Konfigurasikan koneksi VPN Titik-ke-Situs ke VNet menggunakan autentikasi sertifikat Azure: PowerShell

Artikel ini membantu Anda menghubungkan klien individual yang menjalankan Windows, Linux, atau macOS dengan aman ke Azure VNet. Koneksi Titik-ke-Situs berguna jika Anda ingin terhubung ke jaringan virtual dari lokasi jarak jauh (misalnya, saat Anda bekerja dari rumah atau konferensi). Anda juga bisa menggunakan P2S alih-alih VPN Situs-ke-Situs ketika Anda hanya memiliki beberapa klien yang harus terhubung ke VNet. Koneksi dari titik-ke-situs tidak memerlukan perangkat VPN atau alamat IP yang menghadap publik. P2S membuat koneksi VPN melalui SSTP (Secure Socket Tunneling Protocol), atau IKEv2.

Menyambungkan dari komputer ke Azure VNet - diagram koneksi titik-ke-situs

Untuk informasi lengkap VPN titik-ke-situs, lihatTentang VPN titik-ke-situs. Untuk membuat konfigurasi ini menggunakan portal Microsoft Azure, lihat Mengonfigurasi VPN titik-ke-situs menggunakan portal Microsoft Azure.

Koneksi autentikasi sertifikat Azure asli titik ke situs menggunakan item berikut, yang Anda konfigurasi dalam latihan ini:

  • Gateway VPN RouteBased.
  • Kunci umum (file .cer) untuk sertifikat akar, yang diunggah ke Azure. Setelah sertifikat diunggah, sertifikat dianggap sebagai sertifikat tepercaya dan digunakan untuk autentikasi.
  • Sertifikat klien yang dihasilkan dari sertifikat akar. Sertifikat klien yang dipasang pada masing-masing komputer klien yang akan tersambung ke VNet. Sertifikat ini digunakan untuk autentikasi klien.
  • Konfigurasi klien VPN. Klien VPN dikonfigurasi menggunakan file konfigurasi klien VPN. File ini berisi informasi yang diperlukan bagi klien agar tersambung ke VNet. File mengkonfigurasi klien VPN yang ada yang asli ke sistem operasi. Masing-masing klien yang tersambung harus dikonfigurasi menggunakan pengaturan dalam file konfigurasi.

Prasyarat

Pastikan Anda memiliki langganan Azure. Jika Anda belum memiliki langganan Azure, Anda dapat mengaktifkan manfaat pelanggan MSDN atau mendaftar untuk akun gratis.

Azure PowerShell

Penting

Banyak langkah dalam artikel ini dapat menggunakan Azure Cloud Shell. Namun, Anda tidak dapat menggunakan Cloud Shell untuk membuat sertifikat. Selain itu, untuk mengunggah kunci publik sertifikat akar, Anda harus menggunakan Azure PowerShell secara lokal, atau portal Microsoft Azure.

Artikel ini menggunakan cmdlet PowerShell. Untuk menjalankan cmdlet, Anda dapat menggunakan Azure Cloud Shell. Azure Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Shell ini memiliki alat Azure umum bawaan dan dikonfigurasi untuk digunakan dengan akun Anda.

Untuk membuka Cloud Shell, cukup pilih Coba dari sudut kanan atas blok kode. Anda juga dapat meluncurkan Cloud Shell di tab browser terpisah dengan masuk ke https://shell.azure.com/powershell. Pilih Salin untuk menyalin blok kode, tempelkan ke Cloud Shell, dan tekan enter untuk menjalankannya.

Anda juga dapat menginstal dan menjalankan cmdlet Azure PowerShell secara lokal di komputer Anda. Cmdlet PowerShell sering diperbarui. Jika Anda belum menginstal versi terbaru, nilai yang ditentukan dalam instruksi mungkin gagal. Untuk menemukan versi Azure PowerShell yang terinstal di komputer Anda, gunakan Get-Module -ListAvailable Az cmdlet. Untuk menginstal atau memperbarui, lihat Menginstal modul Azure PowerShell.

Masuk

Jika Anda menjalankan PowerShell secara lokal, buka konsol PowerShell dengan hak istimewa tambahan dan sambungkan ke akun Azure Anda. Cmdlet Connect-AzAccount meminta info masuk Anda. Setelah mengautentikasi, cmdlet mengunduh pengaturan akun sehingga tersedia untuk Azure PowerShell.

Jika Anda menggunakan Azure Cloud Shell alih-alih menjalankan PowerShell secara lokal, Anda akan melihat bahwa Anda tidak perlu menjalankan Connect-AzAccount. Azure Cloud Shell tersambung ke akun Azure secara otomatis setelah Anda memilih Coba.

  1. Jika Anda menjalankan PowerShell secara lokal, masuk terlebih dahulu.

    Connect-AzAccount
    
  2. Jika Anda memiliki lebih dari satu langganan, dapatkan daftar langganan Azure Anda.

    Get-AzSubscription
    
  3. Tentukan langganan yang ingin Anda gunakan.

    Select-AzSubscription -SubscriptionName "Name of subscription"
    

Deklarasikan variabel

Kami menggunakan variabel untuk artikel ini sehingga Anda dapat dengan mudah mengubah nilai untuk diterapkan ke lingkungan Anda sendiri tanpa harus mengubah contoh. Deklarasikan variabel yang ingin Anda gunakan. Anda dapat menggunakan contoh berikut, dengan mengganti nilai untuk Anda sendiri bila perlu. Jika Anda menutup sesi PowerShell/Cloud Shell pada titik mana pun selama latihan, cukup salin dan tempel nilai lagi untuk mendeklarasikan ulang variabelnya.

$VNetName  = "VNet1"
$FESubName = "FrontEnd"
$GWSubName = "GatewaySubnet"
$VNetPrefix = "10.1.0.0/16"
$FESubPrefix = "10.1.0.0/24"
$GWSubPrefix = "10.1.255.0/27"
$VPNClientAddressPool = "172.16.201.0/24"
$RG = "TestRG1"
$Location = "EastUS"
$GWName = "VNet1GW"
$GWIPName = "VNet1GWpip"
$GWIPconfName = "gwipconf"
$DNS = "10.2.1.4"

Buat VNet

  1. Membuat grup sumber daya.

    New-AzResourceGroup -Name $RG -Location $Location
    
  2. Buat konfigurasi subnet untuk jaringan virtual, menamainya FrontEnd dan GatewaySubnet. Prefiks ini harus menjadi bagian dari ruang alamat VNet yang Anda nyatakan.

    $fesub = New-AzVirtualNetworkSubnetConfig -Name $FESubName -AddressPrefix $FESubPrefix
    $gwsub = New-AzVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix
    
  3. Buat jaringan virtual.

    Dalam contoh ini, parameter server -DnsServer bersifat opsional. Menentukan nilai tidak membuat server DNS baru. Alamat IP server DNS yang Anda tentukan harus merupakan server DNS yang bisa mengatasi nama untuk sumber daya yang Anda sambungkan dari VNet Anda. Contoh ini menggunakan alamat IP pribadi, tetapi kemungkinan ini bukan alamat IP server DNS Anda. Pastikan untuk menggunakan nilai Anda sendiri. Nilai yang Anda tentukan digunakan oleh sumber daya yang Anda sebarkan ke VNet, bukan oleh koneksi P2S atau klien VPN.

        New-AzVirtualNetwork `
       -ResourceGroupName $RG `
       -Location $Location `
       -Name $VNetName `
       -AddressPrefix $VNetPrefix `
       -Subnet $fesub, $gwsub `
       -DnsServer $DNS
    
  4. Tentukan variabel untuk jaringan virtual yang Anda buat.

    $vnet = Get-AzVirtualNetwork -Name $VNetName -ResourceGroupName $RG
    $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    
  5. Gateway VPN harus memiliki alamat IP Publik. Anda terlebih dahulu meminta sumber daya alamat IP, lalu merujuknya saat membuat gateway jaringan virtual Anda. Alamat IP secara dinamis ditetapkan ke sumber daya saat gateway VPN dibuat. VPN Gateway saat ini hanya mendukung alokasi Alamat IP publik Dinamis. Anda tidak dapat meminta penetapan alamat IP Publik Statis. Namun, tidak berarti bahwa alamat IP berubah setelah ditetapkan ke gateway VPN Anda. Satu-satunya waktu alamat IP Publik berubah adalah ketika gateway dihapus dan dibuat ulang. Ini tidak berubah di seluruh pengubahan ukuran, pengaturan ulang, atau pemeliharaan/peningkatan internal lainnya dari gateway VPN Anda.

    Meminta alamat IP publik yang ditetapkan secara dinamis.

    $pip = New-AzPublicIpAddress -Name $GWIPName -ResourceGroupName $RG -Location $Location -AllocationMethod Dynamic
    $ipconf = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName -Subnet $subnet -PublicIpAddress $pip
    

Buat gateway VPN

Dalam langkah ini, Anda membuat gateway jaringan virtual untuk VNet Anda.

  • TipeGateway harus Vpn dan TipeVpn harus BerbasisRute.
  • VpnClientProtocol digunakan untuk menentukan jenis terowongan yang ingin Anda aktifkan. Opsi terowongan adalah OpenVPN, SSTP, dan IKEv2. Anda dapat memilih untuk mengaktifkan salah satunya atau kombinasi apapun yang didukung. Jika Anda ingin mengaktifkan beberapa tipe, maka tentukan nama yang dipisahkan dengan koma. OpenVPN dan SSTP tidak dapat diaktifkan bersamaan. Klien strongSwan di Android dan Linux dan klien IKEv2 VPN asli di iOS dan macOS hanya akan menggunakan terowongan IKEv2 untuk terhubung. Klien Windows mencoba IKEv2 terlebih dahulu dan jika tidak tersambung, akan kembali ke SSTP. Anda dapat menggunakan klien OpenVPN untuk menyambungkan ke jenis terowongan OpenVPN.
  • Gateway jaringan virtual SKU 'Dasar' tidak mendukung autentikasi IKEv2, OpenVPN atau RADIUS. Jika Anda ingin klien Mac terhubung ke jaringan virtual Anda, jangan gunakan SKU Dasar.
  • Gateway VPN dapat memakan waktu 45 menit atau lebih untuk melengkapi, tergantung pada sku gateway yang Anda pilih.
  1. Mengonfigurasi dan membuat gateway jaringan virtual untuk VNet Anda. Dibutuhkan sekitar 45 menit untuk membuat gateway.

    New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG `
    -Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
    -VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 -VpnClientProtocol "IKEv2"
    
  2. Setelah gateway jadi, Anda bisa menampilkannya menggunakan contoh berikut. Jika Anda menutup PowerShell atau kehabisan waktu saat gateway sedang dibuat, Anda dapat mendeklarasikan variabel Anda lagi.

    Get-AzVirtualNetworkGateway -Name $GWName -ResourceGroup $RG
    

Menambahkan kumpulan alamat klien VPN

Setelah gateway VPN selesai terbentuk, Anda dapat menambahkan kumpulan alamat klien VPN. Kumpulan alamat klien VPN adalah rentang alamat IP yang diterima klien VPN saat terhubung. Gunakan rentang alamat IP pribadi yang tidak tumpang tindih dengan lokasi lokal yang Anda sambungkan, atau dengan VNet yang ingin Anda sambungkan.

Dalam contoh ini, kumpulan alamat klien VPN dinyatakan sebagai variabel pada langkah sebelumnya.

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool

Buat sertifikat

Penting

Anda tidak dapat menghasilkan sertifikat menggunakan Azure Cloud Shell. Anda harus menggunakan salah satu metode yang diuraikan di bagian ini. Jika Anda ingin menggunakan PowerShell, Anda harus menginstalnya secara lokal.

Sertifikat digunakan oleh Azure untuk mengautentikasi klien VPN untuk VPN titik-ke-situs. Anda mengunggah informasi kunci publik sertifikat akar ke Azure. Kunci publik kemudian dianggap 'dipercaya'. Sertifikat klien harus dihasilkan dari sertifikat akar tepercaya, lalu diinstal pada setiap komputer klien di Sertifikat-Pengguna Saat ini/toko sertifikat Pribadi. Sertifikat tersebut digunakan untuk mengautentikasi klien ketika memulai koneksi ke VNet.

Jika Anda menggunakan sertifikat yang ditandatangani sendiri, sertifikat tersebut harus dibuat menggunakan parameter tertentu. Anda dapat membuat sertifikat yang ditandatangani sendiri menggunakan instruksi untuk PowerShell dan Windows 10, atau, jika Anda tidak memiliki Windows 10, Anda dapat menggunakan MakeCert. Penting bagi Anda untuk mengikuti langkah-langkah dalam instruksi saat membuat sertifikat akar dan sertifikat klien yang ditandatangani sendiri. Jika tidak, sertifikat yang Anda hasilkan tidak akan kompatibel dengan koneksi P2S dan Anda mengalami kesalahan koneksi.

Sertifikat Akar

  1. Dapatkan file .cer untuk sertifikat akar. Anda dapat menggunakan sertifikat akar yang dihasilkan dengan solusi perusahaan (direkomendasikan), atau menghasilkan sertifikat yang ditandatangani sendiri. Setelah Anda membuat sertifikat akar, ekspor data sertifikat publik (bukan kunci privat) sebagai file .cer X.509 yang dikodekan oleh Base64. Anda mengunggah file ini nanti ke Azure.

    • Sertifikat perusahaan: Jika Anda menggunakan solusi perusahaan, Anda dapat menggunakan rantai sertifikat yang ada. Dapatkan .cer untuk sertifikat akar yang ingin Anda gunakan.

    • Sertifikat akar yang ditandatangani sendiri: Jika Anda tidak menggunakan solusi sertifikat perusahaan, buat sertifikat akar yang ditandatangani sendiri. Jika tidak, sertifikat yang Anda buat tidak akan kompatibel dengan koneksi P2S Anda dan klien akan menerima kesalahan koneksi ketika mereka mencoba untuk terhubung. Anda dapat menggunakan Azure PowerShell, MakeCert, atau OpenSSL. Langkah-langkah dalam artikel berikut ini menjelaskan cara membuat sertifikat akar yang ditandatangani sendiri yang kompatibel:

      • Instruksi Windows 10 PowerShell: Instruksi ini memerlukan Windows 10 dan PowerShell untuk membuat sertifikat. Sertifikat klien yang dihasilkan dari sertifikat akar dapat diinstal pada klien P2S yang didukung.
      • Instruksi MakeCert: Gunakan MakeCert jika Anda tidak memiliki akses ke komputer Windows 10 untuk digunakan untuk menghasilkan sertifikat. Meskipun MakeCert tidak digunakan lagi, Anda masih dapat menggunakannya untuk membuat sertifikat. Sertifikat klien yang Anda hasilkan dari sertifikat akar dapat diinstal pada klien P2S yang didukung.
      • Instruksi Linux.
  2. Setelah Anda membuat sertifikat akar, ekspor data sertifikat publik (bukan kunci privat) sebagai file .cer X.509 yang dikodekan oleh Base64.

Sertifikat Klien

  1. Setiap komputer klien yang Anda sambungkan ke VNet dengan koneksi Point-to-Site harus memiliki sertifikat klien yang terpasang. Anda membuatnya dari sertifikat akar dan memasangnya di setiap komputer klien. Jika Anda tidak memasang sertifikat klien yang valid, autentikasi akan gagal ketika klien mencoba menyambungkan ke VNet.

    Anda dapat membuat sertifikat unik untuk setiap klien, atau Anda dapat menggunakan sertifikat yang sama untuk beberapa klien. Keuntungan membuat sertifikat klien yang unik adalah kemampuan untuk mencabut satu sertifikat. Jika tidak, jika beberapa klien menggunakan sertifikat klien yang sama untuk mengautentikasi dan Anda mencabutnya, Anda harus membuat dan memasang sertifikat baru untuk setiap klien yang menggunakan sertifikat tersebut.

    Anda dapat membuat sertifikat klien dengan menggunakan metode berikut:

    • Sertifikat perusahaan:

      • Jika Anda menggunakan solusi sertifikat perusahaan, buat sertifikat klien dengan format nilai nama umum nama@yourdomain.com. Gunakan format ini, jangan gunakan format nama domain\nama pengguna.

      • Pastikan sertifikat klien didasarkan pada templat sertifikat pengguna yang memiliki Autentikasi Klien yang terdaftar sebagai item pertama dalam daftar pengguna. Periksa sertifikat dengan mengklik dua kali sertifikat dan menampilkan Penggunaan Kunci yang Disempurnakan di tab Detail.

    • Sertifikat akar yang ditandatangani sendiri: Ikuti langkah-langkah di salah satu artikel sertifikat P2S berikut ini sehingga sertifikat klien yang Anda buat akan kompatibel dengan koneksi P2S Anda.

      Ketika Anda membuat sertifikat klien dari sertifikat akar yang ditandatangani sendiri, sertifikat tersebut secara otomatis dipasang pada komputer yang Anda gunakan untuk membuatnya. Jika Anda ingin memasang sertifikat klien di komputer klien lain, ekspor sebagai file .pfx, bersama dengan seluruh rantai sertifikat. Dengan begitu, akan terbuat file .pfx yang berisi informasi sertifikat akar yang diperlukan klien untuk mengautentikasi.

      Langkah-langkah dalam artikel ini menghasilkan sertifikat klien yang kompatibel, yang kemudian dapat Anda ekspor dan distribusikan.

      • Instruksi Windows 10 PowerShell: Instruksi ini memerlukan Windows 10 dan PowerShell untuk membuat sertifikat. Sertifikat yang dibuat dapat dipasang pada klien P2S yang didukung.

      • Instruksi MakeCert: Gunakan MakeCert jika Anda tidak memiliki akses ke komputer Windows 10 untuk membuat sertifikat. Meskipun MakeCert tidak digunakan lagi, Anda masih dapat menggunakannya untuk membuat sertifikat. Anda dapat memasang sertifikat yang dihasilkan pada klien P2S yang didukung.

      • Instruksi Linux.

  2. Setelah Anda membuat sertifikat klien, ekspor sertifikat tersebut. Sertifikat klien akan didistribusikan ke komputer klien yang akan tersambung.

Mengunggah informasi kunci publik sertifikat akar

Verifikasi bahwa gateway VPN Anda telah selesai terbentuk. Setelah selesai, Anda dapat mengunggah file .cer (yang berisi informasi kunci publik) untuk sertifikat akar tepercaya ke Azure. Setelah file .cer diunggah, Azure dapat menggunakannya untuk mengautentikasi klien yang telah menginstal sertifikat klien yang dihasilkan dari sertifikat akar tepercaya. Anda dapat mengunggah file sertifikat akar terpercaya tambahan - hingga total 20 - nanti, jika diperlukan.

Catatan

Anda tidak dapat mengunggah file .cer menggunakan Azure Cloud Shell. Anda dapat menggunakan PowerShell secara lokal di komputer Anda, atau Anda bisa menggunakan langkah-langkah portal Microsoft Azure.

  1. Deklarasikan variabel untuk nama sertifikat Anda, ganti nilai dengan nilai Anda sendiri.

    $P2SRootCertName = "P2SRootCert.cer"
    
  2. Ganti jalur file dengan jalur Anda sendiri, lalu jalankan cmdlet.

    $filePathForCert = "C:\cert\P2SRootCert.cer"
    $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
    $CertBase64 = [system.convert]::ToBase64String($cert.RawData)
    
  3. Unggah informasi kunci publik ke Azure. Setelah informasi sertifikat diunggah, Azure menganggapnya sebagai sertifikat akar tepercaya. Saat mengunggah, pastikan Anda menjalankan PowerShell secara lokal di komputer Anda, atau sebagai gantinya, Anda dapat menggunakan langkah-langkah portal Microsoft Azure. Anda tidak dapat mengunggah menggunakan Azure Cloud Shell.

    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64
    

Menginstal sertifikat klien yang diekspor

Langkah-langkah berikut ini membantu Anda menginstal pada klien Windows. Untuk klien tambahan dan informasi selengkapnya, lihatMenginstal sertifikat klien.

  1. Setelah sertifikat klien diekspor, temukan dan salin file .pfx ke komputer klien.
  2. Pada komputer klien, klik dua kali file .pfx untuk menginstal. Biarkan Lokasi Toko sebagai Pengguna Saat Ini, lalu pilih Berikutnya.
  3. Di halaman File untuk diimpor, jangan membuat perubahan apa pun. Pilih Selanjutnya.
  4. Di halaman Perlindungan kunci privat, masukkan kata sandi untuk sertifikat, atau verifikasi bahwa prinsip keamanan sudah benar, lalu pilih Berikutnya.
  5. Di halaman Penyimpanan Sertifikat, tinggalkan lokasi default, lalu pilih Berikutnya.
  6. Pilih Selesai. Pada Peringatan Keamanan untuk penginstalan sertifikat, pilih Ya. Anda dapat dengan nyaman memilih 'Ya' untuk peringatan keamanan ini karena Anda membuat sertifikat.
  7. Sertifikat sekarang berhasil diimpor.

Pastikan sertifikat klien diekspor sebagai .pfx bersama dengan seluruh rantai sertifikat (yang merupakan default). Jika tidak, informasi sertifikat akar tidak ada di komputer klien dan klien tidak akan dapat mengautentikasi dengan benar.

Konfigurasikan klien VPN

Untuk menyambungkan ke gateway virtual menggunakan P2S, setiap komputer menggunakan klien VPN yang diinstal secara asli sebagai bagian dari sistem operasi. Misalnya, ketika Anda membuka pengaturan VPN di komputer Windows Anda, Anda dapat menambahkan koneksi VPN tanpa menginstal klien VPN yang terpisah. Anda mengonfigurasi setiap klien VPN dengan menggunakan paket konfigurasi klien. Paket konfigurasi klien berisi pengaturan yang khusus untuk gateway VPN yang Anda buat.

Anda dapat menggunakan contoh cepat berikut untuk membuat dan menginstal paket konfigurasi klien. Untuk informasi selengkapnya tentang konten paket dan instruksi tambahan tentang untuk membuat dan menginstal file konfigurasi klien VPN, lihat Membuat dan menginstal file konfigurasi klien VPN.

Jika Anda perlu mendeklarasikan variabel Anda lagi, Anda dapat menemukannya di sini.

Untuk menghasilkan file konfigurasi

$profile=New-AzVpnClientConfiguration -ResourceGroupName $RG -Name $GWName -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

Untuk menginstal paket konfigurasi klien

Anda dapat menggunakan paket konfigurasi klien VPN yang sama di setiap komputer klien Windows, selama versinya cocok dengan arsitektur untuk klien. Untuk daftar sistem operasi klien yang didukung, lihat bagian Titik ke Situs dari FAQ VPN Gateway.

Catatan

Anda harus memiliki hak Administrator pada komputer klien Windows tempat Anda ingin tersambung.

Memasang file konfigurasi

  1. Pilih file konfigurasi klien VPN yang sesuai dengan arsitektur komputer Windows. Untuk arsitektur prosesor 64-bit, pilih paket alat penginstal ‘VpnClientSetupAmd64’. Untuk arsitektur prosesor 32-bit, pilih paket alat penginstal ‘VpnClientSetupX86’.
  2. Klik dua kali paket untuk menginstalnya. Jika Anda melihat popup SmartScreen, klik Info selengkapnya, lalu Tetap jalankan.

Memverifikasi dan menghubungkan

  1. Pastikan bahwa Anda telah memasang sertifikat klien di komputer klien. Sertifikat klien diperlukan untuk autentikasi saat menggunakan jenis autentikasi sertifikat Azure asli. Untuk melihat sertifikat klien, buka Kelola Sertifikat Pengguna. Sertifikat klien dipasang di User\Personal\Certificates Saat Ini.
  2. Pada terhubung, buka Pengaturan Jaringan dan klik VPN. Koneksi VPN menampilkan nama jaringan virtual yang disambungkannya.

10. Sambungkan ke Azure

Klien Windows VPN

Catatan

Anda harus memiliki hak Administrator pada komputer klien Windows tempat Anda tersambung.

  1. Untuk menyambungkan ke VNet Anda, pada komputer klien, navigasi ke pengaturan VPN dan temukan koneksi VPN yang Anda buat. Ini dinamai nama yang sama dengan jaringan virtual Anda. Pilih Sambungkan. Pesan pop-up mungkin muncul yang merujuk ke menggunakan sertifikat. Pilih Lanjutkan menggunakan hak istimewa yang ditinggikan.

  2. Pada halaman status Koneksi, pilih Sambungkan untuk memulai koneksi. Jika Anda melihat layar Pilih Sertifikat, verifikasi bahwa sertifikat klien yang diperlihatkan adalah sertifikat yang ingin Anda gunakan untuk menyambungkan. Jika tidak, gunakan panah turun bawah untuk memilih sertifikat yang benar, lalu pilih OK.

    Sambungkan dari komputer Windows

  3. Koneksi Anda dibuat.

    Sambungkan dari komputer ke VNet Azure - diagram koneksi titik-ke-situs

Jika Anda mengalami masalah saat menyambungkan, periksa item berikut ini:

  • Jika Anda mengekspor sertifikat klien dengan Wizard Ekspor Sertifikat, pastikan Anda mengekspornya sebagai file .pfx dan memilih Sertakan semua sertifikat dalam jalur sertifikasi jika memungkinkan. Ketika Anda mengekspornya dengan nilai ini, informasi sertifikat akar juga diekspor. Setelah Anda memasang sertifikat pada komputer klien, sertifikat akar dalam file .pfx juga dipasang. Untuk memverifikasi bahwa sertifikat akar dipasang, buka Kelola sertifikat pengguna dan pilih Sertifikat\Otoritas Sertifikasi Akar Tepercaya. Verifikasi bahwa sertifikat akar tercantum, karena harus ada agar autentikasi berfungsi.

  • Jika Anda menggunakan sertifikat yang dikeluarkan oleh solusi Enterprise CA dan Anda tidak dapat mengautentikasi, verifikasi urutan autentikasi pada sertifikat klien. Periksa urutan daftar autentikasi dengan mengklik dua kali sertifikat klien, pilih tab Detail, lalu pilih Penggunaan Kunci yang Disempurnakan. Pastikan Autentikasi Klien adalah item pertama dalam daftar. Jika tidak, terbitkan sertifikat klien berdasarkan templat pengguna yang memiliki Autentikasi Klien sebagai item pertama dalam daftar.

  • Untuk informasi pemecahan masalah P2S tambahan, lihat Memecahkan masalah koneksi P2S.

Klien Mac VPN

Dari kotak dialog Jaringan, temukan profil klien yang ingin Anda gunakan, lalu klik Sambungkan. Periksa Pasang - Mac (OS X) untuk instruksi terperinci. Jika Anda mengalami masalah saat menyambungkan, pastikan bahwa gateway jaringan virtual tidak menggunakan SKU Dasar. SKU Dasar tidak didukung untuk OpenVPN.

Koneksi Mac

Untuk memverifikasi koneksi

Instruksi ini berlaku untuk klien Windows.

  1. Untuk memverifikasi bahwa koneksi VPN Anda aktif, buka perintah yang ditinggikan, lalu jalankan ipconfig/all.

  2. Lihat hasilnya. Perhatikan bahwa alamat IP yang Anda terima adalah salah satu alamat dalam Kumpulan Alamat Klien VPN titik-ke-situs yang Anda tentukan dalam konfigurasi Anda. Hasilnya mirip dengan contoh ini:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.13(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Untuk menyambungkan ke mesin virtual

Instruksi ini berlaku untuk klien Windows.

Anda dapat menyambungkan ke VM yang disebarkan ke VNet Anda dengan membuat Koneksi Desktop Jarak Jauh ke VM Anda. Cara terbaik untuk memverifikasi bahwa Anda dapat terhubung ke VM Anda terlebih dahulu adalah dengan menggunakan alamat IP pribadinya, bukan nama komputernya. Dengan cara tersebut, Anda sedang menguji apakah Anda dapat tersambung, bukan mengenai resolusi nama yang dikonfigurasi dengan benar.

  1. Temukan alamat IP pribadi. Anda dapat menemukan alamat IP pribadi VM dengan melihat properti untuk VM di portal Azure, atau dengan menggunakan PowerShell.

    • Portal Azure - Temukan komputer virtual Anda di portal Azure. Lihat properti untuk VM. Alamat IP pribadi dicantumkan.

    • PowerShell - Gunakan contoh untuk menampilkan daftar VM dan alamat IP pribadi dari grup sumber daya Anda. Anda tidak perlu mengubah contoh ini sebelum menggunakannya.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Pastikan Anda tersambung ke VNet dengan sambungan VPN Titik-ke-Situs.

  3. Buka Sambungan Desktop Jarak Jauh, dengan mengetikkan "RDP" atau "Sambungan Desktop Jarak Jauh" di kotak pencarian pada taskbar, lalu pilih Sambungan Desktop Jarak Jauh. Anda juga dapat membuka Sambungan Desktop Jarak Jauh menggunakan perintah 'mstsc' di PowerShell.

  4. Di Sambungan Desktop Jarak Jauh, masukkan alamat IP pribadi VM. Anda dapat mengeklik "Tampilkan Opsi" untuk menyesuaikan pengaturan tambahan, lalu sambungkan.

Memecahkan masalah koneksi

Jika Anda mengalami masalah saat menyambungkan ke komputer virtual melalui koneksi VPN Anda, periksa hal berikut:

  • Pastikan sambungan VPN Anda berhasil.

  • Pastikan Anda tersambung ke alamat IP pribadi untuk VM.

  • Jika Anda dapat tersambung ke VM menggunakan alamat IP pribadi, tetapi bukan nama komputer, pastikan Anda telah mengonfigurasi DNS dengan benar. Untuk informasi selengkapnya tentang cara kerja resolusi nama untuk VM, lihat Resolusi Nama untuk VM.

  • Untuk informasi selengkapnya tentang sambungan RDP, lihat Memecahkan masalah sambungan Desktop Jauh ke VM.

  • Pastikan bahwa paket konfigurasi klien VPN dihasilkan setelah alamat IP server DNS ditentukan untuk VNet. Jika Anda memperbarui alamat IP server DNS, hasilkan dan instal paket konfigurasi klien VPN baru.

  • Gunakan 'ipconfig' untuk memeriksa alamat IPv4 yang ditetapkan ke adaptor Ethernet pada komputer yang Anda sambungkan. Jika alamat IP berada dalam rentang alamat VNet yang Anda sambungkan, atau dalam rentang alamat VPNClientAddressPool Anda, keadaan itu disebut sebagai ruang alamat yang tumpang tindih. Ketika ruang alamat Anda tumpang tindih semacam ini, lalu lintas jaringan tidak mencapai Azure, ruang alamat Anda tetap berada di jaringan lokal.

Menambah atau menghapus sertifikat akar

Anda dapat menambah dan menghapus sertifikat akar terpercaya dari Azure. Saat Anda menghapus sertifikat akar, klien yang memiliki sertifikat yang dihasilkan dari sertifikat akar tidak dapat mengautentikasi dan tidak akan dapat tersambung. Jika Anda ingin klien mengautentikasi dan menyambungkan, Anda perlu menginstal sertifikat klien baru yang dihasilkan dari sertifikat akar yang terpercaya (diunggah) ke Azure. Langkah-langkah ini memerlukan cmdlet Azure PowerShell yang diinstal secara lokal di komputer Anda (bukan Azure Cloud Shell). Anda juga dapat menggunakan portal Microsoft Azure untuk menambahkan sertifikat akar.

Untuk menambahkan:

Anda dapat menambahkan hingga 20 .cer file sertifikat akar ke Azure. Langkah-langkah berikut ini membantu Anda menambahkan sertifikat akar.

  1. Siapkan file .cer untuk diunggah:

    $filePathForCert = "C:\cert\P2SRootCert3.cer"
    $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
    $CertBase64_3 = [system.convert]::ToBase64String($cert.RawData)
    
  2. Unggah file. Anda hanya dapat mengunggah satu file per unggahan.

    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64_3
    
  3. Untuk memverifikasi bahwa file sertifikat telah diunggah:

    Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Untuk menghapus:

  1. Deklarasikan variabel. Ubah variabel dalam contoh agar sesuai dengan sertifikat yang ingin Anda hapus.

    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    $P2SRootCertName2 = "ARMP2SRootCert2.cer"
    $MyP2SCertPubKeyBase64_2 = "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"
    
  2. Hapus sertifikat.

    Remove-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -PublicCertData $MyP2SCertPubKeyBase64_2
    
  3. Gunakan contoh berikut untuk memverifikasi bahwa sertifikat berhasil dihapus.

    Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Untuk mencabut atau mengembalikan sertifikat klien

Anda dapat mencabut sertifikat klien. Daftar pembatalan sertifikat memungkinkan Anda memilih untuk menolak konektivitas titik-ke-situs berdasarkan masing-masing sertifikat klien. Ini berbeda dengan menghapus sertifikat akar tepercaya. Jika Anda menghapus sertifikat akar terpercaya .cer dari Azure, sertifikat tersebut akan mencabut akses untuk semua sertifikat klien yang dihasilkan/ditandatangani oleh sertifikat akar yang dicabut. Mencabut sertifikat klien, bukan sertifikat akar, memungkinkan sertifikat lain yang dihasilkan dari sertifikat akar untuk terus digunakan untuk autentikasi.

Praktik umumnya adalah menggunakan sertifikat akar untuk mengelola akses di tingkat tim atau organisasi, sambil menggunakan sertifikat klien yang dicabut untuk kontrol akses halus pada pengguna individual.

Untuk mencabut:

  1. Ambil thumbprint sertifikat klien. Untuk informasi selengkapnya, lihat Cara mengambil Thumbprint Sertifikat.

  2. Salin informasi ke editor teks dan hapus semua spasi sehingga merupakan string berkelanjutan. String ini dideklarasikan sebagai variabel di langkah berikutnya.

  3. Deklarasikan variabel. Pastikan untuk mendeklarasikan thumbprint yang Anda ambil di langkah sebelumnya.

    $RevokedClientCert1 = "NameofCertificate"
    $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    
  4. Tambahkan thumbprint ke daftar sertifikat yang dicabut. Anda melihat "Berhasil" ketika thumbprint telah ditambahkan.

    Add-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
    -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG `
    -Thumbprint $RevokedThumbprint1
    
  5. Pastikan bahwa thumbprint ditambahkan ke daftar pembatalan sertifikat.

    Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
    
  6. Setelah sidik jari ditambahkan, sertifikat tidak lagi dapat digunakan untuk menyambungkan. Klien yang coba tersambung menggunakan sertifikat ini menerima pesan yang mengatakan bahwa sertifikat tersebut tidak lagi sahih.

Untuk mengembalikan:

Anda dapat mengembalikan sertifikat klien dengan menghapus thumbprint dari daftar sertifikat klien yang dicabut.

  1. Deklarasikan variabel. Pastikan Anda mendeklarasikan thumbprint yang benar untuk sertifikat yang ingin Anda kembalikan.

    $RevokedClientCert1 = "NameofCertificate"
    $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    
  2. Hapus thumbprint sertifikat dari daftar pembatalan sertifikat.

    Remove-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
    -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -Thumbprint $RevokedThumbprint1
    
  3. Periksa apakah thumbprint telah dihapus dari daftar dicabut.

    Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
    

Tanya Jawab Umum Titik-ke-situs

Untuk informasi titik-ke-situs tambahan, lihat Tanya Jawab Umum titik-ke-situs VPN Gateway

Langkah berikutnya

Setelah koneksi selesai, Anda dapat menambahkan komputer virtual ke jaringan virtual Anda. Untuk informasi selengkapnya, lihat Mesin Virtual. Untuk memahami selengkapnya tentang jaringan dan komputer virtual, lihat Ringkasan jaringan Azure dan Linux VM.

Untuk informasi pemecahan masalah P2S, Pemecahan Masalah: Masalah koneksi titik-ke-situs Azure.