Punt-naar-site-VPN-clients configureren: certificaatverificatie - Linux

Artikel
10/18/2023

Dit artikel helpt u bij het maken van verbinding met uw virtuele Azure-netwerk (VNet) met behulp van punt-naar-site (P2S) en certificaatverificatie van een Linux-client. Er zijn meerdere sets stappen in dit artikel, afhankelijk van het tunneltype dat u hebt geselecteerd voor uw P2S-configuratie, het besturingssysteem en de VPN-client die wordt gebruikt om verbinding te maken.

Voordat u begint

Controleer voordat u begint of u het juiste artikel hebt. De volgende tabel bevat de configuratieartikelen die beschikbaar zijn voor Azure VPN Gateway P2S VPN-clients. De stappen verschillen, afhankelijk van het verificatietype, het tunneltype en het client-besturingssysteem.

Verificatie	Tunneltype	Configuratiebestanden genereren	VPN-client configureren
Azure-certificaat	IKEv2, SSTP	Windows	Systeemeigen VPN-client
Azure-certificaat	OpenVPN	Windows	- OpenVPN-client - Azure VPN-client
Azure-certificaat	IKEv2, OpenVPN	macOS-iOS	macOS-iOS
Azure-certificaat	IKEv2, OpenVPN	Linux	Linux
Microsoft Entra ID	OpenVPN (SSL)	Windows	Windows
Microsoft Entra ID	OpenVPN (SSL)	MacOS	MacOS
RADIUS - certificaat	-	Artikel	Artikel
RADIUS - wachtwoord	-	Artikel	Artikel
RADIUS - andere methoden	-	Artikel	Artikel

Belangrijk

Vanaf 1 juli 2018 is ondersteuning voor TLS 1.0 en 1.1 uit Azure VPN Gateway verwijderd. VPN Gateway ondersteunt alleen TLS 1.2. Alleen punt-naar-site-verbindingen worden beïnvloed; site-naar-site-verbindingen worden niet beïnvloed. Als u TLS gebruikt voor punt-naar-site-VPN's op Windows 10- of hoger-clients, hoeft u geen actie te ondernemen. Als u TLS gebruikt voor punt-naar-site-verbindingen op Windows 7- en Windows 8-clients, raadpleegt u de veelgestelde vragen over VPN Gateway voor update-instructies.

Certificaten genereren

Voor certificaatverificatie moet een clientcertificaat op elke clientcomputer worden geïnstalleerd. Het clientcertificaat dat u wilt gebruiken, moet worden geëxporteerd met de persoonlijke sleutel en moet alle certificaten in het certificeringspad bevatten. Daarnaast moet u voor sommige configuraties ook informatie over het basiscertificaat installeren.

Zie Punt-naar-site voor informatie over het werken met certificaten : Certificaten genereren.

VPN-clientconfiguratiebestanden genereren

Alle benodigde configuratie-instellingen voor de VPN-clients bevinden zich in een ZIP-bestand voor de configuratie van een VPN-clientprofiel. De configuratiebestanden voor het VPN-clientprofiel die u genereert, zijn specifiek voor de configuratie van de P2S VPN-gateway voor het virtuele netwerk. Als er wijzigingen zijn aangebracht in de P2S VPN-configuratie nadat u de bestanden hebt gegenereerd, zoals wijzigingen in het VPN-protocoltype of verificatietype, moet u nieuwe configuratiebestanden voor vpn-clientprofielen genereren en de nieuwe configuratie toepassen op alle VPN-clients die u wilt verbinden. Zie Over punt-naar-site-VPN voor meer informatie over P2S-verbindingen.

Ga als volgende te werk om configuratiebestanden te genereren met behulp van Azure Portal:

Ga in Azure Portal naar de gateway van het virtuele netwerk voor het virtuele netwerk waarmee u verbinding wilt maken.
Selecteer op de pagina gateway van het virtuele netwerk punt-naar-site-configuratie om de pagina Punt-naar-site-configuratie te openen.
Selecteer Boven aan de pagina punt-naar-site-configuratie de optie VPN-client downloaden. Hiermee wordt geen VPN-clientsoftware gedownload. Hiermee wordt het configuratiepakket gegenereerd dat wordt gebruikt voor het configureren van VPN-clients. Het duurt enkele minuten voordat het clientconfiguratiepakket wordt gegenereerd. Gedurende deze tijd ziet u mogelijk geen aanwijzingen totdat het pakket wordt gegenereerd.
Zodra het configuratiepakket is gegenereerd, geeft uw browser aan dat een zip-bestand voor clientconfiguratie beschikbaar is. Deze heeft dezelfde naam als uw gateway.
Pak het bestand uit om de mappen weer te geven. U gebruikt enkele of alle van deze bestanden om uw VPN-client te configureren. De bestanden die worden gegenereerd, komen overeen met de verificatie- en tunneltype-instellingen die u hebt geconfigureerd op de P2S-server.

Configureer vervolgens de VPN-client. Selecteer een van de volgende instructies:

IKEv2-tunneltypestappen voor strongSwan
OpenVPN-tunneltypestappen voor OpenVPN-client

IKEv2 - strongSwan-stappen

StrongSwan installeren

De volgende configuratie is gebruikt bij het opgeven van opdrachten:

Computer: Ubuntu Server 18.04
Afhankelijkheden: strongSwan

Gebruik de volgende opdrachten om de vereiste strongSwan-configuratie te installeren:

sudo apt-get update

sudo apt-get upgrade

sudo apt install strongswan

sudo apt install strongswan-pki

sudo apt install libstrongswan-extra-plugins

sudo apt install libtss2-tcti-tabrmd0

Certificaten installeren

Er is een clientcertificaat vereist voor verificatie wanneer u het verificatietype azure-certificaat gebruikt. Er moet een clientcertificaat op elke clientcomputer worden geïnstalleerd. Het geëxporteerde clientcertificaat moet worden geëxporteerd met de persoonlijke sleutel en moet alle certificaten in het certificeringspad bevatten. Zorg ervoor dat op de clientcomputer het juiste clientcertificaat is geïnstalleerd voordat u doorgaat naar de volgende sectie.

Zie Certificaten genereren - Linux voor meer informatie over clientcertificaten.

VPN-clientprofielbestanden weergeven

Ga naar de gedownloade configuratiebestanden voor vpn-clientprofielen. U vindt alle informatie die u nodig hebt voor configuratie in de map Algemeen . Azure biedt geen mobileconfig-bestand voor deze configuratie.

Als u de map Algemeen niet ziet, controleert u de volgende items en genereert u het zip-bestand opnieuw.

Controleer het tunneltype voor uw configuratie. Waarschijnlijk is IKEv2 niet geselecteerd als tunneltype.
Controleer op de VPN-gateway of de SKU niet Basic is. De BASIC SKU van DE VPN Gateway biedt geen ondersteuning voor IKEv2. Selecteer vervolgens IKEv2 en genereer het zip-bestand opnieuw om de algemene map op te halen.

De map Generic bevat de volgende bestanden:

Vpn Instellingen.xml, dat belangrijke instellingen bevat, zoals serveradres en tunneltype.
VpnServerRoot.cer, dat het basiscertificaat bevat dat is vereist voor het valideren van de Azure VPN-gateway tijdens het instellen van de P2S-verbinding.

Nadat u de bestanden hebt bekeken, gaat u verder met de stappen die u wilt gebruiken:

GUI-stappen
CLI-stappen

strongSwan GUI-stappen

In deze sectie wordt u begeleid bij de configuratie met behulp van de strongSwan-GUI. De volgende instructies zijn gemaakt op Ubuntu 18.0.4. Ubuntu 16.0.10 biedt geen ondersteuning voor strongSwan GUI. Als u Ubuntu 16.0.10 wilt gebruiken, moet u de opdrachtregel gebruiken. De volgende voorbeelden komen mogelijk niet overeen met schermen die u ziet, afhankelijk van uw versie van Linux en strongSwan.

Open de Terminal om strongSwan en de netwerkbeheerder te installeren door de opdracht in het voorbeeld uit te voeren.
```
sudo apt install network-manager-strongswan
```
Selecteer Instellingen en selecteer Vervolgens Netwerk. Selecteer de + knop om een nieuwe verbinding te maken.
Selecteer IPsec/IKEv2 (strongSwan) in het menu en dubbelklik erop.
Voeg op de pagina VPN toevoegen een naam toe voor uw VPN-verbinding.
Open het bestand Vpn Instellingen.xml uit de algemene map in de gedownloade configuratiebestanden van het VPN-clientprofiel. Zoek de tag VpnServer en kopieer de naam, beginnend met 'azuregateway' en eindigt op '.cloudapp.net'.
Plak de naam in het veld Adres van uw nieuwe VPN-verbinding in de sectie Gateway . Selecteer vervolgens het mappictogram aan het einde van het veld Certificaat , blader naar de map Algemeen en selecteer het VpnServerRoot-bestand .
Selecteer in de sectie Client van de verbinding voor verificatie de optie Certificaat/persoonlijke sleutel. Kies voor certificaat en persoonlijke sleutel het certificaat en de persoonlijke sleutel die u eerder hebt gemaakt. Selecteer in Opties een binnenste IP-adres aanvragen. Selecteer vervolgens Toevoegen.
Schakel de verbinding in.

strongSwan CLI-stappen

In deze sectie wordt u begeleid bij de configuratie met behulp van de strongSwan CLI.

Kopieer of verplaats de VpnServerRoot.cer in de algemene map van het VPN-clientprofiel naar /etc/ipsec.d/cacerts.
Kopieer of verplaats de bestanden die u hebt gegenereerd naar respectievelijk /etc/ipsec.d/certs en /etc/ipsec.d/private/ . Deze bestanden zijn het clientcertificaat en de persoonlijke sleutel, ze moeten zich in hun bijbehorende mappen bevinden. Gebruik de volgende opdrachten:
```
sudo cp ${USERNAME}Cert.pem /etc/ipsec.d/certs/
sudo cp ${USERNAME}Key.pem /etc/ipsec.d/private/
sudo chmod -R go-rwx /etc/ipsec.d/private /etc/ipsec.d/certs
```
Voer de volgende opdracht uit om uw hostnaam te noteren. In de volgende stap gebruikt u deze waarde.
```
hostnamectl --static
```
Open het Vpn Instellingen.xml-bestand en kopieer de <VpnServer> waarde. In de volgende stap gebruikt u deze waarde.

Pas de waarden in het volgende voorbeeld aan en voeg vervolgens het voorbeeld toe aan de configuratie /etc/ipsec.conf .

conn azure
      keyexchange=ikev2
      type=tunnel
      leftfirewall=yes
      left=%any
      # Replace ${USERNAME}Cert.pem with the key filename inside /etc/ipsec.d/certs  directory. 
      leftcert=${USERNAME}Cert.pem
      leftauth=pubkey
      leftid=%client # use the hostname of your machine with % character prepended. Example: %client
      right= #Azure VPN gateway address. Example: azuregateway-xxx-xxx.vpn.azure.com
      rightid=% #Azure VPN gateway FQDN with % character prepended. Example: %azuregateway-xxx-xxx.vpn.azure.com
      rightsubnet=0.0.0.0/0
      leftsourceip=%config
      auto=add
      esp=aes256gcm16

Voeg de geheime waarden toe aan /etc/ipsec.secrets.

De naam van het PEM-bestand moet overeenkomen met wat u eerder hebt gebruikt als het clientsleutelbestand.
```
: RSA ${USERNAME}Key.pem  # Replace ${USERNAME}Key.pem with the key filename inside /etc/ipsec.d/private directory. 
```
Voer ten slotte de volgende opdrachten uit:
```
sudo ipsec restart
sudo ipsec up azure
```

OpenVPN-stappen

Deze sectie helpt u bij het configureren van Linux-clients voor certificaatverificatie die gebruikmaakt van het Type OpenVPN-tunnel. Als u verbinding wilt maken met Azure, downloadt u de OpenVPN-client en configureert u het verbindingsprofiel.

Notitie

OpenVPN Client versie 2.6 wordt nog niet ondersteund.

Open een nieuwe Terminal-sessie. U kunt een nieuwe sessie openen door tegelijkertijd op Ctrl + Alt + t te drukken.

Voer de volgende opdracht in om de benodigde onderdelen te installeren:

sudo apt-get install openvpn
sudo apt-get -y install network-manager-openvpn
sudo service network-manager restart

Ga vervolgens naar de map vpn-clientprofiel en pak het uit om de bestanden weer te geven.
Exporteer het P2S-clientcertificaat dat u hebt gemaakt en geüpload naar uw P2S-configuratie op de gateway. Zie punt-naar-site van VPN Gateway voor stappen.
Pak de persoonlijke sleutel en de base64-vingerafdruk uit de PFX. Er zijn meerdere manieren om dit te doen. Het gebruik van OpenSSL op uw computer is één manier.
```
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
```
Het profileinfo.txt-bestand bevat de persoonlijke sleutel en de vingerafdruk voor de CA en het clientcertificaat. Zorg ervoor dat u de vingerafdruk van het clientcertificaat gebruikt.
Open profileinfo.txt in een teksteditor. Als u de vingerafdruk van het clientcertificaat (onderliggend) wilt ophalen, selecteert u de tekst inclusief en tussen '-----BEGIN CERTIFICATE-----' en '-----END CERTIFICATE-----' voor het onderliggende certificaat en kopieert u het. U kunt het onderliggende certificaat identificeren door naar het onderwerp=/regel te kijken.
Open het bestand vpnconfig.ovpn en zoek de sectie die hieronder wordt weergegeven. Vervang alles tussen 'certificaat' en '/cert'.
```
# P2S client certificate
# please fill this field with a PEM formatted cert
<cert>
$CLIENTCERTIFICATE
</cert>
```
Open de profileinfo.txt in een teksteditor. Als u de persoonlijke sleutel wilt ophalen, selecteert u de tekst inclusief en tussen "-----BEGIN PRIVATE KEY-----" en "-----END PRIVATE KEY-----" en kopieert u deze.
Open het bestand vpnconfig.ovpn in een teksteditor en zoek deze sectie. Plak de persoonlijke sleutel die alles vervangt tussen 'sleutel' en '/key'.
```
# P2S client root certificate private key
# please fill this field with a PEM formatted key
<key>
$PRIVATEKEY
</key>
```
Wijzig geen andere velden. Gebruik de ingevulde configuratie in de clientinvoer om verbinding te maken met de VPN.
- Als u verbinding wilt maken via de opdrachtregel, typt u de volgende opdracht:
```
sudo openvpn --config <name and path of your VPN profile file>&
```
- Als u de verbinding met de opdrachtregel wilt verbreken, typt u de volgende opdracht:
```
sudo pkill openvpn
```
- Als u verbinding wilt maken met behulp van de GUI, gaat u naar systeeminstellingen.
Selecteer + deze optie om een nieuwe VPN-verbinding toe te voegen.
Kies Importeren uit bestand onder VPN toevoegen....
Blader naar het profielbestand en dubbelklik of kies Openen.
Selecteer Toevoegen in het venster VPN toevoegen.
U kunt verbinding maken door vpn in te schakelen op de pagina Netwerk Instellingen of onder het netwerkpictogram in het systeemvak.

Volgende stappen

Ga voor aanvullende stappen terug naar het oorspronkelijke punt-naar-site-artikel waaruit u werkte.