Konfigurera en PUNKT-till-plats-VPN-anslutning med Azure-certifikatautentisering: Azure Portal

Den här artikeln hjälper dig att på ett säkert sätt ansluta enskilda klienter som kör Windows, Linux eller macOS till ett virtuellt Azure-nätverk. Punkt-till-plats-VPN-anslutningar är användbara när du vill ansluta till ditt VNet från en fjärrplats, till exempel när du distansar hemifrån eller en konferens. Du kan också använda P2S i stället för en plats-till-plats-VPN-anslutning när du bara har ett fåtal klienter som behöver ansluta till ett VNet. Punkt-till-plats-anslutningar kräver inte någon VPN-enhet eller en offentlig IP-adress. P2S skapar VPN-anslutningen via SSTP (Secure Socket Tunneling Protocol) eller IKEv2. Mer information om punkt-till-plats-VPN finns i About Point-to-Site VPN (Om VPN för punkt-till-plats).

Connect from a computer to an Azure VNet - point-to-site connection diagram.

Mer information om punkt-till-plats-VPN finns i Om punkt-till-plats-VPN. Information om hur du skapar den här konfigurationen med hjälp av Azure PowerShell finns i Konfigurera en punkt-till-plats-VPN med Azure PowerShell.

Punkt-till-plats-inbyggda Azure-certifikatautentiseringsanslutningar använder följande objekt, som du konfigurerar i den här övningen:

  • En RouteBased VPN gateway.
  • Den offentliga nyckeln (CER-fil) för ett rotcertifikat, som överförts till Azure. När certifikatet har laddats upp betraktas det som betrott och används för autentisering.
  • Ett klientcertifikat som genereras från rotcertifikatet. Klientcertifikatet installeras på varje klientdator som ska ansluta till VNet. Det här certifikatet används för klientautentisering.
  • VPN-klientkonfiguration. VPN-klienten konfigureras med VPN-klientkonfigurationsfiler. Dessa filer innehåller nödvändig information för att klienten ska kunna ansluta till det virtuella nätverket. Filerna konfigurerar den befintliga VPN-klienten som är inbyggd i operativsystemet. Alla klienter som ansluter måste vara konfigurerade med inställningarna i konfigurationsfilerna.

Förutsättningar

Kontrollera att du har en Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du aktivera dina MSDN-prenumerantförmåner eller registrera dig för ett kostnadsfritt konto.

Exempelvärden

Du kan använda följande värden till att skapa en testmiljö eller hänvisa till dem för att bättre förstå exemplen i den här artikeln.

VNet

  • Namn på virtuellt nätverk: VNet1
  • Adressutrymme: 10.1.0.0/16
    I det här exemplet använder vi bara ett adressutrymme. Du kan ha fler än ett adressutrymme för ditt virtuella nätverk.
  • Undernätsnamn: Frontend
  • Adressintervall för undernätet: 10.1.0.0/24
  • Prenumeration: Om du har fler än en prenumeration kontrollerar du att du använder rätt prenumeration.
  • Resursgrupp: TestRG1
  • Plats: USA, östra

Virtuell nätverksgateway

  • Namn på virtuell nätverksgateway: VNet1GW
  • Gatewaytyp: VPN
  • VPN-typ: Routningsbaserad
  • SKU: VpnGw2
  • Generation: Generation2
  • Adressintervall för gatewayundernät: 10.1.255.0/27
  • Namn på offentlig IP-adress: VNet1GWpip

Anslutningstyp och klientadresspool

  • Anslutningstyp: Punkt-till-plats
  • Klientadresspool: 172.16.201.0/24
    VPN-klienter som ansluter till det virtuella nätverket med den här punkt-till-plats-anslutningen får en IP-adress från klientadresspoolen.

Skapa ett virtuellt nätverk

I det här avsnittet skapar du ett virtuellt nätverk.

Anteckning

När du använder ett virtuellt nätverk som en del av en arkitektur mellan platser måste du kontakta din lokala nätverksadministratör för att skära ut ett IP-adressintervall som du kan använda specifikt för det här virtuella nätverket. Om det finns ett duplicerat adressintervall på båda sidorna av VPN-anslutningen dirigeras trafiken på ett oväntat sätt. Om du vill ansluta det här virtuella nätverket till ett annat virtuellt nätverk kan adressutrymmet inte överlappa med det andra virtuella nätverket. Planera din nätverkskonfiguration på lämpligt sätt.

  1. Logga in på Azure-portalen.

  2. I Sök efter resurser, tjänster och dokument (G+/) skriver du virtuellt nätverk. Välj Virtuellt nätverk från Marketplace-resultaten för att öppna sidan Virtuellt nätverk .

    Screenshot shows the Azure portal Search bar results and selecting Virtual Network from Marketplace.

  3. På sidan Virtuellt nätverk väljer du Skapa. Då öppnas sidan Skapa virtuellt nätverk .

  4. På fliken Grundläggande inställningar konfigurerar du VNet-inställningarna för Project information och instansinformation. En grön bock visas när de värden som du anger har verifierats. Värdena som visas i exemplet kan justeras enligt de inställningar som du behöver.

    Screenshot shows the Basics tab.

    • Prenumeration: Verifiera att prenumerationen som visas är korrekt. Du kan ändra prenumerationer i listrutan.
    • Resursgrupp: Välj en befintlig resursgrupp eller välj Skapa ny för att skapa en ny. Mer information om resursgrupper finns i Översikt över Azure Resource Manager.
    • Namn: Ange namnet på det virtuella nätverket.
    • Region: Välj plats för ditt virtuella nätverk. Platsen avgör var resurserna som du distribuerar till detta VNet kommer att vara.
  5. Välj IP-adresser för att gå vidare till fliken IP-adresser. Konfigurera inställningarna på fliken IP-adresser. Värdena som visas i exemplet kan justeras enligt de inställningar som du behöver.

    Screenshot shows the IP Addresses tab.

    • IPv4-adressutrymme: Som standard skapas ett adressutrymme automatiskt. Du kan välja adressutrymmet och justera det så att det återspeglar dina egna värden. Du kan också lägga till fler adressutrymmen genom att markera rutan under det befintliga adressutrymmet och ange värdena för det ytterligare adressutrymmet.
    • + Lägg till undernät: Om du använder standardadressutrymmet skapas ett standardundernät automatiskt. Om du ändrar adressutrymmet måste du lägga till ett undernät. Välj + Lägg till undernät för att öppna fönstret Lägg till undernät . Konfigurera följande inställningar och välj sedan Lägg till längst ned på sidan för att lägga till värdena.
      • Undernätsnamn: I det här exemplet gav vi undernätet namnet "FrontEnd".
      • Adressintervall för undernätet: Adressintervallet för det här undernätet.
  6. Välj Säkerhet för att gå vidare till fliken Säkerhet. Lämna standardvärdena för tillfället.

    • BastionHost: Inaktivera
    • DDoS Protection Standard: Inaktivera
    • Brandvägg: Inaktivera
  7. Välj Granska + skapa för att verifiera inställningarna för det virtuella nätverket.

  8. När inställningarna har verifierats väljer du Skapa för att skapa det virtuella nätverket.

Skapa VPN-gatewayen

I det här steget ska du skapa den virtuella nätverksgatewayen för ditt virtuella nätverk. Att skapa en gateway kan ofta ta 45 minuter eller mer, beroende på vald gateway-SKU.

Anteckning

Basic-gateway-SKU:n stöder inte IKEv2- eller RADIUS-autentisering. Om du planerar att låta Mac-klienter ansluta till ditt virtuella nätverk ska du inte använda basic-SKU:n.

Den virtuella nätverksgatewayen använder specifika undernät som kallas gateway-undernät. Gateway-undernätet ingår i det virtuella nätverkets IP-adressintervall som du anger när du konfigurerar det virtuella nätverket. Det innehåller de IP-adresser som gateway-resurserna och tjänsterna för det virtuella nätverket använder.

När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. Hur många IP-adresser som behövs beror på vilken konfiguration av VPN-gatewayen som du vill skapa. Vissa konfigurationer kräver fler IP-adresser än andra. Vi rekommenderar att du skapar ett gateway-undernät som använder /27 eller /28.

Om du ser ett fel som anger att adressutrymmet överlappar ett undernät eller att undernätet inte finns i adressutrymmet för det virtuella nätverket kontrollerar du adressintervallet för det virtuella nätverket. Du kanske inte har tillräckligt med tillgängliga IP-adresser i adressintervallet som du har skapat för ditt virtuella nätverk. Till exempel om ditt standardundernät omfattar hela adressintervallet, finns det inga IP-adresser kvar till att skapa extra undernät. Du kan antingen justera dina undernät i det befintliga adressutrymmet för att frigöra IP-adresser, eller ange ett ytterligare adressintervall och skapa gateway-undernätet där.

  1. I Sök resurser, tjänster och dokument (G+/) skriver du virtuell nätverksgateway. Leta upp virtuell nätverksgateway i sökresultaten på Marketplace och välj den för att öppna sidan Skapa virtuell nätverksgateway .

    Screenshot of Search field.

  2. På fliken Grundläggande fyller du i värdena för Project information och instansinformation.

    Screenshot of Instance fields.

    • Prenumeration: Välj den prenumeration som du vill använda i listrutan.
    • Resursgrupp: Den här inställningen fylls i automatiskt när du väljer ditt virtuella nätverk på den här sidan.
    • Namn: namnge din gateway. Att namnge din gateway är inte detsamma som att namnge ett gatewayundernät. Det är namnet på gatewayobjektet som du skapar.
    • Region: Välj den region där du vill skapa den här resursen. Regionen för gatewayen måste vara samma som det virtuella nätverket.
    • Gatewaytyp: välj VPN. En VPN-gateway använder VPN som virtuell nätverksgateway.
    • VPN-typ: Välj den VPN-typ som har angetts för din konfiguration. De flesta konfigurationer kräver en ruttbaserad VPN-typ.
    • SKU: Välj den gateway-SKU som du vill använda i listrutan. SKU:erna som visas i listrutan beror på vilken VPN-typ du har valt. Se till att välja en SKU som stöder de funktioner som du vill använda. Se Gateway-SKU:er för information om gateway-SKU:er.
    • Generation: Välj den generation som du vill använda. Se Gateway SKU:er för mer information.
    • Virtuellt nätverk: I listrutan väljer du det virtuella nätverk som du vill lägga till den här gatewayen till. Om du inte kan se det virtuella nätverk som du vill skapa en gateway för kontrollerar du att du har valt rätt prenumeration och region i de tidigare inställningarna.
    • Adressintervall för gatewayundernät: Det här fältet visas bara om ditt virtuella nätverk inte har något gatewayundernät. Det är bäst att ange /27 eller större (/26,/25 osv.). Detta tillåter tillräckligt med IP-adresser för framtida ändringar, till exempel att lägga till en ExpressRoute-gateway. Vi rekommenderar inte att du skapar ett intervall som är mindre än /28. Om du redan har ett gatewayundernät kan du visa GatewaySubnet-information genom att navigera till ditt virtuella nätverk. Välj Undernät för att visa intervallet. Om du vill ändra intervallet kan du ta bort och återskapa GatewaySubnet.
  1. Ange värdena för offentlig IP-adress. De här inställningarna anger det offentliga IP-adressobjektet som associeras med VPN-gatewayen. Den offentliga IP-adressen tilldelas dynamiskt till detta objekt när en VPN-gateway skapas. Den enda gången den offentliga IP-adressen ändras är när gatewayen tas bort och återskapas. Den ändras inte vid storleksändring, återställning eller annat internt underhåll/uppgraderingar av din VPN-gateway.

    Screenshot of public IP address field.

    • Offentlig IP-adresstyp: I de flesta fall vill du använda den offentliga IP-adresstypen Basic. Om du inte ser det här fältet på portalsidan kan du ha valt en gateway-SKU som i förväg väljer det här värdet åt dig.
    • Offentlig IP-adress: Låt Skapa ny vara markerad.
    • Namn på offentlig IP-adress: I textrutan anger du ett namn för den offentliga IP-adressinstansen.
    • Offentlig IP-adress-SKU: Det här fältet styrs av inställningen Offentlig IP-adresstyp .
    • Tilldelning: VPN-gateway stöder endast dynamisk.
    • Aktivera aktivt-aktivt läge: Välj endast Aktivera aktivt-aktivt läge om du skapar en aktiv-aktiv gateway-konfiguration. Annars lämnar du den här inställningen Inaktiverad.
    • Låt Konfigurera BGP vara inaktiverat, såvida inte konfigurationen kräver den här inställningen. Om du behöver den här inställningen är standard-ASN 65515, även om det här värdet kan ändras.
  2. Välj Granska + skapa för att köra verifieringen.

  3. När valideringen har godkänts väljer du Skapa för att distribuera VPN-gatewayen.

Du kan se distributionsstatusen på sidan Översikt för din gateway. När gatewayen är skapad, kan du se IP-adressen som har tilldelats den genom att se på det virtuella nätverket i portalen. Gatewayen visas som en ansluten enhet.

Viktigt

När du arbetar med gateway-undernät, bör du undvika att associera en nätverkssäkerhetsgrupp (NSG) till gateway-undernätet. Om du kopplar en nätverkssäkerhetsgrupp till det här undernätet kan det leda till att din virtuella nätverksgateway (VPN- och Express Route-gatewayer) slutar fungera som förväntat. Mer information om nätverkssäkerhetsgrupper finns i Vad är en nätverkssäkerhetsgrupp?.

Generera certifikat

Certifikat används av Azure för att autentisera klienter som ansluter till ett virtuella nätverk över en VPN-anslutning från punkt till plats. När du har hämtat ett rotcertifikat laddar du upp information om den offentliga nyckeln till Azure. Rotcertifikatet betraktas av Azure som betrott för punkt till plats-anslutning till det virtuella nätverket. Du skapar också klientcertifikat från det betrodda rotcertifikatet och installerar dem sedan på varje klientdator. Klientcertifikatet används för att autentisera klienten när den påbörjar en anslutning till det virtuella nätverket.

Generera ett rotcertifikat

Hämta cer-filen för rotcertifikatet. Du kan antingen använda ett rotcertifikat som har genererats med en företagslösning (rekommenderas) eller generera ett självsignerat certifikat. När du har skapat rotcertifikatet exporterar du offentliga certifikatdata (inte den privata nyckeln) som en Base64-kodad X.509 .cer-fil. Du laddar upp den här filen senare till Azure.

  • Företagscertifikat: Om du använder en företagslösning kan du använda din befintliga certifikatkedja. Hämta .cer-filen för det rotcertifikat som du vill använda.

  • Självsignerat rotcertifikat: Om du inte använder en företagscertifikatlösning skapar du ett självsignerat rotcertifikat. I annat fall kommer inte de klientcertifikat som du skapar vara kompatibla med dina P2S-anslutningar, och klienterna får då ett anslutningsfel när de försöker ansluta. Du kan använda Azure PowerShell, MakeCert eller OpenSSL. Stegen i följande artiklar beskriver hur du genererar ett kompatibelt självsignerat rotcertifikat:

    • Windows 10 PowerShell-anvisningar: För de här anvisningarna krävs Windows 10 och PowerShell för att skapa certifikat. Klientcertifikaten som skapas från rotcertifikatet kan installeras på valfri P2S-klient som stöds.
    • MakeCert-anvisningar: Använd MakeCert om du inte har åtkomst till en Windows 10-dator för att skapa certifikat. MakeCert är inaktuellt, men du kan fortfarande använda det för att generera certifikat. Klientcertifikat som du genererar från rotcertifikatet kan installeras på valfri P2S-klient som stöds.
    • Linux-instruktioner.

Generera klientcertifikat

Varje klientdator som du ansluter till ett virtuellt nätverk med punkt-till-plats-anslutning måste ha ett klientcertifikat installerat. Du kan generera det från rotcertifikatet och installera det på varje klientdator. Om du inte installerar ett giltigt klientcertifikat misslyckas autentiseringen när klienten försöker ansluta till det virtuella nätverket.

Du kan antingen generera ett unikt certifikat för varje klient eller använda samma certifikat för flera klienter. Fördelen med att generera unika klientcertifikat är möjligheten att återkalla ett enskilt certifikat. Om flera klienter i stället använder samma klientcertifikat och du behöver återkalla det, så måste du generera och installera nya certifikat för varje klient som använder certifikatet.

Du kan generera klientcertifikat på följande sätt:

  • Företagscertifikat:

    • Om du använder en lösning för företagscertifikat genererar du ett klientcertifikat med det allmänna namnvärdesformatet name@yourdomain.com. Använd det här formatet i stället för formatet domännamn\användarnamn.

    • Se till att klientcertifikatet baseras på en användarcertifikatmall där Klientautentisering är den första posten i användningslistan. Du kan kontrollera certifikatet genom att dubbelklicka på det och visa Förbättrad nyckelanvändning på fliken Information.

  • Självsignerat rotcertifikat: Följ stegen i någon av följande P2S-certifikatartiklar så att klientcertifikaten som du skapar är kompatibla med dina P2S-anslutningar.

    När du skapar ett klientcertifikat från ett självsignerat rotcertifikat installeras det automatiskt på den dator som du använde för att skapa det. Om du vill installera klientcertifikatet på en annan klientdator ska du exportera det som .pfx tillsammans med hela certifikatkedjan. Då skapas en .pfx-fil som innehåller den rotcertifikatinformation som krävs för att autentisera klienten.

    Stegen i de här artiklarna genererar ett kompatibelt klientcertifikat som du sedan kan exportera och distribuera.

    • Windows 10 PowerShell-anvisningar: För de här anvisningarna krävs Windows 10 och PowerShell för att skapa certifikat. Certifikaten som skapas kan installeras på valfri P2S-klient som stöds.

    • MakeCert-instruktioner: Använd MakeCert om du inte har åtkomst till en Windows 10 dator för att generera certifikat. MakeCert är inaktuellt, men du kan fortfarande använda det för att generera certifikat. Du kan installera de genererade certifikaten på valfri P2S-klient som stöds.

    • Linux-instruktioner.

Lägg till VPN-klientadresspoolen

Klientens adresspool är ett intervall med privata IP-adresser som du anger. Klienterna som ansluter via en VPN-anslutning dynamiskt från punkt till plats får en IP-adress från det här intervallet. Använd ett privat IP-adressintervall som inte överlappar den lokala plats som du ansluter från eller det virtuella nätverk som du vill ansluta till. Om du konfigurerar flera protokoll och SSTP är ett av protokollen delas den konfigurerade adresspoolen upp mellan de konfigurerade protokollen på samma sätt.

  1. När den virtuella nätverksgatewayen har skapats går du till avsnittet Inställningar på sidan för den virtuella nätverksgatewayen. I Inställningar väljer du Punkt-till-plats-konfiguration. Välj Konfigurera nu för att öppna konfigurationssidan.

    Point-to-site configuration page.

  2. På sidan Punkt-till-plats-konfiguration i rutan Adresspool lägger du till det privata IP-adressintervall som du vill använda. VPN-klienter tar dynamiskt emot en IP-adress från intervallet som du anger. Den minsta nätmasken är 29 bitar för aktiv/passiv och 28 bitar för aktiv/aktiv konfiguration.

  3. Fortsätt till nästa avsnitt för att konfigurera autentiserings- och tunneltyper.

Ange tunneltyp och autentiseringstyp

I det här avsnittet anger du tunneltypen och autentiseringstypen. Om du inte ser tunneltyp eller autentiseringstyp på sidan Punkt-till-plats-konfiguration använder gatewayen basic-SKU:n. Basic SKU stöder inte IKEv2- eller RADIUS-autentisering. Om du vill använda de här inställningarna måste du ta bort och återskapa gatewayen med en annan gateway-SKU.

Tunneltyp

På sidan Punkt-till-plats-konfiguration väljer du den Tunnel typen. Observera följande när du väljer tunneltyp:

  • StrongSwan-klienten på Android och Linux och den interna IKEv2 VPN-klienten på iOS och macOS använder endast IKEv2-tunneltypen för att ansluta.
  • Windows klienterna provar IKEv2 först och om det inte ansluter återgår de till SSTP.
  • Du kan använda OpenVPN-klienten för att ansluta till OpenVPN-tunneltypen.

Autentiseringstyp

Som Autentiseringstyp väljer du Azure-certifikat.

Screenshot of authentication type with Azure certificate selected.

Upload information om offentlig nyckel för rotcertifikat

I det här avsnittet laddar du upp offentliga rotcertifikatdata till Azure. När informationen har laddats upp kan Azure använda den för att autentisera klienter som har ett installerat klientcertifikat skapat från det betrodda rotcertifikatet.

  1. Gå till den virtuella nätverksgatewayen –> punkt-till-plats-konfigurationssidan i avsnittet Rotcertifikat . Det här avsnittet visas bara om du har valt Azure-certifikat för autentiseringstypen.

  2. Kontrollera att du exporterade rotcertifikatet som en Base-64-kodad X.509 (. CER-fil i föregående steg. Du behöver exportera certifikatet i det här formatet så att du kan öppna certifikatet med textredigerare. Du behöver inte exportera den privata nyckeln.

    Screenshot showing export as Base-64 encoded X.509.

  3. Öppna certifikatet med en textredigerare, till exempel Anteckningar. När du kopierar certifikatdata ska du se till att kopiera texten som en kontinuerlig rad utan vagnreturer och radmatningar. Du kan behöva ändra vyn i textredigeraren till ”Visa symbol/Visa alla tecken” så att vagnreturer och radmatningar visas. Kopiera enbart följande avsnitt som en kontinuerlig rad:

    Screenshot showing root certificate information in Notepad.

  4. I avsnittet Rotcertifikat kan du lägga till upp till 20 betrodda rotcertifikat.

    • Klistra in certifikatdata i fältet Offentliga certifikatdata .
    • Namnge certifikatet.

    Screenshot of certificate data field.

  5. Välj Spara överst på sidan för att spara alla konfigurationsinställningar.

    Screenshot of P2S configuration with Save selected.

Installera exporterat klientcertifikat

Om du vill skapa en P2S-anslutning från en annan klientdator än den som du använde för att generera klientcertifikat, måste du installera ett klientcertifikat. När du installerar ett klientcertifikat behöver du lösenordet som skapades när klientcertifikatet exporterades.

Kontrollera att klientcertifikatet har exporterats som PFX-fil tillsammans med hela certifikatkedjan (standardinställningen). I annat fall finns inte rotcertifikatuppgifterna på klientdatorn och klienten kan inte autentiseras.

Installationsanvisningar finns i Install a client certificate (Installera ett klientcertifikat).

Konfigurera inställningar för VPN-klienter

För att ansluta till den virtuella nätverksgatewayen med P2S använder varje dator VPN-klienten som är internt installerad som en del av operativsystemet. När du till exempel går till VPN-inställningar på Windows dator kan du lägga till VPN-anslutningar utan att installera en separat VPN-klient. Du konfigurerar varje VPN-klient med hjälp av ett klientkonfigurationspaket. Klientkonfigurationspaketet innehåller inställningar som är specifika för den VPN-gateway som du skapade.

Anvisningar för hur du genererar och installerar VPN-klientkonfigurationsfiler finns i Skapa och installera VPN-klientkonfigurationsfiler för P2S-konfigurationer för Azure-certifikatautentisering.

Anslut till Azure

Så här ansluter du från en Windows VPN-klient

Anteckning

Du måste ha administratörsbehörigheter på den Windows-klientdator som du använder för att ansluta.

  1. Om du vill ansluta till ditt virtuella nätverk går du till VPN-inställningarna på klientdatorn och letar upp den VPN-anslutning som du skapade. Den heter samma namn som ditt virtuella nätverk. Välj Anslut. Ett popup-meddelande med information om certifikatanvändningen kanske visas. Välj Fortsätt om du vill använda utökade privilegier.

  2. På statussidan Anslutning väljer du Anslut för att initiera anslutningen. Om du ser skärmen Välj certifikat kontrollerar du att klientcertifikatet som visas är det som du vill använda för att ansluta. Om det inte är det använder du listrutepilen för att välja rätt certifikat och väljer sedan OK.

    Connect from a Windows computer

  3. Anslutningen upprättas.

    Connect from a computer to an Azure VNet - Point-to-Site connection diagram

Om du har problem med att ansluta kan du kontrollera följande:

  • Om du har exporterat ett klientcertifikat med Certificate Export Wizard (guiden för certifikatexport) kontrollerar du att du har exporterat det som en .pfx-fil och valt Include all certificates in the certification path if possible (Inkludera alla certifikat i certifieringssökvägen om det är möjligt). När du exporterar det med det här värdet exporteras även rotcertifikatinformationen. När du har installerat certifikatet på klientdatorn installeras även rotcertifikatet i .pfx-filen. Kontrollera att rotcertifikatet har installerats genom att öppna Hantera användarcertifikat och välja Betrodda rotcertifikatutfärdare\certifikat. Kontrollera att rotcertifikatet finns med. Detta krävs för att autentiseringen ska fungera.

  • Om du använde ett certifikat som utfärdades av en certifikatutfärdarlösning för företag och du inte kan autentisera kontrollerar du autentiseringsordningen på klientcertifikatet. Kontrollera listan med autentiseringsordningen genom att dubbelklicka på klientcertifikatet, välja fliken Information och sedan välja Förbättrad nyckelanvändning. Kontrollera att Klientautentisering är den första posten i listan. Annars utfärdar du ett klientcertifikat baserat på den användarmall där Klientautentisering är den första posten i listan.

  • Mer information om P2S-felsökning finns i Felsöka P2S-anslutningar.

Så här ansluter du från en Mac VPN-klient

Leta upp den klientprofil som du vill använda i dialogrutan Nätverk, ange inställningarna från VpnSettings.xmloch välj sedan Anslut. Detaljerade anvisningar finns i Generera och installera VPN-klientkonfigurationsfiler – macOS.

Om du har problem med att ansluta kontrollerar du att den virtuella nätverksgatewayen inte använder en Grundläggande SKU. Basic SKU stöds inte för Mac-klienter.

Screenshot shows connect button.

Så här verifierar du anslutningen

Dessa anvisningar gäller för Windows-klienter.

  1. Verifiera att VPN-anslutningen är aktiv genom att öppna en upphöjd kommandotolk och köra ipconfig/all.

  2. Granska resultaten. Observera att IP-adressen som du fick är en av adresserna i klientadresspoolen för VPN för punkt-till-plats som du angav i konfigurationen. Resultatet är ungefär som i det här exemplet:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Ansluta till en virtuell dator

Dessa anvisningar gäller för Windows-klienter.

Du kan ansluta till en virtuell dator som är distribuerad till ditt VNet genom att skapa en anslutning till fjärrskrivbord till den virtuella datorn. Det bästa sättet att först kontrollera att du kan ansluta till den virtuella datorn är att ansluta via dess privata IP-adress snarare än datornamnet. På så sätt testar du om du kan ansluta, inte huruvida namnmatchningen är korrekt konfigurerad.

  1. Leta upp den privata IP-adressen. Du kan hitta privata IP-adressen för en virtuell dator genom att antingen granska egenskaperna för den virtuella datorn i Azure Portal eller med hjälp av PowerShell.

    • Azure Portal – Leta upp din första virtuella dator på Azure Portal. Visa egenskaperna för den virtuella datorn. Den privata IP-adressen är angiven.

    • PowerShell – Använd exemplet för att visa en lista över virtuella datorer och privata IP-adresser från dina resursgrupper. Du behöver inte ändra exemplet innan du använder det.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Kontrollera att du är ansluten till ditt virtuella nätverk.

  3. Öppna Anslutning till fjärrskrivbord genom att skriva "RDP" eller "Anslutning till fjärrskrivbord" i sökrutan i aktivitetsfältet och välj sedan Anslutning till fjärrskrivbord. Du kan även öppna Anslutning till fjärrskrivbord med hjälp av kommandot ”mstsc” i PowerShell.

  4. I fjärrskrivbordsanslutningen anger du den virtuella datorns privata IP-adress. Du kan välja Visa alternativ för att justera ytterligare inställningar och sedan ansluta.

Felsöka en anslutning

Om du har problem med att ansluta till en virtuell dator via VPN-anslutningen kontrollerar du följande:

  • Kontrollera att VPN-anslutningen har genomförts.

  • Kontrollera att du ansluter till den virtuella datorns privata IP-adress.

  • Om du kan ansluta till den virtuella datorn med hjälp av den privata IP-adressen, men inte med namnet på datorn, kontrollerar du att du har konfigurerat DNS korrekt. Mer information om hur namnmatchningen fungerar för virtuella datorer finns i Namnmatchning för virtuella datorer.

  • Mer information finns i Felsöka fjärrskrivbordsanslutningar till en virtuell dator.

  • Kontrollera att paketet för VPN-klientkonfiguration har skapats efter att IP-adresser för DNS-server har angetts för VNet. Om du uppdaterade IP-adresserna för DNS-servern skapar och installerar du ett nytt paket för VPN-klientkonfiguration.

  • Använd "ipconfig" för att kontrollera den IPv4-adress som tilldelats Ethernet-adaptern på den dator som du ansluter från. Om IP-adressen ligger inom adressintervallet för det virtuella nätverk som du ansluter till, eller inom adressintervallet för din VPNClientAddressPool, kallas detta för ett överlappande adressutrymme. När ditt adressutrymme överlappar på det här sättet når inte nätverkstrafiken Azure, utan stannar i det lokala nätverket.

Så här lägger du till eller tar bort betrodda rotcertifikat

Du kan lägga till och ta bort betrodda rotcertifikat från Azure. När du tar bort ett rotcertifikat kommer klienter som har ett certifikat som genererats från roten inte att kunna autentisera och därmed inte kunna ansluta. Om du vill att en klient ska kunna autentisera och ansluta måste du installera ett nytt klientcertifikat som genererats från ett rotcertifikat som är betrott (uppladdat) i Azure.

Du kan lägga till upp till 20 betrodda CER-filer för rotcertifikat i Azure. Anvisningar finns i avsnittet Upload ett betrott rotcertifikat.

Så här tar du bort ett betrott rotcertifikat:

  1. Gå till sidan Punkt-till-plats-konfiguration för din virtuella nätverksgateway.
  2. I avsnittet Rotcertifikat letar du upp det certifikat som du vill ta bort.
  3. Välj ellipsen bredvid certifikatet och välj sedan Ta bort.

Återkalla ett klientcertifikat

Du kan återkalla certifikat. Du kan använda listan över återkallade certifikat för att selektivt neka punkt-till-plats-anslutningar baserat på enskilda klientcertifikat. Det här skiljer sig från att ta bort ett betrott rotcertifikat. Om du tar bort CER-filen för ett betrott rotcertifikat i Azure återkallas åtkomsten för alla klientcertifikat som genererats/signerats med det återkallade rotcertifikatet. När du återkallar ett klientcertifikat, snarare än rotcertifikatet, så kan de andra certifikat som har genererats från rotcertifikatet fortfarande användas för autentisering.

Den vanligaste metoden är att använda rotcertifikatet för att hantera åtkomst på grupp- eller organisationsnivå, och att återkalla klientcertifikat för mer detaljerad åtkomstkontroll för enskilda användare.

Du kan återkalla ett klientcertifikat genom att lägga till tumavtrycket i listan över återkallade certifikat.

  1. Hämta klientcertifikatets tumavtryck. Mer information finns i Gör så här: Hämta tumavtrycket för ett certifikat.
  2. Kopiera informationen till en textredigerare och ta bort alla blanksteg så att det är en kontinuerlig sträng.
  3. Gå till sidan Punkt-till-plats-konfiguration för den virtuella nätverksgatewayen. Det här är den sida du använde när du laddade upp ett betrott rotcertifikat.
  4. I avsnittet Återkallade certifikat anger du ett eget namn på certifikatet (det inte behöver vara certifikatets CN-namn).
  5. Kopiera och klistra in tumavtryckssträngen i fältet Tumavtryck fält.
  6. Tumavtrycket valideras och läggs automatiskt till i listan över återkallade certifikat. Ett meddelande om att listan uppdateras visas på skärmen.
  7. När uppdateringen har slutförts kan certifikatet inte längre användas för att ansluta. Klienter som försöker ansluta med det här certifikatet får ett meddelande om att certifikatet inte längre är giltigt.

Vanliga frågor och svar om punkt-till-plats

Vanliga frågor och svar finns i Vanliga frågor och svar.

Nästa steg

När anslutningen är klar kan du lägga till virtuella datorer till dina virtuella nätverk. Mer information finns i Virtuella datorer. Mer information om virtuella datorer och nätverk finns i Azure and Linux VM network overview (Översikt över nätverk för virtuella Azure- och Linux-datorer).

Information om P2S-felsökning finns i Felsöka punkt-till-plats-anslutningar i Azure.