Informacje o sieci VPN typu punkt-lokacja
Połączenie bramy VPN Gateway typu punkt-lokacja pozwala utworzyć bezpieczne połączenie z siecią wirtualną z indywidualnego komputera klienckiego. Połączenie typu punkt-lokacja jest ustanawiane przez uruchomienie z komputera klienckiego. To rozwiązanie jest przydatne dla osób pracujących zdalnie, które chcą łączyć się z sieciami wirtualnymi platformy Azure z lokalizacji zdalnej, na przykład z domu lub sali konferencyjnej. Połączenie sieci VPN typu punkt-lokacja jest również przydatne zamiast połączenia sieci VPN typu lokacja-lokacja w przypadku niewielkiej liczby klientów, którzy muszą się łączyć z siecią wirtualną. Ten artykuł dotyczy modelu wdrażania przy użyciu usługi Resource Manager.
Jakiego protokołu używa połączenie punkt-lokacja?
Sieć VPN typu punkt-lokacja może używać jednego z następujących protokołów:
Protokół OpenVPN®, oparty na protokole VPN SSL/TLS. Rozwiązanie tls VPN może przeniknąć przez zapory, ponieważ większość zapór otwiera port TCP 443 wychodzący, którego używa protokół TLS. Protokół OpenVPN może służyć do nawiązywania połączeń z systemów Android, iOS (w wersjach 11.0 lub nowszych), windows, Linux i Mac (macOS w wersji 10.13 lub nowszej).
Secure Socket Tunneling Protocol (SSTP) — zastrzeżony protokół SIECI VPN oparty na protokole TLS. Rozwiązanie tls VPN może przeniknąć przez zapory, ponieważ większość zapór otwiera port TCP 443 wychodzący, którego używa protokół TLS. Protokół SSTP jest obsługiwany tylko na urządzeniach z systemem Windows. pomoc techniczna platformy Azure wszystkie wersje systemu Windows z protokołem SSTP i obsługują protokół TLS 1.2 (Windows 8.1 i nowsze).
IKEv2 VPN, oparte na standardach rozwiązanie sieci VPN IPsec. Sieć VPN IKEv2 może służyć do nawiązywania połączenia z urządzeń Mac (system macOS w wersji 10.11 lub nowszej).
Uwaga
Protokoły IKEv2 i OpenVPN dla P2S są dostępne tylko dla modelu wdrażania usługi Resource Manager. Nie są one dostępne dla klasycznego modelu wdrażania.
Jak uwierzytelniają się klienci sieci VPN punkt-lokacja?
Zanim platforma Azure zaakceptuje połączenie sieci VPN punkt-lokacja, użytkownik musi najpierw zostać uwierzytelniony. Istnieją dwa mechanizmy, które platforma Azure oferuje do uwierzytelniania użytkownika łączącego.
Uwierzytelnianie certyfikatu
W przypadku korzystania z natywnego uwierzytelniania certyfikatu platformy Azure certyfikat klienta znajdujący się na urządzeniu jest używany do uwierzytelniania użytkownika łączącego. Certyfikaty klienta są generowane na podstawie zaufanego certyfikatu głównego, a następnie instalowane na każdym komputerze klienckim. Możesz użyć certyfikatu głównego wygenerowanego przy użyciu rozwiązania Enterprise lub wygenerować certyfikat z podpisem własnym.
Walidacja certyfikatu klienta jest wykonywana przez bramę sieci VPN i odbywa się podczas nawiązywania połączenia sieci VPN typu punkt-lokacja. Certyfikat główny jest wymagany do weryfikacji i musi zostać przekazany na platformę Azure.
Uwierzytelnianie Microsoft Entra
Uwierzytelnianie Microsoft Entra umożliwia użytkownikom łączenie się z platformą Azure przy użyciu poświadczeń firmy Microsoft Entra. Natywne uwierzytelnianie firmy Microsoft Entra jest obsługiwane tylko w przypadku protokołu OpenVPN, a także wymaga użycia klienta sieci VPN platformy Azure. Obsługiwane systemy operacyjne klienta to Windows 10 lub nowszy i macOS.
Korzystając z natywnego uwierzytelniania firmy Microsoft Entra, można użyć funkcji dostępu warunkowego firmy Microsoft i uwierzytelniania wieloskładnikowego (MFA) dla sieci VPN.
Na wysokim poziomie należy wykonać następujące kroki, aby skonfigurować uwierzytelnianie firmy Microsoft Entra:
Włączanie uwierzytelniania w usłudze Microsoft Entra w bramie
Pobierz najnowszą wersję plików instalacyjnych klienta sieci VPN platformy Azure, korzystając z jednego z następujących linków:
- Zainstaluj przy użyciu plików instalacji klienta: https://aka.ms/azvpnclientdownload.
- Zainstaluj bezpośrednio po zalogowaniu się na komputerze klienckim: Microsoft Store.
Serwer domeny usługi Active Directory (AD)
Uwierzytelnianie domeny usługi AD umożliwia użytkownikom łączenie się z platformą Azure przy użyciu poświadczeń domeny organizacji. Wymaga serwera RADIUS zintegrowanego z serwerem usługi AD. Organizacje mogą również używać istniejącego wdrożenia usługi RADIUS.
Serwer RADIUS można wdrożyć lokalnie lub w sieci wirtualnej platformy Azure. Podczas uwierzytelniania usługa Azure VPN Gateway działa jako przekazywanie i przekazuje komunikaty uwierzytelniania z powrotem między serwerem RADIUS a urządzeniem łączącym. Dlatego dostęp bramy do serwera RADIUS jest ważny. Jeśli serwer RADIUS jest obecny lokalnie, połączenie S2S sieci VPN z platformy Azure z lokacją lokalną jest wymagane w celu zapewnienia dostępności.
Serwer RADIUS może również integrować się z usługami certyfikatów usługi AD. Dzięki temu można użyć serwera RADIUS i wdrożenia certyfikatu przedsiębiorstwa na potrzeby uwierzytelniania certyfikatu P2S jako alternatywy dla uwierzytelniania certyfikatu platformy Azure. Zaletą jest to, że nie trzeba przekazywać certyfikatów głównych i odwołać certyfikatów na platformę Azure.
Serwer RADIUS może również integrować się z innymi zewnętrznymi systemami tożsamości. Spowoduje to otwarcie wielu opcji uwierzytelniania dla sieci VPN typu punkt-lokacja, w tym opcji wieloskładnikowych.
Jakie są wymagania dotyczące konfiguracji klienta?
Wymagania dotyczące konfiguracji klienta różnią się w zależności od używanego klienta sieci VPN, typu uwierzytelniania i protokołu. W poniższej tabeli przedstawiono dostępnych klientów i odpowiednie artykuły dla każdej konfiguracji.
| Uwierzytelnianie | Typ tunelu | Generowanie plików konfiguracji | Konfigurowanie klienta sieci VPN |
|---|---|---|---|
| Certyfikat platformy Azure | IKEv2, SSTP | Windows | Natywny klient sieci VPN |
| Certyfikat platformy Azure | OpenVPN | Windows | - Klient OpenVPN - Klient sieci VPN platformy Azure |
| Certyfikat platformy Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certyfikat platformy Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS — certyfikat | - | Artykuł | Artykuł |
| RADIUS — hasło | - | Artykuł | Artykuł |
| RADIUS — inne metody | - | Artykuł | Artykuł |
Ważne
Od 1 lipca 2018 r. z usługi Azure VPN Gateway zostanie usunięta obsługa techniczna protokołów TLS 1.0 i 1.1. Usługa VPN Gateway będzie obsługiwać tylko protokół TLS 1.2. Dotyczy to tylko połączeń punkt-lokacja; Nie będzie to miało wpływu na połączenia typu lokacja-lokacja. Jeśli używasz protokołu TLS dla sieci VPN typu punkt-lokacja na klientach z systemem Windows 10 lub nowszym, nie musisz podejmować żadnych działań. Jeśli używasz protokołu TLS dla połączeń punkt-lokacja na klientach z systemami Windows 7 i Windows 8, zapoznaj się z często zadawanymi pytaniami dotyczącymi usługi VPN Gateway, aby uzyskać instrukcje dotyczące aktualizacji.
Które jednostki SKU bramy obsługują sieć VPN punkt-lokacja?
W poniższej tabeli przedstawiono jednostki SKU bramy według tunelu, połączenia i przepływności. Aby uzyskać dodatkowe tabele i więcej informacji dotyczących tej tabeli, zobacz sekcję Jednostki SKU bramy w artykule Ustawienia bramy SIECI VPN.
| VPN Brama Generacji |
SKU | Połączenia typu lokacja-lokacja/sieć wirtualna-sieć wirtualna Tunele |
P2S Połączenie protokołu SSTP |
P2S Połączenie IKEv2/OpenVPN |
Agregacji Test porównawczy przepływności |
BGP | Strefowo nadmiarowy | Obsługiwana liczba maszyn wirtualnych w sieci wirtualnej |
|---|---|---|---|---|---|---|---|---|
| Generacja1 | Podstawowa | Maks. 10 | Maks. 128 | Nieobsługiwany | 100 Mb/s | Nieobsługiwany | Nie. | 200 |
| Generacja1 | VpnGw1 | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/s | Obsługiwane | Nie. | 450 |
| Generacja1 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gb/s | Obsługiwane | Nie. | 1300 |
| Generacja1 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/s | Obsługiwane | Nie. | 4000 |
| Generacja1 | VpnGw1AZ | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/s | Obsługiwane | Tak | 1000 |
| Generacja1 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gb/s | Obsługiwane | Tak | 2000 |
| Generacja1 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/s | Obsługiwane | Tak | 5000 |
| Generacja 2 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/s | Obsługiwane | Nie. | 685 |
| Generacja 2 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/s | Obsługiwane | Nie. | 2240 |
| Generacja 2 | VpnGw4 | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gb/s | Obsługiwane | Nie. | 5300 |
| Generacja 2 | VpnGw5 | Maks. 100* | Maks. 128 | Maks. 10 000 | 10 Gb/s | Obsługiwane | Nie. | 6700 |
| Generacja 2 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/s | Obsługiwane | Tak | 2000 |
| Generacja 2 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/s | Obsługiwane | Tak | 3300 |
| Generacja 2 | VpnGw4AZ | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gb/s | Obsługiwane | Tak | 4400 |
| Generacja 2 | VpnGw5AZ | Maks. 100* | Maks. 128 | Maks. 10 000 | 10 Gb/s | Obsługiwane | Tak | 9000 |
Uwaga
Podstawowa jednostka SKU ma ograniczenia i nie obsługuje uwierzytelniania IKEv2, IPv6 ani RADIUS. Aby uzyskać więcej informacji, zobacz artykuł Ustawienia usługi VPN Gateway.
Jakie zasady protokołu IKE/IPsec są konfigurowane w bramach sieci VPN dla połączenia punkt-lokacja?
W tabelach w tej sekcji przedstawiono wartości zasad domyślnych. Nie odzwierciedlają one jednak dostępnych obsługiwanych wartości dla zasad niestandardowych. Aby uzyskać zasady niestandardowe, zobacz zaakceptowane wartości wymienione w poleceniu cmdlet New-AzVpnClientIpsecParameter programu PowerShell.
IKEv2
| Szyfrowania | Integralność | PRF | GRUPA DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
Ipsec
| Szyfrowania | Integralność | Grupa PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Jakie zasady protokołu TLS są konfigurowane w bramach sieci VPN dla połączenia punkt-lokacja?
TLS
| Zasady |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Jak mogę skonfigurować połączenie punkt-lokacja?
Konfiguracja P2S wymaga kilku konkretnych kroków. Poniższe artykuły zawierają kroki, które należy wykonać, aby zapoznać się z typowymi krokami konfiguracji P2S.
Aby usunąć konfigurację połączenia punkt-lokacja
Konfigurację połączenia można usunąć przy użyciu programu PowerShell lub interfejsu wiersza polecenia. Aby zapoznać się z przykładami, zobacz często zadawane pytania.
Jak działa routing punkt-lokacja?
Odwiedź następujące artykuły:
Często zadawane pytania
Istnieje wiele sekcji często zadawanych pytań dotyczących połączenia punkt-lokacja na podstawie uwierzytelniania.
Następne kroki
- Konfigurowanie połączenia punkt-lokacja — uwierzytelnianie certyfikatu platformy Azure
- Konfigurowanie połączenia typu punkt-lokacja — uwierzytelnianie za pomocą usługi RADIUS
"OpenVPN" jest znakiem towarowym OpenVPN Inc.