Fjärrarbete med hjälp av Azure VPN Gateway punkt-till-plats
Kommentar
Den här artikeln beskriver hur du kan använda Azure VPN Gateway, Azure, Microsoft-nätverket och Azure-partnerekosystemet för att arbeta på distans och åtgärda nätverksproblem som du står inför på grund av COVID-19-krisen.
Den här artikeln beskriver de alternativ som är tillgängliga för organisationer för att konfigurera fjärråtkomst för sina användare eller för att komplettera sina befintliga lösningar med ytterligare kapacitet under COVID-19-epidemin.
Azures punkt-till-plats-lösning är molnbaserad och kan etableras snabbt för att tillgodose den ökade efterfrågan från användare att arbeta hemifrån. Den kan skalas upp enkelt och stängas av lika enkelt och snabbt när den ökade kapaciteten inte längre behövs.
Om punkt-till-plats-VPN
Med en VPN-gatewayanslutning för punkt-till-plats (P2S) kan du skapa en säker anslutning till ditt virtuella nätverk från en enskild klientdator. En P2S-anslutning upprättas genom att du startar den från klientdatorn. Den här lösningen är användbar för distansarbetare som vill ansluta till virtuella Azure-nätverk eller lokala datacenter från en fjärrplats, till exempel hemifrån eller en konferens. Den här artikeln beskriver hur du gör det möjligt för användare att arbeta via fjärranslutning baserat på olika scenarier.
I följande tabell visas klientoperativsystemen och de autentiseringsalternativ som är tillgängliga för dem. Det vore bra att välja autentiseringsmetod baserat på det klientoperativsystem som redan används. Välj till exempel OpenVPN med certifikatbaserad autentisering om du har en blandning av klientoperativsystem som behöver ansluta. Observera också att punkt-till-plats-VPN endast stöds på routningsbaserade VPN-gatewayer.
Scenario 1 – Användare behöver endast åtkomst till resurser i Azure
I det här scenariot behöver fjärranvändare bara komma åt resurser som finns i Azure.
På hög nivå krävs följande steg för att göra det möjligt för användare att ansluta till Azure-resurser på ett säkert sätt:
Skapa en virtuell nätverksgateway (om det inte finns någon).
Konfigurera punkt-till-plats-VPN på gatewayen.
- Följ den här länken för certifikatautentisering.
- För OpenVPN följer du den här länken.
- Följ den här länken för Microsoft Entra-autentisering.
- Om du vill felsöka punkt-till-plats-anslutningar följer du den här länken.
Ladda ned och distribuera VPN-klientkonfigurationen.
Distribuera certifikaten (om certifikatautentisering har valts) till klienterna.
Anslut till Azure VPN.
Scenario 2 – Användare behöver åtkomst till resurser i Azure och/eller lokala resurser
I det här scenariot måste fjärranvändare komma åt resurser som finns i Azure och i lokala datacenter.
På hög nivå krävs följande steg för att göra det möjligt för användare att ansluta till Azure-resurser på ett säkert sätt:
- Skapa en virtuell nätverksgateway (om det inte finns någon).
- Konfigurera punkt-till-plats-VPN på gatewayen (se Scenario 1).
- Konfigurera en plats-till-plats-tunnel på den virtuella Azure-nätverksgatewayen med BGP aktiverat.
- Konfigurera den lokala enheten för att ansluta till en virtuell Azure-nätverksgateway.
- Ladda ned punkt-till-plats-profilen från Azure-portalen och distribuera till klienter
Mer information om hur du konfigurerar en VPN-tunnel för plats-till-plats finns i den här länken.
Vanliga frågor och svar om intern Azure-certifikatautentisering
Hur många VPN-klientslutpunkter kan jag ha i min punkt-till-plats-konfiguration?
Det beror på gateway-SKU. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.
Vilka klientoperativsystem kan jag använda med punkt-till-plats?
Följande klientoperativsystem stöds:
- Windows Server 2008 R2 (endast 64-bitars)
- Windows 8.1 (32-bitars och 64-bitars)
- Windows Server 2012 (endast 64-bitars)
- Windows Server 2012 R2 (endast 64-bitars)
- Windows Server 2016 (endast 64-bitars)
- Windows Server 2019 (endast 64-bitars)
- Windows Server 2022 (endast 64-bitars)
- Windows 10
- Windows 11
- macOS version 10.11 eller senare
- Linux (StrongSwan)
- iOS
Kan jag gå igenom proxyservrar och brandväggar med hjälp av punkt-till-plats-funktioner?
Azure stöder tre alternativ för VPN för punkt-till-plats:
SSTP (Secure Socket Tunneling Protocol). SSTP är en SSL-baserad lösning från Microsoft som kan ta sig igenom brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443 som SSL använder.
OpenVPN OpenVPN är en SSL-baserad lösning som kan ta sig igenom brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443 som SSL använder.
IKEv2 VPN. IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder utgående UDP-portar 500 och 4500 och IP-protokoll nr 50. Brandväggar öppnar inte alltid dessa portar, så det finns en möjlighet att IKEv2 VPN inte kan passera proxyservrar och brandväggar.
Kommer VPN automatiskt att återansluta om jag startar om en klientdator som konfigurerats för punkt-till-plats?
Automatisk återanslutning är en funktion av klienten som används. Windows stöder automatisk återanslutning genom att konfigurera funktionen Always On VPN-klient .
Stöder punkt-till-plats DDNS på VPN-klienterna?
DDNS stöds för närvarande inte i punkt-till-plats-VPN.
Kan jag ha plats-till-plats- och punkt-till-plats-konfigurationer samexisterade för samma virtuella nätverk?
Ja. Med Resource Manager-distributionsmodellen krävs en gateway med routningsbaserad VPN. I den klassiska distributionsmodellen måste du ha en dynamisk gateway. Vi stöder inte punkt-till-plats för statisk routning av VPN-gatewayer eller principbaserade VPN-gatewayer.
Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverksgatewayer samtidigt?
Beroende på vilken VPN-klientprogramvara som används kan du kanske ansluta till flera virtuella nätverksgatewayer, förutsatt att de virtuella nätverk som är anslutna till inte har motstridiga adressutrymmen mellan dem eller om nätverket från med klienten ansluter från. Azure VPN-klienten stöder många VPN-anslutningar men bara en anslutning kan anslutas vid en viss tidpunkt.
Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverk samtidigt?
Ja, punkt-till-plats-klientanslutningar till en virtuell nätverksgateway som distribueras i ett virtuellt nätverk som är peer-kopplat till andra virtuella nätverk kan ha åtkomst till andra peerkopplade virtuella nätverk. punkt-till-plats-klienter kommer att kunna ansluta till peerkopplade virtuella nätverk så länge de peerkopplade virtuella nätverken använder funktionerna UseRemoteGateway/AllowGatewayTransit. Mer information finns i Om punkt-till-plats-routning.
Hur mycket dataflöde kan jag förvänta mig via plats-till-plats- eller punkt-till-plats-anslutningar?
Det är svårt att bibehålla ett exakt dataflöde i VPN-tunnlarna. IPsec och SSTP är kryptografifrekventa VPN-protokoll. Dataflödet är också begränsat av svarstiden och bandbredden mellan din lokala plats och Internet. För en VPN Gateway med endast IKEv2 punkt-till-plats VPN-anslutningar beror det totala dataflödet som du kan förvänta dig på gateway-SKU:n. Mer information om dataflödet finns i avsnittet om Gateway-SKU:er.
Kan jag använda någon VPN-klient för programvara för punkt-till-plats som stöder SSTP och/eller IKEv2?
Nej. Du kan bara använda den inbyggda VPN-klienten i Windows för SSTP, och den inbyggda VPN-klienten i Mac för IKEv2. Men du kan använda OpenVPN-klienten på alla plattformar för att ansluta över OpenVPN-protokollet. Se listan över klientoperativsystem som stöds.
Kan jag ändra autentiseringstypen för en punkt-till-plats-anslutning?
Ja. I portalen går du till konfigurationssidan för VPN-gateway –> punkt-till-plats . Som Autentiseringstyp väljer du de autentiseringstyper som du vill använda. Observera att när du har ändrat till en autentiseringstyp kanske de aktuella klienterna inte kan ansluta förrän en ny VPN-klientkonfigurationsprofil har genererats, laddats ned och tillämpats på varje VPN-klient.
Har Azure stöd för IKEv2 VPN-anslutningar i Windows?
IKEv2 stöds på Windows 10 och Server 2016. Men för att kunna använda IKEv2 i vissa os-versioner måste du installera uppdateringar och ange ett registernyckelvärde lokalt. OS-versioner före Windows 10 stöds inte och kan bara använda SSTP eller OpenVPN® Protocol.
Kommentar
Windows OS-versioner som är nyare än Windows 10 Version 1709 och Windows Server 2016 Version 1607 kräver inte dessa steg.
Förbereda Windows 10 eller Server 2016 för IKEv2:
Installera uppdateringen baserat på din operativsystemversion:
OS-version Datum Antal/länk Windows Server 2016
Windows 10, version 160717 januari 2018 KB4057142 Windows 10, version 1703 17 januari 2018 KB4057144 Windows 10 version 1709 22 mars 2018 KB4089848 Ange registernyckelvärdet. Skapa eller ange "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD-nyckeln i registret till 1.
Vad är IKEv2-trafikväljarens gräns för punkt-till-plats-anslutningar?
Windows 10 version 2004 (släpptes september 2021) ökade trafikväljarens gräns till 255. Versioner av Windows tidigare än detta har en trafikväljargräns på 25.
Gränsen för trafikväljare i Windows avgör det maximala antalet adressutrymmen i det virtuella nätverket och den maximala summan av dina lokala nätverk, VNet-till-VNet-anslutningar och peerkopplade virtuella nätverk som är anslutna till gatewayen. Windows-baserade punkt-till-plats-klienter kan inte ansluta via IKEv2 om de överskrider den här gränsen.
Vad händer när jag konfigurerar både SSTP och IKEv2 för P2S VPN-anslutningar?
När du konfigurerar både SSTP och IKEv2 i en blandad miljö (bestående av Windows- och Mac-enheter) provar Windows VPN-klienten alltid IKEv2-tunneln först, men återgår till SSTP om IKEv2-anslutningen inte lyckas. MacOSX ansluter endast via IKEv2.
När du har både SSTP och IKEv2 aktiverat på gatewayen delas punkt-till-plats-adresspoolen statiskt mellan de två, så klienter som använder olika protokoll tilldelas IP-adresser från något av underintervallen. Observera att den maximala mängden SSTP-klienter alltid är 128 även om adressintervallet är större än /24, vilket resulterar i en större mängd adresser som är tillgängliga för IKEv2-klienter. För mindre intervall halveras poolen lika mycket. Trafikväljare som används av gatewayen kanske inte innehåller punkt-till-plats-adressintervallet CIDR, utan de två CIDR:erna för underintervallet.
För vilka andra plattformar förutom Windows och Mac har Azure stöd för P2S VPN?
Azure stöder Windows, Mac och Linux för P2S VPN.
Jag har redan en Azure VPN Gateway distribuerad. Kan jag aktivera RADIUS och/eller IKEv2 VPN på den?
Ja, om gateway-SKU:n som du använder stöder RADIUS och/eller IKEv2 kan du aktivera dessa funktioner på gatewayer som du redan har distribuerat med hjälp av PowerShell eller Azure-portalen. Basic SKU stöder inte RADIUS eller IKEv2.
Hur tar jag bort konfigurationen av en P2S-anslutning?
En P2S-konfiguration kan tas bort med hjälp av Azure CLI och PowerShell med följande kommandon:
Azure PowerShell
$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`
$gw.VPNClientConfiguration = $null`
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`
Azure CLI
az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"
Vad ska jag göra om jag får ett felmatchat certifikat när jag ansluter med certifikatautentisering?
Avmarkera "Verifiera serverns identitet genom att verifiera certifikatet" eller lägg till serverns FQDN tillsammans med certifikatet när du skapar en profil manuellt. Du kan göra detta genom att köra rasphone från en kommandotolk och välja profilen från listrutan.
Att kringgå serveridentitetsverifiering rekommenderas inte i allmänhet, men med Azure-certifikatautentisering används samma certifikat för servervalidering i VPN-tunnelprotokollet (IKEv2/SSTP) och EAP-protokollet. Eftersom servercertifikatet och FQDN redan har verifierats av VPN-tunnelprotokollet är det redundant att verifiera samma sak igen i EAP.
Kan jag använda min egen interna PKI-rotcertifikatutfärdare för att generera certifikat för punkt-till-plats-anslutning?
Ja. Tidigare kunde bara självsignerade rotcertifikat användas. Du kan fortfarande överföra 20 rotcertifikat.
Kan jag använda certifikat från Azure Key Vault?
Nej.
Vilka verktyg kan jag använda för att skapa certifikat?
Du kan använda lösningen för företags-PKI (din interna PKI), Azure PowerShell, MakeCert och OpenSSL.
Finns det anvisningar för certifikatinställningar och -parametrar?
Lösning för intern PKI/företags-PKI: Se hur du kan generera certifikat.
Azure PowerShell: Se anvisningarna i artikeln om Azure PowerShell.
MakeCert: Se anvisningarna i artikeln om MakeCert.
OpenSSL:
Se till att konvertera rotcertifikatet till Base64 när du exporterar certifikat.
För klientcertifikatet:
- Ange längden 4096 när du skapar den privata nyckeln.
- För parametern -tillägg anger du usr_cert när du skapar certifikatet.
Vanliga frågor och svar om RADIUS-autentisering
Hur många VPN-klientslutpunkter kan jag ha i min punkt-till-plats-konfiguration?
Det beror på gateway-SKU. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.
Vilka klientoperativsystem kan jag använda med punkt-till-plats?
Följande klientoperativsystem stöds:
- Windows Server 2008 R2 (endast 64-bitars)
- Windows 8.1 (32-bitars och 64-bitars)
- Windows Server 2012 (endast 64-bitars)
- Windows Server 2012 R2 (endast 64-bitars)
- Windows Server 2016 (endast 64-bitars)
- Windows Server 2019 (endast 64-bitars)
- Windows Server 2022 (endast 64-bitars)
- Windows 10
- Windows 11
- macOS version 10.11 eller senare
- Linux (StrongSwan)
- iOS
Kan jag gå igenom proxyservrar och brandväggar med hjälp av punkt-till-plats-funktioner?
Azure stöder tre alternativ för VPN för punkt-till-plats:
SSTP (Secure Socket Tunneling Protocol). SSTP är en SSL-baserad lösning från Microsoft som kan ta sig igenom brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443 som SSL använder.
OpenVPN OpenVPN är en SSL-baserad lösning som kan ta sig igenom brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443 som SSL använder.
IKEv2 VPN. IKEv2 VPN är en standardbaserad IPsec VPN-lösning som använder utgående UDP-portar 500 och 4500 och IP-protokoll nr 50. Brandväggar öppnar inte alltid dessa portar, så det finns en möjlighet att IKEv2 VPN inte kan passera proxyservrar och brandväggar.
Kommer VPN automatiskt att återansluta om jag startar om en klientdator som konfigurerats för punkt-till-plats?
Automatisk återanslutning är en funktion av klienten som används. Windows stöder automatisk återanslutning genom att konfigurera funktionen Always On VPN-klient .
Stöder punkt-till-plats DDNS på VPN-klienterna?
DDNS stöds för närvarande inte i punkt-till-plats-VPN.
Kan jag ha plats-till-plats- och punkt-till-plats-konfigurationer samexisterade för samma virtuella nätverk?
Ja. Med Resource Manager-distributionsmodellen krävs en gateway med routningsbaserad VPN. I den klassiska distributionsmodellen måste du ha en dynamisk gateway. Vi stöder inte punkt-till-plats för statisk routning av VPN-gatewayer eller principbaserade VPN-gatewayer.
Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverksgatewayer samtidigt?
Beroende på vilken VPN-klientprogramvara som används kan du kanske ansluta till flera virtuella nätverksgatewayer, förutsatt att de virtuella nätverk som är anslutna till inte har motstridiga adressutrymmen mellan dem eller om nätverket från med klienten ansluter från. Azure VPN-klienten stöder många VPN-anslutningar men bara en anslutning kan anslutas vid en viss tidpunkt.
Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverk samtidigt?
Ja, punkt-till-plats-klientanslutningar till en virtuell nätverksgateway som distribueras i ett virtuellt nätverk som är peer-kopplat till andra virtuella nätverk kan ha åtkomst till andra peerkopplade virtuella nätverk. punkt-till-plats-klienter kommer att kunna ansluta till peerkopplade virtuella nätverk så länge de peerkopplade virtuella nätverken använder funktionerna UseRemoteGateway/AllowGatewayTransit. Mer information finns i Om punkt-till-plats-routning.
Hur mycket dataflöde kan jag förvänta mig via plats-till-plats- eller punkt-till-plats-anslutningar?
Det är svårt att bibehålla ett exakt dataflöde i VPN-tunnlarna. IPsec och SSTP är kryptografifrekventa VPN-protokoll. Dataflödet är också begränsat av svarstiden och bandbredden mellan din lokala plats och Internet. För en VPN Gateway med endast IKEv2 punkt-till-plats VPN-anslutningar beror det totala dataflödet som du kan förvänta dig på gateway-SKU:n. Mer information om dataflödet finns i avsnittet om Gateway-SKU:er.
Kan jag använda någon VPN-klient för programvara för punkt-till-plats som stöder SSTP och/eller IKEv2?
Nej. Du kan bara använda den inbyggda VPN-klienten i Windows för SSTP, och den inbyggda VPN-klienten i Mac för IKEv2. Men du kan använda OpenVPN-klienten på alla plattformar för att ansluta över OpenVPN-protokollet. Se listan över klientoperativsystem som stöds.
Kan jag ändra autentiseringstypen för en punkt-till-plats-anslutning?
Ja. I portalen går du till konfigurationssidan för VPN-gateway –> punkt-till-plats . Som Autentiseringstyp väljer du de autentiseringstyper som du vill använda. Observera att när du har ändrat till en autentiseringstyp kanske de aktuella klienterna inte kan ansluta förrän en ny VPN-klientkonfigurationsprofil har genererats, laddats ned och tillämpats på varje VPN-klient.
Har Azure stöd för IKEv2 VPN-anslutningar i Windows?
IKEv2 stöds på Windows 10 och Server 2016. Men för att kunna använda IKEv2 i vissa os-versioner måste du installera uppdateringar och ange ett registernyckelvärde lokalt. OS-versioner före Windows 10 stöds inte och kan bara använda SSTP eller OpenVPN® Protocol.
Kommentar
Windows OS-versioner som är nyare än Windows 10 Version 1709 och Windows Server 2016 Version 1607 kräver inte dessa steg.
Förbereda Windows 10 eller Server 2016 för IKEv2:
Installera uppdateringen baserat på din operativsystemversion:
OS-version Datum Antal/länk Windows Server 2016
Windows 10, version 160717 januari 2018 KB4057142 Windows 10, version 1703 17 januari 2018 KB4057144 Windows 10 version 1709 22 mars 2018 KB4089848 Ange registernyckelvärdet. Skapa eller ange "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD-nyckeln i registret till 1.
Vad är IKEv2-trafikväljarens gräns för punkt-till-plats-anslutningar?
Windows 10 version 2004 (släpptes september 2021) ökade trafikväljarens gräns till 255. Versioner av Windows tidigare än detta har en trafikväljargräns på 25.
Gränsen för trafikväljare i Windows avgör det maximala antalet adressutrymmen i det virtuella nätverket och den maximala summan av dina lokala nätverk, VNet-till-VNet-anslutningar och peerkopplade virtuella nätverk som är anslutna till gatewayen. Windows-baserade punkt-till-plats-klienter kan inte ansluta via IKEv2 om de överskrider den här gränsen.
Vad händer när jag konfigurerar både SSTP och IKEv2 för P2S VPN-anslutningar?
När du konfigurerar både SSTP och IKEv2 i en blandad miljö (bestående av Windows- och Mac-enheter) provar Windows VPN-klienten alltid IKEv2-tunneln först, men återgår till SSTP om IKEv2-anslutningen inte lyckas. MacOSX ansluter endast via IKEv2.
När du har både SSTP och IKEv2 aktiverat på gatewayen delas punkt-till-plats-adresspoolen statiskt mellan de två, så klienter som använder olika protokoll tilldelas IP-adresser från något av underintervallen. Observera att den maximala mängden SSTP-klienter alltid är 128 även om adressintervallet är större än /24, vilket resulterar i en större mängd adresser som är tillgängliga för IKEv2-klienter. För mindre intervall halveras poolen lika mycket. Trafikväljare som används av gatewayen kanske inte innehåller punkt-till-plats-adressintervallet CIDR, utan de två CIDR:erna för underintervallet.
För vilka andra plattformar förutom Windows och Mac har Azure stöd för P2S VPN?
Azure stöder Windows, Mac och Linux för P2S VPN.
Jag har redan en Azure VPN Gateway distribuerad. Kan jag aktivera RADIUS och/eller IKEv2 VPN på den?
Ja, om gateway-SKU:n som du använder stöder RADIUS och/eller IKEv2 kan du aktivera dessa funktioner på gatewayer som du redan har distribuerat med hjälp av PowerShell eller Azure-portalen. Basic SKU stöder inte RADIUS eller IKEv2.
Hur tar jag bort konfigurationen av en P2S-anslutning?
En P2S-konfiguration kan tas bort med hjälp av Azure CLI och PowerShell med följande kommandon:
Azure PowerShell
$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`
$gw.VPNClientConfiguration = $null`
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`
Azure CLI
az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"
Stöds RADIUS-autentisering med alla Azure VPN Gateway-SKU:er?
RADIUS-autentisering stöds för alla SKU:er utom Basic SKU.
För äldre SKU:er stöds RADIUS-autentisering på SKU:er med standard- och högpresterande prestanda. Det stöds inte på Basic Gateway SKU.
Stöds RADIUS-autentisering med den klassiska distributionsmodellen?
Nej. RADIUS-autentisering stöds inte för den klassiska distributionsmodellen.
Vad är tidsgränsen för RADIUS-begäranden som skickas till RADIUS-servern?
RADIUS-begäranden är inställda på timeout efter 30 sekunder. Användardefinierade tidsgränsvärden stöds inte i dag.
Stöds RADIUS-servrar från tredje part?
Ja, RADIUS-servrar från tredje part stöds.
Vilka anslutningskrav måste vara uppfyllda för att Azure-gatewayen ska kunna ansluta till en lokal RADIUS-server?
En plats-till-plats-VPN-anslutning till den lokala platsen, med rätt vägar konfigurerade, krävs.
Kan trafik till en lokal RADIUS-server (från Azure VPN-gatewayen) skickas via en ExpressRoute-anslutning?
Nej. Den kan bara dirigeras via en plats-till-plats-anslutning.
Har antalet SSTP-anslutningar som stöds med RADIUS-autentisering ändrats? Hur många SSTP- och IKEv2-anslutningar stöds?
Det finns ingen ändring i det maximala antalet SSTP-anslutningar som stöds på en gateway med RADIUS-autentisering. Den är fortfarande 128 för SSTP, men är beroende av gateway-SKU:n för IKEv2. Mer information om antalet anslutningar som stöds finns i Gateway-SKU:er.
Vad är skillnaden mellan att göra certifikatautentisering med hjälp av en RADIUS-server jämfört med azure-intern certifikatautentisering (genom att ladda upp ett betrott certifikat till Azure)?
När RADIUS-certifikatautentisering används vidarebefordras autentiseringsbegäran till en RADIUS-server som hanterar själva certifikatverifieringen. Det här alternativet är bra om du vill integrera med en infrastruktur för certifikatautentisering som du redan har via RADIUS.
När Azure används för certifikatautentisering utförs certifikatverifieringen av Azure VPN-gatewayen. Du måste ladda upp den offentliga nyckeln för ditt certifikat till gatewayen. Du kan också ange en lista med återkallade certifikat som inte har tillåtelse att ansluta.
Fungerar RADIUS-autentisering med både IKEv2 och SSTP VPN?
Ja, RADIUS-autentisering stöds för både IKEv2 och SSTP VPN.
Fungerar RADIUS-autentisering med OpenVPN-klienten?
RADIUS-autentisering stöds för OpenVPN-protokollet.
Nästa steg
Konfigurera en P2S-anslutning – Microsoft Entra-autentisering
Konfigurera en P2S-anslutning – azure-intern certifikatautentisering
"OpenVPN" är ett varumärke som tillhör OpenVPN Inc.