Een punt-naar-site-VPN-verbinding configureren met behulp van Azure-certificaatverificatie: Azure Portal

  • Artikel
  • 23 minuten om te lezen

Dit artikel helpt u om afzonderlijke clients met Windows, Linux of macOS veilig te verbinden met een Azure VNet. P2S-verbindingen zijn nuttig als u verbinding wilt maken met uw VNet vanaf een externe locatie, bijvoorbeeld als u ook thuis werkt of op een congres verbinding wilt maken. U kunt P2S ook in plaats van een site-naar-site-VPN gebruiken wanneer u maar een paar clients hebt die verbinding moeten maken met een VNet. Punt-naar-site-verbindingen hebben geen VPN-apparaat of openbaar IP-adres nodig. P2S maakt de VPN-verbinding via SSTP (Secure Socket Tunneling Protocol) of IKEv2. Voor meer informatie over punt-naar-site-VPN leest u About Point-to-Site VPN (Over punt-naar-site-VPN).

Verbinding maken van een computer naar een Azure-VNet - punt-naar-site-verbindingsdiagram.

Zie About point-to-site VPN (Over punt-naar-site-VPN)voor meer informatie over punt-naar-site-VPN. Zie Configure a point-to-site VPN using Azure PowerShell Azure PowerShell (Een punt-naar-site-VPN configurerenmet behulp van Azure PowerShell) om deze configuratie te Azure PowerShell.

Punt-naar-site systeem eigen Azure-certificaat authenticatie verbindingen gebruiken de volgende items, die u in deze oefening configureert:

  • Een RouteBased VPN-gateway.
  • De openbare sleutel (CER-bestand) voor een basiscertificaat dat is geüpload naar Azure. Nadat het certificaat is geüpload, wordt het beschouwd als een vertrouwd certificaat en wordt het gebruikt voor verificatie.
  • Een clientcertificaat dat is gegenereerd op basis van het basiscertificaat. Het clientcertificaat dat is geïnstalleerd op elke clientcomputer die met het VNet verbinding zal maken. Dit certificaat wordt gebruikt voor clientverificatie.
  • VPN-client configuratie. De VPN-client is geconfigureerd met configuratie bestanden voor VPN-clients. Deze bestanden bevatten de benodigde informatie die de client nodig heeft om verbinding te maken met het VNet. Met de bestanden wordt de bestaande VPN-client geconfigureerd die is ingebouwd in het besturingssysteem. Elke client die verbinding maakt, moet worden geconfigureerd met behulp van de instellingen in de configuratiebestanden.

Vereisten

Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

Voorbeeldwaarden

U kunt de volgende waarden gebruiken om een testomgeving te maken of ze raadplegen om meer inzicht te krijgen in de voorbeelden in dit artikel:

VNet

  • VNet-naam: VNet1
  • Adresruimte: 10.1.0.0/16
    In dit voorbeeld gebruiken we slechts één adresruimte. U kunt meer dan één adresruimte voor uw VNet hebben.
  • Subnetnaam: FrontEnd
  • Subnetadresbereik: 10.1.0.0/24
  • Abonnement: controleer of u het juiste abonnement hebt in het geval u er meer dan één hebt.
  • Resourcegroep: TestRG1
  • Locatie: VS - oost

Gateway voor een virtueel netwerk

  • Naam van virtuele netwerkgateway: VNet1GW
  • Gatewaytype: VPN
  • VPN-type: Op route gebaseerd
  • SKU: VpnGw2
  • Generatie: Generatie 2
  • Adresbereik gatewaysubnet: 10.1.255.0/27
  • Openbare IP-adresnaam: VNet1GWpip

Verbindingstype en clientadresgroep

  • Verbindingstype: Punt-naar-site
  • Clientadresgroep: 172.16.201.0/24
    VPN-clients die verbinding maken met het VNet via deze punt-naar-site-verbinding, ontvangen een IP-adres van de clientadresgroep.

Een VNet maken

In deze sectie gaat u een virtueel netwerk maken.

Notitie

Wanneer u een virtueel netwerk als onderdeel van een cross-premises-architectuur gebruikt, dient u eerst met uw on-premises netwerkbeheerder een IP-adresbereik te reserveren dat u specifiek voor dit virtuele netwerk kunt gebruiken. Als er een dubbel adresbereik bestaat aan beide zijden van de VPN-verbinding, wordt verkeer niet correct gerouteerd. Als u dit virtuele netwerk wilt verbinden met een ander virtueel netwerk, mogen de adresruimte en het andere virtuele netwerk elkaar daarnaast niet overlappen. Houd hier rekening mee als u uw netwerkconfiguratie gaan plannen.

  1. Meld u aan bij de Azure-portal.

  2. In Resources, service en documenten doorzoeken (G+/) typt u virtueel netwerk_. Selecteer _ Virtueel netwerk in de resultaten van Marketplace om de pagina Virtueel netwerk te openen.

    Schermopname van de Azure Portal zoekresultaten en het selecteren van Virtual Network in Marketplace.

  3. Klik op de pagina Virtueel netwerk op Maken. Hiermee opent u de pagina Virtueel netwerk maken.

  4. Configureer op het tabblad Basisinformatie de VNet-instellingen voor Project details en exemplaardetails. U ziet een groen vinkje wanneer de waarden die u hebt invoeren, worden gevalideerd. De waarden in het voorbeeld kunnen worden aangepast op basis van de instellingen die u nodig hebt.

    Schermopname van het tabblad Basisbeginselen.

    • Abonnement: controleer of het weergegeven abonnement het juiste is. U kunt abonnementen wijzigen met behulp van de vervolgkeuzelijst.
    • Resourcegroep: Selecteer een bestaande resourcegroep of klik op Nieuwe maken om er een te maken. Zie Overzicht van Azure Resource Manager voor meer informatie over resourcegroepen.
    • Naam: Voer de naam in van het virtuele netwerk.
    • Regio: selecteer de locatie voor uw VNet. De locatie bepaalt waar de resources die u naar dit VNet implementeert, zich bevinden.

  5. Klik op IP-adressen om naar het tabblad IP-adressen te gaan. Configureer de instellingen op het tabblad IP-adressen. De waarden in het voorbeeld kunnen worden aangepast op basis van de instellingen die u nodig hebt.

    Schermopname van het tabblad IP-adressen.

    • IPv4-adresruimte: Standaard wordt er automatisch een adresruimte gemaakt. U kunt op de adresruimte klikken om deze aan te passen aan uw eigen waarden. U kunt ook meer adresruimten toevoegen.
    • Subnet: Als u de standaard adresruimte gebruikt, wordt er automatisch een standaard subnet gemaakt. Als u de adresruimte wijzigt, moet u een subnet toevoegen. Selecteer + Subnet toevoegen om het venster Subnet toevoegen te openen. Configureer de volgende instellingen en selecteer vervolgens Toevoegen om de waarden toe te voegen.
      • Subnetnaam: In dit voorbeeld hebben we het subnet 'FrontEnd' genoemd.
      • Subnetadresbereik: Het adresbereik voor dit subnet.

  6. Klik op Beveiliging om door te gaan naar tabblad Beveiliging. Laat op dit moment de standaardwaarden staan.

    • BastionHost: uitschakelen
    • DDoS Protection Standard: Uitschakelen
    • Firewall: uitschakelen

  7. Selecteer Beoordelen en maken om de instellingen voor het virtuele netwerk te valideren.

  8. Nadat de instellingen zijn gevalideerd, klikt u op Maken om het virtuele netwerk te maken.

De VPN-gateway maken

In deze stap maakt u de virtuele netwerkgateway VNet. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU.

Notitie

De Basic-gateway-SKU biedt geen ondersteuning voor IKEv2- of RADIUS-verificatie. Als u van plan bent om Mac-clients verbinding te laten maken met uw virtuele netwerk, moet u de Basic-SKU niet gebruiken.

De virtuele netwerkgateway maakt gebruik van een specifiek subnet: het gatewaysubnet. Het gatewaysubnet maakt deel uit van het IP-adresbereik van het virtuele netwerk dat u opgeeft bij het configureren ervan. Het bevat de IP-adressen waarvan de resources en services van de virtuele netwerkgateway gebruikmaken.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. Hoeveel IP-adressen er nodig zijn, is afhankelijk van de configuratie van de VPN-gateway die u wilt maken. Sommige configuraties vereisen meer IP-adressen dan andere. We raden u aan om een gatewaysubnet te maken die gebruikmaakt van een /27 of /28.

Als er een fout wordt weergegeven waarin staat dat de adresruimte met een subnet overlapt of dat het subnet niet is opgenomen in de adresruimte voor het virtuele netwerk, controleert u uw VNet-adresbereik. U hebt mogelijk onvoldoende beschikbare IP-adressen in het adresbereik dat u voor het virtuele netwerk hebt gemaakt. Als uw standaardsubnet bijvoorbeeld het gehele adresbereik omvat, zijn er geen IP-adressen over om extra subnetten te maken. U kunt uw subnetten in de bestaande adresruimte aanpassen om IP-adressen vrij te maken of een aanvullend adresbereik opgeven en daar het gatewaysubnet maken.

  1. Typ virtuele netwerkgateway in Resources, services en documenten zoeken (G+/). Zoek Gateway van virtueel netwerk in de zoekresultaten en selecteer de vermelding.

    Schermopname van het veld Zoeken.

  2. Selecteer op de pagina Virtuele netwerkgateways de optie + Maken. Hiermee opent u de pagina Gateway van het virtuele netwerk maken.

    Schermopname van de pagina Virtuele netwerkgateways met Maken gemarkeerd.

  3. Vul op het tabblad Basisinformatie de waarden in voor Project details en Exemplaardetails.

    Schermopname van exemplaarvelden.

    • Abonnement: Selecteer in de vervolgkeuzelijst het abonnement dat u wilt gebruiken.
    • Resourcegroep: Deze instelling wordt automatisch ingevuld wanneer u het virtuele netwerk op deze pagina selecteert.
    • Naam: naam van uw gateway. Een naam opgeven voor een gateway is niet hetzelfde als een naam opgeven voor een gatewaysubnet. Het is de naam van het gateway-object dat u maakt.
    • Regio: Selecteer de regio waarin u deze resource wilt maken. De regio voor de gateway moet hetzelfde zijn als die voor het virtuele netwerk.
    • Gatewaytype: selecteer VPN. VPN-gateways maken gebruik van een gateway van het virtuele netwerk van het type VPN.
    • VPN-type selecteer het VPN-type dat wordt opgegeven voor uw configuratie. De meeste configuraties vereisen een op route gebaseerd VPN-type.
    • SKU: selecteer de gateway-SKU die u wilt gebruiken in de vervolgkeuzekeuze. Welke SKU's worden weergegeven in de vervolgkeuzelijst, is afhankelijk van het VPN-type dat u selecteert. Zorg ervoor dat u een SKU selecteert die ondersteuning biedt voor de functies die u wilt gebruiken. Zie Gateway-SKU's voor informatie over gateway-SKU's.
    • Generatie: selecteer de generatie die u wilt gebruiken. Zie Gateway-SKU's voor meer informatie.
    • Virtueel netwerk: Kies in de vervolgkeuzelijst het virtuele netwerk waaraan u deze gateway wilt toevoegen.
    • Adresbereik gatewaysubnet: Dit veld wordt alleen weergegeven als uw VNet geen gatewaysubnet heeft. U kunt het beste /27 of groter opgeven (/26,/25 enzovoort). Hierdoor zijn er voldoende IP-adressen voor toekomstige wijzigingen, zoals het toevoegen van een ExpressRoute-gateway. Het maken van een bereik dat kleiner is dan /28 wordt afgeraden. Als u al een gatewaysubnet hebt, kunt u de gegevens van het gatewaysubnet weergeven door naar uw virtuele netwerk te navigeren. Klik op Subnetten om het bereik weer te geven. Als u het bereik wilt wijzigen, kunt u het gatewaysubnet verwijderen en opnieuw maken.

  1. Geef op in de waarden voor Openbaar IP-adres. Met deze instellingen geeft u het openbare IP-adresobject op dat wordt gekoppeld aan de VPN-gateway. Het openbare IP-adres wordt dynamisch toegewezen aan dit object wanneer de VPN-gateway wordt gemaakt. Het openbare IP-adres verandert alleen wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet wanneer de grootte van uw VPN Gateway verandert, wanneer deze gateway opnieuw wordt ingesteld of wanneer andere interne onderhoudswerkzaamheden of upgrades worden uitgevoerd.

    Schermopname van het veld Openbaar IP-adres.

    • Openbaar IP-adres: Laat Nieuwe maken geselecteerd.
    • Openbare IP-adresnaam: Typ in het tekstvak een naam voor het exemplaar van uw openbare IP-adres.
    • Toewijzing: VPN-gateway ondersteunt alleen Dynamisch.
    • De modus actief-actief inschakelen: Selecteer Modus actief-actief inschakelen alleen als u een gatewayconfiguratie van het type actief-actief maakt. Anders laat u deze instelling Uitgeschakeld.
    • Laat BGP configureren ingesteld Uitgeschakeld, tenzij dit voor uw configuratie-instelling nodig is. Als u deze instelling wel nodig hebt, is de ASN standaard 65515. U kunt deze waarde wijzigen.

  2. Selecteer Beoordelen en maken om de validatie uit te voeren.

  3. Wanneer de validatie is geslaagd, selecteert u Maken om de VPN-gateway te implementeren.

U kunt de implementatiestatus bekijken op de overzichtspagina van uw gateway. Nadat de gateway is aangemaakt, kunt u het IP-adres dat eraan is toegewezen bekijken door naar het virtuele netwerk in de portal te kijken. De gateway wordt weergegeven als verbonden apparaat.

Belangrijk

Als u met gatewaysubnetten werkt, vermijd dan om een netwerkbeveiligingsgroep (NSG) te koppelen aan het gatewaysubnet. Het koppelen van een netwerkbeveiligingsgroep aan dit subnet kan ertoe leiden dat uw virtuele netwerkgateway (VPN- en Express Route-gateways) niet meer werkt zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.

Certificaten genereren

Certificaten worden in Azure gebruikt om clients te verifiëren die verbinding willen maken met een VNet met behulp van een punt-naar-site-VPN-verbinding. Als u beschikt over het basiscertificaat, uploadt u de gegevens van de openbare sleutel naar Azure. Het basiscertificaat wordt vervolgens als 'vertrouwd' beschouwd door Azure voor verbinding met het virtuele netwerk via P2S. U kunt ook clientcertificaten genereren op basis van het vertrouwde basiscertificaat en deze vervolgens op elke clientcomputer installeren. Het clientcertificaat wordt gebruikt om de client te verifiëren bij het maken van verbinding met het VNet.

Een basiscertificaat genereren

Het .cer-bestand voor het basiscertificaat verkrijgen. U kunt een basiscertificaat gebruiken dat is gegenereerd met een commerciële oplossing (aanbevolen) of een zelfondertekend certificaat genereren. Nadat u het basiscertificaat hebt gemaakt, exporteert u de gegevens van het openbare certificaat (niet de persoonlijke sleutel) als een X.509 CER-bestand dat is gecodeerd met Base64. U uploadt dit bestand later naar Azure.

  • Commercieel certificaat Als u een bedrijfsoplossing gebruikt, kunt u de bestaande certificaatketen gebruiken. Haal het CER-bestand op dat u wilt gebruiken voor het basiscertificaat.

  • Zelfondertekend basiscertificaat: Als u geen commerciële certificeringsoplossing gebruikt, maakt u een zelfondertekend basiscertificaat. Anders zijn de certificaten die u maakt niet compatibel met uw P2S-verbindingen en treedt er voor clients een verbindingsfout op tijdens het verbinden. U kunt Azure PowerShell, MakeCert of OpenSSL gebruiken. In de stappen in de volgende artikelen wordt beschreven hoe u een compatibel, zelfondertekend basiscertificaat genereert:

    • Instructies voor Windows 10 PowerShell: bij deze instructies zijn Windows 10 en PowerShell vereist voor het genereren van certificaten. Clientcertificaten die worden gegenereerd op basis van het basiscertificaat kunnen op alle ondersteunde P2S-clients worden ondersteund.
    • MakeCert-instructies: gebruik MakeCert als u geen toegang hebt tot een Windows 10-computer om certificaten te genereren. MakeCert is inmiddels afgeschaft, maar u kunt het nog wel gebruiken om certificaten te genereren. Clientcertificaten die u genereert op basis van het basiscertificaat kunnen worden geïnstalleerd op alle ondersteunde P2S-clients.
    • Instructies voor Linux.

Clientcertificaten genereren

Op elke clientcomputer die u verbindt met een VNet via een punt-naar-site-verbinding, moet een clientcertificaat zijn geïnstalleerd. U genereert het clientcertificaat op basis van het basiscertificaat en installeert het clientcertificaat op elke clientcomputer. Als u geen geldig clientcertificaat hebt geïnstalleerd en de client probeert verbinding te maken met het VNet, mislukt de verificatie.

U kunt een uniek certificaat genereren voor elke client of hetzelfde certificaat gebruiken voor meerdere clients. Het voordeel van het genereren van unieke clientcertificaten is dat het mogelijk is om één certificaat in te trekken. Anders moet u, als meerdere clients hetzelfde certificaat voor verificatie gebruiken en u het certificaat intrekt, nieuwe certificaten genereren en installeren voor elke client die dat certificaat voor verificatie gebruikt.

U kunt clientcertificaten genereren op de volgende manieren:

  • Commercieel certificaat

    • Als u een commerciële certificeringsoplossing gebruikt, genereert u een clientcertificaat met de algemene indeling voor de naamwaarde naam@uwdomein.com. Gebruik deze indeling in plaats van de indeling domeinnaam\gebruikersnaam.

    • Zorg ervoor dat het clientcertificaat dat u verleent, is gebaseerd op de certificaatsjabloon voor Gebruiker met Clientverificatie als het eerste item in de lijst. U kunt het certificaat controleren door op het clientcertificaat te dubbelklikken en Enhanced Key Usage (Uitgebreid sleutelgebruik) weer te geven op het tabblad Details.

  • Zelfondertekend basiscertificaat: Volg de stappen in een van de volgende artikelen over P2S-certificaten zodat de clientcertificaten die u maakt compatibel zijn met P2S-verbindingen.

    Als u een clientcertificaat genereert op basis van een zelfondertekend basiscertificaat, wordt het certificaat automatisch geïnstalleerd op de computer die u hebt gebruikt om het certificaat te genereren. Als u een clientcertificaat op een andere clientcomputer wilt installeren, moet u het certificaat samen met de gehele certificaatketen exporteren als PFX-bestand. Hiermee maakt u een PFX-bestand met alle gegevens van het basiscertificaat die nodig zijn voor de verificatie van de client.

    De stappen in deze artikelen zijn bedoeld om een compatibel clientcertificaat te maken dat u kunt exporteren en distribueren.

    • Instructies voor Windows 10 PowerShell: bij deze instructies zijn Windows 10 en PowerShell vereist voor het genereren van certificaten. De gegenereerde certificaten kunnen worden geïnstalleerd op alle ondersteunde P2S-clients.

    • Instructies voor MakeCert: Gebruik MakeCert als u geen toegang hebt tot een Windows 10-computer voor het genereren van certificaten. MakeCert is inmiddels afgeschaft, maar u kunt het nog wel gebruiken om certificaten te genereren. U kunt de gegenereerde certificaten installeren op alle ondersteunde P2S-clients.

    • Instructies voor Linux.

De VPN-clientadresgroep toevoegen

De clientadrespool bestaat uit een privé-IP-adresbereik dat u opgeeft. De clients die dynamisch verbinding maken via een punt-naar-site-VPN-verbinding krijgen een IP-adres uit dit bereik. Gebruik een privé-IP-adresbereik dat niet overlapt met de on-premises locatie waarvanaf u verbinding maakt of met het VNet waarmee u verbinding wilt maken. Als u meerdere protocollen configureert en SSTP een van de protocollen is, wordt de geconfigureerde adresgroep gelijkmatig verdeeld over de geconfigureerde protocollen.

  1. Nadat de virtuele netwerkgateway is gemaakt, gaat u naar de sectie Instellingen van de pagina van de virtuele netwerkgateway. Selecteer in Instellingen punt-naar-site-configuratie. Selecteer Nu configureren om de configuratiepagina te openen.

    Pagina punt-naar-site-configuratie.

  2. Voeg op de pagina Punt-naar-site-configuratie in het vak Adresgroep het privé-IP-adresbereik toe dat u wilt gebruiken. VPN-clients ontvangen dynamisch een IP-adres uit het bereik dat u opgeeft. Het minimale subnetmasker is 29-bits voor actief/passief en 28-bits voor actief/actief-configuratie.

  3. Ga door naar de volgende sectie om verificatie- en tunneltypen te configureren.

Tunneltype en verificatietype opgeven

In deze sectie geeft u het tunneltype en het verificatietype op. Als u geen tunneltype of verificatietype ziet op de pagina Punt-naar-site-configuratie, gebruikt uw gateway de Basis-SKU. De basis-SKU biedt geen ondersteuning voor IKEv2- of RADIUS-verificatie. Als u deze instellingen wilt gebruiken, moet u de gateway verwijderen en opnieuw maken met behulp van een andere gateway-SKU.

Tunneltype

Selecteer op de pagina Punt-naar-site-configuratie het Tunnel type. Let op het volgende wanneer u het tunneltype selecteert:

  • De strongSwan-client op Android en Linux en de systeemeigen IKEv2 VPN-client op iOS en macOS gebruiken alleen het IKEv2-tunneltype om verbinding te maken.
  • Windows clients eerst IKEv2 proberen en als dat geen verbinding maakt, vallen ze terug op SSTP.
  • U kunt de OpenVPN-client gebruiken om verbinding te maken met het OpenVPN-tunneltype.

Verificatietype

Bij Verificatietype selecteert u Azure-certificaat.

Schermopname van verificatietype met Azure-certificaat geselecteerd.

Upload de openbare sleutel van het basiscertificaat

In deze sectie uploadt u gegevens van openbare basiscertificaten naar Azure. Als het uploaden is voltooid, kan Azure daarmee clients met een geïnstalleerd clientcertificaat (gemaakt op basis van het vertrouwde basiscertificaat) verifiëren.

  1. Navigeer naar uw virtuele netwerkgateway -> punt-naar-site-configuratiepagina in de sectie Basiscertificaat. Deze sectie is alleen zichtbaar als u Een Azure-certificaat hebt geselecteerd als verificatietype.

  2. Zorg ervoor dat u het basiscertificaat hebt geëxporteerd als een base-64 gecodeerde X.509 (. CER-bestand in de vorige stappen. U moet het certificaat in deze indeling exporteren, zodat u het certificaat met een teksteditor kunt openen. U hoeft de persoonlijke sleutel niet te exporteren.

    Schermopname van exporteren als X.509 met Base-64-codering.

  3. Open het certificaat met een teksteditor zoals Kladblok. Zorg er bij het kopiëren van de certificaatgegevens voor dat u de tekst als één ononderbroken regel kopieert zonder regelterugloop of regelinvoer. Mogelijk moet u de weergave in de teksteditor wijzigen naar Symbool weergeven/Alle tekens weergeven om de regelterugloop en regelinvoer te zien. Kopieer alleen het volgende gedeelte als één ononderbroken regel:

    Schermopname met informatie over het basiscertificaat in Kladblok.

  4. In de sectie Basiscertificaat kunt u maximaal 20 vertrouwde basiscertificaten toevoegen.

    • Plak de certificaatgegevens in het veld Openbare certificaatgegevens.
    • Noem het certificaat.

    Schermopname van het veld certificaatgegevens.

  5. Selecteer Opslaan bovenaan de pagina om alle configuratie-instellingen op te slaan.

    Schermopname van P2S-configuratie met Opslaan geselecteerd.

Geëxporteerd clientcertificaat installeren

Als u een P2S-verbinding wilt maken vanaf een andere clientcomputer dan de computer die u gebruikt om de clientcertificaten te genereren, moet u een clientcertificaat installeren. Wanneer u een clientcertificaat installeert, hebt u het wachtwoord nodig dat is gemaakt tijdens het exporteren van het clientcertificaat.

Zorg ervoor dat het certificaat is geëxporteerd als een PFX-bestand, samen met de volledige certificaatketen (dit is de standaardinstelling). Anders zijn de gegevens van het basiscertificaat niet aanwezig op de clientcomputer en kan de client niet worden geverifieerd.

Zie voor de installatiestappen Install a client certificate (Een clientcertificaat installeren).

Instellingen configureren voor VPN-clients

Om via P2S verbinding te maken met de gateway van het virtuele netwerk, gebruikt elke computer de VPN-client die systeemeigen is geïnstalleerd als onderdeel van het besturingssysteem. Wanneer u bijvoorbeeld naar VPN-instellingen op uw Windows computer gaat, kunt u VPN-verbindingen toevoegen zonder een afzonderlijke VPN-client te installeren. U configureert elke VPN-client met behulp van een clientconfiguratiepakket. Het clientconfiguratiepakket bevat instellingen die specifiek zijn voor de VPN-gateway die u hebt gemaakt.

Zie Create and install VPN client configuration files for Azure certificate authentication P2S configurations (Configuratiebestanden voor VPN-client maken en installeren voor P2S-configuraties voor Azure-certificaatverificatie)voor stappen voor het genereren en installeren van CONFIGURATIEbestanden voor VPN-client.

Verbinding maken naar Azure

Verbinding maken vanaf een Windows-VPN-client

Notitie

U moet beheerdersrechten hebben op de Windows-clientcomputer waarmee u de verbinding tot stand brengt.

  1. Als u verbinding wilt maken met uw VNet, gaat u op de client computer naar VPN-instellingen en zoekt u de VPN-verbinding die u hebt gemaakt. De naam heeft dezelfde naam als het virtuele netwerk. Selecteer Verbinding maken. Er verschijnt mogelijk een pop-upbericht dat verwijst naar het certificaat. Selecteer door gaan om verhoogde bevoegdheden te gebruiken.

  2. Selecteer op de pagina Verbindingsstatus de optie Verbinden om de verbinding te starten. Als het scherm Certificaat selecteren wordt geopend, controleert u of het weergegeven clientcertificaat het certificaat is dat u voor de verbinding wilt gebruiken. Als dat niet het geval is, gebruikt u de vervolg keuze pijl om het juiste certificaat te selecteren en selecteert u OK.

    Verbinding maken vanaf een Windows-computer

  3. De verbinding is tot stand gebracht.

    Verbinding maken tussen een computer en een Azure VNet-Point-to-site-verbindings diagram

Als u problemen hebt met de verbinding, controleer dan het volgende:

  • Als u een clientcertificaat hebt geëxporteerd met de Wizard Certificaat exporteren, moet u ervoor zorgen dat u dit als een .pfx-bestand exporteert en dat u Indien mogelijk alle certificaten in het certificeringspad opnemen hebt geselecteerd. Als u het certificaat met behulp van deze waarde exporteert, worden de gegevens van het basiscertificaat ook geëxporteerd. Nadat u het certificaat op de clientcomputer hebt geïnstalleerd, wordt het basiscertificaat in het .pbx-bestand ook geïnstalleerd. Open Gebruikerscertificaten beheren en selecteer Vertrouwde basiscertificeringsinstanties\Certificaten om te controleren of het basiscertificaat is geïnstalleerd. Controleer of het basiscertificaat wordt vermeld, anders werkt de verificatie niet.

  • Als u een certificaat hebt gebruikt dat is uitgegeven door een CA-oplossingen voor ondernemingen en u niet kunt verifiëren, controleert u de verificatievolgorde op het clientcertificaat. Controleer de verificatievolgorde door dubbel te klikken in het clientcertificaat, het tabblad Details te selecteren en vervolgens Enhanced Key Usage. Zorg ervoor dat Clientverificatie het eerste item in de lijst is. Als dat niet het geval is, moet u een clientcertificaat op basis van de gebruikerssjabloon verlenen waarin Clientverificatie het eerste item is in de lijst.

  • Zie Troubleshoot P2S connections (Problemen met P2S-verbindingen oplossen) voor extra informatie over het oplossen van problemen met P2S,.

Verbinding maken vanaf een Mac-VPN-client

Zoek in het dialoogvenster Netwerk het clientprofiel dat u wilt gebruiken, geef de instellingen van deVpnSettings.xml open selecteer Verbinding maken. Zie Configuratiebestanden voor VPN-client genererenen installeren - macOS voor gedetailleerde instructies.

Als u problemen hebt met het maken van verbinding, controleert u of de gateway van het virtuele netwerk geen basis-SKU gebruikt. De Basic-SKU wordt niet ondersteund voor Mac-clients.

Schermopname van de knop Verbinding maken.

De verbinding verifiëren

Deze instructies zijn van toepassing op Windows-clients.

  1. Als u wilt controleren of uw VPN-verbinding actief is, opent u een opdrachtprompt met verhoogde bevoegdheid en voert u ipconfig/all in.

  2. Bekijk de resultaten. Het IP-adres dat u hebt ontvangen is een van de adressen binnen het adresbereik van de punt-naar-site-VPN-clientadresgroep die u hebt opgegeven in uw configuratie. De resultaten zijn vergelijkbaar met het volgende voorbeeld:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Verbinding maken met een virtuele machine

Deze instructies zijn van toepassing op Windows-clients.

U kunt verbinding maken met een VM die op uw VNet is geïmplementeerd door een verbinding met extern bureaublad te maken voor uw VM. De beste manier om eerst te controleren of u verbinding met uw VM kunt maken is door verbinding te maken met behulp van het privé-IP-adres in plaats van de computernaam. Op die manier test u of u verbinding kunt maken, niet of naamomzetting correct is geconfigureerd.

  1. Zoek het privé-IP-adres. U vindt het privé-IP-adres van een VM door naar de eigenschappen voor de VM te kijken in Azure Portal of door PowerShell te gebruiken.

    • Azure Portal: vind uw virtuele machine in Azure Portal. Bekijk de eigenschappen voor de VM. Het privé-IP-adres wordt vermeld.

    • PowerShell: gebruik het voorbeeld om een lijst met VM's en privé-IP-adressen uit uw resourcegroepen weer te geven. U hoeft het voorbeeld niet te wijzigen voordat u het gebruikt.

      $VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null

foreach($Nic in $Nics)
{
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}

  2. Controleer of u met uw VNet bent verbonden met behulp van de punt-naar-site-VPN-verbinding.

  3. Open Verbinding met extern bureaublad door 'RDP' of 'Verbinding met extern bureaublad' te typen in het zoekvak in de taakbalk en selecteer vervolgens Verbinding met extern bureaublad. U kunt Verbinding met extern bureaublad ook openen met behulp van de opdracht 'mstsc' in PowerShell.

  4. Voer het privé-IP-adres van de VM in Verbinding met extern bureaublad in. U kunt op Opties weergeven klikken om aanvullende instellingen aan te passen en vervolgens verbinding maken.

Problemen met een verbinding oplossen

Als u problemen ondervindt bij het verbinding maken met een virtuele machine via de VPN-verbinding, controleert u het volgende:

  • Controleer of uw VPN-verbinding tot stand is gebracht.

  • Controleer of u verbinding maakt met het privé-IP-adres voor de VM.

  • Als u verbinding met de VM kunt maken met behulp van het privé-IP-adres, maar niet met de computernaam, controleert u of DNS correct is geconfigureerd. Zie Naamomzetting voor VM's voor meer informatie over de werking van naamomzetting voor VM's.

  • Zie Problemen met Extern-bureaubladverbindingen met een VM oplossen voor meer informatie over Extern-bureaubladverbindingen.

  • Controleer of het configuratiepakket voor de VPN-client is gegenereerd nadat de IP-adressen van de DNS-server zijn opgegeven voor het VNet. Als u de IP-adressen van de DNS-server hebt bijgewerkt, genereert en installeert u een nieuw configuratiepakket voor de VPN-client.

  • Gebruik de opdracht 'ipconfig' om het IPv4-adres te controleren dat is toegewezen aan de ethernetadapter op de computer waarmee u de verbinding tot stand brengt. Als het IP-adres zich binnen het adresbereik bevindt van het VNet waarmee u verbinding maakt of binnen het adresbereik van uw VPNClientAddressPool, wordt dit een overlappende adresruimte genoemd. Als uw adresruimte op deze manier overlapt, kan het netwerkverkeer Azure niet bereiken en blijft het in het lokale netwerk.

Vertrouwde basiscertificaten toevoegen of verwijderen

U kunt vertrouwde basiscertificaat toevoegen in en verwijderen uit Azure. Wanneer u een basiscertificaat verwijdert, kunnen clients met een certificaat dat is gegenereerd op basis van dat basiscertificaat niet worden geverifieerd, en kunnen ze dus geen verbinding maken. Als u wilt dat clients kunnen worden geverifieerd en verbinding kunnen maken, moet u een nieuw clientcertificaat installeren dat is gegenereerd op basis van een basiscertificaat dat wordt vertrouwd (is geüpload) in Azure.

U kunt maximaal 20 vertrouwde .cer-basiscertificaatbestanden toevoegen aan Azure. Zie de sectie Upload een vertrouwd basiscertificaat voor instructies.

Een vertrouwd basiscertificaat verwijderen:

  1. Navigeer naar de pagina Punt-naar-site-configuratie voor uw virtuele netwerkgateway.
  2. Zoek in de sectie Basiscertificaat van de pagina het certificaat dat u wilt verwijderen.
  3. Selecteer het beletselteken naast het certificaat en selecteer vervolgens Verwijderen.

Een clientcertificaat intrekken

U kunt clientcertificaten intrekken. Met de certificaatintrekkingslijst kunt u selectief punt-naar-site-verbinding weigeren op basis van afzonderlijke clientcertificaten. Dit is anders van het verwijderen van een vertrouwd basiscertificaat. Als u een vertrouwd .cer-basiscertificaat uit Azure verwijdert, wordt de toegang ingetrokken voor alle clientcertificaten die zijn gegenereerd/ondertekend door het ingetrokken basiscertificaat. Als u in plaats van een basiscertificaat een clientcertificaat intrekt, kunt u de certificaten die zijn gegenereerd op basis van het basiscertificaat, blijven gebruiken voor verificatie.

De algemene procedure is het basiscertificaat te gebruiken om de toegang te beheren op het team- of organisatieniveau, terwijl u ingetrokken clientcertificaten gebruikt voor nauwkeuriger toegangsbeheer bij afzonderlijke gebruikers.

U kunt een clientcertificaat intrekken door de vingerafdruk toe te voegen aan de intrekkingslijst.

  1. Haal de vingerafdruk voor het clientcertificaat op. Zie De vingerafdruk van een certificaat ophalen voor meer informatie.
  2. Kopieer de gegevens naar een teksteditor en verwijder alle spaties, zodat u een doorlopende tekenreeks overhoudt.
  3. Navigeer naar de pagina Punt-naar-site-configuratie van de virtuele netwerkgateway. Dit is de pagina die u ook hebt gebruikt voor het uploaden van een vertrouwd basiscertificaat.
  4. In het gedeelte Ingetrokken certificaten voert u een beschrijvende naam in voor het certificaat (dit hoeft niet de CN van het certificaat te zijn).
  5. Kopieer en plak de vingerafdruk naar het veld Vingerafdruk.
  6. De vingerafdruk wordt gevalideerd en automatisch toegevoegd aan de intrekkingslijst. Er wordt een bericht op het scherm weergegeven met de melding dat de lijst wordt bijgewerkt.
  7. Wanneer het bijwerken is voltooid, kan het certificaat niet langer worden gebruikt om verbinding te maken. Clients die verbinding proberen te maken met het certificaat, ontvangen een bericht waarin wordt gemeld dat het certificaat niet meer geldig is.

Veelgestelde vragen over punt-naar-site

Zie de Veelgestelde vragen voor veelgestelde vragen.

Volgende stappen

Wanneer de verbinding is voltooid, kunt u virtuele machines aan uw virtuele netwerken toevoegen. Zie Virtuele machines voor meer informatie. Zie Azure and Linux VM Network Overview (Overzicht van Azure- en Linux-VM-netwerken) voor meer informatie over netwerken en virtuele machines.

Voor informatie over probleemoplossing voor P2S bekijkt u Troubleshooting Azure point-to-site connections (Problemen met punt-naar-site-verbindingen in Azure oplossen).