VPN 网关常见问题

  • 项目

连接到虚拟网络

是否可以连接不同 Azure 区域中的虚拟网络?

是的。 没有任何区域约束。 一个虚拟网络可以连接到同一区域中的其他虚拟网络,也可以连接到其他 Azure 区域中的其他虚拟网络。

是否可以连接不同订阅中的虚拟网络?

是的。

配置 VPN 网关时,我能否在 VNet 中指定专用的 DNS 服务器?

如果你在创建虚拟网络时指定了一个或多个 DNS 服务器,VPN 网关将使用你指定的 DNS 服务器。 如果指定 DNS 服务器,请验证 DNS 服务器是否可解析 Azure 所需的域名。

是否可以从一个虚拟网络连接到多个站点?

可以使用 Windows PowerShell 和 Azure REST API 连接到多个站点。 请参阅 多站点与 VNet 到 VNet 连接 的“常见问题”部分。

将 VPN 网关设置为“主动-主动”是否需要额外费用?

否。 但是,将相应地收取任何额外公共 IP 的费用。 请参阅 IP 地址定价

我的跨界连接选项有哪些?

支持以下跨界虚拟网络网关连接:

  • 站点到站点:基于 IPsec(IKE v1 和 IKE v2)的 VPN 连接。 此类型的连接需要 VPN 设备或 RRAS。 有关详细信息,请参阅站点到站点
  • 点到站点:基于 SSTP(安全套接字隧道协议)或 IKE v2 的 VPN 连接。 此连接不需要 VPN 设备。 有关详细信息,请参阅点到站点
  • VNet 到 VNet:此类连接与站点到站点配置相同。 VNet 到 VNet 是一种基于 IPsec(IKE v1 和 IKE v2)的 VPN 连接。 它不需要 VPN 设备。 有关详细信息,请参阅 VNet 到 VNet
  • ExpressRoute:ExpressRoute 是从 WAN 到 Azure 的专用连接,不是通过公共 Internet 的 VPN 连接。 有关详细信息,请参阅 ExpressRoute 技术概述ExpressRoute 常见问题

有关 VPN 网关连接的详细信息,请参阅关于 VPN 网关

站点到站点连接和点到站点连接的区别是什么?

站点到站点(IPsec/IKE VPN 隧道)配置是指本地位置与 Azure 之间的配置。 这意味着,可以将任何本地计算机连接到虚拟网络中的任何虚拟机或角色实例,具体取决于如何选择路由和权限的配置。 它对于需要始终可用的跨界连接来说是一个极佳的选项,很适合混合配置。 此类连接依赖于 IPsec VPN 设备(硬件设备或软件设备),该设备必须部署在网络边缘。 若要创建此类连接,必须具有面向外部的 IPv4 地址。

点到站点(基于 SSTP 的 VPN)配置允许从任何位置的单台计算机连接到虚拟网络中的任何内容。 它使用 Windows 内置的 VPN 客户端。 在进行点到站点配置的过程中,你将安装证书和 VPN 客户端配置包,其中包含允许你的计算机连接到虚拟网络中的任何虚拟机或角色实例的设置。 此连接适用于需要连接到虚拟网络但该虚拟网络不在本地的情况。 无法访问 VPN 硬件或面向外部的 IPv4 地址(二者是进行站点到站点连接所必需的)时,它也是一个很好的选项。

可以将虚拟网络配置为同时使用站点到站点连接和点到站点连接,前提是使用基于路由的 VPN 类型为网关创建站点到站点连接。 在经典部署模型中,基于路由的 VPN 类型称为动态网关。

隐私

VPN 服务是否存储或处理客户数据?

不是。

虚拟网络网关

VPN 网关是否为虚拟网络网关?

VPN 网关是一种虚拟网络网关。 VPN 网关通过公共连接在虚拟网络和本地位置之间发送加密流量。 还可使用 VPN 网关在虚拟网络之间发送流量。 创建 VPN 网关时,指定“GatewayType”的值为“Vpn”。 有关详细信息,请参阅关于 VPN 网关配置设置

为什么无法指定基于策略的和基于路由的 VPN 类型?

自 2023 年 10 月 1 日起,无法通过 Azure 门户创建基于策略的 VPN 网关。 所有新的 VPN 网关将自动创建为基于路由的网关。 如果已有基于策略的网关,则无需将网关升级到基于路由的网关。 可以使用 Powershell/CLI 创建基于策略的网关。

以前,旧网关 SKU 不支持基于路由的网关的 IKEv1。 现在,大多数当前网关 SKU 都支持 IKEv1 和 IKEv2。

网关 VPN 类型 网关 SKU 支持的 IKE 版本
基于策略的网关 基本 IKEv1
基于路由的网关 基本 IKEv2
基于路由的网关 VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 和 IKEv2
基于路由的网关 VpnGw1AZ、VpnGw2AZ、VpnGw3AZ、VpnGw4AZ、VpnGw5AZ IKEv1 和 IKEv2

能否将基于策略的 VPN 网关更新为基于路由?

否。 不能将网关类型从基于策略改为基于路由,也不能从基于路由改为基于策略。 若要更改网关类型,必须删除再新创建网关。 此过程大约需要 60 分钟。 创建新网关时,不能保留原始网关的 IP 地址。

  1. 删除与该网关关联的任何连接。

  2. 请按照下列文章之一删除网关:

  3. 使用所需的网关类型创建新网关,然后完成 VPN 设置。 有关步骤,请参阅站点到站点教程

能否指定自己的基于策略的流量选择器?

是的,可以通过 New-AzIpsecTrafficSelectorPolicy PowerShell 命令,通过连接上的 trafficSelectorPolicies 属性来定义流量选择器。 要使指定的流量选择器生效,请确保已启用使用基于策略的流量选择器选项。

只有当 Azure VPN 网关启动连接时,才会建议使用自定义配置的流量选择器。 VPN 网关接受远程网关(本地 VPN 设备)建议使用的任何流量选择器。 此行为在所有连接模式(Default、InitiatorOnly 和 ResponderOnly)之间保持一致。

是否需要“GatewaySubnet”?

是的。 网关子网包含虚拟网络网关服务使用的 IP 地址。 若要配置虚拟网关,需要先为虚拟网络创建网关子网。 所有网关子网都必须命名为“GatewaySubnet”才能正常工作。 不要对网关子网使用其他名称。 此外,不要在网关子网中部署 VM 或其他组件。

创建网关子网时,需指定子网包含的 IP 地址数。 网关子网中的 IP 地址分配到网关服务。 某些配置需要为网关服务分配的 IP 地址数多于其他配置。 需确保网关子网包含足够的 IP 地址,以适应未来的增长和可能的其他新连接配置。 因此,尽管网关子网最小可创建为 /29,但建议创建 /27 或更大(/27、/26 和 /25 等)的网关子网。 查看要创建的配置的要求,并验证所拥有的网关子网是否可满足这些要求。

是否可以将虚拟机或角色实例部署到网关子网?

否。

是否可以先获得 VPN 网关 IP 地址,再创建网关?

Azure 标准 SKU 公共 IP 资源必须使用静态分配方法。 因此,在创建了要用于 VPN 网关的标准 SKU 公共 IP 资源后,就会获得 VPN 网关的公共 IP 地址。

能否为 VPN 网关请求静态公共 IP 地址?

标准 SKU 公共 IP 地址资源使用静态分配方法。 今后,创建新的 VPN 网关时,必须使用标准 SKU 公共 IP 地址。 这适用于除基本 SKU 以外的所有网关 SKU。 基本网关 SKU 目前仅支持基本 SKU 公共 IP 地址。 我们即将为基本网关 SKU 添加对标准 SKU 公共 IP 地址的支持。

对于以前创建的非区域冗余和非区域网关(名称中没有 AZ 的网关 SKU),支持动态 IP 地址分配,但即将被淘汰。使用动态 IP 地址时,IP 地址在分配给 VPN 网关后不会发生更改。 VPN 网关 IP 地址只在删除并重新创建网关时更改。 当重设大小、重置或完成其他 VPN 网关内部维护和升级时,VPN 网关公共 IP 地址不会更改。

公共 IP 地址基本 SKU 的停用对我的 VPN 网关有什么影响?

我们正在采取措施,确保使用基本 SKU 公共 IP 地址的已部署 VPN 网关继续运行。 如果已有具有基本 SKU 公共 IP 地址的 VPN 网关,无需采取任何操作。

但是,请务必注意,基本 SKU 公共 IP 地址即将被淘汰。今后,创建新的 VPN 网关时,必须使用标准 SKU 公共 IP 地址。 可点击此处,详细了解基本 SKU 公共 IP 地址的停用。

VPN 隧道如何进行身份验证?

Azure VPN 使用 PSK(预共享密钥)身份验证。 我们在创建 VPN 隧道时生成一个预共享密钥 (PSK)。 可使用“设置预共享密钥”PowerShell cmdlet 或 REST API 将自动生成的 PSK 更改为你自己的 PSK。

是否可以使用“设置预共享密钥 API”配置基于策略的(静态路由)网关 VPN?

可以,“设置预共享密钥 API”和 PowerShell cmdlet 可用于配置基于 Azure 策略的(静态)VPN 和基于路由的(动态)路由 VPN。

是否可以使用其他身份验证选项?

我们仅限使用预共享密钥 (PSK) 进行身份验证。

如何指定通过 VPN 网关的流量?

Resource Manager 部署模型

  • PowerShell:使用“AddressPrefix”指定本地网络网关的流量。
  • Azure 门户:导航到“本地网关”>“配置”>“地址空间”。

经典部署模型

  • Azure 门户:导航到“经典虚拟网络”>“VPN 连接”>“站点到站点 VPN 连接”>“本地站点名称”>“本地站点”>“客户端地址空间”。

可在 VPN 连接上使用 NAT-T 吗?

可以,支持 NAT 遍历 (NAT-T)。 Azure VPN 网关将不在指向/来自 IPsec 隧道的内部数据包上执行任何类似 NAT 的功能。 在此配置中,请确保本地设备启动 IPsec 隧道。

是否可以在 Azure 中设置自己的 VPN 服务器,并使用它连接到本地网络?

能。可以在 Azure 中部署自己的 VPN 网关或服务器,可以从 Azure 市场部署,也可以通过创建自己的 VPN 路由器来部署。 必须在虚拟网络中配置用户定义的路由,确保流量在本地网络和虚拟网络子网之间正确路由。

我的虚拟网络网关上的某些端口为何处于打开状态?

这些端口是进行 Azure 基础结构通信所必需的。 它们受 Azure 证书的保护(处于锁定状态)。 如果没有适当的证书,外部实体(包括这些网关的客户)将无法对这些终结点施加任何影响。

虚拟网络网关基本上是一个多宿主设备,其中一个 NIC 进入客户专用网络,另一个 NIC 面向公共网络。 因合规性原因,Azure 基础结构实体无法进入客户专用网络,因此需利用公共终结点进行基础结构通信。 Azure 安全审核会定期扫描公共终结点。

是否可以在门户中使用基本网关 SKU 创建 VPN 网关?

不是。 基本 SKU 在门户中不可用。 可以使用 Azure CLI 或 PowerShell 创建基本 SKU VPN 网关。

在哪里可以找打有关网关类型、要求和吞吐量的信息?

请参阅以下文章:

旧 SKU 的 SKU 弃用

标准和高性能 SKU 将于 2025 年 9 月 30 日弃用。 可以在此处查看公告。 产品团队将在 2024 年 11 月 30 日之前为这些 SKU 提供迁移路径。 有关详细信息,请参阅 VPN 网关旧版 SKU 一文。 你目前无需执行任何操作

在 2023 年 11 月 30 日宣布弃用后,我可以创建新的标准/高性能 SKU 吗?

不是。 从 2023 年 12 月 1 日开始,你无法使用标准或高性能 SKU 创建新网关。 可以使用 VpnGw1 和 VpnGw2 创建新网关,其价格与标准和高性能 SKU 相同,分别列在我们的定价页面上。

标准/高性能 SKU 会支持我的现有网关多久?

所有使用标准或高性能 SKU 的现有网关所受到的支持将会持续到 2025 年 9 月 30 日。

我现在需要迁移我的标准/高性能网关 SKU 吗?

否。现在不需要采取任何行动。 从 2024 年 12 月开始就可以迁移 SKU。 我们将发送包含有关迁移步骤的详细文档的通信。

我可以将网关迁移到哪个 SKU?

当网关 SKU 迁移可用时,可以按如下方式迁移 SKU:

  • 标准 -> VpnGw1
  • 高性能 -> VpnGw2

如果我想迁移到 AZ SKU,该怎么办?

无法将旧版 SKU 迁移到 AZ SKU。 但请注意,2025 年 9 月 30 日之后仍在使用标准或高性能 SKU 的所有网关将自动迁移并升级到以下 SKU:

  • 标准 -> VpnGw1AZ
  • 高性能 -> VpnGw2AZ

可以使用此策略将 SKU 自动迁移并升级到 AZ SKU。 然后可以在必要时重设该 SKU 系列中的 SKU 大小。 有关 AZ SKU 定价,请参阅我们的定价页面。 有关 SKU 的吞吐量信息,请参阅“关于网关 SKU 的信息”。

迁移后网关价格会有差异吗?

如果你在 2025 年 9 月 30 日之前迁移 SKU,则不会出现价格差异。 VpnGw1 和 VpnGw2 SKU 的价格分别与标准 SKU 和高性能 SKU 的价格相同。 如果未在该日期之前迁移,则 SKU 会自动迁移并升级到 AZ SKU。 在这种情况下,就会存在价格差异。

此次迁移会对网关性能产生影响吗?

会,使用 VpnGw1 和 VpnGw2 可以获得更好的性能。 目前,650 Mbps 的 VpnGw1 和 1 Gbps 的 VpnGw2 分别以与传统标准网关和高性能网关相同的价格提供提供 6.5 倍和 5 倍的性能提升。 有关 SKU 吞吐量的详细信息,请参阅“关于网关 SKU 的信息”。

如果我没有在 2025 年 9 月 30 日之前迁移 SKU,会发生什么情况?

仍在使用标准或高性能 SKU 的所有网关都将自动迁移并升级到以下 AZ SKU:

  • 标准 -> VpnGw1AZ
  • 高性能 -> VpnGw2AZ

最终通信会在网关上启动迁移之前发送。

VPN 网关基本 SKU 也会停用吗?

不会,VPN 网关基本 SKU 将继续保留。 你可以通过 PowerShell 或 CLI 使用基本网关 SKU 创建 VPN 网关。 目前,VPN 网关基本网关 SKU 仅支持基本 SKU 公共 IP 地址资源(即将停用)。 我们正在努力为标准 SKU 公共 IP 地址资源增加 VPN 网关基本网关 SKU 的支持。

站点到站点连接和 VPN 设备

选择 VPN 设备时应考虑什么?

我们在与设备供应商合作的过程中验证了一系列的标准站点到站点 VPN 设备。 可在关于 VPN 设备一文中找到已知兼容的 VPN 设备及其相应的配置说明/示例和设备规范的列表。 设备系列中列为已知兼容设备的所有设备都应适用于虚拟网络。 若要获取配置 VPN 设备的帮助,请参考对应于相应设备系列的设备配置示例或链接。

在哪里可以找到 VPN 设备配置设置?

下载 VPN 设备配置脚本:

根据所用的 VPN 设备,有时可以下载 VPN 设备配置脚本。 有关详细信息,请参阅下载 VPN 设备配置脚本

参阅以下链接了解其他配置信息:

如何编辑 VPN 设备配置示例?

若要了解如何编辑设备配置示例,请参阅编辑示例

在何处查找 IPsec 和 IKE 参数?

对于 IPsec/IKE 参数,请参阅参数

在流量处于空闲状态时,为何我的基于策略的 VPN 隧道会关闭?

对于基于策略(也称为静态路由)的 VPN 网关来说,这是预期的行为。 当经过隧道的流量处于空闲状态 5 分钟以上时,将销毁该隧道。 当流量朝任一方向开始流动时,该隧道将立刻重新建立。

我可以使用软件 VPN 连接到 Azure 吗?

我们支持将 Windows Server 2012 路由和远程访问 (RRAS) 服务器用于站点到站点跨界配置。

其他软件 VPN 解决方案只要遵循行业标准 IPsec 实现,就会与我们的网关兼容。 有关配置和支持说明,请与该软件的供应商联系。

位于具有活动站点到站点连接的站点时,是否可以通过点到站点连接到 VPN 网关?

是的,但是点到站点客户端的公共 IP 地址必须与站点到站点 VPN 设备使用的公共 IP 地址不同,否则点到站点连接将无效。 对于具有 IKEv2 的点到站点连接,无法从在同一 Azure VPN 网关上配置站点到站点 VPN 连接的相同公共 IP 地址来启动。

点到站点 - 证书身份验证

本部分适用于资源管理器部署模型。

点到站点配置中可有多少个 VPN 客户端终结点?

这取决于网关 SKU。 有关支持的连接数的详细信息,请参阅网关 SKU

点到站点连接可用于哪些客户端操作系统?

支持以下客户端操作系统:

  • Windows Server 2008 R2(仅 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows Server 2016(仅 64 位)
  • Windows Server 2019(仅限 64 位)
  • Windows Server 2022(仅限 64 位)
  • Windows 10
  • Windows 11
  • macOS 10.11 或更高版本
  • Linux (StrongSwan)
  • iOS

能否使用点到站点功能穿越代理和防火墙?

Azure 支持三种类型的点到站点 VPN 选项:

  • 安全套接字隧道协议 (SSTP)。 SSTP 是 Microsoft 专有的基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • OpenVPN。 OpenVPN 是基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • IKEv2 VPN。 IKEv2 VPN 是一个基于标准的 IPsec VPN 解决方案,它使用出站 UDP 端口 500 和 4500 以及 IP 协议 no. 50。 防火墙并非始终打开这些端口,因此,IKEv2 VPN 有可能无法穿过代理和防火墙。

如果重新启动进行过点到站点配置的客户端计算机,是否会自动重新连接 VPN?

自动重新连接是所使用的客户端的功能。 Windows 支持通过配置“Always On VPN” 客户端功能实现自动重新连接。

点到站点是否支持 VPN 客户端上的 DDNS?

点到站点 VPN 目前不支持 DDNS。

对于同一虚拟网络,站点到站点和点到站点配置能否共存?

是的。 对于资源管理器部署模型,必须为网关使用 RouteBased VPN 类型。 对于经典部署模型,需要一个动态网关。 不支持将点到站点配置用于静态路由 VPN 网关或 PolicyBased VPN 网关。

能否将点到站点客户端配置为同时连接到多个虚拟网络网关?

根据所使用的 VPN 客户端软件,你可能可以连接到多个虚拟网络网关,前提是,要连接到的虚拟网络在它们或客户端要从中进行连接的网络之间不存在冲突的地址空间。 尽管 Azure VPN 客户端支持多个 VPN 连接,但在任何给定时间,都只能建立一个连接。

能否配置点到站点客户端,使其同时连接到多个虚拟网络?

可以。与其他 VNet 对等互连的 VNet 中部署的虚拟网络网关之间的点到站点客户端连接可能可以访问其他对等互连 VNet. 只要对等互连 VNet 使用 UseRemoteGateway/AllowGatewayTransit 功能,点到站点客户端就能够连接到这些对等互连 VNet。 有关详细信息,请参阅关于点到站点路由

预计通过站点到站点连接或点到站点连接的吞吐量有多少?

很难维持 VPN 隧道的准确吞吐量。 IPsec 和 SSTP 是重重加密的 VPN 协议。 本地网络与 Internet 之间的延迟和带宽也限制了吞吐量。 对于仅具有 IKEv2 点到站点 VPN 连接的 VPN 网关,期望可以实现的总吞吐量取决于网关 SKU。 有关吞吐量的详细信息,请参阅网关 SKU

能否将任何软件 VPN 客户端用于支持 SSTP 和/或 IKEv2 的点到站点配置?

不是。 只能将 Windows 上的本机 VPN 客户端用于 SSTP,只能将 Mac 上的本机 VPN 客户端用于 IKEv2。 但是,可以在所有平台上使用 OpenVPN 客户端,以便通过 OpenVPN 协议进行连接。 请参阅支持的客户端操作系统的列表。

能否更改点到站点连接的身份验证类型?

是的。 在门户中,导航到“VPN 网关 - 点到站点配置”页。 对于“身份验证类型”,请选择要使用的身份验证类型。 请注意,更改身份验证类型后,在生成、下载新的 VPN 客户端配置文件,并将其应用到每个 VPN 客户端之前,当前客户端可能无法连接。

Azure 是否支持使用 Windows 的 IKEv2 VPN?

在 Windows 10 和 Server 2016 上支持 IKEv2。 但是,若要在某些 OS 版本中使用 IKEv2,必须在本地安装更新并设置注册表项值。 Windows 10 以前的 OS 版本不受支持,并且只能使用 SSTP 或 OpenVPN® 协议。

注意

比 Windows 10 版本 1709 和 Windows Server 2016 版本 1607 更新的 Windows OS 内部版本不需要这些步骤。

为运行 IKEv2 准备 Windows 10 或 Server 2016:

  1. 根据 OS 版本安装更新:

    OS 版本 Date 编号/链接
    Windows Server 2016
    Windows 10 版本 1607    		 2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848

  2. 设置注册表项值。 在注册表中创建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”REG_DWORD 键或将其设置为 1。

点到站点连接的 IKEv2 流量选择器限制是多少?

Windows 10 版本 2004(2021 年 9 月发布)将流量选择器限制增加到 255。 在此之前的 Windows 版本的流量选择器限制为 25。

Windows 中的流量选择器限制决定了虚拟网络中的最大地址空间数以及本地网络、VNet 到 VNet 连接以及连接到网关的对等互连 VNet 的最大总和。 如果基于 Windows 的点到站点客户端超过此限制,它们将无法通过 IKEv2 连接。

为 P2S VPN 连接配置 SSTP 和 IKEv2 时,会发生什么情况?

在混合环境(包括 Windows 和 Mac 设备)中同时配置了 SSTP 和 IKEv2 时,Windows VPN 客户端始终将先尝试使用 IKEv2 隧道,但如果 IKEv2 连接不成功将回退到 SSTP。 MacOSX 将仅通过 IKEv2 进行连接。

当你在网关上同时启用 SSTP 和 IKEv2 后,点到站点地址池将在两者之间静态拆分,因此系统将从任一子范围为使用不同协议的客户端分配 IP 地址。 请注意,即使地址范围大于 /24,SSTP 客户端的最大数量也始终为 128,导致 IKEv2 客户端的可用地址量更大。 对于较小的范围,池将减半。 网关使用的流量选择器可能不包括点到站点地址范围 CIDR,但包括两个子范围 CIDR。

除了 Windows 和 Mac 以外,Azure 还支持在其他哪些平台上使用 P2S VPN?

Azure 支持将 Windows、Mac 和 Linux 用于 P2S VPN。

我已部署 Azure VPN 网关。 是否可在该网关上启用 RADIUS 和/或 IKEv2 VPN?

是的,如果所用网关 SKU 支持 RADIUS 和/或 IKEv2,则可以使用 PowerShell 或 Microsoft Azure 门户在已部署的网关上启用这些新功能。 基本 SKU 不支持 RADIUS 或 IKEv2。

如何删除 P2S 连接的配置?

可以通过 Azure CLI 和 PowerShell 使用以下命令删除 P2S 配置:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

如果在使用证书身份验证进行连接时收到指示证书不匹配的消息,我该怎么办?

取消选中“通过验证证书来验证服务器的标识”,或在手动创建配置文件时将服务器 FQDN 随证书一起添加。 为此,可以在命令提示符下运行 rasphone,并从下拉列表中选择配置文件。

通常不建议绕过服务器标识验证,但在使用 Azure 证书身份验证的情况下,会在 VPN 隧道协议 (IKEv2/SSTP) 和 EAP 协议中将同一证书用于服务器验证。 由于服务器证书和 FQDN 已通过 VPN 隧道协议进行验证,因此在 EAP 中再次验证同一证书就是多余的。

点到站点身份验证

是否可以使用自己的内部 PKI 根 CA 来生成用于点到站点连接的证书?

是的。 以前只可使用自签名根证书。 仍可上传 20 个根证书。

是否可以使用 Azure 密钥保管库中的证书?

不是。

可以使用哪些工具来创建证书?

可以使用企业 PKI 解决方案(内部 PKI)、Azure PowerShell、MakeCert 和 OpenSSL。

是否有证书设置和参数的说明?

  • 内部 PKI/企业 PKI 解决方案: 请参阅生成证书的步骤。

  • Azure PowerShell: 请参阅 Azure PowerShell 一文了解相关步骤。

  • MakeCert: 请参阅 MakeCert 一文了解相关步骤。

  • OpenSSL:

    • 导出证书时,请务必将根证书转换为 Base64。

    • 对于客户端证书:

      • 创建私钥时,请将长度指定为 4096。
      • 创建证书时,对于 -extensions 参数,指定 usr_cert

点到站点 - RADIUS 身份验证

本部分适用于资源管理器部署模型。

点到站点配置中可有多少个 VPN 客户端终结点?

这取决于网关 SKU。 有关支持的连接数的详细信息,请参阅网关 SKU

点到站点连接可用于哪些客户端操作系统?

支持以下客户端操作系统:

  • Windows Server 2008 R2(仅 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows Server 2016(仅 64 位)
  • Windows Server 2019(仅限 64 位)
  • Windows Server 2022(仅限 64 位)
  • Windows 10
  • Windows 11
  • macOS 10.11 或更高版本
  • Linux (StrongSwan)
  • iOS

能否使用点到站点功能穿越代理和防火墙?

Azure 支持三种类型的点到站点 VPN 选项:

  • 安全套接字隧道协议 (SSTP)。 SSTP 是 Microsoft 专有的基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • OpenVPN。 OpenVPN 是基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • IKEv2 VPN。 IKEv2 VPN 是一个基于标准的 IPsec VPN 解决方案,它使用出站 UDP 端口 500 和 4500 以及 IP 协议 no. 50。 防火墙并非始终打开这些端口,因此,IKEv2 VPN 有可能无法穿过代理和防火墙。

如果重新启动进行过点到站点配置的客户端计算机,是否会自动重新连接 VPN?

自动重新连接是所使用的客户端的功能。 Windows 支持通过配置“Always On VPN” 客户端功能实现自动重新连接。

点到站点是否支持 VPN 客户端上的 DDNS?

点到站点 VPN 目前不支持 DDNS。

对于同一虚拟网络,站点到站点和点到站点配置能否共存?

是的。 对于资源管理器部署模型,必须为网关使用 RouteBased VPN 类型。 对于经典部署模型,需要一个动态网关。 不支持将点到站点配置用于静态路由 VPN 网关或 PolicyBased VPN 网关。

能否将点到站点客户端配置为同时连接到多个虚拟网络网关?

根据所使用的 VPN 客户端软件,你可能可以连接到多个虚拟网络网关,前提是,要连接到的虚拟网络在它们或客户端要从中进行连接的网络之间不存在冲突的地址空间。 尽管 Azure VPN 客户端支持多个 VPN 连接,但在任何给定时间,都只能建立一个连接。

能否配置点到站点客户端,使其同时连接到多个虚拟网络?

可以。与其他 VNet 对等互连的 VNet 中部署的虚拟网络网关之间的点到站点客户端连接可能可以访问其他对等互连 VNet. 只要对等互连 VNet 使用 UseRemoteGateway/AllowGatewayTransit 功能,点到站点客户端就能够连接到这些对等互连 VNet。 有关详细信息,请参阅关于点到站点路由

预计通过站点到站点连接或点到站点连接的吞吐量有多少?

很难维持 VPN 隧道的准确吞吐量。 IPsec 和 SSTP 是重重加密的 VPN 协议。 本地网络与 Internet 之间的延迟和带宽也限制了吞吐量。 对于仅具有 IKEv2 点到站点 VPN 连接的 VPN 网关,期望可以实现的总吞吐量取决于网关 SKU。 有关吞吐量的详细信息,请参阅网关 SKU

能否将任何软件 VPN 客户端用于支持 SSTP 和/或 IKEv2 的点到站点配置?

不是。 只能将 Windows 上的本机 VPN 客户端用于 SSTP,只能将 Mac 上的本机 VPN 客户端用于 IKEv2。 但是,可以在所有平台上使用 OpenVPN 客户端,以便通过 OpenVPN 协议进行连接。 请参阅支持的客户端操作系统的列表。

能否更改点到站点连接的身份验证类型?

是的。 在门户中,导航到“VPN 网关 - 点到站点配置”页。 对于“身份验证类型”,请选择要使用的身份验证类型。 请注意,更改身份验证类型后,在生成、下载新的 VPN 客户端配置文件,并将其应用到每个 VPN 客户端之前,当前客户端可能无法连接。

Azure 是否支持使用 Windows 的 IKEv2 VPN?

在 Windows 10 和 Server 2016 上支持 IKEv2。 但是,若要在某些 OS 版本中使用 IKEv2,必须在本地安装更新并设置注册表项值。 Windows 10 以前的 OS 版本不受支持,并且只能使用 SSTP 或 OpenVPN® 协议。

注意

比 Windows 10 版本 1709 和 Windows Server 2016 版本 1607 更新的 Windows OS 内部版本不需要这些步骤。

为运行 IKEv2 准备 Windows 10 或 Server 2016:

  1. 根据 OS 版本安装更新:

    OS 版本 Date 编号/链接
    Windows Server 2016
    Windows 10 版本 1607    		 2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848

  2. 设置注册表项值。 在注册表中创建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”REG_DWORD 键或将其设置为 1。

点到站点连接的 IKEv2 流量选择器限制是多少?

Windows 10 版本 2004(2021 年 9 月发布)将流量选择器限制增加到 255。 在此之前的 Windows 版本的流量选择器限制为 25。

Windows 中的流量选择器限制决定了虚拟网络中的最大地址空间数以及本地网络、VNet 到 VNet 连接以及连接到网关的对等互连 VNet 的最大总和。 如果基于 Windows 的点到站点客户端超过此限制,它们将无法通过 IKEv2 连接。

为 P2S VPN 连接配置 SSTP 和 IKEv2 时,会发生什么情况?

在混合环境(包括 Windows 和 Mac 设备)中同时配置了 SSTP 和 IKEv2 时,Windows VPN 客户端始终将先尝试使用 IKEv2 隧道,但如果 IKEv2 连接不成功将回退到 SSTP。 MacOSX 将仅通过 IKEv2 进行连接。

当你在网关上同时启用 SSTP 和 IKEv2 后,点到站点地址池将在两者之间静态拆分,因此系统将从任一子范围为使用不同协议的客户端分配 IP 地址。 请注意,即使地址范围大于 /24,SSTP 客户端的最大数量也始终为 128,导致 IKEv2 客户端的可用地址量更大。 对于较小的范围,池将减半。 网关使用的流量选择器可能不包括点到站点地址范围 CIDR,但包括两个子范围 CIDR。

除了 Windows 和 Mac 以外,Azure 还支持在其他哪些平台上使用 P2S VPN?

Azure 支持将 Windows、Mac 和 Linux 用于 P2S VPN。

我已部署 Azure VPN 网关。 是否可在该网关上启用 RADIUS 和/或 IKEv2 VPN?

是的,如果所用网关 SKU 支持 RADIUS 和/或 IKEv2,则可以使用 PowerShell 或 Microsoft Azure 门户在已部署的网关上启用这些新功能。 基本 SKU 不支持 RADIUS 或 IKEv2。

如何删除 P2S 连接的配置?

可以通过 Azure CLI 和 PowerShell 使用以下命令删除 P2S 配置:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

是否所有 Azure VPN 网关 SKU 都支持 RADIUS 身份验证?

除了基本 SKU 之外,所有 SKU 都支持 RADIUS 身份验证。

对于旧版 SKU,标准和高性能 SKU 支持 RADIUS 身份验证。 基本网关 SKU 不支持该身份验证。

经典部署模型是否支持 RADIUS 身份验证?

否。 经典部署模型不支持 RADIUS 身份验证。

发送到 RADIUS 服务器的 RADIUS 请求的超时期限是多少?

RADIUS 请求设置为在 30 秒后超时。 目前不支持用户定义的超时值。

是否支持第三方 RADIUS 服务器?

是的,支持第三方 RADIUS 服务器。

若要确保 Azure 网关能够访问本地 RADIUS 服务器,对连接有何要求?

需要具有到本地站点的 VPN 站点到站点连接,并且需要配置正确的路由。

是否可以通过 ExpressRoute 连接来传送(从 Azure VPN 网关)流向本地 RADIUS 服务器的流量?

否。 它只能通过站点到站点连接进行传送。

RADIUS 身份验证支持的 SSTP 连接数是否有变化? 支持的最大 SSTP 和 IKEv2 连接数是多少?

RADIUS 身份验证在网关上支持的最大 SSTP 连接数没有变化。 对于 SSTP,仍然为 128;但对于 IKEv2,则取决于网关 SKU。 有关支持的连接数的详细信息,请参阅网关 SKU

使用 RADIUS 服务器执行证书身份验证与使用 Azure 本机证书身份验证执行身份验证(通过将受信任的证书上传到 Azure)之间有何区别?

在 RADIUS 证书身份验证中,身份验证请求被转发到处理实际证书验证的 RADIUS 服务器。 如果希望通过 RADIUS 与已有的证书身份验证基础结构进行集成,则此选项非常有用。

使用 Azure 进行证书身份验证时,由 Azure VPN 网关执行证书验证。 需要将证书公钥上传到网关。 还可以指定不允许进行连接的已吊销证书的列表。

RADIUS 身份验证是否同时适用于 IKEv2 和 SSTP VPN?

是的,IKEv2 和 SSTP VPN 都支持 RADIUS 身份验证。

RADIUS 身份验证是否适用于 OpenVPN 客户端?

OpenVPN 协议支持 RADIUS 身份验证。

VNet 到 VNet 和多站点连接

VNet 到 VNet 连接常见问题解答适用于 VPN 网关连接。 有关 VNet 对等互连的信息,请参阅虚拟网络对等互连

Azure 会对 VNet 之间的流量收费吗?

当使用 VPN 网关连接时,同一区域中的 VNet 到 VNet 流量双向均免费。 跨区域 VNet 到 VNet 传出流量根据源区域的出站 VNet 间数据传输费率收费。 有关详细信息,请参阅 VPN 网关定价。 如果你使用 VNet 对等互连而非 VPN 网关连接 VNet,请参阅虚拟网络定价

VNet 到 VNet 流量是否流经 Internet?

否。 VNet 到 VNet 流量会流经 Azure 主干,而非 Internet。

是否可以跨 Microsoft Entra 租户建立 VNet 到 VNet 连接?

是,使用 Azure VPN 网关的 VNet 到 VNet 连接可跨 Microsoft Entra 租户工作。

VNet 到 VNet 通信安全吗?

安全,它通过 IPsec/IKE 加密进行保护。

是否需要 VPN 设备将 VNet 连接到一起?

否。 将多个 Azure 虚拟网络连接在一起不需要 VPN 设备,除非需要跨界连接。

我的 VNet 是否需要位于同一区域?

不能。 虚拟网络可以在相同或不同的 Azure 区域(位置)中。

如果 VNet 不在同一订阅中,订阅是否需要与同一 Active Directory 租户相关联?

不是。

能否在单独的 Azure 实例中使用 VNet 到 VNet 通信来连接虚拟网络?

否。 VNet 到 VNet 通信支持在同一 Azure 实例中连接虚拟网络。 例如,不能在全球 Azure 和中国/德国/美国政府 Azure 实例之间创建连接。 对于上述情形,请考虑使用站点到站点 VPN 连接。

能否将 VNet 到 VNet 用于多站点连接?

是的。 虚拟网络连接可与多站点 VPN 同时使用。

一个虚拟网络可以连接到多少个本地站点和虚拟网络?

请参阅网关要求表。

能否使用 VNet 到 VNet 来连接 VNet 外部的 VM 或云服务?

否。 VNet 到 VNet 通信支持连接虚拟网络。 它不支持连接不在虚拟网络中的虚拟机或云服务。

云服务或负载均衡终结点能否跨 VNet?

不能。 云服务或负载均衡终结点不能跨虚拟网络,即使它们连接在一起,也是如此。

能否将 PolicyBased VPN 类型用于 VNet 到 VNet 连接或多站点连接?

不能。 VNet 到 VNet 连接和多站点连接需要 RouteBased(以前称为动态路由)VPN 类型的 Azure VPN 网关。

是否可以将 RouteBased VPN 类型的 VNet 连接到另一个 PolicyBased VPN 类型的 VNet?

不能,两种虚拟网络都必须使用基于路由的(以前称为“动态路由”)VPN。

VPN 隧道是否共享带宽?

是的。 虚拟网络的所有 VPN 隧道共享 Azure VPN 网关上的可用带宽,以及 Azure 中的相同 VPN 网关运行时间 SLA。

是否支持冗余隧道?

将一个虚拟网络网关配置为主动-主动模式时,支持在一对虚拟网络之间使用冗余隧道。

对于 VNet 到 VNet 配置,能否使用重叠地址空间?

不能。 不能有重叠的 IP 地址范围。

连接的虚拟网络与内部本地站点之间能否存在重叠的地址空间?

不能。 不能有重叠的 IP 地址范围。

如何在站点到站点 VPN 连接和 ExpressRoute 之间启用路由?

如果要在连接到 ExpressRoute 的分支与连接到站点到站点 VPN 连接的分支之间启用路由,则需要设置 Azure 路由服务器

是否可以使用 Azure VPN 网关在我的本地站点之间传输流量或将流量传输到其他虚拟网络?

资源管理器部署模型
是的。 有关详细信息,请参阅 BGP 部分。

经典部署模型
使用经典部署模型通过 Azure VPN 网关传输流量是可行的,但依赖于网络配置文件中静态定义的地址空间。 使用经典部署模型的 Azure 虚拟网络和 VPN 网关尚不支持 BGP。 没有 BGP,手动定义传输地址空间很容易出错,不建议这样做。

Azure 会为同一虚拟网络的所有 VPN 连接生成同一 IPsec/IKE 预共享密钥吗?

否,默认情况下,Azure 会为不同 VPN 连接生成不同的预共享密钥。 但是,可以使用 Set VPN Gateway Key REST API 或 PowerShell cmdlet 设置所需的密钥值。 键必须仅包含可打印的 ASCII 字符,但空格、连字符 (-) 或波浪号 (~) 除外。

使用更多站点到站点 VPN 我会为单个虚拟网络获取更多带宽吗?

不会,所有 VPN 隧道(包括点到站点 VPN)共享同一 Azure VPN 网关和可用带宽。

是否可以使用多站点 VPN 在我的虚拟网络和本地站点之间配置多个隧道?

是,但必须在两个通向同一位置的隧道上配置 BGP。

Azure VPN 网关是否采用会影响到本地站点多个连接之间的路由决策的 AS Path 预置?

是的,Azure VPN 网关将遵循 AS 路径追加,以帮助在启用 BGP 时做出路由决策。 在 BGP 路径选择中会首选较短的 AS 路径。

创建新的 VPN VirtualNetworkGateway 连接时,能否使用 RoutingWeight 属性?

否,此类设置仅供 ExpressRoute 网关连接使用。 如果要影响多个连接之间的路由决策,则需要使用 AS PATH 预置。

能否将点到站点 VPN 用于具有多个 VPN 隧道的虚拟网络?

能,可以将点到站点 (P2S) VPN 用于连接到多个本地站点的 VPN 网关和其他虚拟网络。

是否可以将使用 IPsec VPN 的虚拟网络连接到我的 ExpressRoute 线路?

是,系统支持该操作。 有关详细信息,请参阅配置可共存的 ExpressRoute 连接和站点到站点 VPN 连接

IPsec/IKE 策略

是否所有 Azure VPN 网关 SKU 都支持自定义 IPsec/IKE 策略?

除基本 SKU 外,所有 Azure SKU 都支持自定义 IPsec/IKE 策略。

在一个连接上可以指定多少个策略?

只能为一个给定的连接指定一个策略组合。

能否在一个连接上指定部分策略? (例如,仅指定 IKE 算法,不指定 IPsec)

否,必须指定 IKE(主模式)和 IPsec(快速模式)的所有算法和参数。 不允许指定部分策略。

自定义策略中支持的算法和密钥强度有哪些?

下表列出了可配置的受支持加密算法和密钥强度。 必须为每个字段选择一个选项。

IPsec/IKEv2 选项
IKEv2 加密 GCMAES256、GCMAES128、AES256、AES192、AES128
IKEv2 完整性 SHA384、SHA256、SHA1、MD5
DH 组 DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、无
IPsec 加密 GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无
IPsec 完整性 GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS 组 PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无
QM SA 生存期 可选:如果未指定,则使用默认值)
秒(整数;至少为 300 秒/默认为 27000 秒)
KB(整数;至少为 1024 KB/默认为 102400000 KB)
流量选择器 UsePolicyBasedTrafficSelectors**($True/$False; 可选,如果未指定,则使用默认值 $False)
DPD 超时 秒(整数:最小值为 9/最大值为 3600;默认值为 45 秒)

  • 本地 VPN 设备配置必须匹配,或者必须包含可在 Azure IPsec/IKE 策略中指定的以下算法和参数:

    • IKE 加密算法(主模式 / 阶段 1)
    • IKE 完整性算法(主模式 / 阶段 1)
    • DH 组(主模式 / 阶段 1)
    • IPsec 加密算法(快速模式 / 阶段 2)
    • IPsec 完整性算法(快速模式 / 阶段 2)
    • PFS 组(快速模式 / 阶段 2)
    • 流量选择器(如果使用了 UsePolicyBasedTrafficSelectors)
    • SA 生存期只是本地规范,不需要匹配。

  • 如果使用 GCMAES 作为 IPsec 加密算法,则必须选择相同的 GCMAES 算法和密钥长度以保证 IPsec 完整性,例如对这两者使用 GCMAES128。

  • 在“算法和密钥”表中:

    • IKE 对应于主模式或阶段 1。
    • IPsec 对应于快速模式或阶段 2。
    • DH 组指定在主模式或阶段 1 中使用的 Diffie-Hellman 组。
    • PFS 组指定在快速模式或阶段 2 中使用的 Diffie-Hellmen 组。

  • 在 Azure VPN 网关上,IKE 主模式 SA 生存期固定为 28,800 秒。

  • “UsePolicyBasedTrafficSelectors”是连接上的可选参数。 如果你在连接上将 UsePolicyBasedTrafficSelectors 设置为 $True,则它将配置 Azure VPN 网关,以连接到基于策略的本地 VPN 防火墙。 如果启用 PolicyBasedTrafficSelectors,则需确保对于本地网络(本地网关)前缀与 Azure 虚拟网络前缀的所有组合,VPN 设备都定义了与之匹配的流量选择器(而不是任意到任意)。 Azure VPN 网关将接受远程 VPN 网关建议的任何流量选择器,无论 Azure VPN 网关上的配置如何。

    例如,如果本地网络前缀为 10.1.0.0/16 和 10.2.0.0/16,虚拟网络前缀为 192.168.0.0/16 和 172.16.0.0/16,则需指定以下流量选择器:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    有关基于策略的流量选择器的详细信息,请参阅连接多个基于策略的本地 VPN 设备

  • DPD 超时 - 在 Azure VPN 网关上,默认值为 45 秒。 将超时设置为较短的时长会导致 IKE 更主动地重新生成密钥,导致连接在某些实例中好像是断开的。 如果你的本地位置离 VPN 网关所在的 Azure 区域较远,或者物理链接条件可能会导致数据包丢失,则你可能不希望出现这种情况。 一般建议是将超时设置为 30 到 45 秒。

有关详细信息,请参阅连接多个基于策略的本地 VPN 设备

支持哪些 Diffie-Hellman 组?

下表列出了自定义策略支持的相应 Diffie-Hellman 组:

Diffie-Hellman 组 DHGroup PFSGroup 密钥长度
1 DHGroup1 PFS1 768 位 MODP
2 DHGroup2 PFS2 1024 位 MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048 位 MODP
19 ECP256 ECP256 256 位 ECP
20 ECP384 ECP384 384 位 ECP
24 DHGroup24 PFS24 2048 位 MODP

如需更多详细信息,请参阅 RFC3526RFC5114

自定义策略是否会替换 Azure VPN 网关的默认 IPsec/IKE 策略集?

是的。一旦在连接上指定自定义策略,Azure VPN 网关就会只使用该连接的策略,既充当 IKE 发起方,又充当 IKE 响应方。

如果删除自定义 IPsec/IKE 策略,连接是否会变得不受保护?

否。连接仍受 IPsec/IKE 保护。 从连接中删除自定义策略以后,Azure VPN 网关会还原为默认的 IPsec/IKE 提议列表,并再次重启与本地 VPN 设备的 IKE 握手。

添加或更新 IPsec/IKE 策略是否会中断 VPN 连接?

是的。那样会导致短时中断(数秒),因为 Azure VPN 网关会断开现有连接并重启 IKE 握手,以便使用新的加密算法和参数重建 IPsec 隧道。 请确保也使用匹配的算法和密钥强度对本地 VPN 设备进行配置,尽量减少中断。

是否可以在不同的连接上使用不同的策略?

是的。 自定义策略是在单个连接的基础上应用的。 可以在不同的连接上创建并应用不同的 IPsec/IKE 策略。 也可选择在连接子集上应用自定义策略。 剩余连接使用 Azure 默认 IPsec/IKE 策略集。

是否也可在 VNet 到 VNet 连接上使用自定义策略?

是的。可以在 IPsec 跨界连接或 VNet 到 VNet 连接上应用自定义策略。

是否需在两个 VNet 到 VNet 连接资源上指定同一策略?

是的。 VNet 到 VNet 隧道包含 Azure 中的两个连接资源,一个方向一个资源。 请确保两个连接资源的策略相同,否则无法建立 VNet 到 VNet 连接。

默认的 DPD 超时值是多少? 能否指定其他 DPD 超时值?

默认的 DPD 超时为 45 秒。 你可在每个 IPsec 或 VNet 到 VNet 连接上指定其他 DPD 超时值(从 9 到 3600 秒)。

注意

在 Azure VPN 网关上,默认值为 45 秒。 将超时设置为较短的时长会导致 IKE 更主动地重新生成密钥,导致连接在某些实例中好像是断开的。 如果本地位置离 VPN 网关所在的 Azure 区域较远,或者物理链接条件可能会导致数据包丢失时,你可能不希望出现这种情况。 一般建议是将超时设置为 30 到 45 秒。

能否在 ExpressRoute 连接上使用自定义 IPsec/IKE 策略?

否。 只能通过 Azure VPN 网关在 S2S VPN 和 VNet 到 VNet 连接上使用 IPsec/IKE 策略。

如何创建 IKEv1 或 IKEv2 协议类型的连接?

除基本的 SKU、标准 SKU 和其他旧版 SKU 以外,可以在所有 RouteBased VPN 类型 SKU 上创建 IKEv1 连接。 创建连接时,可以指定 IKEv1 或 IKEv2 连接协议类型。 如果未指定连接协议类型,IKEv2 将用作默认选项(如果适用)。 有关详细信息,请参阅 PowerShell cmdlet 文档。 有关 SKU 类型和 IKEv1/IKEv2 支持,请参阅将网关连接到基于策略的 VPN 设备

是否允许在 IKEv1 连接和 IKEv2 连接之间进行传输?

是的。 支持在 IKEv1 连接和 IKEv2 连接之间传输。

能否在 RouteBased VPN 类型的基本 SKU 上建立 IKEv1 站点到站点连接?

否。 基本 SKU 不支持此操作。

能否在创建连接(从 IKEv1 到 IKEv2 的连接,或者反方向的连接)后更改连接协议类型?

否。 在创建连接后,无法再更改 IKEv1/IKEv2 协议。 必须删除并重新创建使用所需协议类型的新连接。

为什么我的 IKEv1 连接频繁地重新连接?

如果你的静态路由或基于路由的 IKEv1 连接每隔一段时间就断开连接一次,可能是因为 VPN 网关不支持就地重新生成密钥。 如果主模式正在重新生成密钥,IKEv1 隧道将断开连接,并需要长达 5 秒的时间来重新连接。 主模式协商超时值将决定重新生成密钥的频率。 为了防止出现这些重新连接,可以切换到使用 IKEv2,它支持就地重新生成密钥。

如果你的连接不定时地重新连接,请按照我们的故障排除指南执行操作。

可以在何处找到配置信息和步骤?

有关详细信息和配置步骤,请参阅以下文章。

BGP 和路由

BGP 是否在所有 Azure VPN 网关 SKU 上受支持?

除了基本 SKU,其他所有 Azure VPN 网关 SKU 都支持 BGP。

能否将 BGP 用于 Azure 策略 VPN 网关?

否,只有基于路由的 VPN 网关支持 BGP。

可使用哪种 ASN(自治系统编号)?

可以将自己的公共 ASN 或专用 ASN 同时用于本地网络和 Azure 虚拟网络。 不能使用 Azure 或 IANA 保留的范围。

Azure 或 IANA 保留的 ASN 如下所示:

  • 由 Azure 保留的 ASN:

    • 公用 ASN:8074、8075、12076
    • 专用 ASN:65515、65517、65518、65519、65520

  • 由 IANA 保留的 ASN:

    • 23456、64496-64511、65535-65551 和 429496729

连接到 Azure VPN 网关时,不能为本地 VPN 设备指定这些 ASN。

是否可以使用 32 位(4 字节)ASN?

可以,VPN 网关现在支持 32 位(4 字节)ASN。 若要使用 ASN 以十进制格式进行配置,请使用 PowerShell、Azure CLI 或 Azure SDK。

可以使用哪些专用 ASN?

可用的专用 ASN 范围包括:

  • 64512-65514 和 65521-65534

IANA 或 Azure 不会保留和使用这些 ASN,因此可将其分配给 Azure VPN 网关。

VPN 网关将哪个地址用于 BGP 对等节点 IP?

默认情况下,VPN 网关为主备 VPN 网关分配 GatewaySubnet 范围中的一个 IP 地址,或者为双活 VPN 网关分配两个 IP 地址。 在你创建 VPN 网关时,系统会自动分配这些地址。 可以通过使用 PowerShell 或通过在 Azure 门户中查找来获取分配的实际 BGP IP 地址。 在 PowerShell 中,使用 Get-AzVirtualNetworkGateway,并查找 bgpPeeringAddress 属性 。 在 Azure 门户的“网关配置”页面上的“配置 BGP ASN”属性下查看 。

如果你的本地 VPN 路由器使用 APIPA IP 地址 (169.254.x.x) 作为 BGP IP 地址,则必须在 Azure VPN 网关上指定一个或多个 Azure APIPA BGP IP 地址 。 Azure VPN 网关会选择 APIPA 地址,将其与本地网关中指定的本地 APIPA BGP 对等节点结合使用,或选择非 APIPA 本地 BGP 对等节点的专用 IP 地址。 有关详细信息,请参阅配置 BGP

VPN 设备上的 BGP 对等节点 IP 地址的要求是什么?

本地 BGP 对等节点地址不得与 VPN 设备的公共 IP 地址相同,也不得来自 VPN 网关的虚拟网络地址空间。 在 VPN 设备上对 BGP 对等节点 IP 使用不同的 IP 地址。 它可以是一个分配给设备上环回接口的地址(常规 IP 地址或 APIPA 地址)。 如果设备针对 BGP 使用 APIPA 地址,则必须在 Azure VPN 网关上指定一个或多个 APIPA BGP IP 地址,如配置 BGP 中所述。 在表示位置的相应本地网关中指定这些地址。

使用 BGP 时应将什么指定为本地网关的地址前缀?

重要

这是之前记录的要求中的一项更改。 如果你使用 BGP 进行连接,则将相应的本地网络网关资源的“地址空间”字段留空。 Azure VPN 网关将在内部添加一个通过 IPsec 隧道传往本地 BGP 对等节点 IP 的主机路由。 请不要在“地址空间”字段添加 /32 路由。 该路由是冗余的;如果你使用 APIPA 地址作为本地 VPN 设备 BGP IP,则无法将它添加到此字段。 如果在“地址空间”字段中添加任何其他前缀,则除了通过 BGP 了解到的路由外,这些前缀将作为静态路由添加到 Azure VPN 网关上。

能否将同一个 ASN 同时用于本地 VPN 网络和 Azure 虚拟网络?

否,必须在本地网络和 Azure 虚拟网络之间分配不同 ASN(如果要使用 BGP 将它们连接在一起)。 无论是否为跨界连接启用了 BGP,都会为 Azure VPN 网关分配默认 ASN(即 65515)。 可以通过在创建 VPN 网关时分配不同 ASN,或者在创建网关后更改 ASN 来覆盖此默认值。 需要将本地 ASN 分配给相应的 Azure 本地网关。

Azure VPN 网关将播发给我哪些地址前缀?

这些网关会将以下路由播发到本地 BGP 设备:

  • 你的虚拟网络地址前缀。
  • 已连接到 Azure VPN 网关的每个本地网关的地址前缀。
  • 从连接到 Azure VPN 网关的其他 BGP 对等会话获知的路由,不包括默认路由或与任何虚拟网络前缀重叠的路由。

我可以向 Azure VPN 网关发布多少个前缀?

Azure VPN 网关最多支持 4000 个前缀。 如果前缀数目超过此限制,将丢弃 BGP 会话。

能否将默认路由 (0.0.0.0/0) 播发给 Azure VPN 网关?

是的。 请注意,这会强制所有虚拟网络出口流量流向你的本地站点。 它还可阻止虚拟网络 VM 直接从 internet 接收公共通信,例如从 internet 到 VM 的 RDP 或 SSH。

能否播发与虚拟网络前缀完全相同的前缀?

不能,Azure 将阻止播发与任一虚拟网络地址前缀相同的前缀或对其进行筛选。 但是,可播发属于虚拟网络内所拥有内容超集的前缀。

例如,如果虚拟网络使用了地址空间 10.0.0.0/16,则可以播发 10.0.0.0/8。 但无法播发 10.0.0.0/16 或 10.0.0.0/24。

能否对虚拟网络之间的连接使用 BGP?

可以,BGP 既可用于跨界连接,也可用于虚拟网络之间的连接。

能否将 BGP 连接与非 BGP 连接混合用于 Azure VPN 网关?

能,可以将 BGP 连接和非 BGP 连接混合用于同一 Azure VPN 网关。

Azure VPN 网关是否支持 BGP 传输路由?

是,支持 BGP 传输路由,但例外是 Azure VPN 网关不会将默认路由播发到其他 BGP 对等节点。 若要启用跨多个 Azure VPN 网关的传输路由,必须在虚拟网络之间的所有中间连接上启用 BGP。 有关详细信息,请参阅关于 BGP

在 Azure VPN 网关和我的本地网络之间能否有多个隧道?

能,可以在 Azure VPN 网关和本地网络之间建立多个站点到站点 (S2S) VPN 隧道。 请注意,所有这些隧道都将计入 Azure VPN 网关的隧道总数,且你必须在这两个隧道上都启用 BGP。

例如,如果在 Azure VPN 网关与一个本地网络之间有两个冗余隧道,则它们将占用 Azure VPN 网关的总配额中的 2 个隧道。

在两个使用 BGP 的 Azure 虚拟网络之间能否有多个隧道?

是,但必须至少有一个虚拟网络网关采用主动-主动配置。

能否在 Azure ExpressRoute 和 S2S VPN 共存配置中对 S2S VPN 使用 BGP?

是的。

应为 BGP 对等会话添加到本地 VPN 设备什么内容?

在 VPN 设备上添加 Azure BGP 对等节点 IP 地址的主机路由。 此路由指向 IPsec S2S VPN 隧道。 例如,如果 Azure VPN 对等节点 IP 为“10.12.255.30”,则使用匹配的 IPsec 隧道接口的下一跃点接口在VPN设备上为 “10.12.255.30” 添加主机路由。

虚拟网络网关是否支持将 BFD 用于使用 BGP 的 S2S 连接?

不能。 双向转发检测 (BFD) 是一种协议,与使用标准 BGP “keepalives” 相比,将 BFD 与 BGP 结合使用可更快地检测相邻故障时间。BFD 使用亚秒级计时器,它专门在 LAN 环境中使用,但不跨公共 Internet 或广域网连接进行使用。

对于通过公共 Internet 进行的连接,某些数据包延迟(甚至被删除)的情况是不常见的,因此引入这些主动计时器有可能使性能更不稳定。 这种不稳定可能导致路由遭到 BGP 抑制。 替换方法是,可给本地设备配置比默认值(即60 秒“keepalive”时间间隔)低且保持时间为180 秒的计时器。 这可缩短收敛时间。 然而,低于默认的 60 秒“keepalive”间隔或低于默认的 180 秒保持时间的计时器是不可靠的。 建议将计时器至少保持在默认值。

Azure VPN 网关是否启动 BGP 对等互连会话或连接?

网关使用 VPN 网关上的专用 IP 地址,为本地网络网关资源中指定的本地 BGP 对等 IP 地址启动 BGP 对等互连会话。 这与本地 BGP IP 地址是在 APIPA 范围内还是在常规专用 IP 地址上无关。 如果本地 VPN 设备使用 APIPA 地址作为 BGP IP,则需要配置 BGP 扬声器来启动连接。

是否可以配置强制隧道?

是的。 请参阅 配置强制隧道

NAT

NAT 是否在所有 Azure VPN 网关 SKU 上都受支持?

NAT 在 VpnGw2-5 以及 VpnGw2AZ-5AZ 上受支持。

是否可以在 VNet 到 VNet 连接或 P2S 连接上使用 NAT?

错误。

在一个 VPN 网关上可以使用多少个 NAT 规则?

在一个 VPN 网关上最多可以创建 100 个 NAT 规则(包括传入和传出规则)。

是否可以在 NAT 规则名称中使用“/”?

否。 你将收到错误。

NAT 是否应用于 VPN 网关上的所有连接?

NAT 应用于带有 NAT 规则的连接。 如果某个连接没有 NAT 规则,则 NAT 不会对该连接生效。 在同一个 VPN 网关上,可以将一些带有 NAT 的连接与其他一些不带有 NAT 的连接一起使用。

Azure VPN 网关支持哪些类型的 NAT?

仅支持静态 1:1 NAT 和动态 NAT。 不支持 NAT64。

NAT 是否可在主动-主动 VPN 网关上正常工作?

是的。 NAT 可以在主动-主动和主动-备用 VPN 网关上正常工作。 每个 NAT 规则都将应用于 VPN 网关的单个实例。 在主动-主动网关中,通过“IP 配置 ID”字段为每个网关实例创建单独的 NAT 规则。

NAT 是否适用于 BGP 连接?

是,可将 BGP 与 NAT 配合使用。 下面是一些重要注意事项:

  • 在“NAT 规则”配置页上选择“启用 BGP 路由转换”,以确保基于与连接关联的 NAT 规则,将获知的路由和播发的路由转换为执行 NAT 后的地址前缀(外部映射)。 需确保本地 BGP 路由器播发 IngressSNAT 规则中定义的确切前缀。

  • 如果本地 VPN 路由器使用普通的非 APIPA 地址,但该地址与虚拟网络地址空间或其他本地网络空间有冲突,请确保 IngressSNAT 规则会将 BGP 对等方 IP 转换为唯一的不重叠地址,并将执行 NAT 后的地址输入到本地网络网关的“BGP 对等方 IP 地址”字段中。

  • BGP APIPA地址不支持NAT。

是否需要为 SNAT 规则创建匹配的 DNAT 规则?

不是。 单个 SNAT 规则将定义特定网络的双向转换:

  • IngressSNAT 规则定义从本地网络进入 Azure VPN 网关的源 IP 地址的转换。 它还会处理离开虚拟网络并进入同一本地网络的目标 IP 地址的转换。

  • EgressSNAT 规则定义离开 Azure VPN 网关并进入本地网络的虚拟网络源 IP 地址的转换。 它还会处理通过那些带有 EgressSNAT 规则的连接进入 VNet 的数据包的目标 IP 地址转换。

  • 在任一情况下,都不需要 DNAT 规则。

如果我的 VNet 或本地网络网关地址空间具有两个或更多个前缀,该怎么办? 是否可以将 NAT 应用于所有这些前缀? 还是说,只能应用于其中的一部分前缀?

对于每个需要执行 NAT 的前缀,都要创建一个 NAT 规则,因为每个 NAT 规则只能包含该 NAT 的一个地址前缀。 例如,如果本地网络网关地址空间包括 10.0.1.0/24 和 10.0.2.0/25,则你可以创建两个规则,如下所示:

  • IngressSNAT 规则 1:将 10.0.1.0/24 映射到 100.0.1.0/24
  • IngressSNAT 规则 2:将 10.0.2.0/25 映射到 100.0.2.0/25

这两个规则必须与相应地址前缀的前缀长度相匹配。 这同样适用于虚拟网络地址空间的 EgressSNAT 规则。

重要

如果只将一个规则链接到上述连接,则不会转换其他地址空间。

我可以使用哪些 IP 范围进行外部映射?

你可以根据需要使用任何适合外部映射的 IP 范围,包括公共 IP 和专用 IP。

是否可以使用不同的 EgressSNAT 规则将 VNet 地址空间转换为不同本地网络的不同前缀?

是,可为同一个 VNet 地址空间创建多个 EgressSNAT 规则,并将 EgressSNAT 规则应用于不同的连接。

是否可以在不同的连接上使用同一个 IngressSNAT 规则?

是,如果在同一个本地网络中使用这些连接来提供冗余,则通常会采取这种做法。 如果这些连接用于不同的本地网络,则不能使用同一个传入规则。

一个 NAT 连接上是否既需要使用传入规则,又需要使用传出规则?

如果本地网络地址空间与虚拟网络地址空间重叠,则在同一连接上既需要使用传入规则,又需要使用传出规则。 如果虚拟网络地址空间在所有连接的网络中是唯一的,则不需要在这些连接上使用 EgressSNAT 规则。 可以使用传入规则来避免本地网络之间出现地址重叠的情况。

选择什么作为“IP 配置 ID”?

“IP 配置 ID”只是你希望 NAT 规则使用的 IP 配置对象的名称。 使用此设置,只需选择适用于 NAT 规则的网关公共 IP 地址。 如果在创建网关时未指定任何自定义名称,则会将网关的主 IP 地址分配给“默认”IPconfiguration,并将辅助 IP 分配给“activeActive”IPconfiguration。

跨界连接和 VM

如果虚拟机位于虚拟网络中,而连接是跨界连接,应如何连接到该 VM?

有几个选择。 如果为 VM 启用了 RDP,则可使用专用 IP 地址连接到虚拟机。 在这种情况下,需要指定要连接到的专用 IP 地址和端口(通常为 3389)。 需要配置用于流量的虚拟机端口。

也可以使用位于同一虚拟网络中的另一个虚拟机的专用 IP 地址连接到虚拟机。 如果要从虚拟网络外部的位置进行连接,则无法使用专用 IP 地址 RDP 到虚拟机。 例如,如果配置了点到站点虚拟网络,并且未从计算机建立连接,则无法通过专用 IP 地址连接到虚拟机。

如果我的虚拟机位于使用跨界连接的虚拟网络中,从我的 VM 流出的所有流量是否都会经过该连接?

否。 只有其目标 IP 包含在指定虚拟网络本地网络 IP 地址范围内的流量才会通过虚拟网络网关。 其目标 IP 位于虚拟网络中的流量保留在虚拟网络中。 其他流量通过负载均衡器发送到公共网络,或者在使用强制隧道的情况下通过 Azure VPN 网关发送。

如何排查到 VM 的 RDP 连接的问题

如果无法通过 VPN 连接连接到虚拟机,请检查以下项:

  • 验证 VPN 连接是否成功。
  • 验证是否已连接到 VM 的专用 IP 地址。
  • 如果可以使用专用 IP 地址连接到 VM,但不能使用计算机名称进行连接,则请验证是否已正确配置 DNS。 若要详细了解如何对 VM 进行名称解析,请参阅针对 VM 的名称解析

通过点到站点进行连接时,请检查下述其他项:

  • 使用“ipconfig”来检查分配给以太网适配器的 IPv4 地址,该适配器所在的计算机正是你要从其进行连接的计算机。 如果该 IP 地址位于要连接到的虚拟网络的地址范围内,或者位于 VPNClientAddressPool 的地址范围内,则称为地址空间重叠。 当地址空间以这种方式重叠时,网络流量不会抵达 Azure,而是呆在本地网络中。
  • 验证是否在为虚拟网络指定 DNS 服务器 IP 地址之后,才生成 VPN 客户端配置包。 如果更新了 DNS 服务器 IP 地址,请生成并安装新的 VPN 客户端配置包。

若要详细了解如何排查 RDP 连接问题,请参阅排查远程桌面连接到 VM 的问题

后续步骤

“OpenVPN”是 OpenVPN Inc. 的商标。