تكوين اتصال نقطة إلى موقع بـVNet باستخدام مصادقة نصف القطر: PowerShell

مقالة
05/17/2022
قراءة خلال 20 دقائق

توضح لك هذه المقالة كيفية إنشاء VNet باستخدام اتصال نقطة إلى موقع يستخدم مصادقة RADIUS. يتوفر هذا التكوين فقط لنموذج نشر Resource Manager.

تتيح لك بوابة VPN Point-to-Site (P2S) إنشاء اتصال آمن إلى شبكة الاتصال الظاهرية الخاصة بك من كمبيوتر عميل فردي. تعد اتصالات VPN من نقطة إلى موقع مفيدة عندما تريد الاتصال بشبكة VNet الخاصة بك من موقع بعيد، مثل عندما تعمل عن بُعد من المنزل أو من خلال مؤتمر. إن VPN P2S هو أيضًا حل مفيد لاستخدامه بدلًا من VPN من موقع إلى موقع عندما يكون لديك عدد قليل من العملاء فقط يحتاجون إلى الاتصال بـVNet.

يتم بدء اتصال P2S VPN من أجهزة Windows وMac. يمكن للعملاء المتصلين استخدام طرق المصادقة التالية:

خادم خدمة مصادقة عن بُعد لمستخدم طلب هاتفي
مصادقة شهادة VPN Gateway الأصلية
مصادقة Azure Active Directory الأصلية (Windows 10 فقط)

تساعدك هذه المقالة على تكوين P2S باستخدام المصادقة باستخدام خادم RADIUS. إذا كنت ترغب في المصادقة باستخدام الشهادات التي تم إنشاؤها ومصادقة الشهادة الأصلية لبوابة VPN بدلًا من ذلك، فراجع تكوين اتصال من نقطة إلى موقع إلى VNet باستخدام مصادقة الشهادة الأصلية لبوابة VPN أو إنشاء مستأجر Azure Active Directory لاتصالات بروتوكول OpenVPN P2S لمصادقة Azure Active Directory.

Diagram that shows the P2S configuration with authentication using a RADIUS server.

لا تتطلب اتصالات VPN من نقطة إلى موقع جهاز VPN أو عنوان IP عام. ينشئ P2S اتصال VPN عبر SSTP (بروتوكول نفق مأخذ التوصيل الآمن) أو OpenVPN أو IKEv2.

SSTP هو نفق VPN يستند إلى TLS مدعوم فقط على Windows الأنظمة الأساسية للعملاء. يمكنه اختراق جدران الحماية، مما يجعله خيارًا جيدا لتوصيل أجهزة Windows بـAzure من أي مكان. على جانب الخادم، ندعم TLS الإصدار 1.2 فقط. لتحسين الأداء وقابلية التوسع والأمان، فكر في استخدام بروتوكول OpenVPN بدلًا من ذلك.
بروتوكول OpenVPN®، وهو بروتوكول VPN يستند إلى SSL/TLS. يمكن أن يخترق حل بروتوكول أمان طبقة النقل لشبكة ظاهرية خاصة جدران الحماية، حيث أن معظم جدران الحماية تفتح منفذ TCP 443 الصادر الذي يستخدمه بروتوكول أمان طبقة النقل. يمكن استخدام OpenVPN للاتصال من أجهزة Android وiOS (الإصدارات 11.0 وما فوق) وWindows وLinux وMac (إصدارات macOS 10.13 وما فوق).
يعتبر مفتاح الإنترنت التبادلي الإصذار 2 لشبكة ظاهرية خاصة، حل أمان برتوكول الإنترنت للشبكة الظاهرية الخاصة standards-based. يمكن استخدام مفتاح الإنترنت التبادلي لشبكة ظاهرية خاصة للاتصال من أجهزة Mac (إصدارات macOS 10.11 وما فوق).

تتطلب اتصالات P2S ما يلي:

بوابة VPN قائمة على الطريق.
خادم RADIUS للتعامل مع مصادقة المستخدم. يمكن نشر خادم RADIUS في الموقع أو في Azure VNet. يمكنك أيضًا تكوين خادمين RADIUS للتوفر العالي.
حزمة تكوين عميل VPN للأجهزة Windows التي ستتصل بـ VNet. توفر حزمة تكوين عميل VPN الإعدادات المطلوبة لعميل VPN للاتصال عبر P2S.

حول مصادقة مجال Active Directory (AD) لشبكات P2S VPN

تسمح مصادقة مجال AD للمستخدمين بتسجيل الدخول إلى Azure باستخدام بيانات اعتماد مجال مؤسستهم. يتطلب خادم RADIUS الذي يتكامل مع خادم AD. يمكن للمؤسسات أيضًا الاستفادة من توزيع RADIUS الموجود بها.

يمكن أن يتواجد خادم نصف القطر في الموقع أو في Azure VNet. في أثناء المصادقة، تعمل بوابة Azure VPN كمرور عبر رسائل المصادقة وتعيد توجيهها عدة مرات بين خادم RADIUS والجهاز الذي يقوم بالاتصال. من المهم أن تكون بوابة VPN قادرة على الوصول إلى خادم RADIUS. إذا كان خادم نصف القطر موجودًا محليًا، يجب توفر اتصال موقع إلى موقع VPN من Azure إلى الموقع الداخلي.

بصرف النظر عن Active Directory، يمكن لخادم RADIUS أيضًا التكامل مع أنظمة الهوية الخارجية الأخرى. هذا يفتح الكثير من خيارات المصادقة لشبكات VPN من نقطة إلى موقع، بما في ذلك خيارات MFA. تحقق من وثائق مورد خادم RADIUS للحصول على قائمة بأنظمة الهوية التي يتكامل معها.

Connection diagram - RADIUS

هام

يمكن استخدام اتصال VPN من موقع إلى موقع فقط للاتصال بخادم RADIUS محليًا. لا يمكن استخدام اتصال ExpressRoute.

قبل البدء

تحقق من أن لديك اشتراك Azure. إذا لم يكن لديك اشتراك Azure بالفعل، يمكنك تنشيط ميزات المشترك في MSDN خاصتك أو الاشتراك في حساب مجاني.

العمل مع Azure PowerShell

تستخدم هذه المقالة cmdlets PowerShell. لتشغيل cmdlets، يمكنك استخدام Azure Cloud Shell. Azure Cloud Shell عبارة عن واجهة تفاعلية مجانية يُمكنك استخدامها لتنفيذ الخطوات الواردة في هذه المقالة. يحتوي على أدوات Azure الشائعة والمثبتة مسبقًا والتي تم تكوينها للاستخدام مع حسابك.

لفتح Cloud Shell، ما عليك سوى تحديد "Try it" من الزاوية العليا اليسرى لكتلة التعليمة البرمجية. يمكنك أيضاً تشغيل Cloud Shell في علامة تبويب مستعرض منفصلة بالانتقال إلى https://shell.azure.com/powershell. حدد "Copy" لنسخ كتل التعليمات البرمجية، ولصقها في Cloud Shell، ثم اضغط على مفتاح الإدخال لتشغيلها.

يمكن أيضاً تثبيت cmdlets Azure PowerShell وتشغيله محلياً على جهازك. تحديث cmdlets PowerShell بشكل متكرر يؤدي عدم تثبيت أحدث إصدار إلى فشل القيم المحددة في الإرشادات. لمعرفة إصدار Azure PowerShell المُثبت على جهازك، يمكن استخدام Get-Module -ListAvailable Az cmdlet. للتثبيت أو التحديث، راجع تثبيت وحدة Azure PowerShell.

قيم الأمثلة

يمكنك استخدام قيم المثال لإنشاء بيئة اختبار، أو الرجوع إلى هذه القيم لفهم الأمثلة الواردة في هذه المقالة بشكل أفضل. يمكنك إما استخدام الخطوات كجولة تفصيلية واستخدام القيم دون تغييرها، أو تغييرها لتعكس بيئتك.

الاسم: VNet1
مساحة العنوان: 192.168.0.0 /16 و10.254.0.0/16
على سبيل المثال، نستخدم أكثر من مساحة عنوان واحدة لتوضيح أن هذا التكوين يعمل مع مساحات عناوين متعددة. ومع ذلك، لا يلزم وجود مساحات عناوين متعددة لهذا التكوين.
اسم الشبكة الفرعية: FrontEnd
- نطاق عنوان الشبكة الفرعية: 192.168.1.0/24
اسم الشبكة الفرعية: الواجهة الخلفية
- نطاق عنوان الشبكة الفرعية: 10.254.1.0/24
اسم الشبكة الفرعية: GatewaySubnet
اسم الشبكة الفرعية GatewaySubnet إلزامي لبوابة VPN للعمل.
- نطاق عناوين GatewaySubnet: 192.168.200.0/24
تجمع عناوين عملاء VPN: 172.16.201.0/24
يتلقى عملاء VPN الذين يتصلون بشبكة VNet باستخدام اتصال نقطة إلى موقع عنوان IP من تجمع عناوين عميل VPN.
الاشتراك: إذا كان لديك أكثر من اشتراك واحد، فتحقق من أنك تستخدم الاشتراك الصحيح.
مجموعة الموارد: TestRG
الموقع: شرق الولايات المتحدة
خادم DNS: عنوان IP لخادم DNSالذي تريد استخدامه لتحليل الاسم لـVNet. (اختياري)
GW الاسم: Vnet1GW
اسم IP العام: VNet1GWPIP
VPNType: RouteBased

قم بالإعلان عن المتغيرات التي تريد استخدامها. استخدام العينة التالية مع استبدال القيم الخاصة بك عند الضرورة. إذا أغلقت جلسة PowerShell/Cloud Shell في أي وقت أثناء الاستخدام، فما عليك سوى نسخ القيم ولصقها مرة أخرى للإعلان عن المتغيرات.

$VNetName  = "VNet1"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "192.168.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "192.168.1.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "192.168.200.0/26"
$VPNClientAddressPool = "172.16.201.0/24"
$RG = "TestRG"
$Location = "East US"
$GWName = "VNet1GW"
$GWIPName = "VNet1GWPIP"
$GWIPconfName = "gwipconf"

2. إنشاء مجموعة الموارد وVNet وعنوان IP العام

الخطوات التالية إنشاء مجموعة موارد وشبكة ظاهرية في مجموعة الموارد مع ثلاث شبكات فرعية. عند استبدال القيم، من المهم دومًا تسمية الشبكة الفرعية للبوابة الخاصة بك وخصوصاً 'GatewaySubnet'. إذا أعطيتها اسمًا آخر، سيفشل إنشاء البوابة الخاصة بك;

إنشاء مجموعة موارد.

New-AzResourceGroup -Name "TestRG" -Location "East US"

قم بإنشاء تكوينات الشبكة الفرعية للشبكة الظاهرية، وقم بتسميتها FrontEnd وBackEnd وGatewaySubnet. يجب أن تكون هذه البادئات جزءًا من مساحة عنوان VNet التي قمت بإعلانها.

$fesub = New-AzVirtualNetworkSubnetConfig -Name "FrontEnd" -AddressPrefix "192.168.1.0/24"  
$besub = New-AzVirtualNetworkSubnetConfig -Name "Backend" -AddressPrefix "10.254.1.0/24"  
$gwsub = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix "192.168.200.0/24"

أنشئ الشبكة الظاهرية.

في هذا المثال، معلمة خادم -DnsServer اختيارية. لا يؤدي تحديد القيمة إلى إنشاء خادم DNS جديد. عنوان IP الخاص بخادم DNS الذي تحدده يجب أن يكون خادم DNS الذي يمكنه حل الأسماء الخاصة بالموارد التي تتصل بها من VNet الخاصة بك. في هذا المثال استخدمنا عنوان IP خاصًا، ولكن من المحتمل ألا يكون هذا هو عنوان IP لخادم DNS. تأكد من استخدام القيم الخاصة بك. يتم استخدام القيمة التي تحددها بواسطة الموارد التي تقوم بنشرها على VNet، وليس بواسطة اتصال P2S.
```
New-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG" -Location "East US" -AddressPrefix "192.168.0.0/16","10.254.0.0/16" -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3
```
يجب أن تحتوي بوابة VPN على عنوان IP عام. يمكنك أولًا طلب مورد عنوان IP ثم الرجوع إليه عند إنشاء بوابة الشبكة الظاهرية. يتم تعيين عنوان IP العام ديناميكيًا للمورد عند إنشاء بوابة VPN. تدعم VPN Gateway حاليًا تخصيص عنوان IP العام الديناميكي فقط. لا يمكنك طلب تعيين عنوان IP عام ثابت. ومع ذلك، هذا لا يعني أن عنوان IP يتغير بعد تعيينه لبوابة VPN الخاصة بك. المرة الوحيدة التي يتغير فيها عنوان IP العام هي عندما يتم حذف البوابة وإعادة إنشائها. لا يتغير عبر تغيير الحجم أو إعادة التعيين أو الصيانة الداخلية الأخرى/ترقيات بوابة VPN الخاصة بك.

حدد المتغيرات لطلب عنوان IP عام معين ديناميكيًا.
```
$vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"  
$subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet 
$pip = New-AzPublicIpAddress -Name "VNet1GWPIP" -ResourceGroupName "TestRG" -Location "East US" -AllocationMethod Dynamic 
$ipconf = New-AzVirtualNetworkGatewayIpConfig -Name "gwipconf" -Subnet $subnet -PublicIpAddress $pip
```

3. قم بإعداد خادم RADIUS الخاص بك

قبل إنشاء بوابة الشبكة الظاهرية وتكوينها، يجب تكوين خادم RADIUS بشكل صحيح للمصادقة.

إذا لم يكن لديك خادم RADIUS تم نشره، فقم بنشر واحد. للحصول على خطوات النشر، راجع دليل الإعداد الذي يوفره مورد RADIUS.
قم بتكوين بوابة VPN كعميل RADIUS على RADIUS. عند إضافة عميل RADIUS هذا، حدد شبكة الاتصال الظاهرية GatewaySubnet التي قمت بإنشائها.
بمجرد إعداد خادم RADIUS، احصل على عنوان IP الخاص بخادم RADIUS والسر المشترك الذي يجب على عملاء RADIUS استخدامه للتحدث إلى خادم RADIUS. إذا كان خادم RADIUS في Azure VNet، فاستخدم عنوان IP CA الخاص بالجهاز الظاهري لخادم RADIUS.

توفر مقالة خادم نهج الشبكة (NPS) إرشادات حول تكوين خادم RADIUS (NPS) Windows لمصادقة مجال AD.

4. إنشاء بوابة VPN

قم بتكوين وإنشاء بوابة VPN لـVNet الخاص بك.

يجب أن يكون -GatewayType 'Vpn' ويجب أن يكون -VpnType 'RouteBased'.
يمكن أن تستغرق بوابة VPN 45 دقيقة أو أكثر لإكمالها، اعتمادًا على بوابة sku التي تحددها.

New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1

5. إضافة خادم RADIUS وتجمع عناوين العميل

يمكن تحديد -RadiusServer بالاسم أو بعنوان IP. إذا قمت بتحديد الاسم وكان الخادم موجودًا محليًا، فقد لا تتمكن بوابة VPN من حل الاسم. إذا كان هذا هو الحال، فمن الأفضل تحديد عنوان IP للخادم.
يجب أن يتطابق -RadiusSecret مع ما تم تكوينه على خادم RADIUS الخاص بك.
-VpnClientAddressPool هو النطاق الذي يتلقى منه عملاء VPN المتصلون عنوان IP. استخدم نطاق عناوين IP خاص لا يتداخل مع الموقع المحلي الذي ستتصل منه، أو VNet الذي تريد الاتصال بها. تأكد من تكوين تجمع عناوين كبير بما فيه الكفاية.

إنشاء سلسلة آمنة لسر RADIUS.

$Secure_Secret=Read-Host -AsSecureString -Prompt "RadiusSecret"

تتم مطالبتك بإدخال سر RADIUS. لن يتم عرض الأحرف التي تدخلها وسيتم استبدالها بدلا من ذلك بالحرف "*".
```
RadiusSecret:***
```

أضف تجمع عناوين عميل VPN ومعلومات خادم RADIUS.

لتكوينات SSTP:

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "SSTP" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

لتكوينات OpenVPN®:

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
 Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientRootCertificates @()
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "OpenVPN" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

لتكوينات IKEv2:

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "IKEv2" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

لـSSTP + IKEv2

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol @( "SSTP", "IkeV2" ) `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

لتحديد اثنين من خوادم RADIUS استخدم بناء الجملة التالي. تعديل قيمة -VpnClientProtocol حسب الحاجة

$radiusServer1 = New-AzRadiusServer -RadiusServerAddress 10.1.0.15 -RadiusServerSecret $radiuspd -RadiusServerScore 30
$radiusServer2 = New-AzRadiusServer -RadiusServerAddress 10.1.0.16 -RadiusServerSecret $radiuspd -RadiusServerScore 1

$radiusServers = @( $radiusServer1, $radiusServer2 )

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $actual -VpnClientAddressPool 201.169.0.0/16 -VpnClientProtocol "IkeV2" -RadiusServerList $radiusServers

6. قم بتنزيل حزمة تكوين عميل VPN وقم بإعداد عميل VPN

يتيح تكوين عميل VPN للأجهزة الاتصال بـVNet عبر اتصال P2S. لإنشاء حزمة تكوين عميل VPN وإعداد عميل VPN، راجع إنشاء تكوين عميل VPN لمصادقة RADIUS.

7. الاتصال بـ Azure

للاتصال من عميل Windows VPN

للاتصال بـ VNet الخاص بك، على جهاز الكمبيوتر العميل، انتقل إلى اتصالات VPN وحدد موقع اتصال VPN الذي قمت بإنشائه. يتم تسميته بنفس اسم شبكتك الظاهرية. أدخل بيانات اعتماد نطاقك وانقر على "الاتصال". تظهر رسالة منبثقة تطلب حقوقًا مرتفعة. اقبله وأدخل بيانات الاعتماد.
تم إجراء اتصالك.

الاتصال من عميل Mac VPN

من مربع الحوار "Network"، حدد موقع ملف تعريف العميل الذي تريد استخدامه، ثم انقر Connect.

Mac connection

للتحقق من اتصالك

للتحقق من أن اتصال VPN الخاص بك نشط، افتح موجه أوامر غير مقيد، وقم بتشغيل ipconfig/all.

عرض النتائج. لاحظ أن عنوان IP الذي تلقيته هو أحد العناوين الموجودة في تجمع عناوين عميل VPN من نقطة إلى موقع الذي حددته في التكوين الخاص بك. النتائج مشابهة لهذا المثال:

PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

لاستكشاف أخطاء اتصال P2S وإصلاحها، راجع استكشاف أخطاء اتصالات Azure من نقطة إلى موقع وإصلاحها.

للاتصال بجهاز ظاهري

يمكنك الاتصال بأي جهاز افتراضي يتم نشره إلى VNet الخاص بك عن طريق إنشاء اتصال بسطح المكتب البعيد إلى الجهاز الافتراضي الخاص بك. تتمثل أفضل طريقة للتحقق من إمكانية الاتصال بأي جهاز افتراضي في الاتصال باستخدام عنوان بروتوكول الإنترنت الخاص به بدلاً من اسم الكمبيوتر. بهذه الطريقة، تختبر لمعرفة ما إذا كان يمكنك الاتصال، وليس ما إذا كان تحليل الاسم قد تم تكوينه بشكل صحيح.

حدد موقع عنوان بروتوكول الإنترنت الخاص بك. يمكنك العثور على عنوان بروتوكول الإنترنت الخاص بأي جهاز افتراضي، إما عن طريق البحث في خصائص الجهاز الافتراضي في مدخل Azure، أو باستخدام PowerShell.
- مدخل Azure - حدد موقع الجهاز الافتراضي في مدخل Azure. اعرض خصائص الجهاز الافتراضي. أدرج عنوان بروتوكول الإنترنت الخاص.
- PowerShell - استخدم المثال لعرض قائمة الأجهزة الافتراضية، وعناوين بروتوكول الإنترنت الخاصة من مجموعات الموارد الخاصة بك. لا تحتاج إلى تعديل هذا المثال قبل استخدامه.
```
$VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null

foreach($Nic in $Nics)
{
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}
```
تحقق من أنك متصل بشبكة VNet لديك.
افتح⁧⁧⁩⁩Remote Desktop Connection⁧⁧⁩⁩من خلال كتابة "RDP" أو "Remote Desktop Connection" في مربع البحث في شريط المهام، ثم حدد Remote Desktop Connection. يمكنك أيضًا فتح "Remote Desktop Connection" باستخدام الأمر "mstsc" في PowerShell.
في الاتصال بسطح المكتب البعيد أدخل عنوان بروتوكول الإنترنت الخاص بالجهاز الافتراضي. يمكنك تحديد "إظهار الخيارات" لضبط الإعدادات الإضافية، ثم الاتصال.

⁧⁧⁩⁩استكشاف أخطاء الاتصال وإصلاحها⁧⁧⁩⁩

إذا كنت تواجه مشكلة في الاتصال بجهاز ظاهري عبر اتصال VPN، فتحقق مما يلي:

تحقق من نجاح اتصال VPN الخاص بك.
تحقق من الاتصال بعنوان بروتوكول الإنترنت الخاص بالجهاز الظاهري.
إذا كان يمكنك الاتصال بأي جهاز افتراضي باستخدام عنوان بروتوكول الإنترنت الخاص بدون اسم الكمبيوتر، فتحقق من تهيئة نظام اسماء النطاقات بشكل صحيح. للحصول على مزيد من المعلومات حول كيفية عمل تحليل الاسم لـ VMs، راجع⁧⁧⁩⁩تحليل اسم VMs.
للمزيد من المعلومات حول اتصالات بروتوكول سطح المكتب البعيد، راجع⁧⁧⁩⁩اكتشاف أخطاء اتصال سطح المكتب البعيد بأي جهاز افتراضي⁧⁧⁩⁩.

تحقق من إنشاء حزمة تكوين عميل VPN بعد تحديد عناوين IP لخادم DNS لشبكة VNet. إذا قمت بتحديث عناوين IP لخادم DNS، فقم بإنشاء حزمة تكوين عميل VPN جديدة وتثبيتها.
استخدم «ipconfig» للتحقق من عنوان IPv4 المعين لمحول Ethernet على الكمبيوتر الذي تتصل منه. إذا كان عنوان IP ضمن نطاق عناوين VNet الذي تتصل به، أو ضمن نطاق عناوين VPNClientAddressPool، فإنه يشار إلى ذلك باسم مساحة عنوان متداخلة. عندما تتداخل مساحة العنوان الخاصة بك بهذه الطريقة، لا تصل نسبة استخدام الشبكة إلى Azure، بل تبقى على الشبكة المحلية.

الأسئلة المتداولة

تنطبق هذه الأسئلة المتداولة على P2S باستخدام مصادقة RADIUS

كم عدد نقاط نهاية عميل VPN التي يمكنني الحصول عليها في تكوين «نقطة إلى موقع»؟

يعتمد ذلك على رمز SKU للبوابة. لمزيد من المعلومات حول عدد الاتصالات المدعومة، راجع وحدات SKU للبوابة.

ما هي أنظمة تشغيل العميل التي يمكنني استخدامها مع «نقطة إلى الموقع»؟

يتم دعم أنظمة تشغيل العميل التالية:

Windows Server 2008 R2 (64 بت فقط)
Windows 8.1 (32 بت و64 بت)
Windows Server 2012 (64 بت فقط)
Windows Server 2012 R2 (64 بت فقط)
Windows Server 2016 (64 بت فقط)
Windows Server 2019 (64 بت فقط)
Windows Server 2022 (64 بت فقط)
Windows 10
Windows 11
macOS الإصدار 10.11 أو أعلى
Linux (StrongSwan)
iOS

ملاحظة

بدءًا من 1 يوليو 2018، تتم إزالة الدعم لـ TLS 1.0 و1.1 من بوابة Azure VPN. ستدعم بوابة VPN TLS 1.2 فقط. للحفاظ على الدعم، راجع التحديثات لتمكين دعم TLS1.2.

بالإضافة إلى ذلك، سيتم أيضًا إهمال الخوارزميات القديمة التالية لطبقة النقل الآمنة في 1 يوليو 2018:

RC4 (تشفير Rivest 4)
DES (خوارزمية تشفير البيانات)
3DES (خوارزمية تشفير البيانات الثلاثية)
MD5 (تشفير الرسالة 5)

كيف أمكّن دعم TLS 1.2 في Windows 8.1؟

افتح موجه الأوامر بامتيازات مرتفعة بالنقر بزر الماوس الأيمن فوق Command Prompt وتحديد Run as administrator.

تشغيل الأوامر التالية في موجه الأوامر:

reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

قم بتثبيت التحديثات التالية:
- KB3140245
- KB2977292
أعد تشغيل الكمبيوتر.
اتصل بـ VPN.

ملاحظة

سيتعين عليك تعيين مفتاح التسجيل أعلاه إذا كنت تستخدم إصدارًا قديمًا من Windows 10 (10240).

هل يمكنني اجتياز الوكلاء وجدران الحماية باستخدام إمكانية «من نقطة إلى موقع»؟

يدعم Azure ثلاثة أنواع من خيارات VPN «من نقطة إلى موقع»:

بروتوكول نفق مأخذ التوصيل الآمن (SSTP). SSTP هو حل يستند إلى SSL خاص بشركة Microsoft يمكنه اختراق جدران الحماية نظرًا لأن معظم جدران الحماية تفتح منفذ TCP الصادر الذي يستخدمه 443 SSL.
VPN مفتوح. VPN المفتوح هو حل قائم على طبقة المقابس الآمنة يمكنه اختراق جدران الحماية، لأن معظم جدران الحماية تفتح منفذ TCP الصادر الذي يستخدمه 443 SSL.
IKEv2 VPN. IKEv2 VPN هو حل IPsec VPN قائم على المعايير يستخدم منافذ UDP الصادرة 500 و4500 وبروتوكول IP رقم 50. لا تفتح جدران الحماية دائما هذه المنافذ، لذلك هناك احتمال لعدم قدرة IKEv2 VPN على اجتياز الوكلاء وجدران الحماية.

إذا قمت بإعادة تشغيل جهاز كمبيوتر عميل تم تكوينه لـ «نقطة إلى موقع»، فهل ستعيد الشبكة الافتراضية الخاصة الاتصال تلقائيًا؟

إعادة الاتصال التلقائي هي وظيفة للعميل قيد الاستخدام. يدعم Windows إعادة الاتصال التلقائي عن طريق تكوين ميزة عميل Always On VPN.

هل يدعم Point-to-Site DDNS على عملاء VPN؟

DDNS غير مدعوم حاليًا في الشبكات الافتراضية الخاصة من نقطة إلى موقع.

هل يمكنني جعل تكوينات الموقع إلى الموقع ومن نقطة إلى موقع تتعايشان لنفس الشبكة الظاهرية؟

نعم. بالنسبة إلى نموذج توزيع Resource Manager، يجب أن يكون لديك نوع VPN يستند إلى المسار للبوابة الخاصة بك. بالنسبة إلى نموذج التوزيع الكلاسيكي، تحتاج إلى بوابة ديناميكية. نحن لا ندعم التحويل من نقطة إلى موقع لبوابات VPN الثابتة للتوجيه أو بوابات VPN المستندة إلى النهج.

هل يمكنني تكوين عميل من نقطة إلى موقع للاتصال ببوابات شبكة ظاهرية متعددة في نفس الوقت؟

اعتمادًا على برنامج عميل VPN المستخدم، قد تتمكن من الاتصال ببوابات شبكة ظاهرية متعددة بشرط ألا تحتوي الشبكات الظاهرية التي يتم الاتصال بها على مساحات عناوين متضاربة بينها أو بين الشبكة من مع العميل الذي يتصل منه. على الرغم من أن عميل Azure VPN يدعم العديد من اتصالات VPN، فإنه يمكن توصيل اتصال واحد فقط في أي وقت.

هل يمكنني تكوين عميل من نقطة إلى موقع للاتصال بشبكات ظاهرية متعددة في نفس الوقت؟

نعم، قد يكون لاتصالات العميل من نقطة إلى موقع ببوابة شبكة ظاهرية يتم توزيعها في VNet والتي يتم نظيرها مع VNets الأخرى حق الوصول إلى VNets الأخرى النظيرة. سيتمكن عملاء «من نقطة إلى موقع» من الاتصال بـ VNets النظيرة طالما أن مجموعات VNets النظيرة تستخدم ميزات UseRemoteGateway/ AllowGatewayTransit. لمزيد من المعلومات، راجع نبذة عن توجيه «من نقطة إلى موقع».

ما مقدار معدل النقل التي يمكنني توقعه من خلال اتصالات الموقع إلى الموقع أو من نقطة إلى موقع؟

من الصعب الحفاظ على معدل النقل الدقيق لأنفاق VPN. IPsec وSSTP هما بروتوكولان VPN ثقيلان بالتشفير. معدل النقل محدود أيضًا بسبب زمن الوصول وعرض النطاق الترددي بين المبنى والإنترنت. بالنسبة إلى بوابة VPN التي تحتوي على اتصالات VPN من نقطة إلى موقع IKEv2 فقط، يعتمد إجمالي معدل النقل التي يمكنك توقعه على رمز SKU للبوابة. لمزيد من المعلومات عن معدل النقل، يُرجى مراجعة Gateway SKUs.

هل يمكنني استخدام أي برنامج VPN عميل لـ Point-to-Site يدعم SSTP وIKEv2 أو أيًا منهما؟

كلا. يمكنك فقط استخدام عميل VPN الأصلي على Windows لـ SSTP، وعميل VPN الأصلي على Mac لـ IKEv2. ومع ذلك، يمكنك استخدام عميل OpenVPN على جميع الأنظمة الأساسية للاتصال عبر بروتوكول OpenVPN. ارجع إلى قائمة أنظمة تشغيل العميل المدعومة.

هل يمكنني تغيير نوع المصادقة للاتصال من نقطة إلى موقع؟

نعم. في المدخل، انتقل إلى VPN gateway -> صفحة تكوين من نقطة إلى موقع. بالنسبة إلى نوع المصادقة، حدد أنواع المصادقة التي تريد استخدامها. يُرجى ملاحظة أنه بعد إجراء تغيير على نوع المصادقة، قد لا يتمكن العملاء الحاليون من الاتصال حتى يتم إنشاء ملف تعريف تكوين عميل VPN جديد وتنزيله وتطبيقه على كل عميل VPN.

هل يدعم Azure IKEv2 VPN مع Windows؟

يتم دعم IKEv2 على Windows 10 وServer 2016. ومع ذلك، لاستخدام IKEv2 في إصدارات معينة من نظام التشغيل، يجب عليك تثبيت التحديثات وتعيين قيمة مفتاح التسجيل محليا. لاحظ أن إصدارات نظام التشغيل قبل Windows 10 غير مدعومة ويمكنها فقط استخدام SSTP أو OpenVPN® Protocol.

ملاحظة: لا يتطلب إصدار نظام التشغيل Windows أحدث من الإصدار 1709 من Windows 10 والإصدار 1607 من Windows Server 2016 هذه الخطوات.

لإعداد Windows 10 أو Server 2016 لـ IKEv2:

قم بتثبيت التحديث استنادًا إلى إصدار نظام التشغيل الخاص بك:

⁧⁩OS version⁧⁩	التاريخ	الرقم/الرابط
Windows Server 2016 Windows 10 Version 1607	17 يناير 2018	KB4057142
Windows 10 Version 1703	17 يناير 2018	KB4057144
Windows 10 Version 1709	22 مارس 2018	KB4089848

عيّن قيمة مفتاح التسجيل. أنشئ أو عيّن "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD المفتاح في التسجيل إلى 1.

ما هو حد محدد نسبة استخدام الشبكة IKEv2 للاتصالات من نقطة إلى موقع؟

Windows 10 الإصدار 2004 (تم إصداره في سبتمبر 2021) من حد محدد نسبة استخدام الشبكة إلى 255. تحتوي إصدارات Windows الأقدم من ذلك على حد محدد نسبة استخدام الشبكة يبلغ 25.

يحدد الحد الأقصى لعدد محددات نسبة استخدام الشبكة في Windows الحد الأقصى لعدد مساحات العناوين في شبكتك الظاهرية والحد الأقصى لمجموع الشبكات المحلية واتصالات VNet-to-VNet ومجموعات VNets النظيرة المتصلة بالبوابة. سيفشل العملاء المستندون إلى Windows من نقطة إلى موقع في الاتصال عبر IKEv2 إذا تجاوزوا هذا الحد.

ماذا يحدث عندما أقوم بتكوين كل من SSTP وIKEv2 لاتصالات P2S VPN؟

عند تكوين كل من SSTP وIKEv2 في بيئة مختلطة (تتكون من أجهزة Windows وMac)، سيقوم عميل VPN Windows دائمًا بتجربة نفق IKEv2 أولاً، ولكنه سيعود إلى SSTP إذا لم ينجح اتصال IKEv2. لن يتصل MacOSX إلا عبر IKEv2.

بخلاف Windows وMac، ما هي الأنظمة الأساسية الأخرى التي يدعمها Azure لـ P2S VPN؟

يدعم Azure Windows وMac وLinux لـ P2S VPN.

لدي بالفعل بوابة Azure VPN تم توزيعها. هل يمكنني تمكين RADIUS وIKEv2 VPN أو أيًا منهما عليه؟

نعم، إذا كانت وحدة SKU للبوابة التي تستخدمها تدعم RADIUS وIKEv2 أو أيًا منهما، فإنه يمكنك تمكين هذه الميزات على البوابات التي قمت بتوزيعها بالفعل باستخدام PowerShell أو مدخل Microsoft Azure. لاحظ أن SKU الأساسي لا يدعم RADIUS أو IKEv2.

كيف أزيل تكوين اتصال P2S؟

يمكن إزالة تكوين P2S باستخدام Azure CLI وPowerShell باستخدام الأوامر التالية:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

هل مصادقة RADIUS مدعومة على جميع وحدات SKU الخاصة ببوابة Azure VPN؟

يتم دعم مصادقة RADIUS لوحدات SKU الخاصة بـ VpnGw1 وVpnGw2 وVpnGw3. إذا كنت تستخدم وحدات SKU القديمة، فإنه يتم دعم مصادقة RADIUS على وحدات SKU القياسية وعالية الأداء. وهو غير مدعوم على رمز SKU للبوابة الأساسية.

هل مصادقة RADIUS مدعومة لنموذج النشر الكلاسيكي؟

كلا. مصادقة RADIUS غير معتمدة لنموذج النشر الكلاسيكي.

ما هي فترة المهلة لطلبات RADIUS المرسلة إلى خادم RADIUS؟

يتم تعيين طلبات RADIUS إلى مهلة بعد 30 ثانية. قيم المهلة المعرفة من قبل المستخدم غير مدعومة اليوم.

هل خوادم RADIUS التابعة لجهة أخري مدعومة؟

نعم، يتم دعم خوادم RADIUS التابعة لجهة أخري.

ما هي متطلبات الاتصال لضمان قدرة بوابة Azure على الوصول إلى خادم RADIUS محلي؟

مطلوب اتصال VPN من موقع إلى موقع بالموقع المحلي، مع تكوين المسارات المناسبة.

هل يمكن توجيه حركة المرور إلى خادم RADIUS محلي (من بوابة Azure VPN) عبر اتصال ExpressRoute؟

كلا. لا يمكن توجيهه إلا عبر اتصال من موقع إلى موقع.

هل هناك تغيير في عدد اتصالات SSTP المدعومة بمصادقة RADIUS؟ ما هو الحد الأقصى لعدد اتصالات SSTP وIKEv2 المدعومة؟

لا يوجد أي تغيير في الحد الأقصى لعدد اتصالات SSTP المدعومة على بوابة مع مصادقة RADIUS. يبقى 128 لـ SSTP، ولكنه يعتمد على SKU البوابة لـ IKEv2. لمزيد من المعلومات حول عدد الاتصالات المدعومة، راجع وحدات SKU للبوابة.

ما الفرق بين إجراء مصادقة الشهادة باستخدام خادم RADIUS مقابل استخدام مصادقة شهادة Azure الأصلية (عن طريق تحميل شهادة موثوق بها إلى Azure).

في مصادقة شهادة RADIUS، يتم إعادة توجيه طلب المصادقة إلى خادم RADIUS الذي يعالج التحقق الفعلي من صحة الشهادة. يعد هذا الخيار مفيدًا إذا كنت تريد التكامل مع بنية أساسية لمصادقة الشهادة لديك بالفعل من خلال RADIUS.

عند استخدام Azure لمصادقة الشهادة، تقوم بوابة Azure VPN بإجراء التحقق من صحة الشهادة. تحتاج إلى تحميل المفتاح العام للشهادة إلى البوابة. يمكنك أيضًا تحديد قائمة بالشهادات التي تم إبطالها والتي لا ينبغي السماح لها بالاتصال.

هل تعمل مصادقة RADIUS مع كل من IKEv2 وSSTP VPN؟

نعم، يتم دعم مصادقة RADIUS لكل من IKEv2 وSSTP VPN.

هل تعمل مصادقة RADIUS مع عميل OpenVPN؟

يتم دعم مصادقة RADIUS لبروتوكول OpenVPN فقط من خلال PowerShell.

الخطوات التالية

في الوقت الذي يتم فيه اكتمال الاتصال، يمكنك إضافة أجهزة ظاهرية إلى شبكاتك الظاهرية. لمزيد من المعلومات، راجع الأجهزة الظاهرية. لفهم المزيد حول الشبكات والأجهزة الظاهرية، راجع نظرة عامة على شبكة Azure وLinux VM.