Informace o VPN typu point-to-site
Připojení brány VPN typu Point-to-Site (P2S) umožňuje vytvořit zabezpečené připojení k virtuální síti z jednotlivých klientských počítačů. Připojení P2S se vytvoří jeho zahájením z klientského počítače. Toto řešení je užitečné pro osoby pracující z domova, které se chtějí k virtuálním sítím Azure připojit ze vzdáleného umístění, například z domova nebo z místa konání konference. Síť VPN P2S je také užitečným řešením nahrazujícím síť VPN S2S, pokud máte pouze několik klientů, kteří se potřebují připojit k virtuální síti. Tento článek se týká modelu nasazení Resource Manager.
Poznámka:
Konfigurace typu point-to-site vyžadují typ sítě VPN založený na směrování. Další informace o typech sítí VPN najdete v tématu o nastavení služby VPN Gateway.
Jaký protokol používá připojení typu point-to-site?
Síť VPN typu point-to-site může používat jeden z následujících protokolů:
OpenVPN® Protocol, protokol VPN založený na PROTOKOLU SSL/TLS. Řešení TLS VPN může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP 443, který protokol TLS používá. OpenVPN se dá použít k připojení z Androidu, iOS (verze 11.0 a novější), zařízení s Windows, Linuxem a Macem (macOS verze 10.13 a novější).
Secure Socket Tunneling Protocol (SSTP) – proprietární protokol VPN založený na protokolu TLS. Řešení TLS VPN může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP 443, který protokol TLS používá. SSTP se podporuje jenom na zařízeních s Windows. podpora Azure všechny verze Windows, které mají protokol SSTP a podporují protokol TLS 1.2 (Windows 8.1 a novější).
IKEv2 VPN, řešení IPsec VPN založené na standardech. Vpn IKEv2 se dá použít k připojení ze zařízení Mac (macOS verze 10.11 a novější).
Poznámka:
IKEv2 a OpenVPN pro P2S jsou k dispozici pouze pro model nasazení Resource Manager. Nejsou k dispozici pro model nasazení Classic.
Jak se ověřují klienti P2S VPN?
Než Azure přijme připojení P2S VPN, musí se nejprve ověřit. Existují dva mechanismy, které Azure nabízí k ověření připojujícího se uživatele.
Ověření certifikátu
Při použití nativního ověřování certifikátů Azure se k ověření připojujícího uživatele použije klientský certifikát, který je na zařízení. Klientské certifikáty se generují z důvěryhodného kořenového certifikátu a pak se nainstalují do každého klientského počítače. Můžete použít kořenový certifikát, který byl vygenerován pomocí podnikového řešení, nebo můžete vygenerovat certifikát podepsaný svým držitelem.
Ověření klientského certifikátu provádí brána VPN a probíhá při vytváření připojení VPN typu point-to-site. Pro ověření se vyžaduje kořenový certifikát a musí se nahrát do Azure.
Ověřování Microsoft Entra
Ověřování Microsoft Entra umožňuje uživatelům připojit se k Azure pomocí svých přihlašovacích údajů Microsoft Entra. Nativní ověřování Microsoft Entra je podporováno pouze pro protokol OpenVPN a vyžaduje také použití Klient Azure VPN. Podporované klientské operační systémy jsou Windows 10 nebo novější a macOS.
S nativním ověřováním Microsoft Entra můžete pro vpn použít funkce podmíněného přístupu Microsoft Entra a vícefaktorového ověřování (MFA).
Na vysoké úrovni je potřeba provést následující kroky ke konfiguraci ověřování Microsoft Entra:
Stáhněte si nejnovější verzi Klient Azure VPN instalace souborů pomocí jednoho z následujících odkazů:
- Instalace pomocí instalačních souborů klienta: https://aka.ms/azvpnclientdownload.
- Nainstalujte se přímo, když jste přihlášení do klientského počítače: Microsoft Store.
Doménový server služby Active Directory (AD)
Ověřování domén AD umožňuje uživatelům připojit se k Azure pomocí přihlašovacích údajů domény organizace. Vyžaduje server RADIUS, který se integruje se serverem AD. Organizace můžou také použít stávající nasazení protokolu RADIUS.
Server RADIUS může být nasazen místně nebo ve vaší virtuální síti Azure. Během ověřování funguje služba Azure VPN Gateway jako předávací a předávací ověřovací zprávy mezi serverem RADIUS a připojeným zařízením. Proto je důležitá dostupnost brány k serveru RADIUS. Pokud je server RADIUS místně dostupný, pro zajištění dostupnosti se vyžaduje připojení VPN S2S z Azure k místní lokalitě.
Server RADIUS se může také integrovat s certifikačními službami AD. To vám umožní použít server RADIUS a nasazení podnikového certifikátu pro ověřování certifikátů P2S jako alternativu k ověřování certifikátů Azure. Výhodou je, že do Azure nemusíte nahrávat kořenové certifikáty a odvolané certifikáty.
Server RADIUS se může také integrovat s jinými externími systémy identit. Otevře se spousta možností ověřování pro síť VPN typu point-to-factor, včetně vícefaktorových možností.
Jaké jsou požadavky na konfiguraci klienta?
Požadavky na konfiguraci klienta se liší v závislosti na používaném klientovi VPN, typu ověřování a protokolu. Následující tabulka uvádí dostupné klienty a odpovídající články pro každou konfiguraci.
Ověřování | Typ tunelového propojení | Generování konfiguračních souborů | Konfigurace klienta VPN |
---|---|---|---|
Certifikát Azure | IKEv2, SSTP | Windows | Nativní klient VPN |
Certifikát Azure | OpenVPN | Windows | - Klient OpenVPN - Klient Azure VPN |
Certifikát Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
Certifikát Azure | IKEv2, OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
RADIUS – certifikát | - | Článek | Článek |
RADIUS – heslo | - | Článek | Článek |
RADIUS – jiné metody | - | Článek | Článek |
Důležité
Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2. Ovlivněná jsou pouze připojení typu point-to-site; Připojení typu site-to-site nebudou ovlivněna. Pokud používáte protokol TLS pro sítě VPN typu point-to-site ve Windows 10 nebo novějších klientech, nemusíte provádět žádnou akci. Pokud používáte protokol TLS pro připojení typu point-to-site v klientech s Windows 7 a Windows 8, přečtěte si nejčastější dotazy ke službě VPN Gateway s pokyny k aktualizaci.
Které skladové položky brány podporují připojení VPN typu point-to-site?
Následující tabulka ukazuje skladové položky brány podle tunelu, připojení a propustnosti. Další tabulky a další informace týkající se této tabulky najdete v části Skladové položky brány v článku nastavení služby VPN Gateway.
VPN Brána Generace |
Skladová jednotka (SKU) | S2S/VNet-to-VNet Tunely |
P2S Připojení iony SSTP |
P2S Připojení iony IKEv2/OpenVPN |
Agregace Srovnávací test propustnosti |
BGP | Zónově redundantní | Podporovaný počet virtuálních počítačů ve virtuální síti |
---|---|---|---|---|---|---|---|---|
Generace 1 | Basic | Max. 10 | Max. 128 | Nepodporuje se | 100 Mb/s | Nepodporuje se | No | 200 |
Generace 1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | No | 450 |
Generace 1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | No | 1300 |
Generace 1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | No | 4000 |
Generace 1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | Ano | 1000 |
Generace 1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | Ano | 2000 |
Generace 1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | Ano | 5000 |
Generace 2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | No | 685 |
Generace 2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | No | 2240 |
Generace 2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | No | 5300 |
Generace 2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | No | 6700 |
Generace 2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | Ano | 2000 |
Generace 2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | Ano | 3300 |
Generace 2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | Ano | 4400 |
Generace 2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | Ano | 9000 |
Poznámka:
Skladová položka Basic má omezení a nepodporuje ověřování IKEv2, IPv6 nebo RADIUS. Další informace najdete v článku o nastavení služby VPN Gateway.
Jaké zásady IKE/IPsec jsou nakonfigurované pro brány VPN pro P2S?
Tabulky v této části zobrazují hodnoty výchozích zásad. Neodráží ale dostupné podporované hodnoty pro vlastní zásady. Vlastní zásady najdete v části Akceptované hodnoty uvedené v rutině PowerShellu New-AzVpnClientIpsecParameter .
IKEv2
Šifra | Integrity | PRF | Skupina DH |
---|---|---|---|
GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
AES256 | SHA384 | SHA384 | GROUP_24 |
AES256 | SHA384 | SHA384 | GROUP_14 |
AES256 | SHA384 | SHA384 | GROUP_ECP384 |
AES256 | SHA384 | SHA384 | GROUP_ECP256 |
AES256 | SHA256 | SHA256 | GROUP_24 |
AES256 | SHA256 | SHA256 | GROUP_14 |
AES256 | SHA256 | SHA256 | GROUP_ECP384 |
AES256 | SHA256 | SHA256 | GROUP_ECP256 |
AES256 | SHA256 | SHA256 | GROUP_2 |
Protokolu ipsec
Šifra | Integrity | Skupina PFS |
---|---|---|
GCM_AES256 | GCM_AES256 | GROUP_NONE |
GCM_AES256 | GCM_AES256 | GROUP_24 |
GCM_AES256 | GCM_AES256 | GROUP_14 |
GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
AES256 | SHA256 | GROUP_NONE |
AES256 | SHA256 | GROUP_24 |
AES256 | SHA256 | GROUP_14 |
AES256 | SHA256 | GROUP_ECP384 |
AES256 | SHA256 | GROUP_ECP256 |
AES256 | SHA1 | GROUP_NONE |
Jaké zásady TLS jsou nakonfigurované pro brány VPN pro P2S?
Protokol TLS
Zásady |
---|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
Návody nakonfigurovat připojení P2S?
Konfigurace P2S vyžaduje poměrně několik konkrétních kroků. Následující články obsahují kroky, které vás provedou běžnými kroky konfigurace P2S.
Odebrání konfigurace připojení P2S
Konfiguraci připojení můžete odebrat pomocí PowerShellu nebo rozhraní příkazového řádku. Příklady najdete v nejčastějších dotazech.
Jak funguje směrování P2S?
Podívejte se na následující články:
Nejčastější dotazy
V závislosti na ověřování existuje několik oddílů s nejčastějšími dotazy týkajícími se P2S.
Další kroky
- Konfigurace připojení P2S – Ověřování certifikátů Azure
- Konfigurace připojení P2S – ověřování RADIUS
OpenVPN je ochranná známka společnosti OpenVPN Inc.