Настройка подключения типа "точка — сеть" с помощью проверки подлинности на основе сертификата (классическая модель)

Примечание

В этой статье рассматривается использование классической модели развертывания. Если вы новичок в Azure, мы советуем вместо этого использовать модель развертывания с помощью Resource Manager. Модель развертывания с помощью Resource Manager — это самая новая модель развертывания, которая предлагает больше возможностей и более расширенную совместимость функций, чем классическая. Дополнительные сведения о моделях развертывания см. в статье Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.

Чтобы узнать версию Resource Manager, используемую в этой статье, выберите соответствующий пункт в раскрывающемся списке или в оглавлении в левой части окна.

В этой статье объясняется, как создать виртуальную сеть с подключением типа "точка — сеть". Эта виртуальная сеть создается с помощью классической модели развертывания с использованием портала Azure. В этой конфигурации для аутентификации подключающегося клиента используются сертификаты — самозаверяющие или выпущенные ЦС. Эту конфигурацию можно также создать с помощью другого средства развертывания или модели, используя варианты, описанные в следующих статьях:

С помощью VPN-шлюза типа "точка — сеть" (P2S) создается безопасное подключение к виртуальной сети с отдельного клиентского компьютера. VPN-подключения типа "точка — сеть" (P2S) эффективны для подключения к виртуальной сети из удаленного расположения. Если у вас небольшое количество клиентов, которым требуется подключение к виртуальной сети, такая конфигурация эффективна для использования вместо VPN-подключения типа "сеть — сеть". VPN-подключение типа P2S сначала устанавливается с клиентского компьютера.

Важно!

Классическая модель развертывания поддерживает только клиенты VPN в Windows и использует Socket Tunneling Protocol (SSTP), протокол VPN на основе SSL. Чтобы обеспечить поддержку клиентов VPN не в Windows, виртуальную сеть следует создавать с использованием модели развертывания с помощью Resource Manager. Помимо SSTP, эта модель развертывания поддерживает VPN IKEv2. Дополнительные сведения см. в статье Сведения о VPN-подключениях типа "точка — сеть".

Point-to-Site-diagram

Параметры и требования

Требования

Для проверки подлинности подключений типа "точка — сеть" на основе сертификатов необходимы следующие элементы. В этой статье описаны действия, которые помогут создать их.

  • Динамический VPN-шлюз.
  • Открытый ключ (CER-файл) для корневого сертификата, импортированный в Azure. Этот ключ считается доверенным сертификатом и используется для проверки подлинности.
  • Сертификат клиента создается из корневого сертификата и устанавливается на каждом подключаемом клиентском компьютере. Этот сертификат используется для проверки подлинности клиента.
  • Пакет конфигурации VPN-клиента необходимо создать и установить на каждом подключаемом клиентском компьютере. Пакет конфигурации клиента настраивает собственный VPN-клиент, находящийся в операционной системе, используя данные, необходимые для подключения к виртуальной сети.

Для подключения типа "точка — сеть" не требуется VPN-устройство или локальный общедоступный IP-адрес. Для создания VPN-подключения используется протокол SSTP (Secure Socket Tunneling Protocol). На стороне сервера поддерживается SSTP версии 1.0, 1.1 и 1.2. Какую версию использовать, решает клиент. Для Windows 8.1 и более поздних версий по умолчанию используется SSTP версии 1.2.

Дополнительные сведения см. в статье о подключениях типа "точка — сеть" и в ответах на часто задаваемые вопросы.

Примеры настроек

Используйте следующие значения для создания тестовой среды или для лучшего понимания примеров в этой статье:

  • Группа ресурсов: TestRG
  • Имя виртуальной сети: VNet1
  • Адресное пространство: 192.168.0.0/16
    В этом примере мы используем только одно адресное пространство, но для виртуальной сети можно настроить несколько.
  • Имя подсети: FrontEnd
  • Диапазон адресов подсети: 192.168.1.0/24
  • Подсеть шлюза: 10.11.255.0/27.
  • Регион: (США) Восточная часть США
  • Адресное пространство клиента: 172.16.201.0/24
    VPN-клиенты, подключающиеся к виртуальной сети с помощью этого подключения "точка — сеть", получают IP-адреса из указанного пула.
  • Тип подключения: выберите "точка — сеть"
  • Диапазон адресов подсети шлюза (блок CIDR): 192.168.200.0/24

Прежде чем начать, убедитесь в том, что у вас есть подписка Azure. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.

Создание виртуальной сети

Если у вас уже есть виртуальная сеть, проверьте совместимость параметров со структурой VPN-шлюза. Обратите особое внимание на подсети, которые могут пересекаться с другими сетями.

  1. В браузере откройте портал Azure и при необходимости войдите с помощью учетной записи Azure.
  2. Выберите +Создать ресурс. В поле Поиск по Marketplace введите "Виртуальная сеть". Найдите виртуальную сеть в возвращенном списке и выберите ее, чтобы открыть страницу виртуальной сети.
  3. На странице "Виртуальная сеть" под кнопкой "Создать" вы увидите "Развернуть с помощью диспетчера ресурсов (изменить на классический)". Диспетчер ресурсов используется по умолчанию для создания виртуальной сети. Вы не хотите создавать виртуальную сеть Resource Manager. Выберите (изменить на Classic), чтобы создать классическую виртуальную сеть. Затем выберите вкладку Обзор и выберите Создать.
  4. На странице Создание виртуальной сети (классическая) на вкладке Основные настройте параметры виртуальной сети с использованием примеров значений.
  5. Выберите Обзор + создать, чтобы проверить свою виртуальную сеть.
  6. Выполняется проверка. После проверки виртуальной сети выберите Создать.

Настройки DNS не являются обязательной частью этой конфигурации, но DNS необходим, если вы хотите разрешение имен между вашими виртуальными машинами. Если указать значение, DNS-сервер не создается. Необходимо указать IP-адрес DNS-сервера, который может разрешать имена для ресурсов, к которым вы подключаетесь.

После создания виртуальной сети можно добавить IP-адрес DNS-сервера для обработки разрешения имен. Откройте настройки своей виртуальной сети, выберите DNS-серверы и добавьте IP-адрес DNS-сервера, который вы хотите использовать для разрешения имен.

  1. Найдите виртуальную сеть на портале.
  2. В колонке виртуальной сети в разделе Параметры выберите DNS-серверы.
  3. Добавьте DNS-сервер.
  4. Чтобы сохранить параметры, выберите кнопку Сохранить в верхней части страницы.

Создание VPN-шлюза

  1. Перейдите к созданной виртуальной сети.

  2. На странице виртуальной сети в разделе "Параметры" выберите Шлюз. На странице Шлюз можно просмотреть шлюз для виртуальной сети. У этой виртуальной сети еще нет шлюза. Щелкните примечание, в котором указано: Нажмите здесь, чтобы добавить соединение и шлюз.

  3. На странице Настройка VPN-подключения и шлюза выберите следующие параметры.

    • Тип подключения: "точка — сеть"
    • Для параметра "Адресное пространство клиента" добавьте диапазон IP-адресов, из которого VPN-клиенты будут получать IP-адреса при подключении. Используйте диапазон частных IP-адресов, который не пересекается с локальным расположением, из которого выполнено подключение, или с виртуальной сетью, к которой вы подключаетесь.
  4. Не устанавливайте флажок Не настраивать шлюз в это время. Будет создан шлюз.

  5. В нижней части страницы выберите Далее: шлюз .

  6. На вкладке Шлюз выберите следующие значения:

    • Размер. Размер — это SKU шлюза для шлюза виртуальной сети. На портале Azure SKU по умолчанию — По умолчанию. Дополнительные сведения о номерах SKU шлюзов см. в разделе SKU шлюзов.
    • Тип маршрутизации. Для конфигурации типа "точка — сеть" необходимо выбрать параметр Динамическая. Статическая маршрутизация не будет работать.
    • Подсеть шлюза. Это поле уже заполнено автоматически. Это имя невозможно изменить. Если вы попытаетесь изменить имя с помощью PowerShell или других средств, шлюз не будет работать должным образом.
    • Диапазон адресов (блок CIDR). Хотя можно создать подсеть шлюза размером /29, рекомендуется создать подсеть большего размера, включающую несколько адресов, выбрав по крайней мере значение /28 или /27. Таким образом, у вас будет достаточно адресов, чтобы добавить дополнительные конфигурации в будущем. При работе с подсетями шлюза не связывайте группу безопасности сети (NSG) с подсетью шлюза. Связывание группы безопасности сети с этой подсетью приведет к тому, что VPN-шлюз перестанет правильно функционировать.
  7. Чтобы проверить параметры, выберите Просмотр и создание.

  8. После завершения проверки щелкните Создать. Создание VPN-шлюза может занять до 45 минут в зависимости от выбранного номера SKU шлюза.

Создание сертификатов

В Azure сертификаты используются для проверки подлинности VPN-клиентов в VPN-подключениях типа "точка — сеть". Необходимо отправить сведения об открытом ключе корневого сертификата в Azure. После этого открытый ключ считается доверенным. Сертификаты клиентов должны создаваться из доверенного корневого сертификата, а затем устанавливаться на каждом клиентском компьютере в хранилище сертификатов Certificates-Current User\Personal\Certificates. Сертификат используется для проверки подлинности клиента, когда он подключается к виртуальной сети.

Используемые самозаверяющие сертификаты должны быть созданы с помощью определенных параметров. Чтобы создать самозаверяющий сертификат, см. инструкции по PowerShell и Windows 10 или MakeCert. Следовать этим инструкциям очень важно при использовании самозаверяющих корневых сертификатов и создании на их основе клиентских сертификатов. В противном случае создаваемые сертификаты не будут совместимы с подключениями типа "точка — сеть", и вы получите сообщение об ошибке подключения.

Получение открытого ключа CER-файла для корневого сертификата

Получите CER-файл для корневого сертификата. Используйте корневой сертификат, созданный с помощью корпоративного решения (рекомендуется) или создайте самозаверяющий сертификат. После создания корневого сертификата данные общедоступного сертификата (а не закрытый ключ) экспортируйте в виде CER-файла X.509 в кодировке Base64. Этот файл будет отправлен позже в Azure.

  • Корпоративный сертификат. Если вы используете корпоративное решение центра сертификации, можно применить существующую цепочку сертификатов. Получите CER-файл для корневого сертификата, который нужно использовать.

  • Самозаверяющий корневой сертификат. Если вы не планируете использовать корпоративное решение для создания сертификатов, создайте самозаверяющий корневой сертификат. В противном случае создаваемые сертификаты не будут совместимы с вашими подключениями типа "точка — сеть", и при попытке подключения клиенты будут получать сообщение об ошибке подключения. Можно использовать Azure PowerShell, MakeCert или OpenSSL. На шагах, приведенных по следующим ссылкам, описывается, как создать совместимый самозаверяющий корневой сертификат:

Создание сертификата клиента

На каждом клиентском компьютере, который вы подключаете к виртуальной сети с помощью подключения типа "точка — сеть", должен быть установлен сертификат клиента. Его нужно создать из корневого сертификата и установить на каждый клиентский компьютер. Если вы не установите допустимый сертификат клиента, проверка подлинности завершится со сбоем, когда клиент попытается подключиться к виртуальной сети.

Можно создать уникальный сертификат для каждого клиента или использовать один сертификат для нескольких клиентов. Преимущество уникальных клиентских сертификатов заключается в том, что при необходимости можно отозвать один сертификат. В противном случае, если потребуется отозвать сертификат для проверки подлинности, который используют несколько клиентов, вам придется создать и установить новые сертификаты для всех клиентов, которые используют этот сертификат.

Сертификаты клиентов можно создать, используя следующие методы:

  • Корпоративный сертификат.

    • При использовании корпоративного решения для создания сертификатов создайте сертификат клиента с общим именем в формате name@yourdomain.com. Используйте этот формат вместо формата доменное_имя\имя_пользователя.

    • Убедитесь, что сертификат клиента основан на шаблоне сертификата пользователя, в котором первым указан пункт Проверка подлинности клиента. Проверить сертификат можно, дважды щелкнув его и выбрав на вкладке СведенияУлучшенный ключ.

  • Самозаверяющий корневой сертификат. Выполните действия, описанные в следующих статьях о сертификате P2S, чтобы создаваемые сертификаты клиента были совместимы с подключениями P2S.

    Если вы создаете сертификат клиента из самозаверяющего корневого сертификата, он автоматически устанавливается на компьютере, используемом для его создания. Если вы хотите установить сертификат клиента на другом клиентском компьютере, экспортируйте его как PFX-файл вместе со всей цепочкой сертификатов. После экспорта будет создан PFX-файл, содержащий сведения корневого сертификата, необходимые для проверки подлинности клиента.

    Действия, описанные в следующих статьях, помогут создать совместимый сертификат клиента, который можно экспортировать и распространять.

Отправка CER-файла корневого сертификата

После создания шлюза отправьте CER-файл (который содержит сведения об открытом ключе) доверенного корневого сертификата на сервер Azure. Не отправляйте закрытый ключ для корневого сертификата. После отправки CER-файла Azure будет использовать его для проверки подлинности клиентов, на которых установлен клиентский сертификат, созданный из доверенного корневого сертификата. При необходимости позже можно отправить дополнительные файлы доверенных корневых сертификатов (до 20).

  1. Перейдите к созданному шлюзу виртуальной сети.
  2. В разделе Параметры выберите Подключения типа "точка-сеть".
  3. Щелкните Управление сертификатами.
  4. Щелкните Отправить.
  5. На панели Отправить сертификат выберите значок папки и перейдите к сертификату, который нужно отправить.
  6. Щелкните Отправить.
  7. После успешной отправки сертификата его можно просмотреть на странице "Управление сертификатами". Возможно, потребуется нажать кнопку Обновить, чтобы просмотреть только что отправленный сертификат.

Настройка клиента

Для подключения к виртуальной сети с помощью VPN-подключения типа "точка — сеть" для каждого клиента необходимо установить пакет конфигурации для собственного VPN-клиента Windows. Пакет конфигурации настраивает собственный VPN-клиент Windows с необходимыми параметрами для подключения к виртуальной сети.

На каждом клиентском компьютере можно использовать один и тот же пакет конфигурации VPN-клиента при условии, что его версия соответствует архитектуре клиента. Список поддерживаемых клиентских операционных систем см. в статье о подключениях типа "точка — сеть" и в ответах на часто задаваемые вопросы.

Создание и установка пакета конфигурации VPN-клиента

  1. Перейдите к параметрам Подключения типа "точка — сеть" для виртуальной сети.

  2. В верхней части страницы выберите пакет загрузки, соответствующий операционной системе клиента, в которой требуется его установить.

    • Для 64-разрядных клиентов выберите вариант VPN-клиент (64-разрядная версия).
    • Для 32-разрядных клиентов выберите вариант VPN-клиент (32-разрядная версия).
  3. Azure создает пакет с конкретными параметрами, которые требуются клиенту. Каждый раз при внесении изменений в виртуальную сеть или шлюз необходимо скачать новый пакет конфигурации клиента и установить его на клиентских компьютерах.

  4. После создания пакета выберите Скачать.

  5. Установите пакет конфигурации клиента на клиентском компьютере. Если при установке отображается всплывающее окно SmartScreen с сообщением о том, что Windows защищает ваш компьютер, выберите Дополнительные сведения, а затем — Выполнить в любом случае. Вы также можете сохранить пакет для установки на других клиентских компьютерах.

Установка сертификата клиента

В этом упражнении при создании сертификата клиента он был автоматически установлен на компьютере. Чтобы создать подключение типа "точка — сеть" на другом клиентском компьютере, отличном от того, который использовался для создания сертификатов клиентов, необходимо установить созданный сертификат клиента на этот компьютер.

При установке сертификата клиента потребуется пароль, созданный при экспорте сертификата клиента. Как правило, можно установить сертификат, просто дважды щелкнув его. Дополнительные сведения см. в разделе Установка экспортированного сертификата клиента.

Подключение к виртуальной сети

Примечание

Вам потребуются права администратора для клиентского компьютера, с которого устанавливается подключение.

  1. На клиентском компьютере перейдите в раздел "Параметры VPN".
  2. Выберите созданную виртуальную частную сеть. Если вы использовали параметры примера, подключение будет помечено как Group TestRG VNet1.
  3. Выберите Подключиться.
  4. В поле виртуальной сети Windows Azure выберите Подключить. Если появится всплывающее сообщение о сертификате, выберите Продолжить, чтобы использовать более высокий уровень привилегий, а затем щелкните Да, чтобы принять изменения конфигурации.
  5. Если подключение выполнено успешно, появится уведомление Подключено.

Если возникают проблемы с подключением, проверьте следующее.

  • Если вы экспортировали сертификат клиента с помощью мастера экспорта сертификатов, убедитесь, что он был экспортирован как PFX-файл с использованием значения Включить по возможности все сертификаты в путь сертификации. При экспорте с использованием этого значения также экспортируются сведения о корневом сертификате. Корневой сертификат в PFX-файле устанавливается вместе с установкой сертификата на компьютер клиента. Чтобы проверить установку корневого сертификата, откройте Управление сертификатами пользователей и выберите Доверенные корневые центры сертификации\Сертификаты. Убедитесь, что корневой сертификат отображается в списке, иначе проверка подлинности не будет выполнена.

  • Если используется сертификат, который был выдан корпоративным ЦС, и при аутентификации возникают проблемы, проверьте порядок прохождения аутентификации в сертификате клиента. Проверьте список этапов аутентификации, дважды щелкнув сертификат клиента, выбрав Сведения, а затем Улучшенный ключ. Убедитесь, что первым в списке отображается пункт Проверка подлинности клиента. В противном случае выдайте сертификат клиента на основе пользовательского шаблона, в котором пункт Проверка подлинности клиента указан первым в списке.

  • Дополнительные сведения см. в статье Устранение неполадок подключения типа "точка — сеть" Azure.

Проверка VPN-подключения

  1. Убедитесь, что вы используете активное VPN-подключение. Откройте командную строку с повышенными привилегиями на клиентском компьютере и выполните ipconfig/all.

  2. Просмотрите результаты. Обратите внимание, что полученный вами IP-адрес — это один из адресов в адресном пространстве подключения типа "точка — сеть", которое вы указали при создании виртуальной сети. Результаты должны выглядеть приблизительно как в приведенном примере.

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 192.168.130.2(Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

Подключение к виртуальной машине

Создание подключения к удаленному рабочему столу для подключения к виртуальной машине, развернутой в вашей виртуальной сети. Лучший способ проверить, можете ли вы подключиться к своей виртуальной машине, — подключиться, используя ее частный IP-адрес, а не имя компьютера. Таким образом, вы проверяете, можете ли вы подключиться, а не правильно ли настроено разрешение имен.

  1. Найдите частный IP-адрес для виртуальной машины. Чтобы найти частный IP-адрес виртуальной машины, просмотрите ее свойства на портале Azure или используйте PowerShell.
  2. Убедитесь, что вы подключены к виртуальной сети с помощью VPN-подключения "точка — сеть".
  3. Чтобы открыть подключение к удаленному рабочему столу, введите RDP или подключение к удаленному рабочему столу в поле поиска на панели задач, а затем выберите подключение к удаленному рабочему столу. Вы также можете открыть его с помощью команды mstsc в PowerShell.
  4. В сеансе подключения к удаленному рабочему столу введите частный IP-адрес виртуальной машины. При необходимости выберите Показать параметры, чтобы настроить дополнительные параметры, а затем подключитесь.

Устранение неполадок подключения к виртуальной машине через удаленный рабочий стол

Если возникают проблемы при подключении к виртуальной машине через VPN-подключение, вот несколько моментов, которые можно проверить.

  • Убедитесь, что вы используете активное VPN-подключение.
  • Убедитесь, что подключаетесь к частному IP-адресу виртуальной машины.
  • Введите ipconfig, чтобы проверить IPv4-адрес, назначенный Ethernet-адаптеру на компьютере, с которого выполняется подключение. Адресное пространство перекрывается, когда IP-адрес находится в диапазоне адресов виртуальной сети, к которой выполняется подключение, или в диапазоне адресов VPNClientAddressPool. В таком случае сетевой трафик не достигает Azure и остается в локальной сети.
  • Если вы можете подключиться к виртуальной машине с помощью частного IP-адреса, но не имени компьютера, проверьте, правильно ли настроено имя DNS. Дополнительные сведения о том, как работает разрешение имен для виртуальных машин, см. в статье Разрешение имен для ВМ и экземпляров ролей.
  • Убедитесь, что пакет конфигурации VPN-клиента был создан после указания IP-адресов DNS-сервера для виртуальной сети. Если вы обновили IP-адреса DNS-сервера, создайте и установите новый пакет конфигурации VPN-клиента.

Дополнительные сведения об устранении неполадок см. в статье Устранение неполадок с подключением к виртуальной машине Azure через удаленный рабочий стол.

Добавление и удаление доверенного корневого сертификата

Вы можете добавлять доверенные корневые сертификаты в Azure, а также удалять их из Azure. При удалении корневого сертификата клиенты, использующие сертификат, созданный из этого корневого сертификата, больше не смогут пройти проверку подлинности и подключиться. Чтобы эти клиенты снова могли проходить проверку подлинности и подключаться, необходимо установить новый сертификат клиента, созданный на основе корневого сертификата, который является доверенным для Azure.

Добавление доверенного корневого сертификата

Вы можете добавить до 20 CER-файлов доверенных корневых сертификатов в Azure с помощью того же процесса, который использовался для добавления первого доверенного корневого сертификата.

Удаление доверенного корневого сертификата

  1. В разделе Подключения типа "точка — сеть" страницы для виртуальной сети выберите Управление сертификатом.
  2. Выберите кнопку с многоточием рядом с сертификатом, который требуется удалить, а затем щелкните Удалить.

Отзыв сертификата клиента

При необходимости можно отозвать сертификат клиента. Список отзыва сертификатов позволяет выборочно запрещать подключение типа "точка-сеть" на основе отдельных сертификатов клиента. Этот метод отличается от удаления доверенного корневого сертификата. При удалении доверенного корневого сертификата (CER-файл) из Azure будет запрещен доступ для всех сертификатов клиента, созданных на основе отозванного корневого сертификата или подписанных им. Отзыв сертификата клиента, а не корневого сертификата, позволяет по-прежнему использовать другие сертификаты, созданные на основе корневого сертификата, для проверки подлинности подключения типа "точка — сеть".

Обычно корневой сертификат используется для управления доступом на уровнях группы или организации, а отозванный сертификат клиента — для точного контроля доступа для отдельных пользователей.

Вы можете отозвать сертификат клиента, добавив отпечаток в список отзыва.

  1. Получите отпечаток сертификата клиента. Дополнительные сведения см. в статье Практическое руководство. Извлечение отпечатка сертификата.
  2. Скопируйте данные в текстовый редактор и удалите все пробелы, чтобы предоставить отпечаток в виде непрерывной строки.
  3. Перейдите к VPN-подключению типа "точка — сеть", а затем выберите Управление сертификатом.
  4. Выберите Список отзыва, чтобы открыть страницу Список отзыва.
  5. На странице Отпечаток вставьте отпечаток сертификата в виде одной непрерывной текстовой строки без пробелов.
  6. Выберите Добавить в список, чтобы добавить отпечаток в список отзыва сертификатов (CRL).

После применения изменений сертификат больше не будет использоваться для подключения. Клиенты, пытающиеся подключиться с помощью этого сертификата, получат сообщение, что он недействителен.

ВОПРОСЫ И ОТВЕТЫ

Эти вопросы и ответы применимы к подключениям P2S, использующих классическую модель развертывания.

Какие клиентские операционные системы можно использовать для подключения типа "точка — сеть"?

Поддерживаются следующие клиентские операционные системы:

  • Windows 7 (32-разрядная и 64-разрядная версии)
  • Windows Server 2008 R2 (только 64-разрядная версия)
  • Windows 8 (32-разрядная и 64-разрядная версии)
  • Windows 8.1 (32-разрядная и 64-разрядная версии)
  • Windows Server 2012 (только 64-разрядная версия)
  • Windows Server 2012 R2 (только 64-разрядная версия)
  • Windows 10

Можно ли использовать для подключения "точка — сеть" любой VPN-клиент, поддерживающий SSTP?

Нет. Поддержка предоставляется только для перечисленных выше версий операционной системы Windows.

Сколько конечных точек VPN-клиента может существовать в конфигурации "точка — сеть"?

Количество конечных точек VPN-клиента зависит от номера SKU и протокола шлюза.

VPN
Шлюз
Поколение
SKU Подключение "сеть — сеть" или "виртуальная сеть — виртуальная сеть"
Туннели
Подключение "точка — сеть"
Подключения SSTP
Подключение "точка — сеть"
Подключения IKEv2/OpenVPN
Агрегат
Тест пропускной способности
BGP Избыточность между зонами
Поколение1 Основной Макс. 10 Макс. 128 Не поддерживается 100 Мбит/с Не поддерживается Нет
Поколение1 VpnGw1 Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается Нет
Поколение1 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается Нет
Поколение1 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается Нет
Поколение1 VpnGw1AZ Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается Да
Поколение1 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается Да
Поколение1 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается Да
Поколение2 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается Нет
Поколение2 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается Нет
Поколение2 VpnGw4 Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается Нет
Поколение2 VpnGw5 Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается Нет
Поколение2 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается Да
Поколение2 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается Да
Поколение2 VpnGw4AZ Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается Да
Поколение2 VpnGw5AZ Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается Да

(*) Если требуется больше 100 VPN-туннелей S2S, используйте Виртуальную глобальную сеть.

  • Переход между номерами SKU VpnGw разрешен в рамках одного поколения, за исключением номера SKU уровня "Базовый". Номер SKU уровня "Базовый" является устаревшим с ограничениями функций. Чтобы перейти с базового на другой SKU VpnGw, необходимо удалить шлюз VPN уровня "Базовый" и создать шлюз с требуемой комбинацией поколения и размера SKU. Вы можете изменить размер базового шлюза только на один из устаревших номеров SKU (см. статью Работа с устаревшими номерами SKU).

  • Эти ограничения подключений являются раздельными. Например, у вас может быть 128 SSTP-подключений, а также 250 IKEv2 для номера SKU VpnGw1.

  • Дополнительные сведения о ценах можно просмотреть на этой странице .

  • См. сведения о соглашении об уровне обслуживания.

  • В одном туннеле можно достичь максимальной пропускной способности в 1 Гбит/с. Эталонная агрегированная пропускная способность в приведенной выше таблице основана на измерениях нескольких туннелей, агрегированных для одного шлюза. Эталонная агрегированная пропускная способность для VPN-шлюза — сумма показателей S2S и P2S. Если у вас много подключений "точка — сеть", это может отрицательно повлиять на подключение "сеть — сеть" из-за ограничений пропускной способности. Эталонная агрегированная пропускная способность не гарантируется, так как этот параметр зависит от характеристик интернет-трафика и особенностей работы вашего приложения.

Чтобы помочь нашим клиентам измерить относительную производительность номеров SKU с помощью разных алгоритмов, мы использовали общедоступные средства iPerf и CTSTraffic. В приведенной ниже таблице перечислены результаты тестов производительности для номеров SKU VpnGw поколения 1. Как видите, наилучшая производительность достигается при использовании алгоритма GCMAES256 для обеспечения целостности и шифрования IPsec. Мы получили среднюю производительность при использовании AES256 для шифрования IPsec и SHA256 для обеспечения целостности. Когда мы использовали DES3 для шифрования IPsec и SHA256 для обеспечения целостности, мы получили низкую производительность.

VPN-туннель подключается к экземпляру VPN-шлюза. Пропускная способность каждого экземпляра указана в таблице выше и доступна в совокупности во всех каналах, подключающихся к этому экземпляру.

Поколение SKU Алгоритмы,
которые используются
Пропускная способность,
которая наблюдается в туннелях
Пакетов в секунду в каждом туннеле
(наблюдается)
Поколение1 VpnGw1 GCMAES256
AES256 и SHA256
DES3 и SHA256
650 Мбит/с
500 Мбит/с
120 Мбит/с
58 000
50 000
50 000
Поколение1 VpnGw2 GCMAES256
AES256 и SHA256
DES3 и SHA256
1 Гбит/с
500 Мбит/с
120 Мбит/с
90 000
80 000
55 000
Поколение1 VpnGw3 GCMAES256
AES256 и SHA256
DES3 и SHA256
1,25 Гбит/с
550 МB/с
120 Мбит/с
105 000
90 000
60 000
Поколение1 VpnGw1AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
650 Мбит/с
500 Мбит/с
120 Мбит/с
58 000
50 000
50 000
Поколение1 VpnGw2AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
1 Гбит/с
500 Мбит/с
120 Мбит/с
90 000
80 000
55 000
Поколение1 VpnGw3AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
1,25 Гбит/с
550 МB/с
120 Мбит/с
105 000
90 000
60 000

Можно ли использовать корневой ЦС собственной внутренней системы PKI для подключения "точка — сеть"?

Да. Раньше поддерживались только самозаверяющие корневые сертификаты. Вы можете отправить до 20 корневых сертификатов.

Можно ли просматривать прокси-серверы и брандмауэры с использованием конфигурации "точка — сеть"?

Да. Для туннелирования через брандмауэры используется протокол SSTP (Secure Socket Tunneling Protocol). Этот туннель отображается как HTTPS-подключение.

Если перезапустить клиентский компьютер, настроенный для подключения "точка — сеть", произойдет ли автоматическое переподключение VPN?

По умолчанию клиентский компьютер не восстанавливает VPN-подключение автоматически.

Поддерживает ли подключение "точка — сеть" автоматическое повторное подключение и DDNS для VPN-клиентов?

Нет. В конфигурациях VPN "точка — сеть" в настоящее время не поддерживаются автоматическое повторное подключение и DDNS.

Могут ли сосуществовать в одной виртуальной сети конфигурации "сеть — сеть" и "точка — сеть"?

Да. Оба решения будут работать, если ваш шлюз использует тип VPN на основе маршрутов. В классической модели развертывания требуется динамический шлюз. Мы не поддерживаем подключения "точка — сеть" для VPN-шлюзов статической маршрутизации или шлюзов, использующих тип VPN PolicyBased.

Можно ли настроить клиент "точка — сеть" для подключения к нескольким виртуальным сетям одновременно?

Да. Но виртуальные сети не могут иметь перекрывающиеся префиксы IP-адресов и адресные пространства "точка — сеть" не должны перекрываться между виртуальными сетями.

На какую пропускную способность можно рассчитывать в конфигурациях подключения "сеть — сеть" и "точка — сеть"?

Сложно поддерживать конкретную пропускную способность для туннелей VPN. IPsec и SSTP — это надежно зашифрованные протоколы VPN. Пропускная способность также зависит от задержки и пропускной способности между локальной сетью и Интернетом.

Дальнейшие действия