Informace o síti VPN point-to-site
Připojení brány VPN typu Point-to-Site (P2S) umožňuje vytvořit zabezpečené připojení k virtuální síti z jednotlivých klientských počítačů. Připojení P2S se vytvoří jeho zahájením z klientského počítače. Toto řešení je užitečné pro osoby pracující z domova, které se chtějí k virtuálním sítím Azure připojit ze vzdáleného umístění, například z domova nebo z místa konání konference. Síť VPN P2S je také užitečným řešením nahrazujícím síť VPN S2S, pokud máte pouze několik klientů, kteří se potřebují připojit k virtuální síti. Tento článek se týká modelu Resource Manager nasazení.
Jaký protokol používá P2S?
Síť VPN point-to-site může používat jeden z následujících protokolů:
OpenVPN® Protocol, protokol VPN založený na SSL/TLS. Řešení TLS VPN může proniknout do bran firewall, protože většina bran firewall otevře port TCP 443 odchozí, který tls používá. OpenVPN je možné použít pro připojení ze zařízení s Androidem, iOSem (verze 11.0 a vyšší), Windows, Linuxem a Macem (macOS verze 10.13 a vyšší).
Protokol SSTP (Secure Socket Tunneling Protocol), proprietární protokol VPN založený na protokolu TLS. Řešení TLS VPN může proniknout do bran firewall, protože většina bran firewall otevře port TCP 443 odchozí, který tls používá. SSTP se podporuje jenom na Windows zařízeních. Azure podporuje všechny verze Windows, které mají protokol SSTP a podporují protokol TLS 1.2 (Windows 8.1 a novější).
IKEv2 VPN, řešení IPsec VPN založené na standardech. IKEv2 VPN je možné použít pro připojení ze zařízení Mac (macOS verze 10.11 a vyšší).
Poznámka
IKEv2 a OpenVPN pro P2S jsou k dispozici pouze Resource Manager modelu nasazení. Nejsou k dispozici pro model nasazení Classic.
Jak se ověřují klienti VPN P2S?
Než Azure přijme připojení VPN P2S, musí se nejprve ověřit uživatel. Existují dva mechanismy, které Azure nabízí pro ověření připojující se uživatele.
Ověřování pomocí nativního ověřování certifikátů Azure
Při použití nativního ověřování certifikátů Azure se k ověření připojující se uživatele používá klientský certifikát, který se nachází v zařízení. Klientské certifikáty se generují z důvěryhodného kořenového certifikátu a pak se instalují na každý klientský počítač. Můžete použít kořenový certifikát vygenerovaný pomocí řešení Enterprise nebo můžete vygenerovat certifikát podepsaný svým držitelem.
Ověření klientského certifikátu provádí brána VPN a probíhá během vytváření připojení P2S VPN. Kořenový certifikát se vyžaduje pro ověření a musí se nahrát do Azure.
Ověřování pomocí nativního Azure Active Directory ověřování
Ověřování Azure AD umožňuje uživatelům připojit se k Azure pomocí svých Azure Active Directory přihlašovacích údajů. Nativní ověřování Azure AD se podporuje pouze pro protokol OpenVPN a Windows 10 a vyžaduje použití Klient Azure VPN.
S nativním ověřováním Azure AD můžete využít podmíněný přístup Azure AD a také funkce vícefaktorového ověřování (MFA) pro síť VPN.
Na nejvyšší úrovni je potřeba provést následující kroky pro konfiguraci ověřování Azure AD:
Ověřování pomocí doménového serveru služby Active Directory (AD)
Ověřování domén AD umožňuje uživatelům připojit se k Azure pomocí přihlašovacích údajů domény organizace. Vyžaduje server RADIUS, který se integruje se serverem AD. Organizace mohou také využít stávající nasazení protokolu RADIUS.
Server RADIUS může být nasazený místně nebo ve vaší virtuální síti Azure. Během ověřování azure VPN Gateway funguje jako předávkující ověřovací zprávy a předává je tam a zpět mezi serverem RADIUS a připojující se zařízením. Proto je důležitá dostupnost brány k serveru RADIUS. Pokud se server RADIUS nachází v místním prostředí, je kvůli dostupnosti potřeba připojení VPN S2S z Azure k místní lokalitě.
Server RADIUS se také může integrovat se službou AD Certificate Services. To vám umožní použít server RADIUS a nasazení podnikového certifikátu pro ověřování certifikátů P2S jako alternativu k ověřování certifikátů Azure. Výhodou je, že nemusíte nahrávat kořenové a odvolané certifikáty do Azure.
Server RADIUS lze také integrovat s jinými externími systémy identit. Tím se otevře spousta možností ověřování pro P2S VPN, včetně vícefaktorových možností.
Jaké jsou požadavky na konfiguraci klienta?
Poznámka
Pro Windows klienty nástroje musíte mít na klientském zařízení oprávnění správce, aby bylo možné zahájit připojení VPN z klientského zařízení do Azure.
Uživatelé používají nativní klienty VPN na Windows zařízeních Mac pro P2S. Azure poskytuje konfigurační soubor ZIP klienta VPN, který obsahuje nastavení vyžadované těmito nativními klienty pro připojení k Azure.
- Pro Windows zařízení se konfigurace klienta VPN skládá z instalačního balíčku, který uživatelé nainstalují do svých zařízení.
- Pro zařízení Mac se skládá ze souboru mobileconfig, který uživatelé nainstalují do svých zařízení.
Soubor zip také poskytuje hodnoty některých důležitých nastavení na straně Azure, která můžete použít k vytvoření vlastního profilu pro tato zařízení. Mezi tyto hodnoty patří adresa brány VPN, nakonfigurované typy tunelů, trasy a kořenový certifikát pro ověření brány.
Poznámka
Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2. Ovlivněna jsou pouze připojení Point-to-site; připojení Site-to-site nebudou ovlivněna. Pokud používáte protokol TLS pro sítě VPN typu Point-to-site v klientech Windows 10, nemusíte provádět žádnou akci. Pokud používáte protokol TLS pro připojení Point-to-site v klientech se systémy Windows 7 a Windows 8, přečtěte si téma VPN Gateway Nejčastější dotazy pro pokyny k aktualizaci.
Které SKU brány podporují připojení VPN P2S?
| Generování služby VPN Gateway |
SKU | Tunely S2S/VNet-to-VNet |
Připojení P2S SSTP |
Připojení P2S IKEv2/OpenVPN |
Srovnávací test agregované propustnosti |
BGP | Zónově redundantní |
|---|---|---|---|---|---|---|---|
| Generace 1 | Basic | Max. 10 | Max. 128 | Nepodporuje se | 100 Mb/s | Nepodporuje se | No |
| Generace 1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | No |
| Generace 1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | No |
| Generace 1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | No |
| Generace 1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | Yes |
| Generace 1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | Yes |
| Generace 1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | No |
| Generace 2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | No |
| Generace 2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | No |
| Generace 2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | No |
| Generace 2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | Yes |
| Generace 2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | Yes |
(*) Pokud Virtual WAN více než 100 tunelů, použijte S2S VPN připojení.
Změna velikosti skladových velikosti VpnGw je povolená v rámci stejné generace s výjimkou velikosti skladové oblasti Basic. Základní SKU je starší verze SKU a má omezení funkcí. Pokud chcete přejít z basic na jinou SKU VpnGw, musíte odstranit bránu VPN se základní SKU a vytvořit novou bránu s požadovanou kombinací generace a velikosti SKU. Změnu velikosti brány basic můžete změnit jenom na jinou starší verzi SKU (viz Práce se staršími skladovémi verzemi).
Tato omezení připojení jsou nezávislá. Pro skladovou položku VpnGw1 můžete například mít 128 připojení SSTP a také 250 připojení IKEv2.
Informace o cenách najdete na stránce Ceny.
Informace o smlouvě SLA (smlouva o úrovni služeb) můžete najít na stránce SLA.
V jednom tunelu je možné dosáhnout propustnosti maximálně 1 Gb/s. Srovnávací test agregované propustnosti ve výše uvedené tabulce vychází z měření více tunelů agregovaných prostřednictvím jedné brány. Srovnávací test agregované propustnosti pro VPN Gateway je kombinací S2S + P2S. Pokud máte velké množství připojení typu P2S, může to vzhledem k omezením propustnosti negativně ovlivnit připojení S2S. Srovnávací test agregované propustnosti není zaručenou propustností kvůli podmínkám internetového provozu a chování vaší aplikace.
Aby naši zákazníci pochopili relativní výkon skladových měr pomocí různých algoritmů, použili jsme k měření výkonu veřejně dostupné nástroje iPerf a CTSTraffic. Následující tabulka uvádí výsledky testů výkonnosti pro SKU 1. generace a VpnGw. Jak vidíte, nejlepšího výkonu se dosáhnou, když jsme použili algoritmus GCMAES256 pro šifrování IPsec i integritu. Při použití AES256 pro šifrování IPsec a SHA256 pro integritu jsme získali průměrný výkon. Když jsme použili DES3 pro šifrování IPsec a SHA256 pro integritu, získali jsme nejnižší výkon.
| Generace | SKU | Použité algoritmy |
Zjištěná propustnost |
Počet paketů za sekundu na zjištěný tunel |
|---|---|---|---|---|
| Generace 1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mb/s 500 Mb/s 120 Mb/s |
58,000 50,000 50,000 |
| Generace 1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1 Gb/s 500 Mb/s 120 Mb/s |
90,000 80,000 55,000 |
| Generace 1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 550 Mb/s 120 Mb/s |
105,000 90,000 60 000 |
| Generace 1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mb/s 500 Mb/s 120 Mb/s |
58,000 50,000 50,000 |
| Generace 1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1 Gb/s 500 Mb/s 120 Mb/s |
90,000 80,000 55,000 |
| Generace 1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/s 550 Mb/s 120 Mb/s |
105,000 90,000 60 000 |
- Doporučení pro SKU brány najdete v tématu Informace VPN Gateway gateway.
Poznámka
Skladová položka Basic nepodporuje ověřování IKEv2 ani RADIUS.
Jaké zásady protokolu IKE/IPsec jsou nakonfigurované na bránách VPN pro P2S?
IKEv2
| Šifra | Integrita | PRF | Skupina DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Šifra | Integrita | Skupina PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Jaké zásady TLS jsou nakonfigurované na bránách VPN pro P2S?
Protokol TLS
| Zásady |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Návody nakonfigurovat připojení P2S?
Konfigurace P2S vyžaduje poměrně hodně konkrétních kroků. Následující články obsahují postup, který vás provede konfigurací P2S, a odkazy na konfiguraci klientských zařízení VPN:
Odebrání konfigurace připojení P2S
Konfiguraci připojení můžete odebrat pomocí PowerShellu nebo rozhraní příkazového řádku. Příklady najdete v nejčastějších dotazech.
Jak funguje směrování P2S?
Viz následující články:
Nejčastější dotazy
K dispozici je více sekcí nejčastějších dotazů pro P2S na základě ověřování.
Další kroky
"OpenVPN" je ochranná známka společnosti OpenVPN Inc.