Freigeben über

Tutorial: Erstellen und Verwalten eines VPN-Gateways über das Azure-Portal

Dieses Tutorial unterstützt Sie dabei, mithilfe des Azure-Portals ein VPN-Gateway (virtuelles privates Netzwerk) zu erstellen und zu verwalten. Das VPN-Gateway ist nur ein Teil der Verbindungsarchitektur, mit dem Sie über ein VPN-Gateway sicher auf Ressourcen in einem virtuellen Netzwerk zugreifen können.

Diagramm eines virtuellen Netzwerks und eines VPN-Gateways.

  • Die linke Seite der Abbildung zeigt das virtuelle Netzwerk und das VPN-Gateway, die Sie mithilfe der Schritte in diesem Artikel erstellen.
  • Sie können später verschiedene Verbindungstypen hinzufügen, wie auf der rechten Seite der Abbildung gezeigt. Sie können beispielsweise Site-to-Site- und Point-to-Site-Verbindungen erstellen. Um verschiedene Entwurfsarchitekturen anzuzeigen, die Sie erstellen können, lesen Sie Entwurf für VPN-Gateway.
  • Weitere Informationen zum Azure VPN-Gateway finden Sie unter Was ist das Azure VPN-Gateway? Wenn Sie mehr über die in diesem Tutorial verwendeten Konfigurationseinstellungen erfahren möchten, lesen Sie den Abschnitt Informationen zu VPN Gateway-Einstellungen.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen Sie ein virtuelles Netzwerk.
  • Erstellen eines zonenredundanten VPN-Gateways im Aktiv-Aktiv-Modus.
  • Zeigen Sie die öffentlichen IP-Adresse des Gateways an.
  • Aktualisieren sie eine VPN-Gateway-SKU.
  • Setzen Sie ein VPN-Gateway zurück.

Hinweis

Die Schritte in diesem Artikel nutzen die Gateway-SKU VpnGw2AZ, eine SKU, die Azure-Verfügbarkeitszonen unterstützt. Ab Mai 2025 akzeptieren alle Regionen eine AZ-SKU , unabhängig davon, ob Verfügbarkeitszonen in dieser Region unterstützt werden. Weitere Informationen zu Gateway-SKUs finden Sie unter Informationen zu Gateway-SKUs.

Voraussetzungen

Sie benötigen ein Azure-Konto mit einem aktiven Abonnement. Sollten Sie über keine Organisation verfügen, können Sie kostenlos eine erstellen.

Erstellen eines virtuellen Netzwerks

In diesem Artikel wird das Azure-Portal verwendet, um ein virtuelles Netzwerk zu erstellen. Sie können auch ein anderes Tool oder eine andere Methode verwenden, um ein virtuelles Netzwerk zu erstellen. Weitere Informationen oder Schritte finden Sie unter Erstellen eines virtuellen Netzwerks. Für diese Übung erfordert das virtuelle Netzwerk nicht die Konfiguration zusätzlicher Dienste, z. B. Azure Bastion oder DDoS Protection. Sie können diese Dienste jedoch hinzufügen, wenn Sie sie verwenden möchten.

Konfiguration Beispielwert
Ressourcengruppe TestRG1
Name des virtuellen Netzwerks VNet1
Region Ost-USA
IPv4-Adressraum 10.1.0.0/16
Subnetzname FrontEnd
Subnetzadressraum 10.1.0.0/24
  1. Melden Sie sich beim Azure-Portal an.
  2. Geben Sie oben auf der Portalseite unter Nach Ressourcen, Diensten und Dokumenten suchen (G+/) den Begriff virtuelles Netzwerk ein. Wählen Sie aus den Marketplace-Suchergebnissen den Eintrag Virtuelles Netzwerk aus, um die Seite Virtuelles Netzwerk zu öffnen.
  3. Wählen Sie auf der Seite Virtuelles Netzwerk die Option Erstellen aus, um die Seite Virtuelles Netzwerk erstellen zu öffnen.
  4. Füllen Sie die erforderlichen Werte für die Registerkarte " Grundlagen" aus .
  5. Wählen Sie Weiter oder Sicherheit aus, um zur Registerkarte Sicherheit zu wechseln. Behalten Sie für diese Übung die Standardwerte für alle Dienste auf dieser Seite bei.
  6. Wählen Sie "IP-Adressen " aus, um zur Registerkarte " IP-Adressen " zu wechseln. Konfigurieren Sie auf der Registerkarte "IP-Adressen " die erforderlichen Einstellungen.
  7. Überprüfen Sie die Seite IP-Adressen, und entfernen Sie alle Adressräume oder Subnetze, die Sie nicht benötigen.
  8. Wählen Sie Bewerten + erstellen aus, um die Einstellungen für das virtuelle Netzwerk zu überprüfen.
  9. Wählen Sie nach der Überprüfung der Einstellungen Erstellen aus, um das virtuelle Netzwerk zu erstellen.

Erstellen eines Gatewaysubnetzes

Ressourcen eines virtuellen Netzwerkgateways werden in einem bestimmten Subnetz mit dem Namen GatewaySubnet bereitgestellt. Das Gatewaysubnetz ist Teil des IP-Adressbereichs des virtuellen Netzwerks, den Sie beim Konfigurieren Des virtuellen Netzwerks angeben.

Wenn Sie kein Subnetz namens GatewaySubnet haben, tritt beim Erstellen des VPN-Gateways ein Fehler auf. Es empfiehlt sich, ein Gatewaysubnetz mit /27 (oder größer) zu erstellen. Zum Beispiel /27 oder /26. Weitere Informationen zum Gatewaysubnetz finden Sie unter VPN-Gatewayeinstellungen – Gateway-Subnetz.

  1. Wählen Sie auf der Seite für Ihr virtuelles Netzwerk im linken Bereich Subnetze aus, um die Seite Subnetze zu öffnen.
  2. Wählen Sie oben auf der Seite +Subnetz aus, um den Subnetzbereich hinzufügen zu öffnen.
  3. Wählen Sie für Subnetzzweck das virtuelle Netzwerkgateway aus der Dropdownliste aus.
  4. Der Name wird automatisch als GatewaySubnet eingegeben. Passen Sie bei Bedarf die Start-IP-Adresse und -Größe an. Beispiel: 10.1.255.0/27.
  5. Passen Sie die anderen Werte auf der Seite nicht an. Klicken Sie auf "Hinzufügen" , um das Subnetz hinzuzufügen.

Weitere Informationen zum Hinzufügen eines Subnetzes zu Ihrem virtuellen Netzwerk finden Sie unter Hinzufügen, Ändern oder Löschen eines virtuellen Netzwerksubnetz. Schritte zum Hinzufügen eines Adressbereichs zu Ihrem virtuellen Netzwerk finden Sie unter Hinzufügen oder Entfernen eines Adressbereichs.

Wichtig

NSGs im Gatewaysubnetz werden nicht unterstützt. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz könnte dazu führen, dass Ihr virtuelles Netzwerkgateway (VPN- und ExpressRoute-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.

Erstellen eines VPN-Gateways

In diesem Abschnitt erstellen Sie das virtuelle Netzwerkgateway (VPN-Gateway) für Ihr virtuelles Netzwerk. Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern. Führen Sie die folgenden Schritte aus, um ein VPN-Gateway zu erstellen. Beachten Sie, dass die VPN-Gateway Basic-SKU nur in PowerShell oder CLI verfügbar ist.

  1. Geben Sie unter Nach Ressourcen, Diensten und Dokumenten suchen (G+/) den Begriff virtuelles Netzwerkgateway ein. Suchen Sie in den Marketplace-Suchergebnissen nach Virtuelles Netzwerkgateway, und wählen Sie den Eintrag aus, um die Seite Virtuelles Netzwerkgateway erstellen zu öffnen.

    Screenshot der Instanzenfelder.

  2. Geben Sie auf der Registerkarte Grundlagen die Werte für Projektdetails und Details zur Instanz ein.

    Konfiguration Wert
    Name Beispiel: VNet1GW
    Region Die Region für das Gateway muss der des virtuellen Netzwerks entsprechen.
    Gatewaytyp Wählen Sie VPN aus. Bei VPN-Gateways wird ein virtuelles Netzwerkgateway vom Typ VPN verwendet.
    Artikelnummer (SKU) Beispiel: VpnGw2AZ. Es wird empfohlen, eine Gateway-SKU auszuwählen, die in AZ endet, wenn Ihre Region Verfügbarkeitszonen unterstützt.
    Generation Generation 2
    Virtuelles Netzwerk Beispiel: VNet1. Wenn Ihr virtuelles Netzwerk in der Dropdownliste nicht verfügbar ist, müssen Sie die ausgewählte Region anpassen.
    Subnetz Beispiel: 10.1.255.0/27, Ein Subnetz mit dem Namen GatewaySubnet ist erforderlich, um ein VPN-Gateway zu erstellen. Wenn das Gatewaysubnetz nicht automatisch aufgefüllt wird und die Option zum Erstellen eines auf dieser Seite nicht angezeigt wird, wechseln Sie zurück zur Seite des virtuellen Netzwerks, und erstellen Sie das Gatewaysubnetz.

  1. Geben Sie die Werte für Öffentliche IP-Adresse an. Mit diesen Einstellungen wird das Objekt für die öffentliche IP-Adresse angegeben, das dem VPN-Gateway zugeordnet wird. Die öffentliche IP-Adresse wird diesem Objekt bei der Erstellung des VPN-Gateways zugewiesen. Die primäre öffentliche IP-Adresse wird nur geändert, wenn das Gateway gelöscht und neu erstellt wird.

    Konfiguration Wert
    Name der öffentlichen IP-Adresse Beispiel: VNet1GWpip1
    Verfügbarkeitszone Diese Einstellung ist für AZ-SKUs in Regionen verfügbar, die Verfügbarkeitszonen unterstützen. Beispiel: Zonenredundant.
    Aktiv/Aktiv-Modus aktivieren – Wählen Sie "Aktiviert" aus, um die Vorteile eines aktiven Gateways zu nutzen. Für ein aktives Gateway ist eine zusätzliche öffentliche IP-Adresse erforderlich.
    – Wenn Sie beabsichtigen, dieses Gateway für Standort-zu-Standort-Verbindungen zu verwenden, überprüfen Sie das aktive Design, das Sie verwenden möchten.
    – Verbindungen mit Ihrem lokalen VPN-Gerät müssen speziell für die Nutzung des aktiven Modus konfiguriert werden.
    – Einige VPN-Geräte unterstützen den aktiven Modus nicht. Wenn Sie sich nicht sicher sind, wenden Sie sich an Ihren VPN-Geräteanbieter. Wenn Sie ein VPN-Gerät verwenden, das den Aktiv/Aktiv-Modus nicht unterstützt, können Sie Deaktiviert für diese Einstellung auswählen.
    Zweiter öffentlicher IP-Adressname Nur für Gateways im aktiven Modus verfügbar. Beispiel: VNet1GWpip2
    Verfügbarkeitszone Beispiel: Zonenredundant.
    Configure BGP (BGP konfigurieren) Wählen Sie "Deaktiviert" aus, es sei denn, Ihre Konfiguration erfordert diese Einstellung. Wenn Sie diese Einstellung benötigen, lautet der Standard-ASN 65515.
    Aktivieren des Key Vault-Zugriffs Wählen Sie "Deaktiviert" aus, es sei denn, Sie müssen diese Einstellung aktivieren.

  2. Wählen Sie zum Ausführen der Validierung Bewerten + erstellen aus.

  3. Wählen Sie nach erfolgreicher Validierung Erstellen aus, um das VPN-Gateway bereitzustellen.

Der Bereitstellungsstatus wird auf der Übersichtsseite für Ihr Gateway angezeigt. Nachdem das Gateway erstellt wurde, können Sie die ihm zugewiesene IP-Adresse anzeigen, indem Sie das virtuelle Netzwerk im Portal betrachten. Das Gateway wird als verbundenes Gerät angezeigt.

Anzeigen einer öffentlichen IP-Adresse

Um öffentliche IP-Adressen anzuzeigen, die Ihrem virtuellen Netzwerkgateway zugeordnet sind, müssen Sie im Portal zum Gateway navigieren.

  1. Öffnen Sie auf der Seite "Portal für virtuelles Netzwerkgateway " unter "Einstellungen" die Seite "Eigenschaften ".
  2. Wenn Sie weitere Informationen zum IP-Adressobjekt anzeigen möchten, klicken Sie auf den entsprechenden IP-Adresslink.

Aktualisierung einer Gateway-SKU

Es gibt bestimmte Regeln für das Upgrade einer Gateway-SKU. Nicht alle SKUs können aktualisiert werden. Weitere Informationen finden Sie unter Upgrade einer Gateway-SKU.

  1. Wechseln Sie zur Seite Konfiguration für Ihr virtuelles Netzwerkgateway.
  2. Wählen Sie rechts auf der Seite den Dropdownpfeil aus, um eine Liste der verfügbaren SKUs anzuzeigen. Beachten Sie, dass die Liste nur SKUs auffüllt, die Sie auswählen können.
  3. Wählen Sie die SKU aus der Dropdownliste aus, und speichern Sie Ihre Änderungen.

Zurücksetzen eines Gateways

Gatewayzurücksetzungen verhalten sich je nach Gatewaykonfiguration anders. Weitere Informationen finden Sie unter Zurücksetzen eines VPN-Gateways oder einer Verbindung.

  1. Wechseln Sie im Portal zum virtuellen Netzwerkgateway, das Sie zurücksetzen möchten.
  2. Scrollen Sie auf der Seite VNET-Gateway links nach unten zu Hilfe -> Zurücksetzen.
  3. Wählen Sie auf der Seite Zurücksetzen die Option Zurücksetzen aus. Nach der Ausgabe des Befehls wird die aktuell aktive Instanz von Azure VPN Gateway sofort neu gestartet. Das Zurücksetzen des Gateways führt zu einer Lücke in der VPN-Konnektivität und kann die zukünftige Grundursachenanalyse des Problems einschränken.

Bereinigen von Ressourcen

Wenn Sie diese Anwendung nicht weiter verwenden oder zum nächsten Tutorial wechseln möchten, löschen Sie diese Ressourcen.

  1. Geben Sie oben im Portal den Namen Ihrer Ressourcengruppe im Suchfeld Suche ein, und wählen Sie ihn in den Suchergebnissen aus.
  2. Wählen Sie die Option Ressourcengruppe löschen.
  3. Geben Sie unter GEBEN SIE DEN RESSOURCENGRUPPENNAMEN EIN Ihre Ressourcengruppe ein, und wählen Sie Löschen aus.

Nächste Schritte

Nachdem Sie ein VPN-Gateway erstellt haben, können Sie weitere Gatewayeinstellungen und -verbindungen konfigurieren. Die folgenden Artikel helfen Ihnen, einige der häufigsten Konfigurationen zu erstellen:

Site-to-Site-VPN-Verbindungen

Point-to-Site – VPN-Verbindungen für die Zertifikatauthentifizierung

Point-to-Site-VPN-Verbindungen mit Microsoft Entra-ID-Authentifizierung