Noktadan Siteye VPN hakkında
Noktadan Siteye (P2S) VPN ağ geçidi bağlantısı, ayrı bir istemci bilgisayardan sanal ağınıza güvenli bir bağlantı oluşturmanıza olanak sağlar. P2S bağlantısı, istemci bilgisayardan başlatılarak oluşturulur. Bu çözüm, Azure sanal ağlarına uzak bir konumdan (örneğin, evden veya bir konferanstan) bağlanmak isteyen uzaktan çalışan kişiler için kullanışlıdır. P2S VPN ayrıca, bir sanal ağa bağlanması gereken yalnızca birkaç istemciniz olduğunda S2S VPN yerine kullanabileceğiniz yararlı bir çözümüdür. Bu makale, dağıtım Resource Manager için geçerlidir.
P2S hangi protokolü kullanır?
Noktadan siteye VPN aşağıdaki protokollerden birini kullanabilir:
OpenVPN® Protokolü, SSL/TLS tabanlı bir VPN protokolüdür. Güvenlik duvarlarından çoğu, TLS'nin kullandığı 443 giden TCP bağlantı noktasını açsa da TLS VPN çözümü güvenlik duvarlarını aşabiliyor. OpenVPN; Android, iOS (sürüm 11.0 ve üzeri), Windows, Linux ve Mac cihazlardan (macOS sürüm 10.13 ve üzeri) bağlanmak için kullanılabilir.
Özel TLS tabanlı bir VPN protokolü olan Güvenli Yuva Tünel Protokolü (SSTP). Güvenlik duvarlarından çoğu, TLS'nin kullandığı 443 giden TCP bağlantı noktasını açsa da TLS VPN çözümü güvenlik duvarlarını aşabiliyor. SSTP yalnızca diğer cihazlarda Windows destekler. Azure, SSTP Windows TLS 1.2 (Windows 8.1 ve sonraki sürümleri) destekleyen tüm sürümlerini destekler.
IKEv2 VPN, standart tabanlı bir IPsec VPN çözümüdür. IKEv2 VPN, Mac cihazlardan (macOS sürüm 10.11 ve üzeri) bağlanmak için kullanılabilir.
Not
P2S için IKEv2 ve OpenVPN, yalnızca Resource Manager için kullanılabilir. Bunlar klasik dağıtım modeli için kullanılamaz.
P2S VPN istemcilerinin kimliği nasıl doğrulanır?
Azure P2S VPN bağlantısını kabul etmek için önce kullanıcının kimlik doğrulamasının doğrulanmış olması gerekir. Azure'ın bağlanan bir kullanıcının kimliğini doğrulamak için sunduğu iki mekanizma vardır.
Yerel Azure sertifika kimlik doğrulamasını kullanarak kimlik doğrulaması
Yerel Azure sertifika kimlik doğrulaması kullanılırken, bağlanan kullanıcının kimliğini doğrulamak için cihazda mevcut olan bir istemci sertifikası kullanılır. İstemci sertifikaları güvenilen bir kök sertifikadan oluşturulur ve ardından her istemci bilgisayara yüklenir. Bir sertifika çözümü kullanılarak oluşturulan bir kök sertifikayı Enterprise veya otomatik olarak imzalanan bir sertifika da kullanabilirsiniz.
İstemci sertifikasının doğrulaması VPN ağ geçidi tarafından gerçekleştirilir ve P2S VPN bağlantısının kurulması sırasında gerçekleşir. Kök sertifika doğrulama için gereklidir ve Azure'a yüklenmeleri gerekir.
Yerel kimlik doğrulaması kullanarak Azure Active Directory doğrulama
Azure AD kimlik doğrulaması, kullanıcıların kimlik bilgilerini kullanarak Azure'a Azure Active Directory sağlar. Yerel Azure AD kimlik doğrulaması yalnızca OpenVPN protokolü ve Windows 10 ve Azure VPN İstemcisi'nin kullanımını gerektirir.
Yerel Azure AD kimlik doğrulaması ile Azure AD'nin koşullu erişiminin yanı sıra VPN için Multi-Factor Authentication (MFA) özelliklerinden de faydalanabilirsiniz.
Yüksek düzeyde, Azure AD kimlik doğrulamasını yapılandırmak için aşağıdaki adımları gerçekleştirmeniz gerekir:
Active Directory (AD) Etki Alanı Sunucusu kullanarak kimlik doğrulaması
AD Etki Alanı kimlik doğrulaması, kullanıcıların kuruluş etki alanı kimlik bilgilerini kullanarak Azure'a bağlanmasına olanak sağlar. AD sunucusuyla tümleştirilmiş bir RADIUS sunucusu gerektirir. Kuruluşlar ayrıca mevcut RADIUS dağıtımlarından da faydalanabilirsiniz.
RADIUS sunucusu şirket içinde veya Azure VNet'inize dağıtılabilir. Kimlik doğrulaması sırasında Azure VPN Gateway, geçiş olarak davranır ve kimlik doğrulama iletilerini RADIUS sunucusu ve bağlanan cihaz arasında ileri ve geri iletir. Bu nedenle RADIUS sunucusuna ağ geçidine erişim önemlidir. RADIUS sunucusu şirket içinde mevcutsa, erişim için Azure'dan şirket içi siteye VPN S2S bağlantısı gerekir.
RADIUS sunucusu, AD sertifika hizmetleriyle de tümleşebilirsiniz. Bu, Azure sertifika kimlik doğrulamasına alternatif olarak P2S sertifika kimlik doğrulaması için RADIUS sunucusunu ve kurumsal sertifika dağıtımınızı kullanmanızı sağlar. Bunun avantajı, kök sertifikaları ve iptal edilmiş sertifikaları Azure'a yüklemek zorunda olmadığınızdır.
RADIUS sunucusu diğer dış kimlik sistemleriyle de tümleşebilirsiniz. Bu, çok faktörlü seçenekler de dahil olmak üzere P2S VPN için çok sayıda kimlik doğrulama seçeneği açar.
İstemci yapılandırma gereksinimleri nelerdir?
Not
Daha Windows için, istemci cihazından Azure'a VPN bağlantısını başlatmak için istemci cihazında yönetici haklarına sahipsiniz.
Kullanıcılar P2S için Windows Mac cihazlarda yerel VPN istemcilerini kullanır. Azure, bu yerel istemcilerin Azure'a bağlanması için gereken ayarları içeren bir VPN istemcisi yapılandırma zip dosyası sağlar.
- Daha Windows vpn istemcisi yapılandırması, kullanıcıların cihazlarına yüklemiş olduğu bir yükleyici paketi içerir.
- Mac cihazlar için, kullanıcıların cihazlarına yüklemiş olduğu mobileconfig dosyasından oluşur.
Zip dosyası ayrıca Azure tarafında bu cihazlar için kendi profilinizi oluşturmak üzere kullanabileceğiniz bazı önemli ayarların değerlerini sağlar. Değerlerden bazıları VPN ağ geçidi adresi, yapılandırılmış tünel türleri, yollar ve ağ geçidi doğrulaması için kök sertifikadır.
Not
1 Temmuz 2018 tarihinden itibaren TLS 1.0 ve 1.1 desteği Azure VPN Gateway'den kaldırılıyor. VPN Gateway, yalnızca TLS 1.2’yi destekleyecektir. Yalnızca noktadan siteye bağlantılar etkilenir; siteden siteye bağlantılar etkilenmeyecektir. Windows 10 istemcilerinde Noktadan siteye VPN 'Ler için TLS kullanıyorsanız, herhangi bir işlem yapmanız gerekmez. Windows 7 ve Windows 8 istemcilerinde Noktadan siteye bağlantılar için TLS kullanıyorsanız, güncelleştirme yönergeleri için VPN Gateway SSS bölümüne bakın.
Hangi ağ geçidi SKUS'ları P2S VPN'i destekler?
| VPN Gateway oluşturma |
SKU | S2S/VNet-VNet Tünelleri |
P2S SSTP Bağlantıları |
P2S Ikev2/OpenVPN bağlantıları |
Toplam Aktarım Hızı Kıyaslaması |
BGP | Bölge yedekli |
|---|---|---|---|---|---|---|---|
| Generation1 | Temel | En çok, 10 | En çok, 128 | Desteklenmiyor | 100 Mbps | Desteklenmiyor | No |
| Generation1 | VpnGw1 | En çok, 30 | En çok, 128 | En çok, 250 | 650 Mb/sn | Desteklenir | No |
| Generation1 | VpnGw2 | En çok, 30 | En çok, 128 | En çok, 500 | 1 Gb/sn | Desteklenir | No |
| Generation1 | VpnGw3 | En çok, 30 | En çok, 128 | En çok, 1000 | 1,25 Gb/sn | Desteklenir | No |
| Generation1 | VpnGw1AZ | En çok, 30 | En çok, 128 | En çok, 250 | 650 Mb/sn | Desteklenir | Yes |
| Generation1 | VpnGw2AZ | En çok, 30 | En çok, 128 | En çok, 500 | 1 Gb/sn | Desteklenir | Yes |
| Generation1 | VpnGw3AZ | En çok, 30 | En çok, 128 | En çok, 1000 | 1,25 Gb/sn | Desteklenir | Yes |
| Generation2 | VpnGw2 | En çok, 30 | En çok, 128 | En çok, 500 | 1,25 Gb/sn | Desteklenir | No |
| Generation2 | VpnGw3 | En çok, 30 | En çok, 128 | En çok, 1000 | 2,5 Gbps | Destekleniyor | No |
| 2. Nesil | VpnGw4 | En çok, 100* | En çok, 128 | En çok, 5000 | 5 Gbps | Desteklenir | No |
| 2. Nesil | VpnGw5 | En çok, 100* | En çok, 128 | En çok, 10000 | 10 Gbps | Desteklenir | No |
| 2. Nesil | VpnGw2AZ | En çok, 30 | En çok, 128 | En çok, 500 | 1,25 Gb/sn | Desteklenir | Yes |
| 2. Nesil | VpnGw3AZ | En çok, 30 | En çok, 128 | En çok, 1000 | 2,5 Gbps | Desteklenir | Yes |
| 2. Nesil | VpnGw4AZ | En çok, 100* | En çok, 128 | En çok, 5000 | 5 Gbps | Destekleniyor | Yes |
| 2. Nesil | VpnGw5AZ | En çok, 100* | En çok, 128 | En çok, 10000 | 10 Gbps | Desteklenir | Yes |
(*) 100'den fazla tünele ihtiyacınız varsa Sanal WAN S2S VPN kullanın.
Temel SKU'nun yeniden boyutlandırması dışında VpnGw SKU'larının yeniden boyutlandırmasına aynı nesilde izin verilir. Temel SKU eski bir SKU'dır ve özellik sınırlamaları vardır. Temel'den başka bir VpnGw SKU'ya geçiş yapmak için Temel SKU VPN ağ geçidini silmeniz ve istenen Oluşturma ve SKU boyutu bileşimiyle yeni bir ağ geçidi oluşturmanız gerekir. Temel ağ geçidini yalnızca başka bir eski SKU'ya yeniden boyutlandırabilirsiniz (bkz. Eski SKU'larla çalışma).
Bu bağlantı sınırları ayrıdır. Örneğin, bir VpnGw1 SKU’sunda 128 SSTP bağlantısına ek olarak 250 IKEv2 bağlantısına sahip olabilirsiniz.
Fiyatlandırma bilgileri Fiyatlandırma sayfasında bulunabilir.
SLA (Hizmet Düzeyi Sözleşmesi) bilgilerine SLA sayfasından ulaşılabilir.
Tek bir tünelde en fazla 1 Gbps aktarım hızı elde edilebilir. Yukarıdaki tabloda yer alan Toplama Aktarım Hızı Karşılaştırması, tek bir ağ geçidi üzerinden toplanan birden çok tünelin ölçümlerini temel alır. Bir VPN Gateway’e yönelik Toplam Aktarım Hızı Karşılaştırması S2S ve P2S’nin birleşimidir. Çok sayıda P2S bağlantısına sahipseniz S2S bağlantınız aktarım hızı sınırlamalarından dolayı olumsuz etkilenebilir. Toplu Aktarım Hızı Karşılaştırması, İnternet trafiği koşulları ve uygulama davranışlarınız nedeniyle garantili bir aktarım hızı değildir.
Müşterilerimizin farklı algoritmalar kullanarak SKUS'ların göreli performansını anlamanıza yardımcı olmak için genel kullanıma açık iPerf ve CTSTraffic araçlarını kullanarak performansları ölçtük. Aşağıdaki tabloda 1. Nesil VpnGw SKUS'ları için performans testlerinin sonuçları listelenmiştir. Gördüğünüz gibi, hem IPsec Şifrelemesi hem de Bütünlük için GCMAES256 algoritmasını kullandığımız zaman en iyi performans elde edilir. IPsec Şifrelemesi için AES256 ve Bütünlük için SHA256 kullanılırken ortalama performansa sahip olduk. IPsec Şifrelemesi için DES3 ve Bütünlük için SHA256'yı kullandığımız zaman en düşük performansımız oldu.
| Nesil | SKU | Kullanılan algoritmalar |
Gözlemlenen aktarım hızı |
Gözlemlenen tünel başına saniye başına paket sayısı |
|---|---|---|---|---|
| 1. Nesil | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mb/sn 500 Mbps 120 Mb/sn |
58,000 50,000 50,000 |
| 1. Nesil | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1 Gbps 500 Mbps 120 Mb/sn |
90,000 80,000 55,000 |
| 1. Nesil | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/sn 550 Mb/sn 120 Mb/sn |
105,000 90,000 60.000 |
| 1. Nesil | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mb/sn 500 Mbps 120 Mb/sn |
58,000 50,000 50,000 |
| 1. Nesil | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1 Gbps 500 Mbps 120 Mb/sn |
90,000 80,000 55,000 |
| 1. Nesil | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gb/sn 550 Mb/sn 120 Mb/sn |
105,000 90,000 60.000 |
- Ağ Geçidi SKU önerileri için bkz. VPN Gateway hakkında.
Not
Temel SKU, IKEv2 veya RADIUS kimlik doğrulamasını desteklemez.
P2S için VPN ağ geçitlerinde hangi IKE/IPsec ilkeleri yapılandırılır?
IKEv2
| Şifre | Bütünlük | PRF | DH Grubu |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Şifre | Bütünlük | PFS Grubu |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
P2S için VPN ağ geçitlerinde hangi TLS ilkeleri yapılandırıldı?
TLS
| İlkeler |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
P2S bağlantısı Nasıl yaparım? mı?
Bir P2S yapılandırması, çok sayıda belirli adım gerektirir. Aşağıdaki makalelerde P2S yapılandırmasına kılavuzluk eden adımlar ve VPN istemci cihazlarını yapılandırma bağlantıları bulunur:
Bir P2S bağlantısının yapılandırmasını kaldırmak için
PowerShell veya CLı kullanarak bir bağlantının yapılandırmasını kaldırabilirsiniz. Örnekler için bkz. SSS.
P2S yönlendirme nasıl çalışır?
Aşağıdaki makalelere bakın:
SSS
P2S için kimlik doğrulamasını temel alan birden çok SSS bölümü vardır.
Sonraki Adımlar
"OpenVPN", OpenVPN Inc.'in ticari markasıdır.