VPN Gateway siteden siteye bağlantıları ekleme veya kaldırma

Bu makale, VPN ağ geçidi için siteden siteye (S2S) bağlantıları eklemenize veya kaldırmanıza yardımcı olur. S2S bağlantısı, noktadan siteye bağlantı veya sanal ağdan sanal ağa bağlantısı olan bir VPN ağ geçidine S2S bağlantıları da ekleyebilirsiniz. Bağlantı eklerken bazı sınırlamalar vardır. Yapılandırmanızı başlatmadan önce doğrulamak için bu makaledeki Önkoşullar bölümüne bakın.

ExpressRoute/siteden siteye birlikte var olan bağlantılar hakkında

• Mevcut bir ExpressRoute/siteden siteye birlikte var olan bağlantıya yeni bir VPN bağlantısı eklemek için bu makaledeki adımları kullanabilirsiniz.
• Yeni bir ExpressRoute/siteden siteye birlikte var olan bağlantı yapılandırmak için bu makaledeki adımları kullanamazsınız. Birlikte var olan yeni bir bağlantı oluşturmak için bkz. ExpressRoute/S2S birlikte var olan bağlantılar.

Önkoşullar

Aşağıdaki öğeleri doğrulayın:

• Birlikte var olan yeni bir ExpressRoute ve VPN Gateway siteden siteye bağlantı yapılandırmazsınız.
• Mevcut bir bağlantıyla Resource Manager dağıtım modeli kullanılarak oluşturulmuş bir sanal ağınız var.
• Sanal ağınızın sanal ağ geçidi RouteBased'dir. PolicyBased VPN ağ geçidiniz varsa sanal ağ geçidini silmeniz ve RouteBased olarak yeni bir VPN ağ geçidi oluşturmanız gerekir.
• Bu sanal ağın bağlandığını sanal ağların hiçbirinde adres aralıklarının hiçbiri çakışmaz.
• Uyumlu BIR VPN cihazınız ve bunu yapılandırabilen bir cihazınız var. Bkz. VPN Cihazları Hakkında. VPN cihazınızı yapılandırma konusuyla veya şirket içi ağ yapılandırmanızdaki IP adresi aralıklarıyla ilgili fazla bilginiz yoksa size bu ayrıntıları sağlayabilecek biriyle çalışmanız gerekir.
• VPN cihazınız için dışarıdan kullanıma yönelik bir genel IP adresiniz var.

Yerel ağ geçidi oluşturma

Yerel ağ geçidi, yönlendirme amacıyla şirket içi konumunuzu (site) temsil eden, Azure'a dağıtılan belirli bir nesnedir. Siteye Azure'ın başvurabileceği bir ad verir ve ardından bağlantı oluşturacağınız şirket içi VPN cihazının IP adresini belirtirsiniz. Ayrıca, VPN ağ geçidi üzerinden VPN cihazına yönlendirilecek IP adresi ön eklerini de belirtirsiniz. Belirttiğiniz adres ön ekleri, şirket içi adresinizde yer alan ön eklerdir. Şirket içi ağınız değişirse veya VPN cihazının genel IP adresini değiştirmeniz gerekirse değerleri daha sonra kolayca güncelleştirebilirsiniz.

Aşağıdaki örnek değerleri kullanarak yerel ağ geçidi oluşturun:

• Ad: Site1
• Kaynak Grubu: TestRG1
• Konum: Doğu ABD

Yapılandırmayla ilgili dikkat edilmesi gerekenler:

• VPN Gateway, her FQDN için yalnızca bir IPv4 adresini destekler. Etki alanı adı birden çok IP adresine çözümlanırsa, VPN Gateway DNS sunucuları tarafından döndürülen ilk IP adresini kullanır. Belirsizliği ortadan kaldırmak için FQDN'nizin her zaman tek bir IPv4 adresine çözümlenmesini öneririz. IPv6 desteklenmez.
• VPN Gateway, 5 dakikada bir yenilenen bir DNS önbelleği tutar. Ağ geçidi, yalnızca bağlantısı kesilmiş tüneller için FQDN'leri çözümlemeye çalışır. Ağ geçidinin sıfırlanması FQDN çözünürlüğünü de tetikler.
• VPN Gateway, farklı FQDN'lere sahip farklı yerel ağ geçitlerine birden çok bağlantıyı desteklese de, tüm FQDN'lerin farklı IP adreslerine çözümlenmesi gerekir.

1. Portalda Yerel ağ geçitleri'ne gidin ve Yerel ağ geçidi oluştur sayfasını açın.

2. Temel Bilgiler sekmesinde yerel ağ geçidinizin değerlerini belirtin.

   

   • Abonelik: Doğru aboneliğin gösterildiğinden emin olun.
   • Kaynak grubu: Kullanmak istediğiniz kaynak grubunu seçin. Yeni bir kaynak grubu oluşturabilir veya önceden oluşturduğunuz bir kaynak grubunu seçebilirsiniz.
   • Bölge: Bu nesne için bölgeyi seçin. Sanal ağınızın bulunduğu konumu seçmek isteyebilirsiniz, ancak bunu yapmanız gerekmez.
   • Ad: Yerel ağ geçidi nesneniz için bir ad belirtin.
   • Uç nokta: Şirket içi VPN cihazının uç nokta türünü IP adresi veya FQDN (Tam Etki Alanı Adı) olarak seçin.
     • IP adresi: VPN cihazınız için İnternet servis sağlayıcınızdan (ISS) ayrılmış statik bir genel IP adresiniz varsa, IP adresi seçeneğini belirleyin. IP adresini örnekte gösterildiği gibi doldurun. Bu adres, Azure VPN Gateway'in bağlanmasını istediğiniz VPN cihazının genel IP adresidir. ŞU anda IP adresiniz yoksa örnekte gösterilen değerleri kullanabilirsiniz. Daha sonra geri dönüp yer tutucu IP adresinizi VPN cihazınızın genel IP adresiyle değiştirmeniz gerekir. Aksi takdirde Azure bağlanamaz.
     • FQDN: Genellikle ISS'niz tarafından belirlenen belirli bir süre sonra değişebilen dinamik bir genel IP adresiniz varsa, VPN cihazınızın geçerli genel IP adresine işaret etmek için Dinamik DNS hizmetiyle sabit bir DNS adı kullanabilirsiniz. Azure VPN ağ geçidiniz, bağlanacak genel IP adresini belirlemek için FQDN'yi çözümler.
   • Adres alanı: Adres alanı, bu yerel ağın temsil ettiği ağın adres aralıklarına başvurur. Birden fazla adres alanı aralığı ekleyebilirsiniz. Burada belirttiğiniz aralıkların, bağlanmak istediğiniz diğer ağların aralıklarıyla çakışmadığından emin olun. Azure, belirttiğiniz adres aralığını şirket içi VPN cihazı IP adresine yönlendirir. Şirket içi sitenize bağlanmak istiyorsanız, burada, örnekte gösterilen değerleri değil, kendi değerlerinizi kullanın.

3. Gelişmiş sekmesinde, gerekirse BGP ayarlarını yapılandırabilirsiniz.

4. Değerleri belirttikten sonra, sayfayı doğrulamak için sayfanın alt kısmındaki Gözden geçir + oluştur'u seçin.

5. Yerel ağ geçidi oluşturmak için Oluştur’u seçin.

VPN cihazınızı yapılandırma

Şirket içi ağa siteden siteye bağlantılar bir VPN cihazı gerektirir. Bu adımda VPN cihazınızı yapılandıracaksınız. VPN cihazınızı yapılandırırken aşağıdaki değerlere ihtiyacınız vardır:

• Paylaşılan bir anahtar. Bu, siteden siteye VPN bağlantınızı oluştururken belirttiğiniz paylaşılan anahtarla aynıdır. Bu örneklerde temel bir paylaşılan anahtar kullanılır. Kullanmak için daha karmaşık bir anahtar oluşturmanız önerilir.
• Sanal ağ geçidinizin genel IP adresi. Azure Portal, PowerShell veya CLI kullanarak genel IP adresini görüntüleyebilirsiniz. Azure portalını kullanarak VPN ağ geçidinizin genel IP adresini bulmak için Sanal ağ geçitleri'ne gidin ve ağ geçidinizin adını seçin.

Sahip olduğunuz VPN cihazına bağlı olarak bir VPN cihazı yapılandırma betiği indirebilirsiniz. Daha fazla bilgi için bkz. VPN cihazı yapılandırma betiklerini indirme.

Daha fazla yapılandırma bilgisi için aşağıdaki bağlantılara bakın:

• Uyumlu VPN cihazları hakkında bilgi için bkz . VPN cihazları.
• VPN cihazınızı yapılandırmadan önce, kullanmak istediğiniz VPN cihazı için bilinen cihaz uyumluluğu sorunlarını denetleyin.
• Cihaz yapılandırma ayarlarına bağlantılar için bkz . Doğrulanmış VPN cihazları. Mümkün olan en iyi cihaz yapılandırma bağlantıları verilmiştir. En son yapılandırma bilgileri için her zaman cihaz üreticinize başvurmanız en iyi yöntemdir. Listede test ettiğimiz sürümler gösterilir. İşletim sisteminiz bu listede değilse, sürümün uyumlu olması mümkündür. VPN cihazınızın işletim sistemi sürümünün uyumlu olduğunu doğrulamak için cihaz üreticinize başvurun.
• VPN cihazı yapılandırmasına genel bakış için bkz . Üçüncü taraf VPN cihazı yapılandırmalarına genel bakış.
• Cihaz yapılandırma örneklerini düzenleme hakkında daha fazla bilgi için bkz. Örnekleri düzenleme.
• Şifrelemeyle ilgili gereksinimler için bkz. Şifrelemeyle ilgili gereksinimler ve Azure VPN ağ geçitleri hakkında.
• IPsec/IKE parametreleri hakkında bilgi için bkz . Siteler arası VPN ağ geçidi bağlantıları için VPN cihazları ve IPsec/IKE parametreleri hakkında. Bu bağlantı IKE sürümü, Diffie-Hellman Grubu, kimlik doğrulama yöntemi, şifreleme ve karma algoritmaları, SA ömrü, PFS ve DPD ile yapılandırmanızı tamamlamak için ihtiyacınız olan diğer parametre bilgileri hakkındaki bilgileri gösterir.
• IPsec/IKE ilkesi yapılandırma adımları için bkz . Siteden siteye VPN veya Sanal Ağdan Sanal Ağa bağlantılar için IPsec/IKE ilkesini yapılandırma.
• Birden fazla ilke tabanlı VPN cihazı bağlamak için bkz. PowerShell kullanarak Azure VPN ağ geçitlerini şirket içi ilke tabanlı birden fazla VPN cihazına bağlama.

Bağlantı yapılandırma

Sanal ağ geçidinizle şirket içi VPN cihazınız arasında siteden siteye VPN bağlantısı oluşturun. Bu bölümde aşağıdaki örnek değerleri kullanacağız:

• Yerel ağ geçidi adı: Site1
• Bağlantı adı: VNet1toSite1
• Ortak anahtar: Bu örnekte abc123 kullanılır. Ancak, VPN donanımınızla uyumlu herhangi bir seçeneği kullanabilirsiniz. Önemli olan, değerin bağlantının her iki tarafında eşleşmesidir.

1. Portalda sanal ağ geçidine gidin ve açın.

2. Ağ geçidi sayfasında Bağlantılar’ı seçin.

3. Bağlantılar sayfasının üst kısmında + Ekle'yi seçerek Bağlantı oluştur sayfasını açın.

   

4. Bağlantı oluştur sayfasındaki Temel bilgiler sekmesinde bağlantınızın değerlerini yapılandırın:

   • Proje ayrıntıları'nın altında aboneliği ve kaynaklarınızın bulunduğu kaynak grubunu seçin.

   • Örnek ayrıntıları altında aşağıdaki ayarları yapılandırın:

     • Bağlantı türü: Siteden siteye (IPSec) öğesini seçin.
     • Ad: Bağlantınızı adlandırın.
     • Bölge: Bu bağlantı için bölgeyi seçin.

5. Ayarlar sekmesini seçin ve aşağıdaki değerleri yapılandırın:

   

   • Sanal ağ geçidi: Açılan listeden sanal ağ geçidini seçin.
   • Yerel ağ geçidi: Açılan listeden yerel ağ geçidini seçin.
   • Paylaşılan anahtar: Buradaki değer, yerel şirket içi VPN cihazınız için kullandığınız değerle eşleşmelidir. Bu alan portal sayfanızda görünmüyorsa veya bu anahtarı daha sonra güncelleştirmek istiyorsanız, bağlantı nesnesi oluşturulduktan sonra bunu yapabilirsiniz. Oluşturduğunuz bağlantı nesnesine (örnek ad: VNet1toSite1) gidin ve Kimlik Doğrulaması sayfasında anahtarı güncelleştirin.
   • IKE Protokolü: IKEv2'yi seçin.
   • Azure Özel IP Adresi'ni kullanma: Seçmeyin.
   • BGP'yi etkinleştir: Seçmeyin.
   • FastPath: Seçmeyin.
   • IPsec/IKE ilkesi: Varsayılan'ı seçin.
   • İlke tabanlı trafik seçiciyi kullan: Devre dışı bırak'ı seçin.
   • Saniyeler içinde DPD zaman aşımı: 45'i seçin.
   • Bağlantı Modu: Varsayılan'ı seçin. Bu ayar, bağlantıyı başlatabilecek ağ geçidini belirtmek için kullanılır. Daha fazla bilgi için bkz . VPN Gateway ayarları - Bağlantı modları.

6. NAT Kuralları İlişkilendirmeleri için hem Giriş hem de Çıkış değerlerini 0 olarak bırakın.

7. Bağlantı ayarlarınızı doğrulamak için Gözden geçir + oluştur'u seçin.

8. Bağlantıyı oluşturmak için Oluştur'u seçin.

9. Dağıtım tamamlandıktan sonra, bağlantıyı sanal ağ geçidinin Bağlantılar sayfasında görüntüleyebilirsiniz. Durum Bilinmiyor olan Bağlanıyor ve ardından Başarılı olarak değişir.

VPN bağlantısını görüntüleme ve doğrulama

Azure portalında, bağlantıya giderek vpn ağ geçidinin bağlantı durumunu görüntüleyebilirsiniz. Aşağıdaki adımlarda bağlantınıza gidip doğrulamanın bir yolu gösterilmektedir.

1. Azure portalı menüsünde Tüm kaynaklar'ı seçin veya herhangi bir sayfadan Tüm kaynaklar'ı arayın ve seçin.
2. Sanal ağ geçidinizi seçin.
3. Sanal ağ geçidinizin bölmesinde Bağlantılar'ı seçin. Her bağlantının durumunu görebilirsiniz.
4. Temel Parçalar'ı açmak için doğrulamak istediğiniz bağlantının adını seçin. Temel Parçalar bölmesinde bağlantınız hakkında daha fazla bilgi görüntüleyebilirsiniz. Başarılı bir bağlantı kurduktan sonra durum Başarılı ve Bağlandı şeklindedir.

Bağlantı kaldırma

1. Portalda VPN ağ geçidi Bağlantıları sayfanıza gidin.
2. Kaldırmak istediğiniz bağlantıya tıklayın. Bu işlem bağlantının sayfasını açar.
3. Bağlantıyı kaldırmak için Sil'e tıklayın.

Sonraki adımlar

Siteden siteye VPN ağ geçidi yapılandırmaları hakkında daha fazla bilgi için bkz . Öğretici: Siteden siteye VPN ağ geçidi yapılandırmasını yapılandırma.