Настройка VPN-клиента для подключения типа "точка — сеть": RADIUS — другие методы и протоколы

  • Статья

Для установления подключения "точка— сеть" к виртуальной сети необходимо настроить клиентское устройство, из которого будет выполняться подключение. Эта статья поможет вам создать и установить конфигурацию VPN-клиента для проверки подлинности RADIUS, которая использует методы, отличные от проверки подлинности на основе сертификата или пароля.

При использовании проверки подлинности RADIUS доступны различные варианты проверки подлинности: на основе сертификата, на основе пароля и другие методы и протоколы проверки подлинности. Настройка VPN-клиента отличается для каждого типа аутентификации. Для настройки VPN-клиента используются файлы конфигурации клиента, содержащие необходимые параметры.

Примечание.

Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения "точка — сеть", но не подключения "сеть — сеть". Если вы используете TLS для VPN-подключений "точка — сеть" на клиентах с Windows 10 или более поздней версии, никаких действий не требуется. Если вы используете TLS для подключений "точка — сеть" клиентов с Windows 7 и Windows 8, обратитесь к разделу VPN-шлюз: вопросы и ответы за инструкциями по обновлению.

Рабочий процесс

Ниже приведен рабочий процесс настройки аутентификации RADIUS для подключений типа "точка — сеть".

  1. Настройте VPN-шлюз Azure для подключения "точка — сеть".

  2. Настройте сервер RADIUS для аутентификации.

  3. Получите конфигурацию VPN-клиента для выбранного варианта проверки подлинности и используйте ее для настройки VPN-клиента (эта статья).

  4. Настройте и установите подключение "точка — сеть".

Внимание

Если вы создали профиль конфигурации VPN-клиента, а затем внесли изменения в конфигурацию VPN-подключения "точка — сеть" (например, изменили тип VPN-протокола или проверки подлинности), создайте и установите новую конфигурацию VPN-клиента на устройствах пользователей.

Чтобы использовать другой тип проверки подлинности (например, OTP) либо же другой протокол проверки подлинности (например, протокол PEAP-MSCHAPv2, а не EAP-MSCHAPv2), создайте собственный профиль конфигурации VPN-клиента. Если у вас есть VPN-подключение "точка — сеть", настроенное с использованием RADIUS и OpenVPN, PAP будет сейчас единственным методом проверки подлинности, поддерживаемым между шлюзом и сервером RADIUS. Чтобы создать профиль, требуются следующие данные: IP-адрес шлюза виртуальной сети, тип туннеля и сведения о маршрутах с разделенный туннелем. Эти данные можно получить, выполнив приведенные ниже действия.

Создание файлов конфигурации VPN-клиента

Вы можете создать файлы конфигурации VPN-клиента с помощью портала Azure или с помощью Azure PowerShell.

Портал Azure

  1. Перейдите к шлюзу виртуальной сети.
  2. Щелкните Конфигурация точка-сеть.
  3. Щелкните Загрузить VPN-клиент.
  4. Выберите клиента и заполните любую запрашиваемую информацию.
  5. Щелкните Загрузить, чтобы создать файл .zip.
  6. Файл .zip будет загружен, как правило, в папку "Загрузки".

Azure PowerShell

Используйте командлет Get-AzVpnClientConfiguration, чтобы создать конфигурацию VPN-клиента для EapMSChapv2.

Просмотр файлов и настройка VPN-клиента

Распакуйте файл VpnClientConfiguration.zip и найдите папку GenericDevice. Не используйте папки с установщиками Windows для 64- и 32-разрядной архитектур.

Папка GenericDevice содержит XML-файл с именем VpnSettings. В этом файле находится вся необходимая информация.

  • VpnServer — полное доменное имя VPN-шлюза Azure. Это адрес, по которому подключается клиент.
  • VpnType — тип туннеля, который вы используете для подключения.
  • Routes — маршруты, которые нужно настроить в профиле, чтобы через P2S-туннель отправлялся только трафик виртуальной сети Azure.

Кроме того, папка GenericDevice содержит CER-файл с именем VpnServerRoot. В этом файле содержится корневой сертификат, который требуется для проверки VPN-шлюза Azure при установке подключения "точка — сеть". Установите сертификат на всех устройствах, которые будут подключаться к виртуальной сети Azure.

Используйте параметры в файлах для настройки VPN-клиента.

Следующие шаги

Вернитесь к статье, чтобы завершить настройку подключения типа "точка — сеть".

Дополнительные сведения см. в руководстве по устранению неполадок подключения типа "точка — сеть" в Azure.