Pont–hely VPN-ügyfelek konfigurálása: tanúsítványhitelesítés – Linux

  • Cikk

Ez a cikk segítséget nyújt az Azure-beli virtuális hálózathoz (VNet) való csatlakozáshoz a VPN Gateway pont–hely (P2S) és a Linux-ügyfél tanúsítványhitelesítésének használatával. Ebben a cikkben több lépésből áll a P2S-konfigurációhoz kiválasztott alagúttípustól, az operációs rendszertől és a csatlakozáshoz használt VPN-ügyféltől függően.

Mielőtt elkezdené

Mielőtt hozzákezd, ellenőrizze, hogy a megfelelő cikkben van-e. Az alábbi táblázat az Azure VPN Gateway P2S VPN-ügyfelekhez elérhető konfigurációs cikkeket mutatja be. A lépések a hitelesítési típustól, az alagút típusától és az ügyfél operációs rendszerétől függően eltérőek.

Hitelesítés Alagúttípus Konfigurációs fájlok létrehozása VPN-ügyfél konfigurálása
Azure-tanúsítvány IKEv2, SSTP Windows Natív VPN-ügyfél
Azure-tanúsítvány OpenVPN Windows - OpenVPN-ügyfél
- Azure VPN-ügyfél
Azure-tanúsítvány IKEv2, OpenVPN macOS-iOS macOS-iOS
Azure-tanúsítvány IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS – tanúsítvány - Cikk Cikk
RADIUS – jelszó - Cikk Cikk
RADIUS – egyéb módszerek - Cikk Cikk

Fontos

2018. július 1-től az Azure VPN Gatewayből el lett távolítva a TLS 1.0 és 1.1 támogatása. Ettől kezdve az Azure VPN Gateway csak a TLS 1.2-es verzióját támogatja. Csak a pont–hely kapcsolatok vannak hatással; A helyek közötti kapcsolatok nem lesznek hatással. Ha TLS-t használ pont–hely VPN-ekhez Windows 10 vagy újabb rendszerű ügyfeleken, nem kell semmilyen műveletet elvégeznie. Ha TLS-t használ pont–hely kapcsolatokhoz Windows 7 és Windows 8 rendszerű ügyfeleken, a frissítési utasításokért tekintse meg a VPN Gateway gyakori kérdéseit .

Tanúsítványok előállítása

A tanúsítványhitelesítéshez minden ügyfélszámítógépen telepíteni kell egy ügyféltanúsítványt. A használni kívánt ügyféltanúsítványt titkos kulccsal kell exportálni, és a tanúsítvány elérési útjának minden tanúsítványát tartalmaznia kell. Emellett egyes konfigurációk esetében telepítenie kell a főtanúsítvány adatait is.

A tanúsítványok használatával kapcsolatos információkért lásd : Pont–hely: Tanúsítványok létrehozása.

VPN-ügyfél konfigurációs fájljainak létrehozása

A VPN-ügyfelek összes szükséges konfigurációs beállítását egy VPN-ügyfélprofil konfigurációs zip-fájlja tartalmazza. A létrehozott VPN-ügyfélprofil-konfigurációs fájlok a virtuális hálózat P2S VPN-átjárójának konfigurációira vonatkoznak. Ha a fájlok létrehozása után módosul a P2S VPN-konfiguráció, például a VPN protokolltípusának vagy hitelesítési típusának módosítása, új VPN-ügyfélprofil-konfigurációs fájlokat kell létrehoznia, és alkalmaznia kell az új konfigurációt az összes csatlakozni kívánt VPN-ügyfélre. A P2S-kapcsolatokról további információt a pont–hely VPN kapcsolatról szóló cikkben talál.

Konfigurációs fájlok létrehozása az Azure Portalon:

  1. Az Azure Portalon nyissa meg annak a virtuális hálózatnak a virtuális hálózati átjáróját, amelyhez csatlakozni szeretne.

  2. A virtuális hálózati átjáró lapján válassza a Pont–hely konfiguráció lehetőséget a pont–hely konfiguráció lap megnyitásához.

  3. A pont–hely konfigurációs oldal tetején válassza a VPN-ügyfél letöltése lehetőséget. Ez nem tölt le VPN-ügyfélszoftvert, hanem létrehozza a VPN-ügyfelek konfigurálásához használt konfigurációs csomagot. Az ügyfélkonfigurációs csomag létrehozása néhány percet vesz igénybe. Ez idő alatt előfordulhat, hogy nem jelenik meg semmilyen jelzés, amíg a csomag létre nem jön.

    Képernyőkép a pont–hely konfigurációs oldalról.

  4. A konfigurációs csomag létrehozása után a böngésző azt jelzi, hogy elérhető egy ügyfélkonfigurációs zip-fájl. A név megegyezik az átjáró nevével.

  5. Bontsa ki a fájlt a mappák megtekintéséhez. A VPN-ügyfél konfigurálásához a fájlok egy részét vagy egészét fogja használni. A létrehozott fájlok megfelelnek a P2S-kiszolgálón konfigurált hitelesítési és alagúttípus-beállításoknak.

Ezután konfigurálja a VPN-ügyfelet. Válasszon az alábbi utasítások közül:

IKEv2 – strongSwan lépések

A strongSwan telepítése

A parancsok megadásakor a következő konfigurációt használták:

  • Számítógép: Ubuntu Server 18.04
  • Függőségek: strongSwan

A szükséges strongSwan-konfiguráció telepítéséhez használja az alábbi parancsokat:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Tanúsítványok telepítése

Az Azure-tanúsítvány hitelesítési típusának használatakor ügyféltanúsítvány szükséges a hitelesítéshez. Minden ügyfélszámítógépen telepíteni kell egy ügyféltanúsítványt. Az exportált ügyféltanúsítványt titkos kulccsal kell exportálni, és a tanúsítvány elérési útjának minden tanúsítványát tartalmaznia kell. Mielőtt továbblép a következő szakaszra, győződjön meg arról, hogy az ügyfélszámítógépen telepítve van a megfelelő ügyféltanúsítvány.

További információ az ügyféltanúsítványokról: Tanúsítványok létrehozása – Linux.

VPN-ügyfélprofil-fájlok megtekintése

Nyissa meg a letöltött VPN-ügyfélprofil konfigurációs fájljait. A konfigurációhoz szükséges összes információt megtalálja az Általános mappában. Az Azure nem biztosít mobilkonfigurációs fájlt ehhez a konfigurációhoz.

Ha nem látja az Általános mappát, ellenőrizze a következő elemeket, majd hozza létre újra a zip-fájlt.

  • Ellenőrizze a konfiguráció alagúttípusát. Valószínű, hogy az IKEv2 nem lett alagúttípusként kiválasztva.
  • A VPN-átjárón ellenőrizze, hogy az SKU nem alapszintű-e. A VPN Gateway alapszintű termékváltozata nem támogatja az IKEv2-t. Ezután válassza az IKEv2 lehetőséget, és hozza létre újra a zip-fájlt az Általános mappa lekéréséhez.

A Generic mappa az alábbi fájlokat tartalmazza:

  • Vpn Gépház.xml, amely olyan fontos beállításokat tartalmaz, mint a kiszolgáló címe és az alagút típusa.
  • VpnServerRoot.cer, amely tartalmazza az Azure VPN Gateway P2S-kapcsolat beállítása során történő érvényesítéséhez szükséges főtanúsítványt.

A fájlok megtekintése után folytassa a használni kívánt lépésekkel:

strongSwan GUI-lépések

Ez a szakasz végigvezeti a konfiguráción a strongSwan GUI használatával. Az alábbi utasítások az Ubuntu 18.0.4-en lettek létrehozva. Az Ubuntu 16.0.10 nem támogatja a strongSwan GUI-t. Ha az Ubuntu 16.0.10-et szeretné használni, a parancssort kell használnia. Előfordulhat, hogy az alábbi példák nem egyeznek a megjelenő képernyőkkel a Linux és a strongSwan verziójától függően.

  1. Nyissa meg a terminált a strongSwan és a Network Manager telepítéséhez a példában található parancs futtatásával.

    sudo apt install network-manager-strongswan

  2. Válassza a Gépház, majd a Hálózat lehetőséget. Új kapcsolat létrehozásához kattintson a + gombra.

    Képernyőkép a hálózati kapcsolatok oldalról.

  3. Válassza az IPsec/IKEv2 (strongSwan) lehetőséget a menüből, és kattintson duplán.

    Képernyőkép a VPN hozzáadása lapról.

  4. A VPN hozzáadása lapon adjon nevet a VPN-kapcsolatnak.

    Képernyőkép: Kapcsolattípus kiválasztása.

  5. Nyissa meg a Vpn Gépház.xml fájlt a letöltött VPN-ügyfélprofil konfigurációs fájljaiban található Általános mappából. Keresse meg a VpnServer nevű címkét, és másolja a nevet az "azuregateway" kezdetű és a ".cloudapp.net" végződésű címkére.

    Az adatok másolását bemutató képernyőkép.

  6. Illessze be a nevet az új VPN-kapcsolat Cím mezőjébe az Átjáró szakaszban. Ezután válassza a Mappa ikont a Tanúsítvány mező végén, keresse meg az Általános mappát, és válassza a VpnServerRoot fájlt.

  7. A kapcsolat Ügyfél szakaszában a hitelesítéshez válassza a Tanúsítvány/titkos kulcs lehetőséget. Tanúsítvány és titkos kulcs esetén válassza ki a korábban létrehozott tanúsítványt és titkos kulcsot. A Beállítások területen válassza a Belső IP-cím kérése lehetőséget. Ezután válassza a Hozzáadás lehetőséget.

    Képernyőkép: Belső IP-cím kérése.

  8. Kapcsolja be a kapcsolatot.

    Képernyőkép a másolásról.

strongSwan parancssori felület lépései

Ez a szakasz végigvezeti a konfiguráción az strongSwan parancssori felület használatával.

  1. A VPN-ügyfélprofil konfigurációs fájljainak Általános mappájából másolja vagy helyezze át a VpnServerRoot.cer a /etc/ipsec.d/cacerts mappába.

  2. Másolja vagy helyezze át a létrehozott fájlokat a /etc/ipsec.d/certs és /etc/ipsec.d/private/ mappába. Ezek a fájlok az ügyféltanúsítvány és a titkos kulcs, a megfelelő könyvtárakban kell lenniük. Használja a következő parancsokat:

    sudo cp ${USERNAME}Cert.pem /etc/ipsec.d/certs/
sudo cp ${USERNAME}Key.pem /etc/ipsec.d/private/
sudo chmod -R go-rwx /etc/ipsec.d/private /etc/ipsec.d/certs

  3. Futtassa a következő parancsot a gazdagépnév megjegyzéséhez. Ezt az értéket a következő lépésben fogja használni.

    hostnamectl --static

  4. Nyissa meg a Vpn Gépház.xml fájlt, és másolja ki az <VpnServer> értéket. Ezt az értéket a következő lépésben fogja használni.

  5. Módosítsa az alábbi példában szereplő értékeket, majd adja hozzá a példát az /etc/ipsec.conf konfigurációhoz .

    conn azure
      keyexchange=ikev2
      type=tunnel
      leftfirewall=yes
      left=%any
      # Replace ${USERNAME}Cert.pem with the key filename inside /etc/ipsec.d/certs  directory. 
      leftcert=${USERNAME}Cert.pem
      leftauth=pubkey
      leftid=%client # use the hostname of your machine with % character prepended. Example: %client
      right= #Azure VPN gateway address. Example: azuregateway-xxx-xxx.vpn.azure.com
      rightid=% #Azure VPN gateway FQDN with % character prepended. Example: %azuregateway-xxx-xxx.vpn.azure.com
      rightsubnet=0.0.0.0/0
      leftsourceip=%config
      auto=add
      esp=aes256gcm16

  6. Adja hozzá a titkos értékeket a /etc/ipsec.secrets fájlhoz.

    A PEM-fájl nevének meg kell egyeznie azzal, amit korábban ügyfélkulcsfájlként használt.

    : RSA ${USERNAME}Key.pem  # Replace ${USERNAME}Key.pem with the key filename inside /etc/ipsec.d/private directory.

  7. Végül futtassa a következő parancsokat:

    sudo ipsec restart
sudo ipsec up azure

Az OpenVPN lépései

Ez a szakasz segít konfigurálni a Linux-ügyfeleket az OpenVPN-alagúttípust használó tanúsítványhitelesítéshez. Az Azure-hoz való csatlakozáshoz töltse le az OpenVPN-ügyfelet, és konfigurálja a kapcsolati profilt.

Feljegyzés

Az OpenVPN-ügyfél 2.6-os verziója még nem támogatott.

  1. Nyisson meg egy új terminál munkamenetet. Új munkamenetet a Ctrl + Alt + t billentyűkombináció egyidejű lenyomásával nyithat meg.

  2. Adja meg a következő parancsot a szükséges összetevők telepítéséhez:

    sudo apt-get install openvpn
sudo apt-get -y install network-manager-openvpn
sudo service network-manager restart

  3. Ezután lépjen a VPN-ügyfélprofil mappájába, és bontsa ki a fájlokat.

  4. Exportálja a létrehozott és feltöltött P2S-ügyféltanúsítványt az átjáró P2S-konfigurációjába. A lépésekért tekintse meg a VPN Gateway pont–hely című témakört.

  5. Bontsa ki a titkos kulcsot és a base64 ujjlenyomatot a .pfx fájlból. Ennek több módja van. Az OpenSSL használata a számítógépen az egyik módszer.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"

    A profileinfo.txt fájl tartalmazza a hitelesítésszolgáltató titkos kulcsát és ujjlenyomatát, valamint az ügyféltanúsítványt. Mindenképpen használja az ügyféltanúsítvány ujjlenyomatát.

  6. Nyissa meg a profileinfo.txt egy szövegszerkesztőben. Az ügyféltanúsítvány (gyermektanúsítvány) ujjlenyomatának lekéréséhez jelölje ki a gyermektanúsítványhoz tartozó "-----BEGIN TANÚSÍTVÁNY-----" és a "-----END TANÚSÍTVÁNY-----" szöveget, és másolja ki. A gyermektanúsítványt a tulajdonos=/ sor alapján azonosíthatja.

  7. Nyissa meg a vpnconfig.ovpn fájlt, és keresse meg az alábbi szakaszt. Cserélje le a "cert" és a "/cert" közötti mindent.

    # P2S client certificate
# please fill this field with a PEM formatted cert
<cert>
$CLIENTCERTIFICATE
</cert>

  8. Nyissa meg a profileinfo.txt egy szövegszerkesztőben. A titkos kulcs lekéréséhez jelölje ki a "-----BEGIN PRIVATE KEY-----" és a "-----END PRIVATE KEY-----" szöveget, és másolja ki.

  9. Nyissa meg a vpnconfig.ovpn fájlt egy szövegszerkesztőben, és keresse meg ezt a szakaszt. Illessze be a titkos kulcsot, amely mindent lecserél a "kulcs" és a "/key" között.

    # P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>

  10. Ne módosítsa a többi mezőt. Az ügyfélbemenet kitöltött konfigurációjával csatlakozhat a VPN-hez.

    • A parancssor használatával való csatlakozáshoz írja be a következő parancsot:

      sudo openvpn --config <name and path of your VPN profile file>&

    • A parancssori kapcsolat bontásához írja be a következő parancsot:

      sudo pkill openvpn

    • A grafikus felhasználói felülettel való csatlakozáshoz lépjen a rendszerbeállításokhoz.

  11. Válassza ki + az új VPN-kapcsolat hozzáadásához.

  12. A VPN hozzáadása csoportban válassza az Importálás fájlból... lehetőséget.

  13. Keresse meg a profilfájlt, és kattintson duplán a Megnyitás gombra, vagy válassza a Megnyitás parancsot.

  14. Válassza a Hozzáadás lehetőséget a VPN hozzáadása ablakban.

    Képernyőkép az Importálás fájlból a VPN hozzáadása lapon.

  15. A csatlakozáshoz kapcsolja be a VPN-t a Hálózat Gépház lapon, vagy a hálózati ikon alatt a tálcán.

Következő lépések

További lépésekért térjen vissza az eredeti pont–hely cikkhez, amelyből dolgozott.