Noktadan siteye vpn istemcisi yapılandırma: RADIUS - parola kimlik doğrulaması

Noktadan siteye (P2S) üzerinden bir sanal ağa bağlanmak için, bağlanabileceğiniz istemci cihazını yapılandırmanız gerekir. Windows, macOS ve Linux istemci cihazlarından P2S VPN bağlantıları oluşturabilirsiniz. Bu makale, kullanıcı adı/parola RADIUS kimlik doğrulaması için VPN istemci yapılandırmasını oluşturmanıza ve yüklemenize yardımcı olur.

RADIUS kimlik doğrulaması kullanırken, birden çok kimlik doğrulama yönergesi vardır: sertifika kimlik doğrulaması, parola kimlik doğrulaması ve diğer kimlik doğrulama yöntemleri ve protokolleri. VPN istemcisi yapılandırması her kimlik doğrulaması türü için farklıdır. Vpn istemcisini yapılandırmak için gerekli ayarları içeren istemci yapılandırma dosyalarını kullanırsınız.

Not

1 Temmuz 2018 tarihinden itibaren TLS 1.0 ve 1.1 desteği Azure VPN Gateway'den kaldırılıyor. VPN Gateway, yalnızca TLS 1.2’yi destekleyecektir. Yalnızca noktadan siteye bağlantılar etkilenir; siteden siteye bağlantılar etkilenmez. Windows 10 veya sonraki istemcilerde noktadan siteye VPN'ler için TLS kullanıyorsanız herhangi bir işlem yapmanız gerekmez. Windows 7 ve Windows 8 istemcilerinde noktadan siteye bağlantılar için TLS kullanıyorsanız güncelleştirme yönergeleri için VPN Gateway SSS bölümüne bakın.

İş Akışı

P2S RADIUS kimlik doğrulaması için yapılandırma iş akışı aşağıdaki gibidir:

1. P2S bağlantısı için Azure VPN ağ geçidini ayarlayın.
2. RADIUS sunucunuzu kimlik doğrulaması için ayarlayın.
3. Seçtiğiniz kimlik doğrulama seçeneği için VPN istemci yapılandırmasını alın ve VPN istemcisini ayarlamak için kullanın (bu makale).
4. P2S yapılandırmanızı tamamlayın ve bağlanın.

Önemli

VPN istemci yapılandırma profilini oluşturduktan sonra noktadan siteye VPN yapılandırmasında VPN protokolü türü veya kimlik doğrulama türü gibi değişiklikler varsa, kullanıcılarınızın cihazlarına yeni bir VPN istemci yapılandırması oluşturup yüklemeniz gerekir.

Kullanıcı adı/parola kimlik doğrulamasını Active Directory kullanacak veya Active Directory kullanmayacak şekilde yapılandırabilirsiniz. Her iki senaryoda da, tüm bağlanan kullanıcıların RADIUS aracılığıyla kimlik doğrulaması yapabilen kullanıcı adı/parola kimlik bilgilerine sahip olduğundan emin olun.

Kullanıcı adı/parola kimlik doğrulamasını yapılandırırken, yalnızca EAP-MSCHAPv2 kullanıcı adı/parola kimlik doğrulaması protokolü için bir yapılandırma oluşturabilirsiniz. Komutlarda, -AuthenticationMethod şeklindedir EapMSChapv2.

VPN istemcisi yapılandırma dosyaları oluşturma

VPN istemcisi yapılandırma dosyalarını Azure portalını veya Azure PowerShell'i kullanarak oluşturabilirsiniz.

Azure portal

1. Sanal ağ geçidine gidin.
2. Noktadan Siteye yapılandırma'ya tıklayın.
3. VPN istemcisini indir'e tıklayın.
4. İstemciyi seçin ve istenen bilgileri doldurun.
5. .zip dosyasını oluşturmak için İndir'e tıklayın.
6. .zip dosyası genellikle İndirilenler klasörünüze indirilir.

Azure PowerShell

Kullanıcı adı/parola kimlik doğrulaması ile kullanmak üzere VPN istemcisi yapılandırma dosyaları oluşturun. Aşağıdaki komutu kullanarak VPN istemcisi yapılandırma dosyalarını oluşturabilirsiniz:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

komutu çalıştırılırken bir bağlantı döndürülüyor. VpnClientConfiguration.zip indirmek için bağlantıyı kopyalayıp bir web tarayıcısına yapıştırın. Aşağıdaki klasörleri görüntülemek için dosyanın sıkıştırmasını açın:

• WindowsAmd64 ve WindowsX86: Bu klasörler sırasıyla Windows 64 bit ve 32 bit yükleyici paketlerini içerir.
• Genel: Bu klasör, kendi VPN istemci yapılandırmanızı oluşturmak için kullandığınız genel bilgileri içerir. Kullanıcı adı/parola kimlik doğrulaması yapılandırmaları için bu klasöre ihtiyacınız yoktur.
• Mac: Sanal ağ geçidini oluştururken IKEv2'yi yapılandırdıysanız, mobileconfig dosyası içeren Mac adlı bir klasör görürsünüz. Mac istemcilerini yapılandırmak için bu dosyayı kullanırsınız.

İstemci yapılandırma dosyalarını zaten oluşturduysanız, cmdlet'ini Get-AzVpnClientConfiguration kullanarak bunları alabilirsiniz. Ancak P2S VPN yapılandırmanızda VPN protokol türü veya kimlik doğrulama türü gibi herhangi bir değişiklik yaparsanız yapılandırma otomatik olarak güncelleştirilmez. Yeni bir yapılandırma indirmesi New-AzVpnClientConfiguration oluşturmak için cmdlet'ini çalıştırmanız gerekir.

Daha önce oluşturulan istemci yapılandırma dosyalarını almak için aşağıdaki komutu kullanın:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Windows VPN istemcisi

Sürüm, istemcinin mimarisiyle eşleşdiği sürece, her Windows istemci bilgisayarında aynı VPN istemcisi yapılandırma paketini kullanabilirsiniz. Desteklenen istemci işletim sistemlerinin listesi için bkz . SSS.

Yerel Windows VPN istemcisini sertifika kimlik doğrulaması için yapılandırmak için aşağıdaki adımları kullanın:

1. Windows bilgisayarın mimarisine karşılık gelen VPN istemcisi yapılandırma dosyalarını seçin. 64 bit işlemci mimarisi için VpnClientSetupAmd64 yükleyici paketini seçin. 32 bit işlemci mimarisi için VpnClientSetupX86 yükleyici paketini seçin.

2. Paketi yüklemek için çift tıklayın. SmartScreen açılır penceresi görürseniz Diğer bilgiler>Yine de çalıştır'ı seçin.

3. İstemci bilgisayarda Ağ Ayarlar'ne gidin ve VPN'yi seçin. VPN bağlantısı, bağlandığı sanal ağın adını gösterir.

Mac (macOS) VPN istemcisi

1. VpnClientSetup mobileconfig dosyasını seçin ve her kullanıcıya gönderin. E-postayı veya başka bir yöntemi kullanabilirsiniz.

2. Mac'te mobileconfig dosyasını bulun.

   

3. İsteğe Bağlı Adım - Özel bir DNS belirtmek istiyorsanız, mobileconfig dosyasına aşağıdaki satırları ekleyin:

    <key>DNS</key>
    <dict>
      <key>ServerAddresses</key>
        <array>
            <string>10.0.0.132</string>
        </array>
      <key>SupplementalMatchDomains</key>
        <array>
            <string>TestDomain.com</string>
        </array>
    </dict> 
   

4. Yüklemek için profile çift tıklayın ve Devam'ı seçin. Profil adı, sanal ağınızın adıyla aynıdır.

   

5. Profili gönderene güvenmek için Devam'ı seçin ve yüklemeye devam edin.

   

6. Profil yüklemesi sırasında VPN kimlik doğrulaması için kullanıcı adını ve parolayı belirtebilirsiniz. Bu bilgileri girmek zorunlu değildir. Bunu yaparsanız, bilgiler kaydedilir ve bağlantı başlattığınızda otomatik olarak kullanılır. Devam etmek için Yükle'yi seçin.

   

7. Profili bilgisayarınıza yüklemek için gereken ayrıcalıklar için bir kullanıcı adı ve parola girin. Tamam'ı seçin.

   

8. Profil yüklendikten sonra Profiller iletişim kutusunda görünür. Bu iletişim kutusunu daha sonra Sistem Tercihleri'nden de açabilirsiniz.

   

9. VPN bağlantısına erişmek için Sistem Tercihleri'nden Ağ iletişim kutusunu açın.

   

10. VPN bağlantısı IkeV2-VPN olarak görünür. Mobileconfig dosyasını güncelleştirerek adı değiştirebilirsiniz.

    

11. Kimlik doğrulaması Ayarlar'ı seçin. Listeden Kullanıcı adı'nı seçin ve kimlik bilgilerinizi girin. Kimlik bilgilerini daha önce girdiyseniz, listede Kullanıcı adı otomatik olarak seçilir ve kullanıcı adı ve parola önceden doldurulur. Ayarları kaydetmek için Tamam'ı seçin.

    

12. Ağ iletişim kutusuna geri dönüp Uygula'yı seçerek değişiklikleri kaydedin. Bağlantıyı başlatmak için Bağlan'i seçin.

Linux VPN istemcisi - strongSwan

Aşağıdaki yönergeler Ubuntu 17.0.4 üzerinde strongSwan 5.5.1 aracılığıyla oluşturulmuştur. Gerçek ekranlar, Linux ve strongSwan sürümünüze bağlı olarak farklı olabilir.

1. Örnekte komutunu çalıştırarak strongSwan'ı ve Ağ Yöneticisi'ni yüklemek için Terminal'i açın. ile ilgili libcharon-extra-pluginsbir hata alırsanız, ile strongswan-plugin-eap-mschapv2değiştirin.

   sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan
   

2. Ağ Yöneticisi simgesini (yukarı ok/aşağı ok) seçin ve Bağlan yonları düzenle'yi seçin.

   

3. Yeni bir bağlantı oluşturmak için Ekle düğmesini seçin.

   

4. Açılan menüdeN IPsec/IKEv2 (strongswan) öğesini ve ardından Oluştur'u seçin. Bu adımda bağlantınızı yeniden adlandırabilirsiniz.

   

5. İndirilen istemci yapılandırma dosyalarının Genel klasöründen Vpn Ayarlar.xml dosyasını açın. adlı VpnServer etiketi bulun ve ile başlayıp azuregateway ile .cloudapp.netbiten adı kopyalayın.

   

6. Bu adı, Ağ Geçidi bölümündeki yeni VPN bağlantınızın Adres alanına yapıştırın. Ardından Sertifika alanının sonundaki klasör simgesini seçin, Genel klasörüne gidin ve VpnServerRoot dosyasını seçin.

7. Bağlantının İstemci bölümünde Kimlik Doğrulaması için EAP'yi seçin ve kullanıcı adınızı ve parolanızı girin. Bu bilgileri kaydetmek için sağdaki kilit simgesini seçmeniz gerekebilir. Ardından Kaydet’i seçin.

   

8. Ağ Yöneticisi simgesini (yukarı ok/aşağı ok) seçin ve VPN Bağlan ions'ın üzerine gelin. Oluşturduğunuz VPN bağlantısını görürsünüz. Bağlantıyı başlatmak için bağlantıyı seçin.

   

Azure sanal makinesi için ek adımlar

Yordamı Linux çalıştıran bir Azure sanal makinesinde yürütüyorsanız, gerçekleştirmeniz gereken ek adımlar vardır.

1. Arabirim için aşağıdaki parametreyi içerecek şekilde /etc/netplan/50-cloud-init.yaml dosyasını düzenleyin

   renderer: NetworkManager
   

2. Dosyayı düzenledikten sonra, yeni yapılandırmayı yüklemek için aşağıdaki iki komutu çalıştırın

   sudo netplan generate
   

   sudo netplan apply
   

3. Sanal makineyi durdurun/başlatın veya yeniden dağıtın.

Sonraki adımlar

P2S yapılandırmanızı tamamlamak için makaleye dönün.

P2S sorun giderme bilgileri için bkz . Azure noktadan siteye bağlantı sorunlarını giderme.