Zelfstudie: Een VPN-verbinding voor gebruikers maken met Azure Virtual WAN

  • Artikel
  • 11 minuten om te lezen

Deze zelfstudie laat zien hoe u Virtual WAN gebruikt om verbinding te maken met uw resources in Azure via een OpenVPN- of IPsec-/IKE-VPN-verbinding (IKEv2) met behulp van een P2S-configuratie (User VPN). Voor dit type verbinding moet de systeemeigen VPN-client worden geconfigureerd op elke clientcomputer die verbinding maakt.

  • Als u een VPN-verbinding voor gebruikers wilt maken met behulp van Azure AD-verificatie, gebruikt u in plaats daarvan het artikel Configure a User VPN connection - Azure Active Directory authentication (Een gebruikers-VPN-verbinding configureren - Azure Active Directory verificatie).
  • Zie voor meer informatie over Virtual WAN het Overzicht van Virtual WAN.

In deze zelfstudie leert u het volgende:

  • Een virtueel WAN maken
  • De VPN-configuratie voor gebruikers maken
  • De virtuele hub en gateway maken
  • Clientconfiguratiebestanden genereren
  • VPN-clients configureren
  • Verbinding maken naar een VNet
  • Uw virtuele WAN weergeven
  • Instellingen wijzigen

Virtual WAN diagram.

Vereisten

  • U een Azure-abonnement heeft. Als u nog geen abonnement op Azure hebt, maakt u een gratis account aan.

  • U hebt een virtueel netwerk waarmee u verbinding wilt maken.

    • Controleer of geen van de subnetten van uw on-premises netwerken overlapt met de virtuele netwerken waarmee u verbinding wilt maken.
    • Zie het quickstart-artikel als u een virtueel netwerk in het Azure-portaal wilt maken.

  • Uw virtuele netwerk mogen geen bestaande virtuele netwerkgateways bevatten.

    • Als uw virtuele netwerk al gateways heeft (VPN of ExpressRoute) heeft, moet u alle gateways verwijderen voordat u verdergaat.
    • Voor deze configuratie mogen virtuele netwerken enkel verbinding maken met de Virtual WAN-hubgateway.

  • Bepaal het IP-adresbereik dat u wilt gebruiken voor de privé-adresruimte van uw virtuele hub. Deze informatie wordt gebruikt bij het configureren van uw virtuele hub. Een virtuele hub is een virtueel netwerk dat wordt gemaakt en gebruikt door Virtual WAN. Dit vormt de kern van uw Virtual WAN-netwerk in een regio. Het adresruimtebereik moet voldoen aan de volgende regels:

    • Het adresbereik dat u voor de hub opgeeft mag niet overlappen met een van de bestaande virtuele netwerken waarmee u verbinding wilt maken.
    • Het adresbereik mag niet overlappen met de on-premises adresbereiken die u verbindt.
    • Als u de IP-adresbereiken in uw on-premises netwerkconfiguratie niet kent, moet u contact opnemen met iemand die deze gegevens kan verstrekken.

Een virtueel WAN maken

  1. Typ in de portal op de balk Resources zoeken Virtual WAN in het zoekvak en selecteer Enter.

  2. Selecteer Virtuele WAN's in de resultaten. Selecteer op de pagina Virtuele WAN's de optie + Maken om de pagina WAN maken te openen.

  3. Vul op de pagina WAN maken op het tabblad Basisbeginselen de velden in. Wijzig de voorbeeldwaarden die op uw omgeving moeten worden toegepast.

    Schermopname toont het deelvenster 'WAN maken' waarbij het tabblad Basisprincipes geselecteerd is.

    • Abonnement: selecteer het abonnement dat u wilt gebruiken.
    • Resourcegroep: nieuwe maken of bestaande gebruiken.
    • Locatie van resourcegroep: kies een resourcelocatie in de vervolgkeuzekeuze. Een WAN een globale resource en bevindt zich niet in een bepaalde regio. U moet echter een regio selecteren om de WAN-resource die u maakt te kunnen beheren en vinden.
    • Naam: typ de naam die u wilt aanroepen van uw virtuele WAN.
    • Type: Basic of Standard. selecteer Standaard. Als u Basic selecteert, moet u begrijpen dat virtuele BASIC-VPN's alleen Basic-hubs kunnen bevatten. Basic-hubs kunnen alleen worden gebruikt voor site-naar-site-verbindingen.

  4. Nadat u klaar bent met het invullen van de velden, selecteert u onder aan de pagina Beoordelen en maken.

  5. Zodra de validatie is uitgevoerd, klikt u op Maken om het virtuele WAN te maken.

Een VPN-configuratie voor gebruikers maken

De configuratie gebruikers-VPN (P2S) definieert de parameters voor externe clients om verbinding te maken. De instructies die u volgt, zijn afhankelijk van de verificatiemethode die u wilt gebruiken.

In de volgende stappen hebt u bij het selecteren van de verificatiemethode drie opties. Elke methode heeft specifieke vereisten. Selecteer een van de volgende methoden en voltooi de stappen.

  • Azure-certificaten: Voor deze configuratie zijn certificaten vereist. U moet certificaten genereren of verkrijgen. Voor elke client is een clientcertificaat vereist. Daarnaast moet de gegevens van het basiscertificaat (openbare sleutel) worden geüpload. Zie Certificaten genereren en exporteren voor meer informatie over de vereiste certificaten.

  • Azure Active Directory verificatie: Gebruik het artikel Configure a User VPN connection - Azure Active Directory authentication (Een GEBRUIKERS-VPN-verbinding configureren - verificatie). Dit artikel bevat de specifieke stappen die nodig zijn voor deze configuratie.

  • Verificatie op basis van radius: Verkrijg de IP-adresgegevens van de Radius-server, het radius-servergeheim en de certificaatgegevens.

Configuratiestappen

  1. Navigeer naar het virtuele WAN dat u hebt gemaakt.

  2. Selecteer VPN-configuraties van gebruikers in het menu aan de linkerkant.

  3. Selecteer op de pagina Gebruikers-VPN-configuraties de optie +VPN-configuratie voor gebruikers maken.

    Schermopname van de pagina VPN-configuraties van gebruikers.

  4. Voer op het tabblad Basisinformatie op de pagina Nieuwe gebruikers-VPN-configuratie maken onder Exemplaardetails de naam in die u wilt toewijzen aan uw VPN-configuratie.

    Schermopname van IPsec overschakelen naar aangepast.

  5. Als Tunnel typt, selecteert u het tunneltype dat u wilt in de vervolgkeuzekeuze. De opties voor tunneltype zijn: IKEv2 VPN, OpenVPN en OpenVpn en IKEv2. Elk tunneltype heeft verschillende vereiste instellingen.

    Vereisten en parameters:

    IKEv2 VPN

    • Vereisten: Wanneer u het IKEv2-tunneltype selecteert, ziet u een bericht waarin u wordt om een verificatiemethode te selecteren. Voor IKEv2 kunt u slechts één verificatiemethode opgeven. U kunt kiezen voor Azure-certificaat, Azure Active Directory of RADIUS-verificatie.

    • Aangepaste IPSec-parameters: Als u de parameters voor IKE Phase 1 en IKE Phase 2 wilt aanpassen, zet u de IPsec-switch op Aangepast en selecteert u de parameterwaarden. Zie het artikel Aangepaste IPsec voor meer informatie over aanpasbare parameters.

    OpenVPN

    • Vereisten: Wanneer u het OpenVPN-tunneltype selecteert, ziet u een bericht waarin u wordt om een verificatiemechanisme te selecteren. Als OpenVPN is geselecteerd als tunneltype, kunt u meerdere verificatiemethoden opgeven. U kunt elke subset van Azure Certificate, Azure Active Directory of RADIUS-verificatie kiezen. Voor verificatie op basis van RADIUS kunt u een secundair IP-adres en servergeheim van de RADIUS-server verstrekken.

  6. Configureer de verificatiemethoden die u wilt gebruiken. Elke verificatiemethode staat op een afzonderlijk tabblad: Azure-certificaat, RADIUS-verificatie en Azure Active Directory. Sommige verificatiemethoden zijn alleen beschikbaar voor bepaalde tunneltypen.

    Selecteer ja op het tabblad voor de verificatiemethode die u wilt configureren om de beschikbare configuratie-instellingen weer te laten zien.

    Schermopname van het scherm Nee: Ja is gemarkeerd.

    • Voorbeeld - Certificaatverificatie

      Schermopname van Ja geselecteerd.

    • Voorbeeld - RADIUS-verificatie

      Schermopname van de pagina RADIUS-verificatie.

    • Voorbeeld- Azure Active Directory verificatie

      Azure Active Directory verificatiepagina.

  7. Wanneer u klaar bent met het configureren van de instellingen, klikt u op Controleren en maken onderaan de pagina.

  8. Klik op Maken om de vpn-configuratie voor gebruikers te maken.

Een virtuele hub en gateway maken

  1. Selecteer hubs op de pagina voor uw virtuele WAN in het linkerdeelvenster. Selecteer op de pagina Hubs de optie +Nieuwe hub.

    Schermopname van de nieuwe hub.

  2. Bekijk op de pagina Virtuele hub maken het tabblad Basisinformatie.

    Schermopname van het maken van een virtuele hub.

  3. Configureer de volgende instellingen op het tabblad Basisinformatie:

    • Regio: selecteer de regio waarin u de virtuele hub wilt implementeren.
    • Naam: de naam waarmee u wilt dat de virtuele hub bekend is.
    • Privé-adresruimte van hub: het adresbereik van de hub in CIDR-notatie.

  4. Klik op het tabblad Punt-naar-site om de configuratiepagina voor punt-naar-site te openen. Als u de punt-naar-site-instellingen wilt weergeven, klikt u op Ja.

    Schermopname van de configuratie van de virtuele hub met punt-naar-site geselecteerd.

  5. Configureer de volgende instellingen:

    • Gatewayschaaleenheden: dit vertegenwoordigt de geaggregeerde capaciteit van de VPN-gateway van de gebruiker. Als u 40 of meer gatewayschaaleenheden selecteert, moet u uw clientadresgroep dienovereenkomstig plannen. Zie Over clientadresgroepen voor meer informatie over de invloed van deze instelling op de clientadresgroep. Zie veelgestelde vragen voor meer informatie over gatewayschaaleenheden.
    • Punt-naar-site-configuratie: selecteer de VPN-configuratie voor gebruikers die u in een vorige stap hebt gemaakt.
    • Routeringsvoorkeur: met Azure-routeringsvoorkeur kunt u kiezen hoe uw verkeer wordt geroutering tussen Azure en internet. U kunt ervoor kiezen om verkeer te routeer via het Microsoft-netwerk of via het ISP-netwerk (openbaar internet). Deze opties worden ook wel respectievelijk cold routing en hot routing genoemd. Het openbare IP-adres in Virtual WAN wordt door de service toegewezen op basis van de geselecteerde routeringsoptie. Zie het artikel Routeringsvoorkeur voor meer informatie over routeringsvoorkeur via microsoft-netwerk of internetprovider.
    • Clientadresgroep: de adresgroep van waaruit IP-adressen automatisch worden toegewezen aan VPN-clients. Zie Over clientadresgroepen voor meer informatie.
    • Aangepaste DNS-servers: het IP-adres van de DNS-server(s) die de clients gebruiken. U kunt maximaal 5 opgeven.

  6. Selecteer Beoordelen en maken om de instellingen te valideren.

  7. Wanneer de validatie is uitgevoerd, selecteert u Maken. Het maken van een hub kan 30 minuten of meer duren.

Clientconfiguratiebestanden genereren

Wanneer u verbinding maakt met VNet met behulp van gebruikers-VPN (P2S), gebruikt u de VPN-client die systeemeigen is geïnstalleerd op het besturingssysteem waarmee u verbinding maakt. Alle benodigde configuratie-instellingen voor de VPN-clients zijn opgenomen in een ZIP-bestand voor vpn-clientconfiguratie. Met de instellingen in het zip-bestand kunt u de VPN-clients eenvoudig configureren. De CONFIGURATIEbestanden van de VPN-client die u genereert, zijn specifiek voor de VPN-configuratie van de gebruiker voor uw gateway. In deze sectie genereert en downloadt u de bestanden die worden gebruikt om uw VPN-clients te configureren.

  1. Selecteer op de pagina voor uw virtuele WAN gebruikers-VPN-configuraties.

  2. Selecteer op de pagina Vpn-configuraties voor gebruikers een configuratie en selecteer vervolgens VPN-profiel voor virtuele WAN-gebruikers downloaden.

    Schermopname van VPN-profiel voor virtual WAN-gebruiker downloaden.

    • Wanneer u de configuratie op WAN-niveau downloadt, krijgt u een ingebouwd Traffic Manager op basis van een gebruikers-VPN-profiel.

    • Zie Hubprofielen voor meer informatie over globale profielen en hubprofielen. Failover-scenario's worden vereenvoudigd met wereldwijde profielen.

    • Als om enige reden een hub niet beschikbaar is, zal het ingebouwde verkeerbeheer dat wordt geboden door de service de verbinding naar Azure-resources voor punt-naar-site-gebruikers garanderen via een andere hub. U kunt altijd een VPN-configuratie specifiek voor een hub downloaden door naar de hub te gaan. Download onder Gebruikers-VPN (punt-naar-site) het Gebruikers-VPN-profiel van de virtuele hub.

  3. Selecteer op de pagina VPN-profiel van virtuele WAN-gebruiker downloaden het wante verificatietype en klik vervolgens op Profiel genereren en downloaden.

    Er wordt een profielpakket (zip-bestand) met de clientconfiguratie-instellingen gegenereerd en gedownload naar uw computer.

    Schermopname van profiel genereren en downloaden.

VPN-clients configureren

Gebruik het gedownloade profielpakket om de VPN-clients voor externe toegang te configureren. De procedure is anders voor elk besturingssysteem. Volg de instructies die van toepassing zijn op uw systeem. Zodra u klaar bent met het configureren van uw client, kunt u verbinding maken.

OpenVPN

IKEv2

  1. Selecteer de VPN-clientconfiguratiebestanden die overeenkomen met de architectuur van de Windows-computer. Kies voor een architectuur met 64-bits processor het installatiepakket ‘VpnClientSetupAmd64’. Kies voor een architectuur met 32-bits processor het installatiepakket ‘VpnClientSetupAmdX86’.

  2. Dubbelklik op het pakket om het te installeren. Selecteer Meer info en vervolgens Toch uitvoeren als u een SmartScreen-melding ziet.

  3. Navigeer op de clientcomputer naar Netwerkinstellingen en selecteer VPN. De VPN-verbinding bevat de naam van het virtuele netwerk waarmee verbinding wordt gemaakt.

  4. Controleer of u een clientcertificaat op de clientcomputer hebt geïnstalleerd voordat u verbinding probeert te maken. Een clientcertificaat is vereist voor verificatie als u het systeemeigen verificatietype met Azure-certificaat gebruikt. Raadpleeg Certificaten genereren voor meer informatie over het genereren van certificaten. Raadpleeg Een clientcertificaat installeren voor meer informatie over het installeren van een clientcertificaat.

Verbinding maken VNet naar hub

In deze sectie maakt u een verbinding tussen uw virtuele hub en uw VNet. Voor deze zelfstudie hoeft u de routeringsinstellingen niet te configureren.

  1. Navigeer naar Virtual WAN.

  2. Selecteer Virtuele netwerkverbindingen.

  3. Selecteer op de pagina van de virtuele netwerkverbinding + Verbinding toevoegen.

    Schermopname van toevoegen.

  4. Configureer de vereiste instellingen op de pagina Verbinding toevoegen. Zie Over routering voor meer informatie over routeringsinstellingen.

    Schermopname van de pagina VNet-verbinding.

    • Verbindingsnaam: noem uw verbinding.
    • Hubs: selecteer de hub die u aan deze verbinding wilt koppelen.
    • Abonnement: controleer het abonnement.
    • Resourcegroep: de resourcegroep die het VNet bevat.
    • Virtueel netwerk: selecteer het virtuele netwerk dat u wilt verbinden met deze hub. Het virtuele netwerk dat u selecteert, mag geen bestaande virtuele netwerkgateway hebben.
    • Doorgeven naar geen: dit is standaard ingesteld op Nee. Als u de schakelaar in Ja verandert, zijn de configuratieopties voor Doorgeven aan routetabellen en Doorgeven naar labels niet beschikbaar voor configuratie.
    • Routetabel koppelen: u kunt de routetabel selecteren die u wilt koppelen.
    • Statische routes: u kunt deze instelling gebruiken om de volgende hop op te geven.

  5. Nadat u de instellingen hebt voltooid die u wilt configureren, selecteert u Maken om de verbinding te maken.

Een virtueel WAN weergeven

  1. Navigeer naar uw virtuele WAN.

  2. Op de pagina Overzicht vertegenwoordigt elk punt op de kaart een hub.

  3. In de sectie Hubs en verbindingen vindt u informatie over de hubstatus, site, regio, VPN-verbindingsstatus en verzonden en ontvangen bytes.

Instellingen wijzigen

Clientadresgroep wijzigen

  1. Navigeer naar uw Virtual HUB -> User VPN (punt-naar-site).

  2. Klik op de waarde naast Gateway-schaaleenheden om de pagina VPN-gateway voor gebruikers bewerken te openen.

  3. Bewerk de instellingen op de pagina Vpn-gateway van gebruiker bewerken.

  4. Klik onder aan de pagina op Bewerken om uw instellingen te valideren.

  5. Klik op Bevestigen om uw instellingen op te slaan. Het kan tot 30 minuten duren voordat alle wijzigingen op deze pagina zijn voltooid.

DNS-servers wijzigen

  1. Navigeer naar uw Virtual HUB -> User VPN (punt-naar-site).

  2. Klik op de waarde naast Aangepaste DNS-servers om de pagina VPN-gateway van gebruiker bewerken te openen.

  3. Bewerk op de pagina VPN-gateway van gebruiker bewerken het veld Aangepaste DNS-servers. Voer de IP-adressen van de DNS-server in de tekstvakken Aangepaste DNS-servers in. U kunt maximaal vijf DNS-servers opgeven.

  4. Klik op Bewerken onderaan de pagina om uw instellingen te valideren.

  5. Klik op Bevestigen om uw instellingen op te slaan. Het kan tot 30 minuten duren voordat alle wijzigingen op deze pagina zijn voltooid.

Resources opschonen

Wanneer u de gemaakte resources niet meer nodig hebt, verwijdert u ze. Sommige van de Virtual WAN resources moeten in een bepaalde volgorde worden verwijderd vanwege afhankelijkheden. Het verwijderen kan ongeveer 30 minuten duren.

  1. Open het virtuele WAN dat u hebt gemaakt.

  2. Selecteer een virtuele hub die is gekoppeld aan het virtuele WAN om de hubpagina te openen.

  3. Verwijder alle gatewayentiteiten volgens de onderstaande volgorde voor het gatewaytype. Dit kan 30 minuten duren.

    VPN:

    1. VPN-sites loskoppelen
    2. VPN-verbindingen verwijderen
    3. VPN-gateways verwijderen

    ExpressRoute:

    1. ExpressRoute-verbindingen verwijderen
    2. ExpressRoute-gateways verwijderen

  4. U kunt de hub op dit moment verwijderen of later verwijderen wanneer u de resourcegroep verwijdert.

  5. Herhaal dit voor alle hubs die zijn gekoppeld aan het virtuele WAN.

  6. Navigeer naar de resourcegroep in Azure Portal.

  7. Selecteer Resourcegroep verwijderen. Hiermee verwijdert u alles in de resourcegroep, inclusief de hubs en het virtuele WAN.

Volgende stappen