Konfigurieren von VPN-Gatewayeinstellungen für Azure Stack Hub

Ein VPN-Gateway ist eine Art von Gateway für virtuelle Netzwerke, mit dem verschlüsselter Datenverkehr zwischen Ihrem virtuellen Netzwerk in Azure Stack Hub und einem Remote-VPN-Gateway gesendet wird. Das Remote-VPN-Gateway kann sich in Azure befinden, es kann sich dabei aber auch um ein Gerät in Ihrem Datencenter oder um ein Gerät an einem anderen Standort handeln. Falls die beiden Endpunkte über Netzwerkkonnektivität verfügen, können Sie zwischen den beiden Netzwerken eine sichere S2S-VPN-Verbindung (Site-to-Site) herstellen.

Ein VPN-Gateway basiert auf der Konfiguration mehrerer Ressourcen, die jeweils konfigurierbare Einstellungen enthalten. In diesem Artikel werden die Ressourcen und Einstellungen beschrieben, die sich auf ein im Resource Manager-Bereitstellungsmodell erstelltes VPN-Gateway für ein virtuelles Netzwerk beziehen. Beschreibungen und Topologiediagramme für die einzelnen Verbindungslösungen finden Sie im Artikel mit Erstellen von VPN-Gateways für Azure Stack Hub.

Einstellungen von VPN-Gateways

Gatewaytypen

Jedes virtuelle Azure Stack Hub-Netzwerk unterstützt ein einzelnes Gateway für virtuelle Netzwerke, das vom Typ VPN sein muss. Diese Unterstützung unterscheidet sich von Azure, das zusätzliche Typen unterstützt.

Achten Sie beim Erstellen eines Gateways für virtuelle Netzwerke darauf, dass der Gatewaytyp für Ihre Konfiguration richtig ist. Ein VPN-Gateway erfordert das -GatewayType Vpn-Flag. Beispiel:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
   -VpnType RouteBased

Gateway-SKUs ohne VPN Fast Path Enabled

Wenn Sie ein virtuelles Netzwerkgateway erstellen, müssen Sie die SKU angeben, die Sie verwenden möchten. Wählen Sie die SKUs aus, die Ihre Anforderungen basierend auf den Arten von Workloads, Durchsatz, Features und SLAs erfüllen.

Sie können über 10 Hochleistungsgateways oder 20 standard und standard verfügen, bevor Sie die maximale Kapazität erreichen.

Die folgende Tabelle zeigt die VPN-Gateway-SKUs, die für Azure Stack Hub angeboten werden:

SKU Max. VPN-Verbindungsdurchsatz Max. Anzahl von Verbindungen pro aktiver GW-VM Max. Anzahl von VPN-Verbindungen pro Stempel
Grundlegend 100 Mbps Tx/Rx 10 20
Standard 100 Mbps Tx/Rx 10 20
Hochleistung 200 Mbps Tx/Rx 5 10

Gateway-SKUs mit aktivierter VPN-Schnellpfad

Mit der Veröffentlichung der öffentlichen VPN Fast Path-Vorschau unterstützt Azure Stack Hub drei neue SKUs mit höherem Durchsatz.

Neue Grenzwerte und Durchsatz werden aktiviert, sobald VPN Fast Path auf Ihrem Azure Stack-Stempel aktiviert ist.

Die folgende Tabelle zeigt die VPN-Gateway-SKUs, die für Azure Stack Hub angeboten werden:

SKU Max. VPN-Verbindungsdurchsatz Max. Anzahl von Verbindungen pro aktiver GW-VM Max. Anzahl von VPN-Verbindungen pro Stempel
Grundlegend 100 Mbps Tx/Rx 25 50
Standard 100 Mbps Tx/Rx 25 50
Hochleistung 200 Mbps Tx/Rx 12 24
VPNGw1 650 MBit/s Tx/Rx 3 6
VPNGw2 1000 MBit/s Tx/Rx 2 4
VPNGw3 1250 Mbps Tx/Rx 2 4

Ändern der Größe von SKUs für virtuelle Netzwerkgateways

Azure Stack Hub unterstützt keine Größenänderung von einer unterstützten Legacy-SKU (Basic, Standard und HighPerformance) auf eine neuere SKU, die von Azure (VpnGw1, VpnGw2 und VpnGw3) unterstützt wird.

Neue Gateways und Verbindungen für virtuelle Netzwerke müssen erstellt werden, um die neuen SKUs zu verwenden, die von VPN Fast Path aktiviert sind.

Konfigurieren der SKU des virtuellen Netzwerkgateways

Azure Stack Hub-Portal

Wenn Sie das Azure Stack Hub-Portal verwenden, um ein virtuelles Netzwerkgateway zu erstellen, kann die SKU mithilfe der Dropdownliste ausgewählt werden. Die neuen VPN Fast Path SKUs (VpnGw1, VpnGw2, VpnGw3) werden nur angezeigt, nachdem der Abfrageparameter "?azurestacknewvpnskus=true" zur URL hinzugefügt und aktualisiert wurde.

Im folgenden URL-Beispiel werden die neuen SKUs des virtuellen Netzwerkgateways im Azure Stack Hub-Benutzerportal angezeigt:

https://portal.local.azurestack.local/?azurestacknewvpnskus=true

Bevor Sie diese Ressourcen erstellen, muss der Operator VPN Fast Path auf dem Azure Stack Hub-Stempel aktiviert haben. Weitere Informationen finden Sie unter VPN Fast Path für Operatoren.

Neue Azure VNG-SKUs

PowerShell

Im folgenden PowerShell-Beispiel wird der Parameter -GatewaySku als Standard angegeben:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
   -GatewayType Vpn -VpnType RouteBased

Verbindungstypen

Im Resource Manager-Bereitstellungsmodell ist für jede Konfiguration ein bestimmter Typ der Verbindung mit dem Gateway eines virtuellen Netzwerks erforderlich. Der verfügbare Resource Manager-PowerShell-Wert für -ConnectionType ist IPsec.

Im folgenden PowerShell-Beispiel wird eine Site-to-Site-Verbindung (S2S) erstellt, die den Verbindungstyp „IPsec“ erfordert:

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
   -Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN-Typen

Wenn Sie das Gateway des virtuellen Netzwerks für eine VPN-Gatewaykonfiguration erstellen, müssen Sie einen VPN-Typ angeben. Der ausgewählte VPN-Typ hängt von der Verbindungstopologie ab, die Sie erstellen möchten. Der VPN-Typ kann zudem von der verwendeten Hardware abhängen. S2S-Konfigurationen erfordern ein VPN-Gerät. Einige VPN-Geräte unterstützen nur einen bestimmten VPN-Typ.

Wichtig

Aktuell unterstützt Azure Stack Hub nur den routenbasierten VPN-Typ. Wenn Ihr Gerät nur richtlinienbasierte VPNs unterstützt, werden Verbindungen mit diesen Geräten über Azure Stack Hub nicht unterstützt.

Darüber hinaus unterstützt Azure Stack Hub derzeit nicht die Verwendung richtlinienbasierter Datenverkehrsselektoren für routenbasierte Gateways, da Azure Stack Hub richtlinienbasierte Datenverkehrsselektoren nicht unterstützt, obwohl sie in Azure unterstützt werden.

  • PolicyBased: Richtlinienbasierte VPNs verschlüsseln und direkte Pakete über IPsec-Tunnel basierend auf den IPsec-Richtlinien, die mit den Kombinationen von Adresspräfixen zwischen Ihrem lokalen Netzwerk und dem Azure Stack Hub VNet konfiguriert sind. Die Richtlinie (auch Datenverkehrsselektor genannt) ist in der Regel eine Zugriffsliste in der VPN-Gerätekonfiguration.

    Hinweis

    PolicyBased wird in Azure, aber nicht in Azure Stack Hub unterstützt.

  • RouteBased: Routenbasierte VPNs verwenden Routen, die in der IP-Weiterleitungs- oder Routingtabelle konfiguriert sind, um Pakete an ihre entsprechenden Tunnelschnittstellen zu leiten. An den Tunnelschnittstellen werden die Pakete dann ver- bzw. entschlüsselt. Die Richtlinie (bzw. der Datenverkehrsselektor) für routenbasierte VPNs wird im Any-to-Any-Format (bzw. unter Verwendung von Platzhaltern) konfiguriert. Sie können standardmäßig nicht geändert werden. Der Wert für einen RouteBased-VPN-Typ lautet RouteBased.

Das folgende PowerShell-Beispiel gibt -VpnType als RouteBasedan. Achten Sie beim Erstellen eines Gateways darauf, dass -VpnType für Ihre Konfiguration richtig ist.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig `
   -GatewayType Vpn -VpnType RouteBased

Virtuelle Netzwerkgateways unterstützte Konfigurationen, wenn VPN Fast Path nicht aktiviert ist

SKU VPN-Typ Verbindungstyp Unterstützung für aktives Routing (BGP) NAT-T-Remoteendpunkt aktiviert
Einfache VNG-SKU Routingbasiertes VPN Vor gemeinsam genutzter IPSec-Schlüssel Nicht unterstützt Nicht erforderlich
Standard-VNG-SKU Routingbasiertes VPN Vor gemeinsam genutzter IPSec-Schlüssel Unterstützt, bis zu 150 Routen Nicht erforderlich
Hochleistungs-VNG-SKU Routingbasiertes VPN Vor gemeinsam genutzter IPSec-Schlüssel Unterstützt, bis zu 150 Routen Nicht erforderlich

Virtuelle Netzwerkgateways unterstützte Konfigurationen, wenn VPN Fast Path aktiviert ist

SKU VPN-Typ Verbindungstyp Aktive Routingunterstützung (BGP) NAT-T-Remoteendpunkt aktiviert
Einfache VNG-SKU Routingbasiertes VPN Vor gemeinsam genutzter IPSec-Schlüssel Nicht unterstützt Erforderlich
Standard-VNG-SKU Routingbasiertes VPN Vor gemeinsam genutzter IPSec-Schlüssel Unterstützt, bis zu 150 Routen Erforderlich
Hochleistungs-VNG-SKU Routingbasiertes VPN Vor gemeinsam genutzter IPSec-Schlüssel Unterstützt, bis zu 150 Routen Erforderlich
VPNGw1 VNG-SKU Routingbasiertes VPN Vor gemeinsam genutzter IPSec-Schlüssel Unterstützt, bis zu 150 Routen Erforderlich
VPNGw2 VNG-SKU Routingbasiertes VPN Vor gemeinsam genutzter IPSec-Schlüssel Unterstützt, bis zu 150 Routen Erforderlich
VPNGw2 VNG-SKU Routingbasiertes VPN Vor gemeinsam genutzter IPSec-Schlüssel Unterstützt, bis zu 150 Routen Erforderlich

Gatewaysubnetz

Bevor Sie ein VPN-Gateway erstellen, müssen Sie ein Gatewaysubnetz erstellen. Das Gatewaysubnetz verfügt über die IP-Adressen, die von den virtuellen Computern und Diensten des Gateways für virtuelle Netzwerke verwendet werden. Wenn Sie Ihr virtuelles Netzwerkgateway und die Verbindung erstellen, wird die Gateway-VM, die die Verbindung besitzt, mit dem Gateway-Subnetz verknüpft und mit den erforderlichen VPN-Gatewayeinstellungen konfiguriert. Stellen Sie für das Gatewaysubnetz nichts anderes bereit (beispielsweise zusätzliche virtuelle Computer).

Wichtig

Das Gatewaysubnetz muss den Namen GatewaySubnet aufweisen, damit es einwandfrei funktioniert. Anhand dieses Namens ermittelt Azure Stack Hub das Subnetz, für das die VMs und Dienste des Gateways für virtuelle Netzwerke bereitgestellt werden sollen.

Bei der Gatewayerstellung geben Sie die Anzahl der im Subnetz enthaltenen IP-Adressen an. Die IP-Adressen im Gatewaysubnetz werden den Gatewaydiensten und -VMs zugeordnet. Einige Konfigurationen erfordern mehr IP-Adressen als andere. Sehen Sie sich die Anweisungen für die Konfiguration an, die Sie erstellen möchten, und vergewissern Sie sich, dass das Gatewaysubnetz, das sie erstellen möchten, diese Anforderungen erfüllt.

Stellen Sie außerdem sicher, dass Ihr Gatewaysubnetz über genügend IP-Adressen für zukünftige Konfigurationen verfügt. Obwohl Sie ein Gatewaysubnetz so klein wie /29 erstellen können, empfehlen wir Ihnen, ein Gatewaysubnetz von /28 oder größer (/28, /27, /26 usw.) zu erstellen. Auf diese Weise müssen Sie, wenn Sie zukünftig Funktionen hinzufügen, Ihr Gateway nicht herunterreißen, dann das Gateway-Subnetz löschen und neu erstellen, um weitere IP-Adressen zu ermöglichen.

Im folgenden Resource Manager-PowerShell-Beispiel wird ein Gatewaysubnetz mit dem Namen GatewaySubnet gezeigt. Sie erkennen, das mit der CIDR-Notation die Größe /27 angegeben wird. Dies ist für eine ausreichende Zahl von IP-Adressen für die meisten Konfigurationen, die derzeit üblich sind, groß genug.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Wichtig

Vermeiden Sie bei der Verwendung von Gatewaysubnetzen die Zuordnung einer Netzwerksicherheitsgruppe (NSG) zum Gatewaysubnetz. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz kann dazu führen, dass das VPN-Gateway nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.

Lokale Netzwerkgateways

Wenn Sie eine VPN-Gatewaykonfiguration in Azure erstellen, stellt das Gateway des lokalen Netzwerks meist Ihren lokalen Standort dar. In Azure Stack stellt es ein beliebiges Remote-VPN-Gerät dar, das sich außerhalb von Azure Stack Hub befindet. Bei diesem Gerät kann es sich um ein VPN-Gerät in Ihrem Datencenter (oder in einem Remotedatencenter) oder um ein VPN Gateway in Azure handeln.

Sie geben dem lokalen Netzwerkgateway einen Namen, die öffentliche IP-Adresse des Remote-VPN-Geräts und geben die Adresspräfixe an, die sich am lokalen Standort befinden. Azure Stack Hub untersucht die Zieladressenpräfixe für den Netzwerkdatenverkehr, konsultiert die Konfiguration, die Sie für Ihr lokales Netzwerkgateway angegeben haben, und leitet Pakete entsprechend weiter.

In diesem PowerShell-Beispiel wird ein neues Gateway des lokalen Netzwerks erstellt:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
   -Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'

Manchmal müssen Sie die Einstellungen des lokalen Netzwerkgateways ändern, z.B. wenn Sie den Adressbereich hinzufügen oder ändern oder wenn sich die IP-Adresse des VPN-Geräts ändert. Weitere Informationen hierzu finden Sie im Artikel Ändern der Einstellungen des lokalen Netzwerkgateways mit PowerShell.

IPsec-/IKE-Parameter

Wenn Sie eine VPN-Verbindung in Azure Stack Hub einrichten, müssen Sie die Verbindung an beiden Endpunkten konfigurieren. Wenn Sie eine VPN-Verbindung zwischen Azure Stack Hub und einem Hardwaregerät (z. B. einem als VPN-Gateway fungierenden Switch oder Router) konfigurieren, sind für dieses Gerät unter Umständen weitere Einstellungen erforderlich.

Im Gegensatz zu Azure, das mehrere Angebote als Initiator und Antwortdienst unterstützt, bietet Azure Stack Hub standardmäßig nur Unterstützung für ein Angebot. Wenn Sie verschiedene IPSec/IKE-Einstellungen mit Ihrem VPN-Gerät verwenden müssen, stehen Ihnen weitere Einstellungen zur Verfügung, um Ihre Verbindung manuell zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren einer IPsec/IKE-Richtlinie für Site-to-Site-VPN-Verbindungen.

Wichtig

Bei Verwendung des S2S-Tunnels werden Pakete mit zusätzlichen Headern weiter verschlüsselt, wodurch sich das Paket insgesamt vergrößert. In diesen Szenarien müssen Sie TCP MSS mit 1350 verknüpfen. Wenn Ihre VPN-Geräte MSS-Clamping nicht unterstützen, können Sie stattdessen auch den MTU-Wert der Tunnelschnittstelle auf 1400 Bytes festlegen. Weitere Informationen finden Sie unter Optimieren der TCP-/IP-Leistung von virtuellen Netzwerken.

Parameter der IKE-Phase 1 (Hauptmodus)

Eigenschaft Wert
IKE-Version IKEv2
Diffie-Hellman-Gruppe* ECP384
Authentifizierungsmethode Vorab ausgetauschter Schlüssel
Verschlüsselung und Hashalgorithmen* AES256, SHA384
SA-Gültigkeitsdauer (Zeit) 28.800 Sekunden

Parameter der IKE-Phase 2 (Schnellmodus)

Eigenschaft Wert
IKE-Version IKEv2
Verschlüsselung und Hashalgorithmen (Verschlüsselung) GCMAES256
Verschlüsselung und Hashalgorithmen (Authentifizierung) GCMAES256
SA-Gültigkeitsdauer (Zeit) 27.000 Sekunden
SA-Gültigkeitsdauer (KB) 33.553.408
Perfect Forward Secrecy (PFS)* ECP384
Dead Peer Detection Unterstützt

* Neuer oder geänderter Parameter

Nächste Schritte