Добавление или удаление подключений VPN-шлюза типа "сеть — сеть"

В этой статье показано, как добавить или удалить подключения типа "сеть — сеть" (S2S) для VPN-шлюза. Вы также можете добавить подключения S2S к VPN-шлюзу, который уже имеет подключение S2S, подключение типа "точка — сеть" или подключение "виртуальная сеть — виртуальная сеть". При добавлении подключений существуют некоторые ограничения. Ознакомьтесь с разделом "Предварительные требования" в этой статье, чтобы проверить, прежде чем начать настройку.

Сведения о сосуществующих соединениях ExpressRoute/site-to-site

• Инструкции, описанные в этой статье, позволяют добавить новое VPN-подключение к уже существующему соединению ExpressRoute/site-to-site.
• Инструкции, описанные в этой статье, нельзя использовать для настройки нового соединения ExpressRoute/site-to-site. Чтобы создать новое сосуществующее соединение, см. статью "ExpressRoute/S2S" сосуществующих подключений.

Предпосылки

Проверьте следующие элементы:

• Вы не настраиваете новое совместное соединение ExpressRoute и VPN-шлюза "сеть — сеть".
• У вас есть виртуальная сеть, созданная с помощью модели развертывания Resource Manager с существующим подключением.
• Шлюз виртуальной сети для виртуальной сети — RouteBased. Если у вас есть VPN-шлюз PolicyBased, необходимо удалить шлюз виртуальной сети и создать новый VPN-шлюз в качестве RouteBased.
• Ни один из диапазонов адресов не пересекается ни с одной из виртуальных сетей, к которым подключается эта виртуальная сеть.
• У вас есть совместимое VPN-устройство и кто-то, кто может настроить его. См. о VPN-устройствах. Если вы не знакомы с настройкой VPN-устройства или не знакомы с диапазонами IP-адресов, расположенными в вашей локальной конфигурации сети, вам нужно обратиться к пользователю, который может предоставить эти сведения.
• У вас есть внешний общедоступный IP-адрес для VPN-устройства.

Создание локального сетевого шлюза

Шлюз локальной сети — это конкретный объект, развернутый в Azure, который представляет локальное расположение (сайт) для маршрутизации. Присвойте сайту имя, по которому Azure может обращаться к этому сайту, а затем укажите IP-адрес локального VPN-устройства, к которому вы подключитесь. Вы можете также указать префиксы IP-адресов, которые будут направляться через VPN-шлюз к VPN-устройству. Префиксы адресов, которые вы указываете, это те префиксы, которые находятся в вашей локальной сети. Если вы внесли изменения в локальной сети или вам нужно изменить общедоступный IP-адрес для VPN-устройства, значения можно легко обновить позже.

Создайте шлюз локальной сети с помощью следующих примеров значений:

• Имя: Сайт1
• Группа ресурсов: TestRG1
• Местоположение: Восточная часть США

Рекомендации по конфигурации:

• VPN-шлюз поддерживает только один IPv4 адрес для каждого полного доменного имени. Если доменное имя разрешается на несколько IP-адресов, VPN-шлюз использует первый IP-адрес, возвращаемый DNS-серверами. Чтобы устранить такую неопределенность, мы рекомендуем всегда разрешать полное доменное имя на один IPv4-адрес. IPv6 не поддерживается.
• VPN-шлюз поддерживает кэш DNS, обновляемый каждые 5 минут. Шлюз пытается определить полные доменные имена только для неподключенных туннелей. Сброс шлюза также активирует разрешение FQDN.
• Хотя VPN-шлюз поддерживает несколько подключений к разным шлюзам локальной сети с разными полными доменными именами, все полные доменные имена должны разрешаться для разных IP-адресов.

1. На портале перейдите к шлюзам локальной сети и откройте страницу "Создание шлюза локальной сети ".

2. На вкладке "Основные сведения" укажите значения для шлюза локальной сети.

   

   • Подписка: убедитесь, что отображается правильная подписка.
   • Группа ресурсов: выберите группу ресурсов, которую вы хотите использовать. Вы можете создать новую группу ресурсов или выбрать уже существующую.
   • Регион: выберите регион для этого объекта. Может потребоваться выбрать то же расположение, где находится виртуальная сеть, но это не требуется.
   • Имя. Укажите имя объекта шлюза локальной сети.
   • Конечная точка: выберите тип конечной точки для локального VPN-устройства в качестве IP-адреса или полного доменного имени (FQDN).
     • IP-адрес. Если у вас есть статический общедоступный IP-адрес, выделенный поставщиком услуг Интернета (ISP) для VPN-устройства, выберите параметр IP-адреса. Заполните IP-адрес, как показано в примере. Этот адрес — это общедоступный IP-адрес VPN-устройства, к которому должен подключиться Azure VPN-шлюз. Если у вас нет IP-адреса прямо сейчас, можно использовать значения, показанные в примере. Позже вам нужно будет вернуться и заменить временный IP-адрес на общедоступный IP-адрес вашего VPN-устройства. В противном случае Azure не удается подключиться.
     • FQDN: Если у вас есть динамический общедоступный IP-адрес, который может измениться после определенного периода времени, часто определяемого вашим интернет-провайдером, вы можете использовать постоянное DNS-имя с службой динамического DNS, чтобы указать текущий общедоступный IP-адрес вашего VPN-устройства. VPN-шлюз Azure разрешает полное доменное имя (FQDN) для определения общедоступного IP-адреса для подключения.
   • Адресное пространство: адресное пространство ссылается на диапазоны адресов для сети, представляющей эту локальную сеть. Можно добавить несколько диапазонов пространства адресов. Убедитесь, что указанные диапазоны не перекрывают диапазоны других сетей, к которым необходимо подключиться. Azure направляет указанный диапазон адресов на IP-адрес локального VPN-устройства. Используйте собственные значения здесь, если вы хотите подключиться к локальному сайту, а не значения, показанные в примере.

3. На вкладке "Дополнительно" можно настроить параметры BGP при необходимости.

4. После указания значений нажмите кнопку "Проверить и создать " в нижней части страницы, чтобы проверить страницу.

5. Выберите "Создать", чтобы создать объект шлюза локальной сети.

Настройка устройства VPN

Для подключения "сеть — сеть" к локальной сети требуется VPN-устройство. На этом этапе мы настроим VPN-устройство. При настройке VPN-устройства вам потребуется следующее:

• Общий ключ. Это тот же общий ключ, который указывается при создании VPN-подключения "сеть — сеть". В наших примерах мы используем базовый общий ключ. Для практического использования рекомендуется создавать более сложные ключи.
• Общедоступный IP-адрес шлюза виртуальной сети. Общедоступный IP-адрес можно просмотреть с помощью портала Azure, PowerShell или CLI. Чтобы найти общедоступный IP-адрес VPN-шлюза с помощью портала Azure, перейдите к шлюзам виртуальной сети, а затем выберите имя шлюза.

В зависимости от используемого VPN-устройства можно скачать скрипт конфигурации VPN-устройства. Дополнительные сведения см. в разделе "Скачивание сценариев конфигурации VPN-устройства".

Дополнительные сведения о конфигурации см. по следующим ссылкам:

• Сведения о совместимых VPN-устройствах см. в разделе "VPN-устройства".
• Ссылки на параметры конфигурации устройства см. в разделе "Проверенные VPN-устройства". Ссылки на инструкции по настройке устройств будут предоставляться по мере возможности. Актуальные сведения о конфигурации всегда лучше проверять у производителей устройств. В списке перечислены протестированные нами версии. Если вашей ОС нет в этом списке, эта версия все равно может быть совместимой. Обратитесь к изготовителю устройства, чтобы убедиться, что версия ОС для VPN-устройства совместима.
• Общие сведения о конфигурации VPN-устройства см. в разделе "Общие сведения о конфигурациях СТОРОННИХ VPN-устройств".
• Сведения об изменении примеров конфигурации устройства см. в разделе "Редактирование примеров".
• Сведения о требованиях к шифрованию см. в разделе "Сведения о требованиях к шифрованию" и VPN-шлюзах Azure.
• Сведения о параметрах IPsec/IKE см. в разделе "Сведения о VPN-устройствах и параметрах IPsec/IKE" для подключений VPN-шлюза типа "сеть — сеть". Эта ссылка содержит сведения о версии IKE, Diffie-Hellman Group, методе проверки подлинности, алгоритмах шифрования и хэширования, времени существования SA, PFS и DPD, а также о других сведениях о параметрах, необходимых для завершения настройки.
• Инструкции по настройке политики IPsec/IKE см. в разделе "Настройка политики IPsec/IKE" для подключений VPN типа "сеть — сеть" или "виртуальная сеть — виртуальная сеть".
• Сведения о подключении нескольких VPN-устройств на основе политик см. в статье Подключение VPN-шлюзов Azure к нескольким локальным VPN-устройствам на основе политик с помощью PowerShell.

Настройка подключения

Создайте подключение VPN типа "сеть — сеть" между шлюзом виртуальной сети и локальным VPN-устройством. В этом разделе мы используем следующие примеры значений:

• Имя шлюза локальной сети: Сайт1
• Имя подключения: VNet1toSite1
• Общий ключ: В этом примере используется abc123. Но вы можете использовать все, что совместимо с оборудованием VPN. Важно, чтобы значения совпадали на обеих сторонах подключения.

1. На портале перейдите к шлюзу виртуальной сети и откройте его.

2. На странице шлюза выберите "Подключения".

3. В верхней части страницы "Подключения" нажмите кнопку "Добавить ", чтобы открыть страницу "Создать подключение ".

   

4. На странице "Создание подключения " на вкладке "Основные сведения" настройте значения для подключения:

   • В разделе "Сведения о проекте" выберите подписку и группу ресурсов, в которой находятся ресурсы.

   • В разделе "Сведения об экземпляре" настройте следующие параметры:

     • Тип подключения: выберите "Сеть — сеть" (IPSec).
     • Имя: присвойте подключению имя.
     • Регион: выберите регион для этого подключения.

5. Выберите вкладку "Параметры" и настройте следующие значения:

   

   • Шлюз виртуальной сети: выберите шлюз виртуальной сети из раскрывающегося списка.
   • Шлюз локальной сети: выберите шлюз локальной сети из раскрывающегося списка.
   • Общий ключ: значение здесь должно соответствовать значению, используемому для локального VPN-устройства. Если это поле не отображается на странице портала или вы хотите позже обновить этот ключ, можно сделать это после создания объекта подключения. Перейдите к созданному объекту подключения (например, имени VNet1toSite1) и обновите ключ на странице проверки подлинности .
   • Протокол IKE: select IKEv2.
   • Используйте частный IP-адрес Azure: не выбирайте эту опцию.
   • Включение BGP: Не выбирайте эту опцию.
   • FastPath: не выбирайте.
   • Политика IPsec/IKE: Выберите значение по умолчанию.
   • Используйте селектор трафика на основе политики: нажмите кнопку "Отключить".
   • Время ожидания DPD в секундах: выберите 45.
   • Режим подключения: выберите значение по умолчанию. Этот параметр используется для указания того, какой шлюз может инициировать подключение. Дополнительные сведения см. в разделе параметров VPN-шлюза — режимы подключения.

6. Для ассоциаций правил NAT оставьте и Ingress, и Egress как 0 выбрано.

7. Выберите "Проверка и создание ", чтобы проверить параметры подключения.

8. Нажмите кнопку "Создать" , чтобы создать подключение.

9. После завершения развертывания можно просмотреть подключение на странице "Подключения " шлюза виртуальной сети. Состояние изменяется с "Неизвестно" на "Подключение", а затем на "Успешно".

Просмотр и проверка VPN-подключения

Чтобы на портале Azure просмотреть состояние подключения VPN-шлюза, перейдите к нужному подключению. В следующих шагах показано, как перейти к подключению и проверить его.

1. В меню портала Azure выберите все ресурсы или найдите все ресурсы и выберите все ресурсы на любой странице.
2. Выберите шлюз виртуальной сети.
3. На панели шлюза виртуальной сети выберите "Подключения". Вы увидите состояние каждого подключения.
4. Выберите имя подключения, которое необходимо проверить, чтобы открыть Essentials. На панели Essentials можно просмотреть дополнительные сведения о подключении. Состояние успешно выполнено и подключено после успешного подключения.

Удаление подключения

1. На портале перейдите на страницу подключений VPN-шлюза.
2. Щелкните подключение, которое нужно удалить. Откроется страница подключения.
3. Нажмите кнопку "Удалить" , чтобы удалить подключение.

Дальнейшие шаги

Дополнительные сведения о конфигурациях VPN-шлюза типа "сеть — сеть" см. в руководстве. Настройка конфигурации VPN-шлюза типа "сеть — сеть".