisi birçok VPN bağlantısını desteklerken, herhangi bir anda yalnızca bir bağlantı bağlanabilir.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Aynı anda birden çok sanal ağa bağlanmak için Noktadan Siteye istemcisi yapılandırabilir miyim?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Evet, diğer VNet'lerle birlikte görünen bir VNet'te dağıtılan sanal ağ ağ geçidine yapılan noktadan siteye bağlantılar, diğer eşlenen VNet'lere erişebilir.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Bakan VNet'lerin UseRemoteGateway / AllowGatewayTransit özelliklerini kullanması koşuluyla, Noktadan Siteye istemci bu bakan VNet'lere bağlanabilecektir.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Daha fazla bilgi için lütfen bu makaleye başvurun.For more information please reference this article.

Siteden Siteye ve Noktadan Siteye bağlantılardan ne kadar verimlilik bekleyebilirim?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

VPN tünellerinin tam verimini elde etmek zordur.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir.IPsec and SSTP are crypto-heavy VPN protocols. Verimlilik, şirket içi ve İnternet arasındaki bant genişliğiyle ve gecikme süresiyle de sınırlıdır.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Yalnızca IKEv2 Noktadan Siteye VPN bağlantıları olan bir VPN Gateway için, bekleyebileceğiniz toplam aktarım hızı Ağ Geçidi SKU’suna bağlıdır.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ geçidi SKU’ları.For more information on throughput, see Gateway SKUs.

SSTP ve/veya IKEv2 desteği sağlayan Noktadan Siteye bağlantı için herhangi bir yazılım VPN istemcisi kullanabilir miyim?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Hayır.No. SSTP için yalnızca Windows’daki yerel VPN istemcisini ve IKEv2 için yalnızca Mac’teki yerel VPN istemcisini kullanabilirsiniz.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Ancak, OpenVPN protokolü üzerinden bağlanmak için tüm platformlarda OpenVPN istemcisini kullanabilirsiniz.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Desteklenen istemci işletim sistemleri listesine başvurun.Refer to the list of supported client operating systems.

Azure Windows ile IKEv2 VPN destekler mi?Does Azure support IKEv2 VPN with Windows?

IKEv2, Windows 10 ve Server 2016’da desteklenir.IKEv2 is supported on Windows 10 and Server 2016. Ancak IKEv2 kullanmak için güncelleştirmeleri yüklemeli ve yerel bir kayıt defteri anahtar değeri ayarlamalısınız.However, in order to use IKEv2, you must install updates and set a registry key value locally. Windows 10'dan önceki işletim sistemi sürümleri desteklenmez ve yalnızca SSTP veya OpenVPN® Protokolü'nükullanabilir.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

IKEv2 için Windows 10 ve Server 2016’yı hazırlamak için:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Güncelleştirmeyi yükleyin.Install the update.

    İşletim sistemi sürümüOS version TarihDate Sayı/BağlantıNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 Sürüm 1607Windows 10 Version 1607
    17 Ocak 2018January 17, 2018 KB4057142KB4057142
    Windows 10 Sürüm 1703Windows 10 Version 1703 17 Ocak 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Sürüm 1709Windows 10 Version 1709 22 Mart 2018March 22, 2018 KB4089848KB4089848
  2. Kayıt defteri anahtar değerini ayarlayın.Set the registry key value. Kayıt defterinde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD anahtarını oluşturun veya 1 olarak ayarlayın.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırırsam ne olur?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Karma bir ortamda (Windows ve Mac cihazlarından oluşan) hem SSTP hem de IKEv2 yapılandırdığınızda, Windows VPN istemcisi her zaman ilk önce IKEv2 tünelini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP’ye geri döner.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX yalnızca IKEv2 üzerinden bağlanır.MacOSX will only connect via IKEv2.

Azure, P2S VPN için Windows ve Mac dışında hangi platformları destekliyor?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure, P2S VPN için Windows, Mac ve Linux’u destekler.Azure supports Windows, Mac and Linux for P2S VPN.

Zaten dağıtılmış bir Azure VPN Gateway’im var.I already have an Azure VPN Gateway deployed. Bu ağ geçidi üzerinde RADIUS ve/veya IKEv2 VPN etkinleştirebilir miyim?Can I enable RADIUS and/or IKEv2 VPN on it?

Evet, kullandığınız ağ geçidi SKU’sunun RADIUS ve/veya IKEv2’yi desteklemesi şartıyla Azure portalı veya PowerShell’i kullanarak zaten dağıtılmış ağ geçitleri üzerinde bu yeni özellikleri etkinleştirebilirsiniz.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Örneğin VPN ağ geçidi Temel SKU’su RADIUS’u veya IKEv2’yi desteklemez.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

P2S bağlantısıyapılandırmasını nasıl kaldırırım?How do I remove the configuration of a P2S connection?

Bir P2S yapılandırması Aşağıdaki komutlar kullanılarak Azure CLI ve PowerShell kullanılarak kaldırılabilir:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

RADIUS kimlik doğrulaması tüm Azure VPN Gateway SKU’larında destekleniyor mu?Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

RADIUS kimlik doğrulaması VpnGw1, VpnGw2 ve VpnGw3 SKU’ları için desteklenir.RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. Eski SKU’ları kullanıyorsanız, RADIUS kimlik doğrulaması Standart ve Yüksek Performans SKU’larında desteklenir.If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Temel Ağ Geçidi SKU’sunda desteklenmez.It is not supported on the Basic Gateway SKU. 

RADIUS kimlik doğrulaması klasik dağıtım modeli için desteklenir mi?Is RADIUS authentication supported for the classic deployment model?

Hayır.No. RADIUS kimlik doğrulaması klasik dağıtım modeli için desteklenmez.RADIUS authentication is not supported for the classic deployment model.

Üçüncü taraf RADIUS sunucuları desteklenir mi?Are 3rd-party RADIUS servers supported?

Evet, üçüncü taraf RADIUS sunucuları desteklenir.Yes, 3rd-party RADIUS servers are supported.

Azure ağ geçidinin şirket içi bir RADIUS sunucusuna ulaşabildiğinden emin olmak için bağlantı gereksinimleri nelerdir?What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

Şirket içi sitede doğru rotalar yapılandırılmış biçimde bir VPN Siteden Siteye bağlantı gereklidir.A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

Şirket içi RADIUS sunucusuna gelen trafik (Azure VPN ağ geçidinden) bir ExpressRoute bağlantısı üzerinden yönlendirilebilir mi?Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

Hayır.No. Yalnızca bir Siteden Siteye bağlantı üzerinden yönlendirilebilir.It can only be routed over a Site-to-Site connection.

RADIUS kimlik doğrulaması ile desteklenen SSTP bağlantılarının sayısında bir değişiklik var mı?Is there a change in the number of SSTP connections supported with RADIUS authentication? En fazla kaç SSTP ve IKEv2 bağlantısı desteklenir?What is the maximum number of SSTP and IKEv2 connections supported?

RADIUS kimlik doğrulaması ile bir ağ geçidinde desteklenen en fazla SSTP bağlantısı sayısında bir değişiklik yoktur.There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. SSTP için 128 kalır, ancak IKEv2 için ağ geçidi SKU bağlıdır.It remains 128 for SSTP, but depends on the gateway SKU for IKEv2.Desteklenen bağlantı sayısı hakkında daha fazla bilgi için ağ geçidi SNU'larınabakın. For more information on the number of connections supported, see Gateway SKUs.

RADIUS sunucusu kullanarak sertifika doğrulaması yapma ve Azure yerel sertifika doğrulaması kullanma (güvenilir bir sertifikayı Azure’a yükleyerek) arasındaki fark nedir?What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

RADIUS sertifika doğrulamasında, doğrulaması isteği gerçek sertifika doğrulamasını işleyen bir RADIUS sunucusuna iletilir.In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. Zaten mevcut bir sertifika doğrulaması altyapısını RADIUS üzerinden tümleştirmek istiyorsanız bu seçenek yararlı olur.This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

Sertifika doğrulaması için Azure kullanıldığında, Azure VPN ağ geçidi sertifikayı doğrular.When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. Sertifika ortak anahtarınızı ağ geçidine yüklemeniz gerekir.You need to upload your certificate public key to the gateway. Ayrıca bağlanmasına izin verilmeyen iptal edilmiş sertifikaların bir listesini belirtebilirsiniz.You can also specify list of revoked certificates that shouldn’t be allowed to connect.

RADIUS kimlik doğrulaması hem IKEv2 hem de SSTP VPN ile çalışır mı?Does RADIUS authentication work with both IKEv2, and SSTP VPN?

Evet, RADIUS kimlik doğrulaması hem IKEv2 hem de SSTP VPN için desteklenir.Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

RADIUS kimlik doğrulaması OpenVPN istemcisiyle çalışır mı?Does RADIUS authentication work with the OpenVPN client?

RADIUS kimlik doğrulaması OpenVPN protokolü için yalnızca PowerShell üzerinden desteklenir.RADIUS authentication is supported for the OpenVPN protocol only through PowerShell.

Sanal Ağdan Sanal Ağa ve Çok Siteli bağlantılarVNet-to-VNet and Multi-Site connections

VNet-to-VNet SSS VPN ağ geçidi bağlantıları için geçerlidir.The VNet-to-VNet FAQ applies to VPN gateway connections. VNet eşleme hakkında daha fazla bilgi için Sanal ağ eşleme'yebakın.For information about VNet peering, see Virtual network peering.

Azure sanal ağlar arasındaki trafik için ücretli midir?Does Azure charge for traffic between VNets?

VPN ağ geçidi bağlantısı kullandığınızda, aynı bölgedeki VNet'ten VNet'e trafik her iki yönde de ücretsizdir.VNet-to-VNet traffic within the same region is free for both directions when you use a VPN gateway connection. Bölgeler arası VNet-to-VNet çıkış trafiği, kaynak bölgelere göre giden inter-VNet veri aktarım hızları ile ücretlendirilir.Cross-region VNet-to-VNet egress traffic is charged with the outbound inter-VNet data transfer rates based on the source regions. Daha fazla bilgi için VPN Ağ Geçidi fiyatlandırma sayfasınabakın.For more information, see VPN Gateway pricing page. VPN ağ geçidi yerine VNet eşlemesini kullanarak VNet'lerinizi bağlıyorsanız, Sanal ağ fiyatlandırmasıbölümüne bakın.If you're connecting your VNets by using VNet peering instead of a VPN gateway, see Virtual network pricing.

VNet-to-VNet trafiği internet üzerinden seyahat ediyor mu?Does VNet-to-VNet traffic travel across the internet?

Hayır.No. VNet'ten VNet'e trafik, Internet'ten değil, Microsoft Azure omurgasına doğru ilerler.VNet-to-VNet traffic travels across the Microsoft Azure backbone, not the internet.

Azure Active Directory (AAD) kiracıları arasında Bir VNet-vNet bağlantısı kurabilir miyim?Can I establish a VNet-to-VNet connection across Azure Active Directory (AAD) tenants?

Evet, Azure VPN ağ geçitlerini kullanan VNet'ten VNet'e bağlantılar AAD kiracılarında çalışır.Yes, VNet-to-VNet connections that use Azure VPN gateways work across AAD tenants.

Sanal Ağdan Sanal Ağa trafiği güvenli mi?Is VNet-to-VNet traffic secure?

Evet, IPsec/IKE şifrelemesi ile korunuyor.Yes, it's protected by IPsec/IKE encryption.

Sanal ağları birbirine bağlamak için bir VPN cihazı gerekiyor mu?Do I need a VPN device to connect VNets together?

Hayır.No. İşletmeler arası bağlantı gerekmediği sürece birden fazla Azure sanal ağını birleştirmek için VPN cihazına gerek yoktur.Connecting multiple Azure virtual networks together doesn't require a VPN device unless cross-premises connectivity is required.

Sanal ağlarımın aynı bölgede olması gerekiyor mu?Do my VNets need to be in the same region?

Hayır.No. Sanal ağlar aynı ya da farklı Azure bölgelerinde (konumlarında) bulunabilir.The virtual networks can be in the same or different Azure regions (locations).

VNet'ler aynı abonelikte değilse, aboneliklerin aynı Active Directory kiracısıyla ilişkilendirilmesi gerekir mi?If the VNets aren't in the same subscription, do the subscriptions need to be associated with the same Active Directory tenant?

Hayır.No.

Farklı Azure örneklerinde sanal ağları bağlamak için Sanal Ağdan Sanal Ağa bağlantı kullanabilir miyim?Can I use VNet-to-VNet to connect virtual networks in separate Azure instances?

Hayır.No. Sanal Ağdan Sanal Ağa, aynı Azure örneğindeki sanal ağları bağlamayı destekler.VNet-to-VNet supports connecting virtual networks within the same Azure instance. Örneğin, genel Azure ile Çince/Almanya/ABD devlet tarafından denetlenebilen Azure örnekleri arasında bağlantı oluşturamazsınız.For example, you can’t create a connection between global Azure and Chinese/German/US government Azure instances. Bu senaryolar için Siteden Siteye VPN bağlantısı kullanmayı düşünün.Consider using a Site-to-Site VPN connection for these scenarios.

Sanal Ağdan Sanal Ağa bağlantıyı çoklu site bağlantılarıyla birlikte kullanabilir miyim?Can I use VNet-to-VNet along with multi-site connections?

Evet.Yes. Sanal ağ bağlantısı, çoklu site VPN’leri ile eşzamanlı olarak kullanılabilir.Virtual network connectivity can be used simultaneously with multi-site VPNs.

Bir sanal ağ kaç şirket içi siteye ve sanal ağa bağlanabilir?How many on-premises sites and virtual networks can one virtual network connect to?

Geçidi gereksinimleri tablosuna bakın.See the Gateway requirements table.

Bir sanal ağın dışındaki sanal makineleri veya bulut hizmetlerini bağlamak için Sanal Ağdan Sanal Ağa bağlantı kullanabilir miyim?Can I use VNet-to-VNet to connect VMs or cloud services outside of a VNet?

Hayır.No. Sanal Ağdan Sanal Ağa, sanal ağları bağlamayı destekler.VNet-to-VNet supports connecting virtual networks. Sanal ağda olmayan sanal makinelerin veya bulut hizmetlerinin bağlanmasını desteklemez.It doesn't support connecting virtual machines or cloud services that aren't in a virtual network.

Bir bulut hizmeti veya yük dengeleme uç noktası VNet'lere yayılabilir mi?Can a cloud service or a load-balancing endpoint span VNets?

Hayır.No. Bir bulut hizmeti veya yük dengeleme uç noktası, birbirine bağlı olsalar bile sanal ağlar arasında yayılmaz.A cloud service or a load-balancing endpoint can't span across virtual networks, even if they're connected together.

VNet-to-VNet veya Multi-Site bağlantıları için Politika Tabanlı VPN türü kullanabilir miyim?Can I use a PolicyBased VPN type for VNet-to-VNet or Multi-Site connections?

Hayır.No. VNet'ten VNet'e ve Çok Siteli bağlantılar, RouteBased (önceden dinamik yönlendirme olarak adlandırılır) VPN türlerine sahip Azure VPN ağ geçitleri gerektirir.VNet-to-VNet and Multi-Site connections require Azure VPN gateways with RouteBased (previously called dynamic routing) VPN types.

PolicyBased VPN türüne sahip VNet’i RouteBased VPN türüne sahip başka bir VNet’e bağlayabilir miyim?Can I connect a VNet with a RouteBased VPN Type to another VNet with a PolicyBased VPN type?

Hayır, her iki sanal ağ da rota tabanlı (daha önce dinamik yönlendirme olarak adlandırılır) VPN'leri kullanmalı.No, both virtual networks MUST use route-based (previously called dynamic routing) VPNs.

VPN tünelleri bant genişliğini paylaşır mı?Do VPN tunnels share bandwidth?

Evet.Yes. Sanal ağ üzerindeki tüm VPN tünelleri, Azure VPN ağ geçidi ve aynı ağ geçidi çalışma süresi SLA’sı üzerinde aynı kullanılabilir bant genişliğini paylaşır.All VPN tunnels of the virtual network share the available bandwidth on the Azure VPN gateway and the same VPN gateway uptime SLA in Azure.

Yedekli tüneller destekleniyor mu?Are redundant tunnels supported?

Bir sanal ağ çifti arasındaki yedekli tüneller, sanal ağ geçitlerinden biri etkin-etkin olarak yapılandırıldığında desteklenir.Redundant tunnels between a pair of virtual networks are supported when one virtual network gateway is configured as active-active.

Sanal Ağdan Sanal Ağa yapılandırmalar için çakışan adres alanları kullanabilir miyim?Can I have overlapping address spaces for VNet-to-VNet configurations?

Hayır.No. Çakışan IP adresi aralıklarını kullanamazsınız.You can't have overlapping IP address ranges.

Bağlı sanal ağlar ve şirket içi yerel siteleri arasında çakışan adres alanları olabilir mi?Can there be overlapping address spaces among connected virtual networks and on-premises local sites?

Hayır.No. Çakışan IP adresi aralıklarını kullanamazsınız.You can't have overlapping IP address ranges.

Şirket içi sitelerim arasında veya başka bir sanal ağa trafiği geçirmek için Azure VPN ağ geçidini kullanabilir miyim?Can I use Azure VPN gateway to transit traffic between my on-premises sites or to another virtual network?

Resource Manager dağıtım modeliResource Manager deployment model
Evet.Yes. Daha fazla bilgi için BGP bölümüne bakın.See the BGP section for more information.

Klasik dağıtım modeliClassic deployment model
Klasik dağıtım modeli kullanılarak Azure VPN ağ geçidi üzerinden trafik geçirilebilse de, bu geçiş, ağ yapılandırma dosyasında statik olarak tanımlanan adres alanlarına bağlıdır.Transit traffic via Azure VPN gateway is possible using the classic deployment model, but relies on statically defined address spaces in the network configuration file. Klasik dağıtım modeli kullanan Azure Sanal Ağlar ve VPN ağ geçitleri ile BGP henüz desteklenmemektedir.BGP is not yet supported with Azure Virtual Networks and VPN gateways using the classic deployment model. BGP olmadan, geçiş adres alanlarının el ile tanımlanması çok hata eğilimindedir ve önerilmez.Without BGP, manually defining transit address spaces is very error prone, and not recommended.

Azure, IPsec/IKE önceden paylaşılan anahtarı tüm VPN bağlantılarımla aynı sanal ağ için mi üretiyor?Does Azure generate the same IPsec/IKE pre-shared key for all my VPN connections for the same virtual network?

Hayır, varsayılan olarak Azure farklı VPN bağlantıları için farklı önceden paylaşılan anahtarlar oluşturur.No, Azure by default generates different pre-shared keys for different VPN connections. Ancak, isterseniz anahtar değeri ayarlamak için VPN Ağ Geçidi Anahtarı REST API veya PowerShell cmdlet'ini kullanabilirsiniz.However, you can use the Set VPN Gateway Key REST API or PowerShell cmdlet to set the key value you prefer. Anahtar YAZDıRılabilir ASCII karakterleri olmalıdır.The key MUST be printable ASCII characters.

Daha fazla Siteden Siteye VPN ile tek bir sanal ağa göre daha fazla bant genişliği elde edebilir miyim?Do I get more bandwidth with more Site-to-Site VPNs than for a single virtual network?

Hayır, Noktadan Siteye VPN’lerde dahil tüm VPN tünelleri aynı Azure VPN ağ geçidini ve kullanılabilir bant genişliğini paylaşır.No, all VPN tunnels, including Point-to-Site VPNs, share the same Azure VPN gateway and the available bandwidth.

Çok siteli VPN kullanarak sanal ağlarım ve şirket içi sitem arasında birden fazla tünel yapılandırabilir miyim?Can I configure multiple tunnels between my virtual network and my on-premises site using multi-site VPN?

Evet, ancak iki tünelde de aynı konum için BGP yapılandırması gerçekleştirmeniz gerekir.Yes, but you must configure BGP on both tunnels to the same location.

Birden çok VPN tüneline sahip sanal ağımla birlikte Noktadan Siteye VPN’lerini kullanabilir miyim?Can I use Point-to-Site VPNs with my virtual network with multiple VPN tunnels?

Evet, Noktadan Siteye (P2S) VPN’ler şirket içi sitelere ve başka sanal ağlara VPN ağ geçitleriyle kullanılabilir.Yes, Point-to-Site (P2S) VPNs can be used with the VPN gateways connecting to multiple on-premises sites and other virtual networks.

IPsec VPN’lerle sanal ağı ExpressRoute devreme bağlayabilir miyim?Can I connect a virtual network with IPsec VPNs to my ExpressRoute circuit?

Evet, bu desteklenir.Yes, this is supported. Daha fazla bilgi için bkz. Bir arada var olan ExpressRoute ve Siteden Siteye VPN bağlantıları yapılandırma.For more information, see Configure ExpressRoute and Site-to-Site VPN connections that coexist.

IPsec/IKE ilkesiIPsec/IKE policy

Özel IPsec/IKE ilkesi tüm Azure VPN Gateway SKU’larında desteklenir mi?Is Custom IPsec/IKE policy supported on all Azure VPN Gateway SKUs?

Özel IPsec/IKE ilkesi, Temel SKU dışındaki tüm Azure SKU'larında desteklenir.Custom IPsec/IKE policy is supported on all Azure SKUs except the Basic SKU.

Bir bağlantıda kaç tane ilke belirtebilirim?How many policies can I specify on a connection?

Belirli bir bağlantı için yalnızca bir ilke birleşimi belirtebilirsiniz.You can only specify one policy combination for a given connection.

Bir bağlantıda kısmi bir ilke belirtebilir miyim?Can I specify a partial policy on a connection? (örneğin IPsec olmadan yalnızca IKE algoritmaları)(for example, only IKE algorithms, but not IPsec)

Hayır, hem IKE (Ana Mod) hem de IPsec (Hızlı Mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir.No, you must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Kısmi ilke belirtimine izin verilmez.Partial policy specification is not allowed.

Özel ilkede desteklenen algoritmalar ve anahtar güçleri nelerdir?What are the algorithms and key strengths supported in the custom policy?

Aşağıdaki tabloda, müşteriler tarafından yapılandırılabilecek şifreleme algoritmaları ve anahtar güçleri listelenmiştir.The following table lists the supported cryptographic algorithms and key strengths configurable by the customers. Her alan için bir seçeneği belirlemeniz gerekir.You must select one option for every field.

IPsec/IKEv2IPsec/IKEv2 SeçeneklerOptions
IKEv2 ŞifrelemesiIKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2 BütünlüğüIKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
DH GrubuDH Group DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, HiçbiriDHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
IPsec ŞifrelemesiIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, NoneGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec BütünlüğüIPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS GrubuPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, HiçbiriPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA Yaşam SüresiQM SA Lifetime Saniye (tamsayı; en az 300/varsayılan 27000 saniye)Seconds (integer; min. 300/default 27000 seconds)
Kilobayt (tamsayı; en az 1024/varsayılan 102400000 kilobayt)KBytes (integer; min. 1024/default 102400000 KBytes)
Trafik SeçicisiTraffic Selector UsePolicyBasedTrafficSelectors ($True/$False; varsayılan $False)UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Önemli

  1. DHGroup2048 ve PFS2048, IKE ve IPsec PFS’de Diffie-Hellman Grubu 14 ile aynıdır.DHGroup2048 & PFS2048 are the same as Diffie-Hellman Group 14 in IKE and IPsec PFS. Eşlemelerin tamamı için Diffie-Hellman Grupları konusuna bakın.See Diffie-Hellman Groups for the complete mappings.
  2. GCMAES algoritmalarında, hem IPsec Şifrelemesi hem de Bütünlüğü için aynı GCMAES algoritmasını belirtmelisiniz.For GCMAES algorithms, you must specify the same GCMAES algorithm and key length for both IPsec Encryption and Integrity.
  3. IKEv2 Ana Mod SA ömrü Azure VPN ağ geçitlerinde 28.800 saniye olarak sabitlenir.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways.
  4. QM SA Yaşam Süreleri isteğe bağlı parametrelerdir.QM SA Lifetimes are optional parameters. Hiçbiri belirtilmemişse, varsayılan 27.000 saniye (7,5 saat) ve 102400000 kilobayt (102 GB) değerleri kullanılır.If none was specified, default values of 27,000 seconds (7.5 hrs) and 102400000 KBytes (102GB) are used.
  5. UsePolicyBasedTrafficSelector, bağlantıda bir seçenek parametresidir.UsePolicyBasedTrafficSelector is an option parameter on the connection. "UsePolicyBasedTrafficSelectors" için bir sonraki SSS maddesine bakın.See the next FAQ item for "UsePolicyBasedTrafficSelectors"

Azure VPN ağ geçidi ilkesi ile şirket içi VPN cihazı yapılandırmalarım arasında her şey eşleşmeli mi?Does everything need to match between the Azure VPN gateway policy and my on-premises VPN device configurations?

Şirket içi VPN cihazı yapılandırmanızın Azure IPsec/IKE ilkesinde belirttiğiniz şu algoritmalar ve parametrelerle eşleşmesi ya da bunları içermesi gerekir:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • IKE şifreleme algoritmasıIKE encryption algorithm
  • IKE bütünlük algoritmasıIKE integrity algorithm
  • DH GrubuDH Group
  • IPsec şifreleme algoritmasıIPsec encryption algorithm
  • IPsec bütünlük algoritmasıIPsec integrity algorithm
  • PFS GrubuPFS Group
  • Trafik Seçicisi ( * )Traffic Selector (*)

SA yaşam süreleri yalnızca yerel belirtimlerdir ve bunların eşleşmesi gerekmez.The SA lifetimes are local specifications only, do not need to match.

UsePolicyBasedTrafficSelectors ilkesini etkinleştirirseniz, VPN cihazınızın herhangi bir noktadan herhangi bir noktaya bağlantı yerine şirket içi ağınızın (yerel ağ geçidi) tüm ön ekleri ile Azure sanal ağ ön ekleri arasındaki tüm birleşimlerle tanımlanmış, eşleşen trafik seçicilerine sahip olduğundan emin olmanız gerekir.If you enable UsePolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Örneğin, şirket içi ağınızın ön ekleri 10.1.0.0/16 ve 10.2.0.0/16; sanal ağınızın ön ekleriyse 192.168.0.0/16 ve 172.16.0.0/16 şeklindeyse, aşağıdaki trafik seçicileri belirtmeniz gerekir:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

  • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Daha fazla bilgi için bkz. Birden çok şirket içi ilke tabanlı VPN cihazını bağlama.For more information, see Connect multiple on-premises policy-based VPN devices.

Hangi Diffie-Hellman Grupları desteklenir?Which Diffie-Hellman Groups are supported?

Aşağıdaki tabloda IKE (DHGroup) ve IPsec (PFSGroup) için desteklenen Diffie-Hellman Grupları listelenmiştir:The table below lists the supported Diffie-Hellman Groups for IKE (DHGroup) and IPsec (PFSGroup):

Diffie-Hellman GrubuDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Anahtar uzunluğuKey length
11 DHGroup1DHGroup1 PFS1PFS1 768 bit MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024 bit MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048 bit MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256 bit ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384 bit ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048 bit MODP2048-bit MODP

Daha fazla bilgi için bkz. RFC3526 ve RFC5114.For more information, see RFC3526 and RFC5114.

Özel ilke, Azure VPN ağ geçitleri için IPsec/IKE ilke kümelerinin yerini mi alır?Does the custom policy replace the default IPsec/IKE policy sets for Azure VPN gateways?

Evet, bir bağlantıda özel bir ilke belirtildiğinde VPN ağ geçidi, bağlantıda hem IKE başlatıcı hem de IKE yanıtlayıcısı olarak yalnızca bu ilkeyi kullanır.Yes, once a custom policy is specified on a connection, Azure VPN gateway will only use the policy on the connection, both as IKE initiator and IKE responder.

Özel bir IPsec/IKE ilkesini kaldırırsam bağlantı korumasız hale mi gelir?If I remove a custom IPsec/IKE policy, does the connection become unprotected?

Hayır, bağlantı IPsec/IKE tarafından korunmaya devam eder.No, the connection will still be protected by IPsec/IKE. Bir bağlantıdan özel bir ilkeyi kaldırdığınızda, Azure VPN ağ geçidi varsayılan IPsec/IKE teklifleri listesine döner ve şirket içi VPN cihazınızla IKE el sıkışmasını yeniden başlatır.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and restart the IKE handshake again with your on-premises VPN device.

Bir IPsec/IKE ilkesinin eklenmesi veya güncelleştirilmesi, VPN bağlantımı kesintiye uğratır mı?Would adding or updating an IPsec/IKE policy disrupt my VPN connection?

Evet, Azure VPN ağ geçidi tarafından mevcut bağlantı yıkılıp yeni şifreleme algoritmaları ve parametrelerle IPsec tünelini yeniden kurmak üzere IKE el sıkışması yeniden başlatılırken kısa bir kesinti (birkaç saniye) gerçekleşebilir.Yes, it could cause a small disruption (a few seconds) as the Azure VPN gateway tears down the existing connection and restarts the IKE handshake to re-establish the IPsec tunnel with the new cryptographic algorithms and parameters. Kesinti süresini mümkün olduğunca azaltmak için şirket içi VPN cihazınızın da eşleşen algoritmalar ve anahtar güçleriyle yapılandırıldığından emin olun.Ensure your on-premises VPN device is also configured with the matching algorithms and key strengths to minimize the disruption.

Farklı bağlantılarda farklı ilkeler kullanabilir miyim?Can I use different policies on different connections?

Evet.Yes. Özel ilkeler, bağlantı başına bir ilke temelinde uygulanır.Custom policy is applied on a per-connection basis. Farklı bağlantılarda farklı IPsec/IKE ilkeleri oluşturabilir ve uygulayabilirsiniz.You can create and apply different IPsec/IKE policies on different connections. Bağlantıların bir alt kümesinde özel ilkeler uygulamayı da tercih edebilirsiniz.You can also choose to apply custom policies on a subset of connections. Geriye kalan bağlantılar, Azure’daki varsayılan IPsec/IKE ilke kümelerin kullanır.The remaining ones use the Azure default IPsec/IKE policy sets.

Özel ilkeyi VNet-VNet bağlantısında da kullanabilir miyim?Can I use the custom policy on VNet-to-VNet connection as well?

Evet, hem IPsec şirket içi ve dışı karışık bağlantılarda hem de Vnet-Vnet bağlantılarında özel ilke uygulayabilirsiniz.Yes, you can apply custom policy on both IPsec cross-premises connections or VNet-to-VNet connections.

Her iki VNet-VNet bağlantı kaynağında aynı ilkeyi belirtmem mi gerekir?Do I need to specify the same policy on both VNet-to-VNet connection resources?

Evet.Yes. VNet-VNet tüneli, her iki yön için birer tane olmak üzere Azure’daki iki bağlantı kaynağından oluşur.A VNet-to-VNet tunnel consists of two connection resources in Azure, one for each direction. Her iki bağlantı kaynağının da aynı ilkeye sahip olduğundan emin olun, aksi takdirde VNet-VNet bağlantısı kurulamaz.Make sure both connection resources have the same policy, otherwise the VNet-to-VNet connection won't establish.

Özel IPsec/IKE ilkesi ExpressRoute bağlantısında çalışır mı?Does custom IPsec/IKE policy work on ExpressRoute connection?

Hayır.No. IPsec/IKE ilkesi yalnızca Azure VPN ağ geçitleri aracılığıyla kurulan S2S VPN ve VNet-VNet bağlantılarında çalışır.IPsec/IKE policy only works on S2S VPN and VNet-to-VNet connections via the Azure VPN gateways.

IKEv1 veya IKEv2 protokol türüyle nasıl bağlantı kuracağım?How do I create connections with IKEv1 or IKEv2 protocol type?

IKEv1 bağlantıları Temel SKU hariç tüm RouteBased VPN türü SKU'larda oluşturulabilir.IKEv1 connections can be created on all RouteBased VPN type SKUs, except the Basic SKU. Bağlantı oluştururken IKEv1 veya IKEv2 bağlantı protokolü türünü belirtebilirsiniz.You can specify a connection protocol type of IKEv1 or IKEv2 while creating connections. Bir bağlantı protokolü türü belirtmezseniz, IKEv2 uygun olduğunda varsayılan seçenek olarak kullanılır.If you do not specify a connection protocol type, IKEv2 is used as default option where applicable. Daha fazla bilgi için PowerShell cmdlet belgelerine bakın.For more information, see the PowerShell cmdlet documentation. SKU türleri ve IKEv1/IKEv2 desteği için, politika tabanlı VPN aygıtlarına bağlan ağ geçitlerinebakın.For SKU types and IKEv1/IKEv2 support, see Connect gateways to policy-based VPN devices.

İkEv1 ve IkEv2 bağlantıları arasında geçiş enebedilir mi?Is transit between between IKEv1 and IKEv2 connections allowed?

Evet.Yes. IKEv1 ve IKEv2 bağlantıları arasındaki geçiş desteklenir.Transit between IKEv1 and IKEv2 connections is supported.

RouteBased VPN tipinin Temel SK'leri üzerinde IKEv1 siteden siteye bağlantılara sahip olabilir miyim?Can I have IKEv1 site-to-site connections on Basic SKUs of RouteBased VPN type?

Hayır.No. Temel SKU bunu desteklemiyor.The Basic SKU does not support this.

Bağlantı oluşturulduktan sonra bağlantı protokolü türünü değiştirebilir miyim (IKEv1'den IKEv2'ye veya tam tersi)?Can I change the connection protocol type after the connection is created (IKEv1 to IKEv2 and vice versa)?

Hayır.No. Bağlantı oluşturulduktan sonra IKEv1/IKEv2 protokolleri değiştirilemez.Once the connection is created, IKEv1/IKEv2 protocols cannot be changed. İstenilen protokol türüyle yeni bir bağlantıyı silmeniz ve yeniden oluşturmanız gerekir.You must delete and recreate a new connection with the desired protocol type.

IPsec için daha fazla yapılandırma bilginini nerede bulabilirim?Where can I find more configuration information for IPsec?

Bkz. S2S veya VNet-to-VNet bağlantıları için IPsec/IKE ilkesini yapılandırınSee Configure IPsec/IKE policy for S2S or VNet-to-VNet connections

BGPBGP

BGP tüm Azure VPN Gateway SKU'larında destekleniyor mu?Is BGP supported on all Azure VPN Gateway SKUs?

BGP, Temel SKU dışındaki tüm Azure VPN Gateawy SKU'larında desteklenir.BGP is supported on all Azure VPN Gateawy SKUs except Basic SKU.

Azure İlke Temelli VPN ağ geçitleriyle BGP kullanabilir miyim?Can I use BGP with Azure Policy-Based VPN gateways?

Hayır, BGP yalnızca Rota Temelli VPN Gateway’lerinde desteklenir.No, BGP is supported on Route-Based VPN gateways only.

Özel ASN’ler (Otonom Sistem Numaralarını) kullanabilir miyim?Can I use private ASNs (Autonomous System Numbers)?

Evet, kendi ortak ASN’lerinizi veya özel ASN’lerinizi hem şirket içi ağlarda, hem de Azure sanal ağlarda kullanabilirsiniz.Yes, you can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks.

32 bit (4 bayt) ASN'leri (Özerk Sistem Numaraları) kullanabilir miyim?Can I use 32-bit (4-byte) ASNs (Autonomous System Numbers)?

Evet, Azure VPN Ağ Geçitleri artık 32 bit (4 bayt) ASN'leri destekler.Yes, Azure VPN Gateways now support 32-bit (4-byte) ASNs. Asn'i ondalık formatta yapılandırmak için lütfen PowerShell/CLI/SDK'yı kullanın.Please use PowerShell/CLI/SDK to configure using ASN in decimal format.

Azure tarafından ayrılan bir ASN var mı?Are there ASNs reserved by Azure?

Evet, aşağıdaki ASN’ler iç ve dış eşlemeler için Azure tarafından ayrılmıştır:Yes, the following ASNs are reserved by Azure for both internal and external peerings:

  • Ortak ASN’ler: 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
  • Özel ASN’ler: 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520

Bu ASN’leri Azure VPN ağ geçitlerine bağlanırken şirket içi VPN cihazlarınız için belirtemezsiniz.You cannot specify these ASNs for your on premises VPN devices when connecting to Azure VPN gateways.

Kullanamayacağım başka ASN var mı?Are there any other ASNs that I can't use?

Evet, aşağıdaki ASN'ler IANA tarafından ayrılmıştır ve Azure VPN ağ geçidinizde yapılandırılamaz:Yes, the following ASNs are reserved by IANA and can't be configured on your Azure VPN Gateway:

23456, 64496-64511, 65535-65551 and 42949672923456, 64496-64511, 65535-65551 and 429496729

Hangi Özel ASN'leri kullanabilirim?What Private ASNs can I use?

Kullanılabilen Özel ASN'lerin kullanılabilir aralığı şunlardır:The useable range of Private ASNs that can be used are:

  • 64512-65514, 65521-6553464512-65514, 65521-65534

Bu ASN'ler kullanım için IANA veya Azure tarafından rezerve edilmez ve bu nedenle Azure VPN Ağ Geçidinize atamak için kullanılabilir.These ASNs are not reserved by IANA or Azure for use and therefore can be used to assign to your Azure VPN Gateway.

Aynı ASN’yi hem şirket içi VPN ağlarında, hem de Azure VNet'lerde kullanabilir miyim?Can I use the same ASN for both on-premises VPN networks and Azure VNets?

Hayır, BGP’yle bunlara birlikte bağlanıyorsanız, şirket içi ağlar ve Azure VNet'ler arasında farklı ASN’ler atamanız gerekir.No, you must assign different ASNs between your on-premises networks and your Azure VNets if you are connecting them together with BGP. Şirket içi ve dışı karışık bağlantınız için BGP'nin etkin olup olmamasından bağımsız olarak Azure VPN Ağ Geçitlerine varsayılan 65515 ASN'si atanmıştır.Azure VPN Gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. VPN Gateway oluştururken farklı ASN atayarak bu varsayılan değeri geçersiz kılabilir veya ağ geçidini oluşturduktan sonra ASN’yi değiştirebilirsiniz.You can override this default by assigning a different ASN when creating the VPN gateway, or change the ASN after the gateway is created. Şirket içi ASN’lerinizi ilgili Azure Yerel Ağ Geçitlerine atamanız gerekir.You will need to assign your on-premises ASNs to the corresponding Azure Local Network Gateways.

Azure VPN Gateway’ler bana hangi adres öneklerini tanıtacak?What address prefixes will Azure VPN gateways advertise to me?

Azure VPN Gateway şirket içi BGP cihazlarınıza şu rotaları tanıtacaktır:Azure VPN gateway will advertise the following routes to your on-premises BGP devices:

  • VNet adres öneklerinizYour VNet address prefixes
  • Azure VPN Gateway’e bağlı her Yerel Ağ Geçidi için adres önekleriAddress prefixes for each Local Network Gateways connected to the Azure VPN gateway
  • Azure VPN Gateway’e bağlı diğer BGP eşdeğer oturumlarından öğrenilen rotalar; varsayılan rota ve herhangi bir VNet önekiyle çakışan rotalar dışında.Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except default route or routes overlapped with any VNet prefix.

Azure VPN ağ geçidine kaç önek tanıtabilirim?How many prefixes can I advertise to Azure VPN gateway?

4000 önek destekliyoruz.We support up to 4000 prefixes. Ön ek sayısı bu sınırı aşarsa BGP oturumu düşürülür.The BGP session is dropped if the number of prefixes exceeds the limit.

Varsayılan yolu (0.0.0.0/0) Azure VPN ağ geçitlerine tanıtabilir miyim?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Evet.Yes.

Bunun yapılması, tüm sanal ağ çıkış trafiğini şirket içi sitenize yönelmeye zorlar ve sanal ağ VM’lerinin, İnternet’ten VM’lere RDP veya SSH gibi doğrudan İnternet’ten gelen ortak iletişimi kabul etmesini engeller.Please note this will force all VNet egress traffic towards your on-premises site, and will prevent the VNet VMs from accepting public communication from the Internet directly, such RDP or SSH from the Internet to the VMs.

Tam ön eklerimi Sanal Ağ ön eklerim olarak tanıtabilir miyim?Can I advertise the exact prefixes as my Virtual Network prefixes?

Hayır, aynı ön eklerin Sanal Ağ adresi ön eklerinden biri olarak tanıtılması Azure platformu tarafından engellenir veya filtrelenir.No, advertising the same prefixes as any one of your Virtual Network address prefixes will be blocked or filtered by the Azure platform. Ancak, Sanal Ağınızda bulunanların üst kümesi olan bir ön ek tanıtabilirsiniz.However you can advertise a prefix that is a superset of what you have inside your Virtual Network.

Örneğin, sanal ağınızda 10.0.0.0/16 adres alanı kullanılıyorsa 10.0.0.0/8 olarak tanıtabilirsiniz.For example, if your virtual network used the address space 10.0.0.0/16, you could advertise 10.0.0.0/8. Ancak 10.0.0.0/16 veya 10.0.0.0/24 tanıtamazsınız.But you cannot advertise 10.0.0.0/16 or 10.0.0.0/24.

VNet - VNet bağlantılarımla BGP kullanabilir miyim?Can I use BGP with my VNet-to-VNet connections?

Evet, BGP’yi hem şirket içi bağlantılar için, hem de VNet - VNet bağlantıları için kullanabilirsiniz.Yes, you can use BGP for both cross-premises connections and VNet-to-VNet connections.

Azure VPN Gateway’lerim için BGP’yi BGP olmayan bağlantılarla karıştırabilir miyim?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Evet, aynı Azure VPN Gateway için BGP ve BGP olmayan bağlantıları karıştırabilirsiniz.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Azure VPN Gateway BGP transit rotasını destekliyor mu?Does Azure VPN gateway support BGP transit routing?

Evet, BGP transit rotası desteklense de, özel durum olarak Azure VPN Gateway’lerinin varsayılan rotaları diğer BGP eşdeğerlerine TANITMAMALARI geçerlidir.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways will NOT advertise default routes to other BGP peers. Transit rotayı birden fazla Azure VPN Gateway’de etkinleştirmek için tüm ara VNet - VNet bağlantılarında BGP’yi etkinleştirmelisiniz.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate VNet-to-VNet connections. Daha fazla bilgi için BGP Hakkında'yabakın.For more information, see About BGP.

Azure VPN Gateway ve şirket içi ağım arasında birden fazla tünelim olabilir mi?Can I have more than one tunnel between Azure VPN gateway and my on-premises network?

Evet, bir Azure VPN Gateway ve şirket içi ağınız arasında birden fazla S2S tüneli kurabilirsiniz.Yes, you can establish more than one S2S VPN tunnel between an Azure VPN gateway and your on-premises network. Bu tünellerin tümünün Azure VPN Gateway’lerinize yönelik tünellerin toplam sayısına karşılık hesaplanacağını ve iki tünelde de BGP özelliğini etkinleştirmeniz gerektiğini lütfen unutmayın.Please note that all these tunnels will be counted against the total number of tunnels for your Azure VPN gateways and you must enable BGP on both tunnels.

Örneğin, Azure VPN Gateway'iniz ve şirket içi ağınız arasında iki yedekli tüneliniz varsa, Azure VPN Gateway'inizin toplam kotasından (Standart için 10, Yüksek Performanslı için 30) 2 tünel kullanacaktır.For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they will consume 2 tunnels out of the total quota for your Azure VPN gateway (10 for Standard and 30 for HighPerformance).

BGP bulunan iki Azure VNet arasında birden çok tünelim olabilir mi?Can I have multiple tunnels between two Azure VNets with BGP?

Evet, ancak sanal ağ geçitlerinden en az birinin etkin-etkin yapılandırmada olması gerekir.Yes, but at least one of the virtual network gateways must be in active-active configuration.

BGP’yi ExpressRoute/S2S VPN birlikte varolma yapılandırmasında S2S VPN için kullanabilir miyim?Can I use BGP for S2S VPN in an ExpressRoute/S2S VPN co-existence configuration?

Evet.Yes.

Azure VPN Gateway BGP Eşdeğer IP’si için hangi adresi kullanıyor?What address does Azure VPN gateway use for BGP Peer IP?

Azure VPN ağ geçidi, etkin standby VPN ağ geçitleri için GatewaySubnet aralığından tek bir IP adresi veya etkin aktif VPN ağ geçitleri için iki IP adresi tahsis eder.The Azure VPN gateway will allocate a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. PowerShell (Get-AzVirtualNetworkGateway, "bgpPeeringAddress" özelliğini arayın) kullanarak veya Azure portalında (Ağ Geçidi Yapılandırma sayfasındaki "BGP ASN'yi Yapılandır" özelliği altında) kullanarak ayrılan gerçek BGP IP adresini(es) alabilirsiniz.You can get the actual BGP IP address(es) allocated by using PowerShell (Get-AzVirtualNetworkGateway, look for the “bgpPeeringAddress” property), or in the Azure portal (under the “Configure BGP ASN” property on the Gateway Configuration page).

VPN cihazımdaki BGP Eşdeğer IP adreslerinin gereksinimleri nelerdir?What are the requirements for the BGP Peer IP addresses on my VPN device?

Şirket içi BGP eş adresiniz VPN cihazınızın genel IP adresi yle veya VPN Ağ Geçidi'nin Vnet adres alanıyla aynı olmamalıdır.Your on-premises BGP peer address MUST NOT be the same as the public IP address of your VPN device or the Vnet address space of the VPN Gateway. BGP Eşdeğer IP’si için VPN cihazında farklı bir IP adresi kullanın.Use a different IP address on the VPN device for your BGP Peer IP. Bu, cihaz üzerindeki geri döngü arabirimine atanmış bir adres olabilir, ancak bir APIPA (169.254.x.x) adresi olamayacağını da hatırlatmak isteriz.It can be an address assigned to the loopback interface on the device, but please note that it cannot be an APIPA (169.254.x.x) address. Bu adresi, konumu temsil eden ilgili Yerel Ağ Geçidi’nde belirtin.Specify this address in the corresponding Local Network Gateway representing the location.

BGP kullandığımda Yerel Ağ Geçidi için adres önekim olarak ne belirtmeliyim?What should I specify as my address prefixes for the Local Network Gateway when I use BGP?

Azure Yerel Ağ Geçidi, şirket içi ağ için başlangıç adresi öneklerini belirtir.Azure Local Network Gateway specifies the initial address prefixes for the on-premises network. BGP ile, BGP Eşdeğer IP adresinizin konak önekini (/32 önek) bu şirket içi ağın adres alanı olarak ayırmalısınız.With BGP, you must allocate the host prefix (/32 prefix) of your BGP Peer IP address as the address space for that on-premises network. BGP Eşdeğer IP’niz 10.52.255.254 olursa, bu şirket içi ağda temsil edilen Yerel Ağ Geçidine ait "10.52.255.254/32" olarak belirtmelisiniz.If your BGP Peer IP is 10.52.255.254, you should specify "10.52.255.254/32" as the localNetworkAddressSpace of the Local Network Gateway representing this on-premises network. Azure VPN Gateway’in S2S VPN tüneli aracılığıyla BGP oturumunu başlatmasını sağlamak içindir.This is to ensure that the Azure VPN gateway establishes the BGP session through the S2S VPN tunnel.

BGP eşdeğer oturumu için şirket içi VPN cihazıma ne eklemeliyim?What should I add to my on-premises VPN device for the BGP peering session?

VPN cihazınızdaki Azure BGP Eşdeğer IP adresinin, IPsec S2S VPN tüneline yönlenmiş konak rotasını eklemelisiniz.You should add a host route of the Azure BGP Peer IP address on your VPN device pointing to the IPsec S2S VPN tunnel. Örneğin, Azure VPN Eşdeğer IP’si "10.12.255.30" olursa, "10.12.255.30" için VPN cihazınızdaki eşleşen IPsec tüneli arabiriminin sonraki durak arabirimine sahip bir konak rotası eklemelisiniz.For example, if the Azure VPN Peer IP is "10.12.255.30", you should add a host route for "10.12.255.30" with a nexthop interface of the matching IPsec tunnel interface on your VPN device.

Şirket içi ve dışı bağlantısı ve VM'lerCross-premises connectivity and VMs

Sanal makinem sanal bir ağdaysa, şirket içi ve dışı bağlantım varsa VM’ye nasıl bağlanmalıyım?If my virtual machine is in a virtual network and I have a cross-premises connection, how should I connect to the VM?

Birkaç seçeneğiniz vardır.You have a few options. Sanal makineniz için RDP’yi etkinleştirdiyseniz, özel IP adresini kullanarak sanal makinenize bağlanabilirsiniz.If you have RDP enabled for your VM, you can connect to your virtual machine by using the private IP address. Bu durumda, özel IP adresini ve bağlanmak istediğiniz bağlantı noktasını (genellikle 3389) belirtmeniz gerekir.In that case, you would specify the private IP address and the port that you want to connect to (typically 3389). Sanal makinenizde trafik için bağlantı noktası yapılandırmanız gerekir.You'll need to configure the port on your virtual machine for the traffic.

Ayrıca, aynı sanal ağda bulunan başka bir sanal makineden sanal makinenize özel IP adresi ile bağlanabilirsiniz.You can also connect to your virtual machine by private IP address from another virtual machine that's located on the same virtual network. Sanal ağınızın dışında bir konumdan bağlanıyorsanız özel IP adresi kullanarak sanal makinenizde RDP gerçekleştiremezsiniz.You can't RDP to your virtual machine by using the private IP address if you are connecting from a location outside of your virtual network. Örneğin, yapılandırılmış bir Noktadan Siteye sanal ağınız varsa ve bilgisayarınızdan bağlantı kurmuyorsanız, sanal makineyi özel IP adresi ile bağlayamazsınız.For example, if you have a Point-to-Site virtual network configured and you don't establish a connection from your computer, you can't connect to the virtual machine by private IP address.

Sanal makinem şirket içi ve dışı bağlantılı bir sanal ağdaysa, VM’me ait trafiğin tümü bu bağlantıdan geçer mi?If my virtual machine is in a virtual network with cross-premises connectivity, does all the traffic from my VM go through that connection?

Hayır.No. Bir tek, belirttiğiniz sanal ağ Yerel Ağ Ip adresi aralıklarında bulunan hedef IP’si olan trafik sanal ağ geçidinden geçer.Only the traffic that has a destination IP that is contained in the virtual network Local Network IP address ranges that you specified will go through the virtual network gateway. Sanal ağ içinde yer alan bir hedef IP'ye sahip olan trafik, sanal ağ içinde kalır.Traffic has a destination IP located within the virtual network stays within the virtual network. Diğer trafik ortak ağlara yük dengeleyiciyle gönderilir veya zorlamalı tünel kullanılırsa, Azure VPN ağ geçidi üzerinden gönderilir.Other traffic is sent through the load balancer to the public networks, or if forced tunneling is used, sent through the Azure VPN gateway.

VM ile RDP bağlantısı sorunlarını nasıl giderebilirim?How do I troubleshoot an RDP connection to a VM

VPN bağlantınız üzerinden bir sanal makineye bağlanmakta sorun yaşıyorsanız aşağıdaki kontrolleri yapın:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • VPN bağlantınızın başarılı olduğunu doğrulayın.Verify that your VPN connection is successful.
  • VM’nin özel IP adresine bağlandığınızı doğrulayın.Verify that you are connecting to the private IP address for the VM.
  • Bilgisayar adı yerine özel IP adresini kullanarak VM ile bağlantı kurabiliyorsanız, DNS’i düzgün yapılandırdığınızdan emin olun.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. VM’ler için ad çözümlemesinin nasıl çalıştığı hakkında daha fazla bilgi için bkz. VM'ler için Ad Çözümlemesi.For more information about how name resolution works for VMs, see Name Resolution for VMs.

Noktadan Siteye bağlantı üzerinden bağlandığınızda aşağıdaki ek denetimleri yapın:When you connect over Point-to-Site, check the following additional items:

  • 'ipconfig' seçeneğini kullanarak bağlantıyı kurduğunuz bilgisayardaki Ethernet bağdaştırıcısına atanmış IPv4 adresini denetleyin.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. IP adresi bağlanacağınız sanal ağın adres aralığında veya VPNClientAddressPool adres aralığında ise, bu durum çakışan bir adres alanı olarak adlandırılır.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Adres alanınız bu şekilde çakıştığında, ağ trafiği Azure’a ulaşmaz ve yerel ağda kalır.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Sanal ağ için DNS sunucusu IP adresleri belirtildikten sonra VPN istemci yapılandırma paketinin oluşturulduğunu doğrulayın.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. DNS sunucusu IP adreslerini güncelleştirdiyseniz, yeni bir VPN istemci yapılandırma paketi oluşturup yükleyin.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.

Bir RDP bağlantısıyla ilgili sorun giderme hakkında daha fazla bilgi için bkz. Bir VM ile Uzak Masaüstü bağlantılarında sorun giderme.For more information about troubleshooting an RDP connection, see Troubleshoot Remote Desktop connections to a VM.

Sanal Ağ SSSVirtual Network FAQ

Ek sanal ağ ek bilgilerini Virtual Network SSS bölümünde görürsünüz.You view additional virtual network information in the Virtual Network FAQ.

Sonraki adımlarNext steps

"OpenVPN", OpenVPN Inc. şirketinin ticari markasıdır."OpenVPN" is a trademark of OpenVPN Inc.