Sdílet prostřednictvím

VPN Gateway – nejčastější dotazy

  • Článek

Tento článek odpovídá na nejčastější dotazy týkající se připojení azure VPN Gateway mezi místními připojeními, hybridními připojeními konfigurace a branami virtuální sítě. Obsahuje komplexní informace o nastavení konfigurace point-to-site (P2S), site-to-site (S2S) a nastavení konfigurace typu VNet-to-VNet, včetně protokolů IPsec (Internet Protocol Security) a Protokolu IKE (Internet Key Exchange).

Připojování k virtuálním sítím

Je možné propojit virtuální sítě v různých oblastech Azure?

Ano. Neexistuje žádné omezení oblasti. Jedna virtuální síť se může připojit k jiné virtuální síti ve stejné oblasti Azure nebo v jiné oblasti.

Je možné propojovat virtuální sítě v rámci různých předplatných?

Ano.

Můžu při konfiguraci brány VPN zadat privátní servery DNS ve virtuální síti?

Pokud při vytváření virtuální sítě zadáte server DNS (Domain Name System) nebo servery, brána virtuální privátní sítě (VPN) tyto servery DNS používá. Ověřte, že zadané servery DNS můžou překládat názvy domén potřebných pro Azure.

Je možné připojovat se k více serverům z jedné virtuální sítě?

K více serverům se lze připojovat prostřednictvím prostředí Windows PowerShell a rozhraní API REST Azure. Přečtěte si část Nejčastější dotazy k připojení typu Multi-Site a VNet-to-VNet.

Existují další náklady na nastavení brány VPN jako aktivní?

Ne. Náklady na další veřejné IP adresy se ale účtují odpovídajícím způsobem. Podívejte se na ceny IP adres.

Jaké jsou možnosti připojení mezi různými místy?

Azure VPN Gateway podporuje následující připojení mezi místními bránami:

  • Site-to-site: Připojení VPN přes protokol IPsec (IKEv1 a IKEv2). Tento typ připojení vyžaduje zařízení VPN nebo směrování systému Windows Server a vzdálený přístup. Další informace najdete v tématu Vytvoření připojení VPN typu site-to-site na webu Azure Portal.
  • Point-to-Site: Připojení VPN přes protokol SSTP (Secure Socket Tunneling Protocol) nebo IKEv2. Toto připojení nevyžaduje zařízení VPN. Další informace najdete v tématu Konfigurace nastavení serveru pro ověřování certifikátů vpn gateway typu point-to-site.
  • VNet-to-VNet: Tento typ připojení je stejný jako konfigurace typu site-to-site. VNet-to-VNet je připojení VPN přes protokol IPsec (IKEv1 a IKEv2). Nevyžaduje zařízení VPN. Další informace najdete v tématu Konfigurace připojení brány VPN typu VNet-to-VNet.
  • Azure ExpressRoute: ExpressRoute je privátní připojení k Azure z vaší sítě WAN (Wide Area Network), nikoli připojení VPN přes veřejný internet. Další informace najdete v technickém přehledu ExpressRoute a nejčastějších dotazech k ExpressRoute.

Další informace o připojeních brány VPN najdete v tématu Co je Azure VPN Gateway?.

Jaký je rozdíl mezi připojeními typu site-to-site a point-to-site?

  • Konfigurace tunelu VPN typu Site-to-Site (IPsec/IKE) jsou mezi vaším místním umístěním a Azure. V závislosti na tom, jak se rozhodnete nakonfigurovat směrování a oprávnění, se můžete připojit z libovolného počítače umístěného v místním prostředí k libovolnému virtuálnímu počítači nebo instanci role ve vaší virtuální síti. Je to skvělá možnost pro vždy dostupné připojení mezi místy a je vhodná pro hybridní konfigurace.

    Tento typ připojení závisí na zařízení VPN IPsec (hardwarové nebo softwarové zařízení). Zařízení musí být nasazené na okraji vaší sítě. Pokud chcete vytvořit tento typ připojení, musíte mít externě přístupnou adresu IPv4.

  • Konfigurace point-to-site (VPN přes SSTP) umožňují připojení z jednoho počítače odkudkoli ke všemu, co se nachází ve vaší virtuální síti. Používá integrovaného klienta VPN systému Windows.

    V rámci konfigurace point-to-site nainstalujete certifikát a balíček konfigurace klienta VPN. Balíček obsahuje nastavení, která vašemu počítači umožňují připojit se k libovolnému virtuálnímu počítači nebo instanci role v rámci virtuální sítě.

    Tato konfigurace je užitečná, když se chcete připojit k virtuální síti, ale není umístěná místně. Je také dobrou volbou, když nemáte přístup k hardwaru VPN nebo externě přístupné adrese IPv4, z nichž obě jsou potřeba pro připojení typu site-to-site.

Virtuální síť můžete nakonfigurovat tak, aby současně používala připojení typu site-to-site i point-to-site, pokud pro bránu vytvoříte připojení typu site-to-site. Typy SÍTĚ VPN založené na směrování se v modelu nasazení Classic nazývají dynamické brány .

Přeruší chybná konfigurace vlastního DNS normální provoz brány VPN?

Pro normální fungování musí brána VPN vytvořit zabezpečené připojení k řídicí rovině Azure, které se usnadňuje prostřednictvím veřejných IP adres. Toto připojení závisí na překladu komunikačních koncových bodů prostřednictvím veřejných adres URL. Virtuální sítě Azure ve výchozím nastavení používají k překladu těchto veřejných adres URL integrovanou službu Azure DNS (168.63.129.16). Toto výchozí chování pomáhá zajistit bezproblémovou komunikaci mezi bránou VPN a řídicí rovinou Azure.

Při implementaci vlastního DNS ve virtuální síti je důležité nakonfigurovat předávací nástroj DNS, který odkazuje na Azure DNS (168.63.129.16). Tato konfigurace pomáhá udržovat nepřerušenou komunikaci mezi bránou VPN a řídicí rovinou. Selháním nastavení služby předávání DNS do Azure DNS může Microsoftu zabránit v provádění operací a údržby brány VPN, což představuje bezpečnostní riziko.

Pokud chcete zajistit správnou funkčnost a stav v pořádku pro bránu VPN, zvažte jednu z následujících konfigurací DNS ve virtuální síti:

  • Vraťte se do výchozího nastavení Azure DNS odebráním vlastního DNS v nastavení virtuální sítě (doporučenou konfigurací).
  • Přidejte do vlastní konfigurace DNS službu předávání DNS, která odkazuje na Azure DNS (168.63.129.16). V závislosti na konkrétních pravidlech a povaze vašeho vlastního DNS se nemusí tento problém vyřešit podle očekávání.

Můžou dva klienti VPN připojení v point-to-site ke stejné bráně VPN komunikovat?

Ne. Klienti VPN připojení v point-to-site ke stejné bráně VPN mezi sebou nemůžou komunikovat.

Pokud jsou dva klienti VPN připojení ke stejné bráně VPN typu point-to-site, může brána automaticky směrovat provoz mezi nimi určením IP adresy, kterou má každý klient přiřazený z fondu adres. Pokud jsou ale klienti VPN připojení k různým branám VPN, směrování mezi klienty VPN není možné, protože každá brána VPN neví o IP adrese, kterou druhá brána přiřadil klientovi.

Mohlo by potenciální ohrožení zabezpečení známé jako "tunelové zpracování obrazu" ovlivnit připojení VPN typu point-to-site?

Společnost Microsoft si uvědomuje sestavy o síťové technice, která obchází zapouzdření sítě VPN. Jedná se o oborový problém. Ovlivňuje jakýkoli operační systém, který implementuje klienta DHCP (Dynamic Host Configuration Protocol) podle specifikace RFC a má podporu pro trasy DHCP 121, včetně Windows.

Jak výzkum uvádí, omezení rizik zahrnují spuštění sítě VPN uvnitř virtuálního počítače, který získá zapůjčení z virtualizovaného serveru DHCP, aby se zabránilo úplné instalaci tras serveru DHCP místní sítě. Další informace o této chybě zabezpečení najdete v databázi ohrožení zabezpečení NIST.

Ochrana osobních údajů

Ukládá služba VPN nebo zpracovává zákaznická data?

Ne.

Brány virtuálních sítí

Je brána sítě VPN bránou virtuální sítě?

Brána VPN je typem brány virtuální sítě. Brána sítě VPN odesílá šifrovaný provoz mezi virtuální sítí a místním umístěním přes veřejné připojení. Bránu sítě VPN můžete použít také k odesílání provozu mezi virtuálními sítěmi. Při vytváření brány VPN použijete -GatewayType hodnotu Vpn. Další informace najdete v tématu Informace o nastavení konfigurace služby VPN Gateway.

Proč nemůžu zadat typy VPN založené na zásadách a směrování?

Od 1. října 2023 nemůžete vytvořit bránu VPN založenou na zásadách prostřednictvím webu Azure Portal. Všechny nové brány VPN se automaticky vytvoří jako založené na směrování. Pokud už máte bránu založenou na zásadách, nemusíte bránu upgradovat na směrování. K vytvoření bran založených na zásadách můžete použít Azure PowerShell nebo Azure CLI.

Dříve starší úrovně produktů brány (SKU) nepodporují IKEv1 pro brány založené na směrování. Většina aktuálních skladových položek brány teď podporuje IKEv1 i IKEv2.

Typ sítě VPN brány Skladová položka brány Podporované verze IKE
Brána založená na zásadách Basic IKEv1
Brána založená na směrování Basic IKEv2
Brána založená na směrování VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 a IKEv2
Brána založená na směrování VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 a IKEv2

Můžu aktualizovat bránu VPN založenou na zásadách na směrování?

Ne. Typ brány nelze změnit ze zásad na směrování nebo ze směrování na základě zásad na základě zásad. Pokud chcete změnit typ brány, musíte bránu odstranit a znovu vytvořit pomocí následujícího postupu. Tento proces trvá asi 60 minut. Když vytvoříte novou bránu, nemůžete zachovat IP adresu původní brány.

  1. Odstraňte všechna připojení přidružená k bráně.

  2. Odstraňte bránu pomocí jednoho z následujících článků:

  3. Vytvořte novou bránu pomocí požadovaného typu brány a dokončete nastavení sítě VPN. Postup najdete v kurzu typu site-to-site.

Můžu určit vlastní selektory provozu založené na zásadách?

Ano, selektory provozu můžete definovat pomocí atributu trafficSelectorPolicies v připojení pomocí příkazu New-AzIpsecTrafficSelectorPolicy Azure PowerShellu. Aby se zadaný selektor provozu projevil, nezapomeňte povolit selektory provozu založené na zásadách.

Selektory provozu nakonfigurované vlastními konfiguracemi se navrhují jenom v případech, kdy brána VPN zahájí připojení. Brána VPN přijímá všechny selektory provozu navržené vzdálenou bránou (místní zařízení VPN). Toto chování je konzistentní mezi všemi režimy připojení (Default, InitiatorOnlya ResponderOnly).

Potřebuji podsíť brány?

Ano. Podsíť brány obsahuje IP adresy, které používá služba brány virtuální sítě. Abyste mohli nakonfigurovat bránu virtuální sítě, musíte pro virtuální síť vytvořit podsíť brány.

Aby všechny podsítě brány fungovaly správně, musí být pojmenované GatewaySubnet . Nenastavujte pro podsíť brány jiný název. A v podsíti brány nenasazujte virtuální počítače ani žádná jiná zařízení.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány jsou přidělené službě brány.

Některé konfigurace vyžadují přidělení více IP adres službám brány než jiné. Ujistěte se, že vaše podsíť brány obsahuje dostatek IP adres pro budoucí růst a možné nové konfigurace připojení.

I když můžete vytvořit podsíť brány tak malou jako /29, doporučujeme vytvořit podsíť brány /27 nebo větší (/27, /26, /25 atd.). Ověřte, že vaše existující podsíť brány splňuje požadavky na konfiguraci, kterou chcete vytvořit.

Můžu do podsítě brány nasadit virtuální počítače nebo instance rolí?

Ne.

Je možné získat IP adresu brány VPN předtím, než se vytvoří?

Prostředky veřejné IP adresy skladové položky Azure Standard musí používat metodu statického přidělování. Jakmile vytvoříte prostředek veřejné IP adresy skladové položky Standard, kterou pro ni chcete použít, budete mít veřejnou IP adresu pro bránu VPN.

Můžu si vyžádat statickou veřejnou IP adresu pro bránu VPN?

Prostředky veřejných IP adres standardní skladové položky používají metodu statického přidělování. V budoucnu musíte při vytváření nové brány VPN použít veřejnou IP adresu skladové položky Standard. Tento požadavek platí pro všechny skladové položky brány s výjimkou skladové položky Basic. Skladová položka Basic v současné době podporuje pouze veřejné IP adresy skladové položky Basic. Pracujeme na přidání podpory pro veřejné IP adresy skladové položky Standard pro skladovou položku Basic.

U zónově redundantních a neonálních bran, které byly vytvořeny dříve (skladové položky brány, které nemají v názvu az ), se podporuje přiřazení dynamických IP adres, ale postupně se ukončuje. Když použijete dynamickou IP adresu, IP adresa se po přiřazení k bráně VPN nezmění. Jediná doba, kdy se IP adresa brány VPN změní, je, když se brána odstraní a pak se znovu vytvoří. Veřejná IP adresa se nezmění, když změníte velikost, resetujete nebo dokončíte další interní údržbu a upgrady brány VPN.

Jaký vliv má vyřazení veřejných IP adres skladové položky Basic na brány VPN?

Podnikáme akci, abychom zajistili pokračování provozu nasazených bran VPN, které používají veřejné IP adresy skladové položky Basic, až do vyřazení základní IP adresy v září 2025. Před tímto vyřazeným z provozu poskytneme zákazníkům cestu migrace z úrovně Basic na standardní IP adresu.

Veřejné IP adresy skladové položky Basic se ale postupně ukončují. V budoucnu musíte při vytváření brány VPN použít veřejnou IP adresu skladové položky Standard. Podrobnosti o vyřazení veřejných IP adres skladové položky Basic najdete v oznámení o aktualizacích Azure.

Jak se ověřuje tunel VPN?

Azure VPN Gateway používá ověřování předsdílený klíč (PSK). Při vytváření tunelu VPN vygenerujeme PSK. Automaticky vygenerovaný klíč PSK můžete změnit na vlastní pomocí rozhraní REST API pro nastavení předsdílených klíčů nebo rutiny PowerShellu.

Můžu pomocí rozhraní REST API nastavit předsdílený klíč ke konfiguraci sítě VPN brány založené na zásadách (statické směrování)?

Ano. Pomocí rozhraní REST API pro nastavení předsdílených klíčů a rutiny PowerShellu můžete nakonfigurovat sítě VPN založené na zásadách Azure i sítě VPN založené na směrování (dynamické).

Je možné použít jiné možnosti ověřování?

Pro ověřování jste omezeni používáním předsdílených klíčů.

Jak určit provoz, který má procházet bránou VPN?

Pro model nasazení Azure Resource Manager:

  • Azure PowerShell: Slouží AddressPrefix k určení provozu pro bránu místní sítě.
  • Azure Portal: Přejděte do adresního prostoru konfigurace>brány>místní sítě.

Model nasazení Classic:

  • Azure Portal: Přejděte do klasické virtuální sítě a pak přejděte na připojení VPN typu>Site-to-Site k připojení>k místní lokalitě s názvem>místního adresního prostoru klienta lokality.>

Můžu pro připojení VPN použít překlad adres (NAT-T)?

Ano, podporuje se procházení překladu síťových adres (NAT-T). Azure VPN Gateway neprovádí žádné funkce podobné překladu adres (NAT) u vnitřních paketů do tunelů IPsec ani z tunelů IPsec. V této konfiguraci se ujistěte, že místní zařízení inicializuje tunel IPSec.

Je možné nastavit v Azure vlastní server VPN a používat ho pro připojování k místní síti?

Ano. Vlastní brány VPN nebo servery v Azure můžete nasadit z Azure Marketplace nebo vytvořením vlastních směrovačů VPN. Abyste zajistili správné směrování mezi místními sítěmi a podsítěmi virtuální sítě, musíte ve virtuální síti nakonfigurovat trasy definované uživatelem.

Proč jsou v bráně virtuální sítě otevřené určité porty?

Vyžadují se pro komunikaci infrastruktury Azure. Certifikáty Azure pomáhají je chránit tím, že je uzamknou. Bez správných certifikátů nemůžou externí entity, včetně zákazníků těchto bran, způsobit žádný vliv na tyto koncové body.

Brána virtuální sítě je v podstatě multihomed zařízení. Jeden síťový adaptér se klepne do privátní sítě zákazníka a jeden síťový adaptér čelí veřejné síti. Entity infrastruktury Azure nemůžou z důvodů dodržování předpisů využívat privátní sítě zákazníka, takže potřebují pro komunikaci infrastruktury používat veřejné koncové body. Audit zabezpečení Azure pravidelně kontroluje veřejné koncové body.

Můžu vytvořit bránu VPN pomocí skladové položky Basic na portálu?

Ne. Skladová položka Basic není na portálu dostupná. Bránu VPN úrovně Basic můžete vytvořit pomocí Azure CLI nebo kroků Azure PowerShellu.

Kde najdu informace o typech bran, požadavcích a propustnosti?

Podívejte se na následující články:

Vyřazení starších skladových položek

Skladové položky Standard a High Performance budou zastaralé 30. září 2025. Oznámení můžete zobrazit na webu Azure Updates. Produktový tým zpřístupní cestu migrace pro tyto skladové položky do 30. listopadu 2024. Další informace najdete v článku se staršími skladovými položkami služby VPN Gateway.

V tuto chvíli není potřeba provést žádnou akci.

Můžu po oznámení o vyřazení 30. listopadu 2023 vytvořit novou bránu, která používá skladovou položku úrovně Standard nebo High Performance?

Ne. Od 1. prosince 2023 nemůžete vytvářet brány, které používají skladové položky úrovně Standard nebo High Performance. Můžete vytvořit brány, které používají skladové položky VpnGw1 a VpnGw2 za stejnou cenu jako skladové položky úrovně Standard a High Performance, uvedené na stránce s cenami.

Jak dlouho budou stávající brány podporovány ve skladových posílacích Standard a High Performance?

Všechny existující brány, které používají skladovou položku Standard nebo High Performance, budou podporovány až do 30. září 2025.

Musím migrovat brány z skladové položky Standard nebo High Performance?

Ne, právě teď není nutná žádná akce. Brány můžete migrovat od prosince 2024. Pošleme komunikaci s podrobnou dokumentací o krocích migrace.

Na kterou skladovou položku můžu migrovat bránu?

Po zpřístupnění migrace skladových položek brány je možné skladové položky migrovat následujícím způsobem:

  • Standard až VpnGw1
  • Vysoký výkon pro VpnGw2

Co když chci migrovat na skladovou položku AZ?

Zastaralou skladovou položku nemůžete migrovat do skladové položky AZ. Všechny brány, které stále používají skladovou položku Standard nebo High Performance po 30. září 2025, se ale budou migrovat a automaticky upgradovat na skladové položky AZ následujícím způsobem:

  • Standard až VpnGw1AZ
  • Vysoký výkon pro VpnGw2AZ

Pomocí této strategie můžete nechat skladové položky automaticky migrovat a upgradovat na skladovou položku AZ. V případě potřeby můžete změnit velikost skladové položky v rámci této řady skladových položek. Informace o cenách skladové položky AZ najdete na stránce s cenami. Informace o propustnosti podle skladové položky najdete v tématu O skladových posílacích brány.

Budou po migraci nějaké cenové rozdíly u bran?

Pokud migrujete skladové položky do 30. září 2025, nedojde k žádnému cenovému rozdílu. Cenové úrovně VpnGw1 a VpnGw2 jsou nabízeny za stejnou cenu jako skladové položky úrovně Standard a High Performance.

Pokud do tohoto data nemigrujete, vaše skladové položky se automaticky migrují a upgradují na skladové položky AZ. V takovém případě je rozdíl v cenách.

Bude mít tato migrace nějaký dopad na výkon bran?

Ano. S vpnGw1 a VpnGw2 získáte lepší výkon. VpnGw1 s 650 Mb/s v současné době poskytuje vylepšení výkonu 6,5x za stejnou cenu jako skladová položka Standard. VpnGw2 s rychlostí 1 Gb/s poskytuje 5x zvýšení výkonu za stejnou cenu jako SKU s vysokým výkonem. Další informace o propustnosti skladové položky najdete v tématu Skladové položky brány.

Co se stane, když do 30. září 2025 nemigruji?

Všechny brány, které stále používají skladovou položku Standard nebo High Performance, se migrují automaticky a upgradují na následující skladové položky AZ:

  • Standard až VpnGw1AZ
  • Vysoký výkon pro VpnGw2AZ

Před zahájením migrace na všechny brány odešleme komunikaci.

Dochází také k vyřazení základní skladové položky služby VPN Gateway?

Ne, skladová položka služby VPN Gateway Basic se nevyřazuje z provozu. Bránu VPN můžete vytvořit pomocí skladové položky Basic prostřednictvím Azure PowerShellu nebo Azure CLI.

V současné době skladová položka služby VPN Gateway Basic podporuje pouze prostředek veřejné IP adresy úrovně Basic (který je na cestě k vyřazení). Pracujeme na přidání podpory prostředku veřejné IP adresy skladové položky Standard do skladové položky VPN Gateway Basic.

Připojení typu Site-to-Site a zařízení VPN

Co je třeba zvážit při výběru zařízení VPN?

Ověřili jsme sadu standardních zařízení VPN typu site-to-site ve spolupráci s dodavateli zařízení. Seznam známých kompatibilních zařízení VPN, jejich odpovídající pokyny ke konfiguraci nebo ukázky a specifikace zařízení najdete v článku Informace o zařízeních VPN.

Všechna zařízení v rodinách zařízení uvedená jako známá kompatibilní by měla fungovat s virtuálními sítěmi. Pokud chcete pomoct s konfigurací zařízení VPN, projděte si ukázku konfigurace zařízení nebo odkaz odpovídající příslušné rodině zařízení.

Kde najdu nastavení konfigurace zařízení VPN?

V závislosti na zařízení VPN, které máte, si možná budete moct stáhnout konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Další informace o konfiguraci najdete na následujících odkazech:

  • Informace o kompatibilních zařízeních VPN najdete v tématu o zařízeních VPN.

  • Před konfigurací zařízení VPN zkontrolujte případné známé problémy s kompatibilitou zařízení.

  • Odkazy na nastavení konfigurace zařízení najdete v tématu Ověřená zařízení VPN. Poskytujeme odkazy na konfiguraci zařízení na základě maximálního úsilí, ale vždy je nejlepší zkontrolovat u výrobce zařízení nejnovější informace o konfiguraci.

    V seznamu jsou uvedené verze, které jsme otestovali. Pokud verze operačního systému pro vaše zařízení VPN není v seznamu, může být stále kompatibilní. Obraťte se na výrobce zařízení.

  • Základní informace o konfiguraci zařízení VPN najdete v tématu Přehled konfigurací partnerských zařízení VPN.

  • Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.

  • Kryptografické požadavky najdete v tématu O kryptografických požadavcích a branách Azure VPN.

  • Informace oparametrch Mezi tyto informace patří verze protokolu IKE, skupina Diffie-Hellman (DH), metoda ověřování, šifrovací a hashovací algoritmy, životnost přidružení zabezpečení (SA), perfektní předávání tajemství (PFS) a detekce mrtvých partnerských uzlů (DPD).

  • Postup konfigurace zásad IPsec/IKE najdete v tématu Konfigurace vlastních zásad připojení IPsec/IKE pro S2S VPN a VNet-to-VNet.

  • Pokud chcete připojit více zařízení VPN založených na zásadách, přečtěte si téma Připojení brány VPN k několika místním zařízením VPN založeným na zásadách.

Jak upravím ukázky konfigurace zařízení VPN?

Viz Ukázky konfigurace úprav zařízení.

Kde najdu parametry protokolu IPsec a IKE?

Viz výchozí parametry protokolu IPsec/IKE.

Proč se tunelové připojení sítě VPN založené na zásadách při nečinnosti deaktivuje?

U bran VPN založených na zásadách (označovaných také jako statické směrování) se toto chování očekává. Když je provoz přes tunel nečinný déle než pět minut, tunel se odtrhne. Když se provoz spustí v obou směrech, tunel se okamžitě znovu vytvoří.

Je možné používat pro připojení k Azure softwarové sítě VPN?

Podporujeme servery směrování a vzdáleného přístupu systému Windows Server 2012 pro konfiguraci mezi lokalitami.

Jiná softwarová řešení VPN by měla s bránou fungovat, pokud vyhovují standardním implementacím protokolu IPsec. Pokud potřebujete pokyny ke konfiguraci a podpoře, obraťte se na dodavatele softwaru.

Můžu se připojit k bráně VPN přes point-to-site, když se nachází v lokalitě s aktivním připojením typu site-to-site?

Ano, ale veřejné IP adresy klienta typu point-to-site se musí lišit od veřejných IP adres, které zařízení VPN typu site-to-site používá, nebo jinak připojení typu point-to-site nebude fungovat. Připojení typu point-to-site s protokolem IKEv2 se nedají zahájit ze stejných veřejných IP adres, kde je nakonfigurované připojení VPN typu site-to-site na stejné bráně VPN.

Připojení typu point-to-site

Kolik koncových bodů klienta VPN můžu mít v konfiguraci typu point-to-site?

To závisí na skladové položce brány. Další informace o podporovaném počtu připojení najdete v tématu Skladové položky brány.

Jaké klientské operační systémy můžu používat s point-to-site?

Podporovány jsou následující operační systémy:

  • Windows Server 2008 R2 (pouze 64bitové verze)
  • Windows 8.1 (32bitové a 64bitové verze)
  • Windows Server 2012 (pouze 64bitové verze)
  • Windows Server 2012 R2 (pouze 64bitové verze)
  • Windows Server 2016 (pouze 64bitové verze)
  • Windows Server 2019 (jenom 64bitová verze)
  • Windows Server 2022 (jenom 64bitová verze)
  • Windows 10
  • Windows 11
  • macOS verze 10.11 nebo novější
  • Linux (strongSwan)
  • iOS

Můžu procházet proxy servery a brány firewall pomocí funkce point-to-site?

podpora Azure tři typy možností vpn typu point-to-site:

  • Secure Socket Tunneling Protocol (SSTP):: Proprietární řešení založené na protokolu SSL od Microsoftu, které může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol SSL 443.

  • OpenVPN: Řešení založené na protokolu SSL, které může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP, který používá protokol SSL 443.

  • IKEv2 VPN: Řešení IPsec VPN založené na standardech, které používá odchozí porty UDP 500 a 4500 spolu s IP protokolem 50. Brány firewall tyto porty neotevře vždy, takže existuje možnost, že síť VPN IKEv2 nemůže procházet proxy servery a brány firewall.

Pokud restartuji klientský počítač, který jsem nakonfiguroval pro point-to-site, vpn se automaticky znovu připojí?

Automatické opětovné připojení je funkce klienta, kterého používáte. Systém Windows podporuje automatické opětovné připojení prostřednictvím funkce klienta VPN AlwaysOn.

Podporuje point-to-site DDNS u klientů VPN?

Dynamické DNS (DDNS) se v současné době nepodporuje v sítích VPN typu point-to-site.

Může konfigurace typu site-to-site a point-to-site existovat společně pro stejnou virtuální síť?

Ano. Pro model nasazení Resource Manager musíte mít pro bránu typ sítě VPN založený na směrování. Pro model nasazení Classic je potřebná dynamická brána. Nepodporujeme point-to-site pro brány VPN statického směrování ani brány VPN založené na zásadách.

Můžu nakonfigurovat klienta typu point-to-site pro připojení k více branám virtuální sítě najednou?

V závislosti na používaném klientském softwaru VPN se možná budete moct připojit k více branám virtuální sítě. To je ale jenom v případě, že virtuální sítě, ke kterým se připojujete, nemají konfliktní adresní prostory mezi nimi nebo se sítí, ze které se klient připojuje. Přestože klient Azure VPN podporuje mnoho připojení VPN, můžete mít kdykoli pouze jedno připojení.

Můžu nakonfigurovat klienta typu point-to-site pro připojení k více virtuálním sítím najednou?

Ano. Připojení klientů typu point-to-site k bráně VPN nasazené ve virtuální síti, která je v partnerském vztahu s jinými virtuálními sítěmi, může mít přístup k ostatním partnerským virtuálním sítím, pokud splňují určitá konfigurační kritéria. Aby klient typu point-to-site měl přístup k partnerské virtuální síti, musí být partnerská virtuální síť (bez brány) nakonfigurovaná s atributem Použít vzdálené brány . Virtuální síť s bránou VPN musí být nakonfigurovaná s povolením průchodu bránou. Další informace naleznete v tématu O směrování VPN typu point-to-site.

Kolik propustnosti můžu očekávat prostřednictvím připojení typu site-to-site nebo typu point-to-site?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN. Latence a šířka pásma mezi vaším místním prostředím a internetem může také omezit propustnost.

U brány VPN s pouze připojeními VPN typu point-to-site IKEv2 závisí celková propustnost, kterou můžete očekávat, na skladové po straně brány. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.

Můžu pro point-to-site použít libovolného softwarového klienta VPN, který podporuje protokol SSTP nebo IKEv2?

Ne. Pro SSTP můžete použít pouze nativního klienta VPN ve Windows a nativního klienta VPN na Macu pro IKEv2. Klienta OpenVPN ale můžete použít na všech platformách k připojení přes protokol OpenVPN. Projděte si seznam podporovaných klientských operačních systémů.

Můžu změnit typ ověřování pro připojení typu point-to-site?

Ano. Na portálu přejděte do konfigurace point-to-site brány>VPN. Jako typ ověřování vyberte typ ověřování, který chcete použít.

Jakmile změníte typ ověřování, nemusí se aktuální klienti moct připojit, dokud nevygenerujete nový konfigurační profil klienta VPN, stáhnete ho a použijete ho pro každého klienta VPN.

Kdy potřebuji vygenerovat nový konfigurační balíček pro profil klienta VPN?

Když provedete změny nastavení konfigurace brány VPN typu P2S, například přidání typu tunelu nebo změna typu ověřování, musíte vygenerovat nový konfigurační balíček pro profil klienta VPN. Nový balíček obsahuje aktualizovaná nastavení, která klienti VPN potřebují pro připojení k bráně P2S. Po vygenerování balíčku aktualizujte klienty VPN pomocí nastavení v souborech.

Podporuje Azure IKEv2 VPN s Windows?

IKEv2 se podporuje ve Windows 10 a Windows Serveru 2016. Pokud ale chcete používat IKEv2 v určitých verzích operačního systému, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru místně. Verze operačního systému starší než Windows 10 se nepodporují a můžou používat jenom protokol SSTP nebo OpenVPN.

Poznámka:

Windows OS buildy novější než Windows 10 verze 1709 a Windows Server 2016 verze 1607 nevyžadují tyto kroky.

Příprava Windows 10 nebo Windows Serveru 2016 pro IKEv2:

  1. Nainstalujte aktualizaci na základě vaší verze operačního systému:

    Verze operačního systému Datum Číslo/odkaz
    Windows Server 2016
    Windows 10 verze 1607    		 17. ledna 2018 KB4057142
    Windows 10 verze 1703 17. ledna 2018 KB4057144
    Windows 10 verze 1709 22. března 2018 KB4089848

  2. Nastavte hodnotu klíče registru. Vytvořte nebo nastavte HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload REG_DWORD klíč v registru na 1hodnotu .

Jaký je limit selektoru provozu IKEv2 pro připojení typu point-to-site?

Windows 10 verze 2004 (vydaná září 2021) zvýšil limit selektoru provozu na 255. Starší verze Windows mají limit selektoru provozu 25.

Omezení selektoru provozu ve Windows určuje maximální počet adresních prostorů ve virtuální síti a maximální součet místních sítí, připojení typu VNet-to-VNet a partnerských virtuálních sítí připojených k bráně. Klienti typu point-to-site se systémem Windows se nemůžou připojit přes protokol IKEv2, pokud tento limit překročí.

Jaký je limit selektoru provozu OpenVPN pro připojení typu point-to-site?

Limit selektoru provozu pro OpenVPN je 1 000 tras.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?

Když nakonfigurujete SSTP i IKEv2 ve smíšeném prostředí, které se skládá ze zařízení s Windows a Mac, klient VPN systému Windows se nejprve pokusí tunel IKEv2. Pokud připojení IKEv2 není úspěšné, klient se vrátí zpět na SSTP. macOS se připojuje jenom přes IKEv2.

Pokud máte na bráně povolený protokol SSTP i IKEv2, fond adres typu point-to-site je staticky rozdělený mezi tyto dva protokoly, takže klienti, kteří používají různé protokoly, jsou IP adresy z obou poduspořádek. Maximální počet klientů SSTP je vždy 128, i když je rozsah adres větší než /24. Výsledkem je větší počet adres dostupných pro klienty IKEv2. U menších rozsahů je fond stejně halvovaný. Selektory provozu, které brána používá, nemusí zahrnovat blok CIDR (Classless Inter-Domain Routing) pro rozsah adres typu point-to-site, ale zahrnou blok CIDR pro tyto dva podrangy.

Které platformy podpora Azure pro P2S VPN?

podpora Azure s Windows, Mac a Linux for P2S VPN.

Už mám nasazenou bránu VPN. Můžu v něm povolit síť VPN protokolu RADIUS nebo IKEv2?

Ano. Pokud skladová položka brány, kterou používáte, podporuje protokol RADIUS nebo IKEv2, můžete tyto funkce povolit na branách, které jste už nasadili, pomocí Azure PowerShellu nebo webu Azure Portal. Skladová položka Basic nepodporuje protokol RADIUS ani IKEv2.

Proč se odpojím od klienta Azure VPN? Co můžu udělat, aby se snížila frekvence odpojení?

Může se zobrazit jedna z následujících zpráv:

  • V klientovi Azure VPN pro Windows ver. 3.4.0.0: "Platnost vašeho ověřování u Microsoft Entra vypršela. Abyste získali nový token, musíte v entra provést opětovné ověření. Časový limit ověřování může ladit správce."
  • V klientovi Azure VPN pro macOS ver. 2.7.101: Platnost vašeho ověřování u Microsoft Entra vypršela, takže k získání nového tokenu potřebujete znovu provést ověření. Zkuste se připojit znovu. Zásady ověřování a vypršení časového limitu konfiguruje správce v tenantovi Entra."

Připojení typu point-to-site se odpojí, protože platnost aktuálního obnovovacího tokenu v klientovi Azure VPN získaná z ID entra vypršela nebo se stala neplatnou. Tento token se obnovuje přibližně každou hodinu. Správci tenanta Entra můžou frekvenci přihlašování rozšířit přidáním zásad podmíněného přístupu. Obraťte se na správce tenanta Entra a rozšiřte interval vypršení platnosti obnovovacího tokenu.

Další informace najdete v tématu: Chyba klienta VPN: Platnost ověřování u microsoft Entra vypršela.

Jak odeberu konfiguraci připojení P2S?

Konfiguraci P2S můžete odebrat pomocí následujících příkazů Azure PowerShellu nebo Azure CLI:

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Připojení typu Point-to-Site s ověřováním certifikátů

Co mám dělat, když získám neshodu certifikátů pro připojení ověřování certifikátu typu point-to-site?

Zrušte zaškrtnutí políčka Ověřit identitu serveru ověřením certifikátu. Nebo přidejte plně kvalifikovaný název domény (FQDN) serveru spolu s certifikátem při ručním vytváření profilu. Můžete to provést spuštěním rasphone z příkazového řádku a výběrem profilu z rozevíracího seznamu.

Obecně nedoporučujeme obejít ověřování identity serveru. S ověřováním certifikátů Azure se ale stejný certifikát používá k ověření serveru v protokolu tunelování VPN (IKEv2 nebo SSTP) a protokolu EAP (Extensible Authentication Protocol). Vzhledem k tomu, že protokol tunelování VPN už ověřuje certifikát serveru a plně kvalifikovaný název domény, je redundantní je znovu ověřit v protokolu EAP.

Snímek obrazovky znázorňující vlastnosti ověřování typu point-to-site

Můžu použít vlastní interní kořenovou certifikační autoritu PKI k vygenerování certifikátů pro připojení typu point-to-site?

Ano. Dříve jste mohli používat pouze kořenové certifikáty podepsané svým držitelem. I nyní je možné nahrát 20 kořenových certifikátů.

Můžu používat certifikáty ze služby Azure Key Vault?

Ne.

Jaké nástroje se dají použít k vytvoření certifikátů?

Můžete použít řešení infrastruktury veřejných klíčů (PKI) organizace (interní infrastruktura veřejných klíčů), Azure PowerShell, MakeCert a OpenSSL.

Existují nějaké pokyny pro parametry a nastavení certifikátů?

Formáty souborů .cer a .pfx najdete tady:

Formát souboru .pem najdete tady:

Připojení typu Point-to-Site s ověřováním radius

Podporuje se ověřování pomocí protokolu RADIUS ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?

Ověřování protokolu RADIUS se podporuje pro všechny skladové položky s výjimkou skladové položky Basic.

U starších skladových položek se ověřování RADIUS podporuje u skladových položek úrovně Standard a High Performance.

Podporuje se ověřování pomocí protokolu RADIUS u klasického modelu nasazení?

Ne.

Jaká je doba časového limitu pro požadavky PROTOKOLU RADIUS odesílané na server RADIUS?

Požadavky RADIUS jsou nastavené na vypršení časového limitu po 30 sekundách. Uživatelem definované hodnoty časového limitu se v současné době nepodporují.

Podporují se servery RADIUS třetích stran?

Ano.

Jaké jsou požadavky na připojení, aby se brána Azure dostala k místnímu serveru RADIUS?

Potřebujete připojení VPN typu site-to-site k místní lokalitě s nakonfigurovanými správnými trasami.

Je možné provoz na místní server RADIUS (z brány VPN) směrovat přes připojení ExpressRoute?

Ne. Dá se směrovat jenom přes připojení typu site-to-site.

Došlo ke změně počtu podporovaných připojení SSTP s ověřováním RADIUS? Jaký je maximální počet podporovaných připojení SSTP a IKEv2?

Maximální počet podporovaných připojení SSTP v bráně s ověřováním RADIUS se nijak nemění. Pro SSTP zůstává 128, ale závisí na skladové po straně brány pro IKEv2. Další informace o počtu podporovaných připojení najdete v tématu O skladových počtech bran.

Jaký je rozdíl mezi ověřováním certifikátů prostřednictvím serveru RADIUS a ověřováním nativních certifikátů Azure při nahrávání důvěryhodného certifikátu?

V ověřování certifikátu RADIUS se požadavek na ověření předá serveru RADIUS, který zpracovává ověření certifikátu. Tato možnost je užitečná, pokud chcete využít integraci s infrastrukturou ověřování certifikátů, kterou již prostřednictvím protokolu RADIUS máte.

Pokud k ověřování certifikátů používáte Azure, brána VPN provede ověření certifikátu. Do brány musíte nahrát veřejný klíč certifikátu. Můžete také zadat seznam odvolaných certifikátů, které by neměly být povoleny pro připojení.

Podporuje ověřování RADIUS integraci serveru Network Policy Server pro vícefaktorové ověřování?

Pokud je vícefaktorové ověřování textové (například SMS nebo ověřovací kód mobilní aplikace) a vyžaduje, aby uživatel zadal kód nebo text v uživatelském rozhraní klienta VPN, ověřování nebude úspěšné a není podporovaný scénář. Vícefaktorové ověřování najdete v tématu Integrace ověřování RADIUS brány Azure VPN se serverem NPS.

Funguje ověřování RADIUS s IKEv2 i SSTP VPN?

Ano, ověřování RADIUS je podporováno pro vpn IKEv2 i SSTP.

Funguje ověřování RADIUS s klientem OpenVPN?

Ověřování radius je podporováno pro protokol OpenVPN.

Připojení typu VNet-to-VNet a více lokalit

Informace o VNet-to-VNet v této části platí pro připojení brány VPN. Informace o partnerském vztahu virtuálních sítí najdete v tématu Partnerské vztahy virtuálních sítí.

Účtuje se v Azure provoz mezi virtuálními sítěmi?

Provoz typu VNet-to-VNet v rámci stejné oblasti je bezplatný pro oba směry při použití připojení brány VPN. Odchozí provoz mezi oblastmi VNet-to-VNet se účtuje podle odchozích přenosů dat mezi virtuálními sítěmi na základě zdrojových oblastí. Další informace najdete v tématu o cenách služby Azure VPN Gateway. Pokud připojujete virtuální sítě pomocí partnerského vztahu virtuálních sítí místo brány VPN, přečtěte si informace o cenách služby Azure Virtual Network.

Cestuje provoz typu VNet-to-VNet přes internet?

Ne. Provoz typu VNet-to-VNet prochází přes páteřní síť Microsoft Azure, ne přes internet.

Můžu vytvořit připojení typu VNet-to-VNet mezi tenanty Microsoft Entra?

Ano. Připojení typu VNet-to-VNet, která používají brány VPN, fungují napříč tenanty Microsoft Entra.

Je provoz VNet-to-VNet bezpečný?

Šifrování IPsec a IKE pomáhá chránit provoz typu VNet-to-VNet.

Je k propojení virtuálních sítí potřeba zařízení VPN?

Ne. Propojení několika virtuálních sítí Azure nevyžaduje zařízení VPN, pokud nepotřebujete připojení mezi různými místy.

Je nutné, aby virtuální sítě byly ve stejné oblasti?

Ne. Virtuální sítě se můžou nacházet ve stejné oblasti (umístění) Azure nebo v různých oblastech.

Pokud virtuální sítě nejsou ve stejném předplatném, musí být předplatná přidružená ke stejnému tenantovi Microsoft Entra?

Ne.

Je možné použít VNet-to-VNet k propojení virtuálních sítí v samostatných instancích Azure?

Ne. VNet-to-VNet podporuje propojování virtuálních sítí v rámci stejné instance Azure. Nemůžete například vytvořit propojení mezi globálními instancemi Azure a čínskými, německými nebo americkými instancemi Azure pro státní správu USA. Zvažte použití připojení VPN typu site-to-site pro tyto scénáře.

Je možné použít VNet-to-VNet společně s připojením propojujícím víc serverů?

Ano. Připojení k virtuální síti můžete používat současně s sítěmi VPN s více lokalitami.

Ke kolika místních serverům a virtuálním sítím se může připojit jedna virtuální síť?

Podívejte se na tabulku požadavků brány.

Můžu k propojení virtuálních počítačů nebo cloudových služeb mimo virtuální síť použít VNet-to-VNet?

Ne. Propojení VNet-to-VNet podporují propojování virtuálních sítí. Nepodporuje připojení virtuálních počítačů nebo cloudových služeb, které nejsou ve virtuální síti.

Může cloudová služba nebo koncový bod vyrovnávání zatížení zahrnovat virtuální sítě?

Ne. Cloudová služba nebo koncový bod vyrovnávání zatížení nemůžou přesahovat virtuální sítě, i když jsou propojené.

Můžu pro připojení typu VNet-to-VNet nebo multi-site použít typ sítě VPN založený na zásadách?

Ne. Připojení typu VNet-to-VNet a více lokalit vyžadují brány VPN s typy VPN založenými na směrování (dříve označované jako dynamické směrování).

Můžu připojit virtuální síť s typem sítě VPN založenou na směrování k jiné virtuální síti s typem SÍTĚ VPN na základě zásad?

Ne. Obě virtuální sítě musí používat sítě VPN založené na směrování (dříve označované jako dynamické směrování).

Sdílejí tunely VPN šířku pásma?

Ano. Všechny tunely VPN virtuální sítě sdílejí dostupnou šířku pásma v bráně VPN a stejnou smlouvu o úrovni služeb pro dobu provozu brány VPN v Azure.

Jsou podporovány redundantní tunely?

Redundantní tunely mezi párem virtuálních sítí jsou podporovány, pokud je jedna brána virtuální sítě nakonfigurována jako aktivní-aktivní.

Můžou se překrývat adresní prostory pro konfigurace VNet-to-VNet?

Ne. Není možné, aby se rozsahy IP adres překrývaly.

Můžou se překrývat adresní prostory mezi propojenými virtuálními sítěmi a místními servery?

Ne. Není možné, aby se rozsahy IP adres překrývaly.

Návody povolit směrování mezi připojením VPN typu site-to-site a ExpressRoute?

Pokud chcete povolit směrování mezi vaší větví připojenou k ExpressRoute a vaší větví připojenou k síti VPN typu site-to-site, musíte nastavit Azure Route Server.

Můžu použít bránu VPN k přenosu provozu mezi místními lokalitami nebo jinou virtuální sítí?

  • Model nasazení Resource Manager

    Ano. Další informace najdete v části BGP a směrování .

  • Model nasazení Classic

    Přenos provozu přes bránu VPN je možný, když používáte model nasazení Classic, ale spoléhá na staticky definované adresní prostory v konfiguračním souboru sítě. Protokol BGP (Border Gateway Protocol) se v současné době nepodporuje u virtuálních sítí Azure a bran VPN prostřednictvím modelu nasazení Classic. Bez protokolu BGP je ruční definování adresních prostorů přenosu náchylné k chybám a nedoporučuje se.

Vygeneruje Azure stejný předsdílený klíč IPsec/IKE pro všechna připojení VPN pro stejnou virtuální síť?

Ne. Azure ve výchozím nastavení generuje různé předsdílené klíče pro různá připojení VPN. K nastavení hodnoty klíče, kterou dáváte přednost, ale můžete použít rozhraní REST API služby VPN Gateway nebo rutinu PowerShellu. Klíč musí obsahovat pouze tisknutelné znaky ASCII s výjimkou mezery, spojovníku (-) nebo tildy (~).

Získám větší šířku pásma s více sítěmi VPN typu site-to-site než pro jednu virtuální síť?

Ne. Všechny tunely VPN, včetně sítí VPN typu point-to-site, sdílejí stejnou bránu VPN a dostupnou šířku pásma.

Můžu nakonfigurovat více tunelů mezi virtuální sítí a místní lokalitou pomocí sítě VPN s více lokalitami?

Ano, ale budete muset nakonfigurovat BGP na obou tunelech ve stejné lokalitě.

Dodržuje služba Azure VPN Gateway předem cestu AS, aby ovlivnila rozhodování o směrování mezi několika připojeními k místním lokalitám?

Ano, Azure VPN Gateway respektuje předem cestu autonomního systému (AS), která pomáhá při rozhodování o směrování, když je povolený protokol BGP. Při výběru cesty protokolu BGP se upřednostňuje kratší cesta AS.

Můžu při vytváření nového připojení VPN VirtualNetworkGateway použít vlastnost RoutingWeight?

Ne. Toto nastavení je vyhrazené pro připojení brány ExpressRoute. Pokud chcete ovlivnit rozhodování o směrování mezi více připojeními, musíte použít předběžné nastavení cesty AS.

Můžu použít sítě VPN typu point-to-site s virtuální sítí s několika tunely VPN?

Ano. Sítě VPN typu point-to-site můžete použít s bránami VPN, které se připojují k několika místním lokalitám a dalším virtuálním sítím.

Je možné připojit virtuální síť se sítěmi VPN s protokolem IPsec k okruhu ExpressRoute?

Ano, tato možnost je podporována. Další informace najdete v tématu Konfigurace expressRoute a současně existujících připojení typu site-to-site.

Zásady IPsec/IKE

Podporují se vlastní zásady IPsec/IKE u všech skladových položek služby Azure VPN Gateway?

Vlastní zásady IPsec/IKE se podporují ve všech skladových posílacích azure VPN Gateway s výjimkou skladové položky Basic.

Kolik zásad můžu zadat pro jedno připojení?

Pro připojení můžete zadat pouze jednu kombinaci zásad.

Můžu pro připojení zadat částečnou zásadu (například pouze algoritmy IKE, ale ne IPsec)?

Ne, musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim). Částečná specifikace zásad není povolená.

Jaké algoritmy a klíčové síly vlastní zásady podporují?

Následující tabulka uvádí podporované kryptografické algoritmy a silné stránky klíčů, které můžete nakonfigurovat. Pro každé pole musíte vybrat jednu možnost.

IPsec/IKEv2 Možnosti
Šifrování IKEv2 GCMAES256, GCMAES128, AES256, AES192, AES128
Integrita IKEv2 SHA384, SHA256, SHA1, MD5
Skupina DH DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Šifrování IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádné
Integrita protokolu IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Skupina PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Žádná
Životnost SA rychlého režimu (Volitelné; výchozí hodnoty, pokud nejsou zadané)
Sekundy (celé číslo; minimálně 300, výchozí 27 000)
Kilobajtů (celé číslo; minimálně 1 024, výchozí 10 2400 000)
Selektor provozu UsePolicyBasedTrafficSelectors ($True nebo $False, ale nepovinný; výchozí, $False pokud není zadán)
Časový limit DPD Sekundy (celé číslo; minimálně 9, maximum 3 600, výchozí 45)

  • Konfigurace místního zařízení VPN se musí shodovat nebo obsahovat následující algoritmy a parametry, které zadáte v zásadách Azure IPsec nebo IKE:

    • Šifrovací algoritmus IKE (hlavní režim, fáze 1)
    • Algoritmus integrity protokolu IKE (hlavní režim, fáze 1)
    • Skupina DH (hlavní režim, fáze 1)
    • Šifrovací algoritmus IPsec (rychlý režim, fáze 2)
    • Algoritmus integrity protokolu IPsec (rychlý režim, fáze 2)
    • Skupina PFS (rychlý režim, fáze 2)
    • Selektor provozu (pokud používáte UsePolicyBasedTrafficSelectors)
    • Životnosti přidružení služby (místní specifikace, které se nemusí shodovat)

  • Pokud pro šifrovací algoritmus IPsec používáte GCMAES, musíte pro integritu protokolu IPsec vybrat stejný algoritmus a délku klíče GCMAES. Například pro oba použijte GCMAES128.

  • V tabulce algoritmů a klíčů:

    • IKE odpovídá hlavnímu režimu nebo fázi 1.
    • Protokol IPsec odpovídá rychlému režimu nebo fázi 2.
    • Skupina DH určuje skupinu Diffie-Hellman použitou v hlavním režimu nebo fázi 1.
    • Skupina PFS určuje skupinu Diffie-Hellman použitou v rychlém režimu nebo fázi 2.

  • Životnost přidružení zabezpečení hlavního režimu IKE je u bran Azure VPN opravena na 28 800 sekund.

  • UsePolicyBasedTrafficSelectors je volitelný parametr připojení. Pokud jste nastavili UsePolicyBasedTrafficSelectors $True připojení, nakonfiguruje bránu VPN tak, aby se připojila k místní bráně firewall vpn založené na zásadách.

    Pokud povolíte UsePolicyBasedTrafficSelectors, ujistěte se, že vaše zařízení VPN má definované odpovídající selektory provozu se všemi kombinacemi předpon místní sítě (brány místní sítě) nebo z předpon virtuální sítě Azure místo předpon typu any-to-any. Brána VPN přijímá jakýkoli výběr provozu, který vzdálená brána VPN navrhuje, bez ohledu na to, co je na bráně VPN nakonfigurované.

    Například pokud jsou předpony vaší místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony vaší virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, je potřeba zadat následující selektory provozu:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    Další informace o selektorech provozu založených na zásadách najdete v tématu Připojení brány VPN k několika místním zařízením VPN založeným na zásadách.

  • Nastavení časového limitu na kratší období způsobí, že se protokol IKE agresivněji opraví. Připojení se pak může v některých případech zdát odpojené. Tato situace nemusí být žádoucí, pokud jsou vaše místní umístění daleko od oblasti Azure, ve které se nachází brána VPN, nebo pokud by mohla dojít ke ztrátě paketů. Obecně doporučujeme nastavit časový limit mezi 30 a 45 sekund.

Další informace najdete v tématu Připojení brány VPN k několika místním zařízením VPN založeným na zásadách.

Které skupiny Diffie-Hellman podporují vlastní zásady?

Následující tabulka uvádí odpovídající skupiny Diffie-Hellman, které vlastní zásady podporují:

Skupina Diffie-Hellman DHGroup PFSGroup Délka klíče
0 DHGroup1 PFS1 768bitová skupina MODP
2 DHGroup2 PFS2 1024bitová skupina MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048bitová skupina MODP
19 ECP256 ECP256 256bitová skupina ECP
20 ECP384 ECP384 384bitová skupina ECP
24 DHGroup24 PFS24 2048bitová skupina MODP

Další informace najdete v RFC3526 a RFC5114.

Nahradí vlastní zásada výchozí sady zásad IPsec/IKE pro brány VPN?

Ano. Jakmile pro připojení zadáte vlastní zásadu, Azure VPN Gateway použije pouze tuto zásadu připojení, a to jak jako iniciátor IKE, tak jako respondér IKE.

Pokud odeberu vlastní zásady IPsec/IKE, stane se připojení nechráněným?

Ne, protokol IPsec/IKE stále pomáhá chránit připojení. Po odebrání vlastních zásad z připojení se brána VPN vrátí k výchozímu seznamu návrhů protokolu IPsec/IKE a restartuje metodu handshake protokolu IKE s místním zařízením VPN.

Přerušilo by přidání nebo aktualizace zásad IPsec/IKE připojení VPN?

Ano. Mohlo by dojít k malému přerušení (několik sekund), protože brána VPN ruší stávající připojení a restartuje metodu handshake protokolu IKE, která znovu vytvoří tunel IPsec pomocí nových kryptografických algoritmů a parametrů. Ujistěte se, že je vaše místní zařízení VPN také nakonfigurované s odpovídajícími algoritmy a sílami klíčů, aby se minimalizovalo přerušení.

Můžou se pro různá připojení použít různé zásady?

Ano. Vlastní zásady se použijí pro jednotlivá připojení. Pro různá připojení můžete vytvořit a použít různé zásady IPsec/IKE.

Můžete také použít vlastní zásady pro podmnožinu připojení. Zbývající připojení budou používat výchozí sady zásad IPsec/IKE Azure.

Můžu pro připojení typu VNet-to-VNet použít vlastní zásady?

Ano. Vlastní zásady můžete použít u připojení IPsec mezi místy i připojení typu VNet-to-VNet.

Je nutné zadat stejné zásady pro oba prostředky připojení typu VNet-to-VNet?

Ano. Tunel typu VNet-to-VNet se skládá ze dvou prostředků připojení v Azure (jeden pro každý směr). Ujistěte se, že obě prostředky připojení mají stejné zásady. Jinak se nenaváže připojení typu VNet-to-VNet.

Jaká je výchozí hodnota časového limitu DPD? Můžu zadat jiný časový limit DPD?

Výchozí časový limit DPD je 45 sekund u bran VPN. Pro každé připojení IPsec nebo VNet-to-VNet můžete zadat jinou hodnotu časového limitu DPD od 9 sekund do 3 600 sekund.

Poznámka:

Nastavení časového limitu na kratší období způsobí, že se protokol IKE agresivněji opraví. Připojení se pak může v některých případech zdát odpojené. Tato situace nemusí být žádoucí, pokud jsou vaše místní umístění daleko od oblasti Azure, ve které se nachází brána VPN, nebo pokud by mohla dojít ke ztrátě paketů. Obecně doporučujeme nastavit časový limit mezi 30 a 45 sekund.

Funguje na připojeních ExpressRoute vlastní zásady IPsec/IKE?

Ne. Zásady IPsec/IKE fungují jenom pro připojení S2S VPN a VNet-to-VNet prostřednictvím bran VPN.

Návody vytvořit připojení s typem protokolu IKEv1 nebo IKEv2?

Připojení IKEv1 můžete vytvořit pro všechny skladové položky typu VPN založené na směrování, s výjimkou skladové položky Basic, skladové položky Standard a dalších starších skladových položek.

Při vytváření připojení můžete zadat typ protokolu připojení IKEv1 nebo IKEv2. Pokud nezadáte typ protokolu připojení, použije se IKEv2 jako výchozí možnost, pokud je to možné. Další informace najdete v dokumentaci k rutinám Azure PowerShellu.

Informace o typech SKU a podpoře IKEv1 a IKEv2 najdete v tématu Připojení brány VPN k několika místním zařízením VPN založeným na zásadách.

Je povolena doprava mezi připojeními IKEv1 a IKEv2?

Ano.

Je možné, aby připojení site-to-site IKEv1 byla pro typ sítě VPN založená na směrování k dispozici v základní SKU?

Ne. Skladová položka Basic tuto konfiguraci nepodporuje.

Můžu po vytvoření připojení změnit typ protokolu připojení (IKEv1 na IKEv2 a naopak)?

Ne. Po vytvoření připojení nemůžete změnit protokoly IKEv1 a IKEv2. Musíte odstranit a znovu vytvořit nové připojení s požadovaným typem protokolu.

Proč se připojení IKEv1 často znovu připojuje?

Pokud se vaše statické směrování nebo připojení IKEv1 založené na směrování v pravidelných intervalech odpojí, je pravděpodobné, že vaše brány VPN nepodporují místní klíče. Při opětovném vytvoření klíče hlavního režimu se tunel IKEv1 odpojí a opětovné připojení trvá až 5 sekund. Hodnota časového limitu vyjednávání hlavního režimu určuje frekvenci opakovaných klíčů. Pokud chcete těmto opětovným připojením zabránit, můžete přepnout na příkaz IKEv2, který podporuje místní klíče.

Pokud se připojení znovu připojuje náhodně, postupujte podle průvodce odstraňováním potíží.

Kde najdu další informace a kroky pro konfiguraci?

Podívejte se na následující články:

Protokol BGP a směrování

Je protokol BGP podporován ve všech SKU služby Azure VPN Gateway?

Protokol BGP se podporuje ve všech SKU služby Azure VPN Gateway s výjimkou skladové položky Basic.

Můžu používat protokol BGP s bránami VPN azure Policy?

Ne, protokol BGP se podporuje jenom u bran VPN založených na směrování.

Jaké sítě ASN můžu použít?

Pro místní sítě i virtuální sítě Azure můžete použít vlastní čísla autonomního systému (ASN) nebo privátní sítě ASN.

Nemůžete použít následující vyhrazené sítě ASN:

  • Rezervováno v Azure:

    • Veřejná ASN: 8074, 8075, 12076
    • Privátní ASN: 65515, 65517, 65518, 65519, 65520

  • Vyhrazeno IANA:

    • 23456, 64496-64511, 65535-65551, 429496729

Tyto sítě ASN nemůžete zadat pro místní zařízení VPN, když se připojujete k branám VPN.

Můžu používat 32bitové (4 bajtové) ASN?

Ano, Azure VPN Gateway teď podporuje 32bitové (4 bajtové) ASN. Ke konfiguraci pomocí ASN v desítkovém formátu použijte Azure PowerShell, Azure CLI nebo sadu Azure SDK.

Jaké privátní sítě ASN můžu použít?

Použitelné rozsahy privátních sítí ASN jsou:

  • 64512-65514 a 65521-65534

IANA ani Azure tyto sítě ASN nezarezervuje, takže je můžete přiřadit k bráně VPN.

Jakou adresu azure VPN Gateway používá pro IP adresu partnerského uzlu protokolu BGP?

Azure VPN Gateway ve výchozím nastavení přiděluje jednu IP adresu z rozsahu GatewaySubnet pro brány VPN aktivní-pohotovostní nebo dvě IP adresy pro brány VPN aktivní-aktivní. Tyto adresy se při vytváření brány VPN přidělují automaticky.

Přidělenou IP adresu protokolu BGP najdete pomocí Azure PowerShellu nebo webu Azure Portal. V PowerShellu bgpPeeringAddress použijte Get-AzVirtualNetworkGatewaya vyhledejte vlastnost. Na webu Azure Portal na stránce Konfigurace brány se podívejte na vlastnost Konfigurovat ASN protokolu BGP.

Pokud vaše místní směrovače VPN jako IP adresy protokolu BGP používají ip adresy automatického přidělování privátních IP adres (APIPA) (169.254.x.x), musíte zadat jednu nebo více IP adres protokolu BGP služby Azure APIPA ve vaší bráně VPN. Azure VPN Gateway vybere adresy APIPA, které se mají použít s místním partnerským vztahem protokolu BGP protokolu APIPA zadaným v bráně místní sítě, nebo privátní IP adresou místního partnerského vztahu protokolu BGP bez rozhraní APIPA. Další informace najdete v tématu Konfigurace protokolu BGP pro službu Azure VPN Gateway.

Jaké jsou požadavky na IP adresy partnerského uzlu protokolu BGP na mém zařízení VPN?

Vaše místní adresa partnerského vztahu protokolu BGP nesmí být stejná jako veřejná IP adresa vašeho zařízení VPN nebo z adresního prostoru virtuální sítě brány VPN. Jako místní adresu partnera BGP v zařízení VPN použijte jinou IP adresu. Může se jednat o adresu přiřazenou rozhraní zpětné smyčky na zařízení (běžnou IP adresu nebo adresu APIPA).

Pokud vaše zařízení používá adresu APIPA pro protokol BGP, musíte zadat jednu nebo více IP adres protokolu APIPA BGP ve vaší bráně VPN, jak je popsáno v tématu Konfigurace protokolu BGP pro službu Azure VPN Gateway. Zadejte tyto adresy v odpovídající bráně místní sítě, která představuje umístění.

Co mám zadat jako předpony adres pro bránu místní sítě při použití protokolu BGP?

Důležité

Jedná se o změnu z dříve zdokumentovaného požadavku.

Azure VPN Gateway interně přidá trasu hostitele do místní IP adresy partnerského uzlu protokolu BGP přes tunel IPsec. Nepřidávejte trasu /32 do pole Adresní prostor , protože je redundantní. Pokud jako IP adresu místního zařízení VPN používáte adresu APIPA, nemůžete ji do tohoto pole přidat.

Pokud do pole Adresní prostor přidáte další předpony, přidají se do brány Azure VPN gateway jako statické trasy kromě tras, které se naučily přes protokol BGP.

Můžu použít stejný ASN pro místní sítě VPN i virtuální sítě Azure?

Ne. Pokud je propojíte s protokolem BGP, musíte mezi místními sítěmi a virtuálními sítěmi Azure přiřadit různé sítě ASN.

Brány Azure VPN mají přiřazený výchozí ASN 65515 bez ohledu na to, jestli je povolený protokol BGP nebo ne pro připojení mezi místními sítěmi. Toto výchozí nastavení můžete přepsat přiřazením jiného ASN při vytváření brány VPN, nebo můžete po vytvoření brány změnit ASN. Místní sítě ASN musíte přiřadit k odpovídajícím branám místní sítě Azure.

Jaké předpony adres mi služby Azure VPN Gateway inzerují?

Brány inzerují do místních zařízení BGP následující trasy:

  • předpony adres sítí VNet
  • Předpony adres pro každou bránu místní sítě připojenou k bráně VPN
  • Trasy získané z jiných relací partnerského vztahu protokolu BGP připojených k bráně VPN s výjimkou výchozí trasy nebo tras, které se překrývají s předponou virtuální sítě

Kolik předpon můžu inzerovat službě Azure VPN Gateway?

Azure VPN Gateway podporuje až 4 000 předpon. Pokud počet předpon překročí toto omezení, relace BGP se ukončí.

Můžu inzerovat výchozí trasu (0.0.0.0/0) do bran VPN?

Ano. Mějte na paměti, že inzerování výchozí trasy vynutí veškerý odchozí provoz virtuální sítě směrem k vaší místní lokalitě. Také brání virtuálním počítačům virtuální sítě přijímat veřejnou komunikaci z internetu přímo, jako je protokol RDP (Remote Desktop Protocol) nebo SSH (Secure Shell) z internetu do virtuálních počítačů.

Možnost inzerovat přesné předpony závisí na tom, jestli je povolený nebo není povolený průchod bránou.

  • Pokud je povolen průchod bránou: Nemůžete inzerovat přesné předpony jako předpony virtuální sítě (včetně partnerských virtuálních sítí). Azure blokuje nebo filtruje inzerování všech předpon, které odpovídají předponám adres virtuální sítě. Můžete ale inzerovat předponu, která je nadmnožinou adresního prostoru vaší virtuální sítě. Pokud například vaše virtuální síť používá adresní prostor 10.0.0.0/16, můžete inzerovat 10.0.0.0/8, ale ne 10.0.0.0/16 nebo 10.0.0.0/24.
  • Pokud průchod bránou není povolený: Brána se nenaučí předpony partnerské virtuální sítě, což vám umožní inzerovat přesné předpony jako vaši partnerský virtuální síť.

Můžu s připojeními mezi virtuálními sítěmi používat protokol BGP?

Ano. Protokol BGP můžete použít pro připojení mezi různými místy i pro připojení mezi virtuálními sítěmi.

Lze u služeb Azure VPN Gateway používat kombinaci připojení pomocí protokolu BGP a bez protokolu BGP?

Ano, u stejné služby Azure VPN Gateway je možné kombinovat připojení pomocí protokolu BGP i bez protokolu BGP.

Podporuje azure VPN Gateway směrování přenosu BGP?

Ano. Směrování přenosu protokolu BGP se podporuje s výjimkou, že brány VPN neinzerují výchozí trasy jiným partnerským uzlům protokolu BGP. Pokud chcete povolit směrování přenosu mezi několika bránami VPN, musíte povolit protokol BGP pro všechna zprostředkující připojení mezi virtuálními sítěmi. Další informace najdete v tématu O protokolu BGP a službě VPN Gateway.

Můžu mezi bránou VPN a místní sítí mít více tunelů?

Ano, mezi bránou VPN a místní sítí můžete vytvořit více tunelů VPN typu site-to-site. Všechny tyto tunely se započítávají do celkového počtu tunelů pro brány Azure VPN a v obou tunelech musíte povolit protokol BGP.

Pokud máte například dva redundantní tunely mezi bránou VPN a jednou z místních sítí, spotřebovávají dva tunely z celkové kvóty pro bránu VPN.

Můžu mezi dvěma virtuálními sítěmi Azure s protokolem BGP mít více tunelů?

Ano, ale alespoň jedna z bran virtuální sítě musí být v konfiguraci aktivní-aktivní.

Je možné použít protokol BGP pro síť VPN S2S v konfiguraci koexistence vpn Azure ExpressRoute a S2S?

Ano.

Co je třeba přidat do místního zařízení VPN pro relaci partnerského vztahu protokolu BGP?

Přidejte na zařízení VPN trasu hostitele IP adresy partnerského uzlu Azure BGP. Tato trasa odkazuje na tunel IPsec S2S VPN.

Pokud je například IP adresa partnerského uzlu Azure VPN 10.12.255.30, přidáte na zařízení VPN trasu hostitele 10.12.255.30 s rozhraním dalšího směrování odpovídajícího tunelového rozhraní IPsec.

Podporuje brána virtuální sítě BFD pro připojení S2S pomocí protokolu BGP?

Ne. Obousměrná detekce předávání (BFD) je protokol, který můžete použít s protokolem BGP k rychlejšímu zjišťování výpadků sousedů, než je možné pomocí standardních intervalů zachování protokolu BGP. BFD používá podsekundové časovače navržené pro práci v prostředích LAN, ale ne přes veřejný internet nebo připojení WAN.

U připojení přes veřejný internet se určité pakety zpozdí nebo dokonce zahodí, takže zavedení těchto agresivních časovačů může přidat nestabilitu. Tato nestabilita může způsobit, že protokol BGP tlumí trasy.

Jako alternativu můžete místní zařízení nakonfigurovat s časovači nižšími než výchozí 60sekundový interval keepalive nebo nižší než 180sekundový časovač blokování. Výsledkem této konfigurace je rychlejší konvergenční doba. Časovače pod výchozím 60sekundovým intervalem keepalive nebo nižším než výchozí 180sekundový časovač blokování však nejsou spolehlivé. Doporučujeme uchovávat časovače nad výchozími hodnotami.

Inicialují brány VPN relace nebo připojení partnerského vztahu protokolu BGP?

Brány VPN gateway inicialují relace partnerského vztahu protokolu BGP s místními IP adresami partnerského uzlu protokolu BGP zadanými v prostředcích brány místní sítě pomocí privátních IP adres v branách VPN. Tento proces je bez ohledu na to, jestli jsou místní IP adresy protokolu BGP v rozsahu rozhraní APIPA nebo jsou běžné privátní IP adresy. Pokud vaše místní zařízení VPN používají adresy APIPA jako IP adresu protokolu BGP, musíte nakonfigurovat reproduktor protokolu BGP tak, aby inicioval připojení.

Můžu nakonfigurovat vynucené tunelování?

Ano. Informace najdete v části Konfigurace vynuceného tunelování.

NAT

Podporuje se překlad adres (NAT) u všech skladových položek služby Azure VPN Gateway?

Překlad adres (NAT) se podporuje na VpnGw2 až VpnGw25 a vpnGw2AZ do VpnGw5AZ.

Můžu použít překlad adres (NAT) u připojení typu VNet-to-VNet nebo P2S?

Ne.

Kolik pravidel překladu adres (NAT) můžu použít ve službě VPN Gateway?

Ve službě VPN Gateway můžete vytvořit až 100 pravidel překladu adres (příchozích a odchozích přenosů).

Můžu v názvu pravidla PŘEKLADU adres použít lomítko (/)?

Ne. Zobrazí se chyba.

Používá se překlad adres (NAT) u všech připojení ve službě VPN Gateway?

Překlad adres (NAT) se použije u připojení s pravidly překladu adres (NAT). Pokud připojení nemá pravidlo překladu adres (NAT), neprojeví se na toto připojení. Na stejné bráně VPN můžete mít některá připojení s překladem adres (NAT) a dalšími připojeními bez spolupráce překladu adres (NAT).

Jaké typy překladu adres (NAT) podporují brány VPN?

Brány VPN podporují pouze statické překlady adres (NAT) 1:1 a dynamické překlad adres (NAT). Nepodporují překlad adres (NAT64).

Funguje překlad adres (NAT) na branách VPN typu aktivní-aktivní?

Ano. Překlad adres (NAT) funguje na branách VPN typu aktivní-aktivní i aktivní-pohotovostní. Každé pravidlo překladu adres (NAT) se použije na jednu instanci brány VPN. V branách aktivní-aktivní vytvořte samostatné pravidlo NAT pro každou instanci brány prostřednictvím pole ID konfigurace PROTOKOLU IP.

Funguje překlad adres (NAT) s připojeními protokolu BGP?

Ano, můžete použít protokol BGP s překladem adres (NAT). Tady je několik důležitých aspektů:

  • Pokud chcete zajistit, aby se naučené trasy a inzerované trasy překládaly na předpony adres post-NAT (externí mapování) na základě pravidel překladu adres (NAT) přidružených k připojením, vyberte Povolit překlad tras protokolu BGP na stránce konfigurace pro pravidla překladu adres (NAT). Místní směrovače protokolu BGP musí inzerovat přesné předpony definované v pravidlech příchozího přenosu dat.

  • Pokud místní směrovač VPN používá běžnou adresu, která není adresou APIPA a koliduje s adresními prostory virtuální sítě nebo jinými místními síťovými prostory, ujistěte se, že pravidlo příchozího přenosu dat přeloží IP adresu partnerského uzlu protokolu BGP na jedinečnou nepřekryvnou adresu. Adresu post-NAT umístěte do pole IP adresy partnerského uzlu protokolu BGP brány místní sítě.

  • Překlad adres (NAT) se nepodporuje s adresami protokolu APIPA protokolu BGP.

Musím vytvořit odpovídající pravidla DNAT pro pravidlo SNAT?

Ne. Pravidlo SNAT (Single Source Network Address Translation) definuje překlad pro oba směry konkrétní sítě:

  • Pravidlo příchozího přenosu dat definuje překlad zdrojových IP adres přicházejících do brány VPN z místní sítě. Zpracovává také překlad cílových IP adres odcházejících z virtuální sítě do stejné místní sítě.

  • Pravidlo výchozího přenosu dat definuje překlad zdrojových IP adres virtuální sítě, které bránu VPN opustí do místních sítí. Zpracovává také překlad cílových IP adres pro pakety přicházející do virtuální sítě prostřednictvím připojení, která mají pravidlo EgressSNAT .

V obou případech nepotřebujete pravidla překladu cílových síťových adres (DNAT).

Co mám dělat, když má adresní prostor brány virtuální sítě nebo místní sítě dvě nebo více předpon? Můžu použít překlad adres (NAT) u všech nebo jenom pro podmnožinu?

Pro každou předponu je potřeba vytvořit jedno pravidlo překladu adres, protože každé pravidlo PŘEKLADU adres může obsahovat pouze jednu předponu adresy pro překlad adres .NAT. Pokud se například adresní prostor pro bránu místní sítě skládá z 10.0.1.0/24 a 10.0.2.0/25, můžete vytvořit dvě pravidla:

  • Pravidlo příchozího přenosu dat 1: Mapování 10.0.1.0/24 na 192.168.1.0/24
  • Pravidlo příchozího přenosu dat 2: Mapování 10.0.2.0/25 na 192.168.2.0/25

Tato dvě pravidla musí odpovídat délce předpon odpovídajících předpon adres. Stejné pokyny platí pro pravidla výchozího přenosu dat pro adresní prostor virtuální sítě.

Důležité

Pokud propočítáte pouze jedno pravidlo s předchozím připojením, druhý adresní prostor se nepřeloží.

Jaké rozsahy IP adres můžu použít pro externí mapování?

Můžete použít libovolný vhodný rozsah IP adres, který chcete použít pro externí mapování, včetně veřejných a privátních IP adres.

Můžu k překladu adresního prostoru virtuální sítě na různé předpony místních sítí použít různá pravidla výchozího přenosu dat?

Ano. Můžete vytvořit více pravidel EgressSNAT pro stejný adresní prostor virtuální sítě a pak použít pravidla EgressSNAT na různá připojení.

Můžu pro různá připojení použít stejné pravidlo Příchozí přenos datSNAT?

Ano. K zajištění redundance obvykle používáte stejné pravidlo Příchozí přenos dat ANAT , pokud jsou připojení pro stejnou místní síť. Stejné pravidlo příchozího přenosu dat nemůžete použít, pokud jsou připojení pro různé místní sítě.

Potřebuji pravidla příchozího i výchozího přenosu dat pro připojení NAT?

Když se místní adresní prostor místní sítě překrývají s adresními prostory virtuální sítě, potřebujete pravidla příchozího i výchozího přenosu dat na stejném připojení. Pokud je adresní prostor virtuální sítě jedinečný mezi všemi připojenými sítěmi, nepotřebujete u těchto připojení pravidlo EgressSNAT . Pravidla příchozího přenosu dat můžete použít k zabránění překrývání adres mezi místními sítěmi.

Co zvolím jako ID konfigurace PROTOKOLU IP?

ID konfigurace PROTOKOLU IP je jednoduše název objektu konfigurace PROTOKOLU IP, který má pravidlo překladu adres (NAT) používat. V tomto nastavení jednoduše zvolíte, která veřejná IP adresa brány se vztahuje na pravidlo překladu adres (NAT). Pokud jste při vytváření brány nezadali žádný vlastní název, primární IP adresa brány se přiřadí k výchozí konfiguraci IP adresy a sekundární IP adresa se přiřadí ke konfiguraci activeActive IP.

Připojení mezi místními sítěmi a virtuální počítače

Pokud se virtuální počítač nachází ve virtuální síti s propojením mezi různými místy, jak se k virtuálnímu počítači připojovat?

Pokud je pro virtuální počítač povolen protokol RDP, je možné připojit se k virtuálnímu počítači s použitím privátní IP adresy. V takovém případě zadáte privátní IP adresu a port, ke kterému se chcete připojit (obvykle 3389). Pro provoz musíte nakonfigurovat port na virtuálním počítači.

K virtuálnímu počítači se lze připojit pomocí privátní IP adresy i z jiného virtuálního počítače umístěného ve stejné virtuální síti. Pokud se připojujete z umístění mimo virtuální síť, nemůžete k virtuálnímu počítači použít protokol RDP pomocí privátní IP adresy. Pokud máte například nakonfigurovanou virtuální síť typu point-to-site a nenavážete připojení z počítače, nemůžete se k virtuálnímu počítači připojit pomocí privátní IP adresy.

Pokud se virtuální počítač nachází ve virtuální síti s možností připojení mezi různými místy, prochází tímto připojením veškerý provoz z virtuálního počítače?

Ne. Pouze provoz, který má cílovou IP adresu obsaženou v rozsahech IP adres místní sítě virtuální sítě, které jste zadali, prochází bránou virtuální sítě.

Provoz, který má cílovou IP adresu umístěnou ve virtuální síti, zůstane ve virtuální síti. Ostatní přenosy se odesílají přes nástroj pro vyrovnávání zatížení do veřejných sítí. Nebo pokud používáte vynucené tunelování, provoz se odesílá přes bránu VPN.

Řešení potíží s připojením ke vzdálené ploše virtuálního počítače

Pokud máte potíže s připojením k virtuálnímu počítači přes připojení VPN, zkontrolujte následující položky:

  • Ověřte, že je úspěšně navázáno připojení VPN.
  • Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.
  • Pokud se k virtuálnímu počítači můžete připojit pomocí privátní IP adresy, ale ne názvu počítače, ověřte, že jste správně nakonfigurovali DNS. Další informace o tom, jak funguje překlad názvů pro virtuální počítače, najdete v tématu Překlad názvů prostředků ve virtuálních sítích Azure.

Při připojení přes point-to-site zkontrolujte následující další položky:

  • Slouží ipconfig ke kontrole adresy IPv4 přiřazené k adaptéru Sítě Ethernet v počítači, ze kterého se připojujete. Pokud je IP adresa v rozsahu adres virtuální sítě, ke které se připojujete, nebo v rozsahu adres fondu adres klienta VPN, jedná se o překrývající se adresní prostor. Když se adresní prostor tímto způsobem překrývá, síťový provoz se nedostane do Azure. Zůstane v místní síti.
  • Po zadání IP adres serveru DNS pro virtuální síť ověřte, že se vygeneroval konfigurační balíček klienta VPN. Pokud jste aktualizovali IP adresy serveru DNS, vygenerujte a nainstalujte nový balíček pro konfiguraci klienta VPN.

Další informace o řešení potíží s připojením ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.

Údržba brány řízená zákazníkem

Které služby jsou součástí konfigurace údržby pro rozsah síťových bran?

Rozsah síťových bran zahrnuje prostředky brány v síťových službách. V oboru síťových bran existují čtyři typy prostředků:

  • Brána virtuální sítě ve službě ExpressRoute
  • Brána virtuální sítě ve službě VPN Gateway
  • Brána VPN (site-to-site) ve službě Azure Virtual WAN
  • Brána ExpressRoute ve službě Virtual WAN

Která údržba podporuje údržbu řízenou zákazníkem?

Služby Azure procházejí pravidelnými aktualizacemi údržby za účelem zlepšení funkčnosti, spolehlivosti, výkonu a zabezpečení. Po nakonfigurování časového období údržby pro vaše prostředky se během tohoto časového období provede údržba hostovaného operačního systému a údržba služeb. Údržba řízená zákazníkem nezahrnuje aktualizace hostitele (mimo aktualizace hostitele pro Power, například) a důležité aktualizace zabezpečení.

Můžu získat upřesňující oznámení o údržbě?

V tuto chvíli nemůžete získat upřesňující oznámení o údržbě prostředků síťové brány.

Můžu nakonfigurovat časové období údržby kratší než pět hodin?

V tuto chvíli musíte v upřednostňovaném časovém pásmu nakonfigurovat minimálně pětihodinový interval.

Můžu nakonfigurovat jiné časové období údržby než denní plán?

V tuto chvíli musíte nakonfigurovat denní časové období údržby.

Existují případy, kdy nemůžu řídit určité aktualizace?

Údržba řízená zákazníkem podporuje hostovaný operační systém a aktualizace služeb. Tyto aktualizace představují většinu položek údržby, které pro zákazníky způsobují obavy. Některé další typy aktualizací, včetně aktualizací hostitele, jsou mimo rozsah údržby řízené zákazníkem.

Pokud by problém se zabezpečením s vysokou závažností mohl ohrozit zákazníky, azure může potřebovat přepsat řízení zákazníků časového období údržby a nasdílit změnu. Tyto změny jsou vzácné výskyty, které používáme pouze v extrémních případech.

Musí být prostředky konfigurace údržby ve stejné oblasti jako prostředek brány?

Ano.

Které skladové položky brány můžu nakonfigurovat tak, aby používaly údržbu řízenou zákazníkem?

Všechny skladové položky služby Azure VPN Gateway (s výjimkou skladové položky Basic) je možné nakonfigurovat tak, aby používaly údržbu řízenou zákazníkem.

Jak dlouho trvá, než se zásady konfigurace údržby projeví po přiřazení k prostředku brány?

Po přidružení zásad údržby k prostředku brány může trvat až 24 hodin, než se síťové brány řídí plánem údržby.

Existují nějaká omezení používání údržby řízené zákazníkem na základě veřejné IP adresy skladové položky Basic?

Ano. Údržba řízená zákazníkem nefunguje u prostředků, které používají veřejné IP adresy skladové položky Basic, s výjimkou případů aktualizací služeb. U těchto bran údržba hostovaného operačního systému neodpovídá plánu údržby řízené zákazníkem kvůli omezením infrastruktury.

Jak mám naplánovat časové období údržby při používání sítě VPN a ExpressRoute ve scénáři koexistence?

Při práci se sítí VPN a ExpressRoute ve scénáři koexistence nebo při každém použití prostředků, které fungují jako zálohy, doporučujeme nastavit samostatná časová období údržby. Tento přístup zajišťuje, že údržba nemá vliv na prostředky zálohování současně.

Naplánoval(a) jsem časové období údržby pro budoucí datum jednoho z mých prostředků. Jsou aktivity údržby u tohoto prostředku pozastavené do té doby?

Ne, aktivity údržby se na vašem prostředku během období před časovým obdobím plánované údržby pozastaví. Pro dny, které nejsou zahrnuté v plánu údržby, údržba pokračuje obvyklým způsobem u prostředku.

Návody zjistit další informace o údržbě brány řízené zákazníkem?

Další informace najdete v článku Konfigurace údržby brány řízené zákazníkem pro službu VPN Gateway .

Související obsah

OpenVPN je ochranná známka společnosti OpenVPN Inc.