VPN Gateway-Topologie und -Entwurf

Für VPN Gateway-Verbindungen sind viele verschiedene Konfigurationsoptionen verfügbar. Orientieren Sie sich bei der Wahl einer Verbindungstopologie, die Ihren Anforderungen entspricht, an den Diagrammen und Beschreibungen in den folgenden Abschnitten. Die Diagramme zeigen die grundlegenden Topologien, aber Sie können auch komplexere Topologien erstellen, indem Sie die Diagramme als Anhaltspunkte verwenden.

Standort-zu-Standort-VPN-Verbindung

Eine VPN Gateway-S2S-Verbindung (Site-to-Site) ist eine Verbindung über einen VPN-Tunnel vom Typ „IPsec/IKE“ (IKEv1 oder IKEv2). Standort-zu-Standort-Verbindungen können für standortübergreifende Konfigurationen und Hybridkonfigurationen verwendet werden. Für Site-to-Site-Verbindungen wird ein lokales VPN-Gerät benötigt, dem eine öffentliche IP-Adresse zugewiesen ist.

Diagramm der standortübergreifenden Site-to-Site-VPN Gateway-Verbindung.

Sie erstellen mehrere VPN-Verbindungen über Ihr Gateway für virtuelle Netzwerke, durch die in der Regel mehrere lokale Standorte verbunden werden. Wenn Sie mit mehreren Verbindungen arbeiten, müssen Sie den VPN-Typ „RouteBased“ verwenden. Da jedes virtuelle Netzwerk nur über ein einzelnes VPN-Gateway verfügen kann, wird die verfügbare Bandbreite von allen über das Gateway laufenden Verbindungen gemeinsam genutzt. Diese Art von Verbindungsdesign wird manchmal als Multi-Site-Konfiguration bezeichnet.

Diagramm der standortübergreifenden Site-to-Site-VPN Gateway-Verbindung mit mehreren Standorten.

Wenn Sie ein Design für hoch verfügbare Gatewaykonnektivität erstellen möchten, können Sie Ihr Gateway so konfigurieren, dass es sich im Aktiv/Aktiv-Modus befindet. Mit diesem Modus können Sie zwei aktive Tunnel (eine von jeder Instanz des virtuellen Gatewaycomputers) für dasselbe VPN-Gerät konfigurieren, um hoch verfügbare Konnektivität zu erstellen. Ein weiterer Vorteil des Aktiv/Aktiv-Modus ist neben der hohen Verfügbarkeit der Verbindungen der höhere Durchsatz für die Kunden.

Bereitstellungsmodelle und -methoden für S2S

Bereitstellungsmodell Azure portal PowerShell Azure CLI
Ressourcen-Manager Tutorial Tutorial Tutorial

Point-to-Site-VPN

Über ein Point-to-Site-VPN-Gateway (P2S) können Sie von einem einzelnen Clientcomputer aus eine sichere Verbindung mit Ihrem virtuellen Netzwerk herstellen. Eine Point-to-Site-Verbindung wird hergestellt, indem Sie die Verbindung vom Clientcomputer aus starten. Diese Lösung ist nützlich für Telearbeiter, die an einem Remotestandort (beispielsweise zu Hause oder in einer Konferenz) eine Verbindung mit Azure Virtual Networks herstellen möchten. Wenn nur einige wenige Clients eine Verbindung mit einem virtuellen Netzwerk herstellen müssen, ist ein Point-to-Site-VPN (und nicht ein Site-to-Site-VPN) ebenfalls eine nützliche Lösung.

Im Gegensatz zu Site-to-Site-Verbindungen ist für Point-to-Site-Verbindungen keine lokale öffentliche IP-Adresse bzw. kein VPN-Gerät erforderlich. Point-to-Site-Verbindungen können mit Site-to-Site-Verbindungen über das gleiche VPN-Gateway verwendet werden – vorausgesetzt, alle Konfigurationsanforderungen beider Verbindungen sind kompatibel. Weitere Informationen zu Point-to-Site-Verbindungen finden Sie unter Informationen zu Point-to-Site-VPN.

Diagramm der Point-to-Site-Verbindungen.

Bereitstellungsmodelle und -methoden für P2S

Authentifizierungsmethode Artikel
Zertifikat Tutorial
Vorgehensweise
Microsoft Entra ID Vorgehensweise
RADIUS Vorgehensweise

P2S-VPN-Clientkonfiguration

Authentifizierung Tunneltyp Clientbetriebssystem VPN-Client
Zertifikat
IKEv2, SSTP Windows Nativer VPN-Client
IKEv2 macOS Nativer VPN-Client
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN Client
OpenVPN-Clientversion 2.x
OpenVPN-Clientversion 3.x
OpenVPN macOS OpenVPN-Client
OpenVPN iOS OpenVPN-Client
OpenVPN Linux Azure VPN Client
OpenVPN-Client
Microsoft Entra ID
OpenVPN Windows Azure VPN Client
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

VNet-zu-VNet-Verbindungen (IPsec-/IKE-VPN-Tunnel)

Das Verbinden eines virtuellen Netzwerks mit einem anderen virtuellen Netzwerk (VNet-zu-VNet) ähnelt dem Verbinden eines virtuellen Netzwerks mit einem lokalen Standort. Beide Verbindungstypen verwenden ein VPN-Gateway, um einen sicheren Tunnel mit IPsec/IKE bereitzustellen. Die VNet-zu-VNet-Kommunikation kann sogar mit Multi-Site-Verbindungskonfigurationen kombiniert werden. Auf diese Weise können Sie Netzwerktopologien einrichten, die standortübergreifende Konnektivität mit Konnektivität zwischen virtuellen Netzwerken kombinieren.

Für die Platzierung der virtuellen Netzwerke, die Sie verbinden, gibt es folgende Möglichkeiten:

  • In derselben Region oder in verschiedenen Regionen
  • In demselben Abonnement oder in verschiedenen Abonnements
  • In demselben Bereitstellungsmodell oder in verschiedenen Bereitstellungsmodellen

Diagramm der VNET-to-VNET-Verbindungen.

Bereitstellungsmodelle und -methoden für VNet-zu-VNet

Bereitstellungsmodell Azure portal PowerShell Azure CLI
Ressourcen-Manager Tutorial+ Tutorial Tutorial

(+) bedeutet, dass diese Bereitstellungsmethode nur für VNets in demselben Abonnement verfügbar ist.

Manchmal möchten Sie möglicherweise Peering virtueller Netzwerke anstelle von VNet-zu-VNet verwenden, um Ihre virtuellen Netzwerke zu verbinden. Beim Peering virtueller Netzwerke wird kein VNET-Gateway verwendet. Weitere Informationen finden Sie unter Peering in virtuellen Netzwerken.

Parallel bestehende Site-to-Site- und ExpressRoute-Verbindungen

ExpressRoute ist eine direkte, private Verbindung zwischen Ihrem WAN (nicht über das öffentliche Internet) und Microsoft-Diensten, einschließlich Azure. Site-to-Site-VPN-Datenverkehr wird verschlüsselt über das öffentliche Internet gesendet. Die Möglichkeit, Site-to-Site-VPN- und ExpressRoute-Verbindungen für dasselbe virtuelle Netzwerk zu konfigurieren, hat mehrere Vorteile.

Sie können eine Site-to-Site-VPN-Verbindung als sicheren Failoverpfad für ExpressRoute konfigurieren oder für die Verbindung mit Websites nutzen, die nicht Teil Ihres Netzwerks, aber über ExpressRoute verbunden sind. Diese Konfiguration erfordert zwei VNET-Gateways für das gleiche virtuelle Netzwerk: eins mit dem Gatewaytyp Vpn und eins mit dem Gatewaytyp ExpressRoute.

Diagramm gleichzeitig bestehender ExpressRoute- und VPN Gateway-Verbindungen.

Gleichzeitig bestehende Verbindungen für Bereitstellungsmodelle und -methoden für S2S und ExpressRoute

Bereitstellungsmodell Azure portal PowerShell
Ressourcen-Manager Tutorial Tutorial

Hoch verfügbare Verbindungen

Informationen zum Planen und Entwerfen von hoch verfügbaren Verbindungen, einschließlich Konfigurationen im Aktiv/Aktiv-Modus, finden Sie unter Entwerfen hoch verfügbarer Gatewaykonnektivität für standortübergreifende Verbindungen und VNet-zu-VNet-Verbindungen.

Nächste Schritte