Konfigurace připojení VPN typu Point-to-site pomocí ověřování certifikátů Azure: Azure Portal

  • Článek
  • 20 min ke čtení

tento článek vám pomůže bezpečně připojit jednotlivé klienty se systémem Windows, Linux nebo macOS do virtuální sítě Azure. Připojení VPN typu Point-to-Site jsou užitečná, když se chcete ke své virtuální síti připojit ze vzdáleného umístění, například při práci z domova nebo z místa konání konference. Místo sítě VPN Site-to-Site můžete také použít P2S, pokud máte pouze několik klientů, kteří se potřebují připojit k virtuální síti. Připojení typu Point-to-Site nevyžadují zařízení VPN ani veřejnou IP adresu. P2S vytvoří připojení VPN prostřednictvím protokolu SSTP (Secure Socket Tunneling Protocol) nebo protokolu IKEv2. Další informace o síti VPN Point-to-Site najdete v článku věnovaném síti VPN typu Point-to-Site.

Připojení z počítače do virtuální sítě Azure – diagram připojení point-to-site.

Další informace o síti VPN typu Point-to-site najdete v tématu věnovaném síti VPN typu Point-to-site. pokud chcete tuto konfiguraci vytvořit pomocí Azure PowerShell, přečtěte si téma konfigurace sítě VPN typu point-to-site pomocí Azure PowerShell.

Nativní připojení k ověřování pomocí certifikátů Azure Point-to-site používají následující položky, které v tomto cvičení nakonfigurujete:

  • Bránu VPN typu RouteBased.
  • Veřejný klíč (soubor .cer) pro kořenový certifikát nahraný do Azure. Jakmile je certifikát nahraný, považuje za důvěryhodný certifikát a používá se k ověřování.
  • Klientský certifikát, který se generuje z kořenového certifikátu. Klientský certifikát nainstalovaný na každém klientském počítači, který se bude připojovat k virtuální síti. Tento certifikát se používá k ověřování klienta.
  • Konfigurace klienta VPN. Klient VPN se konfiguruje pomocí konfiguračních souborů klienta VPN. Tyto soubory obsahují informace potřebné pro připojení klienta k virtuální síti. Soubory konfigurují stávajícího klienta VPN nativního pro příslušný operační systém. Každý klient, který se připojuje, musí být nakonfigurovaný pomocí nastavení v konfiguračních souborech.

Požadavky

Ověřte, že máte předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.

Příklady hodnot

Tyto hodnoty můžete použít k vytvoření testovacího prostředí nebo můžou sloužit k lepšímu pochopení příkladů v tomto článku:

Sítě

  • Název virtuální sítě: VNet1
  • Adresní prostor: 10.1.0.0/16
    V tomto příkladu používáme pouze jeden adresní prostor. Pro svoji virtuální síť můžete mít více adresních prostorů.
  • Název podsítě: FrontEnd
  • Rozsah adres podsítě: 10.1.0.0/24
  • Předplatné: Ujistěte se, že máte správné předplatné, pokud máte více než jedno.
  • Skupina prostředků: TestRG1
  • Umístění: Východní USA

Brána virtuální sítě

  • Název brány virtuální sítě: VNet1GW
  • Typ brány: S2S
  • Typ sítě VPN: Založené na trasách
  • SKU: VpnGw2
  • Generování: Generation2
  • Rozsah adres podsítě brány: 10.1.255.0/27
  • Název veřejné IP adresy: VNet1GWpip

Typ připojení a fond adres klienta

  • Typ připojení: Point-to-site
  • Fond adres klienta: 172.16.201.0/24
    Klienti VPN, kteří se budou k virtuální síti připojovat pomocí tohoto připojení typu Point-to-Site, získají IP adresu ze zadaného fondu adres klienta.

Vytvoření virtuální sítě

V této části vytvoříte virtuální síť.

Poznámka

Pokud používáte virtuální síť jako součást architektury mezi různými místy, ujistěte se, že jste ve Správci místní sítě vyčlenit rozsah IP adres, který můžete použít speciálně pro tuto virtuální síť. Pokud existuje duplicitní rozsah adres na obou stranách připojení VPN, provoz se směruje neočekávaným způsobem. Kromě toho, pokud chcete připojit tuto virtuální síť k jiné virtuální síti, adresní prostor se nemůže překrývat s jinou virtuální sítí. Naplánujte konfiguraci sítě odpovídajícím způsobem.

  1. Přihlaste se k webu Azure Portal.

  2. Do vyhledávacích prostředků, služeb a dokumentů (G +/) zadejte Virtual Network_. Výběrem _ Virtual Network z výsledků Marketplace otevřete stránku virtuální síť .

    Snímek obrazovky zobrazující Azure Portal výsledků na panelu hledání a výběr Virtual Network z webu Marketplace.

  3. Na stránce virtuální síť klikněte na vytvořit. Tím se otevře stránka vytvořit virtuální síť .

  4. na kartě základy nakonfigurujte nastavení virtuální sítě pro Project podrobnosti a podrobnosti Instance. Po ověření hodnot, které zadáte, se zobrazí zelená značka zaškrtnutí. Hodnoty uvedené v příkladu lze upravit podle nastavení, které požadujete.

    Snímek obrazovky se zobrazí na kartě základy.

    • Předplatné: Zkontrolujte, jestli je uvedeno správné předplatné. Předplatná můžete měnit prostřednictvím rozevíracího seznamu.
    • Skupina prostředků: Vyberte existující skupinu prostředků nebo vytvořte novou kliknutím na vytvořit novou . Další informace o skupinách prostředků najdete v tématu Přehled Azure Resource Manageru.
    • Název: zadejte název vaší virtuální sítě.
    • Oblast: vyberte umístění pro virtuální síť. Umístění Určuje, kde budou prostředky, které nasadíte do této virtuální sítě, v provozu.

  5. Klikněte na IP adresy , které chcete přejít na kartu IP adresy. Na kartě IP adresy nakonfigurujte nastavení. Hodnoty uvedené v příkladu lze upravit podle nastavení, které požadujete.

    Snímek obrazovky se zobrazí na kartě IP adresy.

    • Adresní prostor IPv4: ve výchozím nastavení se automaticky vytvoří adresní prostor. Kliknutím na adresní prostor se můžete přizpůsobit tak, aby odrážel vaše vlastní hodnoty. Můžete také přidat další adresní prostory.
    • Podsíť: Pokud použijete výchozí adresní prostor, automaticky se vytvoří výchozí podsíť. Pokud změníte adresní prostor, budete muset přidat podsíť. Vyberte + Přidat podsíť a otevřete tak okno Přidat podsíť . Nakonfigurujte následující nastavení a pak přidejte hodnoty výběrem možnosti Přidat .
      • Název podsítě: v tomto příkladu jsme jmenovali podsíť "front".
      • Rozsah adres podsítě: rozsah adres pro tuto podsíť.

  6. Kliknutím na zabezpečení přejděte na kartu zabezpečení. V tuto chvíli ponechte výchozí hodnoty.

    • BastionHost: zakázat
    • DDoS Protection Standard: zakázat
    • Brána firewall: zakázat

  7. Vyberte zkontrolovat + vytvořit a ověřte nastavení virtuální sítě.

  8. Po ověření nastavení kliknutím na vytvořit vytvořte virtuální síť.

Vytvoření brány sítě VPN

V tomto kroku vytvoříte bránu virtuální sítě pro svou virtuální síť. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány.

Poznámka

SKU brány úrovně Basic nepodporuje ověřování IKEv2 nebo RADIUS. Pokud plánujete, že se klienti se systémem Mac připojí k vaší virtuální síti, nepoužívejte základní SKU.

Brána virtuální sítě používá konkrétní podsíť nazývanou podsíť brány. Podsíť brány je součástí rozsahu IP adres virtuální sítě, který zadáváte při konfiguraci virtuální sítě. Obsahuje IP adresy, které používají prostředky a služby brány virtuální sítě.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. Potřebný počet IP adres závisí na konfiguraci brány VPN, kterou chcete vytvořit. Některé konfigurace vyžadují víc IP adres než jiné. Doporučujeme vytvořit podsíť brány používající velikost /27 nebo /28.

Pokud se zobrazí chyba oznamující překrývání adresního prostoru a podsítě nebo umístění podsítě mimo adresní prostor vaší virtuální sítě, zkontroluje rozsah adres vaší virtuální sítě. V rozsahu adres, který jste pro svou virtuální síť vytvořili, možná není k dispozici dostatek IP adres. Pokud například vaše výchozí podsíť zahrnuje celý rozsah adres, k vytvoření dalších podsítí už nejsou k dispozici žádné IP adresy. Můžete upravit podsítě v rámci stávajícího adresního prostoru a tím uvolnit IP adresy nebo můžete zadat další rozsah adres a vytvořit podsíť brány v něm.

  1. V nástroji Hledat prostředky, služby a dokumenty (G +/) zadejte bránu virtuální sítě. Ve výsledcích hledání vyhledejte bránu virtuální sítě a vyberte ji.

    Snímek obrazovky vyhledávacího pole

  2. Na stránce brány virtuální sítě vyberte + vytvořit. Tím otevřete stránku Vytvořit bránu virtuální sítě.

    Snímek stránky bran virtuální sítě se zvýrazněnou možností vytvořit zvýrazněný

  3. na kartě základy vyplňte hodnoty pro Project podrobnosti a podrobnosti Instance.

    Snímek polí instance

    • Předplatné: vyberte předplatné, které chcete použít, z rozevíracího seznamu.
    • Skupina prostředků: Toto nastavení se vyplní při výběru virtuální sítě na této stránce.
    • Název: Zadejte pro bránu název. Pojmenování brány není stejné jako pojmenování podsítě brány. Jedná se o název objektu brány, který vytváříte.
    • Oblast: Vyberte oblast, ve které chcete tento prostředek vytvořit. Oblast brány musí být stejná jako tato virtuální síť.
    • Typ brány: Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.
    • Typ VPN: Vyberte typ VPN určený pro vaši konfiguraci. Většina konfigurací vyžaduje trasový typ VPN.
    • SKU: v rozevíracím seznamu vyberte SKU brány, kterou chcete použít. SKU uvedené v rozevíracím seznamu závisí na typu VPN, který jste vybrali. Ujistěte se, že jste vybrali SKU, který podporuje funkce, které chcete použít. Další informace o SKU brány najdete v tématu SKU brány.
    • Generace: vyberte generaci, kterou chcete použít. Další informace najdete v části Skladové jednotky (SKU) brány.
    • Virtuální síť: v rozevíracím seznamu vyberte virtuální síť, do které chcete tuto bránu přidat.
    • Rozsah adres podsítě brány: Toto pole se zobrazí jenom v případě, že virtuální síť nemá podsíť brány. Je nejlepší zadat/27 nebo větší (/26,/25 atd.). To umožňuje dostatek IP adres pro budoucí změny, jako je například přidání brány ExpressRoute. Nedoporučujeme vytvářet rozsahy, které jsou menší než/28. Pokud již máte podsíť brány, můžete zobrazit podrobnosti GatewaySubnet přechodem do vaší virtuální sítě. Rozsah zobrazíte kliknutím na podsítě . Pokud chcete změnit rozsah, můžete GatewaySubnet odstranit a znovu vytvořit.

  1. V hodnotách pro veřejnou IP adresu zadejte. Tato nastavení určují objekt veřejné IP adresy, který se k bráně VPN přidružený. Veřejná IP adresa se dynamicky přiřadí k tomuto objektu při vytvoření brány VPN. Veřejná IP adresa se změní pouze v případě odstranění a nového vytvoření brány. V případě změny velikosti, resetování nebo jiné operace údržby/upgradu vaší brány VPN se nezmění.

    Snímek obrazovky s polem veřejné IP adresy

    • Veřejná IP adresa: Ponechte vybranou možnost Vytvořit novou.
    • Název veřejné IP adresy: Do textového pole zadejte název instance veřejné IP adresy.
    • Přiřazení: Brána VPN gateway podporuje pouze dynamické nastavení.
    • Povolit režim aktivní-aktivní: Pokud vytváříte konfiguraci brány aktivní-aktivní, vyberte povolit režim aktivní-aktivní. Jinak nechte toto nastavení zakázané.
    • Pokud vaše konfigurace výslovně nevyžaduje toto nastavení, ponechte možnost Konfigurovat protokol BGP jako zakázaný. Pokud toto nastavení skutečně vyžadujete, výchozí ASN je 65515. Dá se ale změnit.

  2. Vyberte Zkontrolovat a vytvořit a spusťte ověření.

  3. Po ověření vyberte Vytvořit a nasaďte bránu VPN.

Stav nasazení můžete zobrazit na stránce Přehled pro vaši bránu. Po vytvoření brány můžete zobrazením virtuální sítě na portálu zobrazit IP adresu, která jí byla přiřazena. Brána se zobrazí jako připojené zařízení.

Důležité

Při práci s podsítěmi brány nepřidružujte skupinu zabezpečení sítě (NSG) k podsíti brány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a brány Express Route) přestane fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.

Generování certifikátů

Azure používá certifikáty k ověřování klientů, kteří se připojují k virtuální síti přes připojení VPN typu Point-to-Site. Jakmile získáte kořenový certifikát, nahrajete do Azure informace o veřejném klíči. Azure pak kořenový certifikát považuje za důvěryhodný pro připojení k virtuální síti přes Point-to-Site. Z kořenového certifikátu také generujete klientské certifikáty, které pak nainstalujete na každém klientském počítači. Klientský certifikát se používá k ověřování klienta při zahájení připojení k virtuální síti.

Generování kořenového certifikátu

Získejte soubor. cer pro kořenový certifikát. Můžete použít buď kořenový certifikát, který byl vygenerován pomocí podnikového řešení (doporučeno), nebo vygenerovat certifikát podepsaný svým držitelem. Po vytvoření kořenového certifikátu exportujte data veřejného certifikátu (ne privátní klíč) jako soubor X. 509. cer kódovaný v kódování Base64. Tento soubor nahrajete později do Azure.

  • Podnikový certifikát: Pokud používáte podnikové řešení, můžete použít svůj existující řetěz certifikátů. Získejte soubor. cer pro kořenový certifikát, který chcete použít.

  • Kořenový certifikát podepsaný svým držitelem: Pokud nepoužíváte podnikové certifikační řešení, vytvořte kořenový certifikát podepsaný svým držitelem. V opačném případě certifikáty, které vytvoříte, nebudou kompatibilní s vašimi připojeními P2S a klienti při pokusu o připojení obdrží chybu připojení. Můžete použít Azure PowerShell, MakeCert nebo OpenSSL. Postup v následujících článcích popisuje, jak vygenerovat kompatibilní kořenový certifikát podepsaný svým držitelem:

    • Pokyny pro Windows 10 PowerShell: Tyto pokyny pro generování certifikátů vyžadují Windows 10 a PowerShell. Klientské certifikáty vygenerované pomocí kořenového certifikátu můžete nainstalovat na jakémkoli podporovaném klientu Point-to-Site.
    • Pokyny pro MakeCert: Použijte MakeCert, pokud nemáte přístup k počítači s Windows 10, který byste mohli použít ke generování certifikátů. I když se MakeCert už nepoužívá, můžete ho i nadále používat ke generování certifikátů. Klientské certifikáty vygenerované z kořenového certifikátu lze nainstalovat do libovolného podporovaného klienta P2S.
    • Pokyny pro Linux.

Generovat klientské certifikáty

Každý klientský počítač, který se připojujete k virtuální síti s připojením typu Point-to-site, musí mít nainstalovaný klientský certifikát. Vygenerujete ho z kořenového certifikátu a nainstalujete ho na každý klientský počítač. Pokud nenainstalujete platný certifikát klienta, ověřování se nezdaří, pokud se klient pokusí připojit k virtuální síti.

Můžete buď vygenerovat jedinečný certifikát pro každého klienta, nebo můžete použít stejný certifikát pro více klientů. Výhodou generování jedinečných certifikátů pro klienty je možnost jednotlivý certifikát odvolat. V opačném případě, pokud více klientů používá ke ověření stejný klientský certifikát a odvoláte ho, budete muset vygenerovat a nainstalovat nové certifikáty pro každého klienta, který tento certifikát používá.

Klientské certifikáty můžete vygenerovat pomocí následujících metod:

  • Podnikový certifikát:

    • Pokud používáte podnikové certifikační řešení, vygenerujte klientský certifikát s názvem běžný název formátu Value @ yourdomain.com. Místo formátu Name\Username domény použijte tento formát.

    • Ujistěte se, že je klientský certifikát založený na šabloně certifikátu uživatele, která má ověřování klienta uvedené jako první položka v seznamu uživatelů. Ověřte certifikát tak, že na něj dvakrát kliknete a zobrazíte rozšířené použití klíče na kartě Podrobnosti .

  • Kořenový certifikát podepsaný svým držitelem: Postupujte podle kroků v jednom z následujících článků P2S certifikátů, aby vytvořené klientské certifikáty byly kompatibilní s vašimi připojeními P2S.

    Když vygenerujete klientský certifikát z kořenového certifikátu podepsaného svým držitelem, automaticky se nainstaluje na počítač, který jste použili k jeho vygenerování. Pokud chcete nainstalovat klientský certifikát do jiného klientského počítače, exportujte ho jako soubor. pfx spolu s celým řetězem certifikátů. Tím se vytvoří soubor. pfx, který obsahuje informace o kořenovém certifikátu potřebné k ověření klienta.

    Kroky v těchto článcích generují kompatibilní klientský certifikát, který pak můžete exportovat a distribuovat.

    • Pokyny pro Windows 10 PowerShell: Tyto pokyny pro generování certifikátů vyžadují Windows 10 a PowerShell. Vygenerované certifikáty lze nainstalovat do libovolného podporovaného klienta P2S.

    • Pokyny pro Makecert: použijte Makecert, pokud nemáte přístup k počítači s Windows 10 pro generování certifikátů. I když se MakeCert už nepoužívá, můžete ho i nadále používat ke generování certifikátů. Vygenerované certifikáty můžete nainstalovat do libovolného podporovaného klienta P2S.

    • Pokyny pro Linux.

Přidání fondu adres klienta VPN

Fond adres klienta je rozsah privátních IP adres, který zadáte. Klienti připojující se přes síť VPN typu Point-to-Site dynamicky obdrží IP adresu z tohoto rozsahu. Použijte rozsah privátních IP adres, který se nepřekrývá s místním umístěním, ze kterého se připojujete, ani s virtuální sítí, ke které se chcete připojit. Pokud nakonfigurujete více protokolů a SSTP je jedním z protokolů, nakonfigurované fondy adres se rovnoměrně rozdělí mezi nakonfigurované protokoly.

  1. Jakmile je brána virtuální sítě vytvořená, přejděte do části Nastavení na stránce brány virtuální sítě. v Nastavení vyberte konfigurace Point-to-site. Kliknutím na Konfigurovat nyní otevřete stránku konfigurace.

    Stránka Konfigurace Point-to-site.

  2. Na stránce Konfigurace Point-to-site v poli fond adres přidejte rozsah privátních IP adres, který chcete použít. Klienti VPN dynamicky obdrží IP adresu z rozsahu, který zadáte. Minimální maska podsítě je 29 bitů pro aktivní/pasivní a 28 bitů pro konfiguraci aktivní/aktivní.

  3. Přejděte k další části Konfigurace ověřování a typů tunelového propojení.

Zadat typ tunelu a typ ověřování

V této části zadáte typ tunelu a typ ověřování. Pokud nevidíte Typ tunelového propojení nebo typ ověřování na stránce konfigurace typu Point-to-site, vaše brána používá základní SKU. Skladová položka Basic nepodporuje ověřování IKEv2 ani RADIUS. Pokud chcete použít tato nastavení, musíte bránu odstranit a znovu vytvořit pomocí jiné SKU brány.

Typ tunelového propojení

na stránce konfigurace typu Point-to-site vyberte typ Tunnel. Při výběru typu tunelu Pamatujte na toto:

  • Klient klient strongswan v systémech Android a Linux a nativní klient IKEv2 VPN v iOS a macOS použije pro připojení pouze typ tunelu IKEv2.
  • Windows klienti vyzkouší IKEv2 jako první, a pokud se to nepřipojí, vrátí se k SSTP.
  • Klienta OpenVPN můžete použít pro připojení k typu tunelu OpenVPN.

Typ ověřování

Jako typ ověřování vyberte certifikát Azure.

Snímek obrazovky s typem ověřování s vybraným certifikátem Azure

Upload informace o veřejném klíči kořenového certifikátu

V této části nahrajete data veřejného kořenového certifikátu do Azure. Jakmile jsou data veřejného certifikátu nahraná, Azure ho může použít k ověřování klientů s nainstalovaným klientským certifikátem vygenerovaným z důvěryhodného kořenového certifikátu.

  1. Přejděte k bráně virtuální sítě – > konfigurační stránku Point-to-site v části kořenový certifikát . Tato část se zobrazí jenom v případě, že jste pro typ ověřování vybrali certifikát Azure .

  2. Ujistěte se, že jste exportovali kořenový certifikát jako kódovaný znak X. 509 (s kódováním Base-64) (. CER) v předchozích krocích. Je nutné certifikát exportovat v tomto formátu, abyste ho mohli otevřít v textovém editoru. Nemusíte exportovat privátní klíč.

    Snímek obrazovky znázorňující, že se má exportovat jako znak X. 509 s kódováním Base-64

  3. Otevřete certifikát v textovém editoru, například v Poznámkovém bloku. Při kopírování dat certifikátu se ujistěte, že kopírujete text jako jeden souvislý řádek bez konců řádků nebo odřádkování. Pokud chcete zobrazit konce řádků a odřádkování, může být nutné upravit zobrazení v textovém editoru na Zobrazit symbol / Zobrazit všechny znaky. Zkopírujte pouze tuto část jako jeden souvislý řádek:

    snímek obrazovky zobrazující informace o kořenovém certifikátu v Poznámkový blok.

  4. V části kořenový certifikát můžete přidat až 20 důvěryhodných kořenových certifikátů.

    • Vložte data certifikátu do pole data veřejného certifikátu .
    • Pojmete certifikát.

    Snímek obrazovky s datovým polem certifikátu

  5. V horní části stránky vyberte Uložit a uložte všechna nastavení konfigurace.

    Snímek obrazovky s konfigurací P2S a vybranou možností Uložit

Instalace exportovaného klientského certifikátu

Pokud chcete vytvořit připojení P2S z jiného klientského počítače, než který jste použili k vytvoření klientských certifikátů, budete muset klientský certifikát nainstalovat. Při instalaci klientského certifikátu budete potřebovat heslo, které bylo vytvořeno při jeho exportu.

Zkontrolujte, že se klientský certifikát vyexportoval jako soubor .pfx spolu s celým řetězem certifikátů (to je výchozí nastavení). Jinak informace o kořenovém certifikátu na klientském počítači nejsou a klient se nebude moct správně ověřit.

Postup instalace najdete v tématu věnovaném instalaci klientského certifikátu.

Konfigurace nastavení pro klienty VPN

Pro připojení k bráně virtuální sítě pomocí P2S každý počítač používá klienta VPN, který je nativně nainstalovaný jako součást operačního systému. Když například na svém počítači Windows vpn, můžete přidat připojení VPN bez instalace samostatného klienta VPN. Každého klienta VPN nakonfigurujete pomocí konfiguračního balíčku klienta. Balíček pro konfiguraci klienta obsahuje nastavení specifická pro bránu VPN, kterou jste vytvořili.

Postup generování a instalace konfiguračních souborů klienta VPN najdete v tématu Vytvoření a instalace konfiguračních souborů klienta VPN pro konfigurace P2Sověřování certifikátů Azure.

Připojení do Azure

Připojení z klienta VPN systému Windows

Poznámka

Na klientském počítači s Windows, že kterého se připojujete, musíte mít oprávnění správce.

  1. Pokud se chcete připojit k virtuální síti, v klientském počítači přejděte na nastavení sítě VPN a vyhledejte připojení VPN, které jste vytvořili. Má název stejný jako název vaší virtuální sítě. Vyberte Connect (Připojit). Může se zobrazit místní zpráva týkající se použití certifikátu. Pokud chcete používat zvýšená oprávnění, vyberte pokračovat .

  2. Na stránce Stav připojení vyberte připojit a spusťte připojení. Pokud uvidíte obrazovku Výběr certifikátu, ujistěte se, že zobrazený klientský certifikát je ten, který chcete pro připojení použít. Pokud není, vyberte pomocí šipky rozevíracího seznamu správný certifikát a pak vyberte OK.

    Připojení z počítače se systémem Windows

  3. Vaše připojení bylo vytvořeno.

    Připojení počítače k virtuální síti Azure – diagram připojení typu Point-to-site

Pokud máte potíže s připojením, podívejte se na následující položky:

  • Pokud jste exportovali certifikát klienta pomocí Průvodce exportem certifikátu, ujistěte se, že jste ho exportovali jako soubor. pfx a vybrali Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné. Při exportu s touto hodnotou jsou exportovány také informace o kořenovém certifikátu. Po instalaci certifikátu do klientského počítače je také nainstalován kořenový certifikát v souboru. pfx. Pokud chcete ověřit, jestli je nainstalovaný kořenový certifikát, otevřete spravovat certifikáty uživatelů a vyberte Důvěryhodné kořenové certifikační autority Authorities\Certificates. Ověřte, že je v seznamu uveden kořenový certifikát, který musí být k dispozici, aby ověřování fungovalo.

  • Pokud jste použili certifikát vydaný podnikovou certifikační autoritou a nemůžete ověřit, ověřte pořadí ověřování klientského certifikátu. V pořadí seznamu ověřování klikněte dvakrát na certifikát klienta, vyberte kartu Podrobnosti a pak vyberte rozšířené použití klíče. Ujistěte se, že je ověření klienta první položkou v seznamu. Pokud ne, vydejte klientský certifikát založený na šabloně uživatele, která má ověřování klienta jako první položku v seznamu.

  • Další informace o řešení potíží s P2S najdete v tématu Řešení potíží s připojeními P2S.

Připojení z klienta VPN systému Mac

V dialogovém okně Síť vyhledejte profil klienta, který chcete použít, zadejte nastavení zVpnSettings.xmla pak vyberte Připojení. Podrobné pokyny najdete v tématu Vygenerování a instalace konfiguračních souborů klienta VPN – macOS.

Pokud máte potíže s připojením, ověřte, že brána virtuální sítě používá SKU Basic. Základní SKU se pro klienty Mac nepodporuje.

Snímek obrazovky s tlačítkem Připojit

Ověření stavu připojení

Tyto pokyny platí pro klienty se systémem Windows.

  1. Chcete-li ověřit, zda je připojení VPN aktivní, v příkazovém řádku se zvýšenými oprávněními spusťte příkaz ipconfig/all.

  2. Zkontrolujte výsledky. Všimněte si, že IP adresa, kterou jste obdrželi, je jedna z adres z fondu adres klienta VPN připojení Point-to-Site, který jste určili během konfigurace. Výsledky jsou podobné tomuto příkladu:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Připojení k virtuálnímu počítači

Tyto pokyny platí pro klienty se systémem Windows.

K virtuálnímu počítači nasazenému ve vaší virtuální síti se můžete připojit vytvořením Připojení ke vzdálené ploše tohoto virtuálního počítače. Nejlepším způsobem, jak na začátku ověřit, že se k virtuálnímu počítači můžete připojit, je použít k připojení privátní IP adresu místo názvu počítače. Tímto způsobem testujete, jestli se můžete připojit, a ne, jestli je správně nakonfigurovaný překlad IP adres.

  1. Vyhledejte privátní IP adresu. Privátní IP adresu virtuálního počítače najdete tak, že si zobrazíte jeho vlastnosti na webu Azure Portal nebo pomocí PowerShellu.

    • Azure Portal – Vyhledejte virtuální počítač na webu Azure Portal. Zobrazte vlastnosti virtuálního počítače. Ve výpisu uvidíte privátní IP adresu.

    • PowerShell – Pomocí příkladu zobrazte seznam virtuálních počítačů a privátních IP adres z vašich skupin prostředků. Tento příklad nemusíte před použitím upravovat.

      $VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null

foreach($Nic in $Nics)
{
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}

  2. Zkontrolujte, že jste k virtuální síti připojeni pomocí připojení VPN typu Point-to-Site.

  3. Otevřete Připojení ke vzdálené ploše tak, že do vyhledávacího pole na hlavním panelu zadáte „RDP“ nebo „Připojení ke vzdálené ploše“ a pak vyberete Připojení ke vzdálené ploše. Připojení ke vzdálené ploše můžete otevřít také v PowerShellu pomocí příkazu mstsc.

  4. V Připojení ke vzdálené ploše zadejte privátní IP adresu virtuálního počítače. Můžete kliknout na Zobrazit možnosti a upravit další nastavení, pak se připojte.

Řešení potíží s připojením

Pokud se vám nedaří připojit k virtuálnímu počítači přes připojení VPN, zkontrolujte následující:

  • Ověřte, že se po zadání IP adres serveru DNS pro virtuální síť vygeneroval balíček pro konfiguraci klienta VPN. Pokud jste aktualizovali IP adresy serveru DNS, vygenerujte a nainstalujte nový balíček pro konfiguraci klienta VPN.

  • Pomocí příkazu ipconfig zkontrolujte IPv4 adresu přiřazenou adaptéru Ethernet na počítači, ze kterého se připojujete. Pokud je IP adresa v rámci rozsahu adres virtuální sítě, ke které se připojujete, nebo v rámci rozsahu adres VPNClientAddressPool, tato situace se označuje jako překrývající se adresní prostor. Když se adresní prostor tímto způsobem překrývá, síťový provoz nemá přístup do Azure a zůstane v místní síti.

Přidání a odebrání důvěryhodných kořenových certifikátů

Důvěryhodný kořenový certifikát můžete do Azure přidat nebo ho z Azure odebrat. Když odeberete kořenový certifikát, klienti s certifikátem vygenerovaným z tohoto kořenového certifikátu se nebudou moci ověřit a proto ani připojit. Pokud chcete, aby se klient mohl i nadále ověřovat a připojovat, je nutné nainstalovat nový klientský certifikát vygenerovaný z kořenového certifikátu, který Azure považuje za důvěryhodný (je do Azure nahraný).

Do Azure můžete přidat až 20 souborů .cer s důvěryhodnými kořenovými certifikáty. Pokyny najdete v části Upload důvěryhodný kořenový certifikát.

Odebrání důvěryhodného kořenového certifikátu:

  1. Přejděte na stránku konfigurace Point-to-Site pro bránu virtuální sítě.
  2. V části stránky Kořenový certifikát vyhledejte certifikát, který chcete odebrat.
  3. Vyberte tři tečky vedle certifikátu a pak vyberte Odebrat.

Odvolání klientského certifikátu

Certifikáty klientů lze odvolat. Seznam odvolaných certifikátů umožňuje selektivně odepřít připojení Point-to-Site na základě jednotlivých klientských certifikátů. To se liší od odebrání důvěryhodného kořenového certifikátu. Pokud odeberete z Azure důvěryhodný kořenový certifikát v souboru .cer, dojde k odvolání přístupu pro všechny klientské certifikáty, které byly tímto odvolaným kořenovým certifikátem vygenerovány nebo podepsány. Odvolání klientského certifikátu namísto kořenového certifikátu umožňuje používat k ověřování další certifikáty vygenerované z kořenového certifikátu.

Běžnou praxí je použití kořenového certifikátu pro řízení přístupu na úrovni týmu nebo organizace, přičemž odvolání klientských certifikátů slouží pro detailní kontrolu přístupu jednotlivých uživatelů.

Klientský certifikát můžete odvolat tím, že přidáte jeho kryptografický otisk do seznamu odvolaných certifikátů.

  1. Načtěte kryptografický otisk klientského certifikátu. Další informace najdete v tématu Postup načtení kryptografického otisku certifikátu.
  2. Zkopírujte údaje do textového editoru a smažte všechny mezery, aby vznikl souvislý řetězec.
  3. Přejděte na stránku Konfigurace Point-to-Site brány virtuální sítě. To je stejná stránka, kterou jste použili k nahrání důvěryhodného kořenového certifikátu.
  4. V části Odvolané certifikáty zadejte popisný název certifikátu (nemusí to být CN certifikátu).
  5. Zkopírujte řetězec kryptografického otisku a vložte jej do pole Kryptografický otisk.
  6. Kryptografický otisk se ověří a automaticky přidá do seznamu odvolaných certifikátů. Na obrazovce se zobrazí zpráva informující o probíhající aktualizaci seznamu.
  7. Po dokončení aktualizace už nebude možné certifikát použít k připojení. Klientům, kteří se pokusí připojit pomocí tohoto certifikátu, se zobrazí zpráva s informací o neplatnosti certifikátu.

Nejčastější dotazy týkající se připojení Point-to-Site

Nejčastější dotazy najdete v nejčastějších dotazech.

Další kroky

Po dokončení připojení můžete do virtuálních sítí přidávat virtuální počítače. Další informace najdete v tématu Virtuální počítače. Bližší informace o sítích a virtuálních počítačích najdete v tématu s přehledem sítě virtuálních počítačů s Linuxem v Azure.

Informace o odstraňování potíží s P2S najdete v článku Poradce při potížích s připojeními Azure typu point-to-site.