VPN Ağ Geçidi SSS

Sanal ağlara bağlanma

Farklı Azure bölgelerinde sanal ağlara bağlanıyor musunuz?

Evet. Aslında bölge kısıtlaması yoktur. Bir sanal ağ, aynı bölgede veya farklı bir Azure bölgesinde başka bir sanal ağa bağlanabilirsiniz.

Sanal ağlara farklı aboneliklerde bağlanıyor musunuz?

Evet.

VPN Ağ Geçidi'ni yapılandırken VNet'imde özel DNS sunucularını belirtmem gerekir mi?

VNet'inizi oluşturulduğunda bir DNS sunucusu veya sunucuları belirttiysiniz, VPN Ağ Geçidi belirttiğiniz DNS sunucularını kullanır. Bir DNS sunucusu belirtirsanız, DNS sunucunuz Azure için gereken etki alanı adlarını çözümleyene kadar var olduğunu doğrulayın.

Tek bir sanal ağdan birden çok siteye bağlanabilirsiniz mi?

Windows PowerShell ve Azure REST API'lerini kullanarak birden çok siteye bağlanabilirsiniz. Multi-Site ve VNet-to-VNet Bağlantısı SSS bölümüne bakın.

Bir VPN ağ geçidini etkin etkin olarak ayarlamanın ek maliyeti var mı?

Hayır.

Şirket içi bağlantı seçeneklerim nedir?

Aşağıdaki şirket içi bağlantılar desteklemektedir:

  • Siteden Siteye – I İletiler üzerinden VPN bağlantısı (IKE v1 ve IKE v2). Bu bağlantı türü bir VPN cihazı veya RRAS gerektirir. Daha fazla bilgi için bkz. Siteden Siteye.
  • Noktadan Noktaya – SSTP (Güvenli Yuva Yuva Protokolü) veya IKE v2 üzerinden VPN bağlantısı. Bu bağlantı için VPN cihazı gerekli değildir. Daha fazla bilgi için bkz. Noktadan Siteye.
  • VNet'den VNet'e – Bu bağlantı türü, Siteden Siteye yapılandırmasıyla aynıdır. VNet'den VNet'e I İleti (IKE v1 ve IKE v2) üzerinden bir VPN bağlantısıdır. VPN cihazı gerektirmez. Daha fazla bilgi için bkz. VNet'den VNet'e.
  • Çok Siteli – Bu, birden çok şirket içi siteyi bir sanal ağa bağlamanıza olanak sağlayan Siteden Siteye yapılandırmasının bir çeşitlesidir. Daha fazla bilgi için bkz. Çok Siteli.
  • ExpressRoute – ExpressRoute, genel İnternet üzerinden bir VPN bağlantısı değil, WAN'ınız üzerinden Azure'a özel bir bağlantıdır. Daha fazla bilgi için bkz. ExpressRoute Teknik Genel Bakış ve ExpressRoute hakkında SSS.

VPN ağ geçidi bağlantıları hakkında daha fazla bilgi için bkz. VPN Ağ Geçidi Hakkında.

Siteden Siteye bağlantısı ile Noktadan Siteye arasında ne fark vardır?

Siteden Siteye (I Toplantısı/IKE VPN yolu) yapılandırmaları, şirket içi konumunuzla Azure arasında yer alır. Bu, yönlendirmeyi ve izinleri nasıl yapılandırmayı seçtiğinize bağlı olarak, şirket içinde yer alan bilgisayarlardan herhangi biri üzerinden sanal ağınızdaki herhangi bir sanal makine veya rol örneğine bağlanabilirsiniz. Her zaman kullanılabilen bir şirket içi bağlantı için harika bir seçenektir ve karma yapılandırmalar için çok uygundur. Bu bağlantı türü, ağ ın kenarından dağıtılması gereken bir I Vpn cihazına (donanım cihazı veya yazılım cihazı) dayandır. Bu bağlantı türünü oluşturmak için, dışa yönelik bir IPv4 adresiniz olması gerekir.

Noktadan Noktaya (SSTP üzerinden VPN) yapılandırmaları, her yerden tek bir bilgisayardan sanal ağda bulunan herhangi bir şeye bağlanmanızı sağlar. Kutu içinde Windows VPN istemcisini kullanır. Noktadan Noktaya yapılandırmanın bir parçası olarak, bilgisayarınızın sanal ağ içindeki herhangi bir sanal makineye veya rol örneğine bağlanmasını sağlayan ayarları içeren bir sertifika ve BIR VPN istemci yapılandırma paketi yüklemeniz gerekir. Sanal bir ağa bağlanmak istiyor ancak şirket içinde yer almak istemiyorsanız, bu harika bir uygulamadır. VPN donanımına veya harici bir IPv4 adresine erişiminiz yoksa, her ikisi de Site-Siteye bağlantısı için gerekli olan iyi bir seçenektir.

Ağ geçidiniz için yönlendirme tabanlı bir VPN türü kullanarak Siteden Siteye bağlantınızı oluşturmanız sürece, sanal anızı eşzamanlı olarak hem Siteden Siteye hem de Noktadan Siteye'yi kullanmak üzere yapılandırabilirsiniz. Yönlendirme tabanlı VPN türleri klasik dağıtım modelinde dinamik ağ geçitleri olarak adlandırılan bu türler.

Gizlilik

VPN hizmeti müşteri verilerini depolar veya işler mi?

Hayır.

Sanal ağ ağ geçitleri

VPN ağ geçidi bir sanal ağ ağ geçidi mi?

VPN ağ geçidi, bir tür sanal ağ ağ geçididir. Bir VPN ağ geçidi, sanal ağınız ile şirket içi konumunuz arasında genel bir bağlantı üzerinden şifrelenmiş trafik gönderir. Sanal ağlar arasında trafik göndermek için bir VPN ağ geçidi de kullanabilirsiniz. Bir VPN ağ geçidi oluşturmak için -GatewayType değerini 'Vpn' kullanırsiniz. Daha fazla bilgi için bkz. VPN Ağ Geçidi yapılandırma ayarları hakkında.

İlke tabanlı (statik yönlendirme) ağ geçidi nedir?

İlke tabanlı ağ geçitleri ilke tabanlı VPN'ler uygulama. İlke tabanlı VPN'ler paketleri I İletiler yoluyla şifreler ve doğrudan gönderir Şirket içi ağınız ile Azure VNet arasındaki adres ön eklerinin bileşimlerine dayalı olarak. İlke (veya Trafik Seçici) genellikle VPN yapılandırmasında bir erişim listesi olarak tanımlanır.

Yönlendirme tabanlı (dinamik yönlendirme) ağ geçidi nedir?

Yönlendirme tabanlı ağ geçitleri yönlendirme tabanlı VPN'leri uygulama. Yönlendirme tabanlı VPN'ler, paketleri buna karşılık gelen akış arabirimlerine yönlendirecek şekilde IP iletme veya yönlendirme tablosunda "yönlendirmeler" kullanır. Daha sonra hedef arabirimleri, paketlerin şifresini şifreler veya şifrelerini çözebilir. Yönlendirme tabanlı VPN'ler için ilke veya trafik seçiciler herhangi bire bir (veya joker kartlar) olarak yapılandırılır.

Kendi ilke tabanlı trafik seçicilerimi belirtir miyim?

Evet, trafik seçicileri New-AzI butrafficSelectorPolicy PowerShell komutuyla bir bağlantıdaki trafficSelectorPolicies özniteliğiyle tanımlanabilir. Belirtilen trafik seçicinin etkin olmasını sağlamak için İlke Tabanlı Trafik Seçicileri Kullan seçeneğinin etkinleştirildiğinden emin olun.

İlke tabanlı VPN ağ geçidimi yönlendirme tabanlı olarak güncelleştir miyim?

Hayır. Ağ geçidi türü ilke tabanlıdan yönlendirme tabanlıya veya yönlendirme tabanlıdan ilke tabanlıya değiştirilemez. Ağ geçidi türünü değiştirmek için ağ geçidinin silinmesi ve yeniden oluşturulması gerekir. Bu işlem yaklaşık 60 dakika sürer. Yeni ağ geçidini oluşturdukta, özgün ağ geçidinin IP adresini koruyamazsiniz.

  1. Ağ geçidiyle ilişkili tüm bağlantıları silin.

  2. Aşağıdaki makalelerden birini kullanarak ağ geçidini silin:

  3. Kullanmak istediğiniz ağ geçidi türünü kullanarak yeni bir ağ geçidi oluşturun ve ardından VPN kurulumunu tamamlamanız gerekir. Adımlar için, Siteden Siteye öğreticisi'ne bakın.

'Ağ Geçidi'ne ihtiyacım var mı?

Evet. Ağ geçidi alt ağı, sanal ağ ağ geçidi hizmetlerinin kullanmakta olduğu IP adreslerini içerir. Sanal ağ ağ geçidini yapılandırmak için VNet'iniz için bir ağ geçidi alt ağı oluşturmanız gerekir. Düzgün çalışması için tüm ağ geçidi alt ağlarına 'GatewaySubnet' adı ve olmalı. Ağ geçidi alt ağın adını başka bir şey girin. Ayrıca, ağ geçidi alt ağın için sanal bilgisayarları veya başka herhangi bir şeyi dağıtmayın.

Ağ geçidi alt ağın oluşturması, alt ağın içerdiği IP adreslerinin sayısını belirtirsiniz. Ağ geçidi alt ağın IP adresleri ağ geçidi hizmetine ayrılır. Bazı yapılandırmalar, ağ geçidi hizmetlerine tahsis etmek için diğerlerine göre daha fazla IP adresi gerektirir. Ağ geçidi alt ağ geçidinizin, gelecekteki büyüme ve olası yeni bağlantı yapılandırmaları için yeterli IP adresleri içerdiğindan emin olun. Dolayısıyla, /29 gibi küçük bir ağ geçidi alt ağı oluşturabiliyorken, /27 veya daha büyük (/27, /26, /25 vb.) bir ağ geçidi alt ağı oluşturmanızı öneririz. Oluşturmak istediğiniz yapılandırmanın gereksinimlerine bakın ve sahip olduğu ağ geçidi alt ağ geçidinin bu gereksinimleri karşılamayacaklarını doğrulayın.

Ağ geçidi alt ağın sanal makinelerini veya rol örneklerini dağıtın mı?

Hayır.

VPN ağ geçidi IP adresimi oluşturmadan önce bu adrese sahip olabilir miyim?

Bölge için yedekli ve diğer ağ geçitleri (adı AZ olan ağ geçidi SKU'ları) her ikisi de Standart SKU Azure genel IP kaynağını temel alır. Azure Standart SKU genel IP kaynakları statik ayırma yöntemi kullan olmalıdır. Bu nedenle, VPN ağ geçidiniz için kullanmayı bildiğiniz Standart SKU genel IP kaynağını oluşturmanızdan hemen sonra genel IP adresiniz olur.

Bölgeyle yedekli olmayan ve bölge dışı ağ geçitleri için (adda AZ olmayan ağ geçidi SK'ları) VPN ağ geçidi IP adresini oluşturmadan önce alamadan. IP adresi ancak VPN ağ geçidinizi siler ve yeniden sanız değişir.

VPN ağ geçidim için bir Statik Genel IP adresi talep edilebilir mi?

Yukarıda da belirtildiği gibi bölgeye bağlı ve bölgeli ağ geçitleri (adı AZ olan ağ geçidi SKU'ları) her ikisi de Standart SKU Azure genel IP kaynağına dayandır. Azure Standart SKU genel IP kaynakları statik ayırma yöntemi kullan olmalıdır.

Bölgeyle yedekli olmayan ve bölge dışı ağ geçitleri için (adda AZ olmayan ağ geçidi SK'ları) yalnızca dinamik IP adresi ataması destekler. Ancak bu, IP adresinin VPN ağ geçidinize atandıktan sonra değiştiklerinden başka bir anlama gelir. VPN ağ geçidi IP adresi yalnızca ağ geçidi silindiğinde ve yeniden oluşturulduğunda değişir. VPN ağ geçidi genel IP adresi, VPN ağ geçidinizin iç bakım ve yükseltmelerini yeniden boyutlandırabilir, sıfırlar veya tamamlarken değişmez.

VPN bağlantılarım nasıl kimlik doğrulaması yapar?

Azure VPN, PSK (Önceden Paylaşılan Anahtar) kimlik doğrulamasını kullanır. VPN tüneli oluşturmamız gerekirken, önceden paylaşılan bir anahtar (PSK) oluşturacağız. Önceden Paylaşılan Anahtar PowerShell cmdlet'ini veya REST API'sini ayarla cmdlet'iyle otomatik olarak yenilenmiş PSK'yi kendi PSK'niz olarak değiştirebilirsiniz.

İlke tabanlı (statik yönlendirme) ağ geçidi VPN'mi yapılandırmak için Önceden Paylaşılan Anahtar API'sini Ayarlama'ya sahip olabilir miyim?

Evet, Önceden Paylaşılan Anahtar API'sini ayarla ve PowerShell cmdlet'i hem Azure ilke tabanlı (statik) VPN'lerini hem de yönlendirme tabanlı (dinamik) yönlendirme VPN'lerini yapılandırmak için kullanılabilir.

Diğer kimlik doğrulama seçeneklerini kullanabilir miyim?

Kimlik doğrulaması için önceden paylaşılan anahtarlar (PSK) kullanmayla sınırlıdır.

Hangi trafiğin VPN ağ geçidine geçerek geçerli olduğunu nasıl belirtirim?

Kaynak Yöneticisi dağıtım modeli

  • PowerShell: Yerel ağ ağ geçidinin trafiğini belirtmek için "AddressPrefix" kullanın.
  • Azure portalı: Yerel ağ geçidi Yapılandırma Adresi >> alanı'ne gidin.

Klasik dağıtım modeli

  • Azure portalı: Klasik sanal ağ VPN bağlantıları Siteden siteye VPN bağlantıları Yerel > site adı Yerel site İstemci adres >>>> alanı'ne gidin.

VPN bağlantımda NAT-T kullanabilir miyim?

Evet, NAT çapraz geçiş (NAT-T) de desteklenir. Azure VPN Ağ Geçidi, IPal geçitlerine giden/gelen iç paketlerde NAT'ye benzer işlevler gerçekleştirmeZ. Bu yapılandırmada, lütfen şirket içi cihazın IPSec adresini başlattığıdan emin olun.

Azure'da kendi VPN sunucumı ayarp bunu şirket içi ağıma bağlanmak için kullanabilir miyim?

Evet, Azure Marketi'nden ya da kendi VPN yönlendiricilerinizi oluşturarak Azure'da kendi VPN ağ geçidinizi veya sunucularınızı dağıtabilirsiniz. Şirket içi ağlarla sanal ağ alt ağlarınız arasında trafiğin düzgün yönlendirıldığından emin olmak için, sanal ağınız içinde kullanıcı tanımlı yönlendirmeleri yapılandırmanız gerekir.

Sanal ağ ağ ağ geçidimde bazı bağlantı noktaları neden açılamıyor?

Azure altyapısı iletişimi için bunlar gereklidir. Bunlar Azure sertifikaları tarafından korunur (kilitlenir). Uygun sertifikalar olmadan, bu ağ geçitlerinin müşterileri dahil olmak üzere dış varlıklar bu uç noktalar üzerinde hiçbir etkisi olmayacaktır.

Sanal ağ ağ geçidi temelde, müşteriye özel ağa bir NIC ve bir de genel ağa yönelik NIC'ye sahip birden çok evli bir cihazdır. Azure altyapı varlıkları uyumluluk nedeniyle müşteri özel ağlarına dokunamaz, dolayısıyla altyapı iletişimi için genel uç noktaları kullanmaları gerekir. Ortak uç noktalar düzenli aralıklarla Azure güvenlik denetimi tarafından taranır.

Ağ geçidi türleri, gereksinimleri ve performansı hakkında daha fazla bilgi

Daha fazla bilgi için bkz. VPN Ağ Geçidi yapılandırma ayarları hakkında.

Siteden Siteye bağlantılar ve VPN cihazları

BIR VPN cihazı seçerken neleri göz önünde değerlendirmem gerekir?

Cihaz satıcıları ile ortaklığa bir dizi standart Siteden Siteye VPN cihazı doğruladık. Bilinen uyumlu VPN cihazlarının listesi, buna karşılık gelen yapılandırma yönergeleri veya örnekleri ve cihaz özellikleri VPN cihazları hakkında makalesinde bulunabilir. Uyumlu olarak listelenen cihaz ailelerinin tüm cihazları Sanal Ağ ile çalışacaktır. VPN cihazınızı yapılandırmanıza yardımcı olması için, uygun cihaz ailesine karşılık gelen cihaz yapılandırma örneğine veya bağlantıya bakın.

VPN cihazı yapılandırma ayarlarını nerede bulamıyorum?

VPN cihazı yapılandırma betiklerini indirmek için:

VPN cihazına bağlı olarak bir VPN cihazı yapılandırma betiği indirebilirsiniz. Daha fazla bilgi için bkz. VPN cihazı yapılandırma betiklerini indirme.

Ek yapılandırma bilgileri için aşağıdaki bağlantılara bakın:

  • Uyumlu VPN cihazları hakkında daha fazla bilgi için bkz. VPN Cihazları.

  • VPN cihazınızı yapılandırmadan önce, kullanmak istediğiniz VPN cihazı için Bilinen cihaz uyumluluk sorunları olupluğunu kontrol edin.

  • Cihaz yapılandırma ayarlarına bağlantılar için bkz. Doğrulanmış VPN Cihazları. Cihaz yapılandırma bağlantıları en iyi çabayla sağlanır. En son yapılandırma bilgileri için cihazınızın üreticisine başvurun. Listede, sınanmış sürümler yer alıyor. Işletim sisteminiz bu listede yoksa sürümün uyumlu olması da mümkündür. VPN cihazınızın işletim sistemi sürümünün uyumlu olduğunu doğrulamak için cihaz üreticinize başvurun.

  • VPN cihazı yapılandırmasına genel bakış için bkz. VPN cihaz yapılandırmasına genel bakış.

  • Cihaz yapılandırma örneklerini düzenleme hakkında bilgi için bkz. Örnekleri düzenleme.

  • Şifreleme gereksinimleri için şifreleme gereksinimleri ve Azure VPN ağ geçitleri hakkında'ya bakın.

  • I İletiler/IKE parametreleri hakkında bilgi için bkz. Siteden Siteye VPN ağ geçidi bağlantıları için VPN cihazları ve I Değil/IKE parametreleri. Bu bağlantıda, yapılandırmanızı tamamlamak için gereken diğer parametre bilgilerin yanı sıra IKE sürümü, Diffie-Hellman Grubu, Kimlik Doğrulama yöntemi, şifreleme ve karma algoritmaları, SA yaşam süresi, PFS ve DPD ile ilgili bilgiler de yer almaktadır.

  • I Yer/IKE ilkesi yapılandırma adımları için bkz. S2S VPN veya VNet-to-VNet bağlantıları için I İleti/IKE ilkesini yapılandırma.

  • Birden çok ilke tabanlı VPN cihazına bağlanmak için Bkz. PowerShell Bağlanşirket içi ilke tabanlı birden çok VPN cihazına Azure VPN ağ geçitleri bağlama.

VPN cihazı yapılandırma örneklerini nasıl düzenlerim?

Cihaz yapılandırma örneklerini düzenleme hakkında bilgi için bkz. Örnekleri düzenleme.

I Yi ve IKE parametrelerini nerede bulamıyorum?

I BirA/IKE parametreleri için bkz. Parametreler.

Trafik boşta olduğunda ilke tabanlı VPN trafiğim neden aşağı iner?

Bu ilke tabanlı (statik yönlendirme olarak da bilinir) VPN ağ geçitleri için beklenen bir davranıştır. Trafiğin üzerinde olan trafik 5 dakikadan uzun bir süre boşta olduğunda, trafiğin yolu parça parça olur. Trafik her iki yönde de akışına başladığında, bu yapı hemen yeniden başlatılacaktır.

Azure'a bağlanmak için yazılım VPN'lerini kullanabilir miyim?

Site Windows Server 2012 şirket içi yapılandırması için Yönlendirme ve Uzak Erişim (RRAS) sunucularını destekliyoruz.

Diğer yazılım VPN çözümleri, endüstri standardı Iı uygulamalarına uygun olduğu sürece ağ geçidimiz ile birlikte çalışır. Yapılandırma ve destek yönergeleri için yazılımın satıcısına başvurun.

Etkin bir Siteden Siteye bağlantısı olan bir Sitede bulunurken, Noktadan Noktaya Site yoluyla Azure Ağ Geçidi'ne bağlanamıyor musunuz?

Evet, ama Nokta-Site istemcisinin Genel IP adresleri, Siteden Siteye VPN cihazı tarafından kullanılan Genel IP adreslerinden farklı olması gerekir; yoksa, Noktadan Siteye bağlantısı çalışmaz. IKEv2 ile Noktadan Siteye bağlantılar, Aynı Azure VPN Ağ Geçidi'nde Siteden Siteye VPN bağlantısının yapılandırıldığı genel IP adreslerinden başlatamaz.

Noktadan Siteye - Sertifika doğrulaması

Bu bölüm, Kaynak Yöneticisi dağıtım modeli için geçerlidir.

Noktadan Siteye yapılandırmamda kaç VPN istemcisi uç noktası kullanabilirim?

Ağ geçidi SKU'ya bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için bkz. Ağ Geçidi SK'ları.

Noktadan Siteye ile hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri de desteklemektedir:

  • Windows Server 2008 R2 (yalnızca 64 bit)
  • Windows 8.1 (32 bit ve 64 bit)
  • Windows Server 2012 (yalnızca 64 bit)
  • Windows Server 2012 R2 (yalnızca 64 bit)
  • Windows Server 2016 (yalnızca 64 bit)
  • Windows Server 2019 (yalnızca 64 bit)
  • Windows 10
  • Windows 11
  • macOS sürüm 10.11 veya üzeri
  • Linux (StrongSwan)
  • iOS

Not

1 Temmuz 2018'den itibaren TLS 1.0 ve 1.1 desteği Azure VPN Ağ Geçidi'nden kaldırılacaktır. VPN Ağ Geçidi yalnızca TLS 1.2'yi destekleyecektir. Desteği korumak için, TLS1.2 desteğini etkinleştirmek için güncelleştirmelere bakın.

Ayrıca, aşağıdaki eski algoritmalar 1 Temmuz 2018'de TLS için de kullanım dışıdır:

  • RC4 (Rivest Cipher 4)
  • DES (Veri Şifreleme Algoritması)
  • 3DES (Üçlü Veri Şifreleme Algoritması)
  • MD5 (İleti Özeti 5)

Yeni bir aralıkta TLS 1.2 desteğini nasıl Windows 8.1?

  1. Yükseltilmiş ayrıcalıklarla bir komut istemini açmak için Komut İstemi'ne sağ tıklayın ve Yönetici olarak çalıştır öğesini seçin.

  2. Komut isteminde aşağıdaki komutları çalıştırın:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Aşağıdaki güncelleştirmeleri yükleyin:

  4. Bilgisayarı yeniden başlatın.

  5. Bağlan VPN'ye bağlan'a bağlanin.

Not

Windows 10'un (10240) eski bir sürümünü çalıştırdıysanız, yukarıdaki kayıt defteri anahtarını ayarlayabilirsiniz.

Noktadan Siteye özelliğini kullanarak çapraz geçiş ve güvenlik duvarları arasında geçiş denetimine sahip olabilir miyim?

Azure üç tür Noktadan siteye VPN seçeneği destekler:

  • Güvenli Yuva Yuva Protokolü (SSTP). Güvenlik duvarının çoğu 443 SSL'in kullandığı giden TCP bağlantı noktasını a açsa da güvenlik duvarlarını güvenlik duvarına neden olan Microsoft özel SSL tabanlı bir çözümdür.

  • OpenVPN. Çoğu güvenlik duvarı 443 SSL'in kullandığı giden TCP bağlantı noktasını açtıklarından, OpenVPN güvenlik duvarlarını güvenlik duvarına neden olan SSL tabanlı bir çözümdür.

  • IKEv2 VPN. IKEv2 VPN, standartlara dayalı bir I Vpn çözümüdür ve giden UDP bağlantı noktaları 500 ve 4500 ve IP protokolü no. 50 kullanır. Güvenlik duvarları bu bağlantı noktalarını her zaman açmaz, bu nedenle IKEv2 VPN'nin çapraz geçiş yapma olasılığı vardır.

Noktadan Noktaya Site için yapılandırılmış bir istemci bilgisayarı yeniden başlattıktan sonra VPN otomatik olarak yeniden bağlanır mı?

Otomatik yeniden bağlan özelliği kullanılan istemcinin bir işlevidir. Windows VPN istemcisi özelliğini yapılandırarak otomatik yeniden bağlanmayı destekler.

Noktadan Siteye özelliği VPN istemcilerde DDN'leri destekler mi?

DDNS, şu anda Noktadan Siteye VPN'lerde destek sağlanmaz.

Aynı sanal ağ için Siteden Siteye ve Noktadan Noktaya yapılandırmalarını bir arada kullanabilir miyim?

Evet. Kaynak Yöneticisi dağıtım modeli için ağ geçidiniz için RouteBased VPN türünüz olması gerekir. Klasik dağıtım modeli için dinamik bir ağ geçidine ihtiyacınız vardır. VPN ağ geçitleri statik yönlendirme veya İlkeYazdır VPN ağ geçitleri için Noktadan Noktaya yönlendirmeyi desteklemez.

Bir Noktadan Noktaya Ağ Geçidi istemcisini, aynı anda birden çok sanal ağ ağ geçidine bağlanacak şekilde yapılandırmış olabilir miyim?

Kullanılan VPN İstemcisi yazılımına bağlı olarak, bağlı olan sanal ağların aralarındaki veya istemcinin bağlantısı olan ağ arasında çakışan adres boşlukları olması şartıyla birden çok Sanal Ağ Geçidine bağlanabilirsiniz. Azure VPN İstemcisi birçok VPN bağlantısını desteklese de, herhangi bir anda yalnızca bir bağlantı Bağlı olabilir.

Noktadan Noktaya bir istemciyi aynı anda birden çok sanal ağa bağlanacak şekilde yapılandırmış olabilir miyim?

Evet, diğer VNet'lerle eş bağlantısı olan bir VNet'te dağıtılan sanal ağ ağ geçidine Doğrudan Siteden İstemci bağlantıları diğer eşli VNet'lere erişim iznine sahip olabilir. Eşli VNet'ler UseRemoteGateway / AllowGatewayTransit özelliklerini kullanıyor olduğu sürece, Noktadan Siteye istemciler eşli VNet'lere bağlanabilecektir. Daha fazla bilgi için bkz. Noktadan Siteye yönlendirme hakkında.

Site'den Siteye veya Noktadan Siteye bağlantılarda ne kadar performans beklerim?

VPN eşleşmelerinin tam işlem hacmini korumak zordur. ITp ve SSTP, şifrelemenin yoğun olduğu VPN protokolleridir. Aktarım hızı, şirket içi ile İnternet arasındaki gecikme süresi ve bant genişliğiyle de sınırlıdır. Yalnızca IKEv2 Noktadan Siteye VPN bağlantılarının olduğu bir VPN Ağ Geçidi için, beklediğiniz toplam performans Ağ Geçidi SKU'ya bağlıdır. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ Geçidi SKUs.

SSTP ve/veya IKEv2'yi destekleyen Noktadan Noktaya Site için herhangi bir yazılım VPN istemcisi kullanabilir miyim?

Hayır. Yerel VPN istemcisini SSTP için Windows ve IKEv2 için Mac'te yerel VPN istemcisini kullanabilirsiniz. Bununla birlikte, OpenVPN protokolü üzerinden bağlanmak için tüm platformlarda OpenVPN istemcisini kullanabilirsiniz. Desteklenen istemci işletim sistemleri listesine bakın.

Noktadan Siteye bağlantı için kimlik doğrulama türünü değiştirebilir miyim?

Evet. Portalda VPN ağ geçidi - Noktadan siteye yapılandırma sayfasına gidin. Kimlik doğrulaması türüolarak, kullanmak istediğiniz kimlik doğrulama türlerini seçin. Kimlik doğrulama türünde değişiklik yapıldıktan sonra, her VPN istemcisi için yeni bir VPN istemcisi yapılandırma profili oluşturulana, indirilinceye ve bu profillere uygulanana kadar geçerli istemcilerin bağlanamayabileceklerini unutmayın.

Azure, vpn ve IKEv2 VPN'i Windows?

IKEv2, Windows 10 Server 2016'da destekler. Bununla birlikte, belirli işletim sistemi sürümlerinde IKEv2 kullanmak için güncelleştirmeleri yüklemeli ve yerel olarak bir kayıt defteri anahtarı değeri ayarlamalıdır. Windows 10 öncesi işletim sistemi Windows 10 desteklene olmadığını ve yalnızca SSTP veya OpenVPN® Protokolü kullan ® unutmayın.

NOT: Windows Sürüm 1709 ve Windows 10 1607'den Windows Server 2016 işletim sistemi derlemeleri için bu adımlar gerekli değildir.

IKEv2 Windows 10 Server 2016 veya Server 2016'ya hazırlanmak için:

  1. Güncelleştirmeyi işletim sistemi sürümünüze göre yükleyin:

    işletim sistemi sürümü Tarih Numara/Bağlantı
    Windows Server 2016
    Windows 10 Sürüm 1607
    17 Ocak 2018 KB4057142
    Windows 10 1703 Sürümü 17 Ocak 2018 KB4057144
    Windows 10 1709 Sürümü 22 Mart 2018 KB4089848
  2. Kayıt defteri anahtarı değerini ayarlayın. Kayıt defterinde "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD 1 değerini oluşturun veya ayarlayın.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırıldığında ne olur?

Hem SSTP hem de IKEv2'yi karma bir ortamda yapılandırırsanız (Windows ve Mac cihazlarında), Windows VPN istemcisi her zaman önce IKEv2 vpn istemcisini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP'ye geri döner. MacOSX yalnızca IKEv2 üzerinden bağlanacak.

Mac ve Windows dışında, Azure tarafından P2S VPN için hangi platformlar destek alıyor?

Azure, Windows Mac ve P2S VPN için Linux'u destekler.

Zaten dağıtılmış bir Azure VPN Ağ Geçidim var. Yarıçap ve/veya IKEv2 VPN'yi etkinleştir miyim?

Evet, kullanmakta olan ağ geçidi SKU'su YARıÇAP ve/veya IKEv2'yi destekliyorsa, PowerShell veya Azure portalını kullanarak zaten dağıtmış olduğunuz ağ geçitlerinde bu özellikleri etkinleştirebilirsiniz. Temel SKU'nun YARıÇAP veya IKEv2'i destekleme olmadığını unutmayın.

P2S bağlantısının yapılandırmasını nasıl kaldırabilirsiniz?

Aşağıdaki komutlar kullanılarak Azure CLI ve PowerShell kullanılarak P2S yapılandırması kaldırılabilir:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Sertifika kimlik doğrulaması kullanarak bağlanırken sertifika eşleşmesi alıyorumsa ne yapabilirim?

El ile profil oluştururken "Sertifikayı doğru kullanarak sunucunun kimliğini doğrulayın" işaretini kaldırın veya profili el ile oluştururken sertifikayla birlikte sunucu FQDN'nizi ekleyin. Komut isteminden rasphone çalıştırarak ve profili açılan listeden seçerek bunuabilirsiniz.

Sunucu kimlik doğrulamasının atlanması genelde önerilmez, ancak Azure sertifika kimlik doğrulamasında, VPN geçiş protokolünde (IKEv2/SSTP) ve EAP protokolünde sunucu doğrulaması için aynı sertifika kullanılır. Sunucu sertifikası ve FQDN VPN geçiş protokolü tarafından önceden doğrulanmış olduğu için, EAP'da aynı sertifikanın yeniden doğrulanması için yedeklidir.

Noktadan siteye kimlik doğrulama

Noktadan Siteye bağlantısı için sertifika oluşturmak üzere kendi iç PKI kök CA'mı kullanabilir miyim?

Evet. Daha önce, yalnızca otomatik olarak imzalanan kök sertifikalar kullanılabilirdi. Yine de 20 kök sertifika yükleyebilirsiniz.

Azure Anahtar Kasası'nın sertifikalarını kullanabilir miyim?

Hayır.

Sertifika oluşturmak için hangi araçları kullanabilirim?

Enterprise PKI çözümlerinizi (iç PKI'niz), Azure PowerShell, MakeCert ve OpenSSL çözümlerinizi kullanabilirsiniz.

Sertifika ayarları ve parametreleriyle ilgili yönergeler var mı?

  • İç PKI/Enterprise PKI çözümü: Sertifika oluşturma adımlarına bakın.

  • Azure PowerShell: Adımlar Azure PowerShell makalesine bakın.

  • MakeCert: Adımlar için MakeCert makalesine bakın.

  • OpenSSL:

    • Sertifikaları dışarı aktarıyorken, kök sertifikayı Base64'e dönüştürmeye emin olun.

    • İstemci sertifikası için:

      • Özel anahtar oluşturulurken uzunluğu 4096 olarak belirtin.
      • Sertifikayı oluştururken, -extensions parametresi içinusr_cert.

Noktadan Noktaya - YARıÇAP kimlik doğrulaması

Bu bölüm, Kaynak Yöneticisi dağıtım modeli için geçerlidir.

Noktadan Siteye yapılandırmamda kaç VPN istemcisi uç noktası kullanabilirim?

Ağ geçidi SKU'ya bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için bkz. Ağ Geçidi SK'ları.

Noktadan Siteye ile hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri de desteklemektedir:

  • Windows Server 2008 R2 (yalnızca 64 bit)
  • Windows 8.1 (32 bit ve 64 bit)
  • Windows Server 2012 (yalnızca 64 bit)
  • Windows Server 2012 R2 (yalnızca 64 bit)
  • Windows Server 2016 (yalnızca 64 bit)
  • Windows Server 2019 (yalnızca 64 bit)
  • Windows 10
  • Windows 11
  • macOS sürüm 10.11 veya üzeri
  • Linux (StrongSwan)
  • iOS

Not

1 Temmuz 2018'den itibaren TLS 1.0 ve 1.1 desteği Azure VPN Ağ Geçidi'nden kaldırılacaktır. VPN Ağ Geçidi yalnızca TLS 1.2'yi destekleyecektir. Desteği korumak için, TLS1.2 desteğini etkinleştirmek için güncelleştirmelere bakın.

Ayrıca, aşağıdaki eski algoritmalar 1 Temmuz 2018'de TLS için de kullanım dışıdır:

  • RC4 (Rivest Cipher 4)
  • DES (Veri Şifreleme Algoritması)
  • 3DES (Üçlü Veri Şifreleme Algoritması)
  • MD5 (İleti Özeti 5)

Yeni bir aralıkta TLS 1.2 desteğini nasıl Windows 8.1?

  1. Yükseltilmiş ayrıcalıklarla bir komut istemini açmak için Komut İstemi'ne sağ tıklayın ve Yönetici olarak çalıştır öğesini seçin.

  2. Komut isteminde aşağıdaki komutları çalıştırın:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Aşağıdaki güncelleştirmeleri yükleyin:

  4. Bilgisayarı yeniden başlatın.

  5. Bağlan VPN'ye bağlan'a bağlanin.

Not

Windows 10'un (10240) eski bir sürümünü çalıştırdıysanız, yukarıdaki kayıt defteri anahtarını ayarlayabilirsiniz.

Noktadan Siteye özelliğini kullanarak çapraz geçiş ve güvenlik duvarları arasında geçiş denetimine sahip olabilir miyim?

Azure üç tür Noktadan siteye VPN seçeneği destekler:

  • Güvenli Yuva Yuva Protokolü (SSTP). Güvenlik duvarının çoğu 443 SSL'in kullandığı giden TCP bağlantı noktasını a açsa da güvenlik duvarlarını güvenlik duvarına neden olan Microsoft özel SSL tabanlı bir çözümdür.

  • OpenVPN. Çoğu güvenlik duvarı 443 SSL'in kullandığı giden TCP bağlantı noktasını açtıklarından, OpenVPN güvenlik duvarlarını güvenlik duvarına neden olan SSL tabanlı bir çözümdür.

  • IKEv2 VPN. IKEv2 VPN, standartlara dayalı bir I Vpn çözümüdür ve giden UDP bağlantı noktaları 500 ve 4500 ve IP protokolü no. 50 kullanır. Güvenlik duvarları bu bağlantı noktalarını her zaman açmaz, bu nedenle IKEv2 VPN'nin çapraz geçiş yapma olasılığı vardır.

Noktadan Noktaya Site için yapılandırılmış bir istemci bilgisayarı yeniden başlattıktan sonra VPN otomatik olarak yeniden bağlanır mı?

Otomatik yeniden bağlan özelliği kullanılan istemcinin bir işlevidir. Windows VPN istemcisi özelliğini yapılandırarak otomatik yeniden bağlanmayı destekler.

Noktadan Siteye özelliği VPN istemcilerde DDN'leri destekler mi?

DDNS, şu anda Noktadan Siteye VPN'lerde destek sağlanmaz.

Aynı sanal ağ için Siteden Siteye ve Noktadan Noktaya yapılandırmalarını bir arada kullanabilir miyim?

Evet. Kaynak Yöneticisi dağıtım modeli için ağ geçidiniz için RouteBased VPN türünüz olması gerekir. Klasik dağıtım modeli için dinamik bir ağ geçidine ihtiyacınız vardır. VPN ağ geçitleri statik yönlendirme veya İlkeYazdır VPN ağ geçitleri için Noktadan Noktaya yönlendirmeyi desteklemez.

Bir Noktadan Noktaya Ağ Geçidi istemcisini, aynı anda birden çok sanal ağ ağ geçidine bağlanacak şekilde yapılandırmış olabilir miyim?

Kullanılan VPN İstemcisi yazılımına bağlı olarak, bağlı olan sanal ağların aralarındaki veya istemcinin bağlantısı olan ağ arasında çakışan adres boşlukları olması şartıyla birden çok Sanal Ağ Geçidine bağlanabilirsiniz. Azure VPN İstemcisi birçok VPN bağlantısını desteklese de, herhangi bir anda yalnızca bir bağlantı Bağlı olabilir.

Noktadan Noktaya bir istemciyi aynı anda birden çok sanal ağa bağlanacak şekilde yapılandırmış olabilir miyim?

Evet, diğer VNet'lerle eş bağlantısı olan bir VNet'te dağıtılan sanal ağ ağ geçidine Doğrudan Siteden İstemci bağlantıları diğer eşli VNet'lere erişim iznine sahip olabilir. Eşli VNet'ler UseRemoteGateway / AllowGatewayTransit özelliklerini kullanıyor olduğu sürece, Noktadan Siteye istemciler eşli VNet'lere bağlanabilecektir. Daha fazla bilgi için bkz. Noktadan Siteye yönlendirme hakkında.

Site'den Siteye veya Noktadan Siteye bağlantılarda ne kadar performans beklerim?

VPN eşleşmelerinin tam işlem hacmini korumak zordur. ITp ve SSTP, şifrelemenin yoğun olduğu VPN protokolleridir. Aktarım hızı, şirket içi ile İnternet arasındaki gecikme süresi ve bant genişliğiyle de sınırlıdır. Yalnızca IKEv2 Noktadan Siteye VPN bağlantılarının olduğu bir VPN Ağ Geçidi için, beklediğiniz toplam performans Ağ Geçidi SKU'ya bağlıdır. Aktarım hızı hakkında daha fazla bilgi için bkz. Ağ Geçidi SKUs.

SSTP ve/veya IKEv2'yi destekleyen Noktadan Noktaya Site için herhangi bir yazılım VPN istemcisi kullanabilir miyim?

Hayır. Yerel VPN istemcisini SSTP için Windows ve IKEv2 için Mac'te yerel VPN istemcisini kullanabilirsiniz. Bununla birlikte, OpenVPN protokolü üzerinden bağlanmak için tüm platformlarda OpenVPN istemcisini kullanabilirsiniz. Desteklenen istemci işletim sistemleri listesine bakın.

Noktadan Siteye bağlantı için kimlik doğrulama türünü değiştirebilir miyim?

Evet. Portalda VPN ağ geçidi - Noktadan siteye yapılandırma sayfasına gidin. Kimlik doğrulaması türüolarak, kullanmak istediğiniz kimlik doğrulama türlerini seçin. Kimlik doğrulama türünde değişiklik yapıldıktan sonra, her VPN istemcisi için yeni bir VPN istemcisi yapılandırma profili oluşturulana, indirilinceye ve bu profillere uygulanana kadar geçerli istemcilerin bağlanamayabileceklerini unutmayın.

Azure, vpn ve IKEv2 VPN'i Windows?

IKEv2, Windows 10 Server 2016'da destekler. Bununla birlikte, belirli işletim sistemi sürümlerinde IKEv2 kullanmak için güncelleştirmeleri yüklemeli ve yerel olarak bir kayıt defteri anahtarı değeri ayarlamalıdır. Windows 10 öncesi işletim sistemi Windows 10 desteklene olmadığını ve yalnızca SSTP veya OpenVPN® Protokolü kullan ® unutmayın.

NOT: Windows Sürüm 1709 ve Windows 10 1607'den Windows Server 2016 işletim sistemi derlemeleri için bu adımlar gerekli değildir.

IKEv2 Windows 10 Server 2016 veya Server 2016'ya hazırlanmak için:

  1. Güncelleştirmeyi işletim sistemi sürümünüze göre yükleyin:

    işletim sistemi sürümü Tarih Numara/Bağlantı
    Windows Server 2016
    Windows 10 Sürüm 1607
    17 Ocak 2018 KB4057142
    Windows 10 1703 Sürümü 17 Ocak 2018 KB4057144
    Windows 10 1709 Sürümü 22 Mart 2018 KB4089848
  2. Kayıt defteri anahtarı değerini ayarlayın. Kayıt defterinde "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD 1 değerini oluşturun veya ayarlayın.

P2S VPN bağlantıları için hem SSTP hem de IKEv2 yapılandırıldığında ne olur?

Hem SSTP hem de IKEv2'yi karma bir ortamda yapılandırırsanız (Windows ve Mac cihazlarında), Windows VPN istemcisi her zaman önce IKEv2 vpn istemcisini dener, ancak IKEv2 bağlantısı başarılı olmazsa SSTP'ye geri döner. MacOSX yalnızca IKEv2 üzerinden bağlanacak.

Mac ve Windows dışında, Azure tarafından P2S VPN için hangi platformlar destek alıyor?

Azure, Windows Mac ve P2S VPN için Linux'u destekler.

Zaten dağıtılmış bir Azure VPN Ağ Geçidim var. Yarıçap ve/veya IKEv2 VPN'yi etkinleştir miyim?

Evet, kullanmakta olan ağ geçidi SKU'su YARıÇAP ve/veya IKEv2'yi destekliyorsa, PowerShell veya Azure portalını kullanarak zaten dağıtmış olduğunuz ağ geçitlerinde bu özellikleri etkinleştirebilirsiniz. Temel SKU'nun YARıÇAP veya IKEv2'i destekleme olmadığını unutmayın.

P2S bağlantısının yapılandırmasını nasıl kaldırabilirsiniz?

Aşağıdaki komutlar kullanılarak Azure CLI ve PowerShell kullanılarak P2S yapılandırması kaldırılabilir:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

TÜM Azure VPN Ağ Geçidi SKUs'larda YARıÇAP kimlik doğrulaması destekler mi?

RADIUS kimlik doğrulaması VpnGw1, VpnGw2 ve VpnGw3 SKUs için destekler. Eski SKU'ları kullanıyorsanız, YARıÇAP kimlik doğrulaması Standart ve Yüksek Performanslı SKU'larda destekler. Temel Ağ Geçidi SKU'ssinde desteklenmiyor. 

Klasik dağıtım modeli için YARıÇAP kimlik doğrulaması destek var mı?

Hayır. YARıÇAP kimlik doğrulaması klasik dağıtım modeli için desteklenmiyor.

YARıÇAP sunucusuna gönderilen YARıÇAP istekleri için zaman aşımı süresi nedir?

YARıÇAP istekleri 30 saniye sonra zaman aşımına neden olacak şekilde ayarlanır. Kullanıcı tanımlı zaman aşımı değerleri bugün desteklenmiyor.

3. taraf YARıÇAP sunucuları destekli mi?

Evet, 3. taraf YARıÇAP sunucuları destekler.

Azure ağ geçidinin şirket içi YARıÇAP sunucusuna ulaşa olduğundan emin olmak için bağlantı gereksinimleri nelerdir?

Uygun yönlendirmelerin yapılandırıldığında şirket içi siteye VPN Sitesi-Siteye bağlantısı gerekir.  

Şirket içi YARıÇAP sunucusuna (Azure VPN ağ geçidinden) giden trafik ExpressRoute bağlantısı üzerinden yönlendirilebilir mi?

Hayır. Yalnızca Site'den Siteye bağlantısı üzerinden yönlendirebilirsiniz.

YARıÇAP kimlik doğrulamasıyla desteklenen SSTP bağlantı sayısında bir değişiklik var mı? Desteklenen SSTP ve IKEv2 bağlantılarının en yüksek sayısı nedir?

YARıÇAP kimlik doğrulaması olan bir ağ geçidinde desteklenen en fazla SSTP bağlantısı sayısında bir değişiklik yoktur. SSTP için 128 olarak kalır, ancak IKEv2 için ağ geçidi SKU'ya bağlıdır. Desteklenen bağlantı sayısı hakkında daha fazla bilgi için bkz. Ağ Geçidi SK'ları.

YARıÇAP sunucusu kullanarak sertifika kimlik doğrulaması yapma ile Azure yerel sertifika kimlik doğrulaması kullanma (Azure'a güvenilir bir sertifika yükerek) arasında ne fark vardır?

RADIUS sertifika kimlik doğrulamasında, kimlik doğrulama isteği gerçek sertifika doğrulamasının iş dayandır olduğu bir YARıÇAP sunucusuna iletildi. Zaten YARıÇAP aracılığıyla sahip olduğunuz bir sertifika kimlik doğrulama altyapısıyla tümleştirin, bu seçenek yararlı olur.

Sertifika kimlik doğrulaması için Azure'ı kullanırken, Azure VPN ağ geçidi sertifikanın doğrulamasını gerçekleştirir. Sertifika ortak anahtarınızı ağ geçidine yükley gerekir. Ayrıca, bağlanmasına izin verilmeyecek iptal edilen sertifikaların listesini de belirtebilirsiniz.

YARıÇAP kimlik doğrulaması hem IKEv2 hem de SSTP VPN ile çalışır mı?

Evet, YARıÇAP kimlik doğrulaması hem IKEv2 hem de SSTP VPN için destekler. 

YARıÇAP kimlik doğrulaması OpenVPN istemcisiyle çalışır mı?

YARıÇAP kimlik doğrulaması, OpenVPN protokolü için yalnızca PowerShell aracılığıyla destekler.

VNet'den VNet'e ve Çok Siteli bağlantılar

VNet'den VNet'e SSS, VPN ağ geçidi bağlantıları için geçerlidir. VNet eşlemesi hakkında bilgi için bkz. Sanal ağ eşliği.

Azure, VNet'ler arasındaki trafik için ücret tahsil ediyor mu?

VPN ağ geçidi bağlantısı kullanılırken, aynı bölgede bulunan VNet'den VNet'e gelen trafik her iki yönde de ücretsizdir. Bölgeler arası VNet'den VNet çıkış trafiğine, kaynak bölgelere bağlı olarak giden inter-VNet veri aktarım oranları üzerinden ücret alınmaktadır. Daha fazla bilgi için VPN Ağ Geçidi fiyatlandırma sayfasına bakın. VPN ağ geçidi yerine VNet eşliği kullanarak VNet'lerinizi bağlarsanız, bkz. Sanal ağ fiyatlandırması.

VNet'den VNet'e trafik İnternet üzerinden mi seyahat yapıyor?

Hayır. VNet'den VNet'e trafik İnternet Microsoft Azure değil omurgasını kullanarak seyahat ediyor.

Kiracılar arasında VNet'den VNet'e Azure Active Directory AAD kurabilirsiniz?

Evet, Azure VPN ağ geçitlerini kullanan VNet'den VNet'e bağlantılar farklı kiracılarda AAD çalışır.

VNet'den VNet'e trafik güvenli mi?

Evet, I İleti/IKE şifrelemesi ile korunur.

VNet'leri birbirine bağlamak için bir VPN cihazına ihtiyacım var mı?

Hayır. Birden çok Azure sanal asını birlikte bağlamak için şirket içi bağlantı gerekli olmadığı sürece VPN cihazı gerekmez.

VNet'lerimin aynı bölgede olması gerekiyor mu?

Hayır. Sanal ağlar aynı veya farklı Azure bölgelerinde (konumlar) olabilir.

VNet'ler aynı abonelikte yer almaıyorsa, aboneliklerin aynı Active Directory kiracısı ile ilişkilendirililmesi gerekiyor mu?

Hayır.

Sanal ağları ayrı Azure örneklerde bağlamak için VNet'den VNet'e kullanabilir miyim?

Hayır. VNet'den VNet'e, aynı Azure örneğinde sanal ağları bağlamayı destekler. Örneğin, genel Azure ile Çince/Almanca/ABD kamu Azure örnekleri arasında bağlantı oluşturaabilirsiniz. Bu senaryolar için Siteden Siteye VPN bağlantısı kullanmayı göz önünde bulundurabilirsiniz.

Çok siteli bağlantılarla birlikte VNet-to-VNet kullanabilir miyim?

Evet. Sanal ağ bağlantısı, aynı anda çok siteli VPN'lerle kullanılabilir.

Bir sanal ağ için kaç tane şirket içi site ve sanal ağ bağlanabilirsiniz?

Ağ Geçidi gereksinimleri tablosuna bakın.

VNet'den VNet'e kullanarak VNet'in dışında VM'leri veya bulut hizmetlerini bağ bağ miyim?

Hayır. VNet'den VNet'e, sanal ağların bağlanmasını destekler. Bir sanal ağda olmayan sanal makineleri veya bulut hizmetlerini bağlamayı desteklemez.

Bir bulut hizmeti veya yük dengeleme uç noktası aralığı VNet'leri olabilir mi?

Hayır. Bir bulut hizmeti veya yük dengeleme uç noktası, birlikte bağlı olsalar bile sanal ağlara yay yaymayabilirsiniz.

VNet-to-VNet veya Çok Siteli bağlantılar için policyBased VPN türünü kullanabilir miyim?

Hayır. VNet'den VNet'e ve Çok Siteli bağlantılar için RouteBased (daha önce dinamik yönlendirme denirdi) VPN türlerine sahip Azure VPN ağ geçitleri gerekir.

YönlendirmeYeni VPN Türü'ne sahip bir VNet'i İlkeYeni VPN türüne sahip başka bir VNet'e bağ miyim?

Hayır, her iki sanal ağ da yönlendirme tabanlı (daha önce dinamik yönlendirme olarak adlandırılan) VPN'ler kullanimli.

VPN bağlantıları bant genişliğini paylaşıyor mu?

Evet. Sanal ağın tüm VPN geçitleri, Azure VPN ağ geçidinde kullanılabilir bant genişliğini ve Azure'daki aynı VPN ağ geçidi çalışma süresi SLA'sını paylaşır.

Yedekli kazılar desteklenmiş mi?

Bir sanal ağ ağ geçidinin etkin-etkin olarak yapılandırılması, bir çift sanal ağ arasındaki fazlalık eşleşmeler destekler.

VNet-to-VNet yapılandırmaları için örtüşen adres alanlarım olabilir mi?

Hayır. Örtüşen IP adresi aralıklarınız yok.

Bağlı sanal ağlarla şirket içi yerel siteler arasında örtüşen adres boşlukları olabilir mi?

Hayır. Örtüşen IP adresi aralıklarınız yok.

Siteden siteye VPN bağlantım ve ExpressRoute'um arasında yönlendirmeyi nasıl etkinleştirim?

ExpressRoute'a bağlı dalla, siteden siteye VPN bağlantısına bağlı dalın arasında yönlendirmeyi etkinleştirmek için Azure Route Server';;ın ayarlaması gerekir.

Şirket içi sitelerim arasında veya başka bir sanal ağa trafiğin geçiş yapmak için Azure VPN ağ geçidini kullanabilir miyim?

Kaynak Yöneticisi dağıtım modeli
Evet. Daha fazla bilgi için BGP bölümüne bakın.

Klasik dağıtım modeli
Trafiğin Azure VPN ağ geçidi üzerinden gerçek gerçek bir dağıtım modeli kullanılarak gerçek gerçeklenene kadar, ağ yapılandırma dosyasındaki statik olarak tanımlanmış adres boşluklarına dayandır. BgP henüz klasik dağıtım modelini kullanan Azure Sanal Ağlar ve VPN ağ geçitleri için desteklemektedir. BGP olmadan, toplu adres alanlarını el ile tanımlamanız çok hataya açık olur ve önerilmez.

Azure, aynı sanal ağ için tüm VPN bağlantılarım için aynı I İleti/IKE önceden paylaşılan anahtarı mı oluştur?

Hayır, Azure varsayılan olarak farklı VPN bağlantıları için farklı önceden paylaşılan anahtarlar üretir. Bununla birlikte, tercih ettiği anahtar değerini ayarlamak için VPN Ağ Geçidi Anahtarı REST API'sini ayarla veya PowerShell cmdlet'ini kullanabilirsiniz. Anahtar, yazdırılabilir ASCII karakterleri olmalıdır.

Tek bir sanal ağa göre Siteden Siteye VPN'lerle daha fazla bant genişliği elde ediyor musunuz?

Hayır, Noktadan Siteye VPN'ler de dahil olmak üzere tüm VPN geçitleri aynı Azure VPN ağ geçidini ve kullanılabilir bant genişliğini paylaşır.

Çok siteli VPN kullanarak sanal ağım ile şirket içi sitem arasındaki birden çok yolu yapılandırmış olabilir miyim?

Evet, ama aynı konuma her iki yolu da BGP'yi yapılandırmalı.

Azure VPN Ağ Geçidi, şirket içi siteme yapılan birden çok bağlantı arasında yönlendirme kararlarını etkilemek için ön ek olarak AS Yol'a mı sahiptir?

Evet, BGP etkinleştirildiğinde yönlendirme kararlarını almak için Azure VPN ağ geçidi, AS Yol hazırlığında ilerler. BGP yol seçiminde daha kısa bir AS Yolu tercih edilir.

Noktadan Noktaya VPN VPN'lerini birden çok VPN yolu ile sanal ağımda kullanabilir miyim?

Evet, Noktadan Siteye (P2S) VPN'leri birden çok şirket içi siteye ve diğer sanal ağlara bağlanan VPN ağ geçitleriyle kullanılabilir.

I Vpn'leri ile bir sanal ağı ExpressRoute devreme bağlarımı sağlar musunuz?

Evet, bu destekledir. Daha fazla bilgi için birlikte bulunan ExpressRoute ve Siteden Siteye VPN bağlantılarını yapılandırma .

I Değil/IKE ilkesi

Özel I İletiler/IKE ilkesi tüm Azure VPN Ağ Geçidi SKUs'larda destek veriyor mu?

Özel I Veri/IKE ilkesi, Temel SKU dışındaki tüm Azure SKU'larda destekler.

Bağlantıda kaç ilke belirtebilirsiniz?

Belirli bir bağlantı için yalnızca bir ilke bileşimi belirtebilirsiniz.

Bağlantıda kısmi bir ilke belirtmem gerekir mi? (örneğin, yalnızca IKE algoritmaları; Iıı)

Hayır, hem IKE (Ana Mod) hem de I Ayrıca (Hızlı Mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir. Kısmi ilke belirtimine izin verilmiyor.

Özel ilkede desteklenen algoritmalar ve temel güçlü algoritmalar nedir?

Aşağıdaki tabloda, müşteriler tarafından yapılandırılabilir desteklenen şifreleme algoritmaları ve temel güçlü özellikler listelemektedir. Her alan için bir seçenek belirtin.

I Bira/IKEv2 Seçenekler
IKEv2 Şifrelemesi AES256, AES192, AES128, DES3, DES
IKEv2 Bütünlük SHA384, SHA256, SHA1, MD5
DH Grubu DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
I Yer Şifrelemesi OBMAES256, OBMAES192, OBMAES128, AES256, AES192, AES128, DES3, DES, None
I Integrity GCMAES256, OBMAES192, OBMAES128, SHA256, SHA1, MD5
PFS Grubu PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA Yaşam Süresi Saniye (tamsayı; dk. 300/varsayılan 27000 saniye)
KBayt (tamsayı; min. 1024/default 102400000 KBytes)
Trafik Seçici UsePolicyBasedTrafficSelectors ($True/$False; varsayılan $False)

Önemli

  • DHGroup2048 & PFS2048, IKE ve I İleti PFS'Diffie-Hellman Group & ile aynıdır. Tüm eşlemeler için Diffie-Iffman Groups'a bakın.
  • OBMAES algoritmaları için, hem I Veri Şifrelemesi hem de Bütünlük için aynı GCMAES algoritmasını ve anahtar uzunluğunu belirtmeniz gerekir.
  • IKEv2 Ana Mod SA yaşam süresi, Azure VPN ağ geçitlerinde 28.800 saniye olarak düzeltildi.
  • QM SA Yaşam Ömrü, isteğe bağlı parametrelerdir. Hiçbir şey belirtilmezse, 27.000 saniye (7,5 sa) ve 102400000 KBytes (102 GB) varsayılan değerleri kullanılır.
  • UsePolicyBasedTrafficSelector bağlantının bir seçenek parametresidir. "UsePolicyBasedTrafficSelectors" için bir sonraki SSS öğesine bakın.

Azure VPN ağ geçidi ilkesi ile şirket içi VPN cihazı yapılandırmalarım arasında her şeyin eşleşmesi gerekiyor mu?

Şirket içi VPN cihazı yapılandırmanız, Azure I BirA/IKE ilkesinde belirttiğiniz aşağıdaki algoritmaları ve parametreleri eşleşmeli veya içermeli:

  • IKE şifreleme algoritması
  • IKE bütünlük algoritması
  • DH Grubu
  • I Yer şifreleme algoritması
  • IA bütünlüğü algoritması
  • PFS Grubu
  • Trafik Seçici (*)

SA yaşam ömrü yalnızca yerel belirtimlerdir, eşleşmesi gerek değildir.

UsePolicyBasedTrafficSelectorsseçeneğini etkinleştirirsanız VPN cihazınızın, şirket içi ağ (yerel ağ ağ geçidi) ön eklerinin tüm bileşimlerinde (herhangi bir şey yerine) Azure sanal ağ ön ekleri ile tanımlanan eşleşen trafik seçicilere sahip olduğundan emin olun. Örneğin, şirket içi ağ ön ekleriniz 10.1.0.0/16 ve 10.2.0.0/16 ise ve sanal ağ ön ekleriniz 192.168.0.0/16 ve 172.16.0.0/16 ise, aşağıdaki trafik seçicilerini belirtmeniz gerekir:

  • 10.1.0.0/16 < === > 192.168.0.0/16
  • 10.1.0.0/16 < === > 172.16.0.0/16
  • 10.2.0.0/16 < === > 192.168.0.0/16
  • 10.2.0.0/16 < === > 172.16.0.0/16

Daha fazla bilgi için bkz Bağlan birden çok şirket içi ilke tabanlı VPN cihazına bağlanın.

Hangi Diffie-Hellman desteklenen Gruplar?

Aşağıdaki tabloda IKE (DHGroup) Diffie-Hellman I İletileri (PFSGroup) için desteklenen Grup Listesi listelenmiştir:

Diffie-Iffman Group DHGroup PFSGroup Anahtar uzunluğu
1 DHGroup1 PFS1 768 bit MODP
2 DHGroup2 PFS2 1024 bit MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 bit MODP
19 ECP256 ECP256 256 bit ECP
20 ECP384 ECP384 384 bit ECP
24 DHGroup24 PFS24 2048 bit MODP

Daha fazla bilgi için bkz. RFC3526 ve RFC5114.

Özel ilke, Azure VPN ağ geçitleri için varsayılan I İleti/IKE ilke kümelerinin yerini mi alır?

Evet, bir bağlantıda özel bir ilke belirtildi mi? Azure VPN ağ geçidi, bu ilkeyi hem IKE başlatıcısı hem de IKE yanıtlayıcı olarak yalnızca bağlantıda kullanır.

Özel bir I İleti/IKE ilkesini kaldırırsam, bağlantı korumamış olur mu?

Hayır, bağlantı I İletiler/IKE tarafından korunmaya devam ediyor. Özel ilkeyi bir bağlantıdan kaldırsanız, Azure VPN ağ geçidi varsayılan I Yer/IKE teklifleri listesine geri döner ve şirket içi VPN cihazınızla IKE el sıkışmasını yeniden başlatın.

I İleti/IKE ilkesi ekleme veya güncelleştirme VPN bağlantımı kesintiye neden olabilir mi?

Evet, Azure VPN ağ geçidi mevcut bağlantıyı olumsuz etkileyenin ve IKE el sıkışmasını yeniden başlatarak yeni şifreleme algoritmaları ve parametrelerle IPal geçidini yeniden oluşturmak için küçük bir kesintiye (birkaç saniye) neden olabilir. Kesintileri en aza indirmek için şirket içi VPN cihazınızın eşleşen algoritmalarla ve önemli güçlü özelliklerle yapılandırılmış olduğundan emin olun.

Farklı bağlantılarda farklı ilkeler kullanabilir miyim?

Evet. Özel ilke, bağlantı başına temelinde uygulanır. Farklı bağlantılarda farklı I Yer/IKE ilkeleri oluşturabilir ve uygulayabilirsiniz. Ayrıca, bağlantıların bir alt kümesine özel ilkeler de uygulayabilirsiniz. Geri kalanlarda Azure varsayılan I İletileri/IKE ilke kümeleri kullanılır.

VNet-to-VNet bağlantısında özel ilkeyi de kullanabilir miyim?

Evet, hem I Toplantısı'nın şirket içi bağlantılara hem de VNet-to-VNet bağlantılerine özel ilke uygulayabilirsiniz.

Her iki VNet-to-VNet bağlantı kaynağında da aynı ilkeyi belirtmem gerekiyor mu?

Evet. VNet'den VNet'e geçiş hattı, Azure'da her yön için bir tane olmakken iki bağlantı kaynağıdan oluşur. Her iki bağlantı bağlantısının da aynı ilkeye sahip olduğundan emin olun, aksi takdirde VNet'den VNet'e bağlantı kurulmayacaktır.

Varsayılan DPD zaman aşımı değeri nedir? Farklı bir DPD zaman aşımı belirtir miyim?

Varsayılan DPD zaman aşımı 45 saniyedir. 9 saniye ile 3600 saniye arasında her IV veya VNet-to-VNet bağlantısında farklı bir DPD zaman aşımı değeri belirtebilirsiniz.

Özel IA/IKE ilkesi ExpressRoute bağlantısında çalışır mı?

Hayır. I Yer/IKE ilkesi yalnızca Azure VPN ağ geçitleri üzerinden S2S VPN ve VNet'den VNet'e bağlantılarda çalışır.

IKEv1 veya IKEv2 protokol türüyle nasıl bağlantı oluşturabilirim?

IKEv1 bağlantıları Temel SKU, Standart SKU ve diğer eski SKU'lar dışında tüm RouteBased VPN türünde SKU'larda oluşturulabilir. Bağlantıları oluştururken IKEv1 veya IKEv2 bağlantı protokolü türünü belirtebilirsiniz. Bağlantı protokolü türünü belirtmezseniz, uygun olduğunda varsayılan seçenek olarak IKEv2 kullanılır. Daha fazla bilgi için PowerShell cmdlet belgelerine bakın. SKU türleri ve IKEv1/IKEv2 desteği için bkz. Bağlan tabanlı VPNcihazlarına ağ geçitleri yapılandırma .

IKEv1 ile IKEv2 bağlantıları arasında geçişe izin verilir mi?

Evet. IKEv1 ile IKEv2 bağlantıları arasında geçiş desteklemektedir.

YönlendirmeYeni VPN türü temel SKUs'larda IKEv1 siteden siteye bağlantılarım olabilir mi?

Hayır. Temel SKU bunu desteklemez.

Bağlantı oluşturulduktan sonra bağlantı protokol türünü değiştirebilir miyim (IKEv1 ile IKEv2 ve tersi)?

Hayır. Bağlantı oluşturulduktan sonra IKEv1/IKEv2 protokolleri değiştirilemez. İstediğiniz protokol türüyle yeni bir bağlantıyı silmeniz ve yeniden oluşturmanız gerekir.

I Yer için daha fazla yapılandırma bilgisini nerede bulamıyorum?

Bkz. S2S veya VNet-to-VNet bağlantıları için I İleti/IKE ilkesini yapılandırma.

BGP ve yönlendirme

Tüm Azure VPN Ağ Geçidi SKUs'larda BGP destek var mı?

BGP, Temel SKU dışındaki tüm Azure VPN Ağ Geçidi SKU'ları üzerinde destekler.

Azure İlkesi VPN ağ geçitleriyle BGP kullanabilir miyim?

Hayır, BGP yalnızca yönlendirme tabanlı VPN ağ geçitlerinde destekler.

Hangi ASN'leri (Özel Sistem Numaraları) kullanabilirim?

Hem şirket içi ağlarda hem de Azure sanal ağlarında kendi genel ASN'lerinizi veya özel ASN'lerinizi kullanabilirsiniz. Azure veya IANA tarafından ayrılmış aralıkları kullana sıralayam.

Aşağıdaki ASN'ler Azure veya IANA tarafından ayrılmıştır:

  • Azure tarafından ayrılmış ASN'ler:

    • Genel ASN'ler: 8074, 8075, 12076
    • Özel ASN'ler: 65515, 65517, 65518, 65519, 65520
  • IANA tarafından ayrılmış ASN'ler:

    • 23456, 64496-64511, 65535-65551 ve 429496729

Azure VPN ağ geçidine bağlanırken şirket içi VPN cihazlarınız için bu ASN'leri belirtemezseniz.

32 bit (4 byte) ASN'leri kullanabilir miyim?

Evet, VPN Ağ Geçidi artık 32 bit (4 bayt) ASN'leri destekliyor. AsN'yi ondalık biçimde kullanarak yapılandırmak için PowerShell, Azure CLI veya Azure SDK kullanın.

Hangi özel ASN'leri kullanabilirim?

Özel ASN'ler için kullanılabilir aralıklar:

  • 64512-65514 ve 65521-65534

Bu ASN'ler IANA veya Azure tarafından kullanım için ayrılmış değildir ve dolayısıyla Azure VPN ağ geçidinize atamak için kullanılabilir.

VPN Ağ Geçidi BGP eş IP'leri için hangi adresi kullanır?

Varsayılan olarak, VPN Ağ Geçidi etkin beklemede VPN ağ geçitleri için GatewaySubnet aralığından tek bir IP adresi veya etkin etkin VPN ağ geçitleri için iki IP adresi ayırır. Bu adresler, VPN ağ geçidini oluşturmak için otomatik olarak ayrılır. PowerShell kullanarak veya Azure portala bularak ayrılan gerçek BGP IP adresini edinebilirsiniz. PowerShell'de Get-AzVirtualNetworkGateway'i kullanın ve bgpPeeringAddress özelliğinin ne olduğunu bakın. Azure portalında, Ağ Geçidi Yapılandırması sayfasında,BGP ASN'yi Yapılandır özelliğinin altına bakın.

Şirket içi VPN yönlendiricileri APIPA IP adreslerini (169.254.x.x) BGP IP adresleri olarak kullanıyorsa, Azure VPN ağ geçidiniz üzerinde ek bir Azure APIPA BGP IP adresi belirtmeniz gerekir. Azure VPN Ağ Geçidi, yerel ağ ağ geçidinde belirtilen şirket içi APIPA BGP eşleni veya APIPA olmayan bir şirket içi BGP eşleni için özel IP adresiyle kullanmak üzere APIPA adresini seçer. Daha fazla bilgi için bkz. BGP'yi yapılandırma.

VPN cihazımda BGP eş IP adresleri için gereksinimler nelerdir?

Şirket içi BGP eş adresiniz, VPN cihazınızın genel IP adresi veya VPN ağ geçidinin sanal ağ adresi alanı ile aynı olmalıdır. BGP eş IP'niz için VPN cihazında farklı bir IP adresi kullanın. Bu, cihaz (normal bir IP adresi veya APIPA adresi) geri döngü arabirimine atanmış bir adres olabilir. Cihazınız BGP için bir APIPA adresi kullanıyorsa, BGP'yiYapılandırma konusunda açıklandığı gibi, Azure VPN ağ geçidinde bir APIPA BGP IP adresi belirtmeniz gerekir. Konumu temsil eden ilgili yerel ağ ağ geçidinde bu adresi belirtin.

BGP kullanılırken yerel ağ ağ geçidi için adres öneklerim olarak ne belirt olmalı?

Önemli

Bu, önceden belgelenmiş olan gereksinimden bir değişikliktir. Bağlantı için BGP kullanıyorsanız, buna karşılık gelen yerel ağ ağ geçidi kaynağı için Adres alanı alanını boş bırakın. Azure VPN Ağ Geçidi, IPal geçidi üzerinden şirket içi BGP eş IP'lerine dahili olarak bir ana bilgisayar yolu ekler. Adres alanı alanına /32 yönlendirmesi ekleme. Yedekli bir adrestir ve şirket içi VPN cihazı BGP IP'si olarak bir APIPA adresi kullanırsanız, bu alana ekli değildir. Adres alanı alanına başka ön eklersiniz, bunlar Azure VPN ağ geçidine statik yönlendirmeler olarak, BGP aracılığıyla öğrenilen yönlendirmelere ek olarak eklenir.

Hem şirket içi VPN ağları hem de Azure sanal ağları için aynı ASN'i kullanabilir miyim?

Hayır, şirket içi ağlarla Azure sanal ağlarınızı BGP ile birbirine bağlarken, bu ağlara farklı ASN'ler atamanız gerekir. Şirket içi bağlantınız için BGP'nin etkin olup olmadığıyla ilgili olarak Azure VPN ağ geçitlerinin varsayılan 65515 ASN'si atanır. VPN ağ geçidi oluştururken farklı bir ASN ataarak bu varsayılan ayarı değiştirebilir veya ağ geçidi oluşturulduktan sonra ASN'yi değiştirebilirsiniz. Şirket içi ASN'lerinizi ilgili Azure yerel ağ geçitlerine atamanız gerekir.

Azure VPN ağ geçitleri bana hangi adres ön eklerini tanıtacak?

Ağ geçitleri, şirket içi BGP cihazlarınıza aşağıdaki yönlendirmeleri tanıtıyor:

  • Sanal ağ adresi ön ekleriniz.
  • Azure VPN ağ geçidine bağlı her yerel ağ ağ geçidinin ön eklerini adresle.
  • Varsayılan yönlendirme veya herhangi bir sanal ağ önekiyle örtüşen yönlendirmeler dışında, Azure VPN ağ geçidine bağlı diğer BGP eşleme oturumlarından öğrenilen yönlendirmeler.

Azure VPN Ağ Geçidi'ne kaç ön ek tanıtabilirsiniz?

Azure VPN Ağ Geçidi 4000'e kadar ön eki destekler. Ön eklerin sayısı sınırı aşarsa BGP oturumu bırakılır.

Varsayılan rotayı (0.0.0.0/0) Azure VPN ağ geçitleri'ne tanıtın mı?

Evet. Bunun tüm sanal ağ çıkış trafiğinin şirket içi sitenize doğru olduğunu unutmayın. Ayrıca, sanal ağ vmlerinin İnternet'teN RDP veya SSH gibi genel iletişimi İnternet'te doğrudan sanal makinelere kabul etmelerini de engellemektedir.

Tam ön ekleri sanal ağ ön eklerim olarak tanıtabilirsiniz mi?

Hayır, sanal ağ adresi ön ekleri ile aynı ön ekleri reklam olarak Azure tarafından engellenmiş veya filtrelenmiş olur. Bununla birlikte, sanal ağ içinde sahip olduğunuz öneki daha büyük bir ön ek olarak tanıtabilirsiniz.

Örneğin, sanal ağınız 10.0.0.0/16 adres alanı için 10.0.0.0/8 adresini tanıtabilirsiniz. Ancak 10.0.0.0/16 veya 10.0.0.0/24'e ulaşabilirsiniz.

Sanal ağlar arasındaki bağlantılarla BGP kullanabilir miyim?

Evet, hem şirket içi bağlantılar hem de sanal ağlar arasındaki bağlantılar için BGP kullanabilirsiniz.

Azure VPN ağ geçitlerim için BGP olmayan bağlantılarla BGP'yi karma kullanabilir miyim?

Evet, aynı Azure VPN ağ geçidi için hem BGP hem de BGP olmayan bağlantıları karma kullanabilirsiniz.

Azure VPN Ağ Geçidi BGP toplu taşıma yönlendirmeyi destekler mi?

Evet, Azure VPN ağ geçitlerinin diğer BGP eşlerine varsayılan yönlendirmeleri tanıtmama durumu dışında, BGP toplu taşıma yönlendirmesi de destekler. Birden çok Azure VPN ağ geçidi arasında geçiş yönlendirmeyi etkinleştirmek için, sanal ağlar arasındaki tüm ara bağlantılarda BGP'yi etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. BGP Hakkında.

Azure VPN ağ geçidiyle şirket içi ağım arasında birden fazla geçidim olabilir mi?

Evet, Azure VPN ağ geçidi ile şirket içi ağınız arasında birden fazla siteden siteye (S2S) VPN geçidi kurabilirsiniz. Tüm bu geçitlerin Azure VPN ağ geçitleri için toplam geçit sayısında sayıldıklarına ve her iki geçitte de BGP'yi etkinleştirmeniz gerektiğini unutmayın.

Örneğin, Azure VPN ağ geçidiniz ile şirket içi ağlardan biri arasında iki yedekli geçit varsa, Azure VPN ağ geçidinizin toplam kotasının dışında 2 kaza tüketir.

BGP ile iki Azure sanal ağı arasında birden çok yolum olabilir mi?

Evet, ama sanal ağ ağ geçitlerinden en az biri etkin yapılandırmada olmalıdır.

Azure ExpressRoute ve S2S VPN birlikte kullanım yapılandırmasında S2S VPN için BGP kullanabilir miyim?

Evet.

BGP eşleme oturumu için şirket içi VPN cihazıma neleri eklemem gerekiyor?

VPN cihazınıza Azure BGP eş IP adresinin ana bilgisayar yönlendirmesini ekleyin. Bu yönlendirme I İleti S2S VPN bağlantısını gösterir. Örneğin, Azure VPN eş hattı IP'si 10.12.255.30 ise, VPN aygıtınızda eşleşen I İleti arabiriminin sonraki atlama arabirimiyle 10.12.255.30 için bir ana bilgisayar yolu eklersiniz.

Sanal ağ ağ geçidi, BGP ile S2S bağlantıları için BFD'yi destekler mi?

Hayır. Çift Yönlü İ iletme Algılaması (BFD), standart BGP "keepalives" kullanarak komşu hizmet kesintilerini daha hızlı algılamak için BGP ile kullanabileceğiniz bir protokoldür. BFD, LAN ortamlarında çalışmak üzere tasarlanmış alt süre (ara sunucu süreleri) kullanır, ancak genel İnternet veya Geniş Alan Ağı bağlantılarında bunu kullanmaz.

Ortak İnternet üzerinden bağlantılarda, belirli paketlerin gecikmeli veya hatta atılmış olması alışılmış bir durum değildir, bu nedenle bu saldırgan zaman aralıklarının ortaya düşmesi, beklenmedik durumlara neden olabilir. Bu instability, yönlendirmelerin BGP ile yönlendirilme sebebi olabilir. Alternatif olarak, şirket içi cihazınızı varsayılan 60 saniyelik "tutma" aralığı ve 180 saniyelik tutma zamanlayıcıdan daha düşük zamanlayıcılarla yapılandırabilirsiniz. Böylece daha hızlı bir yakınma zamanı elde olur.

Azure VPN ağ geçitleri BGP eşliği oturumları veya bağlantıları başlatıyor mu?

Ağ geçidi, VPN ağ geçidinde özel IP adreslerini kullanarak yerel ağ ağ geçidi kaynaklarında belirtilen şirket içi BGP eş ip adreslerine BGP eşleme oturumları başlatacak. Bunun, şirket içi BGP IP adreslerinin APIPA aralığında mı yoksa normal özel IP adreslerinde mi yerıp yer kullanmamalarına bakılmaksızın. Şirket içi VPN cihazlarınız APIPA adreslerini BGP IP olarak kullanıyorsa, bağlantıları başlatmak için BGP hoparlörü yapılandırmanız gerekir.

Zorlamalı tsimler yapılandırmış olabilir miyim?

Evet. Bkz. Zorlamalı yapılandırılmayı yapılandırma.

NAT

Tüm Azure VPN Ağ Geçidi SKUs'larda NAT destek var mı?

NAT VpnGw2~5 ve VpnGw2AZ~5AZ üzerinde de destek sağlar.

VNet-to-VNet veya P2S bağlantılarında NAT kullanabilir miyim?

Hayır, NAT yalnızca I İletiler arası bağlantılarda destekler.

BIR VPN ağ geçidinde kaç NAT kuralı kullanabilirim?

VPN ağ geçidinde en çok 100 NAT kuralı oluşturabilirsiniz (Egress ve giriş kuralları birleşik).

Bir VPN ağ geçidinde tüm bağlantılara NAT uygulanır mı?

NAT kuralları olan bağlantılara NAT uygulanır. Bağlantının NAT kuralı yoksa, NAT bu bağlantı üzerinde etkili olmaz. Aynı VPN ağ geçidinde, NAT ile bazı bağlantılarınız ve BIRLIKTE çalışan NAT olmayan başka bağlantılar olabilir.

Azure VPN ağ geçitlerinde hangi NAT türleri destekler?

Yalnızca statik 1:1 NAT. Dinamik NAT veya NAT64 desteklenmiyor.

NAT etkin VPN ağ geçitlerinde çalışır mı?

Evet. NAT hem etkin hem de etkin beklemede VPN ağ geçidinde çalışır.

NAT, BGP bağlantılarıyla çalışır mı?

Evet, NAT ile BGP kullanabilirsiniz. Dikkat edilmesi gereken bazı önemli noktalar:

  • Nat Kuralları yapılandırma sayfasında BGP Yol Çevirisini Etkinleştir'i seçerek, öğrenilen yönlendirmelerin ve tanıtilen yönlendirmelerin bağlantılarla ilişkilendirilmiş NAT kurallarına dayalı olarak NAT sonrası adres ön eklerine (Dış Eşlemeler) çevril olduğundan emin olun. Şirket içi BGP yönlendiricilerinin IngressSNAT kurallarında tanımlandığı gibi tam ön ekleri tanıtıyor olduğundan emin olun.

  • Şirket içi VPN yönlendiricisi BGP hoparlörü/eş IP'si olarak APIPA (169.254.x.x) kullanıyorsa, APIPA adresini doğrudan yerel ağ ağ geçidinin BGP eş IP adresi alanında kullanın. Şirket içi VPN yönlendiricisi APIPA olmayan normal, bir adres kullanıyorsa ve VNet adres alanı veya diğer şirket içi ağ alanlarıyla çakışıyorsa, IngressSNAT kuralının BGP eş IP'sini benzersiz, çakışmayan bir adrese çevirip NAT sonrası adresini yerel ağ ağ geçidinin BGP eş IP adresi alanına yerleştirecek şekilde emin olun.

SNAT kuralı için eşleşen NUNT kurallarını oluşturmam gerekiyor mu?

Hayır. Tek bir SNAT kuralı, belirli bir ağın her iki yönlendirmesi için de çeviriyi tanımlar:

  • IngressSNAT kuralı, Azure VPN ağ geçidine gelen kaynak IP adreslerinin şirket içi ağdan çevirisini tanımlar. Ayrıca, VNet'den ayrılarak hedef IP adreslerinin aynı şirket içi ağa çevirisini de işlemektedir.

  • ÇıkışLARNAT kuralı, Azure VPN ağ geçidini şirket içi ağlara bırakarak VNet kaynak IP adreslerinin çevirisini tanımlar. Ayrıca, ÇıkışLARNAT kuralıyla bu bağlantılar aracılığıyla VNet'e gelen paketlerin hedef IP adreslerinin çevirisini de işler.

  • Her iki durumda da, NOMN kuralları gerekli değildir.

VNet'imde veya yerel ağ ağ geçidi adres alanımda iki veya daha fazla önek varsa ne yapabilirim? Bunların tamamlarına NAT uygulayabilir miyim? Yoksa yalnızca bir alt küme mi?

NAT olarak ihtiyacınız olan her ön ek için bir NAT kuralı oluşturmanız gerekir, çünkü her NAT kuralı NAT için yalnızca bir adres ön eki içerebilir. Örneğin, yerel ağ ağ geçidi adres alanı 10.0.1.0/24 ve 10.0.2.0/25'den oluşursa, aşağıda gösterildiği gibi iki kural oluşturabilirsiniz:

  • IngressSNAT rule 1: Map 10.0.1.0/24 to 100.0.1.0/24
  • IngressSNAT rule 2: Map 10.0.2.0/25 to 100.0.2.0/25

İki kural ilgili adres öneklerinin önek uzunluklarını eşleşmeli. Aynı şey VNet adres alanı için ÇıkışSNAT kuralları için de geçerlidir.

Önemli

Yukarıdaki bağlantıya yalnızca bir kural bağlarsanız diğer adres alanı ÇEVRILECEK.

VNet adres alanımı farklı ön eklere farklı şirket içi ağlara çevirmek için farklı ÇıkışLARNAT kuralları kullanabilir miyim?

Evet, aynı VNet adres alanı için birden çok ÇıkışSNAT kuralı oluşturabilir ve ÇıkışSNAT kurallarını farklı bağlantılara uygulayabilirsiniz. ÇıkışLARNAT kuralı olmayan bağlantılar için,

Aynı IngressSNAT kuralını farklı bağlantılarda kullanabilir miyim?

Evet, bu genellikle bağlantılar yedekli çalışma sağlamak için aynı şirket içi ağa bağlanıyorsa kullanılır. Bağlantılar farklı şirket içi ağlara aitse aynı Ingress kuralını kullanamazsanız.

NAT bağlantısında hem Giriş hem de Egress kurallarına ihtiyacım var mı?

Şirket içi ağ adresi alanı VNet Egress alanıyla çakışıyorken hem Ingress hem de Egress kurallarına aynı bağlantıda ihtiyacınız vardır. VNet adres alanı tüm bağlı ağlar arasında benzersizse, bu bağlantılarda ÇıkışLARNAT kuralına ihtiyacınız olmaz. Şirket içi ağlarda adres çakışması önlemek için Ingress kurallarını kullanabilirsiniz.

Şirket içi bağlantı ve SANAL'lar

Sanal makinem bir sanal ağda ve şirket içi bir bağlantım varsa, sanal makineye nasıl bağlanmam gerekir?

Birkaç seçenek vardır. SANAL MAKINEniz için RDP'yi etkinleştirdiyseniz, özel IP adresini kullanarak sanal makinenize bağlanabilirsiniz. Bu durumda, özel IP adresini ve bağlanmak istediğiniz bağlantı noktasını (genellikle 3389) belirtebilirsiniz. Trafik için sanal makinenizin bağlantı noktasını yapılandırmanız gerekir.

Ayrıca, aynı sanal ağ üzerinde bulunan başka bir sanal makineden özel IP adresiyle de sanal makinenize bağlanabilirsiniz. Sanal ağınız dışındaki bir konumdan bağlanıyorsanız, özel IP adresini kullanarak sanal makinenize RDP ekleriz. Örneğin, yapılandırılmış bir Noktadan Siteye sanal ağınız varsa ve bilgisayarınızdan bağlantı kurmazsanız, sanal makineye özel IP adresiyle bağlanamazsanız.

Sanal makinem, şirket içi bağlantısı olan sanal bir ağda ise, SANAL makinemin tüm trafiği bu bağlantıdan mı geçiyor?

Hayır. Yalnızca belirttiğiniz sanal ağ Yerel Ağ IP adresi aralıklarında yer alan hedef IP'ye sahip trafik sanal ağ ağ geçidine gider. Trafiğin sanal ağ içinde yer alan hedef IP'si sanal ağ içinde kalır. Diğer trafik, yük dengeleyicisi aracılığıyla genel ağlara gönderilir veya zorlamalı kaza kullanılırsa Azure VPN ağ geçidi üzerinden gönderilir.

Sanal makineye olan RDP bağlantısıyla ilgili sorunları nasıl giderilir?

VPN bağlantınız üzerinden bir sanal makineye bağlanırken sorun ediyorsanız, şunları kontrol edin:

  • VPN bağlantının başarılı olduğunu doğrulayın.
  • Sanal makine için özel IP adresine bağlanıyor olun.
  • Sanal makineye özel IP adresini kullanarak bağlanamıyor, ancak bilgisayar adını kullanamıyorsanız, DNS'yi düzgün yapılandırmış olasınız. Sanal sanal sanal sanal sanal sanallarda ad çözümlemesi nasıl çalışır hakkında daha fazla bilgi için bkz. SANAL SANAL'lar için Ad Çözümlemesi.

Noktadan Noktaya Site üzerinden bağlanın, aşağıdaki ek öğeleri kontrol edin:

  • Bağlanmakta olduğunuz bilgisayarda Ethernet bağdaştırıcısına atanan IPv4 adresini kontrol etmek için 'ipconfig' kullanın. IP adresi, bağlanılan VNet'in adres aralığında veya VPNClientAddressPool adres aralığı içinde yer alan bir adres aralığı içinde ise, buna örtüşen adres alanı adı gerekir. Adres alanınız bu şekilde çakışıyorsa ağ trafiği Azure'a ulaşamaz, yerel ağda kalır.
  • VPN istemci yapılandırma paketinin, VNet için DNS sunucusu IP adresleri belirlendikten sonra oluşturulmuş olduğunu doğrulayın. DNS sunucusu IP adreslerini güncellediysiniz, yeni bir VPN istemci yapılandırma paketi oluşturabilir ve yükleyebilirsiniz.

RDP bağlantısı sorunlarını giderme hakkında daha fazla bilgi için bkz. Sanal makineye Uzak Masaüstü bağlantı sorunlarını giderme.

Sanal Ağ SSS

Sanal Ağ SSS altında ek sanal ağ bilgilerini görüntüebilirsiniz.

Sonraki adımlar

"OpenVPN", OpenVPN Inc. markasıdır.