Über das Azure VPN-Gateway ist es möglich ein VPN aufbauen, in das sich einzelne Anwender einwählen können, oder über das sich Rechenzentren oder Netzwerke mit Ressourcen in Azure verbinden lassen. Wir zeigen, wie Netzwerke oder Standorte über Site-to-Site-VPNs mit Azure gekoppelt werden.
Neben klassischen VPNs zur Vernetzung von Standorten oder Anwendern aus dem Homeoffice mit dem Unternehmensnetzwerk, lassen sich mit einem Azure VPN-Gateway auch gesicherte Verbindungen zur Azure-Cloud aufbauen.
Bei der Erstellung eines AzureVPN-Gateways können Admins verschiedene Arten von VPNs definieren. Während es Point-to-Site-VPNs mit Azure VPN-Gateway ermöglichen, dass sich einzelne Benutzer remote oder im Homeoffice mit einem VPN in Azure verbinden, lassen sich über Site-to-Site-VPNs komplette Netzwerke oder Standorte per VPN mit Azure verbinden.
Das steckt hinter einem Site-to-Site-VPN in Azure
Ein Site-to-Site-VPN ermöglicht es, zwei oder mehr Netzwerke über das Internet sicher miteinander zu verbinden. Im Zusammenhang mit Azure VPN-Gateway bietet ein Site-to-Site-VPN die nahtlose Integration von lokalen Netzwerken mit der Azure-Cloud-Infrastruktur. Azure VPN-Gateway nutzt IPSec/IKE (Internet Protocol Security/Internet Key Exchange) zum Aufbau sicherer Tunnel, wodurch Unternehmen ihre Daten zwischen der Cloud und den lokalen Ressourcen übertragen können. Die Technologie ist besonders nützlich für hybride Cloud-Szenarien, in denen Unternehmen bestimmte Anwendungen oder Daten sowohl lokal als auch in der Cloud betreiben.
Neben Azure VPN-Gateway gibt es Alternativen für Site-to-Site-VPNs. Eine beliebte Option ist die Nutzung von Drittanbieter-VPN-Lösungen wie Cisco AnyConnect oder OpenVPN, die oft erweiterte Konfigurationsmöglichkeiten und zusätzliche Sicherheitsfunktionen bieten. Eine weitere Alternative stellt die Verwendung von Azure ExpressRoute dar, die eine direkte, private Verbindung zwischen lokalen Rechenzentren und Azure ermöglicht und dadurch eine höhere Bandbreite sowie niedrigere Latenzzeiten bietet. Diese Lösung ist jedoch in der Regel teurer und komplexer in der Einrichtung als traditionelle VPNs. Schließlich können Unternehmen aber auch auf SD-WAN-Technologien (Software-Defined Wide Area Network) zurückgreifen, die eine flexible und effiziente Verwaltung der Netzwerkverbindungen bieten und dabei auch VPN-Funktionalitäten unterstützen.
Site-to-Site-VPN in Azure einrichten
Für den Aufbau eines Site-to-Site-VPNs wird in einem virtuellen Netzwerk zunächst bei „Einstellungen -> Subnetze“ ein neues „Gatewaysubnetz“ erstellt. Ein solches Subnetz ist für alle VPNs notwendig, die mit dem Azure VPN-Gateway erstellt werden. Steht ein solches Subnetz zur Verfügung, lässt sich über die Suche nach „VPN“ im Suchfeld und der Auswahl von „Gateways für virtuelle Netzwerke“ der Assistent zum Erstellen eines neuen Azure VPN-Gateways starten. Hier ist es bereits möglich, zwischen einem herkömmlichen VPN und einem VPN mit ExpressRoute zu wählen.
Azure ExpressRoute ist eine dedizierte Netzwerkverbindung, die es ermöglicht, lokale Netzwerke direkt mit Azure und anderen Microsoft-Diensten zu verbinden, ohne über das öffentliche Internet zu gehen. Diese Verbindung bietet Vorteile hinsichtlich Bandbreite, Latenz und Sicherheit. ExpressRoute-Verbindungen bieten Bandbreitenoptionen von 50 Mbps bis zu 10 Gbps, was sie ideal für große Datenübertragungen und latenzkritische Anwendungen macht.
Technisch gesehen basiert ExpressRoute auf einer Partnerschaft mit Netzbetreibern, die physische Verbindungen über Multiprotocol Label Switching (MPLS) oder andere private Netzwerkprotokolle bereitstellen. Diese dedizierten Leitungen garantieren eine hohe Verfügbarkeit und Zuverlässigkeit.
ExpressRoute unterstützt drei Peering-Optionen: privates Peering für den Zugriff auf virtuelle Netzwerke in Azure, öffentliches Peering für den Zugriff auf Dienste wie Azure Storage und SQL Database, sowie Microsoft-Peering für den Zugriff auf Microsoft-Dienste wie Microsoft 365 und Dynamics 365.
Im Rahmen der Erstellung des Azure VPN-Gateways erfolgt die Konfiguration von IP-Adressen und anderen Bereichen. Sobald das Azure Gateway zur Verfügung steht, erfolgt die Konfiguration des Site-to-Site-VPNs.
Technische Hintergründe und tiefere Einblicke in Site-to-Site-VPNs mit Azure VPN-Gateway
Ein Site-to-Site-VPN mit Azure VPN-Gateway verwendet das Internet-Protocol-Security-Protokoll (IPSec) in Kombination mit dem Internet Key-Exchange-Protokoll (IKE), um sichere, verschlüsselte Tunnel zwischen einem lokalen Netzwerk und Azure herzustellen. Das Azure VPN-Gateway kann mehrere VPN-Verbindungen gleichzeitig verwalten.
Die Architektur eines Azure VPN-Gateways umfasst mehrere Komponenten: das Gateway-Subnetz, in dem die VPN-Gateway-Ressource bereitgestellt wird, die öffentliche IP-Adresse des Gateways und die lokalen Netzwerk-Gateways, die die lokalen IP-Adressen repräsentieren. Beim Aufbau einer Site-to-Site-VPN-Verbindung wird zuerst eine VPN-Gateway-Ressource erstellt und konfiguriert. Anschließend wird eine Verbindung zwischen dem Azure VPN-Gateway und dem lokalen VPN-Device über das IPSec/IKE-Protokoll hergestellt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Azure VPN-Gateway unterstützt sowohl statisches Routing als auch dynamisches Routing mittels Border Gateway Protocol (BGP). Dies ermöglicht eine flexible Netzwerkkonfiguration und erleichtert die Integration komplexer Netzwerkarchitekturen. Die Konfiguration und Verwaltung der Site-to-Site-VPN-Verbindungen erfolgt über das Azure-Portal, über die PowerShell oder über das Azure Command-Line Interface (CLI). Darüber hinaus bietet Azure VPN-Gateway erweiterte Sicherheitsfunktionen wie Forced Tunneling, welches sicherstellt, dass der gesamte Datenverkehr durch den VPN-Tunnel geleitet wird, und die Unterstützung von Punkt-zu-Site-VPN-Verbindungen für den sicheren Remote-Zugriff von einzelnen Clients.
Site-to-Site-VPN konfigurieren
Die Konfiguration der einzelnen VPNs erfolgt über die Optionen des Azure VPN-Gateways. Bei „Verbindungen“ erfolgt über „Hinzufügen“ die Konfiguration der Site-to-Site-Verbindung. Hier lassen sich auch mehrere Verbindungen parallel erstellen. Außerdem ist es möglich, Point-to-Site-Verbindungen parallel zu Site-to-Site-Verbindungen zu erstellen. Point-to-Site-Verbindungen werden über einen eigenen Menüpunkt erstellt. Bei der Erstellung einer Site-to-Site-Verbindung erfolgt die Definition der Ressourcengruppe, in der das Objekt erstellt wird. Außerdem wird hier festgelegt, ob das VPN zwei VNets in Azure miteinander, oder über IPSec mehrere Standorte miteinander, beziehungsweise einen Standort mit Azure verbinden soll.
Bei der Erstellung eines Site-to-Site-VPNs (Standort-zu-Standort), lassen sich in den Einstellungen die notwendigen Informationen festlegen, die zur Verbindung mit einem Azure VPN-Gateway notwendig sind. Auch das zuvor erstellte VPN-Gateway wird an dieser Stelle ausgewählt, genauso wie der gemeinsam verwendete Schlüssel. Hier lassen sich auch BGP aktivieren und die Richtlinien für die Verbindung steuern. Kommt NAT zum Einsatz, können an dieser Stelle auch gleich diese Regeln definiert werden. Wichtig ist an dieser Stelle auch die Angabe des lokalen Gateways im Rechenzentrum, das mit Azure verbunden werden soll.
Das lokale Netzwerkgateway spielt eine zentrale Rolle bei der Einrichtung einer neuen Site-to-Site-Verbindung mit Azure VPN-Gateway. Es repräsentiert das physische oder virtuelle Gerät, das in der lokalen Infrastruktur des Unternehmens installiert ist und den VPN-Endpunkt darstellt. Bei der Konfiguration einer solchen Verbindung muss das lokale Netzwerkgateway in Azure erstellt und mit den relevanten Parametern wie der öffentlichen IP-Adresse des lokalen VPN-Geräts und dem Adressraum des internen Netzwerks konfiguriert werden. Diese Parameter ermöglichen es Azure, den Datenverkehr richtig zu routen und eine sichere Verbindung zwischen dem lokalen Netzwerk und dem Azure-Virtual-Netzwerk herzustellen. Das lokale Netzwerkgateway fungiert somit als Brücke, die den verschlüsselten Datentransfer über das Internet ermöglicht und dabei die Integrität und Vertraulichkeit der übertragenen Informationen gewährleistet. Nach der Erstellung des Gateways baut dieses automatisch eine Verbindung mit dem Endpunkt auf.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/51/f651404395d1655ecfa20879930712cd/0129045915v2.jpeg "Gregor Liedhegener gehört nun zur Firmenleitung von Enreach am deutschen Standort Bochum. (Bild: © Enreach)")
:quality(80)/p7i.vogel.de/wcms/76/71/7671625a0fed3298a58928830fccd075/0129044146v2.jpeg "Ben Jones, Chief Technology Officer (CTO) bei Infinigate (Bild: Infinigate)")
:quality(80)/p7i.vogel.de/wcms/ec/57/ec578f26cbc8dd2cb06a61728c77afde/0129045922v1.jpeg "Michael Stuhr übernimmt als Country Manager die Leitung von Acer Deutschland. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/41/75/41755062d6019da04cfc7a8d8cdece50/0129024223v1.jpeg "Jakob Saga ist neuer Vorstand bei dem IT-Distributor Herweck. (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/33/cb/33cb307d4589586381bd14375db1b0fd/0128956017v1.jpeg "Digitale Souveränität ist keine passive Eigenschaft, sondern muss aktiv hergestellt werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/ca/65caf26a0edab21ed681959e43563a72/0129034174v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/cb/53cbcd51e8acac98d6143c439041a659/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/d3/b8d38ddfbd4bce34f4583bc69c94e184/0129050070v1.jpeg "Das Dell Pro Education 11 2-in-1 ist eher für jüngere Schüler bestimmt, während das Dell Pro Education 14 Laptop in der Oberstufe zum Einsatz kommen soll. Auf Intel-Prozessoren der N-Serie basien beide Geräte. (Bild: Dell, GPT Imgae Editor (KI-generiert))")
:quality(80)/p7i.vogel.de/wcms/ad/1f/ad1f9112b6fbb20d996ed43967b24018/0128993706v1.jpeg "Der Dokumentenscanner ADS-4550W verarbeitet mit seinen beiden Scanzeilen bis zu 35 doppelseitig bedruckte DIN-A4-Seiten pro Minute. Der automatische Vorlageneinzug fasst bis zu 70 Blatt. (Bild: Brother)")
:quality(80)/p7i.vogel.de/wcms/07/e0/07e07ee324199940b030411e90ffb7a7/0128970749v2.jpeg "KI-Security kann nur mit klaren Governance-Strukturen, Verantwortlichkeiten und menschlichem Einsatz wirksam zur Prävention beitragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/34/25346a6de4fae49d5134a5d87fa16b68/0128837620v1.jpeg "Cloud Computing und Künstliche Intelligenz sind eng miteinander verwoben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/51/045147bb59a65fc397dbc16c853a021b/0128604323v2.jpeg "Mobile IT entwickelt sich 2026 zu einem vernetzten Ökosystem aus Geräten, Services und KI-gestützten Funktionen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/77/e27778e620a361b893b926153234cd09/0128440397v1.jpeg "Kaum zu glauben, aber wahr: Es gibt Datacenter-Stilllegungen und Schließungen, trotz KI und Bau-Boom. Das Autoren-Duo Anna Kobylinska und Filipe Martins kümmern sich umd das Aus und beschreiben, wo das Pendel am stärksten ausschlägt. (Bild: © trahko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/85/aa853f49052d57a3aee3e482f5a4f052/0129026996v2.jpeg "KMU erhalten nun einfachen Zugang zu bewährten IT-Sicherheitslösungen. (Bild: © Cisco Team)")
:quality(80)/p7i.vogel.de/wcms/3e/fa/3efacb47d1c6a526f593592dc476ac21/0129029791v2.jpeg "Mit dem Entwurf zur Überarbeitung des Cybersecurity Act will die EU-Kommission die Cybersecurity in der EU stärken und harmonisieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/8a/678a22130528c/zadara-600.jpeg "zadara-600 (zadara)")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/f8/35/f83572e081232f360f01e113835e4751/0120680261v2.jpeg "Erstellen eines Subnetzes für ein neues Azure VPN-Gateway(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a2/95/a2952fd2819d6b11e8f09766ac0976c6/0120680259v2.jpeg "Suchen des Menüpunktes zur Erstellung eines neuen Azure VPN-Gateway(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/dc/67/dc6759a1187605a6b24f25bf4e83a73d/0120680269v1.jpeg "Das Gateway wird in Azure bereitgestellt.(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/be/ea/beea711edf8b4ec58d87da94841915e7/0120680260v2.jpeg "Verwalten des Azure VPN-Gateways zum Erstellen einer neuen Site-to-Site-Verbindung(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/36/7a/367ac911b12d4e8d7f03fa81211984db/0123405611v1.jpeg "Azure-VM-Snapshots sind nützliche Werkzeuge für die Cloud-Infrastruktur. Sie dienen nicht nur als Backups, sondern ermöglichen auch die Erstellung neuer VMs. Microsoft bietet mit dieser Technologie Funktionen für Datensicherung und VM-Management in Azure. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/62/05/620581bbf804614e607d79fcda61cd7e/0127581684v2.jpeg "Mit Fritz!OS 8.20 bringt AVM neue Funktionen, wie Fritz!Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")