Kurz: vytvoření připojení VPN uživatele pomocí Azure Virtual WAN

V tomto kurzu se dozvíte, jak pomocí virtuální sítě WAN se připojit k prostředkům v Azure prostřednictvím připojení VPN OpenVPN nebo IPsec/IKE (IKEv2) pomocí konfigurace uživatelské VPN (P2S). Tento typ připojení vyžaduje, aby byl v každém připojujícím se klientském počítači nakonfigurován nativní klient VPN.

• pokud chcete vytvořit uživatelské připojení vpn pomocí ověřování Azure AD, použijte místo toho Azure Active Directory v článku konfigurace připojení k síti vpn uživatele .
• Další informace o službě Virtual WAN najdete v tématu Přehled služby Virtual WAN.

V tomto kurzu se naučíte:

Požadavky

• Máte předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet.

• Máte virtuální síť, ke které se chcete připojit.

  • Ověřte, že se žádná z podsítí vašich místních sítí nepřekrývá s virtuálními sítěmi, ke které se chcete připojit.
  • Informace o vytvoření virtuální sítě v Azure Portal najdete v článku Rychlý start.

• Vaše virtuální síť nesmí mít žádné existující brány virtuální sítě.

  • Pokud už vaše virtuální síť obsahuje brány (VPN nebo ExpressRoute), musíte před pokračováním odebrat všechny brány.
  • Tato konfigurace vyžaduje, aby se virtuální sítě připojují pouze Virtual WAN brány centra.

• Určete rozsah IP adres, který chcete použít pro privátní adresní prostor virtuálního rozbočovače. Tyto informace se používají při konfiguraci virtuálního centra. Virtuální centrum je virtuální síť, kterou vytvoří a použije Virtual WAN. Je jádrem vaší Virtual WAN v oblasti. Rozsah adresního prostoru musí splňovat určitá pravidla:

  • Rozsah adres, který zadáte pro centrum, se nemůže překrývat s žádnou z existujících virtuálních sítí, ke které se připojujete.
  • Rozsah adres se nemůže překrývat s místními rozsahy adres, ke které se připojujete.
  • Pokud nevíte, které rozsahy IP adres se nacházejí v konfiguraci místní sítě, v koordinaci s někým, kdo vám může poskytnout tyto podrobnosti.

Vytvoření virtuální sítě WAN

1. Na portálu na panelu Hledat zdroje zadejte do vyhledávacího pole virtuální síť WAN a vyberte ENTER.

2. Z výsledků vyberte virtuální sítě WAN . Na stránce virtuální sítě WAN vyberte + vytvořit a otevřete stránku vytvořit síť WAN .

3. Na stránce vytvořit síť WAN vyplňte pole na kartě základy . Upravte ukázkové hodnoty, které se mají použít pro vaše prostředí.

   

   • Předplatné: vyberte předplatné, které chcete použít.
   • Skupina prostředků: Vytvořte novou nebo použijte existující.
   • Umístění skupiny prostředků: z rozevíracího seznamu vyberte umístění prostředku. Síť WAN je globální prostředek, takže se nenachází v určité oblasti. Je však nutné vybrat oblast, aby bylo možné spravovat a vyhledat prostředek sítě WAN, který vytvoříte.
   • Název: zadejte název, který chcete zavolat virtuální síti WAN.
   • Zadejte: Basic nebo Standard. Vyberte Standard. Pokud vyberete základní, může to být tím, že základní virtuální sítě WAN můžou obsahovat jenom základní rozbočovače. Základní centra se dají používat jenom pro připojení Site-to-site.

4. Po dokončení vyplnění polí klikněte v dolní části stránky na tlačítko zkontrolovat + vytvořit.

5. Po úspěšném ověření kliknutím na vytvořit vytvořte virtuální síť WAN.

Vytvoření konfigurace sítě VPN uživatele

Konfigurace VPN uživatele (P2S) definuje parametry pro připojení vzdálených klientů. Postup závisí na metodě ověřování, kterou chcete použít.

Při výběru metody ověřování máte v následujících krocích tři možnosti. Každá z metod má konkrétní požadavky. Vyberte jednu z následujících metod a pak dokončete postup.

• Certifikáty Azure: Pro tuto konfiguraci se vyžadují certifikáty. Musíte buď vygenerovat nebo získat certifikáty. Pro každého klienta je vyžadován klientský certifikát. Kromě toho je potřeba nahrát informace o kořenovém certifikátu (veřejný klíč). Další informace o vyžadovaných certifikátech najdete v tématu generování a export certifikátů.

• ověřování Azure Active Directory: použijte článek konfigurace připojení VPN uživatele-Azure Active Directory ověřování , který obsahuje konkrétní kroky nezbytné pro tuto konfiguraci.

• Ověřování pomocí protokolu RADIUS: Získejte IP adresu serveru RADIUS, tajný klíč serveru RADIUS a informace o certifikátu.

Postup konfigurace

1. Přejděte do virtuální sítě WAN, kterou jste vytvořili.

2. V nabídce na levé straně vyberte Konfigurace sítě VPN uživatele.

3. Na stránce Konfigurace sítě VPN uživatele vyberte +Vytvořit konfiguraci sítě VPN uživatele.

   

4. Na stránce Vytvořit novou konfiguraci sítě VPN uživatele karta Základy v části Podrobnosti o instanci zadejte název, který chcete přiřadit ke konfiguraci sítě VPN.

   

5. Jako Tunnel zadejte z rozevíracího seznamu typ tunelu, který chcete použít. Možnosti typu tunelu jsou: IKEv2 VPN, OpenVPN a OpenVpn a IKEv2. Každý typ tunelu má různá požadovaná nastavení.

   Požadavky a parametry:

   IKEv2 VPN

   • Požadavky: Když vyberete typ tunelu IKEv2, zobrazí se zpráva, která vás nasměruje na výběr metody ověřování. Pro IKEv2 můžete zadat pouze jednu metodu ověřování. Můžete zvolit certifikát Azure, Azure Active Directory ověřování nebo ověřování založené na protokolu RADIUS.

   • Vlastní parametry IPSec: Pokud chcete přizpůsobit parametry pro IKE fáze 1 a IKE fáze 2, přepněte přepínač IPsec na Vlastní a vyberte hodnoty parametrů. Další informace o přizpůsobitelných parametrech najdete v článku Vlastní protokol IPsec.

   OpenVPN

   • Požadavky: Když vyberete typ tunelu OpenVPN, zobrazí se zpráva, která vás přesměruje na výběr mechanismu ověřování. Pokud je jako typ tunelu vybraný OpenVPN, můžete zadat více metod ověřování. Můžete zvolit libovolnou podmnožinu certifikátů Azure, Azure Active Directory ověřování nebo ověřování založené na protokolu RADIUS. Pro ověřování pomocí protokolu RADIUS můžete zadat IP adresu a tajný klíč serveru sekundárního serveru RADIUS.

6. Nakonfigurujte metody ověřování, které chcete použít. Každá metoda ověřování je na samostatné kartě: certifikát Azure, ověřování RADIUS a Azure Active Directory. Některé metody ověřování jsou k dispozici pouze u určitých typů tunelů.

   Výběrem možnosti Ano na kartě metody ověřování, kterou chcete nakonfigurovat, zobrazíte dostupná nastavení konfigurace.

   

   • Příklad – Ověření certifikátu

     

   • Příklad – Ověřování radius

     

   • Příklad – Azure Active Directory ověřování

     

7. Po dokončení konfigurace nastavení klikněte na Zkontrolovat a vytvořit v dolní části stránky.

8. Kliknutím na Vytvořit vytvořte konfiguraci sítě VPN uživatele.

Vytvoření virtuálního rozbočovače a brány

1. Na stránce pro virtuální síť WAN v levém podokně vyberte centra. Na stránce centra vyberte + nové centrum.

   

2. Na stránce vytvořit virtuální rozbočovač se podívejte na kartu základy .

   

3. Na kartě základy nakonfigurujte následující nastavení:

   • Oblast: Vyberte oblast, ve které chcete virtuální rozbočovač nasadit.
   • Name (název): název, podle kterého chcete virtuální rozbočovač znát.
   • Privátní adresní prostor centra: rozsah adres rozbočovače v zápisu CIDR.

4. Kliknutím na kartu ukazatel na lokalitu otevřete stránku konfigurace pro Point-to-site. Chcete-li zobrazit nastavení serveru, klikněte na tlačítko Ano.

   

5. Nakonfigurujte tahle nastavení:

   • Jednotky škálování brány – to představuje agregovanou kapacitu brány VPN uživatele. Pokud vyberete 40 nebo více jednotek škálování brány, naplánujte svůj fond adres klienta odpovídajícím způsobem. Informace o tom, jak toto nastavení ovlivňuje fond adres klienta, najdete v tématu informace o fondech adres klientů. Informace o jednotkách škálování brány najdete v tématu Nejčastější dotazy.
   • Přejděte na položku Konfigurace lokality – vyberte konfiguraci sítě VPN uživatele, kterou jste vytvořili v předchozím kroku.
   • Předvolby směrování – předvolba směrování Azure umožňuje zvolit způsob přenosu tras mezi Azure a internetem. Provoz můžete směrovat buď přes síť Microsoft, nebo prostřednictvím sítě poskytovatele internetových služeb (veřejný Internet). Tyto možnosti se také označují jako směrování studených brambor a horké směrování brambor v uvedeném pořadí. Veřejnou IP adresu ve virtuální síti WAN přiřadí služba na základě vybrané možnosti směrování. Další informace o předvolbách směrování prostřednictvím sítě nebo poskytovatele internetových služeb společnosti Microsoft najdete v článku věnovaném preferovaným směrováním .
   • Fond adres klienta – fond adres, ze kterého se budou automaticky přiřazovat IP adresy klientům VPN. Další informace najdete v tématu informace o fondech adres klientů.
   • Vlastní servery DNS – IP adresa serverů DNS, které budou klienti používat. Můžete zadat až 5.

6. Vyberte zkontrolovat + vytvořit a ověřte nastavení.

7. Když ověřování projde, vyberte vytvořit. Vytvoření centra může trvat až 30 minut nebo déle.

Generování konfiguračních souborů klienta

Když se připojíte k virtuální síti pomocí VPN uživatele (P2S), použijete klienta VPN nativně nainstalovanou v operačním systému, ze kterého se připojujete. Všechna nezbytná nastavení konfigurace pro klienty VPN jsou obsažena v souboru ZIP konfigurace klienta VPN. Nastavení v souboru zip vám pomůžou snadno nakonfigurovat klienty VPN. Konfigurační soubory klienta VPN, které vygenerujete, jsou specifické pro konfiguraci sítě VPN uživatele pro vaši bránu. V této části vygenerujete a stáhnete soubory používané ke konfiguraci klientů VPN.

1. Na stránce pro virtuální síť WAN vyberte Konfigurace sítě VPN uživatele.

2. Na stránce konfigurace VPN uživatele vyberte konfiguraci a pak vyberte Stáhnout profil VPN pro uživatele sítě WAN.

   

   • když si stáhnete konfiguraci na úrovni sítě WAN, získáte integrovaný profil VPN uživatele s Traffic Manager.

   • Informace o globálních profilech a profilech založených na rozbočovači najdete v tématu profily centra. Scénáře převzetí služeb při selhání jsou zjednodušené s globálním profilem.

   • Pokud z nějakého důvodu není rozbočovač k dispozici, integrovaná správa provozu, kterou služba poskytuje, zajišťuje připojení (přes jiný rozbočovač) k prostředkům Azure pro uživatele typu Point-to-site. Konfiguraci sítě VPN pro konkrétní centrum si můžete vždycky stáhnout tak, že přejdete do centra. V části Uživatelská síť VPN (Ukázat na lokalitu) stáhněte profil VPN uživatele virtuálního rozbočovače.

3. Na stránce Stáhnout profil sítě VPN uživatele sítě WAN vyberte typ ověřování , který chcete, a pak klikněte na vygenerovat a stáhnout profil.

   Vygeneruje se balíček profilu (soubor ZIP), který obsahuje nastavení konfigurace klienta, a stáhne se do vašeho počítače.

   

Konfigurace klientů VPN

Pomocí staženého balíčku profilu nakonfigurujte klienty VPN pro vzdálený přístup. Postup pro každý operační systém se liší. Postupujte podle pokynů, které se vztahují k vašemu systému. Po dokončení konfigurace klienta se můžete připojit.

OpenVPN

• Konfigurace klienta OpenVPN pro Azure Virtual WAN
• Ověřování Azure AD – Windows 10
• Ověřování Azure AD – macOS

IKEv2

1. Vyberte konfigurační soubory klienta VPN, které odpovídají architektuře počítače s Windows. V případě 64bitové architektury procesoru zvolte instalační balíček VpnClientSetupAmd64. V případě 32bitové architektury procesoru zvolte instalační balíček VpnClientSetupX86.

2. Dvakrát klikněte na balíček a nainstalujte ho. Pokud se zobrazí automaticky otevírané okno obrazovky SmartScreen, vyberte Další informace a pak Přesto spustit.

3. V klientském počítači přejděte na Network Nastavení a vyberte VPN. Připojení k síti VPN zobrazuje název virtuální sítě, ke které se připojuje.

4. Než se pokusíte o připojení, ověřte, že jste na klientském počítači nainstalovali klientský certifikát. Klientský certifikát se vyžaduje k ověřování při použití typu nativního ověřování certifikátů Azure. Další informace o generování certifikátů najdete v tématu Generování certifikátů. Informace o instalaci klientského certifikátu najdete v tématu Instalace klientského certifikátu.

Připojení Virtuální síť do centra

V této části vytvoříte připojení mezi virtuálním rozbočovačem a vaší virtuální sítí. Pro tento kurz nemusíte konfigurovat nastavení směrování.

1. Přejděte k vaší Virtual WAN.

2. Vyberte Připojení virtuálních sítí.

3. Na stránce připojení k virtuální síti vyberte + Přidat připojení.

   

4. Na stránce Přidat připojení nakonfigurujte požadovaná nastavení. Další informace o nastavení směrování najdete v tématu Informace o směrování.

   

   • Connection name (Název připojení): Zadejte název připojení.
   • Rozbočovače: Vyberte centrum, které chcete přidružit k tomuto připojení.
   • Předplatné: Ověřte předplatné.
   • Skupina prostředků: Skupina prostředků, která obsahuje virtuální síť.
   • Virtuální síť: Vyberte virtuální síť, kterou chcete připojit k tomuto rozbočovači. Virtuální síť, kterou vyberete, nemůže již mít existující bránu virtuální sítě.
   • Rozšířit na žádné: Ve výchozím nastavení je tato možnost nastavená na Ne. Když přepínač změníte na Ano, možnosti konfigurace rozšířit na směrovací tabulky a Rozšířit na popisky nejsou pro konfiguraci dostupné.
   • Přidružit směrovací tabulku: Můžete vybrat směrovací tabulku, kterou chcete přidružit.
   • Statické trasy: Toto nastavení můžete použít k určení dalšího segmentu směrování.

5. Po dokončení nastavení, která chcete nakonfigurovat, vyberte Vytvořit a vytvořte připojení.

Zobrazení virtuální sítě WAN

1. Přejděte k virtuální síti WAN.

2. Na stránce Přehled představuje každý bod na mapě rozbočovač.

3. V části centra a připojení můžete zobrazit stav centra, lokalitu, oblast, stav připojení VPN a v a v bajtech.

Úprava nastavení

Upravit fond adres klienta

1. Přejděte do svého virtuálního centra -> VPN uživatele (point-to-site).

2. Kliknutím na hodnotu vedle jednotky škálování brány otevřete stránku Upravit bránu VPN uživatele.

3. Na stránce Upravit bránu VPN uživatele upravte nastavení.

4. Kliknutím na Upravit v dolní části stránky ověřte nastavení.

5. Kliknutím na Potvrdit uložte nastavení. Dokončení všech změn na této stránce může trvat až 30 minut.

Úprava serverů DNS

1. Přejděte ke svému virtuálnímu rozbočovači – > VPN uživatele (Point-to-site).

2. Kliknutím na hodnotu vedle pole vlastní servery DNS otevřete stránku Upravit bránu VPN uživatele .

3. Na stránce Upravit bránu VPN uživatele upravte pole vlastní servery DNS . Do textových polí vlastní servery DNS zadejte IP adresy serveru DNS. Můžete zadat až pět serverů DNS.

4. V dolní části stránky klikněte na Upravit a ověřte nastavení.

5. Kliknutím na Potvrdit uložte nastavení. Dokončení všech změn na této stránce může trvat až 30 minut.

Vyčištění prostředků

Když už nepotřebujete prostředky, které jste vytvořili, odstraňte je. Některé virtuální prostředky sítě WAN je potřeba z důvodu závislostí odstranit v určitém pořadí. Dokončení odstranění může trvat přibližně 30 minut.

1. Otevřete virtuální síť WAN, kterou jste vytvořili.

2. Výběrem virtuálního rozbočovače přidruženého k virtuální síti WAN otevřete stránku centra.

3. Odstraňte všechny entity brány podle následujícího pořadí pro typ brány. Dokončení může trvat 30 minut.

   VPN:

   1. Odpojení lokalit VPN
   2. Odstranění připojení VPN
   3. Odstranění bran VPN Gateway

   ExpressRoute:

   1. Odstranění připojení ExpressRoute
   2. Odstranění bran ExpressRoute

4. V tomto okamžiku můžete centrum buď odstranit, nebo ho odstranit později, když odstraníte skupinu prostředků.

5. Postup opakujte pro všechna rozbočovače přidružená k virtuální síti WAN.

6. Přejděte do skupiny prostředků v Azure Portal.

7. Vyberte Odstranit skupinu prostředků. Tím se odstraní všechno ve skupině prostředků, včetně center a virtuální sítě WAN.

Další kroky