Share via

تكوين اتصال VPN من نقطة إلى موقع إلى شبكة ظاهرية باستخدام أنواع مصادقة متعددة: مدخل Microsoft Azure

  • مقالة

تساعدك هذه المقالة على ربط العملاء الفرديين الذين يديرون Windows أو Linux أو macOS بـAzure VNet بأمان. تعد اتصالات VPN من نقطة إلى موقع مفيدة عندما تريد الاتصال بشبكة ظاهرية خاصة بك من موقع بعيد، مثل عندما تعمل عن بُعد من المنزل أو من خلال مؤتمر. يمكنك أيضًا استخدام P2S بدلاً من Site-to-Site VPN عندما يكون لديك عدد قليل فقط من العملاء الذين يحتاجون إلى الاتصال بشبكة VNet. لا تتطلب الاتصالات من نقطة إلى موقع جهاز VPN أو عنوان IP عام. ينشئ P2S اتصال VPN عبر SSTP (بروتوكول نفق مأخذ التوصيل الآمن) أو IKEv2. لمزيد من المعلومات حول VPN من نقطة إلى موقع، راجع حول VPN من نقطة إلى موقع.

رسم تخطيطي يعرض الاتصال من كمبيوتر إلى شبكة Azure VNet من نقطة إلى موقع

لمزيد من المعلومات حول VPN من نقطة إلى موقع، راجع حول VPN من نقطة إلى موقع. لإنشاء هذا التكوين باستخدام Azure PowerShell، راجع تكوين VPN من نقطة إلى موقع باستخدام Azure PowerShell.

المتطلبات الأساسية

تحقق من أن لديك اشتراك Azure. إذا لم يكن لديك اشتراك Azure بالفعل، يمكنك تنشيط ميزات المشترك في MSDN خاصتك أو الاشتراك في حساب مجاني.

يتم دعم أنواع المصادقة المتعددة على نفس بوابة VPN فقط مع نوع نفق OpenVPN.

قيم الأمثلة

يمكنك استخدام القيم التالية لإنشاء بيئة اختبار، أو الرجوع إلى هذه القيم لفهم الأمثلة الواردة في هذه المقالة بشكل أفضل:

  • اسم الشبكة: VNet1
  • مساحة العنوان: 10.1.0.0/16
    في هذا المثال، نستخدم مساحة عنوان واحدة فقط. يمكن أن يكون لديك أكثر من مساحة عنوان لشبكتك الظاهرية.
  • اسم الشبكة الفرعية: FrontEnd
  • نطاق عنوان الشبكة الفرعية: 10.1.0.0/24
  • الاشتراك: إذا كان لديك أكثر من اشتراك واحد، فتحقق من أنك تستخدم الاشتراك الصحيح.
  • مجموعة الموارد: TestRG1
  • الموقع: شرق الولايات المتحدة
  • GatewaySubnet: 10.1.255.0/27
  • SKU: VpnGw2
  • الجيل: الجيل الثاني
  • نوع البوابة: VPN
  • نوع الشبكة الظاهرية الخاصة (VPN): يعتمد على المسار
  • اسم عنوان IP العام: VNet1GWpip
  • نوع الاتصال: نقطة إلى موقع
  • تجمع عناوين العميل: 172.16.201.0/24
    يتلقى عملاء VPN الذين يتصلون بالشبكة الظاهرية باستخدام هذا الاتصال من نقطة إلى موقع عنوان IP من تجمع عناوين العميل.

إنشاء شبكة ظاهرية

قبل البدء، تحقق من وجود اشتراك Azure. إذا لم يكن لديك اشتراك Azure بالفعل، يمكنك تنشيط ميزات المشترك في MSDN خاصتك أو الاشتراك في حساب مجاني.

إشعار

عند استخدام شبكة ظاهرية كجزء من بنية داخلية، تأكد من التنسيق مع مسؤول الشبكة المحلي الخاص بك لنحت نطاق عنوان IP الذي يمكنك استخدامه خصيصا لهذه الشبكة الظاهرية. إذا تكرر وجود نطاق عنوان على جانبي اتصال VPN، فسيتم توجيه حركة المرور بطريقة غير متوقعة. بالإضافة إلى ذلك، إذا كنت تريد توصيل هذه الشبكة الظاهرية بشبكة ظاهرية أخرى، فلا يمكن أن تتداخل مساحة العنوان مع الشبكة الظاهرية الأخرى. خطط لتكوين الشبكة وفقاً لذلك.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في البحث عن الموارد والخدمة والمستندات (G+/) في أعلى صفحة المدخل، أدخل الشبكة الظاهرية. حدد Virtual network من نتائج بحث Marketplace لفتح صفحة Virtual network .

  3. في صفحة Virtual network ، حدد Create لفتح صفحة Create virtual network .

  4. في علامة التبويب Basics، قم بتكوين إعدادات الشبكة الظاهرية لتفاصيلProject وتفاصيل المثيل. تظهر علامة اختيار خضراء عند التحقق من صحة القيم التي تدخلها. يمكنك ضبط القيم المعروضة في المثال وفقا للإعدادات التي تحتاجها.

    لقطة شاشة تعرض علامة التبويب الأساسيات.

    • ⁩Subscription⁧:⁩ تحقق من أن الاشتراك المذكور هو الاشتراك الصحيح. يمكنك تغيير الاشتراكات باستخدام مربع القائمة المنسدلة.
    • مجموعة الموارد: حدد مجموعة موارد موجودة أو حدد إنشاء جديد لإنشاء مجموعة جديدة. لمزيد من المعلومات حول مجموعات الموارد، يرجى الاطلاع على ⁧⁩نظرة عامة حول مدير موارد Azure⁧⁩.
    • الاسم: أدخل اسم الشبكة الظاهرية.
    • المنطقة: حدد موقع الشبكة الظاهرية. يحدد الموقع مكان وجود الموارد التي تقوم بنشرها إلى هذه الشبكة الظاهرية.

  5. حدد التالي أو الأمان للانتقال إلى علامة التبويب الأمان . لهذا التمرين، اترك القيم الافتراضية لكافة الخدمات في هذه الصفحة.

  6. حدد عناوين IP للانتقال إلى علامة التبويب عناوين IP. في علامة التبويب عناوين IP، قم بتكوين الإعدادات.

    • مساحة عنوان IPv4: بشكل افتراضي، يتم إنشاء مساحة عنوان تلقائيا. يمكنك تحديد مساحة العنوان وتعديلها لتعكس قيمك الخاصة. يمكنك أيضا إضافة مساحة عنوان مختلفة وإزالة الافتراضي الذي تم إنشاؤه تلقائيا. على سبيل المثال، يمكنك تحديد عنوان البدء ك 10.1.0.0 وتحديد حجم مساحة العنوان ك /16. ثم حدد إضافة لإضافة مساحة العنوان هذه.

    • ⁧⁧⁩⁩+إضافة شبكة فرعية⁧⁧⁩⁩: إذا كنت تستخدم مساحة العنوان الافتراضية، يتم إنشاء شبكة فرعية افتراضية تلقائياً. إذا قمت بتغيير مساحة العنوان، أضف شبكة فرعية جديدة ضمن مساحة العنوان هذه. حدد + إضافة شبكة فرعية لفتح نافذة إضافة شبكة فرعية. قم بتكوين الإعدادات التالية، ثم حدد إضافة في أسفل الصفحة لإضافة القيم.

      • اسم الشبكة الفرعية: مثال على ذلك هو FrontEnd.
      • نطاق عناوين الشبكة الفرعية: نطاق العنوان لهذه الشبكة الفرعية. الأمثلة هي 10.1.0.0 و /24.

  7. راجع صفحة عناوين IP وأزل أي مساحات عناوين أو شبكات فرعية لا تحتاج إليها.

  8. حدد Review + create للتحقق من صحة إعدادات الشبكة الظاهرية.

  9. بعد التحقق من صحة الإعدادات، حدد Create لإنشاء الشبكة الظاهرية.

بوابة الشبكة الظاهرية

في هذه الخطوة، يمكنك إنشاء بوابة الشبكة الظاهرية لـ VNet. قد يستغرق إنشاء بوابة 45 دقيقة أو أكثر، اعتماداً على بوابة SKU المحددة.

إشعار

لا تدعم بوابة SKU الأساسية نوع نفق OpenVPN.

تتطلب بوابة الشبكة الظاهرية شبكة فرعية معينة تسمى GatewaySubnet. تعد الشبكة الفرعية للبوابة جزءا من نطاق عناوين IP لشبكتك الظاهرية وتحتوي على عناوين IP التي تستخدمها موارد وخدمات بوابة الشبكة الظاهرية.

عند إنشاء الشبكة الفرعية للبوابة، يمكنك تحديد عدد عناوين بروتوكولات الإنترنت التي تحتوي عليها الشبكة الفرعية. يعتمد عدد عناوين "بروتوكولات الإنترنت" المطلوبة على تهيئة بوابة الـ VPN التي تريد إنشاؤها. تتطلب بعض التكوينات عناوين بروتوكولات الإنترنت أكثر من غيرها. من الأفضل تحديد /27 أو أكبر (/26 و/25 وما إلى ذلك) للشبكة الفرعية للبوابة.

إذا رأيت خطأ يحدد أن مساحة العنوان تتداخل مع شبكة فرعية، أو أن الشبكة الفرعية غير موجودة ضمن مساحة العنوان لشبكتك الظاهرية، فتحقق من نطاق عناوين الشبكة الظاهرية. قد لا يكون لديك عناوين IP كافية متوفرة في نطاق العناوين الذي أنشأته لشبكتك الظاهرية. على سبيل المثال، إذا كانت الشبكة الفرعية الافتراضية تتضمن نطاق العنوان بأكمله، فلا توجد عناوين IP متبقية لإنشاء المزيد من الشبكات الفرعية. يمكنك إما ضبط الشبكات الفرعية داخل مساحة العنوان الموجودة لتحرير عناوين IP أو تحديد نطاق عناوين آخر وإنشاء الشبكة الفرعية للبوابة هناك.

  1. في Search resources, services, and docs (G+/)، أدخل virtual network gateway. حدد موقع بوابة الشبكة الظاهرية في نتائج بحث Marketplace وحددها لفتح صفحة إنشاء بوابة شبكة ظاهرية.

  2. في علامة التبويب أساسيات، املأ قيم معلومات المشروعومعلومات المثيل.

    لقطة شاشة تعرض حقول المثيل.

    • الاشتراك: حدد الاشتراك الذي تريد استخدامه من القائمة المنسدلة.

    • مجموعة الموارد: يتم ملء هذا الإعداد تلقائيا عند تحديد الشبكة الظاهرية في هذه الصفحة.

    • الاسم: اسم العبارة الخاصة بك. تسمية البوابة ليست هي نفسها تسمية شبكة فرعية للبوابة. إنه اسم كائن البوابة الذي تقوم بإنشائه.

    • المنطقة: حدد المنطقة التي تريد إنشاء هذا المصدر بها. ينبغي لمنطقة العبارة أن تكون نفس الشبكة الظاهرية.

    • نوع العبارة: حدد VPN. تستخدم عبارات VPN نوع عبارة الشبكة الظاهرية VPN.

    • SKU: من القائمة المنسدلة، حدد بوابة SKU التي تدعم الميزات التي تريد استخدامها. راجع وحدات SKU الخاصة بالبوابة. في المدخل، تعتمد وحدات SKU المتوفرة في القائمة المنسدلة على الذي تحدده VPN type . يمكن تكوين SKU الأساسية فقط باستخدام Azure CLI أو PowerShell. لا يمكنك تكوين SKU الأساسية في مدخل Microsoft Azure.

    • الجيل: حدد الجيل الذي تريد استخدامه. نوصي باستخدام Generation2 SKU. لمزيدٍ من المعلومات، يُرجى مراجعة Gateway SKUs.

    • الشبكة الظاهرية: من القائمة المنسدلة، حدد الشبكة الظاهرية التي تريد إضافة هذه البوابة إليها. إذا لم تتمكن من رؤية الشبكة الظاهرية التي تريد إنشاء بوابة لها، فتأكد من تحديد الاشتراك والمنطقة الصحيحين في الإعدادات السابقة.

    • نطاق عنوان الشبكة الفرعية للبوابة أو الشبكة الفرعية: الشبكة الفرعية للبوابة مطلوبة لإنشاء بوابة VPN.

      في هذا الوقت، يمكن أن يعرض هذا الحقل خيارات إعدادات مختلفة مختلفة، اعتمادا على مساحة عنوان الشبكة الظاهرية وما إذا كنت قد أنشأت بالفعل شبكة فرعية تسمى GatewaySubnet لشبكتك الظاهرية.

      إذا لم يكن لديك شبكة فرعية للبوابة ولم تتمكن من رؤية خيار إنشاء واحدة على هذه الصفحة، فارجع إلى شبكتك الظاهرية وأنشئ الشبكة الفرعية للبوابة. ثم ارجع إلى هذه الصفحة وقم بتكوين بوابة VPN.

  1. حدد قيم عنوان IP العام. تحدد هذه الإعدادات كائن عنوان IP العام الذي يتم ربطه ببوابة VPN. يتم تعيين عنوان IP العام لهذا الكائن عند إنشاء بوابة VPN. المرة الوحيدة التي يتغير فيها عنوان IP العام الأساسي هي عند حذف البوابة وإعادة إنشائها. لا يتغير عبر تغيير الحجم أو إعادة التعيين أو الصيانة الداخلية الأخرى/ترقيات بوابة VPN الخاصة بك.

    لقطة شاشة تعرض حقل عنوان IP العام.

    • نوع عنوان IP العام: إذا تم تقديم هذا الخيار، فحدد قياسي. عنوان IP العام الأساسي SKU مدعوم فقط لبوابات SKU VPN الأساسية.
    • عنوان IP العام: اترك Create new محددا.
    • اسم عنوان IP العام: في مربع النص، أدخل اسما لمثيل عنوان IP العام.
    • عنوان IP العام SKU: يتم تحديد الإعداد تلقائيا.
    • التعيين: عادة ما يتم تحديد التعيين تلقائيا. بالنسبة إلى وحدة SKU القياسية، يكون التعيين دائما ثابتا.
    • تمكين الوضع النشط-النشط: حدد معطل. قم بتمكين هذا الإعداد فقط إذا كنت تقوم بإنشاء تكوين بوابة نشط-نشط.
    • تكوين BGP: حدد Disabled، إلا إذا كان التكوين الخاص بك يتطلب هذا الإعداد على وجه التحديد. إذا كنت تحتاج إلى هذا الإعداد، يكون ASN الافتراضي هو 65515، على الرغم من أنه يمكن تغيير هذه القيمة.

  2. حدد Review + create لتشغيل التحقق من الصحة.

  3. بعد اجتياز التحقق من الصحة، حدد Create لنشر بوابة VPN.

يمكنك مشاهدة حالة التوزيع في صفحة نظرة عامة على بوابتك. يمكن أن يستغرق إنشاء البوابة وتوزيعها بالكامل 45 دقيقة أو أكثر عادة. بعد إنشاء البوابة، يمكنك عرض عنوان IP الذي تم تعيينه إليها من خلال النظر إلى الشبكة الظاهرية في المدخل. تظهر البوابة بوصفها جهاز متصل.

هام

مجموعات أمان الشبكة (NSGs) على الشبكة الفرعية للبوابة غير مدعومة. قد يؤدي إقران مجموعة أمان الشبكة بهذه الشبكة الفرعية إلى توقف بوابة الشبكة الظاهرية (VPN وبوابات ExpressRoute) عن العمل كما هو متوقع. لمزيد من المعلومات حول مجموعات أمان الشبكة، يُرجى مراجعة ما هي مجموعة أمان الشبكة؟.

قائمة عناوين العميل

قائمة عناوين العميل هو نطاق من عناوين IP الخاصة التي تحددها. يتلقى العملاء الذين يتصلون عبر VPN من نقطة إلى موقع بشكل ديناميكي عنوان IP من هذا النطاق. استخدم نطاق عناوين IP خاص لا يتراكب مع الموقع المحلي الذي تتصل منه، أو VNet الذي تريد الاتصال به. إذا قمت بتكوين بروتوكولات متعددة SSTP أحد البروتوكولات ثم يتم تقسيم قائمة العناوين المكونة بين البروتوكولات المكونة بالتساوي.

  1. بمجرد إنشاء بوابة شبكة الاتصال الظاهرية انتقل إلى المقطع الإعدادات من صفحة بوابة شبكة الاتصال الظاهرية. في الإعدادات، حدد تكوين نقطة إلى موقع. حدد تكوين الآن لفتح صفحة التكوين.

    لقطة شاشة لصفحة التكوين من نقطة إلى موقع.

  2. في صفحة تكوين من نقطة إلى موقع، يمكنك تكوين مجموعة متنوعة من الإعدادات. في مربع تجمع العناوين، أضف نطاق عنوان IP الخاص الذي تريد استخدامه. يتلقى عملاء VPN عنوان IP بشكل حيوي من النطاق الذي تحدده. الحد الأدنى قناع الشبكة الفرعية هو 29 بت النشط/السلبي و28 بت للتكوين النشط/النشط.

    لقطة شاشة لتجمع عناوين العميل.

  3. تابع إلى المقطع التالي لتكوين أنواع المصادقة والأنفاق.

أنواع المصادقة والأنفاق

في هذا القسم، يمكنك تكوين نوع المصادقة ونوع النفق. في صفحة تكوين نقطة إلى موقع، إذا لم تشاهد نوع النفق أو نوع المصادقة،فإن بوابتك تستخدم SKU الأساسي. لا تدعم وحدة SKU الأساسية مصادقة IKEv2 أو RADIUS. إذا كنت تريد استخدام هذه الإعدادات، تحتاج إلى حذف وإعادة إنشاء البوابة باستخدام بوابة SKU مختلفة.

هام

مدخل Microsoft Azure في عملية تحديث حقول Azure Active Directory إلى Entra. إذا رأيت معرف Microsoft Entra المشار إليه ولم تشاهد هذه القيم في المدخل حتى الآن، يمكنك تحديد قيم Azure Active Directory.

لقطة شاشة لأنواع المصادقة ونوع النفق.

نوع النفق

في صفحة تكوين نقطة إلى موقع، حدد الأنواع المطلوبة. والخيارات هي:

  • OpenVPN (SSL)
  • SSTP (SSL)
  • الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي)
  • IKEv2 وOpenVPN (SSL)
  • IKEv2 وSSTP (SSL)

نوع المصادقة

بالنسبة لنوع المصادقة، حدد الأنواع المطلوبة. والخيارات هي:

  • شهادة Azure
  • RADIUS
  • Microsoft Entra ID

راجع الجدول أدناه للتحقق من آليات المصادقة المتوافقة مع أنواع الأنفاق المحددة.

نوع النفق آلية المصادقة
OpenVPN أي مجموعة فرعية من معرف Microsoft Entra ومصادقة Radius وشهادة Azure
بروتوكول نفق مأخذ التوصيل الآمن مصادقة Radius/ شهادة Azure
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) مصادقة Radius/ شهادة Azure
IKEv2 وOpenVPN Radius Auth/ شهادة Azure/ معرف Microsoft Entra ومصادقة Radius/ معرف Microsoft Entra وشهادة Azure
IKEv2 وSSTP مصادقة Radius/ شهادة Azure

إشعار

بالنسبة لنوع النفق "IKEv2 وOpenVPN" وآليات المصادقة المحددة "معرف Microsoft Entra و Radius" أو "معرف Microsoft Entra وشهادة Azure"، سيعمل معرف Microsoft Entra فقط ل OpenVPN لأنه غير مدعوم من قبل IKEv2

استنادا إلى نوع المصادقة المحدد، سترى حقول إعداد تكوين مختلفة يجب تعبئتها. املأ المعلومات المطلوبة وحدد حفظ أعلى الصفحة لحفظ كافة إعدادات التكوين.

لمزيد من المعلومات حول نوع المصادقة، راجع:

حزمة تكوين عميل VPN

يجب تكوين عملاء VPN مع إعدادات تكوين العميل. تحتوي حزمة تكوين عميل VPN على ملفات مع الإعدادات لتكوين عملاء VPN للاتصال بـVNet عبر اتصال P2S.

للحصول على إرشادات لإنشاء ملفات تكوين عميل VPN وتثبيتها، استخدم المقالة المتعلقة بالتكوين الخاص بك:

المصادقة نوع النفق إنشاء ملفات التكوين تكوين عميل VPN
شهادة Azure IKEv2، SSTP Windows عميل VPN الأصلي
شهادة Azure OpenVPN Windows - عميل OpenVPN
- عميل Azure VPN
شهادة Azure IKEv2، و OpenVPN macOS-iOS macOS-iOS
شهادة Azure IKEv2، و OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) ماك ماك
RADIUS - شهادة - الماده الماده
RADIUS - رمز الوصول - الماده الماده
RADIUS - طرق أخرى - الماده الماده

الأسئلة الشائعة من نقطة إلى موقع

للحصول على معلومات الأسئلة المتداولة "من نقطة إلى موقع"، راجع أقسام "من نقطة إلى موقع" في الأسئلة المتداولة حول VPN Gateway.

الخطوات التالية

بمجرد اكتمال الاتصال، يمكنك إضافة الأجهزة الظاهرية إلى الشبكات الظاهرية. لمزيد من المعلومات، راجع الأجهزة الظاهرية. لفهم المزيد حول الشبكات والأجهزة الظاهرية، راجع نظرة عامة على شبكة Azure وLinux VM.

للحصول على معلومات استكشاف الأخطاء وإصلاحها في P2S استكشاف أخطاء Azure من نقطة إلى موقع.