Konfigurace klienta VPN pro point-to-site: RADIUS – jiné metody a protokoly
Pokud se chcete připojit k virtuální síti přes point-to-site (P2S), musíte nakonfigurovat klientské zařízení, ze kterého se budete připojovat. Tento článek vám pomůže vytvořit a nainstalovat konfiguraci klienta VPN pro ověřování pomocí protokolu RADIUS, který používá jiné metody než ověřování pomocí certifikátu nebo hesla.
Pokud používáte ověřování RADIUS, existuje několik pokynů k ověřování: ověřování certifikátů, ověřování hesla a další metody ověřování a protokoly. Konfigurace klienta VPN se pro každý typ ověřování liší. Ke konfiguraci klienta VPN použijete konfigurační soubory klienta, které obsahují požadovaná nastavení.
Poznámka:
Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2. Ovlivněná jsou pouze připojení typu point-to-site; Připojení typu site-to-site nebudou ovlivněna. Pokud používáte protokol TLS pro sítě VPN typu point-to-site ve Windows 10 nebo novějších klientech, nemusíte provádět žádnou akci. Pokud používáte protokol TLS pro připojení typu point-to-site v klientech s Windows 7 a Windows 8, přečtěte si nejčastější dotazy ke službě VPN Gateway s pokyny k aktualizaci.
Workflow
Pracovní postup konfigurace pro ověřování protokolu RADIUS P2S je následující:
Získejte konfiguraci klienta VPN pro možnost ověřování podle vašeho výběru a použijte ji k nastavení klienta VPN (tento článek).
Důležité
Pokud po vygenerování konfiguračního profilu klienta VPN typu point-to-site dojde k nějakým změnám, jako je typ protokolu VPN nebo typ ověřování, musíte vygenerovat a nainstalovat novou konfiguraci klienta VPN na zařízeních uživatelů.
Pokud chcete použít jiný typ ověřování (například OTP), nebo použít jiný ověřovací protokol (například PEAP-MSCHAPv2 místo EAP-MSCHAPv2), musíte vytvořit vlastní konfigurační profil klienta VPN. Pokud máte síť VPN typu Point-to-Site nakonfigurovanou s protokolem RADIUS a OpenVPN, v současné době se protokol PAP podporuje pouze metoda ověřování mezi bránou a serverem RADIUS. K vytvoření profilu potřebujete informace, jako jsou IP adresa brány virtuální sítě, typ tunelu a trasy rozděleného tunelu. Tyto informace můžete získat pomocí následujícího postupu.
Generování konfiguračních souborů klienta VPN
Konfigurační soubory klienta VPN můžete vygenerovat pomocí webu Azure Portal nebo pomocí Azure PowerShellu.
portál Azure
- Přejděte k bráně virtuální sítě.
- Klikněte na konfigurace typu Point-to-Site.
- Klikněte na Stáhnout klienta VPN.
- Vyberte klienta a vyplňte všechny požadované informace.
- Kliknutím na tlačítko Stáhnout vygenerujete soubor .zip.
- Soubor .zip se stáhne, obvykle do složky Stažené soubory.
Azure PowerShell
Pomocí rutiny Get-AzVpnClientConfiguration vygenerujte konfiguraci klienta VPN pro EapMSChapv2.
Zobrazení souborů a konfigurace klienta VPN
Rozbalte soubor VpnClientConfiguration.zip a vyhledejte složku GenericDevice . Ignorujte složky, které obsahují instalační programy systému Windows pro 64bitovou a 32bitovou architekturu.
Složka GenericDevice obsahuje soubor XML s názvem Vpn Nastavení. Tento soubor obsahuje všechny požadované informace:
- VpnServer: plně kvalifikovaný název domény brány Azure VPN. Jedná se o adresu, ke které se klient připojuje.
- VpnType: Typ tunelu, který používáte pro připojení.
- Trasy: Trasy, které musíte nakonfigurovat ve svém profilu, aby se přes tunel P2S odesílaly jenom přenosy vázané na virtuální síť Azure.
Složka GenericDevice obsahuje také soubor .cer s názvem VpnServerRoot. Tento soubor obsahuje kořenový certifikát, který je nutný k ověření brány Azure VPN během instalace připojení P2S. Nainstalujte certifikát na všechna zařízení, která se budou připojovat k virtuální síti Azure.
Pomocí nastavení v souborech nakonfigurujte klienta VPN.
Další kroky
Vraťte se do článku a dokončete konfiguraci P2S.
Informace o řešení potíží s P2S najdete v tématu Řešení potíží s připojeními Azure typu point-to-site.