VPN 网关常见问题

连接到虚拟网络

是否可以连接不同 Azure 区域中的虚拟网络?

是。 事实上,没有任何区域约束。 一个虚拟网络可以连接到同一区域中的其他虚拟网络,也可以连接到其他 Azure 区域中的其他虚拟网络。

是否可以连接不同订阅中的虚拟网络?

是。

是否可以从一个虚拟网络连接到多个站点?

你可以使用 Windows PowerShell 和 Azure REST API 连接到多个站点。 请参阅 多站点与 VNet 到 VNet 连接 的“常见问题”部分。

我的跨界连接选项有哪些?

支持以下跨界连接:

  • 站点到站点 - 基于 IPsec(IKE v1 和 IKE v2)的 VPN 连接。 此类型的连接需要 VPN 设备或 RRAS。 有关详细信息,请参阅站点到站点
  • 点到站点 - 基于 SSTP(安全套接字隧道协议)的 VPN 连接。 此连接不需要 VPN 设备。 有关详细信息,请参阅点到站点
  • VNet 到 VNet - 这种连接类型与站点到站点配置相同。 VNet 到 VNet 是一种基于 IPsec(IKE v1 和 IKE v2)的 VPN 连接。 它不需要 VPN 设备。 有关详细信息,请参阅 VNet 到 VNet
  • 多站点 - 这是站点到站点配置的变体,可将多个本地站点连接到虚拟网络。 有关详细信息,请参阅多站点
  • ExpressRoute - ExpressRoute 是从 WAN 到 Azure 的直接连接,不是经公共 Internet 的 VPN 连接。 有关详细信息,请参阅 ExpressRoute 技术概述ExpressRoute 常见问题

有关 VPN 网关连接的详细信息,请参阅关于 VPN 网关

站点到站点连接和点到站点连接的区别是什么?

站点到站点(IPsec/IKE VPN 隧道)配置是指本地位置与 Azure 之间的配置。 这意味着,可以将任何本地计算机连接到虚拟网络中的任何虚拟机或角色实例,具体取决于如何选择路由和权限的配置。 它对于需要始终可用的跨界连接来说是一个极佳的选项,很适合混合配置。 此类连接依赖于 IPsec VPN 设备(硬件设备或软件设备),该设备必须部署在网络边缘。 若要创建此类连接,必须具有面向外部且不在 NAT 之后的 IPv4 地址。

点到站点(基于 SSTP 的 VPN)配置允许从任何位置的单台计算机连接到虚拟网络中的任何内容。 它使用 Windows 内置的 VPN 客户端。 在进行点到站点配置时,你需要安装证书和 VPN 客户端配置包,其中包含的设置允许你的计算机连接到虚拟网络中的任何虚拟机或角色实例。 此连接适用于需要连接到虚拟网络但该虚拟网络不在本地的情况。 当你无法访问 VPN 硬件或面向外部的 IPv4 地址(二者是进行站点到站点连接所必需的)时,它也是一个很好的选项。

可以将虚拟网络配置为同时使用站点到站点连接和点到站点连接,前提是使用基于路由的 VPN 类型为网关创建站点到站点连接。 在经典部署模型中,基于路由的 VPN 类型称为动态网关。

虚拟网络网关

VPN 网关是否为虚拟网络网关?

VPN 网关是一种虚拟网络网关。 VPN 网关通过公共连接在虚拟网络和本地位置之间发送加密流量。 还可使用 VPN 网关在虚拟网络之间发送流量。 创建 VPN 网关时,指定“GatewayType”的值为“Vpn”。 有关详细信息,请参阅关于 VPN 网关配置设置

什么是基于策略的(静态路由)网关?

基于策略的网关实施基于策略的 VPN。 基于策略的 VPN 会根据本地网络和 Azure VNet 之间的地址前缀的各种组合,加密数据包并引导其通过 IPsec 隧道。 通常会在 VPN 配置中将策略(或流量选择器)定义为访问列表。

什么是基于路由的(动态路由)网关?

基于路由的网关可实施基于路由的 VPN。 基于路由的 VPN 使用 IP 转发或路由表中的“路由”将数据包定向到相应的隧道接口中。 然后,隧道接口会加密或解密出入隧道的数据包。 基于路由的 VPN 的策略或流量选择器配置为任意到任意(或通配符)。

是否需要“GatewaySubnet”?

是。 网关子网包含虚拟网络网关服务使用的 IP 地址。 若要配置虚拟网关,需要先为 VNet 创建网关子网。 所有网关子网都必须命名为“GatewaySubnet”才能正常工作。 不要对网关子网使用其他名称。 此外,不要在网关子网中部署 VM 或其他组件。

创建网关子网时,需指定子网包含的 IP 地址数。 网关子网中的 IP 地址将分配到网关服务。 某些配置需要多个 IP 地址,并将其分配到网关服务而不是执行其他操作。 需确保网关子网包含足够的 IP 地址,以适应未来的增长和可能的其他新连接配置。 因此,尽管网关子网最小可创建为 /29,但建议创建 /27 或更大(/27、/26 和 /25 等)的网关子网。 查看要创建的配置的要求,并验证所拥有的网关子网是否可满足这些要求。

是否可以将虚拟机或角色实例部署到网关子网?

否。

是否可以先获得 VPN 网关 IP 地址,然后再创建网关?

否。 必须先创建网关,然后才能获得 IP 地址。 如果先删除再重新创建 VPN 网关,IP 地址将会更改。

能否为 VPN 网关请求静态公共 IP 地址?

否。 仅支持动态 IP 地址分配。 但这并不意味着 IP 地址在分配到 VPN 网关后会更改。 VPN 网关 IP 地址只在删除或重新创建网关时更改。 VPN 网关公共 IP 地址不会因为重新调整大小、重置或其他 VPN 网关内部维护/升级而更改。

VPN 隧道如何进行身份验证?

Azure VPN 使用 PSK(预共享密钥)身份验证。 我们在创建 VPN 隧道时生成一个预共享密钥 (PSK)。 你可以使用设置预共享密钥 PowerShell cmdlet 或 REST API 将自动生成的 PSK 更改成你自己的 PSK。

是否可以使用“设置预共享密钥 API”配置基于策略的(静态路由)网关 VPN?

是,“设置预共享密钥 API”和 PowerShell cmdlet 可用于配置 Azure 基于策略的(静态)VPN 和基于路由的(动态)路由 VPN。

是否可以使用其他身份验证选项?

我们只能使用预共享密钥 (PSK) 进行身份验证。

如何指定通过 VPN 网关的流量?

Resource Manager 部署模型

  • PowerShell:使用“AddressPrefix”指定本地网络网关的流量。
  • Azure 门户:导航到“本地网关”>“配置”>“地址空间”。

经典部署模型

  • Azure 门户:导航到“经典虚拟网络”>“VPN 连接”>“站点到站点 VPN 连接”>“本地站点名称”>“本地站点”>“客户端地址空间”。
  • 经典管理门户:请在“本地网络”下的“网络”页上为虚拟网络添加要通过网关发送的每个范围。

是否可以配置强制隧道?

是。 请参阅配置强制隧道

是否可以在 Azure 中设置自己的 VPN 服务器,然后使用它连接到本地网络?

是。可以在 Azure 中部署自己的 VPN 网关或服务器,可以从 Azure 应用商店部署,也可以通过创建自己的 VPN 路由器部署。 需要在虚拟网络中配置用户定义的路由,确保流量在本地网络和虚拟网络子网之间正确路由。

我的 VPN 网关上的某些端口为何处于打开状态?

这些端口是进行 Azure 基础结构通信所必需的。 它们受 Azure 证书的保护(处于锁定状态)。 如果没有适当的证书,外部实体(包括这些网关的客户)将无法对这些终结点施加任何影响。

VPN 网关基本上是一个多宿主设备,其中一个 NIC 进入客户专用网络,另一个 NIC 面向公共网络。 因合规性原因,Azure 基础结构实体无法进入客户专用网络,因此需利用公共终结点进行基础结构通信。 Azure 安全审核会定期扫描公共终结点。

有关网关类型、要求和吞吐量的详细信息

有关详细信息,请参阅关于 VPN 网关配置设置

站点到站点连接和 VPN 设备

选择 VPN 设备时应考虑什么?

我们在与设备供应商合作的过程中验证了一系列的标准站点到站点 VPN 设备。 可在关于 VPN 设备一文中找到已知兼容的 VPN 设备及其相应的配置说明/示例和设备规范的列表。 设备系列中列为已知兼容设备的所有设备都应适用于虚拟网络。 若要获取配置 VPN 设备的帮助,请参考对应于相应设备系列的设备配置示例或链接。

在哪里可以找到 VPN 设备配置设置?

请参阅以下链接,了解配置信息:

如何编辑 VPN 设备配置示例?

若要了解如何编辑设备配置示例,请参阅编辑示例

在何处查找 IPsec 和 IKE 参数?

对于 IPsec/IKE 参数,请参阅参数

在流量处于空闲状态时,为何我的基于策略的 VPN 隧道会关闭?

对于基于策略(也称为静态路由)的 VPN 网关来说,这是预期的行为。 当经过隧道的流量处于空闲状态 5 分钟以上时,将销毁该隧道。 流量朝任一方向开始流动时,该隧道将立即重建。

我可以使用软件 VPN 连接到 Azure 吗?

我们支持将 Windows Server 2012 路由和远程访问 (RRAS) 服务器用于站点到站点跨界配置。

其他软件 VPN 解决方案只要遵循行业标准 IPsec 实现,就会与我们的网关兼容。 有关配置和支持说明,请与该软件的供应商联系。

点到站点连接

点到站点连接允许使用哪些客户端操作系统?

支持以下客户端操作系统:

  • Windows 7(32 位和 64 位)
  • Windows Server 2008 R2(仅 64 位)
  • Windows 8(32 位和 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows 10

是否可以使用任何支持 SSTP 的点到站点软件 VPN 客户端?

否。 仅支持上面列出的 Windows 操作系统版本。

在我的点到站点配置中,可以有多少 VPN 客户端终结点?

我们最多支持 128 个 VPN 客户端可同时连接到一个虚拟网络。

是否可以将我自己的内部 PKI 根 CA 用于点到站点连接?

是。 以前只可使用自签名根证书。 你仍可上传 20 个根证书。

是否可以使用点到站点功能穿越代理和防火墙?

是。 我们使用 SSTP(安全套接字隧道协议)作为隧道穿越防火墙。 此隧道将显示为 HTTPS 连接。

如果重新启动进行过点到站点配置的客户端计算机,是否会自动重新连接 VPN?

默认情况下,客户端计算机将不自动重新建立 VPN 连接。

点到站点在 VPN 客户端上是否支持自动重新连接和 DDNS?

点到站点 VPN 中当前不支持自动重新连接和 DDNS。

对于同一虚拟网络,站点到站点和点到站点配置能否共存?

是。 如果为网关使用 RouteBased VPN 类型,这两种解决方案都可行。 对于经典部署模型,需要一个动态网关。 我们不支持对静态路由 VPN 网关或使用 -VpnType PolicyBased cmdlet 的网关使用点到站点连接。

是否可以将点到站点客户端配置为同时连接到多个虚拟网络?

是,可以这样做。 但虚拟网络的 IP 前缀不得重叠,并且点到站点地址空间在虚拟网络之间不得重叠。

预计通过站点到站点连接或点到站点连接的吞吐量有多少?

很难维持 VPN 隧道的准确吞吐量。 IPsec 和 SSTP 是重重加密的 VPN 协议。 本地网络与 Internet 之间的延迟和带宽也限制了吞吐量。

VNet 到 VNet 和多站点连接

VNet 到 VNet 连接常见问题解答适用于 VPN 网关连接。 若要了解 VNet 对等互连,请参阅虚拟网络对等互连

Azure 会对 VNet 之间的流量收费吗?

当使用 VPN 网关连接时,同一区域中的 VNet 到 VNet 流量双向均免费。 跨区域 VNet 到 VNet 出口流量根据源区域的出站 VNet 间数据传输费率收费。 有关详细信息,请参阅 VPN 网关定价页。 如果使用 VNet 对等互连而非 VPN 网关连接 VNet,请参阅虚拟网络定价页

VNet 到 VNet 流量是否会通过 Internet?

否。 VNet 到 VNet 流量会流经 Azure 主干,而非 Internet。

VNet 到 VNet 流量是否安全?

是,它通过 IPsec/IKE 加密进行保护。

是否需要使用 VPN 设备将 VNet 连接在一起?

否。 将多个 Azure 虚拟网络连接在一起不需要 VPN 设备,除非需要跨界连接。

VNet 是否需要处于同一区域?

否。 虚拟网络可以在相同或不同的 Azure 区域(位置)中。

如果 VNet 不在同一订阅中,订阅是否需要与相同的 AD 租户相关联?

否。

能否将 VNet 到 VNet 连接与多站点连接一起使用?

是的。 虚拟网络连接可与多站点 VPN 同时使用。

一个虚拟网络可以连接到多少个本地站点和虚拟网络?

请参阅网关要求表。

是否可以使用 VNet 到 VNet 连接 VNet 外的 VM 或云服务?

否。 VNet 到 VNet 支持连接虚拟网络。 它不支持连接不在虚拟网络中的虚拟机或云服务。

云服务或负载均衡终结点可否跨 VNet?

否。 云服务或负载均衡终结点不能跨虚拟网络,即使它们连接在一起,也是如此。

是否可以为 VNet 到 VNet 或多站点连接使用 PolicyBased VPN 类型?

否。 VNet 到 VNet 连接和多站点连接需要 RouteBased(以前称为动态路由)VPN 类型的 Azure VPN 网关。

是否可以将 RouteBased VPN 类型的 VNet 连接到另一个 PolicyBased VPN 类型的 VNet?

否,两台虚拟网络都必须使用基于路由(以前称为动态路由)的 VPN。

VPN 隧道是否共享带宽?

是的。 虚拟网络的所有 VPN 隧道共享 Azure VPN 网关上的可用带宽,以及 Azure 中的相同 VPN 网关运行时间 SLA。

是否支持冗余隧道?

将一个虚拟网络网关配置为主动-主动模式时,支持在一对虚拟网络之间设置冗余隧道。

VNet 到 VNet 配置是否可以有重叠的地址空间?

否。 不能有重叠的 IP 地址范围。

连接的虚拟网络与内部本地站点之间是否可以有重叠的地址空间?

否。 不能有重叠的 IP 地址范围。

是否可以使用 Azure VPN 网关在我的本地站点之间传输流量或将流量传输到其他虚拟网络?

Resource Manager 部署模型
是。 有关详细信息,请参阅 BGP 部分。

经典部署模型
使用经典部署模型通过 Azure VPN 网关传输流量是可行的,但依赖于网络配置文件中静态定义的地址空间。 使用经典部署模型的 Azure 虚拟网络和 VPN 网关尚不支持 BGP。 没有 BGP,手动定义传输地址空间很容易出错,不建议这样做。

Azure 会为同一虚拟网络的所有 VPN 连接生成同一 IPsec/IKE 预共享密钥吗?

否,默认情况下,Azure 会为不同 VPN 连接生成不同的预共享密钥。 但是,你可以使用设置 VPN 网关密钥 REST API 或 PowerShell cmdlet 设置你想要的密钥值。 该密钥必须是长度介于 1 到 128 个字符之间的字母数字字符串。

使用更多站点到站点 VPN 是否会比为单个虚拟网络获取更多带宽?

否,所有 VPN 隧道(包括点到站点 VPN)共享同一 Azure VPN 网关和可用带宽。

是否可以使用多站点 VPN 在我的虚拟网络和本地站点之间配置多个隧道?

是,但必须在两个通向同一位置的隧道上配置 BGP。

是否可以将点到站点 VPN 用于具有多个 VPN 隧道的虚拟网络?

是,可以将点到站点 (P2S) VPN 用于连接到多个本地站点的 VPN 网关和其他虚拟网络。

是否可以将使用 IPsec VPN 的虚拟网络连接到我的 ExpressRoute 线路?

是,系统支持该操作。 有关详细信息,请参阅配置可共存的 ExpressRoute 连接和站点到站点 VPN 连接

BGP

BGP 是否在所有 Azure VPN 网关 SKU 上受支持?

否,BGP 在 Azure 标准 VPN 网关和高性能 VPN 网关上受支持 。 基本 SKU。

能否将 BGP 用于 Azure 基于策略的 VPN 网关?

否,只有基于路由的 VPN 网关支持 BGP。

能否使用专用 ASN(自治系统编号)?

能,可以将自己的公共 ASN 或专用 ASN 同时用于本地网络和 Azure 虚拟网络。

是否存在由 Azure 保留的 ASN?

是,Azure 保留了以下 ASN 用于内部和外部的对等互连:

  • 公用 ASN:8075、8076、12076
  • 专用 ASN:65515、65517、65518、65519、65520

连接到 Azure VPN 网关时,不能为本地 VPN 设备指定这些 ASN。

是否有任何其他不能使用的 ASN?

是的。以下 ASN 是 IANA 保留的,不能在 Azure VPN 网关上配置:

23456、64496-64511、65535-65551 和 429496729

能否将同一个 ASN 同时用于本地 VPN 网络和 Azure VNet?

否,必须在本地网络和 Azure VNet 之间分配不同 ASN(如果要使用 BGP 将它们连接在一起)。 无论是否为跨界连接启用了 BGP,都会为 Azure VPN 网关分配默认 ASN(即 65515)。 可以通过在创建 VPN 网关时分配不同 ASN,或者在创建网关后更改 ASN 来覆盖此默认值。 需要将本地 ASN 分配给相应的 Azure 本地网关。

Azure VPN 网关会播发给我哪些地址前缀?

Azure VPN 网关会将以下路由播发到本地 BGP 设备:

  • VNet 地址前缀
  • 已连接到 Azure VPN 网关的每个本地网关的地址前缀
  • 从连接到 Azure VPN 网关的其他 BGP 对等会话获知的路由, 默认路由或与任何 VNet 前缀重叠的路由除外

能否将默认路由 (0.0.0.0/0) 播发给 Azure VPN 网关?

是的。

请注意,这样会强制所有的 VNet 出口流量流向本地站点,并且会阻止 VNet VM 接受直接来自 Internet 的公共通信,例如从 Internet 发往 VM 的 RDP 或 SSH。

能否播发与虚拟网络前缀完全相同的前缀?

不能,Azure 平台会阻止播发与任一虚拟网络地址前缀相同的前缀或对其进行筛选。 但是,可播发属于虚拟网络内所拥有内容超集的前缀。

例如,如果虚拟网络可使用地址空间 10.0.0.0/16,则可以播发 10.0.0.0/8, 但不能播发 10.0.0.0/16 或 10.0.0.0/24。

能否将 BGP 用于 VNet 到 VNet 连接?

能,可以将 BGP 同时用于跨界连接和 VNet 到 VNet 连接。

能否将 BGP 连接与非 BGP 连接混合用于 Azure VPN 网关?

能,可以将 BGP 连接和非 BGP 连接混合用于同一 Azure VPN 网关。

Azure VPN 网关是否支持 BGP 传输路由?

是,支持 BGP 传输路由,但例外是 Azure VPN 网关会将默认路由播发到其他 BGP 对等节点。 若要启用跨多个 Azure VPN 网关的传输路由,必须在所有中间 VNet 到 VNet 连接上启用 BGP。

在 Azure VPN 网关和我的本地网络之间能否有多个隧道?

能,可以在 Azure VPN 网关和本地网络之间建立多个 S2S VPN 隧道。 请注意,所有这些隧道都会计入 Azure VPN 网关的隧道总数,而且必须在两个隧道上启用 BGP。

例如,如果在 Azure VPN 网关与一个本地网络之间有两个冗余隧道,它们会占用 Azure VPN 网关的总配额(标准为 10 个,高性能为 30 个)中的 2 个隧道。

在两个使用 BGP 的 Azure VNet 之间能否有多个隧道?

是,但其中至少一个虚拟网络网关必须采用主动-主动配置。

能否在 ExpressRoute/S2S VPN 共存配置中对 S2S VPN 使用 BGP?

是的。

Azure VPN 网关将哪个地址用于 BGP 对等节点 IP?

Azure VPN 网关将从为虚拟网络定义的 GatewaySubnet 范围内分配单个 IP 地址。 默认情况下,它是该范围的倒数第二个地址。 例如,如果 GatewaySubnet 是 10.12.255.0/27(范围从 10.12.255.0 到 10.12.255.31),则 Azure VPN 网关上的 BGP 对等 IP 地址是 10.12.255.30。 当列出 Azure VPN 网关信息时,可以找到此信息。

VPN 设备上的 BGP 对等节点 IP 地址的要求是什么?

本地 BGP 对等节点地址 不能 与 VPN 设备的公共 IP 地址相同。 在 VPN 设备上对 BGP 对等节点 IP 使用不同的 IP 地址。 它可以是分配给该设备上环回接口的地址。 在表示该位置的相应本地网关中指定此地址。

使用 BGP 时应将什么指定为本地网关的地址前缀?

Azure 本地网关为本地网络指定初始地址前缀。 使用 BGP 时,必须分配 BGP 对等节点 IP 地址的主机前缀(/32 前缀)作为本地网络的地址空间。 如果 BGP 对等节点 IP 为 10.52.255.254,则应指定“10.52.255.254/32”作为表示此本地网络的本地网关的 localNetworkAddressSpace。 这是为了确保 Azure VPN 网关通过 S2S VPN 隧道建立 BGP 会话。

应为 BGP 对等会话添加到本地 VPN 设备什么内容?

应在指向 IPsec S2S VPN 隧道的 VPN 设备上添加 Azure BGP 对等节点 IP 地址的主机路由。 例如,如果 Azure VPN 对等节点 IP 为“10.12.255.30”,则应在 VPN 设备上添加“10.12.255.30”的主机路由(包含匹配的 IPsec 隧道接口的下一跃点接口)。

跨界连接和 VM

如果虚拟机位于虚拟网络中,而连接是跨界连接,应如何连接到该 VM?

有几个选择。 如果为 VM 启用了 RDP,则可使用专用 IP 地址连接到虚拟机。 在这种情况下,需要指定要连接到的专用 IP 地址和端口(通常为 3389)。 你需要配置用于流量的虚拟机端口。

也可以使用位于同一虚拟网络中的另一个虚拟机的专用 IP 地址连接到虚拟机。 如果要从虚拟网络外部的位置进行连接,则无法使用专用 IP 地址 RDP 到虚拟机。 例如,如果配置了点到站点虚拟网络,并且未从计算机建立连接,则无法通过专用 IP 地址连接到虚拟机。

如果我的虚拟机位于使用跨界连接的虚拟网络中,从我的 VM 流出的所有流量是否都会经过该连接?

否。 只有其目标 IP 包含在指定虚拟网络本地网络 IP 地址范围内的流量才会通过虚拟网络网关。 其目标 IP 位于虚拟网络中的流量将保留在虚拟网络中。 其他流量通过负载均衡器发送到公共网络,或者在使用强制隧道的情况下通过 Azure VPN 网关发送。

如何排查到 VM 的 RDP 连接的问题

如果无法通过 VPN 连接连接到虚拟机,请查看以下项目:

  • 验证 VPN 连接是否成功。
  • 验证是否已连接到 VM 的专用 IP 地址。
  • 如果可以使用专用 IP 地址连接到 VM,但不能使用计算机名称进行连接,则请验证是否已正确配置 DNS。 若要详细了解如何对 VM 进行名称解析,请参阅针对 VM 的名称解析

通过点到站点进行连接时,请检查下述其他项:

  • 使用“ipconfig”检查分配给以太网适配器的 IPv4 地址,该适配器所在的计算机正是要从其进行连接的计算机。 如果该 IP 地址位于你要连接到的 VNet 的地址范围内,或者位于 VPNClientAddressPool 的地址范围内,则称为地址空间重叠。 当地址空间以这种方式重叠时,网络流量不会抵达 Azure,而是呆在本地网络中。
  • 验证是否在为 VNet 指定 DNS 服务器 IP 地址之后,才生成 VPN 客户端配置包。 如果更新了 DNS 服务器 IP 地址,请生成并安装新的 VPN 客户端配置包。

若要详细了解如何排查 RDP 连接问题,请参阅排查到 VM 的远程桌面连接问题

虚拟网络常见问题

请在虚拟网络常见问题中查看更多虚拟网络信息。

后续步骤