Over punt-naar-site-VPN
Met een point-to-site-VPN-gatewayverbinding (P2S) kunt u vanaf een afzonderlijke clientcomputer een beveiligde verbinding maken met uw virtuele netwerk. Een P2S-verbinding wordt tot stand gebracht door deze te starten vanaf de clientcomputer. Deze oplossing is handig voor telewerkers die verbinding willen maken met een Azure VNet vanaf een externe locatie, zoals vanaf thuis of een conferentie. P2S-VPN is ook een uitstekende oplossing in plaats van een S2S-VPN wanneer u maar een paar clients hebt die verbinding moeten maken met een VNet. Dit artikel is van toepassing op Resource Manager implementatiemodel.
Welk protocol gebruikt P2S?
Punt-naar-site-VPN kan een van de volgende protocollen gebruiken:
OpenVPN® Protocol, een vpn-protocol op basis van SSL/TLS. Een TLS VPN-oplossing kan firewalls passeren, omdat de meeste firewalls uitgaand TCP-poort 443 openen, die door TLS wordt gebruikt. OpenVPN kan worden gebruikt om verbinding te maken vanaf Android-, iOS-apparaten (versie 11.0 en hoger), Windows-, Linux- en Mac-apparaten (macOS-versies 10.13 en hoger).
Secure Socket Tunneling Protocol (SSTP), een eigen VPN-protocol op basis van TLS. Een TLS VPN-oplossing kan firewalls passeren, omdat de meeste firewalls uitgaand TCP-poort 443 openen, die door TLS wordt gebruikt. SSTP wordt alleen ondersteund op Windows apparaten. Azure ondersteunt alle versies van Windows SSTP en ondersteunen TLS 1.2 (Windows 8.1 en hoger).
IKEv2 VPN, een op standaarden gebaseerde IPsec VPN-oplossing. IKEv2 VPN kan worden gebruikt om verbinding te maken vanaf Mac-apparaten (macOS versie 10.11 en hoger).
Notitie
IKEv2 en OpenVPN voor P2S zijn alleen beschikbaar voor Resource Manager implementatiemodel. Ze zijn niet beschikbaar voor het klassieke implementatiemodel.
Hoe worden P2S VPN-clients geverifieerd?
Voordat Azure een P2S VPN-verbinding accepteert, moet de gebruiker eerst worden geverifieerd. Er zijn twee mechanismen die Azure biedt voor het verifiëren van een gebruiker die verbinding maakt.
Verifiëren met behulp van native Azure-certificaatverificatie
Wanneer u de systeemeigen Azure-certificaatverificatie gebruikt, wordt er een clientcertificaat op het apparaat gebruikt om de gebruiker die verbinding maakt te verifiëren. Clientcertificaten worden gegenereerd op basis van een vertrouwd basiscertificaat en vervolgens geïnstalleerd op elke clientcomputer. U kunt een basiscertificaat gebruiken dat is gegenereerd met behulp van een Enterprise-oplossing of u kunt een zelf-ondertekend certificaat genereren.
De validatie van het clientcertificaat wordt uitgevoerd door de VPN-gateway en vindt plaats tijdens het tot stand brengen van de P2S VPN-verbinding. Het basiscertificaat is vereist voor de validatie en moet worden geüpload naar Azure.
Verifiëren met behulp van Azure Active Directory verificatie
Met Azure AD-verificatie kunnen gebruikers verbinding maken met Azure met behulp Azure Active Directory referenties. Native Azure AD-verificatie wordt alleen ondersteund voor het OpenVPN-protocol en Windows 10 en vereist het gebruik van Azure VPN Client.
Met native Azure AD-verificatie kunt u gebruikmaken van voorwaardelijke toegang van Azure AD en multi-factor Authentication-functies (MFA) voor VPN.
Op hoog niveau moet u de volgende stappen uitvoeren om Azure AD-verificatie te configureren:
Verifiëren met active directory-domeinserver (AD)
Met AD-domeinverificatie kunnen gebruikers verbinding maken met Azure met behulp van de domeinreferenties van hun organisatie. Hiervoor is een RADIUS-server vereist die kan worden geïntegreerd met de AD-server. Organisaties kunnen ook gebruikmaken van hun bestaande RADIUS-implementatie.
De RADIUS-server kan on-premises of in uw Azure-VNet worden geïmplementeerd. Tijdens verificatie fungeert de Azure VPN Gateway als een pass-through en worden verificatieberichten heen en weer doorgestuurd tussen de RADIUS-server en het verbindende apparaat. Het is dus belangrijk dat de gateway bereikbaar is voor de RADIUS-server. Als de RADIUS-server on-premises aanwezig is, is een VPN S2S-verbinding van Azure naar de on-premises site vereist om bereikbaar te zijn.
De RADIUS-server kan ook worden geïntegreerd met AD-certificaatservices. Hiermee kunt u de RADIUS-server en de implementatie van uw bedrijfscertificaat voor P2S-certificaatverificatie gebruiken als alternatief voor de Azure-certificaatverificatie. Het voordeel is dat u geen basiscertificaten en ingetrokken certificaten hoeft te uploaden naar Azure.
Een RADIUS-server kan ook worden geïntegreerd met andere externe identiteitssystemen. Hierdoor worden veel verificatieopties voor P2S VPN geopend, waaronder multi-factor options.
Wat zijn de configuratievereisten voor de client?
Notitie
Voor Windows-clients moet u beheerdersrechten hebben op het clientapparaat om de VPN-verbinding van het clientapparaat naar Azure te initiëren.
Gebruikers gebruiken de native VPN-clients op Windows en Mac-apparaten voor P2S. Azure biedt een ZIP-bestand voor vpn-clientconfiguratie dat instellingen bevat die deze systeemeigen clients nodig hebben om verbinding te maken met Azure.
- Voor Windows bestaat de CONFIGURATIE van de VPN-client uit een installatiepakket dat gebruikers op hun apparaten installeren.
- Voor Mac-apparaten bestaat het uit het mobileconfig-bestand dat gebruikers op hun apparaten installeren.
Het zip-bestand bevat ook de waarden van een aantal belangrijke instellingen aan de zijde van Azure die u kunt gebruiken om uw eigen profiel voor deze apparaten te maken. Enkele van de waarden zijn het adres van de VPN-gateway, geconfigureerde tunneltypen, routes en het basiscertificaat voor gatewayvalidatie.
Notitie
Vanaf 1 juli 2018 is ondersteuning voor TLS 1.0 en 1.1 uit Azure VPN Gateway verwijderd. VPN Gateway ondersteunt alleen TLS 1.2. Alleen Point-to-site-verbindingen worden beïnvloed. site-naar-site-verbindingen worden niet beïnvloed. Als u TLS gebruikt voor punt-naar-site-Vpn's op Windows 10-clients, hoeft u geen actie te ondernemen. Als u TLS gebruikt voor punt-naar-site-verbindingen op Windows 7-en Windows 8-clients, raadpleegt u de Veelgestelde vragen over VPN gateway voor update-instructies.
Welke gateway-SKU's ondersteunen P2S VPN?
| VPN- gateway- generatie |
SKU | S2S-/VNet-naar-VNet- tunnels |
P2S SSTP-verbindingen |
P2S IKEv2/OpenVPN-verbindingen |
Benchmark cumulatieve doorvoer |
BGP | Zone-redundant |
|---|---|---|---|---|---|---|---|
| Generatie1 | Basic | Met maximaal 10 | Met maximaal 128 | Niet ondersteund | 100 Mbps | Niet ondersteund | Nee |
| Generatie1 | VpnGw1 | Met maximaal 30 | Met maximaal 128 | Met maximaal 250 | 650 Mbps | Ondersteund | Nee |
| Generatie1 | VpnGw2 | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1 Gbps | Ondersteund | Nee |
| Generatie1 | VpnGw3 | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 1,25 Gbps | Ondersteund | Nee |
| Generatie1 | VpnGw1AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 250 | 650 Mbps | Ondersteund | Ja |
| Generatie1 | VpnGw2AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1 Gbps | Ondersteund | Ja |
| Generatie1 | VpnGw3AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 1,25 Gbps | Ondersteund | Ja |
| Generatie2 | VpnGw2 | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1,25 Gbps | Ondersteund | Nee |
| Generatie2 | VpnGw3 | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 2,5 Gbps | Ondersteund | Nee |
| Generatie2 | VpnGw4 | Met maximaal 100* | Met maximaal 128 | Met maximaal 5000 | 5 Gbps | Ondersteund | Nee |
| Generatie2 | VpnGw5 | Met maximaal 100* | Met maximaal 128 | Met maximaal 10.000 | 10 Gbps | Ondersteund | Nee |
| Generatie2 | VpnGw2AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 500 | 1,25 Gbps | Ondersteund | Ja |
| Generatie2 | VpnGw3AZ | Met maximaal 30 | Met maximaal 128 | Met maximaal 1000 | 2,5 Gbps | Ondersteund | Ja |
| Generatie2 | VpnGw4AZ | Met maximaal 100* | Met maximaal 128 | Met maximaal 5000 | 5 Gbps | Ondersteund | Ja |
| Generatie2 | VpnGw5AZ | Met maximaal 100* | Met maximaal 128 | Met maximaal 10.000 | 10 Gbps | Ondersteund | Ja |
(*) Gebruik Virtual WAN als u meer dan 100 S2S VPN-tunnels nodig hebt.
Het wijzigen van de grootte van VpnGw-SKU's is toegestaan binnen dezelfde generatie, behalve het wijzigen van de grootte van de Basic-SKU. De Basic-SKU is een verouderde SKU waarvoor beperkingen in de functionaliteit gelden. Als u van de Basic-SKU wilt overstappen op een andere VpnGw-SKU, moet u de VPN-gateway van de Basic-SKU verwijderen en een nieuwe gateway maken met de gewenste combinatie van generatie en SKU-grootte. U kunt de standaardgateway alleen het be groot maken naar een andere verouderde SKU (zie Werken met verouderde SKU's).
Er gelden afzonderlijke verbindingslimieten. U kunt bijvoorbeeld 128 SSTP-verbindingen en ook 250 IKEv2-verbindingen hebben in een SKU van het type VpnGw1.
Prijsinformatie vindt u op de pagina Prijzen.
Gegevens over de SLA (Service Level Agreement) vindt u op de pagina SLA.
In één tunnel kan een maximale doorvoer van 1 Gbps worden bereikt. De benchmark voor cumulatieve doorvoer in de bovenstaande tabel is gebaseerd op metingen van meerdere tunnels die via één gateway worden gecombineerd. De Benchmark cumulatieve doorvoer voor een VPN-gateway is gebaseerd op de combinatie S2S + P2S. Als u veel P2S-verbindingen gebruikt, kan dit in verband met doorvoerbeperkingen een negatieve invloed hebben op S2S-verbindingen. In verband met omstandigheden in het internetverkeer en het gedrag van uw toepassing geeft de Benchmark cumulatieve doorvoer geen gegarandeerde doorvoer aan.
We willen onze klanten graag helpen om inzicht te krijgen in de relatieve prestaties van SKU's die gebruikmaken van verschillende algoritmen. Daarom hebben we de prestaties gemeten met de openbaar beschikbare hulpprogramma's iPerf en CTSTraffic. De volgende tabel toont de resultaten van de prestatietests voor de VpnGw-SKU's van generatie 1. Zoals u kunt zien, worden de beste prestaties gerealiseerd bij gebruik van het GCMAES256-algoritme voor zowel IPsec-versleuteling als integriteit. Gemiddelde prestaties worden gerealiseerd bij gebruik van AES256 voor IPsec-versleuteling en SHA256 voor integriteit. De minst goede prestaties worden gerealiseerd bij gebruik van DES3 voor IPsec-versleuteling en SHA256 voor integriteit.
| Generatie | SKU | Gebruikte algoritmen |
Waargenomen doorvoer |
Waargenomen pakketten per seconde per tunnel |
|---|---|---|---|---|
| Generatie1 | VpnGw1 | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
650 Mbps 500 Mbps 120 Mbps |
58.000 50,000 50,000 |
| Generatie1 | VpnGw2 | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
1 Gbps 500 Mbps 120 Mbps |
90,000 80,000 55.000 |
| Generatie1 | VpnGw3 | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
1,25 Gbps 550 Mbps 120 Mbps |
105.000 90,000 60.000 |
| Generatie1 | VpnGw1AZ | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
650 Mbps 500 Mbps 120 Mbps |
58.000 50,000 50,000 |
| Generatie1 | VpnGw2AZ | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
1 Gbps 500 Mbps 120 Mbps |
90,000 80,000 55.000 |
| Generatie1 | VpnGw3AZ | GCMAES256 AES256 en SHA256 DES3 en SHA256 |
1,25 Gbps 550 Mbps 120 Mbps |
105.000 90,000 60.000 |
- Zie Informatie over VPN Gateway gateway-SKU-aanbevelingen.
Notitie
De basis-SKU biedt geen ondersteuning voor IKEv2- of RADIUS-verificatie.
Welk IKE-/IPsec-beleid is geconfigureerd op VPN-gateways voor P2S?
IKEv2
| Cipher | Integriteit | PRF | DH-groep |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cipher | Integriteit | PFS-groep |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Welk TLS-beleid is geconfigureerd voor VPN-gateways voor P2S?
TLS
| Beleidsregels |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Hoe kan ik P2S-verbinding configureren?
Voor een P2S-configuratie zijn heel wat specifieke stappen vereist. De volgende artikelen bevatten de stappen voor het doorlopen van de P2S-configuratie en koppelingen voor het configureren van de VPN-clientapparaten:
De configuratie van een P2S-verbinding verwijderen
U kunt de configuratie van een verbinding verwijderen met behulp van PowerShell of CLI. Zie veelgestelde vragen voor voorbeelden.
Hoe werkt P2S-routering?
Zie de volgende artikelen:
Veelgestelde vragen
Er zijn meerdere secties met veelgestelde vragen voor P2S, op basis van verificatie.
Volgende stappen
OpenVPN is een handelsmerk van OpenVPN Inc.