Om punkt-till-plats-VPN
Med en VPN-gatewayanslutning för punkt-till-plats (P2S) kan du skapa en säker anslutning till ditt virtuella nätverk från en enskild klientdator. En P2S-anslutning upprättas genom att du startar den från klientdatorn. Den här lösningen är praktisk för distansarbetare som behöver ansluta till virtuella Azure-nätverk från en fjärransluten plats, t.ex. hemifrån eller från en konferens. VPN för punkt-till-plats är också ett bra alternativ till VPN för plats-till-plats om du bara har ett fåtal klienter som behöver ansluta till ett virtuellt nätverk. Den här artikeln gäller för Resource Manager-distributionsmodellen.
Vilket protokoll används av P2S?
Punkt-till-plats-VPN kan använda något av följande protokoll:
OpenVPN® Protocol, ett SSL/TLS-baserat VPN-protokoll. En TLS VPN-lösning kan penetrera brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443, som TLS använder. OpenVPN kan användas för att ansluta från Android-, iOS- (version 11.0 och senare), Windows-, Linux- och Mac-enheter (macOS-version 10.13 och senare).
Secure Socket Tunneling Protocol (SSTP), ett proprietärt TLS-baserat VPN-protokoll. En TLS VPN-lösning kan penetrera brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443, som TLS använder. SSTP stöds endast på Windows-enheter. Azure stöder alla versioner av Windows som har SSTP och har stöd för TLS 1.2 (Windows 8.1 och senare).
IKEv2 VPN, en standardbaserad IPsec VPN-lösning. IKEv2 VPN kan användas för att ansluta från Mac-enheter (macOS-version 10.11 och senare).
Kommentar
IKEv2 och OpenVPN för P2S är endast tillgängliga för Resource Manager-distributionsmodellen . De är inte tillgängliga för den klassiska distributionsmodellen.
Hur autentiseras P2S VPN-klienter?
Innan Azure accepterar en P2S VPN-anslutning måste användaren autentiseras först. Det finns två mekanismer som Azure erbjuder för att autentisera en anslutande användare.
Certifikatsautentisering
När du använder den interna Azure-certifikatautentiseringen används ett klientcertifikat som finns på enheten för att autentisera den anslutande användaren. Klientcertifikat genereras från ett betrott rotcertifikat och installeras sedan på varje klientdator. Du kan använda ett rotcertifikat som genererades med hjälp av en Enterprise-lösning, eller så kan du generera ett självsignerat certifikat.
Verifieringen av klientcertifikatet utförs av VPN-gatewayen och sker under etableringen av P2S VPN-anslutningen. Rotcertifikatet krävs för valideringen och måste laddas upp till Azure.
Microsoft Entra-autentisering
Med Microsoft Entra-autentisering kan användare ansluta till Azure med sina Microsoft Entra-autentiseringsuppgifter. Intern Microsoft Entra-autentisering stöds endast för OpenVPN-protokoll och kräver även användning av Azure VPN-klienten. De klientdriftssystem som stöds är Windows 10 eller senare och macOS.
Med inbyggd Microsoft Entra-autentisering kan du använda MFA-funktioner (Villkorlig åtkomst och multifaktorautentisering) för VPN.
På hög nivå måste du utföra följande steg för att konfigurera Microsoft Entra-autentisering:
Ladda ned den senaste versionen av Azure VPN-klientens installationsfiler med någon av följande länkar:
- Installera med hjälp av klientinstallationsfiler: https://aka.ms/azvpnclientdownload.
- Installera direkt när du är inloggad på en klientdator: Microsoft Store.
Active Directory -domänserver (AD)
MED AD-domänautentisering kan användare ansluta till Azure med sina autentiseringsuppgifter för organisationens domän. Det kräver en RADIUS-server som integreras med AD-servern. Organisationer kan också använda sin befintliga RADIUS-distribution.
RADIUS-servern kan distribueras lokalt eller i ditt virtuella Azure-nätverk. Under autentiseringen fungerar Azure VPN Gateway som en genomströmning och vidarebefordrar autentiseringsmeddelanden fram och tillbaka mellan RADIUS-servern och den anslutande enheten. Gateway-nåbarheten till RADIUS-servern är därför viktig. Om RADIUS-servern finns lokalt krävs en VPN S2S-anslutning från Azure till den lokala platsen för att nå den.
RADIUS-servern kan också integreras med AD-certifikattjänster. På så sätt kan du använda RADIUS-servern och företagscertifikatdistributionen för P2S-certifikatautentisering som ett alternativ till Azure-certifikatautentiseringen. Fördelen är att du inte behöver ladda upp rotcertifikat och återkallade certifikat till Azure.
En RADIUS-server kan också integreras med andra externa identitetssystem. Detta öppnar upp många autentiseringsalternativ för P2S VPN, inklusive flerfaktoralternativ.
Vilka är klientkonfigurationskraven?
Kraven på klientkonfiguration varierar beroende på vilken VPN-klient du använder, autentiseringstypen och protokollet. I följande tabell visas tillgängliga klienter och motsvarande artiklar för varje konfiguration.
| Autentisering | Tunneltyp | Generera konfigurationsfiler | Konfigurera VPN-klient |
|---|---|---|---|
| Azure-certifikat | IKEv2, SSTP | Windows | Intern VPN-klient |
| Azure-certifikat | OpenVPN | Windows | - OpenVPN-klient - Azure VPN-klient |
| Azure-certifikat | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Azure-certifikat | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS – certifikat | - | Artikel | Artikel |
| RADIUS – lösenord | - | Artikel | Artikel |
| RADIUS – andra metoder | - | Artikel | Artikel |
Viktigt!
Från och med 1 juli 2018 tas stödet för TLS 1.0 och 1.1 bort från Azure VPN Gateway. VPN Gateway kommer endast att stödja TLS 1.2. Endast punkt-till-plats-anslutningar påverkas. plats-till-plats-anslutningar påverkas inte. Om du använder TLS för punkt-till-plats-VPN på Windows 10- eller senare klienter behöver du inte vidta några åtgärder. Om du använder TLS för punkt-till-plats-anslutningar på Windows 7- och Windows 8-klienter kan du läsa vanliga frågor och svar om VPN Gateway för uppdateringsinstruktioner.
Vilka gateway-SKU:er stöder P2S VPN?
I följande tabell visas gateway-SKU:er efter tunnel, anslutning och dataflöde. Ytterligare tabeller och mer information om den här tabellen finns i avsnittet Gateway-SKU:er i artikeln VPN Gateway-inställningar .
| VPN Gateway Generation |
SKU | S2S/VNet-till-VNet Tunnlar |
P2S SSTP-Anslut ions |
P2S IKEv2/OpenVPN Anslut ions |
Sammanlagda Prestandamått för dataflöde |
BGP | Zonredundant | Antal virtuella datorer som stöds i det virtuella nätverket |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Grundläggande | Max. 10 | Max. 128 | Stöds inte | 100 Mbit/s | Stöds inte | Nej | 200 |
| Generation1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbit/s | Stöds | Nej | 450 |
| Generation1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbit/s | Stöds | Nej | 1300 |
| Generation1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbit/s | Stöds | Nej | 4000 |
| Generation1 | VPNGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbit/s | Stöds | Ja | 1000 |
| Generation1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbit/s | Stöds | Ja | 2000 |
| Generation1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbit/s | Stöds | Ja | 5000 |
| Generation2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbit/s | Stöds | Nej | 685 |
| Generation2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Stöds | Nej | 2240 |
| Generation2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbit/s | Stöds | Nej | 5300 |
| Generation2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbit/s | Stöds | Nej | 6700 |
| Generation2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbit/s | Stöds | Ja | 2000 |
| Generation2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Stöds | Ja | 3300 |
| Generation2 | VPNGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbit/s | Stöds | Ja | 4400 |
| Generation2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbit/s | Stöds | Ja | 9 000 |
Kommentar
Basic SKU har begränsningar och stöder inte IKEv2-, IPv6- eller RADIUS-autentisering. Mer information finns i artikeln inställningar för VPN Gateway.
Vilka IKE/IPsec-principer konfigureras på VPN-gatewayer för P2S?
Tabellerna i det här avsnittet visar värdena för standardprinciperna. De återspeglar dock inte de tillgängliga värden som stöds för anpassade principer. Anpassade principer finns i Godkända värden som anges i PowerShell-cmdleten New-AzVpnClientIpsecParameter .
IKEv2
| Chiffer | Integritet | PRF | DH-grupp |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
Ipsec
| Chiffer | Integritet | PFS-grupp |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Vilka TLS-principer konfigureras på VPN-gatewayer för P2S?
TLS
| Principer |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Hur gör jag för att konfigurera en P2S-anslutning?
En P2S-konfiguration kräver en hel del specifika steg. Följande artiklar innehåller stegen för att gå igenom vanliga P2S-konfigurationssteg.
Ta bort konfigurationen av en P2S-anslutning
Du kan ta bort konfigurationen av en anslutning med hjälp av PowerShell eller CLI. Exempel finns i Vanliga frågor och svar.
Hur fungerar P2S-routning?
Mer information finns i följande artiklar:
Vanliga frågor och svar
Det finns flera avsnitt med vanliga frågor och svar för P2S baserat på autentisering.
Nästa steg
- Konfigurera en P2S-anslutning – Azure-certifikatautentisering
- Konfigurera en P2S-anslutning – RADIUS-autentisering
"OpenVPN" är ett varumärke som tillhör OpenVPN Inc.