將 Azure 連接到 VPN 站點到站點

我正在嘗試通過站點到站點連接將 Azure 網路連接到現場 VPN。我對現場網路沒有控制權或了解太多。

在 Azure 端，我設置了一個虛擬網路網關。Azure 端有 1 個 windows vm 需要在現場網路中。

所以我只想檢查一下我對這些東西的概念理解。

有幾件事我不確定。首先，有一個對 NAT IP 地址的請求。我了解 Azure 使用了 SNAT。這是否意味著沒有適用的 NAT IP 地址？

另一個問題與計時器有關。IKE 階段 1 和 IPSec 階段 2 有一個條目。除了 SALifetime 之外，Azure 中似乎沒有設置這些時間的選項。這些有關係嗎？

另一個問題是：需要訪問其他站點的伺服器——我應該把它和虛擬網關放在同一個子網中嗎？

只是為了仔細檢查我的過程：

在 Azure 中，一旦我創建了虛擬網路網關並將其連接到子網，我就會使用現場資訊創建一個本地網關。然後，我將使用以下命令創建一個策略：

$ipsecpolicy6 = New-AzureRmIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

然後我將沿著這些構想創建一個實際的連接：

$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzureRmLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

顯然為變數插入適當的資訊。

任何答案，澄清或提示將不勝感激。

謝謝

1. 真的不確定你在問什麼，你的 vm 會使用其內部 Azure IP 與內部網路通信，而不是外部（使用站點到站點）
2. -SALifeTimeSeconds- 以秒為單位的 IPSec 安全關聯（也稱為快速模式或階段 2 SA）生命週期（來源）
3. 不，您將其放入同一個 vnet 中的另一個子網中（或者如果您對等它們並允許傳輸，則將其放入另一個子網中）。

引用自：https://serverfault.com/questions/922788