Konfigurieren eines Always On-VPN-Benutzertunnels

  • Artikel

Das Always On-Feature wurde im Windows 10-VPN-Client eingeführt. Always On ist die Fähigkeit, eine VPN-Verbindung aufrechtzuerhalten. Mit Always On kann das aktive VPN-Profil basierend auf Triggern wie Benutzeranmeldung, Änderung des Netzwerkzustands oder aktiver Gerätebildschirm automatisch eine Verbindung herstellen und aufrechterhalten.

Sie können Gateways mit Always On verwenden, um persistente Benutzertunnel und Gerätetunnel zu Azure einzurichten.

Always On-VPN-Verbindungen umfassen zwei Typen von Tunneln:

  • Gerätetunnel: Stellt eine Verbindung mit bestimmten VPN-Servern her, bevor sich Benutzer am Gerät anmelden. Ein Gerätetunnel wird für Verbindungsszenarios vor der Anmeldung und zur Geräteverwaltung verwendet.

  • Benutzertunnel: Stellt erst dann eine Verbindung her, nachdem sich Benutzer am Gerät angemeldet haben. Mithilfe von Benutzertunneln können Sie über VPN-Server auf Organisationsressourcen zugreifen.

Gerätetunnel und Benutzertunnel arbeiten unabhängig von ihren VPN-Profilen. Sie können gleichzeitig verbunden werden und können verschiedene Authentifizierungsmethoden und andere VPN-Konfigurationseinstellungen verwenden.

In diesem Artikel erfahren Sie, wie Sie einen Always On-VPN-Benutzertunnel konfigurieren. Weitere Informationen zum Konfigurieren eines Benutzertunnels finden Sie unter Konfigurieren eines Always On-VPN-Gerätetunnels.

Konfigurieren des Gateways

Konfigurieren Sie das VPN-Gateway für die Verwendung von IKEv2 und zertifikatbasierter Authentifizierung gemäß der Anleitung im Artikel Konfigurieren einer Point-to-Site-VPN-Verbindung mit einem VNET unter Verwendung der nativen Azure-Zertifikatauthentifizierung: Azure-Portal.

Konfigurieren eines Benutzertunnels

  1. Installieren Sie Clientzertifikate auf dem Windows-Client wie in diesem Artikel zum Point-to Site-VPN-Client gezeigt. Das Zertifikat muss sich im Speicher des aktuellen Benutzers befinden.

  2. Sie können den Always On-VPN-Client über PowerShell, Configuration Manager oder Intune konfigurieren, indem Sie den Anweisungen unter Konfigurieren von Always On-VPN-Verbindungen für den Client für Windows 10 oder höher folgen.

Beispielkonfiguration für den Benutzertunnel

Nachdem Sie das virtuelle Netzwerkgateway konfiguriert und das Clientzertifikat im Speicher des lokalen Computers auf dem Windows-Client installiert haben, konfigurieren Sie einen Clientgerätetunnel anhand der folgenden Beispiele: Beachten Sie, dass diese Beispiele unter Windows 10 überprüft wurden.

  1. Kopieren Sie den folgenden Text, und speichern Sie ihn als usercert.ps1:

    Param(
[string]$xmlFilePath,
[string]$ProfileName
)

$a = Test-Path $xmlFilePath
echo $a

$ProfileXML = Get-Content $xmlFilePath

echo $XML

$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

$Version = 201606090004

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

$nodeCSPURI = './Vendor/MSFT/VPNv2'
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

$session = New-CimSession

try
{
$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", 'String', 'Property')
$newInstance.CimInstanceProperties.Add($property)

$session.CreateInstance($namespaceName, $newInstance)
$Message = "Created $ProfileName profile."
Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
Write-Host "$Message"
exit
}
$Message = "Complete."
Write-Host "$Message"

  2. Kopieren Sie den folgenden Text, und speichern Sie ihn als VPNProfile.xml im gleichen Ordner wie usercert.ps1. Bearbeiten Sie den folgenden Text, um ihn an Ihre Umgebung anzupassen:

    • <Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers> <= Can be found in the VpnSettings.xml in the downloaded profile zip file
    • <Address>192.168.3.5</Address> <= IP of resource in the vnet or the vnet address space
    • <Address>192.168.3.4</Address> <= IP of resource in the vnet or the vnet address space
    • <PrefixSize>32</PrefixSize> <= Subnet mask
     <VPNProfile>  
   <NativeProfile>  
 <Servers>azuregateway-b115055e-0882-49bc-a9b9-7de45cba12c0-8e6946892333.vpn.azure.com</Servers>  
 <NativeProtocolType>IKEv2</NativeProtocolType>  
 <Authentication>  
 <UserMethod>Eap</UserMethod>
 <Eap>
 <Configuration>
 <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName></EapType></Eap></Config></EapHostConfig>
 </Configuration>
 </Eap>
 </Authentication>  
 <RoutingPolicyType>SplitTunnel</RoutingPolicyType>  
  <!-- disable the addition of a class based route for the assigned IP address on the VPN interface -->
 <DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute>  
   </NativeProfile> 
   <!-- use host routes(/32) to prevent routing conflicts -->  
   <Route>  
 <Address>192.168.3.5</Address>  
 <PrefixSize>32</PrefixSize>  
   </Route>  
   <Route>  
 <Address>192.168.3.4</Address>  
 <PrefixSize>32</PrefixSize>  
   </Route>  
 <!-- traffic filters for the routes specified above so that only this traffic can go over the device tunnel --> 
   <TrafficFilter>  
 <RemoteAddressRanges>192.168.3.4, 192.168.3.5</RemoteAddressRanges>  
   </TrafficFilter>
 <!-- need to specify always on = true --> 
 <AlwaysOn>true</AlwaysOn>
 <RememberCredentials>true</RememberCredentials>
 <!--new node to register client IP address in DNS to enable manage out -->
 <RegisterDNS>true</RegisterDNS>
 </VPNProfile>

  3. Führen Sie PowerShell als Administrator aus.

  4. Wechseln Sie in PowerShell zu dem Ordner, in dem sich die usercert.ps1- und VPNProfile.xml-Datei befinden, und führen Sie den folgenden Befehl aus:

    C:\> .\usercert.ps1 .\VPNProfile.xml UserTest

    MachineCertTest

  5. Suchen Sie unter VPN-Einstellungen nach dem Eintrag UserTest , und klicken Sie auf Verbinden.

  6. Wenn die Verbindung hergestellt wird, haben Sie erfolgreich einen Always On-Benutzertunnel konfiguriert.

So entfernen Sie ein Profil

Führen Sie die folgenden Schritte aus, um ein Profil zu entfernen:

  1. Führen Sie den folgenden Befehl aus:

    C:\> Remove-VpnConnection UserTest

  2. Trennen Sie die Verbindung, und deaktivieren Sie das Kontrollkästchen Automatisch verbinden.

    Cleanup

Nächste Schritte

Informationen zum Beheben möglicher Verbindungsprobleme finden Sie unter Azure Point-to-Site-Verbindungsprobleme.