P2S VPN Gateway bağlantıları için sunucu ayarlarını yapılandırma - sertifika kimlik doğrulaması - Azure portalı

  • Makale

Bu makale, Windows, Linux veya macOS çalıştıran tek tek istemcileri bir Azure VNet'e güvenli bir şekilde bağlamanıza olanak sağlamak için gerekli VPN Gateway noktadan siteye (P2S) sunucu ayarlarını yapılandırmanıza yardımcı olur. P2S VPN bağlantıları, VNet'inize evden veya konferans gibi uzak bir konumdan bağlanmak istediğinizde kullanışlıdır. Sanal ağa (VNet) bağlanması gereken yalnızca birkaç istemciniz olduğunda siteden siteye (S2S) VPN yerine P2S de kullanabilirsiniz. P2S bağlantıları için VPN cihazı veya genel kullanıma yönelik IP adresi gerekmez.

Bir bilgisayardan Azure VNet'e bağlanmayı gösteren noktadan siteye bağlantı diyagramı.

P2S için çeşitli yapılandırma seçenekleri vardır. Noktadan siteye VPN hakkında daha fazla bilgi için bkz . Noktadan siteye VPN hakkında. Bu makale, sertifika kimlik doğrulaması ve Azure portalı kullanan bir P2S yapılandırması oluşturmanıza yardımcı olur. Azure PowerShell kullanarak bu yapılandırmayı oluşturmak için P2S yapılandırma - Sertifika - PowerShell makalesine bakın. RADIUS kimlik doğrulaması için P2S RADIUS makalesine bakın. Microsoft Entra kimlik doğrulaması için P2S Microsoft Entra Id makalesine bakın.

P2S Azure sertifika kimlik doğrulaması bağlantıları, bu alıştırmada yapılandırabileceğiniz aşağıdaki öğeleri kullanır:

  • RouteBased VPN ağ geçidi.
  • Azure’a yüklenmiş bir kök sertifikanın ortak anahtarı (.cer dosyası). Sertifika karşıya yüklendikten sonra güvenilir bir sertifika olarak kabul edilir ve kimlik doğrulaması için kullanılır.
  • Kök sertifikasından oluşturulan bir istemci sertifikası. Sanal ağa bağlanacak her istemci bilgisayarda yüklü olan istemci sertifikası. Bu sertifika, istemci kimlik doğrulaması için kullanılır.
  • VPN istemcisi yapılandırma dosyaları. VPN istemcisi, VPN istemcisi yapılandırma dosyaları kullanılarak yapılandırılır. Bu dosyalar, istemcinin sanal ağa bağlanması için gerekli bilgileri içerir. Bağlanan her istemcinin yapılandırma dosyalarındaki ayarlar kullanılarak yapılandırılması gerekir.

Önkoşullar

Azure aboneliğiniz olduğunu doğrulayın. Henüz Azure aboneliğiniz yoksa MSDN abonelik avantajlarınızı etkinleştirebilir veya ücretsiz bir hesap için kaydolabilirsiniz.

Örnek değerler

Aşağıdaki değerleri kullanarak bir test ortamı oluşturabilir veya bu makaledeki örnekleri daha iyi anlamak için bu değerlere bakabilirsiniz:

Sanal ağ

  • VNet Adı: VNet1
  • Adres alanı: 10.1.0.0/16
    Bu örnekte yalnızca bir adres alanı kullanılmaktadır. Sanal ağınıza ait birden fazla adres alanı olabilir.
  • Alt ağ adı: FrontEnd
  • Alt ağ adres aralığı: 10.1.0.0/24
  • Abonelik: Birden fazla aboneliğiniz varsa doğru aboneliği kullandığınızı doğrulayın.
  • Kaynak Grubu: TestRG1
  • Konum: Doğu ABD

Sanal ağ geçidi

  • Sanal ağ geçidi adı: VNet1GW
  • Ağ geçidi türü: VPN
  • VPN türü: Rota tabanlı
  • SKU: VpnGw2
  • Nesil: 2. Nesil
  • Ağ geçidi alt ağ adres aralığı: 10.1.255.0/27
  • Genel IP adresi adı: VNet1GWpip

Bağlan ion türü ve istemci adres havuzu

  • Bağlantı türü: Noktadan siteye
  • İstemci adres havuzu: 172.16.201.0/24
    Bu noktadan siteye bağlantıyı kullanarak sanal ağa bağlanan VPN istemcileri, istemci adres havuzundan bir IP adresi alır.

Sanal ağ oluşturma

Bu bölümde bir sanal ağ oluşturacaksınız. Bu yapılandırma için kullanılacak önerilen değerler için Örnek değerler bölümüne bakın.

Not

Şirket içi mimarinin bir parçası olarak bir sanal ağ kullandığınızda, bu sanal ağ için özel olarak kullanabileceğiniz bir IP adresi aralığı oluşturmak için şirket içi ağ yöneticinizle birlikte çalıştığınızdan emin olun. VPN bağlantısının her iki tarafında da yinelenen bir adres aralığı varsa trafik beklenmedik bir şekilde yönlendirilir. Ayrıca, bu sanal ağı başka bir sanal ağa bağlamak istiyorsanız, adres alanı diğer sanal ağ ile çakışamaz. Ağ yapılandırmanızı uygun şekilde planlayın.

  1. Azure Portal’ında oturum açın.

  2. Portal sayfasının üst kısmındaki Kaynak, hizmet ve belge arama (G+/) bölümüne sanal ağ girin. Sanal ağ sayfasını açmak için Market arama sonuçlarından Sanal ağ'ıseçin.

  3. Sanal ağ sayfasında Oluştur'u seçerek Sanal ağ oluştur sayfasını açın.

  4. Temel Bilgiler sekmesinde, Proje ayrıntıları ve Örnek ayrıntıları için sanal ağ ayarlarını yapılandırın. Girdiğiniz değerler doğrulandığında yeşil bir onay işareti görürsünüz. Örnekte gösterilen değerleri, ihtiyacınız olan ayarlara göre ayarlayabilirsiniz.

    Temel Bilgiler sekmesini gösteren ekran görüntüsü.

    • Abonelik: Listelenen aboneliğin doğru olduğunu onaylayın. Açılan kutuyu kullanarak abonelikleri değiştirebilirsiniz.
    • Kaynak grubu: Var olan bir kaynak grubunu seçin veya yeni bir grup oluşturmak için Yeni oluştur'u seçin. Kaynak grupları hakkında daha fazla bilgi için bkz. Azure Resource Manager’a genel bakış.
    • Ad: Sanal ağınızın adını girin.
    • Bölge: Sanal ağınızın konumunu seçin. Konum, bu sanal ağa dağıttığınız kaynakların nerede yaşayacağını belirler.

  5. Güvenlik sekmesine gitmek için İleri'yi veya Güvenlik'iseçin. Bu alıştırmada, bu sayfadaki tüm hizmetler için varsayılan değerleri bırakın.

  6. IP Adresleri sekmesine gitmek için IP Adresleri'niseçin. IP Adresleri sekmesinde ayarları yapılandırın.

    • IPv4 adres alanı: Varsayılan olarak, bir adres alanı otomatik olarak oluşturulur. Adres alanını seçip kendi değerlerinizi yansıtacak şekilde ayarlayabilirsiniz. Ayrıca farklı bir adres alanı ekleyebilir ve otomatik olarak oluşturulan varsayılanı kaldırabilirsiniz. Örneğin, başlangıç adresini 10.1.0.0 olarak belirtebilir ve adres alanı boyutunu /16 olarak belirtebilirsiniz. Ardından Ekle'yi seçerek bu adres alanını ekleyin.

    • + Alt ağ ekle: Varsayılan adres alanını kullanırsanız, otomatik olarak bir varsayılan alt ağ oluşturulur. Adres alanını değiştirirseniz, bu adres alanına yeni bir alt ağ ekleyin. Alt ağ ekle penceresini açmak için + Alt ağ ekle'yi seçin. Aşağıdaki ayarları yapılandırın ve ardından değerleri eklemek için sayfanın alt kısmındaki Ekle'yi seçin.

      • Alt ağ adı: FrontEnd örneğidir.
      • Alt ağ adres aralığı: Bu alt ağın adres aralığı. Örnek olarak 10.1.0.0 ve /24 verilebilir.

  7. IP adresleri sayfasını gözden geçirin ve ihtiyacınız olmayan tüm adres alanlarını veya alt ağları kaldırın.

  8. Sanal ağ ayarlarını doğrulamak için Gözden geçir ve oluştur'u seçin.

  9. Ayarlar doğrulandıktan sonra Oluştur'u seçerek sanal ağı oluşturun.

VPN ağ geçidini oluşturma

Bu adımda sanal ağınız için sanal ağ geçidi oluşturacaksınız. Bir ağ geçidinin oluşturulması, seçili ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir.

Not

Temel ağ geçidi SKU'su IKEv2 veya RADIUS kimlik doğrulamasını desteklemez. Mac istemcilerinin sanal ağınıza bağlanmasını planlıyorsanız Temel SKU'yu kullanmayın.

Sanal ağ geçidi, GatewaySubnet adlı belirli bir alt ağ gerektirir. Ağ geçidi alt ağı, sanal ağınızın IP adresi aralığının bir parçasıdır ve sanal ağ geçidi kaynaklarının ve hizmetlerinin kullandığı IP adreslerini içerir.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Gerekli IP adresi sayısı, oluşturmak istediğiniz VPN ağ geçidi yapılandırmasına bağlıdır. Bazı yapılandırmalar için diğerlerinden daha fazla IP adresi gerekir. Ağ geçidi alt ağınız için /27 veya daha büyük (/26, /25 vb.) belirtmeniz en iyisidir.

Adres alanının bir alt ağ ile çakıştığını veya alt ağın sanal ağınızın adres alanında yer almadığını belirten bir hata görürseniz, sanal ağ adres aralığınızı denetleyin. Sanal ağınız için oluşturduğunuz adres aralığında yeterli IP adresiniz olmayabilir. Örneğin, varsayılan alt ağınız tüm adres aralığını kapsıyorsa, daha fazla alt ağ oluşturmak için ip adresi kalmaz. IP adreslerini boşaltmak için mevcut adres alanında alt ağlarınızı ayarlayabilir veya başka bir adres aralığı belirtip ağ geçidi alt akını orada oluşturabilirsiniz.

  1. Kaynakları, hizmetleri ve belgeleri ara (G+/) alanına sanal ağ geçidi girin. Market arama sonuçlarında Sanal ağ geçidinibulun ve sanal ağ geçidi oluştur sayfasını açmak için seçin.

    Arama alanını gösteren ekran görüntüsü.

  2. Temel Bilgiler sekmesinde Proje ayrıntıları ve Örnek ayrıntıları değerlerini doldurun.

    Örnek alanlarını gösteren ekran görüntüsü.

    • Abonelik: Açılan listeden kullanmak istediğiniz aboneliği seçin.

    • Kaynak grubu: Bu sayfada sanal ağınızı seçtiğinizde bu ayar otomatik olarak doldurulur.

    • Ad: Ağ geçidinizi adlandırın. Ağ geçidinizi adlandırmak, ağ geçidi alt akını adlandırmayla aynı değildir. Oluşturduğunuz ağ geçidi nesnesinin adıdır.

    • Bölge: Bu kaynağı oluşturmak istediğiniz bölgeyi seçin. Ağ geçidinin bölgesi sanal ağ ile aynı olmalıdır.

    • Ağ geçidi türü: VPN’i seçin. VPN ağ geçitleri, VPN sanal ağ geçidi türünü kullanır.

    • SKU: Açılan listeden, kullanmak istediğiniz özellikleri destekleyen ağ geçidi SKU'sunu seçin. Bkz. Ağ geçidi SKU'ları. Portalda, açılan listede bulunan SKU'lar seçtiğinize VPN type bağlıdır. Temel SKU yalnızca Azure CLI veya PowerShell kullanılarak yapılandırılabilir. Azure portalında Temel SKU'yu yapılandıramazsınız.

    • Oluşturma: Kullanmak istediğiniz nesli seçin. 2. Nesil SKU kullanmanızı öneririz. Daha fazla bilgi için bkz. Ağ geçidi SKU'ları.

    • Sanal ağ: Açılan listeden, bu ağ geçidini eklemek istediğiniz sanal ağı seçin. Ağ geçidi oluşturmak istediğiniz sanal ağı göremiyorsanız, önceki ayarlarda doğru aboneliği ve bölgeyi seçtiğinizden emin olun.

    • Ağ geçidi alt ağ adres aralığı veya Alt Ağ: Vpn ağ geçidi oluşturmak için ağ geçidi alt ağı gereklidir.

      Şu anda bu alan, sanal ağ adres alanına ve sanal ağınız için GatewaySubnet adlı bir alt ağ oluşturup oluşturmadığınıza bağlı olarak birkaç farklı davranışa sahiptir.

      Ağ geçidi alt ağınız yoksa ve bu sayfada bir ağ geçidi oluşturma seçeneğini görmüyorsanız, sanal ağınıza dönün ve ağ geçidi alt ağını oluşturun. Ardından bu sayfaya dönün ve VPN ağ geçidini yapılandırın.

  1. Genel IP adresi değerlerini belirtin. Bu ayarlar, VPN ağ geçidiyle ilişkilendirilen genel IP adresi nesnesini belirtir. VPN ağ geçidi oluşturulduğunda genel IP adresi bu nesneye atanır. Birincil genel IP adresinin değiştiği tek zaman, ağ geçidinin silinip yeniden oluşturulmasıdır. VPN ağ geçidiniz üzerinde gerçekleştirilen yeniden boyutlandırma, sıfırlama veya diğer iç bakım/yükseltme işlemleri sırasında değişmez.

    Genel IP adresi alanını gösteren ekran görüntüsü.

    • Genel IP adresi türü: Bu alıştırmada, adres türünü belirleme seçeneğiniz varsa Standart'ı seçin.
    • Genel IP adresi: Yeni oluştur'u seçili bırakın.
    • Genel IP adresi adı: Metin kutusuna genel IP adresi örneğinin adını girin.
    • Genel IP adresi SKU'su: Ayar otomatik olarak seçilir.
    • Atama: Atama genellikle otomatik olarak seçilir ve Dinamik veya Statik olabilir.
    • Etkin-etkin modu etkinleştir: Devre Dışı'nı seçin. Bu ayarı yalnızca etkin-etkin ağ geçidi yapılandırması oluşturuyorsanız etkinleştirin.
    • BGP'yi yapılandırma: Yapılandırmanız bu ayarı özellikle gerektirmediği sürece Devre Dışı'yı seçin. Bu ayarı zorunlu kılarsanız, varsayılan ASN 65515'tir, ancak bu değer değiştirilebilir.

  2. Doğrulamayı çalıştırmak için Gözden geçir + oluştur'u seçin.

  3. Doğrulama geçtikten sonra OLUŞTUR'u seçerek VPN ağ geçidini dağıtın.

Dağıtım durumunu ağ geçidinizin Genel Bakış sayfasında görebilirsiniz. Ağ geçidi oluşturulduktan sonra, portaldaki sanal ağa bakarak kendisine atanmış OLAN IP adresini görüntüleyebilirsiniz. Ağ geçidi bağlı bir cihaz gibi görüntülenir.

Önemli

Ağ geçidi alt ağlarıyla çalışırken ağ güvenlik grubunu (NSG) ağ geçidi alt ağıyla ilişkilendirmekten kaçının. Bir ağ güvenlik grubunun bu alt ağ ile ilişkilendirilmesi, sanal ağ geçidinizin (VPN ve ExpressRoute ağ geçitleri) beklendiği gibi çalışmayı durdurmasına neden olabilir. Ağ güvenlik grupları hakkında daha fazla bilgi için bkz . Ağ güvenlik grubu nedir?.

İstemci sertifikaları oluşturma

Sertifikalar Azure tarafından noktadan siteye VPN bağlantısı üzerinden sanal ağa bağlanan istemcilerin kimliğini doğrulamak için kullanılır. Kök sertifika edindiğinizde, ortak anahtar bilgilerini Azure'a yüklersiniz. Ardından kök sertifika, P2S üzerinden sanal ağa bağlantı için Azure tarafından 'güvenilir' olarak kabul edilir.

Ayrıca, güvenilen kök sertifikadan istemci sertifikaları da oluşturur ve bunları her bir istemci bilgisayara yüklersiniz. İstemci sertifikası, sanal ağ ile bağlantı başlattığında istemcinin kimliğini doğrulamak için kullanılır.

Kök sertifika, sonraki bölümlerde noktadan siteye yapılandırmanızı oluşturmadan önce oluşturulup ayıklanmalıdır.

Kök sertifika oluşturma

Kök sertifika için .cer dosyasını alın. Kurumsal çözümle oluşturulmuş bir kök sertifika kullanabilir (önerilir) veya otomatik olarak imzalanan bir sertifika oluşturabilirsiniz. Kök sertifikayı oluşturduktan sonra, genel sertifika verilerini (özel anahtar değil) Base64 kodlanmış X.509 .cer dosyası olarak dışarı aktarın. Bu dosyayı daha sonra Azure'a yüklersiniz.

  • Kurumsal sertifika: Kurumsal bir çözüm kullanıyorsanız mevcut sertifika zincirinizi kullanabilirsiniz. Kullanmak istediğiniz kök sertifika için .cer dosyasını alın.

  • Otomatik olarak imzalanan kök sertifika: Kurumsal sertifika çözümü kullanmıyorsanız, otomatik olarak imzalanan bir kök sertifika oluşturun. Aksi takdirde, oluşturduğunuz sertifikalar P2S bağlantılarınızla uyumlu olmaz ve istemciler bağlanmaya çalıştıklarında bir bağlantı hatası alır. Azure PowerShell, MakeCert veya OpenSSL kullanabilirsiniz. Aşağıdaki makalelerdeki adımlar, uyumlu bir otomatik olarak imzalanan kök sertifikanın nasıl oluşturulacağı açıklanmaktadır:

    • Windows 10 veya üzeri için PowerShell yönergeleri: Bu yönergeler, Windows 10 veya üzeri çalıştıran bir bilgisayarda PowerShell gerektirir. Kök sertifikadan oluşturulan istemci sertifikaları tüm desteklenen P2S istemcilere yüklenebilir.
    • MakeCert yönergeleri: Windows 10 veya üzerini çalıştıran bir bilgisayara erişiminiz yoksa sertifika oluşturmak için MakeCert kullanın. MakeCert kullanımdan kaldırılmış olsa da sertifika oluşturmak için bunu kullanmaya devam edebilirsiniz. Kök sertifikadan oluşturduğunuz istemci sertifikaları desteklenen herhangi bir P2S istemcisine yüklenebilir.
    • Linux - OpenSSL yönergeleri
    • Linux - strongSwan yönergeleri

İstemci sertifikaları oluşturma

Noktadan siteye bağlantısı olan bir sanal ağa bağladığınız her istemci bilgisayarda bir istemci sertifikası yüklü olmalıdır. Kök sertifikadan oluşturur ve her istemci bilgisayara yüklersiniz. Geçerli bir istemci sertifikası yüklemezseniz, istemci sanal ağa bağlanmaya çalıştığında kimlik doğrulaması başarısız olur.

Her istemci için benzersiz bir sertifika oluşturabileceğiniz gibi, birden çok istemci için aynı sertifikayı da kullanabilirsiniz. Benzersiz istemci sertifikaları oluşturmanın avantajı, tek bir sertifikayı iptal edebiliyor olmanızdır. Aksi takdirde, birden çok istemci kimlik doğrulaması yapmak için aynı istemci sertifikasını kullanır ve bunu iptal ederseniz, bu sertifikayı kullanan her istemci için yeni sertifikalar oluşturmanız ve yüklemeniz gerekir.

aşağıdaki yöntemleri kullanarak istemci sertifikaları oluşturabilirsiniz:

  • Kurumsal sertifika:

    • Kurumsal sertifika çözümü kullanıyorsanız ortak ad değeri biçiminde name@yourdomain.combir istemci sertifikası oluşturun. Etki alanı adı\kullanıcı adı biçimi yerine bu biçimi kullanın.

    • İstemci sertifikasının, kullanıcı listesindeki ilk öğe olarak İstemci Kimlik Doğrulaması'nın listelendiği bir kullanıcı sertifikası şablonunu temel aldığından emin olun. Sertifikaya çift tıklayıp Ayrıntılar sekmesinde Gelişmiş Anahtar Kullanımı'nı görüntüleyerek sertifikayı denetleyin.

  • Otomatik olarak imzalanan kök sertifika: Oluşturduğunuz istemci sertifikalarının P2S bağlantılarınızla uyumlu olması için aşağıdaki P2S sertifika makalelerinden birinde yer alan adımları izleyin.

    Otomatik olarak imzalanan bir kök sertifikadan bir istemci sertifikası oluşturduğunuzda, otomatik olarak bunu oluşturmak için kullandığınız bilgisayara yüklenir. Başka bir istemci bilgisayara bir istemci sertifikası yüklemek istiyorsanız, sertifika zincirinin tamamıyla birlikte .pfx dosyası olarak dışarı aktarın. Bunu yaptığınızda, istemcinin kimlik doğrulaması için gereken kök sertifika bilgilerini içeren bir .pfx dosyası oluşturulur.

    Bu makalelerdeki adımlar, daha sonra dışarı aktarabileceğiniz ve dağıtabileceğiniz uyumlu bir istemci sertifikası oluşturur.

    • Windows 10 veya üzeri PowerShell yönergeleri: Bu yönergeler, sertifika oluşturmak için Windows 10 veya üzerini ve PowerShell'i gerektirir. Oluşturulan sertifikalar desteklenen herhangi bir P2S istemcisine yüklenebilir.

    • MakeCert yönergeleri: Sertifika oluşturmak için Windows 10 veya sonraki bir bilgisayara erişiminiz yoksa MakeCert kullanın. MakeCert kullanımdan kaldırılmış olsa da sertifika oluşturmak için bunu kullanmaya devam edebilirsiniz. Oluşturulan sertifikaları desteklenen herhangi bir P2S istemcisine yükleyebilirsiniz.

    • Linux yönergeleri.

Adres havuzunu ekleme

Noktadan siteye yapılandırma sayfası, P2S VPN için gereken yapılandırma bilgilerini içerir. Tüm P2S ayarları yapılandırıldıktan ve ağ geçidi güncelleştirildikten sonra, P2S VPN ayarlarını görüntülemek veya değiştirmek için Noktadan siteye yapılandırma sayfası kullanılır.

  1. Önceki bölümde oluşturduğunuz ağ geçidine gidin.
  2. Sol bölmede Noktadan siteye yapılandırma'yı seçin.
  3. Yapılandırma sayfasını açmak için Şimdi yapılandır’a tıklayın.

İstemci adres havuzu, belirttiğiniz özel IP adresleri aralığıdır. Noktadan siteye VPN üzerinden bağlanan istemciler bu aralıktan dinamik olarak bir IP adresi alır. Bağlandığınız şirket içi konum veya bağlanmak istediğiniz sanal ağ ile çakışmayan bir özel IP adresi aralığı kullanın. Birden çok protokol yapılandırıyorsanız ve SSTP protokollerden biriyse, yapılandırılan adres havuzu yapılandırılmış protokoller arasında eşit olarak bölünür.

Noktadan siteye yapılandırma sayfasının ekran görüntüsü - adres havuzu.

  1. Noktadan siteye yapılandırma sayfasında, Adres havuzu kutusunda kullanmak istediğiniz özel IP adresi aralığını ekleyin. VPN istemcileri, belirttiğiniz aralıktan dinamik olarak bir IP adresi alır. En düşük alt ağ maskesi etkin/pasif için 29 bit ve etkin/etkin yapılandırma için 28 bittir.

  2. Ardından, tünel ve kimlik doğrulama türünü yapılandırın.

Tünel ve kimlik doğrulama türünü belirtme

Not

Noktadan siteye yapılandırma sayfasında tünel türü veya kimlik doğrulama türü görmüyorsanız ağ geçidiniz Temel SKU kullanıyordur. Temel SKU, IKEv2 veya RADIUS kimlik doğrulamasını desteklemez. Bu ayarları kullanmak istiyorsanız farklı bir ağ geçidi SKU'su kullanarak ağ geçidini silmeniz ve yeniden oluşturmanız gerekir.

Bu bölümde, tünel türünü ve kimlik doğrulama türünü belirtirsiniz. Bu ayarlar, ihtiyacınız olan tünel türüne ve kullanıcının işletim sisteminden bağlantı oluşturmak için kullanılacak VPN istemci yazılımına bağlı olarak karmaşık hale gelebilir. Bu makaledeki adımlar, temel yapılandırma ayarları ve seçeneklerinde size yol gösterir.

Açılan listeden IKEv2 ve OpenVPN(SSL) veya IKEv2 ve SSTP (SSL) gibi birden çok tünel türü içeren seçenekleri belirleyebilirsiniz, ancak yalnızca belirli tünel türleri ve kimlik doğrulama türleri bileşimleri desteklenir. Örneğin, Microsoft Entra kimlik doğrulaması yalnızca tünel türü açılan listesinden OpenVPN (SSL) seçeneğini belirlediğinizde kullanılabilir; IKEv2 ve OpenVPN(SSL) için kullanılamaz.

Ayrıca, seçtiğiniz tünel türü ve kimlik doğrulama türü, Azure'a bağlanmak için kullanılabilecek VPN istemci yazılımını etkiler. Bazı VPN istemci yazılımları yalnızca IKEv2 aracılığıyla bağlanabilir, diğerleri ise yalnızca OpenVPN aracılığıyla bağlanabilir. Bazı istemci yazılımları, belirli bir tünel türünü desteklerken seçtiğiniz kimlik doğrulama türünü desteklemeyebilir.

Görebileceğiniz gibi, farklı işletim sistemlerinden bağlanan çeşitli VPN istemcileriniz olduğunda tünel türünü ve kimlik doğrulama türünü planlamak önemlidir. Tünel türünüzü Azure sertifika kimlik doğrulamasıyla birlikte seçtiğinizde aşağıdaki ölçütleri göz önünde bulundurun. Diğer kimlik doğrulama türlerinin dikkate alınması gereken farklı noktaları vardır.

  • Windows:

    • İşletim sisteminde zaten yüklü olan yerel VPN istemcisi aracılığıyla bağlanan Windows bilgisayarları önce IKEv2'yi dener ve bu bağlanmazsa SSTP'ye geri dönerler (tünel türü açılan listesinden hem IKEv2 hem de SSTP'yi seçtiyseniz).
    • OpenVPN tünel türünü seçerseniz, OpenVPN İstemcisi veya Azure VPN İstemcisi kullanarak bağlanabilirsiniz.
    • Azure VPN İstemcisi, özel yollar ve zorlamalı tünel gibi ek isteğe bağlı yapılandırma ayarlarını destekleyebilir.

  • macOS ve iOS:

    • iOS ve macOS için yerel VPN istemcisi, Azure'a bağlanmak için yalnızca IKEv2 tünel türünü kullanabilir.
    • OpenVPN tünel türünü seçseniz bile Azure VPN İstemcisi şu anda sertifika kimlik doğrulaması için desteklenmez.
    • Sertifika kimlik doğrulaması ile OpenVPN tünel türünü kullanmak istiyorsanız, bir OpenVPN istemcisi kullanabilirsiniz.
    • macOS için Azure VPN İstemcisi'ni OpenVPN tünel türü ve Microsoft Entra kimlik doğrulaması (sertifika kimlik doğrulamasıyla değil) ile kullanabilirsiniz.

  • Android ve Linux:

    • Android ve Linux üzerindeki strongSwan istemcisi bağlanmak için yalnızca IKEv2 tünel türünü kullanabilir. OpenVPN tünel türünü kullanmak istiyorsanız farklı bir VPN istemcisi kullanın.

Tünel türü

Noktadan siteye yapılandırma sayfasında Tünel türünü seçin. Bu alıştırma için açılan listeden IKEv2 ve OpenVPN(SSL) seçeneklerini belirleyin.

Noktadan siteye yapılandırma sayfasının ekran görüntüsü - tünel türü.

Authentication type

Bu alıştırma için kimlik doğrulama türü için Azure sertifikası'nı seçin. Diğer kimlik doğrulama türleriyle ilgileniyorsanız Microsoft Entra Id ve RADIUS makalelerine bakın.

Noktadan siteye yapılandırma sayfasının ekran görüntüsü - kimlik doğrulama türü.

Kök sertifika ortak anahtar bilgilerini karşıya yükleme

Bu bölümde, genel kök sertifika verilerini Azure'a yüklersiniz. Ortak sertifika verileri karşıya yüklendikten sonra Azure, güvenilir kök sertifikadan oluşturulmuş bir istemci sertifikasının yüklü olduğu istemcilerin kimliklerini doğrulamak için bu dosyayı kullanabilir.

  1. Kök sertifikayı Base-64 ile kodlanmış X.509 ( olarak dışarı aktardığınızdan emin olun. ÖNCEKI adımlarda CER) dosyasını seçin. Sertifikayı metin düzenleyiciyle açabilmek için bu biçimde dışa aktarmanız gerekir. Özel anahtarı dışarı aktarmanız gerekmez.

  2. Sertifikayı Not Defteri gibi bir metin düzenleyiciyle açın. Sertifika verilerini kopyalarken, metni satır başları ya da satır besleme karakterleri içermeyen tek ve kesintisiz bir satır şeklinde kopyaladığınızdan emin olun. Satır başlarını ve satır besleme karakterlerini görmek için metin düzenleyicisindeki görünümünüzü 'Sembolü Göster/Tüm karakterleri göster' olarak değiştirmeniz gerekebilir. Yalnızca aşağıdaki bölümü kesintisiz bir satır olarak kopyalayın:

    Not Defteri kök sertifika bilgilerini gösteren ekran görüntüsü.

  3. Kök sertifika bölümündeki Sanal ağ geçidi -> Noktadan siteye yapılandırma sayfanıza gidin. Bu bölüm yalnızca kimlik doğrulama türü için Azure sertifikası seçtiyseniz görünür.

  4. Kök sertifika bölümünde en fazla 20 güvenilen kök sertifika ekleyebilirsiniz.

    • Sertifika verilerini Genel sertifika verileri alanına yapıştırın.
    • Sertifikayı adlandırın .

    Sertifika veri alanının ekran görüntüsü.

  5. Bu alıştırma için ek yollar gerekli değildir. Özel yönlendirme özelliği hakkında daha fazla bilgi için bkz . Özel yolları tanıtma.

  6. Tüm yapılandırma ayarlarını kaydetmek için sayfanın üst kısmındaki Kaydet'i seçin.

    Kaydet'in seçili olduğu P2S yapılandırmasının ekran görüntüsü.

Dışarı aktarılan istemci sertifikayı yükleme

Bağlanmak isteyen her VPN istemcisinin bir istemci sertifikası olması gerekir. bir istemci sertifikası oluşturduğunuzda, kullandığınız bilgisayar genellikle istemci sertifikasını sizin için otomatik olarak yükler. Başka bir bilgisayardan P2S bağlantısı oluşturmak istiyorsanız, bağlanmak isteyen bilgisayara bir istemci sertifikası yüklemeniz gerekir. Bir istemci sertifikası yüklenirken, istemci sertifikası dışarı aktarılırken oluşturulan parola gerekir.

İstemci sertifikasının tüm sertifika zinciriyle birlikte .pfx dosyası olarak (varsayılan seçenek) dışarı aktarılmadığından emin olun. Aksi takdirde kök sertifika bilgileri istemci bilgisayarda bulunmaz ve istemci, kimliğini düzgün bir biçimde doğrulayamaz.

Yükleme adımları için bkz. İstemci sertifikası yükleme.

VPN istemcilerini yapılandırma ve Azure'a bağlanma

Her VPN istemcisi, oluşturup indirdiğiniz bir VPN istemci profili yapılandırma paketindeki dosyalar kullanılarak yapılandırılır. Yapılandırma paketi, oluşturduğunuz VPN ağ geçidine özgü ayarları içerir. Ağ geçidinde tünel türünü, sertifikayı veya kimlik doğrulama türünü değiştirme gibi değişiklikler yaparsanız, başka bir VPN istemcisi profili yapılandırma paketi oluşturmanız ve her istemciye yüklemeniz gerekir. Aksi takdirde VPN istemcileriniz bağlanamayabilir.

VPN istemci profili yapılandırma paketi oluşturma, VPN istemcilerinizi yapılandırma ve Azure'a bağlanma adımları için aşağıdaki makalelere bakın:

Bağlantınızı doğrulamak için

Bu yönergeler, Windows istemcileri için geçerlidir.

  1. VPN bağlantınızın etkin olduğunu doğrulamak için, yükseltilmiş bir komut istemi açın ve ipconfig/all komutunu çalıştırın.

  2. Sonuçlara bakın. Aldığınız IP adresinin, yapılandırmanızda belirttiğiniz noktadan siteye VPN İstemciSi Adres Havuzu'ndaki adreslerden biri olduğuna dikkat edin. Sonuçları şu örneğe benzer:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Sanal makineye bağlanma

Bu yönergeler, Windows istemcileri için geçerlidir.

SANAL makinenize uzak masaüstü Bağlan oluşturarak sanal ağınıza dağıtılan bir VM'ye bağlanabilirsiniz. Sanal makinenize bağlanabildiğinizi doğrulamanın en iyi yolu, bilgisayar yerine özel IP adresini kullanarak bağlantı kurmaktır. Bu şekilde, ad çözümlemenin düzgün yapılandırılıp yapılandırılmadığını değil bağlanıp bağlanamayacağınızı test edersiniz.

  1. Özel IP adresini bulun. Azure portalında VM'nin özelliklerine bakarak veya PowerShell kullanarak vm'nin özel IP adresini bulabilirsiniz.

    • Azure portalı: Azure portalında VM'nizi bulun. VM’nin özelliklerini görüntüleyin. Özel IP adresi listelenir.

    • PowerShell: Örneği kullanarak kaynak gruplarınızdaki VM'lerin ve özel IP adreslerinin listesini görüntüleyin. Bu örneği kullanmadan önce değiştirmeniz gerekmez.

      $VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null

foreach ($Nic in $Nics) {
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}

  2. Sanal ağınıza bağlı olduğunuzu doğrulayın.

  3. Görev çubuğundaki arama kutusuna RDP veya Uzak Masaüstü Bağlan ion girerek Uzak Masaüstü Bağlan ion'ı açın. Ardından Uzak Masaüstü Bağlan'ı seçin. PowerShell'de komutunu kullanarak Uzak Masaüstü Bağlan ion'ımstsc da açabilirsiniz.

  4. Uzak Masaüstü Bağlan ion'da VM'nin özel IP adresini girin. Diğer ayarları yapmak ve ardından bağlanmak için Seçenekleri Göster'i seçebilirsiniz.

VPN bağlantınız üzerinden bir VM'ye bağlanırken sorun yaşıyorsanız aşağıdaki noktaları denetleyin:

  • VPN bağlantınızın başarılı olduğunu doğrulayın.
  • VM'nin özel IP adresine bağlandığınızı doğrulayın.
  • Sanal makineye bilgisayar adını değil özel IP adresini kullanarak bağlanabiliyorsanız, DNS'yi doğru yapılandırdığınızdan emin olun. VM'lerde ad çözümlemenin nasıl çalıştığı hakkında daha fazla bilgi için bkz . VM'ler için ad çözümlemesi.

RDP bağlantıları hakkında daha fazla bilgi için bkz. Bir VM ile Uzak Masaüstü bağlantılarında sorun giderme.

  • Sanal ağ için DNS sunucusu IP adresleri belirtildikten sonra VPN istemci yapılandırma paketinin oluşturulduğunu doğrulayın. DNS sunucusu IP adreslerini güncelleştirdiyseniz, yeni bir VPN istemci yapılandırma paketi oluşturup yükleyin.

  • Bağlanmakta olduğunuz bilgisayardaki Ethernet bağdaştırıcısına atanan IPv4 adresini denetlemek için 'ipconfig' kullanın. IP adresi, bağlandığınız sanal ağın adres aralığında veya VPNClientAddressPool adres aralığı içindeyse, bu, çakışan adres alanı olarak adlandırılır. Adres alanınız bu şekilde çakıştığında, ağ trafiği Azure’a ulaşmaz ve yerel ağda kalır.

Güvenilen kök sertifika ekleme veya kaldırma

Azure’da güvenilen kök sertifikayı ekleyebilir veya kaldırabilirsiniz. Bir kök sertifikayı kaldırdığınızda, bu kökten oluşturulmuş bir sertifikaya sahip istemciler kimlik doğrulaması yapamaz ve bu nedenle bağlanamaz. Bir istemcinin kimlik doğrulaması yapmasını ve bağlanmasını istiyorsanız, Azure’da güvenilen (karşıya yüklenmiş) bir kök sertifikadan oluşturulmuş yeni bir istemci sertifikası yüklemeniz gerekir.

Azure'a en fazla 20 güvenilen kök sertifika .cer dosyası ekleyebilirsiniz. Yönergeler için Güvenilen kök sertifikayı karşıya yükleme bölümüne bakın.

Güvenilen kök sertifikayı kaldırmak için:

  1. Sanal ağ geçidinizin Noktadan siteye yapılandırma sayfasına gidin.
  2. Sayfanın Kök sertifika bölümünde, kaldırmak istediğiniz sertifikayı bulun.
  3. Sertifikanın yanındaki üç noktayı ve ardından Kaldır'ı seçin.

İstemci sertifikasını iptal etmek için

İstemci sertifikalarını iptal edebilirsiniz. Sertifika iptal listesi, tek tek istemci sertifikalarını temel alarak P2S bağlantısını seçmeli olarak reddetmenizi sağlar. Bu, güvenilen kök sertifika kaldırma işleminden farklıdır. Azure’dan güvenilen kök sertifika .cer dosyasını kaldırırsanız iptal edilen kök sertifika tarafından oluşturulan/imzalanan tüm istemci sertifikaları reddedilir. Kök sertifika yerine istemci sertifikasını iptal etmek, kök sertifikadan oluşturulan diğer sertifikaların kimlik doğrulaması amacıyla kullanılmaya devam edilmesine olanak sağlar.

Genellikle ekip ve kuruluş düzeylerinde erişimi yönetmek için kök sertifika kullanılırken ayrı kullanıcılar üzerinde ayrıntılı erişim denetimi için iptal edilen istemci sertifikaları kullanılır.

Parmak izini iptal listesine ekleyerek bir istemci sertifikasını iptal edebilirsiniz.

  1. İstemci sertifikasının parmak izini alın. Daha fazla bilgi için bkz. Bir Sertifikanın Parmak İzini alma.
  2. Bilgileri bir metin düzenleyicisine kopyalayın ve sürekli bir dize olması için tüm boşlukları kaldırın.
  3. Sanal ağ geçidi Noktadan siteye yapılandırma sayfasına gidin. Bu, güvenilen kök sertifika yüklemek için kullandığınız sayfanın aynısıdır.
  4. İptal edilen sertifikalar bölümünde, sertifika için bir kolay ad girin (sertifika genel adından farklı olabilir).
  5. Parmak izi dizesini kopyalayın ve Parmak izi alanına yapıştırın.
  6. Parmak izi doğrulanır ve otomatik olarak iptal listesine eklenir. Ekranda listenin güncelleştirildiğini belirten bir ileti görünür.
  7. Güncelleştirme tamamlandıktan sonra sertifika artık bağlanmak için kullanılamaz. Bu sertifikayı kullanarak bağlanmaya çalışan istemciler sertifikanın artık geçerli olmadığını belirten bir ileti alır.

Noktadan siteye hakkında SSS

Sık sorulan sorular için bkz . SSS.

Sonraki adımlar

Bağlantınız tamamlandıktan sonra sanal ağlarınıza sanal makineler ekleyebilirsiniz. Daha fazla bilgi için bkz. Sanal Makineler. Ağ ve sanal makineler hakkında daha fazla bilgi edinmek için, bkz. Azure ve Linux VM ağına genel bakış.

P2S sorun giderme bilgileri için Azure noktadan siteye bağlantıları sorununu giderme.