Om punkt-till-plats-VPN

Med en VPN-gatewayanslutning för punkt-till-plats (P2S) kan du skapa en säker anslutning till ditt virtuella nätverk från en enskild klientdator. En P2S-anslutning upprättas genom att du startar den från klientdatorn. Den här lösningen är praktisk för distansarbetare som behöver ansluta till virtuella Azure-nätverk från en fjärransluten plats, t.ex. hemifrån eller från en konferens. VPN för punkt-till-plats är också ett bra alternativ till VPN för plats-till-plats om du bara har ett fåtal klienter som behöver ansluta till ett virtuellt nätverk. Den här artikeln gäller Resource Manager distributionsmodellen.

Vilket protokoll använder P2S?

Punkt-till-plats-VPN kan använda något av följande protokoll:

  • OpenVPN® Protocol, ett SSL/TLS-baserat VPN-protokoll. En TLS VPN-lösning kan ta sig igenom brandväggar, eftersom de flesta brandväggar öppnar utgående TCP-port 443, som TLS använder. OpenVPN kan användas för att ansluta från Android-, iOS-enheter (version 11.0 och senare), Windows-, Linux- och Mac-enheter (macOS-version 10.13 och senare).

  • Secure Socket Tunneling Protocol (SSTP), ett upphovsrättsskyddat TLS-baserat VPN-protokoll. En TLS VPN-lösning kan ta sig igenom brandväggar, eftersom de flesta brandväggar öppnar utgående TCP-port 443, som TLS använder. SSTP stöds endast på Windows enheter. Azure stöder alla versioner av Windows som har SSTP och har stöd för TLS 1.2 (Windows 8.1 och senare).

  • IKEv2 VPN, en standardbaserad IPsec VPN-lösning. IKEv2 VPN kan användas för att ansluta från Mac-enheter (macOS-version 10.11 och senare).

Anteckning

IKEv2 och OpenVPN för P2S är endast tillgängliga Resource Manager distributionsmodellen. De är inte tillgängliga för den klassiska distributionsmodellen.

Hur autentiseras P2S VPN-klienter?

Innan Azure accepterar en P2S VPN-anslutning måste användaren autentiseras först. Det finns två mekanismer som Azure erbjuder för att autentisera en anslutande användare.

Autentisera med intern Azure-certifikatautentisering

När du använder den interna Azure-certifikatautentisering används ett klientcertifikat som finns på enheten för att autentisera den anslutande användaren. Klientcertifikat genereras från ett betrott rotcertifikat och installeras sedan på varje klientdator. Du kan använda ett rotcertifikat som har genererats med hjälp av en företagslösning, eller så kan du generera ett själv signerat certifikat.

Verifieringen av klientcertifikatet utförs av VPN-gatewayen och sker när P2S VPN-anslutningen upprättas. Rotcertifikatet krävs för verifieringen och måste laddas upp till Azure.

Autentisera med intern Azure Active Directory autentisering

Med Azure AD-autentisering kan användare ansluta till Azure med sina Azure Active Directory autentiseringsuppgifter. Intern Azure AD-autentisering stöds endast för OpenVPN-protokoll och Windows 10 och kräver användning av Azure VPN-klienten.

Med inbyggd Azure AD-autentisering kan du utnyttja Azure AD:s villkorliga åtkomst samt multifaktorautentiseringsfunktioner (MFA) för VPN.

På en hög nivå måste du utföra följande steg för att konfigurera Azure AD-autentisering:

  1. Konfigurera en Azure AD-klientorganisation

  2. Aktivera Azure AD-autentisering på gatewayen

  3. Ladda ned och konfigurera Azure VPN-klienten

Autentisera med hjälp av Active Directory -domänserver (AD)

Med AD-domänautentisering kan användare ansluta till Azure med sina autentiseringsuppgifter för organisationens domän. Det krävs en RADIUS-server som integreras med AD-servern. Organisationer kan också utnyttja sin befintliga RADIUS-distribution.

RADIUS-servern kan distribueras lokalt eller i ditt virtuella Azure-nätverk. Under autentiseringen fungerar Azure VPN Gateway som en genomkoppling och vidarebefordrar autentiseringsmeddelanden fram och tillbaka mellan RADIUS-servern och den anslutande enheten. Gatewayens nåbarhet till RADIUS-servern är därför viktig. Om RADIUS-servern finns lokalt krävs en VPN S2S-anslutning från Azure till den lokala platsen för att det ska gå att nå den.

RADIUS-servern kan också integreras med AD-certifikattjänster. På så sätt kan du använda RADIUS-servern och företagscertifikatdistributionen för P2S-certifikatautentisering som ett alternativ till Azure-certifikatautentisering. Fördelen är att du inte behöver ladda upp rotcertifikat och återkallade certifikat till Azure.

En RADIUS-server kan också integreras med andra externa identitetssystem. Detta öppnar upp massor av autentiseringsalternativ för P2S VPN, inklusive multifaktoralternativ.

Diagram som visar en punkt-till-plats-VPN med en lokal plats.

Vilka är klientkonfigurationskraven?

Anteckning

För Windows-klienter måste du ha administratörsbehörighet på klientenhet för att kunna initiera VPN-anslutningen från klientenhet till Azure.

Användare använder de inbyggda VPN-klienterna Windows och Mac-enheter för P2S. Azure tillhandahåller en ZIP-fil för VPN-klientkonfiguration som innehåller inställningar som krävs av dessa interna klienter för att ansluta till Azure.

  • För Windows-enheter består VPN-klientkonfigurationen av ett installationspaket som användarna installerar på sina enheter.
  • För Mac-enheter består den av mobileconfig-filen som användarna installerar på sina enheter.

Zip-filen innehåller också värdena för några av de viktiga inställningarna på Azure-sidan som du kan använda för att skapa en egen profil för dessa enheter. Några av värdena är VPN-gatewayadressen, konfigurerade tunneltyper, vägar och rotcertifikatet för gatewayverifiering.

Anteckning

Från och med 1 juli 2018 tas stödet för TLS 1.0 och 1.1 bort från Azure VPN Gateway. VPN Gateway kommer endast att stödja TLS 1.2. Endast punkt-till-plats-anslutningar påverkas; plats-till-plats-anslutningar kommer inte att påverkas. Om du använder TLS för punkt-till-plats-VPN på Windows 10-klienter behöver du inte vidta några åtgärder. Om du använder TLS för punkt-till-plats-anslutningar på Windows 7-och Windows 8-klienter kan du läsa mer i VPN gateway vanliga frågor och svar om uppdaterings instruktioner.

Vilka gateway-SKU:er stöder P2S VPN?

VPN

Gateway-generering
SKU S2S/VNet-till-VNet
tunnlar
P2S
SSTP-anslutningar
P2S
IKEv2/OpenVPN-anslutningar
Prestandamått för
aggregerat datagenomflöde
BGP Zonredundant
Generation1 Basic Max. 10 Max. 128 Stöds inte 100 Mbit/s Stöds inte No
Generation1 VpnGw1 Max. 30 Max. 128 Max. 250 650 Mbit/s Stöds No
Generation1 VpnGw2 Max. 30 Max. 128 Max. 500 1 Gbit/s Stöds No
Generation1 VpnGw3 Max. 30 Max. 128 Max. 1000 1,25 Gbit/s Stöds No
Generation1 VpnGw1AZ Max. 30 Max. 128 Max. 250 650 Mbit/s Stöds Yes
Generation1 VpnGw2AZ Max. 30 Max. 128 Max. 500 1 Gbit/s Stöds Yes
Generation1 VpnGw3AZ Max. 30 Max. 128 Max. 1000 1,25 Gbit/s Stöds Yes
Generation2 VpnGw2 Max. 30 Max. 128 Max. 500 1,25 Gbit/s Stöds No
Generation2 VpnGw3 Max. 30 Max. 128 Max. 1000 2,5 Gbit/s Stöds No
Generation2 VpnGw4 Max. 100* Max. 128 Max. 5000 5 Gbit/s Stöds No
Generation2 VpnGw5 Max. 100* Max. 128 Max. 10000 10 Gbit/s Stöds No
Generation2 VpnGw2AZ Max. 30 Max. 128 Max. 500 1,25 Gbit/s Stöds Yes
Generation2 VpnGw3AZ Max. 30 Max. 128 Max. 1000 2,5 Gbit/s Stöds Yes
Generation2 VpnGw4AZ Max. 100* Max. 128 Max. 5000 5 Gbit/s Stöds Yes
Generation2 VpnGw5AZ Max. 100* Max. 128 Max. 10000 10 Gbit/s Stöds Yes

(*) Använd Virtual WAN om du behöver fler än 100 S2S VPN-tunnlar.

  • Storleksändring av VpnGw-SKU:er tillåts inom samma generation, förutom storleksändring av Basic-SKU:n. Basic-SKU:n är en äldre SKU och har funktionsbegränsningar. Om du vill flytta från Basic till en annan VpnGw SKU måste du ta bort den grundläggande SKU VPN-gatewayen och skapa en ny gateway med önskad kombination av generation och SKU-storlek. Du kan bara ändra storlek på en Basic-gateway till en annan äldre SKU (se Arbeta med äldre SKU:er).

  • Dessa anslutningsgränser är separata. Du kan exempelvis ha 128 SSTP-anslutningar och även 250 IKEv2-anslutningar på en VpnGw1-SKU.

  • Information om priser finns på sidan Priser.

  • Information om SLA (serviceavtal) finns på sidan SLA.

  • På en enda tunnel kan ett dataflöde på högst 1 Gbit/s uppnås. Prestandamått för aggregerat dataflöde i tabellen ovan baseras på mätningar av flera tunnlar som aggregerats via en enda gateway. Prestandamåttet för aggregerat dataflöde för VPN Gateway är S2S + P2S kombinerat. Om du har många P2S-anslutningar kan det påverka en S2S-anslutning negativt på grund av dataflödesbegränsningar. Prestandamåttet för aggregerat datagenomflöde inte garanterat genomströmning på grund av villkor för Internet-trafik och dina program.

För att hjälpa våra kunder att förstå den relativa prestandan för SKU:er med hjälp av olika algoritmer använde vi offentligt tillgängliga iPerf- och CTSTraffic-verktyg för att mäta prestanda. Tabellen nedan visar resultatet av prestandatester för SKU:er av första generationen, VpnGw. Som du ser får vi bästa möjliga prestanda när vi använde GCMAES256-algoritmen för både IPsec-kryptering och integritet. Vi fick genomsnittlig prestanda när vi använder AES256 för IPsec-kryptering och SHA256 för integritet. När vi använde DES3 för IPsec-kryptering och SHA256 för integritet fick vi lägsta prestanda.

Generation SKU Algoritmer som
används
Observerat
dataflöde
Paket per sekund per tunnel
observerad
Generation1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbit/s
500 Mbit/s
120 Mbit/s
58,000
50 000
50 000
Generation1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbit/s
500 Mbit/s
120 Mbit/s
90 000
80 000
55,000
Generation1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbit/s
550 Mbit/s
120 Mbit/s
105,000
90 000
60 000
Generation1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbit/s
500 Mbit/s
120 Mbit/s
58,000
50 000
50 000
Generation1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbit/s
500 Mbit/s
120 Mbit/s
90 000
80 000
55,000
Generation1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbit/s
550 Mbit/s
120 Mbit/s
105,000
90 000
60 000

Anteckning

Bas-SKU:n stöder inte IKEv2- eller RADIUS-autentisering.

Vilka IKE/IPsec-principer konfigureras på VPN-gatewayer för P2S?

IKEv2

Chiffer Integritet PRF DH-grupp
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Chiffer Integritet PFS-grupp
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Vilka TLS-principer konfigureras på VPN-gatewayer för P2S?

TLS

Principer
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Hur gör jag för att konfigurera en P2S-anslutning?

En P2S-konfiguration kräver ganska många specifika steg. Följande artiklar innehåller stegen för att gå igenom P2S-konfigurationen och länkar för att konfigurera VPN-klientenheterna:

Ta bort konfigurationen för en P2S-anslutning

Du kan ta bort konfigurationen av en anslutning med hjälp av PowerShell eller CLI. Exempel finns i Vanliga frågor och svar.

Hur fungerar P2S-routning?

Se följande artiklar:

Vanliga frågor och svar

Det finns flera avsnitt med vanliga frågor och svar för P2S, baserat på autentisering.

Nästa steg

"OpenVPN" är ett varumärke som tillhör OpenVPN Inc.