Tutorial: Erstellen einer Site-to-Site-VPN-Verbindung im Azure-Portal
In diesem Tutorial erfahren Sie, wie Sie das Azure-Portal zum Erstellen einer Site-to-Site(S2S)-VPN-Gateway-Verbindung zwischen Ihrem lokalen Netzwerk und einem virtuellen Netzwerk verwenden. Diese Konfiguration kann auch mithilfe von Azure PowerShell oder Azure CLI erstellt werden.
In diesem Tutorial:
- Erstellen Sie ein virtuelles Netzwerk.
- Erstellen eines VPN-Gateways.
- Erstellen Sie ein Gateway für das lokale Netzwerk.
- Erstellen Sie eine VPN-Verbindung.
- Überprüfen Sie die Verbindung.
- Herstellen einer Verbindung mit einer VM.
Voraussetzungen
Sie benötigen ein Azure-Konto mit einem aktiven Abonnement. Wenn Sie noch keine haben, können Sie eine kostenlos erstellen.
Falls Sie nicht mit den IP-Adressbereichen in Ihrer lokalen Netzwerkkonfiguration vertraut sind, wenden Sie sich an eine Person, die Ihnen diese Informationen zur Verfügung stellen kann. Beim Erstellen dieser Konfiguration müssen Sie die Präfixe für die IP-Adressbereiche angeben, die Azure an Ihren lokalen Standort weiterleitet. Keines der Subnetze Ihres lokalen Netzwerks darf sich mit den Subnetzen des virtuellen Netzwerks überschneiden, mit dem Sie eine Verbindung herstellen möchten.
VPN-Geräte:
- Achten Sie darauf, dass Sie über ein kompatibles VPN-Gerät und eine Person verfügen, die es konfigurieren kann. Weitere Informationen zu kompatiblen VPN-Geräten und zur Gerätekonfiguration finden Sie unter Informationen zu VPN-Geräten.
- Vergewissern Sie sich, dass Sie über eine externe öffentliche IPv4-Adresse für Ihr VPN-Gerät verfügen.
- Stellen Sie sicher, dass Ihr VPN-Gerät Gateways im Aktiv/Aktiv-Modus unterstützt. In diesem Artikel wird ein VPN-Gateway im Aktiv/Aktiv-Modus erstellt, das für hochverfügbare Konnektivität empfohlen wird. Der Aktiv/Aktiv-Modus gibt an, dass beide Gateway-VM-Instanzen aktiv sind und zwei öffentliche IP-Adressen verwenden: eine für jede Gateway-VM-Instanz. Sie konfigurieren Ihr VPN-Gerät so, dass es eine Verbindung mit der IP-Adresse für jede Gateway-VM-Instanz herstellt. Wenn Ihr VPN-Gerät diesen Modus nicht unterstützt, aktivieren Sie diesen Modus nicht für Ihr Gateway. Weitere Informationen finden Sie unter Entwerfen hochverfügbarer Gatewaykonnektivität für standortübergreifende Verbindungen und VNet-zu-VNet-Verbindungen und Informationen zu VPN-Gateways im Aktiv/Aktiv-Modus.
Erstellen eines virtuellen Netzwerks
In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk mithilfe der folgenden Werte:
- Ressourcengruppe: TestRG1
- Name: VNet1
- Region: (USA) USA, Osten
- IPv4-Adressraum: 10.1.0.0/16
- Subnetzname: FrontEnd
- Subnetzadressraum:
Hinweis
Wenn Sie ein virtuelles Netzwerk als Teil einer standortübergreifenden Architektur verwenden, müssen Sie in Zusammenarbeit mit Ihrem lokalen Netzwerkadministrator einen IP-Adressbereich festlegen, den Sie speziell für dieses virtuelle Netzwerk verwenden können. Wenn ein Adressbereich auf beiden Seiten der VPN-Verbindung und somit doppelt vorhanden ist, wird Datenverkehr nicht wie erwartet weitergeleitet. Wenn Sie dieses virtuelle Netzwerk zusätzlich mit einem anderen virtuellen Netzwerk verbinden wollen, darf sich der Adressraum nicht mit dem anderen virtuellen Netzwerk überschneiden. Planen Sie Ihre Netzwerkkonfiguration entsprechend.
Melden Sie sich beim Azure-Portal an.
Geben Sie oben auf der Portalseite unter Nach Ressourcen, Diensten und Dokumenten suchen (G+/) den Begriff virtuelles Netzwerk ein. Wählen Sie aus den Marketplace-Suchergebnissen den Eintrag Virtuelles Netzwerk aus, um die Seite Virtuelles Netzwerk zu öffnen.
Wählen Sie auf der Seite Virtuelles Netzwerk die Option Erstellen aus, um die Seite Virtuelles Netzwerk erstellen zu öffnen.
Konfigurieren Sie auf der Registerkarte Grundlagen die Einstellungen für das virtuelle Netzwerk für die Projektdetails und die Instanzdetails. Wenn die von Ihnen angegebenen Werte validiert sind, sehen Sie ein grünes Häkchen. Sie können die im Beispiel gezeigten Werte gemäß den von Ihnen benötigten Einstellungen anpassen.
- Abonnement: Vergewissern Sie sich, dass das richtige Abonnement angegeben ist. Sie können Abonnements mithilfe des Dropdownfeldes ändern.
- Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder wählen Sie Neu erstellen aus, um eine neue zu erstellen. Weitere Informationen zu Ressourcengruppen finden Sie unter Azure Resource Manager – Übersicht.
- Name: Geben Sie den Namen für Ihr virtuelles Netzwerk ein.
- Region: Wählen Sie den Speicherort für Ihr virtuelles Netzwerk aus. Der Speicherort gibt an, wo sich die in diesem virtuellen Netzwerk bereitgestellten Ressourcen befinden sollen.
Wählen Sie Weiter oder Sicherheit aus, um zur Registerkarte Sicherheit zu wechseln. Behalten Sie für diese Übung die Standardwerte für alle Dienste auf dieser Seite bei.
Wählen Sie IP-Adressen aus, um zur Registerkarte IP-Adressen zu wechseln. Konfigurieren Sie auf der Registerkarte IP-Adressen die Einstellungen.
IPv4-Adressraum: Standardmäßig wird automatisch ein Adressraum erstellt. Sie können den Adressraum auswählen und ihn an Ihre eigenen Werte anpassen. Sie können auch einen anderen Adressraum hinzufügen und den automatisch erstellten Standardwert entfernen. Beispielsweise können Sie die Startadresse als 10.1.0.0 und die Adressraumgröße als /16 angeben. Wählen Sie dann Hinzufügen aus, um diesen Adressraum hinzuzufügen.
+ Subnetz hinzufügen: Wenn Sie den Standardadressraum verwenden, wird automatisch ein Standardsubnetz erstellt. Wenn Sie den Adressraum ändern, fügen Sie innerhalb dieses Adressraums ein neues Subnetz hinzu. Wählen Sie + Subnetz hinzufügen aus, um das Fenster Subnetz hinzufügen zu öffnen. Konfigurieren Sie die folgenden Einstellungen, und wählen Sie dann unten auf der Seite Hinzufügen aus, um die Werte hinzuzufügen.
- Subnetzname: Sie können den Standardnamen verwenden oder den Namen angeben. Beispiel: FrontEnd
- Subnetzadressbereich: Der Adressbereich für dieses Subnetz. Beispiele sind 10.1.0.0 und /24.
Überprüfen Sie die Seite IP-Adressen, und entfernen Sie alle Adressräume oder Subnetze, die Sie nicht benötigen.
Wählen Sie Bewerten + erstellen aus, um die Einstellungen für das virtuelle Netzwerk zu überprüfen.
Wählen Sie nach der Überprüfung der Einstellungen Erstellen aus, um das virtuelle Netzwerk zu erstellen.
Nachdem Sie Ihr virtuelles Netzwerk erstellt haben, können Sie optional Azure DDoS Protection konfigurieren. Azure DDoS Protection kann einfach in jedem neuen oder vorhandenen virtuellen Netzwerk aktiviert werden und erfordert keine Änderung der Anwendung oder Ressource. Weitere Informationen zu Azure DDoS Protection finden Sie unter Was ist Azure DDoS Protection?.
Erstellen eines Gatewaysubnetzes
Für das virtuelle Netzwerkgateway ist ein bestimmtes Subnetz mit dem Namen GatewaySubnet erforderlich. Das Gatewaysubnetz ist Teil des IP-Adressbereichs für Ihr virtuelles Netzwerk und enthält die IP-Adressen, die von den Ressourcen und Diensten des virtuellen Netzwerkgateways verwendet werden.
Bei der Gatewayerstellung geben Sie die Anzahl der im Subnetz enthaltenen IP-Adressen an. Wie viele IP-Adressen erforderlich sind, hängt von der VPN-Gatewaykonfiguration ab, die Sie erstellen möchten. Einige Konfigurationen erfordern mehr IP-Adressen als andere. Geben Sie für Ihr Gatewaysubnetz am besten /27 oder größer (/26, /25 usw.) an.
- Wählen Sie auf der Seite für Ihr virtuelles Netzwerk im linken Bereich Subnetze aus, um die Seite Subnetze zu öffnen.
- Wählen Sie oben auf der Seite + Gatewaysubnetz aus, um den Bereich Subnetz hinzufügen zu öffnen.
- Der Name wird automatisch als GatewaySubnet eingegeben. Passen Sie bei Bedarf den Wert des IP-Adressbereichs an. Ein Beispiel ist 10.1.255.0/27.
- Passen Sie die anderen Werte auf der Seite nicht an. Wählen Sie unten auf der Seite Speichern aus, um das Subnetz zu speichern.
Wichtig
Netzwerksicherheitsgruppen (NSGs) im Gateway-Subnetz werden nicht unterstützt. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz könnte dazu führen, dass Ihr virtuelles Netzwerkgateway (VPN- und ExpressRoute-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Was ist eine Netzwerksicherheitsgruppe (NSG)?.
Erstellen eines VPN-Gateways
In diesem Schritt erstellen Sie ein VNET-Gateway (VPN-Gateway) für Ihr virtuelles Netzwerk. Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern.
Erstellen eines VPN-Gateways
Erstellen Sie ein virtuelles Netzwerkgateway (VPN-Gateway) mithilfe der folgenden Werte:
- Name: VNet1GW
- Gatewaytyp: VPN
- SKU: VpnGw2AZ
- Generation: Generation 2
- Virtuelles Netzwerk: VNet1
- Adressbereich für Gatewaysubnetz: 10.1.255.0/27
- Öffentliche IP-Adresse: Neu erstellen
- Öffentliche IP-Adresse: VNet1GWpip1
- SKU der öffentlichen IP-Adresse: Standard
- Zuordnung: Statisch
- Name der zweiten öffentlichen IP-Adresse: VNet1GWpip2
- Aktivieren Sie nicht den Aktiv/Aktiv-Modus: aktiviert
- BGP konfigurieren: Deaktiviert
Geben Sie unter Nach Ressourcen, Diensten und Dokumenten suchen (G+/) den Begriff virtuelles Netzwerkgateway ein. Suchen Sie in den Marketplace-Suchergebnissen nach Virtuelles Netzwerkgateway, und wählen Sie dies aus, um die Seite Virtuelles Netzwerkgateway erstellen zu öffnen.
Geben Sie auf der Registerkarte Grundlagen die Werte für Projektdetails und Details zur Instanz ein.
Abonnement: Wählen Sie in der Dropdownliste das Abonnement aus, das Sie verwenden wollen.
Ressourcengruppe: Dieser Wert wird automatisch ausgefüllt, wenn Sie auf dieser Seite Ihr virtuelles Netzwerk auswählen.
Name: Hierbei handelt es sich um den Namen des Gatewayobjekts, das Sie erstellen. Es unterscheidet sich von dem Gatewaysubnetz, in dem Gatewayressourcen bereitgestellt werden.
Region: Wählen Sie die Region aus, in der Sie diese Ressource erstellen möchten. Die Region für das Gateway muss der des virtuellen Netzwerks entsprechen.
Gatewaytyp: Wählen Sie VPN aus. Bei VPN-Gateways wird ein virtuelles Netzwerkgateway vom Typ VPN verwendet.
SKU: Wählen Sie in der Dropdownliste eine Gateway-SKU aus, die die Features unterstützt, die Sie verwenden möchten.
- Wir empfehlen wenn möglich eine SKU auszuwählen, die auf AZ endet. AZ-SKUs unterstützen Verfügbarkeitszonen.
- Die Basic-SKU ist im Portal nicht verfügbar. Um ein einfaches SKU-Gateway zu konfigurieren, müssen Sie PowerShell oder CLI verwenden.
Generation: Wählen Sie Generation2 aus der Dropdownliste aus.
Virtuelles Netzwerk: Wählen Sie in der Dropdownliste das virtuelle Netzwerk aus, dem Sie dieses Gateway hinzufügen wollen. Wenn das virtuelle Netzwerk, das Sie ein Gateway verwenden möchten, nicht angezeigt wird, vergewissern Sie sich, dass Sie in den vorherigen Einstellungen das richtige Abonnement und die richtige Region ausgewählt haben.
Gateway-Subnetzadressbereich oder Subnetz: Das Gatewaysubnetz ist erforderlich, um ein VPN-Gateway zu erstellen.
Derzeit kann dieses Feld verschiedene Einstellungsoptionen aufweisen, je nach Adressraum des virtuellen Netzwerks und ob Sie bereits ein Subnetz mit dem Namen GatewaySubnet für Ihr virtuelles Netzwerk erstellt haben.
Wenn Sie nicht über ein Gatewaysubnetz verfügen und die Option zum Erstellen eines Gateways auf dieser Seite nicht angezeigt wird, wechseln Sie zu Ihrem virtuellen Netzwerk zurück und erstellen das Gatewaysubnetz. Kehren Sie dann zu dieser Seite zurück, und konfigurieren Sie das VPN-Gateway.
Geben Sie die Werte für Öffentliche IP-Adresse an. Mit diesen Einstellungen werden die öffentlichen IP-Adressobjekte angegeben, die dem VPN-Gateway zugeordnet werden. Bei der Erstellung des VPN-Gateways wird jedem öffentlichen IP-Adressobjekt eine öffentliche IP-Adresse zugewiesen. Die zugewiesene öffentliche IP-Adresse wird nur geändert, wenn das Gateway gelöscht und neu erstellt wird. IP-Adressen ändern sich nicht, wenn die Größe des VPN-Gateways geändert wird, das VPN-Gateway zurückgesetzt wird oder andere interne Wartungs-/Upgradevorgänge für das VPN-Gateway durchgeführt werden.
Typ der öffentlichen IP-Adresse: Wenn diese Option angezeigt wird, wählen Sie Standard aus.
Öffentliche IP-Adresse: Lassen Sie Neu erstellen aktiviert.
Name der öffentlichen IP-Adresse: Geben Sie im Textfeld einen Namen für Ihre öffentliche IP-Adressinstanz ein.
SKU der öffentlichen IP-Adresse: Für diese Einstellung wird automatisch die Standard-SKU ausgewählt.
Zuweisung: Die Zuweisung wird in der Regel automatisch ausgewählt und sollte „Statisch“ lauten.
Verfügbarkeitszone: Diese Einstellung ist für AZ-Gateway-SKUs in den Regionen verfügbar, die Verfügbarkeitszonen unterstützen. Wählen Sie „Zonenredundant“ aus, es sei denn, Sie möchten eine bestimmte Zone angeben.
Aktiv/Aktiv-Modus aktivieren: Wir empfehlen, Aktiviert auszuwählen, um die Vorteile eines Gateways im Aktiv/Aktiv-Modus zu nutzen. Wenn Sie dieses Gateway für eine Site-to-Site-Verbindung verwenden möchten, berücksichtigen Sie Folgendes:
- Überprüfen Sie den Aktiv/Aktiv-Entwurf, den Sie verwenden möchten. Die Verbindungen mit Ihrem lokalen VPN-Gerät müssen speziell konfiguriert werden, um den Aktiv/Aktiv-Modus nutzen zu können.
- Manche VPN-Geräte unterstützen den Aktiv/Aktiv-Modus nicht. Wenn Sie sich nicht sicher sind, wenden Sie sich an Ihren VPN-Geräteanbieter. Wenn Sie ein VPN-Gerät verwenden, das den Aktiv/Aktiv-Modus nicht unterstützt, können Sie Deaktiviert für diese Einstellung auswählen.
Zweite öffentliche IP-Adresse: Wählen Sie Neu erstellen aus. Diese ist nur verfügbar, wenn Sie Aktiviert für die Einstellung Aktiv/Aktiv-Modus aktivieren ausgewählt haben.
Name der öffentlichen IP-Adresse: Geben Sie im Textfeld einen Namen für Ihre öffentliche IP-Adressinstanz ein.
SKU der öffentlichen IP-Adresse: Für diese Einstellung wird automatisch die Standard-SKU ausgewählt.
Verfügbarkeitszone: Wählen Sie „Zonenredundant“ aus, es sei denn, Sie möchten eine bestimmte Zone angeben.
BGP konfigurieren: Wählen Sie „Deaktiviert“ aus, es sei denn, Ihre Konfiguration erfordert diese Einstellung ausdrücklich. Sollte diese Einstellung erforderlich sein, lautet die Standard-ASN 65515. (Dieser Wert kann jedoch geändert werden.)
Aktivieren des Zugriffs auf den Schlüsseltresor: Wählen Sie „Deaktiviert“ aus, es sei denn, Ihre Konfiguration erfordert diese Einstellung ausdrücklich.
Wählen Sie zum Ausführen der Validierung Bewerten + erstellen aus.
Wählen Sie nach erfolgreicher Validierung Erstellen aus, um das VPN-Gateway bereitzustellen.
Die gesamte Erstellung und Bereitstellung eines Gateways kann 45 Minuten oder länger dauern. Der Bereitstellungsstatus wird auf der Übersichtsseite für Ihr Gateway angezeigt.
Wichtig
Netzwerksicherheitsgruppen (NSGs) im Gateway-Subnetz werden nicht unterstützt. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz könnte dazu führen, dass Ihr virtuelles Netzwerkgateway (VPN- und ExpressRoute-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Was ist eine Netzwerksicherheitsgruppe (NSG)?.
Anzeigen einer öffentlichen IP-Adresse
Um die IP-Adresse anzuzeigen, die jeder VM-Instanz des VNET-Gateways zugeordnet ist, wechseln Sie im Portal zum VNET-Gateway.
- Navigieren Sie zur Seite Eigenschaften des VNET-Gateways (nicht zur Seite „Übersicht“). Möglicherweise müssen Sie Einstellungen erweitern, um die Seite Eigenschaften in der Liste anzuzeigen.
- Wenn Ihr Gateway im Aktiv/Passiv-Modus ausgeführt wird, wird nur eine IP-Adresse angezeigt. Wenn sich Ihr Gateway im Aktiv/Aktiv-Modus befindet, werden zwei öffentliche IP-Adressen aufgeführt: eine für jede Gateway-VM-Instanz. Wenn Sie eine Site-to-Site-Verbindung erstellen, müssen Sie bei der Konfiguration Ihres VPN-Geräts jede IP-Adresse angeben, da beide Gateway-VMs aktiv sind.
- Wenn Sie weitere Informationen zum IP-Adressobjekt anzeigen möchten, klicken Sie auf den entsprechenden IP-Adresslink.
Erstellen eines Gateways für das lokale Netzwerk
Das lokale Netzwerkgateway ist ein spezielles Objekt, das in Azure bereitgestellt wird und Ihren lokalen Standort (Site) für Routingzwecke darstellt. Sie geben dem Standort einen Namen, über den Azure darauf verweisen kann, und geben dann die IP-Adresse des lokalen VPN-Geräts an, mit dem Sie eine Verbindung herstellen. Außerdem geben Sie die IP-Adresspräfixe an, die über das VPN-Gateway an das VPN-Gerät weitergeleitet werden. Die von Ihnen angegebenen Adresspräfixe befinden sich in Ihrem lokalen Netzwerk. Wenn bei dem lokalen Netzwerk Änderungen vorgenommen werden oder Sie die öffentliche IP-Adresse des VPN-Geräts ändern müssen, können Sie dies Werte später bequem aktualisieren. Sie erstellen ein separates lokales Netzwerkgateway für jedes VPN-Gerät, mit dem Sie eine Verbindung herstellen möchten. Einige hochverfügbare Konnektivitätsdesigns geben mehrere lokale VPN-Geräte an.
Erstellen Sie ein lokales Netzwerkgateway mithilfe der folgenden Werte:
- Name: Site1
- Ressourcengruppe: TestRG1
- Standort: East US
Überlegungen zur Konfiguration:
- VPN Gateway unterstützt nur eine IPv4-Adresse für jeden FQDN (vollqualifizierter Domänenname). Wenn der Domänenname in mehrere IP-Adressen aufgelöst wird, verwendet VPN Gateway die erste von den DNS-Servern zurückgegebene IP-Adresse. Um die Ungewissheit zu beseitigen, wird empfohlen, dass Ihr FQDN immer in eine einzelne IPv4-Adresse aufgelöst wird. ICv6 wird nicht unterstützt.
- VPN Gateway verwaltet einen DNS-Cache, der alle fünf Minuten aktualisiert wird. Das Gateway versucht, die vollqualifizierten Domänennamen nur für getrennte Tunnel aufzulösen. Durch das Zurücksetzen des Gateways wird auch die FQDN-Auflösung ausgelöst.
- Obwohl VPN Gateway mehrere Verbindungen zu verschiedenen lokalen Netzwerkgateways mit unterschiedlichen FQDNs unterstützt, müssen alle FQDNs in unterschiedliche IP-Adressen aufgelöst werden.
Gehen Sie im Portal zu Lokale Netzwerkgateways, und öffnen Sie die Seite Lokales Netzwerkgateway erstellen.
Geben Sie auf der Registerkarte Allgemeine Informationen die Werte für Ihr lokales Netzwerkgateway an.
- Abonnement: Vergewissern Sie sich, dass das richtige Abonnement angezeigt wird.
- Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die Sie verwenden möchten. Sie können entweder eine neue Ressourcengruppe erstellen oder eine bereits erstellte auswählen.
- Region: Wählen Sie die Region für dieses Objekt aus. Sie können denselben Ort auswählen, an dem sich Ihr virtuelles Netzwerk befindet, müssen dies aber nicht tun.
- Name: Geben Sie einen Namen für das lokale Netzwerkgatewayobjekt ein.
- Endpunkt: Wählen Sie den Endpunkttyp für das lokale VPN-Gerät aus als IP-Adresse oder FQDN (Fully Qualified Domain Name, vollqualifizierter Domänenname).
- IP-Adresse: Wenn Sie über eine statische öffentliche IP-Adresse verfügen, die Ihnen von Ihrem Internetdienstanbieter (Internet Service Provider, ISP) für Ihr VPN-Gerät zugeordnet wurde, wählen Sie die Option „IP-Adresse“ aus. Geben Sie die IP-Adresse wie im Beispiel angezeigt ein. Diese Adresse ist die öffentliche IP-Adresse des VPN-Geräts, mit dem Azure VPN Gateway eine Verbindung herstellen soll. Wenn Sie derzeit nicht über die IP-Adresse verfügen, können Sie die im Beispiel angezeigten Werte verwenden. Später müssen Sie zurückkehren und Ihre Platzhalter-IP-Adresse durch die öffentliche IP-Adresse Ihres VPN-Geräts ersetzen. Andernfalls kann Azure keine Verbindung herstellen.
- FQDN: Wenn Sie über eine dynamische öffentliche IP-Adresse verfügen, die sich nach einer bestimmten, oftmals von Ihrem Internetdienstanbieter festgelegten Zeitspanne ändern könnte, können Sie einen konstanten DNS-Namen mit einem dynamischen DNS-Dienst verwenden, um auf die aktuelle öffentliche IP-Adresse Ihres VPN-Geräts zu verweisen. Azure VPN Gateway löst den FQDN auf, um die öffentliche IP-Adresse zum Herstellen der Verbindung zu ermitteln.
- Adressraum: Der Adressraum bezieht sich auf die Adressbereiche für das Netzwerk, das dieses lokale Netzwerk darstellt. Sie können mehrere Adressraumbereiche hinzufügen. Achten Sie darauf, dass sich die hier angegebenen Bereiche nicht mit den Bereichen anderer Netzwerke überschneiden, mit denen Sie eine Verbindung herstellen möchten. Azure leitet den Adressbereich, den Sie angeben, an die lokale IP-Adresse des VPN-Geräts weiter. Verwenden Sie hier anstelle der Werte aus dem Beispiel Ihre eigenen Werte, wenn Sie eine Verbindung mit Ihrem lokalen Standort herstellen möchten.
Auf der Registerkarte Erweitert können Sie bei Bedarf BGP-Einstellungen konfigurieren.
Nachdem Sie die Werte angegeben haben, wählen Sie am unteren Rand der Seite Überprüfen und Erstellen aus, um die Seite zu überprüfen.
Wählen Sie Erstellen aus, um das lokale Netzwerkgateway-Objekt zu erstellen.
Konfigurieren des VPN-Geräts
Für Site-to-Site-Verbindungen mit einem lokalen Netzwerk ist ein VPN-Gerät erforderlich. In diesem Schritt konfigurieren Sie Ihr VPN-Gerät. Wenn Sie Ihr VPN-Gerät konfigurieren, benötigen Sie die folgenden Werte:
- Gemeinsam verwendeter Schlüssel: Dieser gemeinsam verwendete Schlüssel ist derselbe gemeinsam verwendete Schlüssel, den Sie beim Erstellen Ihrer Site-to-Site-VPN-Verbindung angeben. In unseren Beispielen verwenden wir einen einfachen gemeinsamen Schlüssel. Es wird empfohlen, einen komplexeren Schlüssel zu generieren.
- Öffentliche IP-Adressen Ihrer VNET-Gatewayinstanzen: Rufen Sie die IP-Adresse für jede VM-Instanz ab. Wenn sich Ihr Gateway im Aktiv/Aktiv-Modus befindet, besitzen Sie eine IP-Adresse für jede Gateway-VM-Instanz. Stellen Sie sicher, dass Sie Ihr Gerät mit beiden IP-Adressen konfigurieren, einer für jede aktive Gateway-VM. Gateways im Aktiv/Standby-Modus verfügen nur über eine IP-Adresse.
Hinweis
Stellen Sie für Site-to-Site-Verbindungen mit einem VPN-Gateway im aktiven Aktiv-Modus sicher, dass Tunnel für jede Gateway-VM-Instanz eingerichtet werden. Wenn Sie einen Tunnel zu nur einer Gateway-VM-Instanz einrichten, wird die Verbindung während der Wartung herunterfahren. Wenn Ihr VPN-Gerät dieses Setup nicht unterstützt, konfigurieren Sie stattdessen Ihr Gateway für den aktiven Standbymodus.
Abhängig von Ihrem VPN-Gerät können Sie möglicherweise ein Skript zur Konfiguration des VPN-Geräts herunterladen. Weitere Informationen finden Sie unter Herunterladen von VPN-Gerätekonfigurationsskripts für S2S-VPN-Verbindungen.
Weitere Konfigurationsinformationen finden Sie unter den folgenden Links:
- Informationen zu kompatiblen VPN-Geräten finden Sie unter VPN-Geräte.
- Überprüfen Sie vor dem Konfigurieren Ihres VPN-Geräts auf Bekannte Probleme mit der Gerätekompatibilität für das VPN-Gerät, das Sie verwenden möchten.
- Links zu Gerätekonfigurationseinstellungen finden Sie unter Überprüfte VPN-Geräte. Die Links zur Gerätekonfiguration werden nach bestem Wissen bereitgestellt. Die beste Vorgehensweise besteht immer darin, die aktuellen Informationen zur Konfiguration bei Ihrem Gerätehersteller zu erfragen. Die Liste enthält die von uns getesteten Versionen. Ist Ihr Betriebssystem nicht in der Liste enthalten, ist die Version vielleicht dennoch kompatibel. Wenden Sie sich an den Gerätehersteller, um zu überprüfen, ob die Betriebssystemversion für Ihr VPN-Gerät kompatibel ist.
- Eine Übersicht über die VPN-Gerätekonfiguration finden Sie unter Übersicht über die VPN-Gerätekonfigurationen von Drittanbietern.
- Informationen zur Bearbeitung von Gerätekonfigurationsbeispielen finden Sie unter Bearbeiten von Gerätekonfigurationsbeispielen.
- Kryptografische Anforderungen finden Sie im Artikel zu kryptografischen Anforderungen und Azure-VPN-Gateways.
- Informationen zu IPsec-/IKE-Parametern finden Sie unter Informationen zu VPN-Geräten und IPsec-/IKE-Parametern für VPN-Gatewayverbindungen zwischen Standorten. Unter diesem Link finden Sie Informationen zu IKE-Version, Diffie-Hellman-Gruppe, Authentifizierungsmethode, Verschlüsselungs- und Hashalgorithmen, SA-Gültigkeitsdauer, PFS und DPD zusätzlich zu anderen Parameterinformationen, die Sie zum Vervollständigen Ihrer Konfiguration benötigen.
- Konfigurationsschritte für IPsec-/IKE-Richtlinien finden Sie unter Konfigurieren von IPsec-/IKE-Richtlinien für Site-to-Site-VPN- oder VNet-to-VNet-Verbindungen.
- Informationen zum Herstellen einer Verbindung für mehrere richtlinienbasierte VPN-Geräte finden Sie unter Herstellen einer Verbindung zwischen Azure-VPN-Gateways und mehreren lokalen richtlinienbasierten VPN-Geräten mit PowerShell.
Erstellen von VPN-Verbindungen
Erstellen Sie die Site-to-Site-VPN-Verbindung zwischen dem Gateway Ihres virtuellen Netzwerks und Ihrem lokalen VPN-Gerät. Wenn Sie ein Gateway im Aktiv/Aktiv-Modus verwenden (empfohlen), verfügt jede Gateway-VM-Instanz über eine separate IP-Adresse. Um hochverfügbare Konnektivität ordnungsgemäß zu konfigurieren, müssen Sie einen Tunnel zwischen den VM-Instanzen und Ihrem VPN-Gerät. Beide Tunnel sind Teil derselben Verbindung.
Erstellen Sie eine Verbindung mithilfe der folgenden Werte:
- Name des Gateways für das lokale Netzwerk: Site1
- Verbindungsname: VNet1toSite1
- Gemeinsam verwendeter Schlüssel: In diesem Beispiel verwenden Sie abc123. Sie können jedoch einen beliebigen verwenden, der mit Ihrer VPN-Hardware kompatibel ist. Wichtig ist, dass die Werte auf beiden Seiten der Verbindung übereinstimmen.
Navigieren Sie im Portal zum virtuellen Netzwerkgateway, und öffnen Sie es.
Wählen Sie auf der Seite für Ihr Gateway die Option Verbindungen aus.
Wählen Sie oben auf der Seite Verbindungen die Option + Hinzufügen aus, um die Seite Verbindung erstellen zu öffnen.
Konfigurieren Sie auf der Seite Verbindung erstellen auf der Registerkarte Grundlagen die Werte für Ihre Verbindung:
Wählen Sie unter Projektdetails das Abonnement und die Ressourcengruppe aus, in denen sich Ihre Ressourcen befinden.
Konfigurieren Sie unter Instanzdetails die folgenden Einstellungen:
- Verbindungstyp: Wählen Sie Site-to-Site (IPsec) aus.
- Name: Benennen Sie Ihre Verbindung.
- Region: Wählen Sie die Region für diese Verbindung aus.
Wählen Sie die Registerkarte Einstellungen aus, und konfigurieren Sie die folgenden Werte:
- Virtuelles Netzwerkgateway: Wählen Sie in der Dropdownliste das virtuelle Netzwerkgateway aus.
- Lokales Netzwerkgateway: Wählen Sie in der Dropdownliste das lokale Netzwerkgateway aus.
- Gemeinsam verwendeter Schlüssel: Dieser Wert muss dem Wert entsprechen, den Sie für Ihr lokales VPN-Gerät verwenden. Wenn dieses Feld nicht auf Ihrer Portalseite angezeigt wird oder Sie diesen Schlüssel später aktualisieren möchten, können Sie dies tun, sobald das Verbindungsobjekt erstellt wurde. Wechseln Sie zum erstellten Verbindungsobjekt (Beispielname: VNet1toSite1) und aktualisieren Sie den Schlüssel auf der Authentifizierungsseite.
- IKE-Protokoll: Wählen Sie IKEv2 aus.
- Verwenden der privaten Azure-IP-Adresse: Wählen Sie dies nicht aus.
- BGP aktivieren: Wählen Sie dies nicht aus.
- FastPath: Wählen Sie dies nicht aus.
- IPsec-/IKE-Richtlinie: Wählen Sie Standard aus.
- Verwenden des Selektors für richtlinienbasierten Datenverkehr: Wählen Sie Deaktivieren aus.
- DPD-Timeout in Sekunden: Wählen Sie 45 aus.
- Verbindungsmodus: Wählen Sie Standard aus. Diese Einstellung wird verwendet, um zu entscheiden, welches Gateway die Verbindung einleiten kann. Weitere Informationen finden Sie unter Einstellungen für VPN Gateway – Verbindungsmodi.
Behalten Sie für NAT-Regelzuordnungen sowohl bei Eingehend als auch bei Ausgehend die Einstellung 0 ausgewählt bei.
Wählen Sie zum Überprüfen Ihrer Verbindungseinstellungen Überprüfen + erstellen aus.
Wählen Sie Erstellen aus, um die Verbindung zu erstellen.
Sobald die Bereitstellung beendet ist, können Sie die Verbindung auf der Seite Verbindungen des virtuellen Netzwerkgateways anzeigen. Der Status ändert sich von Unbekannt in Verbindung wird hergestellt und dann in Erfolgreich.
Konfigurieren weiterer Verbindungseinstellungen (optional)
Sie können bei Bedarf weitere Einstellungen für Ihre Verbindung konfigurieren. Überspringen Sie andernfalls diesen Abschnitt, und übernehmen Sie die Standardeinstellungen. Weitere Informationen finden Sie unter Konfigurieren von benutzerdefinierten IPsec/IKE-Verbindungsrichtlinien.
Wechseln Sie zu Ihrem virtuellen Netzwerkgateway, und wählen Sie Verbindungen aus, um die Seite Verbindungen zu öffnen.
Wählen Sie den Namen der Verbindung aus, die Sie konfigurieren möchten, um die Seite Verbindung zu öffnen.
Wählen Sie im linken Bereich der Seite Verbindung Konfiguration aus, um die Seite Konfiguration zu öffnen. Nehmen Sie alle erforderlichen Änderungen vor, und wählen Sie dann Speichern aus.
In den folgenden Screenshots sind die Einstellungen aktiviert, sodass Sie die Konfigurationseinstellungen sehen können, die im Portal verfügbar sind. Klicken Sie auf den Screenshot, um die erweiterte Ansicht anzuzeigen. Konfigurieren Sie bei der Konfiguration Ihrer Verbindungen nur die erforderlichen Einstellungen. Übernehmen Sie andernfalls die Standardeinstellungen.
Überprüfen der VPN-Verbindung
Im Azure-Portal können Sie zur gewünschten Verbindung navigieren und den Verbindungsstatus eines VPN-Gateways anzeigen. Die folgenden Schritte zeigen eine Möglichkeit, zu Ihrer Verbindung zu wechseln und sie zu überprüfen.
- Wählen Sie im Menü im Azure-Portal Alle Ressourcen aus, oder suchen Sie auf einer beliebigen Seite nach Alle Ressourcen und wählen die Option aus.
- Wählen Sie Ihr virtuelles Netzwerkgateway aus.
- Wählen Sie im Bereich für Ihr virtuelles Netzwerkgateway Verbindungen aus. Der Status der einzelnen Verbindungen wird angezeigt.
- Wählen Sie den Namen der zu überprüfenden Verbindung aus, um Grundlegende Informationen zu öffnen. Im Bereich Grundlegende Informationen können Sie weitere Informationen zu Ihrer Verbindung anzeigen. Der Status lautet Erfolgreich und Verbunden, nachdem Sie eine erfolgreiche Verbindung hergestellt haben.
Herstellen einer Verbindung mit einem virtuellen Computer
Sie können eine Verbindung mit einem in Ihrem virtuellen Netzwerk bereitgestellten virtuellen Computer herstellen, indem Sie eine Remotedesktopverbindung mit Ihrem virtuellen Computer erstellen. Die beste Möglichkeit zur anfänglichen Sicherstellung, dass eine Verbindung mit Ihrer VM hergestellt werden kann, ist die Verwendung der privaten IP-Adresse anstelle des Computernamens. Auf diese Weise können Sie testen, ob die Verbindungsherstellung möglich ist, anstatt zu überprüfen, ob die Namensauflösung richtig konfiguriert ist.
Ermitteln Sie die private IP-Adresse. Sie können die private IP-Adresse eines virtuellen Computers suchen, indem Sie sich entweder die Eigenschaften für den virtuellen Computer im Azure-Portal ansehen oder PowerShell verwenden.
Azure-Portal: Suchen Sie Ihren virtuellen Computer im Azure-Portal. Zeigen Sie die Eigenschaften für die VM an. Die private IP-Adresse ist aufgeführt.
PowerShell: Verwenden Sie das Beispiel, um eine Liste mit virtuellen Computern und privaten IP-Adressen aus Ihren Ressourcengruppen anzuzeigen. Es ist nicht erforderlich, dieses Beispiel vor der Verwendung zu ändern.
$VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics) { $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod Write-Output "$($VM.Name): $Prv,$Alloc" }
Stellen Sie sicher, dass Sie mit Ihrem virtuellen Netzwerk verbunden sind.
Öffnen Sie Remotedesktopverbindung, indem Sie RDP oder Remotedesktopverbindung in das Suchfeld auf der Taskleiste eingeben. Wählen Sie dann Remotedesktopverbindung aus. Sie können auch den Befehl
mstsc
in PowerShell verwenden, um Remotedesktopverbindung zu öffnen.Geben Sie in Remotedesktopverbindung die private IP-Adresse der VM ein. Sie können Optionen anzeigen auswählen, um andere Einstellungen anzupassen und dann eine Verbindung herzustellen.
Falls Sie beim Herstellen einer Verbindung mit einem virtuellen Computer über Ihre VPN-Verbindung Probleme haben, überprüfen Sie die folgenden Punkte:
- Stellen Sie sicher, dass die Herstellung der VPN-Verbindung erfolgreich war.
- Stellen Sie sicher, dass Sie die Verbindung mit der privaten IP-Adresse für die VM herstellen.
- Falls Sie mithilfe der privaten IP-Adresse eine Verbindung mit dem virtuellen Computer herstellen können, aber nicht mit dem Computernamen, überprüfen Sie, dass Sie das DNS ordnungsgemäß konfiguriert haben. Weitere Informationen zur Funktionsweise der Namensauflösung für virtuelle Computer finden Sie unter Namensauflösung für virtuelle Computer.
Weitere Informationen zu RDP-Verbindungen finden Sie unter Behandeln von Problemen bei Remotedesktopverbindungen mit einem virtuellen Azure-Computer.
Optionale Schritte
Zurücksetzen eines Gateways
Das Zurücksetzen von Azure VPN Gateway-Instanzen ist nützlich, wenn die standortübergreifende VPN-Verbindung bei mindestens einem Site-to-Site-VPN-Tunnel unterbrochen ist. In diesem Fall funktionieren Ihre lokalen VPN-Geräte ordnungsgemäß, können jedoch keine IPsec-Tunnelverbindungen mit Azure VPN Gateway-Instanzen herstellen. Wenn Sie ein Aktiv/Aktiv-Gateway zurücksetzen müssen, können Sie beide Instanzen mithilfe des Portals zurücksetzen. Sie können auch PowerShell oder die CLI verwenden, um jede Gatewayinstanz separat mithilfe von Instanzen-VIPs zurückzusetzen. Weitere Informationen finden Sie unter Zurücksetzen einer Verbindung oder eines Gateways.
- Wechseln Sie im Portal zum virtuellen Netzwerkgateway, das Sie zurücksetzen möchten.
- Scrollen Sie auf der Seite VNET-Gateway links nach unten zu Hilfe -> Zurücksetzen.
- Wählen Sie auf der Seite Zurücksetzen die Option Zurücksetzen aus. Nach der Ausgabe des Befehls wird die aktuell aktive Instanz von Azure VPN Gateway sofort neu gestartet. Das Zurücksetzen des Gateways führt zu einer Lücke in der VPN-Konnektivität und kann die zukünftige Grundursachenanalyse des Problems einschränken.
Hinzufügen einer weiteren Verbindung
Ein Gateway kann über mehrere Verbindungen verfügen. Wenn Sie vom selben VPN-Gateway aus Verbindungen zu mehreren lokalen Standorten konfigurieren möchten, dürfen sich die Adressräume zwischen den Verbindungen nicht überschneiden.
- Wenn Sie eine Verbindung über ein Site-to-Site-VPN herstellen und noch kein lokales Netzwerkgateway für den Standort erstellt haben, mit der Sie eine Verbindung herstellen möchten, erstellen Sie ein weiteres lokales Netzwerkgateway und geben Sie die Standortdetails an. Weitere Informationen finden Sie unter Erstellen eines Gateways für das lokale Netzwerk.
- Um eine Verbindung hinzuzufügen, wechseln Sie zum VPN-Gateway, und wählen Sie dann Verbindungen aus, um die Seite Verbindungen zu öffnen.
- Wählen Sie + Hinzufügen aus, um Ihre Verbindung hinzuzufügen. Passen Sie den Verbindungstyp an, um VNet-to-VNet (falls Sie eine Verbindung mit einem anderen VNET-Gateway herstellen) oder Site-to-Site widerzuspiegeln.
- Geben Sie den gemeinsam verwendeten Schlüssel an, den Sie verwenden möchten, und klicken Sie dann auf OK, um die Verbindung zu erstellen.
Aktualisieren eines freigegebenen Verbindungsschlüssels
Sie können einen anderen gemeinsam genutzten Schlüssel für Ihre Verbindung angeben.
- Wechseln Sie im Portal zur Verbindung.
- Ändern Sie den freigegebenen Schlüssel auf der Seite Authentifizierung.
- Speichern Sie die Änderungen.
- Aktualisieren Sie Ihr VPN-Gerät bei Bedarf mit dem neuen gemeinsam verwendeten Schlüssel.
Ändern einer Gateway-SKU oder ihrer Größe
Sie können die Größe einer Gateway-SKU ändern oder die Gateway-SKU ändern. Es gibt bestimmte Regeln, welche Option verfügbar ist. Diese sind abhängig von der SKU, die Ihr Gateway derzeit verwendet. Weitere Informationen finden Sie unter Größenänderung oder Änderung von Gateway-SKUs.
Weitere Überlegungen zu Konfigurationen
Sie können Site-to-Site-Konfigurationen auf verschiedene Weise anpassen. Weitere Informationen finden Sie in den folgenden Artikeln:
- Informationen zu BGP finden Sie in der Übersicht über BGP und unter Konfigurieren von BGP.
- Weitere Informationen zur Tunnelerzwingung finden Sie unter Konfigurieren der Tunnelerzwingung mit dem Azure Resource Manager-Bereitstellungsmodell.
- Informationen zu hochverfügbaren Aktiv/Aktiv-Verbindungen finden Sie unter Standortübergreifende Verbindungen und VNET-to-VNET-Verbindungen mit hoher Verfügbarkeit.
- Informationen zum Beschränken von Netzwerkdatenverkehr auf Ressourcen in einem virtuellen Netzwerk finden Sie unter Netzwerksicherheit.
- Informationen dazu, wie Azure Datenverkehr zwischen Azure, lokalen Speicherorten und Internetressourcen weiterleitet, finden Sie unter Routing von Datenverkehr für virtuelle Netzwerke.
Bereinigen von Ressourcen
Wenn Sie diese Anwendung nicht weiter verwenden oder zum nächsten Tutorial wechseln möchten, löschen Sie diese Ressourcen.
- Geben Sie oben im Portal den Namen Ihrer Ressourcengruppe im Suchfeld Suche ein, und wählen Sie ihn in den Suchergebnissen aus.
- Wählen Sie die Option Ressourcengruppe löschen.
- Geben Sie unter GEBEN SIE DEN RESSOURCENGRUPPENNAMEN EIN Ihre Ressourcengruppe ein, und wählen Sie Löschen aus.
Nächste Schritte
Nachdem Sie eine Site-to-Site-Verbindung konfiguriert haben, können Sie demselben Gateway eine Point-to-Site-Verbindung hinzufügen.