Informace o VPN typu Point-to-SiteAbout Point-to-Site VPN

Připojení brány VPN typu Point-to-Site (P2S) umožňuje vytvořit zabezpečené připojení k virtuální síti z jednotlivých klientských počítačů.A Point-to-Site (P2S) VPN gateway connection lets you create a secure connection to your virtual network from an individual client computer. Připojení P2S se vytvoří jeho zahájením z klientského počítače.A P2S connection is established by starting it from the client computer. Toto řešení je užitečné pro osoby pracující z domova, které se chtějí k virtuálním sítím Azure připojit ze vzdáleného umístění, například z domova nebo z místa konání konference.This solution is useful for telecommuters who want to connect to Azure VNets from a remote location, such as from home or a conference. Síť VPN P2S je také užitečným řešením nahrazujícím síť VPN S2S, pokud máte pouze několik klientů, kteří se potřebují připojit k virtuální síti.P2S VPN is also a useful solution to use instead of S2S VPN when you have only a few clients that need to connect to a VNet. Tento článek se týká modelu nasazení Resource Manager.This article applies to the Resource Manager deployment model.

Protokol P2S používá?What protocol does P2S use?

Point-to-site VPN můžete použít jednu z následujících protokolů:Point-to-site VPN can use one of the following protocols:

  • Protokol® OpenVPN, protokol VPN založený na protokolu SSL/TLS.OpenVPN® Protocol, an SSL/TLS based VPN protocol. Řešení typu VPN protokolu SSL umožňuje pronikat branami firewall, protože většina bran firewall otevírá port TCP 443 odchozí, který používá protokol SSL.An SSL VPN solution can penetrate firewalls, since most firewalls open TCP port 443 outbound, which SSL uses. OpenVPN je možné se připojit z Android, iOS (verze 11.0 a vyšší), zařízení s Windows, Linux a Mac (OSX verze 10.13 a vyšší).OpenVPN can be used to connect from Android, iOS (versions 11.0 and above), Windows, Linux and Mac devices (OSX versions 10.13 and above).

  • Zabezpečte SSTP Socket Tunneling Protocol (), speciální protokol VPN založený na protokolu SSL.Secure Socket Tunneling Protocol (SSTP), a proprietary SSL-based VPN protocol. Řešení typu VPN protokolu SSL umožňuje pronikat branami firewall, protože většina bran firewall otevírá port TCP 443 odchozí, který používá protokol SSL.An SSL VPN solution can penetrate firewalls, since most firewalls open TCP port 443 outbound, which SSL uses. SSTP je podporována pouze na zařízeních s Windows.SSTP is only supported on Windows devices. Azure podporuje všechny verze Windows, které mají SSTP (Windows 7 a novější).Azure supports all versions of Windows that have SSTP (Windows 7 and later).

  • IKEv2 VPN, řešení IPsec VPN založené na standardech.IKEv2 VPN, a standards-based IPsec VPN solution. IKEv2 VPN je možné použít k připojení ze zařízení se systémem Mac (OSX verze 10.11 a vyšší).IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

Poznámka

IKEv2 a OpenVPN pro P2S jsou k dispozici pro pouze modelu nasazení Resource Manager.IKEv2 and OpenVPN for P2S are available for the Resource Manager deployment model only. Nejsou k dispozici pro model nasazení classic.They are not available for the classic deployment model.

Jak se ověřuje klienty P2S VPN?How are P2S VPN clients authenticated?

Předtím, než Azure akceptuje připojení VPN typu P2S, uživatel musí nejdřív ověřit.Before Azure accepts a P2S VPN connection, the user has to be authenticated first. Existují dva mechanismy, které Azure nabízí pro ověření připojení uživatele.There are two mechanisms that Azure offers to authenticate a connecting user.

Ověření pomocí nativního ověřování certifikátů AzureAuthenticate using native Azure certificate authentication

Pokud používáte ověřování nativního certifikátu Azure, klientský certifikát, který je na zařízení se používá k ověření připojujícího se uživatele.When using the native Azure certificate authentication, a client certificate that is present on the device is used to authenticate the connecting user. Klientské certifikáty vygenerované z důvěryhodného kořenového certifikátu se nainstaluje na každý klientský počítač.Client certificates are generated from a trusted root certificate and then installed on each client computer. Můžete použít kořenový certifikát vygenerovaný pomocí podnikového řešení, nebo můžete vygenerovat certifikát podepsaný svým držitelem.You can use a root certificate that was generated using an Enterprise solution, or you can generate a self-signed certificate.

Ověření certifikátu klienta se provádí pomocí VPN gateway a probíhá při navazování připojení k síti VPN P2S.The validation of the client certificate is performed by the VPN gateway and happens during establishment of the P2S VPN connection. Kořenový certifikát je vyžadován pro ověření a musí se nahrát do Azure.The root certificate is required for the validation and must be uploaded to Azure.

Ověřování pomocí serveru domény Active Directory (AD)Authenticate using Active Directory (AD) Domain Server

Doménové ověřování AD umožňuje uživatelům připojit se k Azure pomocí svých firemních přihlašovacích údajů domény.AD Domain authentication allows users to connect to Azure using their organization domain credentials. Vyžaduje server RADIUS, která se integruje se serverem AD.It requires a RADIUS server that integrates with the AD server. Organizace také můžete využít své stávající nasazení pomocí protokolu RADIUS.   Organizations can also leverage their existing RADIUS deployment.       RADIUS server může být nasazená místně nebo ve vaší virtuální síti Azure.The RADIUS server could be deployed on-premises or in your Azure VNET. Při ověřování Azure VPN Gateway slouží jako předávání a předávání ověřovacích zpráv vpřed a zpět mezi serverem RADIUS a připojení zařízení.During authentication, the Azure VPN Gateway acts as a pass through and forwards authentication messages back and forth between the RADIUS server and the connecting device. Proto je důležité brány připojení k serveru RADIUS.So Gateway reachability to the RADIUS server is important. Pokud RADIUS server je k dispozici místně, je připojení VPN S2S z Azure do místní lokality vyžaduje pro připojení.  If the RADIUS server is present on-premises, then a VPN S2S connection from Azure to the on-premises site is required for reachability.      Server protokolu RADIUS můžete integrovat také s AD CS.The RADIUS server can also integrate with AD certificate services. To vám umožní používat RADIUS server a vaše podnikové nasazení certifikátů pro ověřování P2S certifikátu jako alternativu k ověřování certifikátů Azure.This lets you use the RADIUS server and your enterprise certificate deployment for P2S certificate authentication as an alternative to the Azure certificate authentication. Výhodou je, že není nutné k odesílání kořenových certifikátů a odvolané certifikáty do Azure.The advantage is that you don’t need to upload root certificates and revoked certificates to Azure.

Server protokolu RADIUS můžete také integrovat s jinými systémy pro externí identity.A RADIUS server can also integrate with other external identity systems. Otevře spoustu možnosti ověřování pro P2S VPN, včetně možnosti služby Multi-Factor Authentication.This opens up plenty of authentication options for P2S VPN, including multi-factor options.

Poznámka

Protokol® OpenVPN nepodporuje ověřování pomocí protokolu RADIUS.OpenVPN® Protocol is not supported with RADIUS authentication.

point-to-sitepoint-to-site

Jaké jsou požadavky na konfiguraci klienta?What are the client configuration requirements?

Poznámka

Pro klienty Windows musí mít oprávnění správce v klientském zařízení zahájí připojení VPN z klientského počítače do Azure.For Windows clients, you must have administrator rights on the client device in order to initiate the VPN connection from the client device to Azure.

Uživatelé na zařízeních s Windows a Mac používat nativní klienty VPN p2s.Users use the native VPN clients on Windows and Mac devices for P2S. Azure poskytuje klienta VPN zip konfigurační soubor, který obsahuje nastavení, které jsou potřebné tyto nativní klienty pro připojení k Azure.Azure provides a VPN client configuration zip file that contains settings required by these native clients to connect to Azure.

  • Pro zařízení s Windows konfigurace klienta VPN se skládá z instalačního balíčku, který uživatelé instalují na svých zařízeních.For Windows devices, the VPN client configuration consists of an installer package that users install on their devices.
  • Pro zařízení se systémem Mac je tvořen mobileconfig soubor, který uživatelé instalují na svých zařízeních.For Mac devices, it consists of the mobileconfig file that users install on their devices.

Soubor zip obsahuje také hodnoty některých důležitých nastavení na straně Azure, který vám pomůže vytvořit vlastní profil pro tato zařízení.The zip file also provides the values of some of the important settings on the Azure side that you can use to create your own profile for these devices. Mezi hodnoty patří adresu brány VPN, typy nakonfigurované tunelové propojení, cesty a kořenový certifikát pro ověřování brány.Some of the values include the VPN gateway address, configured tunnel types, routes, and the root certificate for gateway validation.

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2.VPN Gateway will support only TLS 1.2. Pouze připojení point-to-site se to týká; Tyto zásady neovlivní připojení Site-to-site.Only point-to-site connections are impacted; site-to-site connections will not be affected. Pokud používáte TLS pro sítě point-to-site VPN na klienty s Windows 10, není nutné provádět žádnou akci.If you’re using TLS for point-to-site VPNs on Windows 10 clients, you don’t need to take any action. Pokud používáte TLS pro připojení point-to-site na klientech Windows 7 a Windows 8, najdete v článku VPN Gateway – nejčastější dotazy pro aktualizace pokynů.If you are using TLS for point-to-site connections on Windows 7 and Windows 8 clients, see the VPN Gateway FAQ for update instructions.

Které skladové položky brány podporuje P2S VPN?Which gateway SKUs support P2S VPN?

SKUSKU Tunely
S2S/VNet-to-VNet
S2S/VNet-to-VNet
Tunnels
Připojení P2S
SSTP
P2S
SSTP Connections
Připojení
P2S IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Srovnávací test
agregované propustnosti
Aggregate
Throughput Benchmark
BGPBGP Zone-redundantZone-redundant
BasicBasic Max.Max. 1010 Max.Max. 128128 Není podporovánoNot Supported 100 Mb/s100 Mbps Není podporovánoNot Supported NeNo
VpnGw1VpnGw1 Max.Max. 30*30* Max.Max. 128128 Max.Max. 250250 650 Mb/s650 Mbps PodporovánoSupported NeNo
VpnGw2VpnGw2 Max.Max. 30*30* Max.Max. 128128 Max.Max. 500500 1 Gb/s1 Gbps PodporovánoSupported NeNo
VpnGw3VpnGw3 Max.Max. 30*30* Max.Max. 128128 Max.Max. 10001000 1,25 Gb/s1.25 Gbps PodporovánoSupported NeNo
VpnGw1AZVpnGw1AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 250250 650 Mb/s650 Mbps PodporovánoSupported AnoYes
VpnGw2AZVpnGw2AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 500500 1 Gb/s1 Gbps PodporovánoSupported AnoYes
VpnGw3AZVpnGw3AZ Max.Max. 30*30* Max.Max. 128128 Max.Max. 10001000 1,25 Gb/s1.25 Gbps PodporovánoSupported AnoYes

(*) Pokud potřebujete více než 30 tunelů VPN S2S, použijte službu Virtual WAN.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Tato omezení připojení jsou nezávislá.These connection limits are separate. Pro skladovou položku VpnGw1 můžete například mít 128 připojení SSTP a také 250 připojení IKEv2.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Informace o cenách najdete na stránce Ceny.Pricing information can be found on the Pricing page.

  • Informace o smlouvě SLA (smlouva o úrovni služeb) můžete najít na stránce SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • VpnGw1, VpnGw2, VpnGw3, VpnGw1AZ, VpnGw2AZ a VpnGw3AZ se podporují jenom pro brány VPN, které používají model nasazení Správce prostředků.VpnGw1, VpnGw2, VpnGw3, VpnGw1AZ, VpnGw2AZ and VpnGw3AZ are supported for VPN gateways using the Resource Manager deployment model only.

  • Základní SKU se považuje za starší SKU.The Basic SKU is considered a legacy SKU. Základní skladová položka má určitá omezení funkcí.The Basic SKU has certain feature limitations. Nemůžete změnit velikost brány, která používá základní SKU na jednu z nových SKU brány, musíte místo toho přejít na novou SKU, která zahrnuje odstranění a opětovné vytvoření brány VPN.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway. Před použitím základní SKU ověřte, zda je funkce, kterou potřebujete, podporována.Verify that the feature that you need is supported before you use the Basic SKU.

  • Srovnávací test agregované propustnosti je založen na měření více tunelů agregovaných prostřednictvím jedné brány.Aggregate Throughput Benchmark is based on measurements of multiple tunnels aggregated through a single gateway. Srovnávací test agregované propustnosti pro VPN Gateway je kombinací S2S + P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Pokud máte velké množství připojení typu P2S, může to vzhledem k omezením propustnosti negativně ovlivnit připojení S2S.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Srovnávací srovnávací test propustnosti není zaručená propustnost v důsledku podmínek internetového provozu a chování vaší aplikace.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

  • Abychom našim zákazníkům porozuměli relativnímu výkonu VpnGw SKU, používali jsme veřejně dostupné iPerf a CTSTraffic nástroje k měření výkonností.To help our customers understand the relative performance of VpnGw SKUs, we used publicly available iPerf and CTSTraffic tools to measure performances. Následující tabulka uvádí výsledky testů výkonnosti pomocí různých algoritmů.Below table lists the results of performance tests using different algorithms. Jak vidíte, dosáhnete nejlepšího výkonu, když jsme použili GCMAES256 algoritmus pro šifrování a integritu protokolu IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Dostali jsme průměrný výkon při použití AES256 pro šifrování protokolem IPsec a SHA256 pro zajištění integrity.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Když jsme používali DES3 pro šifrování protokolem IPsec a SHA256 pro zajištění integrity, máme nejnižší výkon.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

SKUSKU Použité
algoritmy
Algorithms
used
Zjištěná propustnost
Throughput
observed
Pakety za sekundu
pozorovány
Packets per second
observed
VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mb/s650 Mbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
58 00058,000
50,00050,000
50,00050,000
VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gb/s1 Gbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
90,00090,000
80,00080,000
55 00055,000
VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gb/s1.25 Gbps
550 MB/s550 Mbps
120 MB/s120 Mbps
105 000105,000
90,00090,000
60,00060,000
VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mb/s650 Mbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
58 00058,000
50,00050,000
50,00050,000
VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gb/s1 Gbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
90,00090,000
80,00080,000
55 00055,000
VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gb/s1.25 Gbps
550 MB/s550 Mbps
120 MB/s120 Mbps
105 000105,000
90,00090,000
60,00060,000

Poznámka

Skladová položka Basic nepodporuje ověřování IKEv2 ani RADIUS.The Basic SKU does not support IKEv2 or RADIUS authentication.

Jaké IKE a IPsec zásady jsou nakonfigurovány na branách VPN p2s?What IKE/IPsec policies are configured on VPN gateways for P2S?

IKEv2IKEv2

CipherCipher IntegritaIntegrity PRFPRF Skupina Diffie-HellmanDH Group
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_ECP256GROUP_ECP256
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_24GROUP_24
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_14GROUP_14
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_24GROUP_24
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_14GROUP_14
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_2GROUP_2

IPsecIPsec

CipherCipher IntegritaIntegrity Skupina PFSPFS Group
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_NONEGROUP_NONE
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 GROUP_NONEGROUP_NONE
AES256AES256 SHA256SHA256 GROUP_24GROUP_24
AES256AES256 SHA256SHA256 GROUP_14GROUP_14
AES256AES256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA1SHA1 GROUP_NONEGROUP_NONE

Jaké TLS zásady jsou nakonfigurovány na branách VPN p2s?What TLS policies are configured on VPN gateways for P2S?

TLSTLS

ZásadyPolicies
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256

Konfigurace připojení typu P2SHow do I configure a P2S connection?

Konfigurace P2S vyžaduje poměrně musíte provést konkrétní postup.A P2S configuration requires quite a few specific steps. Následující články obsahují postup vás provede konfiguraci P2S a propojení lze nakonfigurovat klientská zařízení sítě VPN:The following articles contain the steps to walk you through P2S configuration, and links to configure the VPN client devices:

Jak odeberu konfigurace připojení typu P2SHow do I remove the configuration of a P2S connection?

Konfigurace P2S lze odebrat pomocí rozhraní příkazového řádku az a následujícího příkazu:A P2S configuration can be removed using az cli and the following command :

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Nejčastější dotazy týkající se nativní ověřování certifikátů AzureFAQ for native Azure certificate authentication

Kolik koncových bodů klienta VPN je možné mít v konfiguraci připojení Point-to-Site?How many VPN client endpoints can I have in my Point-to-Site configuration?

To závisí na SKU brány.It depends on the gateway SKU. Další informace o počtu připojení podporovány, naleznete v tématu skladové položky brány.For more information on the number of connections supported, see Gateway SKUs.

Které klientské operační systémy je možné používat s připojeními typu Point-to-Site?What client operating systems can I use with Point-to-Site?

Podporovány jsou následující operační systémy:The following client operating systems are supported:

  • Windows 7 (32bitové a 64bitové verze)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (pouze 64bitové verze)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32bitové a 64bitové verze)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (pouze 64bitové verze)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (pouze 64bitové verze)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (pouze 64bitové verze)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Verze Mac OS X 10.11 nebo novějšíMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2.VPN Gateway will support only TLS 1.2. Kvůli zachování podpory najdete v článku aktualizace povolení podpory pro TLS1.2.To maintain support, see the updates to enable support for TLS1.2.

Kromě toho tyto starší verze algoritmy se také přestanou používat TLS na 1. červencem 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Jak povolit podporu protokolu TLS 1.2 ve Windows 7 a Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Otevřete příkazový řádek se zvýšenými oprávněními kliknutím pravým tlačítkem na příkazového řádku a vyberete spustit jako správce.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Na příkazovém řádku spusťte následující příkazy:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Nainstalujte následující aktualizace:Install the following updates:

  4. Restartujte počítač.Reboot the computer.

  5. Připojení k síti VPN.Connect to the VPN.

Poznámka

Budete muset nastavit výše uvedené klíče registru, pokud používáte starší verzi Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Je možné procházet proxy servery a brány firewall s využitím schopnosti Point-to-Site?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure podporuje tři typy možností Point-to-site VPN:Azure supports three types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP je Microsoft proprietární založený na protokolu SSL řešení, které umožňuje pronikat branami firewall, protože většina bran firewall otevřít odchozí port TCP, který používá protokol SSL 443.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN je založený na protokolu SSL řešení, které umožňuje pronikat branami firewall, protože většina bran firewall otevřít odchozí port TCP, který používá protokol SSL 443.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. Je IKEv2 VPN řešení IPsec VPN založené na standardech, které již používá Odchozí porty UDP 500 a 4500 a protokol IP.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Brány firewall tyto porty neotvírají vždycky, takže je možné, že IKEv2 VPN nebude moct procházet servery proxy a branami firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení Point-to-Site, připojí se síť VPN automaticky znovu?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Ve výchozím nastavení nebude klientský počítač vytvářet připojení k síti VPN automaticky znovu.By default, the client computer will not reestablish the VPN connection automatically.

Podporuje připojení Point-to-Site automatické připojení a DDNS u klientů sítě VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Automatické opětné připojení a DDNS se u sítí VPN s připojením Point-to-Site aktuálně nepodporují.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Je možné současně používat konfigurace Site-to-Site a Point-to-Site pro stejnou virtuální síť?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Ano.Yes. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pro model nasazení Classic je potřebná dynamická brána.For the classic deployment model, you need a dynamic gateway. Připojení Point-to-Site se pro brány VPN se statickým směrováním ani pro brány VPN PolicyBased nepodporuje.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Je možné nakonfigurovat klienta Point-to-Site tak, aby se připojoval k několik virtuálním sítím současně?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Ne.No. Klient typu Point-to-Site se může připojit jenom k prostředkům ve virtuální síti, ve které je umístěná brána virtuální sítě.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

Jakou propustnost je možné očekávat u připojení typu Site-to-Site nebo Point-to-Site?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN.IPsec and SSTP are crypto-heavy VPN protocols. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem.Throughput is also limited by the latency and bandwidth between your premises and the Internet. U služby VPN Gateway s připojeními Point-to-Site VPN jenom typu IKEv2 bude celková propustnost, kterou můžete očekávat, záviset na skladové jednotce Gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.For more information on throughput, see Gateway SKUs.

Je možné pro připojení Point-to-Site použít libovolného softwarového klienta sítě VPN, pokud podporuje protokol SSTP a/nebo IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Ne.No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Můžete však použít OpenVPN klienta na všech platformách pro připojení přes protokol OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Podrobnosti najdete v seznamu podporovaných klientských operačních systémů.Refer to the list of supported client operating systems.

Podporuje Azure IKEv2 VPN s Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Pokud ale chcete používat IKEv2, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru v místním prostředí.However, in order to use IKEv2, you must install updates and set a registry key value locally. Verze operačního systému starší než Windows 10 nejsou podporovány a mohou používat pouze SSTP nebo OpenVPN® protokol.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Nainstalujte aktualizaci.Install the update.

    Verze operačního systémuOS version DatumDate Číslo/odkazNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 verze 1607Windows 10 Version 1607
    17. ledna 2018January 17, 2018 KB4057142KB4057142
    Windows 10 verze 1703Windows 10 Version 1703 17. ledna 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Version 1709Windows 10 Version 1709 22. března 2018March 22, 2018 KB4089848KB4089848
  2. Nastavte hodnotu klíče registru.Set the registry key value. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Když nakonfigurujete SSTP a IKEv2 ve smíšeném prostředí (které se skládá ze zařízení se systémy Windows a Mac), klient VPN systému Windows vždycky nejdřív zkusí využít tunel IKEv2, ale pokud připojení IKEv2 není úspěšné, vrátí se k SSTP.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.MacOSX will only connect via IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Pro P2S VPN Azure podporuje Windows, Mac a Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Už mám nasazenou Azure VPN Gateway.I already have an Azure VPN Gateway deployed. Můžu na ní povolit RADIUS, případně IKEv2 VPN?Can I enable RADIUS and/or IKEv2 VPN on it?

Ano, tyto funkce můžete na už nasazených bránách povolit pomocí PowerShellu nebo webu Azure Portal za předpokladu, že použitá jednotka SKU brány podporuje RADIUS a/nebo IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Například SKU VPN Gateway Basic nepodporuje RADIUS ani IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Můžu použít vlastní interní kořenovou certifikační autoritu PKI ke generování certifikátů pro připojení Point-to-site?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Ano.Yes. Dříve bylo možné používat pouze kořenové certifikáty podepsané svým držitelem.Previously, only self-signed root certificates could be used. I nyní je možné nahrát 20 kořenových certifikátů.You can still upload 20 root certificates.

Můžu použít certifikáty z Azure Key Vault?Can I use certificates from Azure Key Vault?

Ne.No.

Jaké nástroje se dají použít k vytvoření certifikátů?What tools can I use to create certificates?

Můžete využít vaše podnikové řešení infrastruktury veřejných klíčů (vaše interní PKI), Azure PowerShell, MakeCert a OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Existují nějaké pokyny pro parametry a nastavení certifikátů?Are there instructions for certificate settings and parameters?

  • Interní řešení PKI/podnik PKI: Přečtěte si postup pro generování certifikátů.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: Postup najdete v článku o Azure PowerShell .Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: Postup najdete v článku Makecert .MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • Při exportu certifikátů nezapomeňte převést kořenový certifikát na Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Pro klientský certifikát:For the client certificate:

      • Při vytváření privátního klíče zadejte délku 4096.When creating the private key, specify the length as 4096.
      • Při vytváření certifikátu jako parametr -extensions zadejte usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Nejčastější dotazy týkající se ověřování pomocí protokolu RADIUSFAQ for RADIUS authentication

Kolik koncových bodů klienta VPN je možné mít v konfiguraci připojení Point-to-Site?How many VPN client endpoints can I have in my Point-to-Site configuration?

To závisí na SKU brány.It depends on the gateway SKU. Další informace o počtu připojení podporovány, naleznete v tématu skladové položky brány.For more information on the number of connections supported, see Gateway SKUs.

Které klientské operační systémy je možné používat s připojeními typu Point-to-Site?What client operating systems can I use with Point-to-Site?

Podporovány jsou následující operační systémy:The following client operating systems are supported:

  • Windows 7 (32bitové a 64bitové verze)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (pouze 64bitové verze)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32bitové a 64bitové verze)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (pouze 64bitové verze)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (pouze 64bitové verze)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (pouze 64bitové verze)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Verze Mac OS X 10.11 nebo novějšíMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2.VPN Gateway will support only TLS 1.2. Kvůli zachování podpory najdete v článku aktualizace povolení podpory pro TLS1.2.To maintain support, see the updates to enable support for TLS1.2.

Kromě toho tyto starší verze algoritmy se také přestanou používat TLS na 1. červencem 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Data Encryption Algorithm)DES (Data Encryption Algorithm)
  • 3DES (Triple Data Encryption Algorithm)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Jak povolit podporu protokolu TLS 1.2 ve Windows 7 a Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Otevřete příkazový řádek se zvýšenými oprávněními kliknutím pravým tlačítkem na příkazového řádku a vyberete spustit jako správce.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Na příkazovém řádku spusťte následující příkazy:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Nainstalujte následující aktualizace:Install the following updates:

  4. Restartujte počítač.Reboot the computer.

  5. Připojení k síti VPN.Connect to the VPN.

Poznámka

Budete muset nastavit výše uvedené klíče registru, pokud používáte starší verzi Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Je možné procházet proxy servery a brány firewall s využitím schopnosti Point-to-Site?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure podporuje tři typy možností Point-to-site VPN:Azure supports three types of Point-to-site VPN options:

  • SSTP (Secure Socket Tunneling Protocol).Secure Socket Tunneling Protocol (SSTP). SSTP je Microsoft proprietární založený na protokolu SSL řešení, které umožňuje pronikat branami firewall, protože většina bran firewall otevřít odchozí port TCP, který používá protokol SSL 443.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN je založený na protokolu SSL řešení, které umožňuje pronikat branami firewall, protože většina bran firewall otevřít odchozí port TCP, který používá protokol SSL 443.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN.IKEv2 VPN. Je IKEv2 VPN řešení IPsec VPN založené na standardech, které již používá Odchozí porty UDP 500 a 4500 a protokol IP.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Brány firewall tyto porty neotvírají vždycky, takže je možné, že IKEv2 VPN nebude moct procházet servery proxy a branami firewall.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Pokud restartuji klientský počítač nakonfigurovaný pro připojení Point-to-Site, připojí se síť VPN automaticky znovu?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Ve výchozím nastavení nebude klientský počítač vytvářet připojení k síti VPN automaticky znovu.By default, the client computer will not reestablish the VPN connection automatically.

Podporuje připojení Point-to-Site automatické připojení a DDNS u klientů sítě VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Automatické opětné připojení a DDNS se u sítí VPN s připojením Point-to-Site aktuálně nepodporují.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Je možné současně používat konfigurace Site-to-Site a Point-to-Site pro stejnou virtuální síť?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Ano.Yes. Pro model nasazení Resource Manageru musíte mít bránu typu VPN RouteBased.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Pro model nasazení Classic je potřebná dynamická brána.For the classic deployment model, you need a dynamic gateway. Připojení Point-to-Site se pro brány VPN se statickým směrováním ani pro brány VPN PolicyBased nepodporuje.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Je možné nakonfigurovat klienta Point-to-Site tak, aby se připojoval k několik virtuálním sítím současně?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Ne.No. Klient typu Point-to-Site se může připojit jenom k prostředkům ve virtuální síti, ve které je umístěná brána virtuální sítě.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

Jakou propustnost je možné očekávat u připojení typu Site-to-Site nebo Point-to-Site?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Určit přesnou propustnost tunelových propojení sítí VPN je obtížné.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec a SSTP jsou kryptograficky náročné protokoly sítě VPN.IPsec and SSTP are crypto-heavy VPN protocols. Propustnost je také omezena latencí a šířkou pásma mezi vaší lokalitou a internetem.Throughput is also limited by the latency and bandwidth between your premises and the Internet. U služby VPN Gateway s připojeními Point-to-Site VPN jenom typu IKEv2 bude celková propustnost, kterou můžete očekávat, záviset na skladové jednotce Gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Další informace o propustnosti najdete v části Skladové jednotky (SKU) brány.For more information on throughput, see Gateway SKUs.

Je možné pro připojení Point-to-Site použít libovolného softwarového klienta sítě VPN, pokud podporuje protokol SSTP a/nebo IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

Ne.No. Pro SSTP můžete použít jenom nativního klienta VPN v systému Windows a pro IKEv2 nativního klienta VPN v systému Mac.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Můžete však použít OpenVPN klienta na všech platformách pro připojení přes protokol OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Podrobnosti najdete v seznamu podporovaných klientských operačních systémů.Refer to the list of supported client operating systems.

Podporuje Azure IKEv2 VPN s Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se podporuje v systémech Windows 10 a Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Pokud ale chcete používat IKEv2, musíte nainstalovat aktualizace a nastavit hodnotu klíče registru v místním prostředí.However, in order to use IKEv2, you must install updates and set a registry key value locally. Verze operačního systému starší než Windows 10 nejsou podporovány a mohou používat pouze SSTP nebo OpenVPN® protokol.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Postup přípravy systému Windows 10 nebo Server 2016 na IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Nainstalujte aktualizaci.Install the update.

    Verze operačního systémuOS version DatumDate Číslo/odkazNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 verze 1607Windows 10 Version 1607
    17. ledna 2018January 17, 2018 KB4057142KB4057142
    Windows 10 verze 1703Windows 10 Version 1703 17. ledna 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Version 1709Windows 10 Version 1709 22. března 2018March 22, 2018 KB4089848KB4089848
  2. Nastavte hodnotu klíče registru.Set the registry key value. Vytvořte nebo nastavte klíč REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload v registru na hodnotu 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

Co se stane, když se pro připojení P2S VPN nakonfiguruje SSTP i IKEv2?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Když nakonfigurujete SSTP a IKEv2 ve smíšeném prostředí (které se skládá ze zařízení se systémy Windows a Mac), klient VPN systému Windows vždycky nejdřív zkusí využít tunel IKEv2, ale pokud připojení IKEv2 není úspěšné, vrátí se k SSTP.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX se bude připojovat jenom prostřednictvím protokolu IKEv2.MacOSX will only connect via IKEv2.

Které další platformy (mimo Windows a Mac) Azure podporuje pro P2S VPN?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Pro P2S VPN Azure podporuje Windows, Mac a Linux.Azure supports Windows, Mac and Linux for P2S VPN.

Už mám nasazenou Azure VPN Gateway.I already have an Azure VPN Gateway deployed. Můžu na ní povolit RADIUS, případně IKEv2 VPN?Can I enable RADIUS and/or IKEv2 VPN on it?

Ano, tyto funkce můžete na už nasazených bránách povolit pomocí PowerShellu nebo webu Azure Portal za předpokladu, že použitá jednotka SKU brány podporuje RADIUS a/nebo IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Například SKU VPN Gateway Basic nepodporuje RADIUS ani IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Podporuje se ověřování pomocí protokolu RADIUS ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

Ověřování pomocí protokolu RADIUS se podporuje pro SKU VpnGw1, VpnGw2 a VpnGw3.RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. Pokud používáte starší verze SKU, podporuje se ověřování pomocí protokolu RADIUS u SKU pro standardní a vysoký výkon.If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Nepodporuje se u skladové jednotky SKU brány úrovně Basic.It is not supported on the Basic Gateway SKU. 

Podporuje se ověřování pomocí protokolu RADIUS u klasického modelu nasazení?Is RADIUS authentication supported for the classic deployment model?

Ne.No. Ověřování pomocí protokolu RADIUS se u klasického modelu nasazení nepodporuje.RADIUS authentication is not supported for the classic deployment model.

Podporují se servery RADIUS třetích stran?Are 3rd-party RADIUS servers supported?

Ano, servery RADIUS třetích stran se podporují.Yes, 3rd-party RADIUS servers are supported.

Jaké jsou požadavky na připojení, aby se zajistilo, že se brána Azure může spojit s místním serverem RADIUS?What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

Je nutné připojení VPN typu Site-to-Site k místní lokalitě, a to se správně nakonfigurovanými trasami.A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

Je možné směrovat provoz do místního serveru RADIUS server (ze služby Azure VPN Gateway) přes připojení ExpressRoute?Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

Ne.No. Směrovat je možné jenom přes připojení typu Site-to-Site.It can only be routed over a Site-to-Site connection.

Došlo ke změně počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS?Is there a change in the number of SSTP connections supported with RADIUS authentication? Jaký je maximální podporovaný počet připojení SSTP a IKEv2?What is the maximum number of SSTP and IKEv2 connections supported?

K žádné změně maximálního počtu připojení SSTP podporovaných ověřováním pomocí protokolu RADIUS nedošlo.There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. Jich je 128 pro SSTP, ale závisí na SKU brány pro IKEv2.It remains 128 for SSTP, but depends on the gateway SKU for IKEv2. Další informace o počtu připojení podporovány, naleznete v tématu skladové položky brány. For more information on the number of connections supported, see Gateway SKUs.

Jaký je rozdíl mezi ověřováním certifikátů pomocí protokolu RADIUS a pomocí nativní ověřování certifikátů Azure (nahráním důvěryhodného certifikátu do Azure).What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

Při ověřování certifikátů pomocí protokolu RADIUS se žádost o ověření předá serveru RADIUS, který zpracuje vlastní ověření certifikátu.In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. Tato možnost je užitečná, pokud chcete využít integraci s infrastrukturou ověřování certifikátů, kterou již prostřednictvím protokolu RADIUS máte.This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

Při použití Azure k ověřování certifikátů provádí ověření certifikátu služba Azure VPN Gateway.When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. Do brány musíte nahrát veřejný klíč certifikátu.You need to upload your certificate public key to the gateway. Můžete také zadat seznam odvolaných certifikátů, kterým by nemělo být povoleno připojení.You can also specify list of revoked certificates that shouldn’t be allowed to connect.

Funguje ověřování RADIUS s IKEv2 i SSTP VPN?Does RADIUS authentication work with both IKEv2, and SSTP VPN?

Ano, ověřování RADIUS je podporované jak pro IKEv2, tak i pro SSTP VPN.Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

Další krokyNext Steps

"OpenVPN" je ochranná známka společnosti OpenVPN Inc."OpenVPN" is a trademark of OpenVPN Inc.