Erstellen einer Site-to-Site-VPN-Verbindung – Azure CLI

In diesem Artikel wird beschrieben, wie Sie die Azure-CLI zum Erstellen einer Site-to-Site-VPN-Gateway-Verbindung (S2S) zwischen Ihrem lokalen Netzwerk und einem virtuellen Netzwerk (vNet) verwenden.

Eine Site-to-Site-VPN-Gateway-Verbindung wird verwendet, um Ihr lokales Netzwerk über einen IPsec/IKE-VPN-Tunnel (IKEv1 oder IKEv2) mit einem virtuellen Azure-Netzwerk zu verbinden. Für diese Art von Verbindung wird ein lokales VPN-Gerät benötigt, dem eine extern zugängliche, öffentliche IP-Adresse zugewiesen ist. Mithilfe der in diesem Artikel beschriebenen Schritte wird eine Verbindung zwischen dem VPN-Gateway und dem lokalen VPN-Gerät unter Verwendung eines gemeinsamen Schlüssels hergestellt. Weitere Informationen zu VPN-Gateways finden Sie unter Informationen zu VPN Gateway.

Voraussetzungen

Vergewissern Sie sich vor Beginn der Konfiguration, dass Ihre Umgebung die folgenden Kriterien erfüllt:

• Stellen Sie sicher, dass Sie über ein funktionierendes routingbasiertes VPN-Gateway verfügen. Informationen zum Erstellen eines VPN-Gateways finden Sie unter Erstellen eines VPN-Gateways.

• Falls Sie nicht mit den IP-Adressbereichen in Ihrer lokalen Netzwerkkonfiguration vertraut sind, wenden Sie sich an eine Person, die Ihnen diese Informationen zur Verfügung stellen kann. Beim Erstellen dieser Konfiguration müssen Sie die Präfixe für die IP-Adressbereiche angeben, die Azure an Ihren lokalen Standort weiterleitet. Keines der Subnetze Ihres lokalen Netzwerks darf sich mit den Subnetzen des virtuellen Netzwerks überschneiden, mit dem Sie eine Verbindung herstellen möchten.

• VPN-Geräte:

  • Achten Sie darauf, dass Sie über ein kompatibles VPN-Gerät und eine Person verfügen, die es konfigurieren kann. Weitere Informationen zu kompatiblen VPN-Geräten und zur Gerätekonfiguration finden Sie unter Informationen zu VPN-Geräten.
  • Überprüfen Sie, ob Ihr VPN-Gerät Gateways im Aktiv/Aktiv-Modus unterstützt. In diesem Artikel wird ein VPN-Gateway im Aktiv/Aktiv-Modus erstellt, das für hochverfügbare Konnektivität empfohlen wird. Der Aktiv/Aktiv-Modus gibt an, dass beide Gateway-VM-Instanzen aktiv sind. Dieser Modus erfordert zwei öffentliche IP-Adressen, eine für jede Gateway-VM-Instanz. Sie konfigurieren Ihr VPN-Gerät so, dass es eine Verbindung mit der IP-Adresse für jede Gateway-VM-Instanz herstellt.
    Wenn Ihr VPN-Gerät diesen Modus nicht unterstützt, aktivieren Sie diesen Modus nicht für Ihr Gateway. Weitere Informationen finden Sie unter Entwerfen hochverfügbarer Gatewaykonnektivität für standortübergreifende Verbindungen und VNet-zu-VNet-Verbindungen und Informationen zu VPN-Gateways im Aktiv/Aktiv-Modus.

• Für diesen Artikel ist mindestens Version 2.0 der Azure CLI erforderlich.

  • Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

    

  • Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

    • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

    • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

    • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

Erstellen des Gateways des lokalen Netzwerks

Mit dem Gateway des lokalen Netzwerks ist normalerweise Ihr lokaler Standort gemeint. Sie geben dem Standort einen Namen, über den Azure darauf verweisen kann, und geben dann die IP-Adresse des lokalen VPN-Geräts an, mit dem Sie eine Verbindung herstellen. Außerdem geben Sie die IP-Adresspräfixe an, die über das VPN-Gateway an das VPN-Gerät weitergeleitet werden. Die von Ihnen angegebenen Adresspräfixe befinden sich in Ihrem lokalen Netzwerk. Sie können diese Präfixe leicht aktualisieren, wenn sich Ihr lokales Netzwerk ändert.

Verwenden Sie folgende Werte:

• --gateway-ip-address ist die IP-Adresse Ihres lokalen VPN-Geräts.
• --local-address-prefixes steht für Ihre lokalen Adressräume.

Fügen Sie mit dem Befehl az network local-gateway create ein Gateway des lokalen Netzwerks hinzu. Im folgenden Beispiel wird ein lokales Netzwerkgateway mit mehreren Adresspräfixen veranschaulicht. Ersetzen Sie die Werte dabei durch Ihre eigenen Werte.

az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24

Konfigurieren des VPN-Geräts

Für Site-to-Site-Verbindungen mit einem lokalen Netzwerk ist ein VPN-Gerät erforderlich. In diesem Schritt konfigurieren Sie Ihr VPN-Gerät. Wenn Sie Ihr VPN-Gerät konfigurieren, benötigen Sie die folgenden Werte:

• Gemeinsam verwendeter Schlüssel: Dieser gemeinsam verwendete Schlüssel ist derselbe gemeinsam verwendete Schlüssel, den Sie beim Erstellen Ihrer Site-to-Site-VPN-Verbindung angeben. In unseren Beispielen verwenden wir einen einfachen gemeinsamen Schlüssel. Es wird empfohlen, einen komplexeren Schlüssel zu generieren.

• Öffentliche IP-Adressen Ihrer VNET-Gatewayinstanzen: Rufen Sie die IP-Adresse für jede VM-Instanz ab. Wenn sich Ihr Gateway im Aktiv/Aktiv-Modus befindet, besitzen Sie eine IP-Adresse für jede Gateway-VM-Instanz. Stellen Sie sicher, dass Sie Ihr Gerät mit beiden IP-Adressen konfigurieren, einer für jede aktive Gateway-VM. Gateways im Aktiv/Standby-Modus verfügen nur über eine IP-Adresse.

  Verwenden Sie den Befehl az network public-ip list, um die öffentliche IP-Adresse des Gateways des virtuellen Netzwerks zu ermitteln. Zur besseren Lesbarkeit wird die Ausgabe formatiert, damit die Liste mit den öffentlichen IP-Adressen in Tabellenform angezeigt wird. In diesem Beispiel ist „VNet1GWpip1“ der Name der öffentlichen IP-Adressressource.

  az network public-ip list --resource-group TestRG1 --output table
  

Abhängig von Ihrem VPN-Gerät können Sie möglicherweise ein Skript zur Konfiguration des VPN-Geräts herunterladen. Weitere Informationen finden Sie unter Herunterladen von VPN-Gerätekonfigurationsskripts für S2S-VPN-Verbindungen.

Weitere Konfigurationsinformationen finden Sie unter den folgenden Links:

• Informationen zu kompatiblen VPN-Geräten finden Sie unter Über VPN-Geräte.

• Überprüfen Sie vor dem Konfigurieren Ihres VPN-Geräts auf Bekannte Probleme mit der Gerätekompatibilität.

• Links zu Gerätekonfigurationseinstellungen finden Sie unter Überprüfte VPN-Geräte. Wir stellen die Links zur Gerätekonfiguration nach bestem Wissen und Gewissen zur Verfügung, aber es ist immer am besten, sich beim Hersteller Ihres Geräts nach den neuesten Konfigurationsinformationen zu erkundigen.

  Die Liste enthält die von uns getesteten Versionen. Wenn die Betriebssystemversion Ihres VPN-Geräts nicht auf der Liste steht, könnte es trotzdem kompatibel sein. Wenden Sie sich an Ihren Gerätehersteller.

• Grundlegende Informationen zur Konfiguration von VPN-Geräten finden Sie unter Übersicht über die Konfigurationen von Partner-VPN-Geräten.

• Informationen zur Bearbeitung von Gerätekonfigurationsbeispielen finden Sie unter Bearbeiten von Gerätekonfigurationsbeispielen.

• Kryptografische Anforderungen finden Sie im Artikel zu kryptografischen Anforderungen und Azure-VPN-Gateways.

• Informationen zu den Parametern, die Sie zur Vervollständigung Ihrer Konfiguration benötigen, finden Sie unter Standard IPsec/IKE-Parameter. Zu den Informationen gehören die IKE-Version, die Diffie-Hellman (DH)-Gruppe, die Authentifizierungsmethode, die Verschlüsselungs- und Hash-Algorithmen, die Lebensdauer der Sicherheitsbeziehung (SA), Perfect Forward Secrecy (PFS) und Dead Peer Detection (DPD).

• Die Konfigurationsschritte für IPsec/IKE-Richtlinien finden Sie unter Konfigurieren von benutzerdefinierten IPsec/IKE-Verbindungsrichtlinien für S2S VPN und VNet-to-VNet.

• Informationen zum Herstellen einer Verbindung für mehrere richtlinienbasierte VPN-Geräte finden Sie unter Herstellen einer Verbindung zwischen einem VPN Gateway und mehreren lokalen richtlinienbasierten VPN-Geräten.

Erstellen der VPN-Verbindung

Erstellen Sie die Site-to-Site-VPN-Verbindung zwischen dem Gateway Ihres virtuellen Netzwerks und Ihrem lokalen VPN-Gerät. Wenn Sie ein Gateway im Aktiv/Aktiv-Modus verwenden (empfohlen), verfügt jede Gateway-VM-Instanz über eine separate IP-Adresse. Um hochverfügbare Konnektivität ordnungsgemäß zu konfigurieren, müssen Sie einen Tunnel zwischen den VM-Instanzen und Ihrem VPN-Gerät. Beide Tunnel sind Teil derselben Verbindung.

Erstellen Sie die Verbindung mit dem Befehl az network vpn-connection create. Der gemeinsame Schlüssel muss dem Wert entsprechen, den Sie für Ihre VPN-Gerätekonfiguration verwendet haben.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Die Verbindung wird nach kurzer Zeit hergestellt.

Überprüfen der VPN-Verbindung

Mit dem Befehl az network vpn-connection show können Sie überprüfen, ob die Verbindung erfolgreich hergestellt wurde. In dem Beispiel verweist „--name“ auf den Namen der Verbindung, die Sie testen möchten. Während der Verbindungsherstellung wird als Verbindungsstatus „Connecting“ (Wird verbunden...) angezeigt. Sobald die Verbindung hergestellt wurde, ändert sich der Status in „Connected“ (Verbunden). Ändern Sie das folgende Beispiel mit den Werten für Ihre Umgebung.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Falls Sie ein anderes Verfahren zum Überprüfen Ihrer Verbindung verwenden möchten, helfen Ihnen die Informationen unter Überprüfen einer VPN Gateway-Verbindung weiter.

Häufige Aufgaben

Dieser Abschnitt enthält allgemeine Befehle, die beim Arbeiten mit Site-to-Site-Konfigurationen hilfreich sind. Die vollständige Liste der CLI-Netzwerkbefehle finden Sie unter Networking - az network (Netzwerke – az network).

So zeigen Sie Gateways des lokalen Netzwerks an

Verwenden Sie zum Anzeigen einer Liste der Gateways des lokalen Netzwerks den Befehl az network local-gateway list.

az network local-gateway list --resource-group TestRG1

So ändern Sie die IP-Adresspräfixe eines Gateways des lokalen Netzwerks: Keine Gatewayverbindung

Wenn Sie IP-Adresspräfixe hinzufügen oder entfernen möchten und Ihr Gateway noch keine Verbindung aufweist, können Sie die Präfixe mithilfe von az network local-gateway create aktualisieren. Verwenden Sie zum Überschreiben der aktuellen Einstellungen den Namen des Gateways des lokalen Netzwerks. Wenn Sie einen anderen Namen verwenden, wird nicht das bereits vorhandene Gateway des lokalen Netzwerks überschrieben, sondern ein neues erstellt. Sie können diesen Befehl auch verwenden, um die Gateway-IP-Adresse für das VPN-Gerät zu aktualisieren.

Bei jeder Änderung muss die gesamte Liste mit Präfixen angegeben werden – nicht nur die Präfixe, die Sie ändern möchten. Geben Sie nur die Präfixe an, die Sie beibehalten möchten. Hier sind dies „10.0.0.0/24“ und „10.3.0.0/16“

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16

So ändern Sie die IP-Adresspräfixe eines Gateways des lokalen Netzwerks: Vorhandene Gatewayverbindung

Falls eine Gatewayverbindung besteht und Sie IP-Adresspräfixe hinzufügen oder entfernen möchten, können Sie die Präfixe mit az network local-gateway update aktualisieren. Dies führt zu Ausfallzeiten bei Ihrer VPN-Verbindung.

Bei jeder Änderung muss die gesamte Liste mit Präfixen angegeben werden – nicht nur die Präfixe, die Sie ändern möchten. In diesem Beispiel sind 10.0.0.0/24 und 10.3.0.0/16 bereits vorhanden. Wir fügen die Präfixe „10.5.0.0/16“ und „10.6.0.0/16“ hinzu, und geben alle vier Präfixe bei der Aktualisierung an.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1

So ändern Sie die Angabe für „gatewayIpAddress“ für ein Gateway des lokalen Netzwerks

Wenn Sie die öffentliche IP-Adresse für Ihr VPN-Gerät ändern, müssen Sie das lokale Netzwerkgateway mit der aktualisierten IP-Adresse ändern. Achten Sie beim Modifizieren des Gateways darauf, den vorhandenen Namen Ihres lokalen Netzwerkgateways anzugeben. Wenn Sie einen anderen Namen verwenden, wird nicht das bereits vorhandene Gateway des lokalen Netzwerks überschrieben, sondern ein neues erstellt.

Ersetzen Sie zum Ändern der Gateway-IP-Adresse die Werte „Site2“ und „TestRG1“ durch eigene Werte. Verwenden Sie dazu den Befehl az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Überprüfen Sie, ob die IP-Adresse in der Ausgabe korrekt ist:

"gatewayIpAddress": "23.99.222.170",

So überprüfen Sie die Werte für den gemeinsam verwendeten Schlüssel

Vergewissern Sie sich, dass der Wert des gemeinsam verwendeten Schlüssels dem Wert entspricht, den Sie für die Konfiguration Ihres VPN-Geräts verwendet haben. Wenn nicht, sollten Sie entweder die Verbindung erneut ausführen, indem Sie den Wert des Geräts verwenden, oder das Gerät mit dem zurückgegebenen Wert aktualisieren. Die Werte müssen übereinstimmen. Verwenden Sie zum Anzeigen des gemeinsam verwendeten Schlüssels den Befehl az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

So zeigen Sie die öffentliche IP-Adresse des VPN-Gateways an

Verwenden Sie den Befehl az network public-ip list, um die öffentliche IP-Adresse des Gateways des virtuellen Netzwerks zu ermitteln. Zur besseren Lesbarkeit wird die Ausgabe für dieses Beispiel formatiert, damit die Liste mit den öffentlichen IP-Adressen in Tabellenform angezeigt wird.

az network public-ip list --resource-group TestRG1 --output table

Nächste Schritte

• Informationen zu BGP finden Sie in der Übersicht über BGP und unter Konfigurieren von BGP.
• Weitere Informationen zur Tunnelerzwingung finden Sie unter Konfigurieren der Tunnelerzwingung mit dem Azure Resource Manager-Bereitstellungsmodell.
• Informationen zu Aktiv/Aktiv-Verbindungen mit hoher Verfügbarkeit finden Sie unter Standortübergreifende Verbindungen und VNET-zu-VNET-Verbindungen mit hoher Verfügbarkeit.
• Eine Liste mit Azure-CLI-Netzwerkbefehlen finden Sie unter Azure-CLI.
• Informationen zum Erstellen einer Site-to-Site-VPN-Verbindung mithilfe einer Azure Resource Manager-Vorlage finden Sie unter Erstellen einer Site-to-Site-VPN-Verbindung.
• Informationen zum Erstellen einer VNET-zu-VNET-VPN-Verbindung mithilfe einer Azure Resource Manager-Vorlage finden Sie unter Deploy HBase geo replication (Bereitstellen der HBase-Georeplikation).