Självstudie: Skapa en VPN-anslutning för användare med Azure Virtual WAN

  • Artikel
  • 10 minuter för att läsa

Den här självstudien visar hur du använder Virtual WAN för att ansluta till dina resurser i Azure via en OpenVPN- eller IPsec-/IKE-VPN-anslutning (IKEv2) med en användar-VPN-konfiguration (P2S). Den här typen av anslutning kräver att den interna VPN-klienten konfigureras på varje anslutande klientdator.

I den här guiden får du lära dig att:

  • Skapa ett virtuellt WAN
  • Skapa VPN-konfiguration för användare
  • Skapa den virtuella hubben och gatewayen
  • Generera klientkonfigurationsfiler
  • Konfigurera VPN-klienter
  • Anslut till ett VNet
  • Visa virtuellt WAN
  • Ändra inställningar

Virtual WAN diagram.

Förutsättningar

  • Du har en Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto.

  • Du har ett virtuellt nätverk som du vill ansluta till.

    • Kontrollera att inget av undernäten i dina lokala nätverk överlappar de virtuella nätverk som du vill ansluta till.
    • Information om hur du skapar ett virtuellt Azure Portal finns i snabbstartsartikeln.

  • Det virtuella nätverket får inte ha några befintliga virtuella nätverksgatewayer.

    • Om ditt virtuella nätverk redan har gatewayer (VPN eller ExpressRoute) måste du ta bort alla gatewayer innan du fortsätter.
    • Den här konfigurationen kräver att virtuella nätverk endast ansluter Virtual WAN gatewayen.

  • Bestäm det IP-adressintervall som du vill använda för det privata adressutrymmet för din virtuella hubb. Den här informationen används när du konfigurerar din virtuella hubb. En virtuell hubb är ett virtuellt nätverk som skapas och används av Virtual WAN. Det är kärnan i ditt Virtual WAN i en region. Adressutrymmesintervallet måste följa vissa regler:

    • Adressintervallet som du anger för hubben får inte överlappa med något av de befintliga virtuella nätverk som du ansluter till.
    • Adressintervallet får inte överlappa de lokala adressintervall som du ansluter till.
    • Om du inte är bekant med IP-adressintervallen som finns i din lokala nätverkskonfiguration ska du kontakta någon som kan ge dig den informationen.

Skapa ett virtuellt WAN

  1. I portalen i fältet Sök efter resurser skriver du Virtual WAN i sökrutan och väljer Retur.

  2. Välj Virtuella WAN i resultatet. På sidan Virtuella WAN väljer du + Skapa för att öppna sidan Skapa WAN.

  3. Fyll i fälten på sidan Skapa WAN på fliken Grundläggande inställningar. Ändra exempelvärdena så att de tillämpas på din miljö.

    Skärmbild som visar fönstret Skapa WAN med fliken Grundläggande inställningar markerad.

    • Prenumeration: Välj den prenumeration som du vill använda.
    • Resursgrupp: Skapa ny eller använd befintlig.
    • Resursgruppsplats: Välj en resursplats i listrutan. Ett WAN är en global resurs och är inte kopplad till en viss region. Du måste dock välja en region för att kunna hantera och hitta WAN-resursen som du skapar.
    • Namn: Ange det namn som du vill anropa ditt virtuella WAN-nätverk.
    • Skriv: Basic eller Standard. Välj Standard. Om du väljer Grundläggande bör du förstå att grundläggande virtuella WAN endast kan innehålla grundläggande hubbar. Grundläggande hubbar kan bara användas för plats-till-plats-anslutningar.

  4. När du har fyllt i fälten väljer du Granska + skapa längst ned på sidan.

  5. När verifieringen är över klickar du på Skapa för att skapa det virtuella WAN-nätverket.

Skapa en VPN-konfiguration för användare

Konfigurationen för användar-VPN (P2S) definierar parametrarna som fjärrklienter kan ansluta till. Vilka instruktioner du följer beror på vilken autentiseringsmetod du vill använda.

I följande steg har du tre alternativ när du väljer autentiseringsmetod. Varje metod har specifika krav. Välj någon av följande metoder och slutför sedan stegen.

  • Azure-certifikat: För den här konfigurationen krävs certifikat. Du måste antingen generera eller hämta certifikat. Ett klientcertifikat krävs för varje klient. Dessutom måste rotcertifikatinformationen (offentlig nyckel) laddas upp. Mer information om de certifikat som krävs finns i Generera och exportera certifikat.

  • Azure Active Directory autentisering: Använd artikeln Configure a User VPN connection - Azure Active Directory authentication (Konfigurera en VPN-anslutning för användare – Azure Active Directory) som innehåller de specifika steg som krävs för den här konfigurationen.

  • Radius-baserad autentisering: Hämta RADIUS-serverns IP-adress, Radius-serverhemlighet och certifikatinformation.

Konfigurationssteg

  1. Gå till det virtuella WAN-nätverk som du skapade.

  2. Välj Användar-VPN-konfigurationer på menyn till vänster.

  3. På sidan Användar-VPN-konfigurationer väljer du +Skapa VPN-konfiguration för användare.

    Skärmbild av sidan vpn-konfigurationer för användare.

  4. På fliken Grundläggande inställningar på sidan Skapa ny användar-VPN-konfiguration, under Instansinformation, anger du det Namn som du vill tilldela till VPN-konfigurationen.

    Skärmbild av IPsec-växling till anpassad.

  5. För Tunnel du den tunneltyp som du vill använda i listrutan. Alternativen för tunneltyper är: IKEv2 VPN, OpenVPN, openVpn och IKEv2. Varje tunneltyp har olika obligatoriska inställningar.

    Krav och parametrar:

    IKEv2 VPN

    • Krav: När du väljer tunneltypen IKEv2 visas ett meddelande som dirigerar dig att välja en autentiseringsmetod. För IKEv2 kan du bara ange en autentiseringsmetod. Du kan välja Azure-Azure Active Directory, eller RADIUS-baserad autentisering.

    • Anpassade IPSec-parametrar: Om du vill anpassa parametrarna för IKE Fas 1 och IKE Fas 2 växlar du IPsec-växeln till Anpassad och väljer parametervärdena. Mer information om anpassningsbara parametrar finns i artikeln Anpassad IPsec.

    OpenVPN

    • Krav: När du väljer tunneltypen OpenVPN visas ett meddelande som dirigerar dig att välja en autentiseringsmekanism. Om OpenVPN har valts som tunneltyp kan du ange flera autentiseringsmetoder. Du kan välja valfri delmängd av Azure-Azure Active Directory, eller RADIUS-baserad autentisering. För RADIUS-baserad autentisering kan du ange en sekundär RADIUS-server-IP-adress och serverhemlighet.

  6. Konfigurera de autentiseringsmetoder som du vill använda. Varje autentiseringsmetod finns på en separat flik: Azure-certifikat, RADIUS-autentisering och Azure Active Directory. Vissa autentiseringsmetoder är endast tillgängliga för vissa tunneltyper.

    På fliken för den autentiseringsmetod som du vill konfigurera väljer du Ja för att visa tillgängliga konfigurationsinställningar.

    Skärmbild av Skärmen Nej – Ja är markerad.

    • Exempel – Certifikatautentisering

      Skärmbild av Ja valt.

    • Exempel – RADIUS-autentisering

      Skärmbild av sidan RADIUS-autentisering.

    • Exempel – Azure Active Directory autentisering

      Azure Active Directory autentiseringssidan.

  7. När du har konfigurerat inställningarna klickar du på Granska + skapa längst ned på sidan.

  8. Klicka på Skapa för att skapa VPN-konfigurationen för användare.

Skapa en virtuell hubb och gateway

  1. På sidan för ditt virtuella WAN väljer du Hubbar i den vänstra rutan. På sidan Hubbar väljer du +Ny hubb.

    Skärmbild av ny hubb.

  2. På sidan Skapa virtuell hubb visar du fliken Grundläggande inställningar.

    Skärmbild av skapa virtuell hubb.

  3. Konfigurera följande inställningar på fliken Grundläggande inställningar:

    • Region: Välj den region där du vill distribuera den virtuella hubben.
    • Namn: Det namn som du vill att den virtuella hubben ska vara känd med.
    • Hubbens privata adressutrymme: Hubbens adressintervall i CIDR-notation.

  4. Klicka på fliken Punkt-till-plats för att öppna konfigurationssidan för punkt-till-plats. Om du vill visa punkt-till-plats-inställningarna klickar du på Ja.

    Skärmbild av konfiguration av virtuell hubb med punkt-till-plats valt.

  5. Konfigurera följande inställningar:

    • Gatewayskalningsenheter – Detta representerar den sammanställda kapaciteten för användar-VPN-gatewayen. Om du väljer 40 eller fler gatewayskalningsenheter ska du planera din klientadresspool därefter. Information om hur den här inställningen påverkar klientadresspoolen finns i Om klientadresspooler. Information om gatewayskalningsenheter finns i Vanliga frågor och svar.
    • Punkt-till-plats-konfiguration – Välj den VPN-konfiguration för användare som du skapade i föregående steg.
    • Routningsinställningar – Med Routningsinställningar i Azure kan du välja hur trafiken ska dirigeras mellan Azure och Internet. Du kan välja att dirigera trafik antingen via Microsoft-nätverket eller via Internetleverantörens nätverk (offentligt Internet). Dessa alternativ kallas även kall routning och routning vid heta routningsdirigeringar. Den offentliga IP-adressen i Virtual WAN tilldelas av tjänsten baserat på det valda routningsalternativet. Mer information om routningsinställningar via Microsoft-nätverk eller Internetleverantör finns i artikeln Routningsinställningar.
    • Klientadresspool – Den adresspool från vilken IP-adresser tilldelas automatiskt till VPN-klienter. Mer information finns i Om klientadresspooler.
    • Anpassade DNS-servrar – IP-adressen för de DNS-servrar som klienterna ska använda. Du kan ange upp till 5.

  6. Välj Granska + skapa för att verifiera dina inställningar.

  7. När valideringen är över väljer du Skapa. Det kan ta 30 minuter eller mer att skapa en hubb.

Generera klientkonfigurationsfiler

När du ansluter till VNet med användar-VPN (P2S) använder du VPN-klienten som är inbyggt installerad på det operativsystem som du ansluter från. Alla nödvändiga konfigurationsinställningar för VPN-klienterna finns i en ZIP-fil för VPN-klientkonfiguration. Inställningarna i zip-filen hjälper dig att enkelt konfigurera VPN-klienterna. Vpn-klientkonfigurationsfilerna som du genererar är specifika för VPN-användarkonfigurationen för din gateway. I det här avsnittet genererar och laddar du ned de filer som används för att konfigurera VPN-klienterna.

  1. På sidan för ditt virtuella WAN väljer du Användar-VPN-konfigurationer.

  2. På sidan Användar-VPN-konfigurationer väljer du en konfiguration och sedan Ladda ned VPN-profil för virtuell WAN-användare.

    Skärmbild av Ladda ned VPN-profil för virtual WAN-användare.

    • När du laddar ned KONFIGURATIONEN på WAN-nivå får du en inbyggd Traffic Manager vpn-profil för användare.

    • Information om globala profiler och hubbbaserade profiler finns i Hubbprofiler. Redundansscenarier förenklas med global profil.

    • Om en hubb av någon anledning inte är tillgänglig säkerställer den inbyggda trafikhanteringen som tillhandahålls av tjänsten anslutningen (via en annan hubb) till Azure-resurser för punkt-till-plats-användare. Du kan alltid ladda ned en hubbspecifik VPN-konfiguration genom att gå till hubben. Under Användar-VPN (punkt-till-plats) laddar du ned den virtuella hubben Användar-VPN-profil.

  3. På sidan Download virtual WAN user VPN profile (Ladda ned VPN-profil för virtuell WAN-användare) väljer du den autentiseringstyp du vill ha och klickar sedan på Generate and download profile (Generera och ladda ned profil).

    Ett profilpaket (zip-fil) som innehåller klientkonfigurationsinställningarna genereras och laddas ned till datorn.

    Skärmbild av generera och ladda ned profil.

Konfigurera VPN-klienter

Använd det nedladdade profilpaketet för att konfigurera VPN-klienter för fjärråtkomst. Proceduren för varje operativsystem är olika. Följ de instruktioner som gäller för systemet. När du har konfigurerat klienten kan du ansluta.

OpenVPN

IKEv2

  1. Välj de VPN-klientkonfigurationsfiler som motsvarar Windows-datorns arkitektur. Välj ”VpnClientSetupAmd64”-installationspaketet för en 64-bitars processorarkitektur. Välj ”VpnClientSetupX86”-installationspaketet för en 32-bitars processorarkitektur.

  2. Dubbelklicka på paketet för att installera det. Om du ser ett SmartScreen-popup-fönster väljer du Mer information och sedan Kör ändå.

  3. På klientdatorn går du till Nätverksadministratör Inställningar väljer VPN. VPN-anslutningen visar namnet på det virtuella nätverk som den ansluter till.

  4. Innan du försöker ansluta kontrollerar du att du har installerat ett klientcertifikat på klientdatorn. Ett klientcertifikat krävs för autentisering när du använder den interna Azure-certifikatautentiseringstypen. Mer information om hur du genererar certifikat finns i Generera certifikat. Information om hur du installerar ett klientcertifikat finns i Installera ett klientcertifikat.

Anslut VNet till hubb

I det här avsnittet skapar du en anslutning mellan din virtuella hubb och ditt virtuella nätverk. I den här självstudien behöver du inte konfigurera routningsinställningarna.

  1. Gå till din Virtual WAN.

  2. Välj Virtuella nätverksanslutningar.

  3. På sidan för virtuell nätverksanslutning väljer du +Lägg till anslutning.

    Skärmbild som visar lägg till.

  4. Konfigurera de nödvändiga inställningarna på sidan Lägg till anslutning. Mer information om routningsinställningar finns i Om routning.

    Skärmbild som visar sidan VNet-anslutning.

    • Anslutningsnamn: Ge anslutningen ett namn.
    • Hubbar: Välj den hubb som du vill associera med den här anslutningen.
    • Prenumeration: Verifiera prenumerationen.
    • Resursgrupp: Den resursgrupp som innehåller det virtuella nätverket.
    • Virtuellt nätverk: Välj det virtuella nätverk som du vill ansluta till den här hubben. Det virtuella nätverk som du väljer får inte ha en befintlig virtuell nätverksgateway.
    • Sprid till ingen: Detta är inställt på Nej som standard. Om du ändrar växeln till Ja blir konfigurationsalternativen för Sprid till vägtabeller och Sprid till etiketter otillgängliga för konfiguration.
    • Associera vägtabell: Du kan välja den vägtabell som du vill associera.
    • Statiska vägar: Du kan använda den här inställningen för att ange nästa hopp.

  5. När du har slutfört de inställningar som du vill konfigurera väljer du Skapa för att skapa anslutningen.

Visa ett virtuellt WAN

  1. Gå till ditt virtuella WAN.

  2. På sidan Översikt representerar varje punkt på kartan en hubb.

  3. I avsnittet Hubbar och anslutningar kan du visa hubbstatus, plats, region, VPN-anslutningsstatus och byte in och ut.

Ändra inställningar

Ändra klientadresspool

  1. Gå till den virtuella hubben -> VPN för användare (punkt-till-plats).

  2. Klicka på värdet bredvid Gateway-skalningsenheter för att öppna sidan Redigera VPN-gateway för användare.

  3. Redigera inställningarna på sidan Redigera VPN-gateway för användare.

  4. Klicka Redigera längst ned på sidan för att verifiera dina inställningar.

  5. Klicka på Bekräfta för att spara inställningarna. Alla ändringar på den här sidan kan ta upp till 30 minuter att slutföra.

Ändra DNS-servrar

  1. Gå till din virtuella hubb – > VPN för användare (punkt-till-plats).

  2. Klicka på värdet bredvid Anpassade DNS-servrar för att öppna sidan Redigera VPN-gateway för användare.

  3. På sidan Redigera VPN-gateway för användare redigerar du fältet Anpassade DNS-servrar. Ange DNS-serverns IP-adresser i textrutorna Anpassade DNS-servrar. Du kan ange upp till fem DNS-servrar.

  4. Verifiera inställningarna genom att klicka på Redigera längst ned på sidan.

  5. Klicka på Bekräfta för att spara inställningarna. Det kan ta upp till 30 minuter att slutföra ändringarna på den här sidan.

Rensa resurser

Ta bort dem när du inte längre behöver de resurser som du skapade. Vissa av Virtual WAN måste tas bort i en viss ordning på grund av beroenden. Det kan ta cirka 30 minuter att ta bort den.

  1. Öppna det virtuella WAN-nätverk som du skapade.

  2. Välj en virtuell hubb som är kopplad till det virtuella WAN-nätverket för att öppna hubbsidan.

  3. Ta bort alla gatewayentiteter enligt nedanstående ordning för gatewaytypen. Det kan ta 30 minuter att slutföra.

    VPN:

    1. Koppla från VPN-platser
    2. Ta bort VPN-anslutningar
    3. Ta bort VPN-gatewayer

    ExpressRoute:

    1. Ta bort ExpressRoute-anslutningar
    2. Ta bort ExpressRoute-gatewayer

  4. Du kan antingen ta bort hubben nu eller ta bort den senare när du tar bort resursgruppen.

  5. Upprepa för alla hubbar som är associerade med det virtuella WAN-nätverk.

  6. Gå till resursgruppen i Azure Portal.

  7. Välj Ta bort resursgrupp. Detta tar bort allt i resursgruppen, inklusive hubbarna och det virtuella WAN-nätverk.

Nästa steg