Hinzufügen oder Entfernen von VPN-Gateway-Site-to-Site-Verbindungen

Dieser Artikel hilft Ihnen beim Hinzufügen oder Entfernen von Site-to-Site-Verbindungen (S2S) für ein VPN-Gateway. Sie können auch S2S-Verbindungen zu einem VPN-Gateway hinzufügen, das bereits über eine S2S-Verbindung, eine Point-to-Site-Verbindung oder eine VNet-zu-VNet-Verbindung verfügt. Beim Hinzufügen von Verbindungen gibt es einige Einschränkungen. Überprüfen Sie den Abschnitt Voraussetzungen in diesem Artikel, bevor Sie die Konfiguration beginnen.

Diagramm der standortübergreifenden Site-to-Site-VPN Gateway-Verbindung mit mehreren Standorten

Informationen zu parallelen ExpressRoute- und Site-to-Site-Verbindungen

  • Mit den Schritten in diesem Artikel können Sie einer bestehenden ExpressRoute-/Site-to-Site-Verbindung eine neue VPN-Verbindung hinzufügen.
  • Sie können die Schritte in diesem Artikel nicht verwenden, um eine neue ExpressRoute-/Site-to-Site-Verbindung zu konfigurieren. Weitere Informationen zum Erstellen einer neuen parallelen Verbindung finden Sie unter Parallele ExpressRoute-/S2S-Verbindungen.

Voraussetzungen

Überprüfen Sie folgende Maßnahmen:

  • Sie konfigurieren KEINE neue Konfiguration für parallele ExpressRoute- und VPN Gateway-Site-to-Site-Verbindungen.
  • Sie verfügen über ein virtuelles Netzwerk, das mithilfe des Resource Manager-Bereitstellungsmodells mit einer bestehenden Verbindung erstellt wurde.
  • Das Gateway für virtuelle Netzwerke für Ihr virtuelles Netzwerk ist RouteBased. Wenn Sie über ein PolicyBased-VPN Gateway verfügen, müssen Sie das Gateway für virtuelle Netzwerke löschen, und ein neues VPN-Gateway als RouteBased erstellen.
  • Keine der Adressbereiche überlappen sich mit einem der virtuellen Netzwerke, mit der dieses virtuelle Netzwerk eine Verbindung herstellt.
  • Sie haben ein kompatibles VPN-Gerät (und eine Person, die es konfigurieren kann). Weitere Informationen finden Sie unter Informationen zu VPN-Geräten. Wenn Sie sich mit dem Konfigurieren des VPN-Geräts oder mit den IP-Adressbereichen Ihrer lokalen Netzwerkkonfiguration nicht auskennen, müssen Sie sich an eine Person wenden, die Ihnen diese Details liefern kann.
  • Sie haben eine externe öffentliche IP-Adresse für Ihr VPN-Gerät.

Erstellen eines Gateways für das lokale Netzwerk

Das lokale Netzwerkgateway ist ein spezielles Objekt, das in Azure bereitgestellt wird und Ihren lokalen Standort (Site) für Routingzwecke darstellt. Sie geben dem Standort einen Namen, über den Azure darauf verweisen kann, und geben dann die IP-Adresse des lokalen VPN-Geräts an, mit dem Sie eine Verbindung herstellen. Außerdem geben Sie die IP-Adresspräfixe an, die über das VPN-Gateway an das VPN-Gerät weitergeleitet werden. Die von Ihnen angegebenen Adresspräfixe befinden sich in Ihrem lokalen Netzwerk. Wenn bei dem lokalen Netzwerk Änderungen vorgenommen werden oder Sie die öffentliche IP-Adresse des VPN-Geräts ändern müssen, können Sie dies Werte später bequem aktualisieren.

Erstellen Sie ein lokales Netzwerkgateway mit den folgenden Beispielwerten:

  • Name: Site1
  • Ressourcengruppe: TestRG1
  • Standort: East US

Überlegungen zur Konfiguration:

  • VPN Gateway unterstützt nur eine IPv4-Adresse für jeden FQDN (vollqualifizierter Domänenname). Wenn der Domänenname in mehrere IP-Adressen aufgelöst wird, verwendet VPN Gateway die erste von den DNS-Servern zurückgegebene IP-Adresse. Um die Ungewissheit zu beseitigen, wird empfohlen, dass Ihr FQDN immer in eine einzelne IPv4-Adresse aufgelöst wird. ICv6 wird nicht unterstützt.
  • VPN Gateway verwaltet einen DNS-Cache, der alle fünf Minuten aktualisiert wird. Das Gateway versucht, die vollqualifizierten Domänennamen nur für getrennte Tunnel aufzulösen. Durch das Zurücksetzen des Gateways wird auch die FQDN-Auflösung ausgelöst.
  • Obwohl VPN Gateway mehrere Verbindungen zu verschiedenen lokalen Netzwerkgateways mit unterschiedlichen FQDNs unterstützt, müssen alle FQDNs in unterschiedliche IP-Adressen aufgelöst werden.
  1. Gehen Sie im Portal zu Lokale Netzwerkgateways, und öffnen Sie die Seite Lokales Netzwerkgateway erstellen.

  2. Geben Sie auf der Registerkarte Allgemeine Informationen die Werte für Ihr lokales Netzwerkgateway an.

    Screenshot, der das Erstellen eines lokalen Netzwerkgateways mit IP-Adresse zeigt.

    • Abonnement: Vergewissern Sie sich, dass das richtige Abonnement angezeigt wird.
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die Sie verwenden möchten. Sie können entweder eine neue Ressourcengruppe erstellen oder eine bereits erstellte auswählen.
    • Region: Wählen Sie die Region für dieses Objekt aus. Sie können denselben Ort auswählen, an dem sich Ihr virtuelles Netzwerk befindet, müssen dies aber nicht tun.
    • Name: Geben Sie einen Namen für das lokale Netzwerkgatewayobjekt ein.
    • Endpunkt: Wählen Sie den Endpunkttyp für das lokale VPN-Gerät aus als IP-Adresse oder FQDN (Fully Qualified Domain Name, vollqualifizierter Domänenname).
      • IP-Adresse: Wenn Sie über eine statische öffentliche IP-Adresse verfügen, die Ihnen von Ihrem Internetdienstanbieter (Internet Service Provider, ISP) für Ihr VPN-Gerät zugeordnet wurde, wählen Sie die Option „IP-Adresse“ aus. Geben Sie die IP-Adresse wie im Beispiel angezeigt ein. Diese Adresse ist die öffentliche IP-Adresse des VPN-Geräts, mit dem Azure VPN Gateway eine Verbindung herstellen soll. Wenn Sie derzeit nicht über die IP-Adresse verfügen, können Sie die im Beispiel angezeigten Werte verwenden. Später müssen Sie zurückkehren und Ihre Platzhalter-IP-Adresse durch die öffentliche IP-Adresse Ihres VPN-Geräts ersetzen. Andernfalls kann Azure keine Verbindung herstellen.
      • FQDN: Wenn Sie über eine dynamische öffentliche IP-Adresse verfügen, die sich nach einer bestimmten, oftmals von Ihrem Internetdienstanbieter festgelegten Zeitspanne ändern könnte, können Sie einen konstanten DNS-Namen mit einem dynamischen DNS-Dienst verwenden, um auf die aktuelle öffentliche IP-Adresse Ihres VPN-Geräts zu verweisen. Azure VPN Gateway löst den FQDN auf, um die öffentliche IP-Adresse zum Herstellen der Verbindung zu ermitteln.
    • Adressraum: Der Adressraum bezieht sich auf die Adressbereiche für das Netzwerk, das dieses lokale Netzwerk darstellt. Sie können mehrere Adressraumbereiche hinzufügen. Achten Sie darauf, dass sich die hier angegebenen Bereiche nicht mit den Bereichen anderer Netzwerke überschneiden, mit denen Sie eine Verbindung herstellen möchten. Azure leitet den Adressbereich, den Sie angeben, an die lokale IP-Adresse des VPN-Geräts weiter. Verwenden Sie hier anstelle der Werte aus dem Beispiel Ihre eigenen Werte, wenn Sie eine Verbindung mit Ihrem lokalen Standort herstellen möchten.
  3. Auf der Registerkarte Erweitert können Sie bei Bedarf BGP-Einstellungen konfigurieren.

  4. Nachdem Sie die Werte angegeben haben, wählen Sie am unteren Rand der Seite Überprüfen und Erstellen aus, um die Seite zu überprüfen.

  5. Wählen Sie Erstellen aus, um das lokale Netzwerkgateway-Objekt zu erstellen.

Konfigurieren des VPN-Geräts

Für Site-to-Site-Verbindungen mit einem lokalen Netzwerk ist ein VPN-Gerät erforderlich. In diesem Schritt konfigurieren Sie Ihr VPN-Gerät. Beim Konfigurieren des VPN-Geräts benötigen Sie die folgenden Werte:

  • Einen gemeinsam verwendeten Schlüssel. Dies ist derselbe gemeinsame Schlüssel, den Sie beim Erstellen Ihrer Site-to-Site-VPN-Verbindung angeben. In unseren Beispielen verwenden wir einen einfachen gemeinsamen Schlüssel. Es wird empfohlen, einen komplexeren Schlüssel zu generieren.
  • Die öffentliche IP-Adresse Ihres Gateways für virtuelle Netzwerke. Sie können die öffentliche IP-Adresse mit dem Azure-Portal, mit PowerShell oder mit der CLI anzeigen. Die öffentliche IP-Adresse Ihres VPN-Gateways können Sie über das Azure-Portal ermitteln, indem Sie zu Gateways für virtuelle Netzwerke navigieren und auf den Namen Ihres Gateways klicken.

Abhängig von Ihrem VPN-Gerät können Sie möglicherweise ein Skript zur Konfiguration des VPN-Geräts herunterladen. Weitere Informationen finden Sie unter Herunterladen von VPN-Gerätekonfigurationsskripts für S2S-VPN-Verbindungen.

Weitere Konfigurationsinformationen finden Sie unter den folgenden Links:

Konfigurieren einer Verbindung

Erstellen Sie die Site-to-Site-VPN-Verbindung zwischen dem Gateway Ihres virtuellen Netzwerks und Ihrem lokalen VPN-Gerät. In diesem Abschnitt verwenden wir die folgenden Beispielwerte:

  • Name des Gateways für das lokale Netzwerk: Site1
  • Verbindungsname: VNet1toSite1
  • Gemeinsam verwendeter Schlüssel: In diesem Beispiel verwenden wir „abc123“. Sie können jedoch einen beliebigen, mit Ihrer VPN-Hardware kompatiblen Wert verwenden. Wichtig ist, dass die Werte auf beiden Seiten der Verbindung übereinstimmen.
  1. Navigieren Sie im Portal zum virtuellen Netzwerkgateway, und öffnen Sie es.

  2. Wählen Sie auf der Seite für Ihr Gateway die Option Verbindungen aus.

  3. Wählen Sie oben auf der Seite Verbindungen die Option + Hinzufügen aus, um die Seite Verbindung erstellen zu öffnen.

    Screenshot der Seite „Grundlagen“.

  4. Konfigurieren Sie auf der Seite Verbindung erstellen auf der Registerkarte Grundlagen die Werte für Ihre Verbindung:

    • Wählen Sie unter Projektdetails das Abonnement und die Ressourcengruppe aus, in denen sich Ihre Ressourcen befinden.

    • Konfigurieren Sie unter Instanzdetails die folgenden Einstellungen:

      • Verbindungstyp: Wählen Sie Site-to-Site (IPsec) aus.
      • Name: Benennen Sie Ihre Verbindung.
      • Region: Wählen Sie die Region für diese Verbindung aus.
  5. Wählen Sie die Registerkarte Einstellungen aus, und konfigurieren Sie die folgenden Werte:

    Screenshot, der die Seite „Einstellungen“ zeigt.

    • Virtuelles Netzwerkgateway: Wählen Sie in der Dropdownliste das virtuelle Netzwerkgateway aus.
    • Lokales Netzwerkgateway: Wählen Sie in der Dropdownliste das lokale Netzwerkgateway aus.
    • Gemeinsam verwendeter Schlüssel: Dieser Wert muss dem Wert entsprechen, den Sie für Ihr lokales VPN-Gerät verwenden. Wenn dieses Feld nicht auf Ihrer Portalseite angezeigt wird oder Sie diesen Schlüssel später aktualisieren möchten, können Sie dies tun, sobald das Verbindungsobjekt erstellt wurde. Wechseln Sie zum erstellten Verbindungsobjekt (Beispielname: VNet1toSite1) und aktualisieren Sie den Schlüssel auf der Authentifizierungsseite.
    • IKE-Protokoll: Wählen Sie IKEv2 aus.
    • Verwenden der privaten Azure-IP-Adresse: Wählen Sie dies nicht aus.
    • BGP aktivieren: Wählen Sie dies nicht aus.
    • FastPath: Wählen Sie dies nicht aus.
    • IPsec-/IKE-Richtlinie: Wählen Sie Standard aus.
    • Verwenden des Selektors für richtlinienbasierten Datenverkehr: Wählen Sie Deaktivieren aus.
    • DPD-Timeout in Sekunden: Wählen Sie 45 aus.
    • Verbindungsmodus: Wählen Sie Standard aus. Diese Einstellung wird verwendet, um zu entscheiden, welches Gateway die Verbindung einleiten kann. Weitere Informationen finden Sie unter Einstellungen für VPN Gateway – Verbindungsmodi.
  6. Behalten Sie für NAT-Regelzuordnungen sowohl bei Eingehend als auch bei Ausgehend die Einstellung 0 ausgewählt bei.

  7. Wählen Sie zum Überprüfen Ihrer Verbindungseinstellungen Überprüfen + erstellen aus.

  8. Wählen Sie Erstellen aus, um die Verbindung zu erstellen.

  9. Sobald die Bereitstellung beendet ist, können Sie die Verbindung auf der Seite Verbindungen des virtuellen Netzwerkgateways anzeigen. Der Status ändert sich von Unbekannt in Verbindung wird hergestellt und dann in Erfolgreich.

Anzeigen und Überprüfen der VPN-Verbindung

Im Azure-Portal können Sie zur gewünschten Verbindung navigieren und den Verbindungsstatus eines VPN-Gateways anzeigen. Die folgenden Schritte zeigen eine Möglichkeit, zu Ihrer Verbindung zu wechseln und sie zu überprüfen.

  1. Wählen Sie im Menü im Azure-Portal Alle Ressourcen aus, oder suchen Sie auf einer beliebigen Seite nach Alle Ressourcen und wählen die Option aus.
  2. Wählen Sie Ihr virtuelles Netzwerkgateway aus.
  3. Wählen Sie im Bereich für Ihr virtuelles Netzwerkgateway Verbindungen aus. Der Status der einzelnen Verbindungen wird angezeigt.
  4. Wählen Sie den Namen der zu überprüfenden Verbindung aus, um Grundlegende Informationen zu öffnen. Im Bereich Grundlegende Informationen können Sie weitere Informationen zu Ihrer Verbindung anzeigen. Der Status ist Erfolgreich und Verbunden, nachdem Sie eine erfolgreiche Verbindung hergestellt haben.

Verbindung entfernen

  1. Wechseln Sie im Portal zu Ihrer VPN-Gateway-Seite Verbindungen.
  2. Klicken Sie auf die Verbindung, die Sie entfernen möchten. Dadurch wird die Seite für die Verbindung geöffnet.
  3. Klicken Sie auf Löschen, um eine Verbindung zu löschen.

Nächste Schritte

Weitere Informationen zu Site-to-Site-VPN-Gatewaykonfigurationen finden Sie im Lernprogramm: Konfigurieren einer Site-to-Site-VPN-Gatewaykonfiguration.