Azure VPN连接和公共IP

时间:2014-11-13 21:28:38

标签: azure vpn nat ipsec

在Azure上,http://azure.microsoft.com/en-us/documentation/articles/virtual-networks-create-site-to-site-cross-premises-connectivity/

以下是关于站点到站点连接的说明。

  

具有公共IPv4地址的VPN设备。你需要的IP地址   为了完成向导。

     

VPN设备不能位于网络地址转换器后面   (NAT)并且必须符合最低设备标准。

我假设这是准确的,但有人可以确认吗?它似乎非常有限,因为我的对等vpn设备可以支持NAT-T。 Azure VPN g / w设备是否支持IPsec NAT-T?

相同的限制是否适用于指向站点,我的对等点是我的点,我想通过Azure VPN网关设备连接/连接到Azure VPN g / w设备后面的VNet。

谢谢你。

2 个答案:

答案 0 :(得分:2)

我根本没有看到限制。是的,情况确实如此。它在官方文档之前。

谈到Point-to-Site时,我相信你会错误地理解这项服务。 Azure点对站点连接允许单台计算机或笔记本电脑(名为Point)连接到Azure VPN网关(Site)。在这种情况下,客户端只需连接到互联网。

当您连接到Azure VPN网关时,您将成为Gateway连接的整个Azure虚拟网络的一部分。

答案 1 :(得分:0)

说实话,我不确定Azure VPN网关设备是否完全支持点对站点或站点对站点的任何类型的IPSec NAT。以下是我的发现。到目前为止,我最好的线索是找到#4。

  1. 在过去一周的所有研究中,似乎目前无法使用Azure做到这一点。参见https://social.msdn.microsoft.com/Forums/en-US/19eb5ac0-5fb1-4afa-8081-5afc32cb04fd/is-nat-supported-within-an-ipsec-vpn-connection?forum=WAVirtualMachinesVirtualNetwork。据此,“当任何一个设备涉及NAT时,当前都无法建立IPSec VPN连接。 。 。您不能在NAT后面拥有本地VPN设备,并且不能将其应用于VNet网关,因为客户将无权为VPN网关配置此类规则。”那是2017年4月。

  2. 事实上,在2017年2月,Microsoft似乎放弃了我们通过VPN应用NAT的任何机会。在https://feedback.azure.com/forums/217313-networking/suggestions/5525129-please-make-site-to-site-vpn-avaiable-for-devices的反馈论坛上,Azure网络团队成员拒绝了NAT后的设备使用站点到站点VPN的可能性。因此,不希望出现“站点到站点”问题,因为这将最有帮助,因为这将有助于解决云虚拟网络与本地硬件网络之间常见的子网重叠问题。我不太确定VPN上的NAT将如何有益于点对点情况(应用程序是什么?)

  3. 然后,与2017年12月(当年晚些时候)矛盾的是,Microsoft似乎宣布他们正处于计划阶段以针对Azure实施此操作(请参阅https://feedback.azure.com/forums/217313-networking/suggestions/15488244-offer-nat-as-a-service)。

  4. 仅在http://nullsession.com/2015/02/02/connecting-to-your-azure-site-to-site-vpn-over-nat/上,我发现了一种从2017年开始的方法,即“不受Microsoft支持-但根据RFC可以工作。”我仍在处理此问题,但我不相信我应该尝试因为它不受支持。

让我知道您的想法,因为我个人也试图为此寻求令人满意的解决方案。