konfigurace připojení VPN uživatele typu Point-to-Site – Azure Active Directory ověřování

V tomto článku se dozvíte, jak nakonfigurovat ověřování Azure AD pro uživatele VPN ve virtuální síti WAN, aby se připojily k prostředkům v Azure prostřednictvím připojení VPN OpenVPN. ověřování Azure Active Directory je k dispozici pouze pro brány pomocí protokolu OpenVPN. Další informace o službě Virtual WAN najdete v tématu Přehled služby Virtual WAN.

Poznámka

Ověřování Azure AD se podporuje pouze pro připojení ® OpenVPN a vyžaduje klienta Azure VPN.

V tomto článku získáte informace o těchto tématech:

  • Vytvoření virtuální sítě WAN
  • Vytvoření konfigurace sítě VPN uživatele
  • Stažení profilu sítě VPN uživatele virtuální sítě WAN
  • Vytvořit virtuální rozbočovač
  • Úprava centra pro přidání brány P2S
  • Připojení virtuální síť k virtuálnímu rozbočovači
  • Stažení a použití konfigurace klienta VPN uživatele
  • Zobrazení virtuální sítě WAN

Diagram virtuální sítě WAN.

Než začnete

Před zahájením konfigurace ověřte, že splňujete následující kritéria:

  • Máte virtuální síť, ke které se chcete připojit. Ověřte, že se žádná z podsítí místních sítí nepřekrývá s virtuálními sítěmi, ke kterým se chcete připojit. Pokud chcete vytvořit virtuální síť v Azure Portal, přečtěte si rychlý Start.

  • Vaše virtuální síť nemá žádné brány virtuální sítě. Pokud má vaše virtuální síť bránu (buď VPN, nebo ExpressRoute), musíte odebrat všechny brány. Tato konfigurace vyžaduje, aby se virtuální sítě místo toho připojovaly k virtuální bráně WAN hub.

  • Zařiďte rozsah IP adres pro oblast vašeho rozbočovače. Centrum je virtuální síť, kterou vytváří a používá virtuální síť WAN. Rozsah adres, který zadáte pro centrum, se nemůže překrývat s žádnou ze stávajících virtuálních sítí, ke kterým se připojujete. Taky se nesmí překrývat s rozsahy adres, ke kterým se připojujete v místním prostředí. Pokud neznáte rozsahy IP adres nacházející se v konfiguraci vaší místní sítě, zajistěte koordinaci s někým, kdo vám poskytne tyto podrobnosti.

  • Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet.

Vytvoření virtuální sítě WAN

V prohlížeči přejděte na web Azure Portal a přihlaste se pomocí svého účtu Azure.

  1. Na portálu na panelu Hledat zdroje zadejte do vyhledávacího pole virtuální síť WAN a vyberte ENTER.

  2. Z výsledků vyberte virtuální sítě WAN . Na stránce virtuální sítě WAN vyberte + vytvořit a otevřete stránku vytvořit síť WAN .

  3. Na stránce vytvořit síť WAN vyplňte pole na kartě základy . Upravte ukázkové hodnoty, které se mají použít pro vaše prostředí.

    Snímek obrazovky se zobrazí v podokně vytvořit síť WAN se zvolenou kartou základy.

    • Předplatné: vyberte předplatné, které chcete použít.
    • Skupina prostředků: Vytvořte novou nebo použijte existující.
    • Umístění skupiny prostředků: z rozevíracího seznamu vyberte umístění prostředku. Síť WAN je globální prostředek, takže se nenachází v určité oblasti. Je však nutné vybrat oblast, aby bylo možné spravovat a vyhledat prostředek sítě WAN, který vytvoříte.
    • Název: zadejte název, který chcete zavolat virtuální síti WAN.
    • Zadejte: Basic nebo Standard. Vyberte Standard. Pokud vyberete základní, může to být tím, že základní virtuální sítě WAN můžou obsahovat jenom základní rozbočovače. Základní centra se dají používat jenom pro připojení Site-to-site.
  4. Po dokončení vyplnění polí klikněte v dolní části stránky na tlačítko zkontrolovat + vytvořit.

  5. Po úspěšném ověření kliknutím na vytvořit vytvořte virtuální síť WAN.

Vytvoření konfigurace sítě VPN uživatele

Konfigurace sítě VPN uživatele definuje parametry pro připojení vzdálených klientů. Před konfigurací virtuálního centra s nastavením P2S je důležité vytvořit konfiguraci sítě VPN uživatele, protože musíte zadat konfiguraci VPN uživatele, kterou chcete použít.

  1. Přejděte na stránku Virtual WAN – konfigurace sítě VPN uživatele > a klikněte na + vytvořit uživatele konfigurace sítě VPN.

    Snímek obrazovky s konfigurací Create User V P N

  2. Na stránce základy Určete parametry.

    Snímek obrazovky se stránkou základy

    • Název konfigurace – zadejte název, kterým chcete zavolat konfiguraci sítě VPN uživatele.
    • Tunnel typ – v rozevírací nabídce vyberte OpenVPN.
  3. stránku otevřete kliknutím na Azure Active Directory .

    snímek obrazovky stránky Azure Active Directory

    přepněte Azure Active Directory na ano a zadejte následující hodnoty na základě podrobností o vašem tenantovi. potřebné hodnoty můžete zobrazit na stránce Azure Active Directory pro Enterprise aplikace na portálu.

    • Metoda ověřování – vyberte Azure Active Directory.
    • cílová skupina – zadejte ID aplikace Enterprise aplikace Azure VPN , která je zaregistrovaná ve vašem tenantovi Azure AD.
    • Stavil - https://sts.windows.net/<your Directory ID>/
    • Tenant AAD - https://login.microsoftonline.com/<your Directory ID>
  4. Kliknutím na vytvořit vytvořte konfiguraci sítě VPN uživatele. Tuto konfiguraci vyberete později v cvičení.

Vytvoření prázdného centra

Pro toto cvičení vytvoříme prázdné virtuální rozbočovač. V další části přidáte bránu k již existujícímu centru. Je ale možné tyto kroky kombinovat a vytvořit centrum s nastavením P2S brány najednou.

  1. Vyhledejte Virtual WAN, který jste vytvořili. Na stránce Virtual WAN části Připojení vyberte Centra.

  2. Na stránce Centra kliknutím na + Nové centrum otevřete stránku Vytvořit virtuální centrum.

    Snímek obrazovky zobrazuje dialogové okno konfigurace služby Hubs s vybraným novým centrem.

  3. Na kartě Základy vyplňte hodnoty.

    Snímek obrazovky s podoknem Vytvořit virtuální rozbočovač, kde můžete zadat hodnoty

    • Oblast: Vyberte oblast, ve které chcete virtuální centrum nasadit.
    • Název: Název, podle kterého má být virtuální centrum známé.
    • Privátní adresní prostor centra: Rozsah adres centra v notaci CIDR.
  4. Klikněte na Zkontrolovat a vytvořit.

  5. Na stránce Ověření bylo úspěšně úspěšně klikněte na Vytvořit.

Přidání brány P2S do centra

V této části se dozvíte, jak přidat bránu k již existujícímu virtuálnímu rozbočovači. V tomto kroku může trvat až 30 minut, než se dokončí aktualizace centra.

  1. Přejděte na stránku centra v rámci virtuální sítě WAN.

  2. Vyberte centrum, ke kterému chcete přidružit konfiguraci serveru VPN, a kliknutím na tlačítko se třemi tečkami (...) zobrazte nabídku. Pak klikněte na Upravit virtuální rozbočovač.

    Snímek obrazovky se zobrazí v nabídce Upravit virtuální rozbočovač vybraný.

  3. Na stránce Upravit virtuální rozbočovač zaškrtněte políčka pro Zahrnout bránu VPN pro lokality VPN a Zahrňte bránu Point-to-site , která nastavení odhalí. Pak nakonfigurujte hodnoty.

    Snímek obrazovky se zobrazí stránka upravit virtuální rozbočovač.

    • Jednotky škálování brány: Vyberte jednotky škálování brány. Jednotky škálování udávají agregovanou kapacitu brány VPN uživatele. Pokud vyberete 40 nebo více jednotek škálování brány, naplánujte svůj fond adres klienta odpovídajícím způsobem. Informace o tom, jak toto nastavení ovlivňuje fond adres klienta, najdete v tématu informace o fondech adres klientů. Informace o jednotkách škálování brány najdete v tématu Nejčastější dotazy.
    • Konfigurace sítě VPN uživatele: vyberte konfiguraci, kterou jste vytvořili dříve.
    • Fond adres klienta: Zadejte fond adres klienta, ze kterého budou klienti VPN přiřazeni IP adresy. Toto nastavení odpovídá jednotkám škálování brány, které jste
  4. Klikněte na Confirm (Potvrdit). Aktualizace centra může trvat až 30 minut.

Připojení Virtuální síť do centra

V této části vytvoříte připojení mezi virtuálním rozbočovačem a vaší virtuální sítí.

  1. Přejděte k vaší Virtual WAN.

  2. Vyberte Připojení virtuálních sítí.

  3. Na stránce připojení k virtuální síti vyberte + Přidat připojení.

    Snímek obrazovky znázorňuje přidání

  4. Na stránce Přidat připojení nakonfigurujte požadovaná nastavení. Další informace o nastavení směrování najdete v tématu Informace o směrování.

    Snímek obrazovky se stránkou připojení k virtuální síti

    • Connection name (Název připojení): Zadejte název připojení.
    • Rozbočovače: Vyberte centrum, které chcete přidružit k tomuto připojení.
    • Předplatné: Ověřte předplatné.
    • Skupina prostředků: Skupina prostředků, která obsahuje virtuální síť.
    • Virtuální síť: Vyberte virtuální síť, kterou chcete připojit k tomuto rozbočovači. Virtuální síť, kterou vyberete, nemůže již mít existující bránu virtuální sítě.
    • Rozšířit na žádné: Ve výchozím nastavení je tato možnost nastavená na Ne. Když přepínač změníte na Ano, možnosti konfigurace rozšířit na směrovací tabulky a Rozšířit na popisky nejsou pro konfiguraci dostupné.
    • Přidružit směrovací tabulku: Můžete vybrat směrovací tabulku, kterou chcete přidružit.
    • Statické trasy: Toto nastavení můžete použít k určení dalšího segmentu směrování.
  5. Po dokončení nastavení, která chcete nakonfigurovat, vyberte Vytvořit a vytvořte připojení.

Stáhnout profil VPN uživatele

Všechna nezbytná nastavení konfigurace pro klienty VPN jsou obsažena v souboru ZIP konfigurace klienta VPN. Nastavení v souboru zip vám pomůžou snadno nakonfigurovat klienty VPN. Konfigurační soubory klienta VPN, které vygenerujete, jsou specifické pro konfiguraci sítě VPN uživatele pro vaši bránu. V této části vygenerujete a stáhnete soubory používané ke konfiguraci klientů VPN.

  1. Na stránce pro virtuální síť WAN vyberte Konfigurace sítě VPN uživatele.

  2. Na stránce konfigurace VPN uživatele vyberte konfiguraci a pak vyberte Stáhnout profil VPN pro uživatele sítě WAN.

    Snímek obrazovky se stažením profilu sítě VPN uživatele sítě WAN

    • když si stáhnete konfiguraci na úrovni sítě WAN, získáte integrovaný profil VPN uživatele s Traffic Manager.

    • Informace o globálních profilech a profilech založených na rozbočovači najdete v tématu profily centra. Scénáře převzetí služeb při selhání jsou zjednodušené s globálním profilem.

    • Pokud z nějakého důvodu není rozbočovač k dispozici, integrovaná správa provozu, kterou služba poskytuje, zajišťuje připojení (přes jiný rozbočovač) k prostředkům Azure pro uživatele typu Point-to-site. Konfiguraci sítě VPN pro konkrétní centrum si můžete vždycky stáhnout tak, že přejdete do centra. V části Uživatelská síť VPN (Ukázat na lokalitu) stáhněte profil VPN uživatele virtuálního rozbočovače.

  3. Na stránce Stáhnout profil sítě VPN uživatele sítě WAN vyberte typ ověřování , který chcete, a pak klikněte na vygenerovat a stáhnout profil.

    Vygeneruje se balíček profilu (soubor ZIP), který obsahuje nastavení konfigurace klienta, a stáhne se do vašeho počítače.

    Snímek obrazovky s profilem generování a stahování.

Konfigurace klientů VPN uživatelů

Každý počítač, který se připojuje, musí mít nainstalovaného klienta. Každého klienta nakonfigurujete pomocí souborů profilů klienta sítě VPN, které jste si stáhli v předchozích krocích. Použijte článek, který se vztahuje k operačnímu systému, který chcete připojit.

Konfigurace klientů VPN macOS (Preview)

Pokyny pro MacOS klienta najdete v tématu Konfigurace klienta VPN – MacOS (Preview).

konfigurace Windows klientů VPN

  1. Stáhněte Klient Azure VPN do každého počítače.

  2. Ověřte, že Klient Azure VPN má oprávnění ke spuštění na pozadí. Pokud chcete zkontrolovat a povolit oprávnění, přejděte na Start -> Nastavení -> Privacy -> Background Apps.)

    • V části Aplikace na pozadí se ujistěte, že je zapnutá možnost Nechat aplikace běžet na pozadí.

    • V části Zvolte, které aplikace mohou běžet na pozadí přetáňte nastavení Klient Azure VPN na Zapnout.

      Snímek obrazovky s oprávněními na pozadí

Import profilu klienta VPN (Windows)

  1. Na stránce vyberte importovat.

    Snímek obrazovky zobrazující stránku import

  2. Přejděte k souboru XML profilu a vyberte ho. Když je vybraný soubor, vyberte otevřít.

    Snímek obrazovky zobrazuje otevřené dialogové okno, ve kterém můžete vybrat soubor.

  3. Zadejte název profilu a vyberte Uložit.

    Snímek obrazovky zobrazuje název připojení, který jste přidali, a tlačítko Uložit.

  4. vyberte Připojení pro připojení k síti VPN.

    snímek obrazovky zobrazující tlačítko Připojení pro připojení, které jste právě vytvořili.

  5. Po připojení se ikona změní na zelenou a znamená se připojit.

    Snímek obrazovky ukazuje připojení ve stavu Připojeno s možností odpojení.

Odstranění profilu klienta – Windows

  1. Vyberte tři tečky (...) vedle profilu klienta, který chcete odstranit. Pak vyberte Odebrat.

    Snímek obrazovky s vybranou možností Odebrat z nabídky

  2. Vyberte Odebrat a odstraňte ho.

    Snímek obrazovky zobrazuje potvrzovací dialogové okno s možností Odebrat nebo Zrušit.

Diagnostika problémů s připojením – Windows

  1. K diagnostice problémů s připojením můžete použít nástroj pro diagnostiku. Vyberte tři tečky (...) vedle připojení VPN, které chcete diagnostikovat, a zobrazí se nabídka. Pak vyberte Diagnostikovat.

    Snímek obrazovky znázorňuje možnost Diagnostikovat vybranou v nabídce

  2. Na stránce Vlastnosti připojení vyberte Spustit diagnostiku.

    Snímek obrazovky s tlačítkem Spustit diagnostiku pro připojení

  3. Přihlaste se pomocí svých přihlašovacích údajů.

    Snímek obrazovky s dialogem Přihlásit se pro tuto akci

  4. Podívejte se na výsledky diagnostiky.

    Snímek obrazovky s výsledky diagnostiky

Zobrazení virtuální sítě WAN

  1. Přejděte na virtuální síť WAN.
  2. Na stránce Overview (Přehled) každý bod na mapě představuje jeden rozbočovač.
  3. V části Hubs and connections (Rozbočovače a připojení) můžete zjistit stav rozbočovače, lokalitu, oblast, stav připojení VPN a přijaté a odeslané bajty.

Vyčištění prostředků

Pokud už vytvořené prostředky nepotřebujete, odstraňte je. Některé z Virtual WAN prostředků musí být kvůli závislostem odstraněny v určitém pořadí. Odstranění může trvat přibližně 30 minut.

  1. Otevřete virtuální síť WAN, kterou jste vytvořili.

  2. Výběrem virtuálního rozbočovače přidruženého k virtuální síti WAN otevřete stránku centra.

  3. Odstraňte všechny entity brány podle následujícího pořadí pro typ brány. Dokončení může trvat 30 minut.

    VPN:

    1. Odpojení lokalit VPN
    2. Odstranění připojení VPN
    3. Odstranění bran VPN Gateway

    ExpressRoute:

    1. Odstranění připojení ExpressRoute
    2. Odstranění bran ExpressRoute
  4. V tomto okamžiku můžete centrum buď odstranit, nebo ho odstranit později, když odstraníte skupinu prostředků.

  5. Postup opakujte pro všechna rozbočovače přidružená k virtuální síti WAN.

  6. Přejděte do skupiny prostředků v Azure Portal.

  7. Vyberte Odstranit skupinu prostředků. Tím se odstraní všechno ve skupině prostředků, včetně center a virtuální sítě WAN.

Další kroky

Další informace o službě Virtual WAN najdete v článku Přehled služby Virtual WAN.