Erstellen einer Site-to-Site-VPN-Verbindung – Azure PowerShell

In diesem Artikel erfahren Sie, wie Sie PowerShell zum Erstellen einer Site-to-Site-VPN Gateway-Verbindung zwischen Ihrem lokalen Netzwerk und einem virtuellen Netzwerk (VNet) verwenden.

Eine Site-to-Site-VPN-Gateway-Verbindung wird verwendet, um Ihr lokales Netzwerk über einen IPsec/IKE-VPN-Tunnel (IKEv1 oder IKEv2) mit einem virtuellen Azure-Netzwerk zu verbinden. Für diese Art von Verbindung wird ein lokales VPN-Gerät benötigt, dem eine extern zugängliche, öffentliche IP-Adresse zugewiesen ist. Mithilfe der in diesem Artikel beschriebenen Schritte wird eine Verbindung zwischen dem VPN-Gateway und dem lokalen VPN-Gerät unter Verwendung eines gemeinsamen Schlüssels hergestellt. Weitere Informationen zu VPN-Gateways finden Sie unter Informationen zu VPN Gateway.

Voraussetzungen

Vergewissern Sie sich vor Beginn der Konfiguration, dass Ihre Umgebung die folgenden Kriterien erfüllt:

• Stellen Sie sicher, dass Sie über ein funktionierendes routingbasiertes VPN-Gateway verfügen. Informationen zum Erstellen eines VPN-Gateways finden Sie unter Erstellen eines VPN-Gateways.

• Falls Sie nicht mit den IP-Adressbereichen in Ihrer lokalen Netzwerkkonfiguration vertraut sind, wenden Sie sich an eine Person, die Ihnen diese Informationen zur Verfügung stellen kann. Beim Erstellen dieser Konfiguration müssen Sie die Präfixe für die IP-Adressbereiche angeben, die Azure an Ihren lokalen Standort weiterleitet. Keines der Subnetze Ihres lokalen Netzwerks darf sich mit den Subnetzen des virtuellen Netzwerks überschneiden, mit dem Sie eine Verbindung herstellen möchten.

• VPN-Geräte:

  • Achten Sie darauf, dass Sie über ein kompatibles VPN-Gerät und eine Person verfügen, die es konfigurieren kann. Weitere Informationen zu kompatiblen VPN-Geräten und zur Gerätekonfiguration finden Sie unter Informationen zu VPN-Geräten.
  • Überprüfen Sie, ob Ihr VPN-Gerät Gateways im Aktiv/Aktiv-Modus unterstützt. In diesem Artikel wird ein VPN-Gateway im Aktiv/Aktiv-Modus erstellt, das für hochverfügbare Konnektivität empfohlen wird. Der Aktiv/Aktiv-Modus gibt an, dass beide Gateway-VM-Instanzen aktiv sind. Dieser Modus erfordert zwei öffentliche IP-Adressen, eine für jede Gateway-VM-Instanz. Sie konfigurieren Ihr VPN-Gerät so, dass es eine Verbindung mit der IP-Adresse für jede Gateway-VM-Instanz herstellt.
    Wenn Ihr VPN-Gerät diesen Modus nicht unterstützt, aktivieren Sie diesen Modus nicht für Ihr Gateway. Weitere Informationen finden Sie unter Entwerfen hochverfügbarer Gatewaykonnektivität für standortübergreifende Verbindungen und VNet-zu-VNet-Verbindungen und Informationen zu VPN-Gateways im Aktiv/Aktiv-Modus.

Azure PowerShell

In diesem Artikel werden PowerShell-Cmdlets verwendet. Um die Cmdlets auszuführen, können Sie Azure Cloud Shell verwenden. Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.

Wählen Sie in der oberen rechten Ecke eines Codeblocks einfach die Option Cloud Shell öffnen aus, um Cloud Shell zu öffnen. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/powershell navigieren. Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und drücken Sie die EINGABETASTE, um sie auszuführen.

Sie können die Azure PowerShell-Cmdlets auch lokal auf Ihrem Computer installieren und ausführen. PowerShell-Cmdlets werden regelmäßig aktualisiert. Wenn Sie nicht die aktuelle Version installiert haben, kann es bei Verwendung der in den Anweisungen angegebenen Werte zu Fehlern kommen. Verwenden Sie das Cmdlet Get-Module -ListAvailable Az, um die auf Ihrem Computer installierten Azure PowerShell-Versionen zu ermitteln. Informationen zum Installieren oder Aktualisieren finden Sie unter Installieren des Azure PowerShell-Moduls.

Erstellen eines Gateways für das lokale Netzwerk

Mit dem Gateway des lokalen Netzwerks (LNG) ist normalerweise Ihr lokaler Standort gemeint. Dieser ist nicht identisch mit einem Gateway für virtuelle Netzwerke. Sie geben dem Standort einen Namen, über den Azure darauf verweisen kann, und geben dann die IP-Adresse des lokalen VPN-Geräts an, mit dem Sie eine Verbindung herstellen. Außerdem geben Sie die IP-Adresspräfixe an, die über das VPN-Gateway an das VPN-Gerät weitergeleitet werden. Die von Ihnen angegebenen Adresspräfixe befinden sich in Ihrem lokalen Netzwerk. Sie können diese Präfixe leicht aktualisieren, wenn sich Ihr lokales Netzwerk ändert.

Wählen Sie eins der folgenden Beispiele aus. Die in den Beispielen verwendeten Werte lauten wie folgt:

• GatewayIPAddress ist die IP-Adresse Ihres lokalen VPN-Geräts, nicht Ihres Azure VPN-Gateways.
• AddressPrefix ist Ihr lokaler Adressraum.

Beispiel mit einzelnem Adresspräfix

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix '10.0.0.0/24'

Beispiel mit mehreren Adresspräfixen

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix @('10.3.0.0/16','10.0.0.0/24')

Konfigurieren des VPN-Geräts

Für Site-to-Site-Verbindungen mit einem lokalen Netzwerk ist ein VPN-Gerät erforderlich. In diesem Schritt konfigurieren Sie Ihr VPN-Gerät. Beim Konfigurieren des VPN-Geräts benötigen Sie die folgenden Elemente:

• Gemeinsam verwendeter Schlüssel: Dieser gemeinsam verwendete Schlüssel ist derselbe gemeinsam verwendete Schlüssel, den Sie beim Erstellen Ihrer Site-to-Site-VPN-Verbindung angeben. In unseren Beispielen verwenden wir einen einfachen gemeinsamen Schlüssel. Es wird empfohlen, einen komplexeren Schlüssel zu generieren.

• Öffentliche IP-Adressen Ihrer VNET-Gatewayinstanzen: Rufen Sie die IP-Adresse für jede VM-Instanz ab. Wenn sich Ihr Gateway im Aktiv/Aktiv-Modus befindet, besitzen Sie eine IP-Adresse für jede Gateway-VM-Instanz. Stellen Sie sicher, dass Sie Ihr Gerät mit beiden IP-Adressen konfigurieren, einer für jede aktive Gateway-VM. Gateways im Aktiv/Standby-Modus verfügen nur über eine IP-Adresse. In diesem Beispiel ist „VNet1GWpip1“ der Name der öffentlichen IP-Adressressource.

  Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
  

Abhängig von Ihrem VPN-Gerät können Sie möglicherweise ein Skript zur Konfiguration des VPN-Geräts herunterladen. Weitere Informationen finden Sie unter Herunterladen von VPN-Gerätekonfigurationsskripts für S2S-VPN-Verbindungen.

Weitere Konfigurationsinformationen finden Sie unter den folgenden Links:

• Informationen zu kompatiblen VPN-Geräten finden Sie unter Über VPN-Geräte.

• Überprüfen Sie vor dem Konfigurieren Ihres VPN-Geräts auf Bekannte Probleme mit der Gerätekompatibilität.

• Links zu Gerätekonfigurationseinstellungen finden Sie unter Überprüfte VPN-Geräte. Wir stellen die Links zur Gerätekonfiguration nach bestem Wissen und Gewissen zur Verfügung, aber es ist immer am besten, sich beim Hersteller Ihres Geräts nach den neuesten Konfigurationsinformationen zu erkundigen.

  Die Liste enthält die von uns getesteten Versionen. Wenn die Betriebssystemversion Ihres VPN-Geräts nicht auf der Liste steht, könnte es trotzdem kompatibel sein. Wenden Sie sich an Ihren Gerätehersteller.

• Grundlegende Informationen zur Konfiguration von VPN-Geräten finden Sie unter Übersicht über die Konfigurationen von Partner-VPN-Geräten.

• Informationen zur Bearbeitung von Gerätekonfigurationsbeispielen finden Sie unter Bearbeiten von Gerätekonfigurationsbeispielen.

• Kryptografische Anforderungen finden Sie im Artikel zu kryptografischen Anforderungen und Azure-VPN-Gateways.

• Informationen zu den Parametern, die Sie zur Vervollständigung Ihrer Konfiguration benötigen, finden Sie unter Standard IPsec/IKE-Parameter. Zu den Informationen gehören die IKE-Version, die Diffie-Hellman (DH)-Gruppe, die Authentifizierungsmethode, die Verschlüsselungs- und Hash-Algorithmen, die Lebensdauer der Sicherheitsbeziehung (SA), Perfect Forward Secrecy (PFS) und Dead Peer Detection (DPD).

• Die Konfigurationsschritte für IPsec/IKE-Richtlinien finden Sie unter Konfigurieren von benutzerdefinierten IPsec/IKE-Verbindungsrichtlinien für S2S VPN und VNet-to-VNet.

• Informationen zum Herstellen einer Verbindung für mehrere richtlinienbasierte VPN-Geräte finden Sie unter Herstellen einer Verbindung zwischen einem VPN Gateway und mehreren lokalen richtlinienbasierten VPN-Geräten.

Erstellen der VPN-Verbindung

Erstellen Sie die Site-to-Site-VPN-Verbindung zwischen dem Gateway Ihres virtuellen Netzwerks und Ihrem lokalen VPN-Gerät. Wenn Sie ein Gateway im Aktiv/Aktiv-Modus verwenden (empfohlen), verfügt jede Gateway-VM-Instanz über eine separate IP-Adresse. Um hochverfügbare Konnektivität ordnungsgemäß zu konfigurieren, müssen Sie einen Tunnel zwischen den VM-Instanzen und Ihrem VPN-Gerät. Beide Tunnel sind Teil derselben Verbindung.

Der gemeinsame Schlüssel muss dem Wert entsprechen, den Sie für Ihre VPN-Gerätekonfiguration verwendet haben. Beachten Sie, dass „-ConnectionType“ für Site-to-Site-VPN IPsec lautet.

1. Legen Sie die Variablen fest.

   $gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Erstellen Sie die Verbindung.

   New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 `
   -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -SharedKey 'abc123'
   

Überprüfen der VPN-Verbindung

Es gibt mehrere Möglichkeiten, wie Sie Ihre VPN-Verbindung überprüfen können.

Sie können überprüfen, ob die Verbindungserstellung erfolgreich war, indem Sie das Cmdlet „Get-AzVirtualNetworkGatewayConnection“ mit oder ohne den Zusatz „-Debug“ verwenden.

1. Verwenden Sie das folgende Cmdlet-Beispiel, und konfigurieren Sie die Werte so, dass sie Ihren eigenen Werten entsprechen. Wählen Sie ggf. die Option „A“ für „Alle ausführen“ aus. In dem Beispiel verweist „-Name“ auf den Namen der Verbindung, die Sie testen möchten.

   Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1
   

2. Sehen Sie sich nach Abschluss des Cmdlets die Werte an. Im Beispiel weiter unten ist der Verbindungsstatus als „Connected“ (Verbunden) angegeben, und Sie sehen die Eingangs- und Ausgangsbytes.

   "connectionStatus": "Connected",
   "ingressBytesTransferred": 33509044,
   "egressBytesTransferred": 4142431
   

So ändern Sie die IP-Adresspräfixe für ein lokales Netzwerkgateway

Wenn sich die IP-Adressen ändern, die an den lokalen Standort weitergeleitet werden sollen, können Sie das Gateway des lokalen Netzwerks anpassen. Wenn Sie diese Beispiele verwenden, ändern Sie die Werte Ihrer Umgebung entsprechend.

So fügen Sie weitere Adresspräfixe hinzu:

1. Legen Sie die Variable für das lokale Netzwerkgateway (LocalNetworkGateway) fest.

   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Ändern Sie die Präfixe. Die von Ihnen angegebenen Werte überschreiben die vorherigen Werte.

   Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
   -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
   

So entfernen Sie Adresspräfixe:

Lassen Sie die Präfixe weg, die Sie nicht mehr benötigen. In diesem Beispiel wird das Präfix 10.101.2.0/24 (aus dem vorherigen Beispiel) nicht mehr benötigt. Daher wird das lokale Netzwerkgateway aktualisiert und das Präfix weggelassen.

1. Legen Sie die Variable für das lokale Netzwerkgateway (LocalNetworkGateway) fest.

   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Legen Sie das Gateway mit den aktualisierten Präfixen fest.

   Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
   -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
   

So ändern Sie die Gateway-IP-Adresse für ein lokales Netzwerkgateway

Wenn Sie die öffentliche IP-Adresse für Ihr VPN-Gerät ändern, müssen Sie das lokale Netzwerkgateway mit der aktualisierten IP-Adresse ändern. Bei dieser Gelegenheit können Sie auch die Adresspräfixe ändern. Achten Sie beim Modifizieren darauf, den Namen Ihres lokalen Netzwerkgateways zu verwenden. Wenn Sie einen anderen Namen verwenden, wird nicht das bereits vorhandene Gateway des lokalen Netzwerks überschrieben, sondern ein neues erstellt.

New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1

So löschen Sie eine Gatewayverbindung

Wenn Sie den Namen Ihrer Verbindung nicht kennen, können Sie den Namen mithilfe des Cmdlets „Get-AzVirtualNetworkGatewayConnection“ ermitteln.

Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
-ResourceGroupName TestRG1

Nächste Schritte

• Sobald die Verbindung hergestellt ist, können Sie Ihren virtuellen Netzwerken virtuelle Computer hinzufügen. Weitere Informationen finden Sie unter Virtuelle Computer .
• Informationen zu BGP finden Sie in der Übersicht über BGP und unter Konfigurieren von BGP.
• Informationen zum Erstellen einer Site-to-Site-VPN-Verbindung mithilfe einer Azure Resource Manager-Vorlage finden Sie unter Create a Site-to-Site VPN Connection (Erstellen einer Site-to-Site-VPN-Verbindung).
• Informationen zum Erstellen einer VNet-zu-VNet-VPN-Verbindung mithilfe einer Azure Resource Manager-Vorlage finden Sie unter Deploy HBase geo replication (Bereitstellen der HBase-Georeplikation).