Een site-naar-site-VPN-verbinding maken - Azure CLI

In dit artikel leest u hoe u de Azure CLI gebruikt om een site-naar-site-VPN-gatewayverbinding (S2S) te maken van uw on-premises netwerk naar een virtueel netwerk (VNet).

Een site-naar-site-VPN-gatewayverbinding wordt gebruikt om uw on-premises netwerk te verbinden met een virtueel Azure-netwerk via een VPN-tunnel van IPsec/IKE (IKEv1 of IKEv2). Voor dit type verbinding moet er on-premises een VPN-apparaat aanwezig zijn waaraan een extern openbaar IP-adres is toegewezen. Met de stappen in dit artikel maakt u een verbinding tussen de VPN-gateway en het on-premises VPN-apparaat met behulp van een gedeelde sleutel. Zie Overzicht van VPN Gateway voor meer informatie over VPN-gateways.

Voordat u begint

Controleer of uw omgeving voldoet aan de volgende criteria voordat u begint met de configuratie:

• Controleer of u een werkende op route gebaseerde VPN-gateway hebt. Zie Een VPN-gateway maken om een VPN-gateway te maken.

• Als u niet bekend bent met de IP-adresbereiken in uw on-premises netwerkconfiguratie, moet u contact opnemen met iemand die deze gegevens voor u kan opgeven. Wanneer u deze configuratie maakt, moet u de ip-adresbereikvoorvoegsels opgeven die Door Azure worden gerouteerd naar uw on-premises locatie. Geen van de subnetten van uw on-premises netwerk kan overlappen met de subnetten van het virtuele netwerk waarmee u verbinding wilt maken.

• VPN-apparaten:

  • Zorg ervoor dat u een compatibel VPN-apparaat hebt en iemand die het kan configureren. Zie Over VPN-apparaten voor meer informatie over compatibele VPN-apparaten en apparaatconfiguratie.
  • Bepaal of uw VPN-apparaat gateways in de actief-actieve modus ondersteunt. In dit artikel wordt een VPN-gateway voor de actief-actieve modus gemaakt. Dit wordt aanbevolen voor maximaal beschikbare connectiviteit. De modus Actief-actief geeft aan dat beide gateway-VM-exemplaren actief zijn. Voor deze modus zijn twee openbare IP-adressen vereist, één voor elk gateway-VM-exemplaar. U configureert uw VPN-apparaat om verbinding te maken met het IP-adres voor elk gateway-VM-exemplaar.
    Als uw VPN-apparaat deze modus niet ondersteunt, schakelt u deze modus niet in voor uw gateway. Zie Maximaal beschikbare connectiviteit ontwerpen voor cross-premises en VNet-naar-VNet-verbindingen en VPN-gateways in de actieve modus voor meer informatie.

• Voor dit artikel is versie 2.0 of hoger van Azure CLI vereist.

  • Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

    

  • Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

    • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

    • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

    • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

De lokale netwerkgateway maken

De lokale netwerkgateway verwijst doorgaans naar uw on-premises locatie. U geeft de site een naam waarmee Azure ernaar kan verwijzen en geef vervolgens het IP-adres op van het on-premises VPN-apparaat waarnaar u een verbinding maakt. U geeft ook de IP-adresvoorvoegsels op die via de VPN-gateway worden doorgestuurd naar het VPN-apparaat. De adresvoorvoegsels die u opgeeft, zijn de voorvoegsels die zich in uw on-premises netwerk bevinden. Als uw on-premises netwerk verandert, kunt u de voorvoegsels eenvoudig bijwerken.

Gebruik de volgende waarden:

• Het --gateway-ip-address is het IP-adres van uw on-premises VPN-apparaat.
• De --local-address-prefixes zijn uw on-premises adresruimten.

Gebruik de opdracht az network local-gateway create om een lokale netwerkgateway toe te voegen. In het volgende voorbeeld ziet u een lokale netwerkgateway met meerdere adresvoorvoegsels. Vervang de waarden door uw eigen waarden.

az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24

Uw VPN-apparaat configureren

Site-naar-site-verbindingen met een on-premises netwerk vereisen een VPN-apparaat. In deze stap configureert u het VPN-apparaat. Wanneer u uw VPN-apparaat configureert, hebt u de volgende waarden nodig:

• Gedeelde sleutel: deze gedeelde sleutel is dezelfde sleutel die u opgeeft wanneer u uw site-naar-site-VPN-verbinding maakt. In onze voorbeelden gebruiken we een eenvoudige gedeelde sleutel. We raden u aan een complexere sleutel te genereren.

• Openbare IP-adressen van uw virtuele netwerkgatewayexemplaren: haal het IP-adres voor elk VM-exemplaar op. Als uw gateway zich in de actief-actiefmodus bevindt, hebt u een IP-adres voor elk gateway-VM-exemplaar. Zorg ervoor dat u uw apparaat configureert met beide IP-adressen, één voor elke actieve gateway-VM. Gateways in de modus Actief-stand-by hebben slechts één IP-adres.

  Gebruik de opdracht az network public-ip list om het openbare IP-adres van uw virtuele netwerkgateway te vinden. De lijst met openbare IP-adressen wordt in een gemakkelijk leesbare tabelindeling weergegeven. In het voorbeeld is VNet1GWpip1 de naam van de openbare IP-adresresource.

  az network public-ip list --resource-group TestRG1 --output table
  

Afhankelijk van het VPN-apparaat dat u hebt, kunt u mogelijk een configuratiescript voor een VPN-apparaat downloaden. Zie voor meer informatie Configuratiescripts van VPN-apparaat downloaden.

De volgende koppelingen bevatten meer configuratiegegevens:

• Zie Over VPN-apparaten voor meer informatie over compatibele VPN-apparaten.

• Controleer voordat u uw VPN-apparaat configureert op bekende compatibiliteitsproblemen met apparaten.

• Zie Gevalideerde VPN-apparaten voor koppelingen naar instellingen voor apparaatconfiguratie. We bieden de apparaatconfiguratiekoppelingen op basis van best effort, maar het is altijd raadzaam om contact op te nemen met de fabrikant van uw apparaat voor de meest recente configuratiegegevens.

  De lijst bevat de versies die we hebben getest. Als de versie van het besturingssysteem voor uw VPN-apparaat niet in de lijst staat, is deze mogelijk nog steeds compatibel. Neem contact op met de fabrikant van uw apparaat.

• Zie Overzicht van vpn-apparaatconfiguraties van partners voor basisinformatie over de configuratie van VPN-apparaten.

• Zie Bewerkingsvoorbeelden voor voorbeelden van het bewerken van de apparaatconfiguratie.

• Zie Informatie over cryptografische vereisten en Azure VPN-gateways voor informatie over cryptografische vereisten.

• Zie De standaard-IPsec-/IKE-parameters voor informatie over parameters die u nodig hebt om uw configuratie te voltooien. De informatie bevat IKE-versie, Diffie-Hellman-groep (DH), verificatiemethode, versleutelings- en hash-algoritmen, sa-levensduur (security association), perfect forward secrecy (PFS) en Dead Peer Detection (DPD).

• Zie Aangepast IPsec-/IKE-verbindingsbeleid configureren voor S2S VPN en VNet-naar-VNet voor configuratiestappen voor IPsec-/IKE-beleid.

• Als u meerdere op beleid gebaseerde VPN-apparaten wilt verbinden, raadpleegt u Een VPN-gateway verbinden met meerdere on-premises op beleid gebaseerde VPN-apparaten.

De VPN-verbinding maken

Maak een site-naar-site-VPN-verbinding tussen uw virtuele netwerkgateway en uw on-premises VPN-apparaat. Als u een gateway in de actief-actieve modus gebruikt (aanbevolen), heeft elk gateway-VM-exemplaar een afzonderlijk IP-adres. Als u de maximaal beschikbare connectiviteit goed wilt configureren, moet u een tunnel tot stand brengen tussen elk VM-exemplaar en uw VPN-apparaat. Beide tunnels maken deel uit van dezelfde verbinding.

Maak de verbinding met behulp van de opdracht az network vpn-connection create. De gedeelde sleutel moet overeenkomen met de waarde die u hebt gebruikt voor de configuratie van uw VPN-apparaat.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Na een korte tijd wordt de verbinding tot stand gebracht.

De VPN-verbinding controleren

U kunt controleren of uw verbinding is geslaagd met behulp van de opdracht az network vpn-connection show. In het voorbeeld verwijst '--name' naar de naam van de verbinding die u wilt testen. Zolang het tot stand brengen van de verbinding bezig is, is de verbindingsstatus "Verbinding maken". Wanneer de verbinding tot stand is gebracht, verandert de status in "Verbonden". Wijzig het volgende voorbeeld met de waarden voor uw omgeving.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Zie Een VPN-gatewayverbinding controleren als u een andere methode wilt gebruiken om uw verbinding te controleren.

Algemene taken

Deze sectie bevat veelgebruikte opdrachten die nuttig zijn bij het werken met site-naar-siteconfiguraties. Zie Azure CLI - Networking (Azure CLI: netwerken) voor een volledige lijst met CLI-netwerkopdrachten.

Lokale netwerkgateways bekijken

Gebruik de opdracht az network local-gateway list om een lijst met gateways voor lokale netwerken weer te geven.

az network local-gateway list --resource-group TestRG1

IP-adresvoorvoegsels wijzigen voor de gateway van een lokaal netwerk - geen gatewayverbinding

Als u IP-adresvoorvoegsels wilt toevoegen of verwijderen en uw gateway nog geen verbinding heeft, kunt u de voorvoegsels bijwerken met az network local-gateway create. Gebruik de bestaande naam van de gateway van uw lokale netwerk om de huidige instellingen te overschrijven. Als u een andere naam gebruikt, maakt u een nieuwe lokale netwerkgateway in plaats van de bestaande gateway te overschrijven. U kunt deze opdracht ook gebruiken om het gateway-IP-adres voor het VPN-apparaat bij te werken.

Elke keer dat u een wijziging aanbrengt, moet de volledige lijst met voorvoegsels worden opgegeven, niet alleen de voorvoegsels die u wilt wijzigen. Geef alleen de voorvoegsels op die u wilt houden. In dit geval 10.0.0.0/24 en 10.3.0.0/16

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16

IP-adresvoorvoegsels wijzigen voor de gateway van een lokaal netwerk - bestaande gatewayverbinding

Als u een gatewayverbinding hebt en u IP-adresvoorvoegsels wilt toevoegen of verwijderen, kunt u de voorvoegsels bijwerken met az network local-gateway update. Dit veroorzaakt enige downtime in uw VPN-verbinding.

Elke keer dat u een wijziging aanbrengt, moet de volledige lijst met voorvoegsels worden opgegeven, niet alleen de voorvoegsels die u wilt wijzigen. In dit voorbeeld zijn 10.0.0.0/24 en 10.3.0.0/16 al aanwezig. We voegen de voorvoegsels 10.5.0.0/16 en 10.6.0.0/16 toe en geven alle 4 van de voorvoegsels op bij het bijwerken.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1

Het 'gatewayIpAddress' van de lokale netwerkgateway wijzigen

Als u het openbare IP-adres voor uw VPN-apparaat wijzigt, moet u de lokale netwerkgateway wijzigen met het bijgewerkte IP-adres. Wanneer u de gateway wijzigt, moet u de bestaande naam van uw lokale netwerkgateway opgeven. Als u een andere naam gebruikt, maakt u een nieuwe lokale netwerkgateway in plaats van de bestaande gatewaygegevens te overschrijven.

Voor het wijzigen van het gateway-IP-adres vervang u de waarden 'Site2' en 'TestRG1' door uw eigen waarden met behulp van de opdracht az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Controleer of het IP-adres juist is in de uitvoer:

"gatewayIpAddress": "23.99.222.170",

De gedeelde sleutelwaarden controleren

Controleer of de waarde van de gedeelde sleutel gelijk is aan de waarde die u voor de configuratie van uw VPN-apparaat hebt gebruikt. Als dit niet het geval is, voert u de verbinding opnieuw uit met behulp van de waarde van het apparaat of werkt u het apparaat bij met de waarde uit de return. De waarden moeten overeenkomen. Gebruik az network vpn-connection-list om de gedeelde sleutel weer te geven.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Het openbare IP-adres van de VPN Gateway weergeven

Gebruik de opdracht az network public-ip list om het openbare IP-adres van uw virtuele netwerkgateway te vinden. De lijst met openbare IP-adressen wordt in dit voorbeeld in een gemakkelijk leesbare tabelindeling weergegeven.

az network public-ip list --resource-group TestRG1 --output table

Volgende stappen

• Zie het BGP-overzicht en het configureren van BGP voor meer informatie over BGP.
• Zie Informatie over geforceerde tunneling voor meer informatie over geforceerde tunneling.
• Zie cross-premises en VNet-naar-VNet-connectiviteit voor meer informatie over maximaal beschikbare actief-actieve verbindingen.
• Zie Azure CLI voor een lijst met Azure CLI-opdrachten voor netwerken.
• Zie Een site-naar-site-VPN-verbinding maken voor informatie over het maken van een site-naar-site-VPN-verbinding met behulp van een Azure Resource Manager-sjabloon.
• Zie HBase-geo-replicatie implementeren voor informatie over het maken van een VNet-naar-VNet-VPN-verbinding met behulp van een Azure Resource Manager-sjabloon.