您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

关于点到站点 VPN

点到站点 (P2S) VPN 网关连接用于创建从单个客户端计算机到虚拟网络的安全连接。 可通过从客户端计算机启动连接来建立 P2S 连接。 对于要从远程位置(例如从家里或会议室)连接到 Azure VNet 的远程工作者,此解决方案很有用。 如果只有一些客户端需要连接到 VNet,则还可以使用 P2S VPN 这一解决方案来代替 S2S VPN。 本文适用于 Resource Manager 部署模型。

P2S 使用哪种协议?

点到站点 VPN 可使用以下协议之一:

  • OpenVPN® 协议,一种基于 SSL/TLS 的 VPN 协议。 由于大多数防火墙都会打开 TLS 所用的出站 TCP 端口 443,因此 TLS VPN 解决方案可以穿透防火墙。 OpenVPN 可用于从 Android、iOS(11.0 及更高版本)、Windows、Linux 和 Mac 设备(OSX 10.13 及更高版本)进行连接。

  • 安全套接字隧道协议 (SSTP),一个基于 TLS 的专属 VPN 协议。 由于大多数防火墙都会打开 TLS 所用的出站 TCP 端口 443,因此 TLS VPN 解决方案可以穿透防火墙。 只有 Windows 设备支持 SSTP。 Azure 支持所有采用 SSTP 的 Windows 版本(Windows 7 和更高版本)。

  • IKEv2 VPN,这是一种基于标准的 IPsec VPN 解决方案。 IKEv2 VPN 可用于从 Mac 设备进行连接(OSX 10.11 和更高版本)。

备注

P2S 的 IKEv2 和 OpenVPN 仅可用于资源管理器部署模型。 它们不可用于经典部署模型。

如何对 P2S VPN 客户端进行身份验证?

在 Azure 接受 P2S VPN 连接之前,必须先对用户进行身份验证。 Azure 提供两种机制用于对连接方用户进行身份验证。

使用本机 Azure 证书身份验证进行身份验证

使用本机 Azure 证书身份验证时,设备上的客户端证书用于对连接方用户进行身份验证。 客户端证书从受信任的根证书生成,并安装在每台客户端计算机上。 可以使用通过企业解决方案生成的根证书,也可以生成自签名证书。

客户端证书的验证由 VPN 网关执行,在建立 P2S VPN 连接期间发生。 验证时需要使用根证书,必须将该证书上传到 Azure。

使用本机 Azure Active Directory 身份验证进行身份验证

Azure AD 身份验证允许用户使用其 Azure Active Directory 凭据连接到 Azure。 本机 Azure VPN 身份验证只有 OpenVPN 协议和 Windows 10 支持,并且需要使用 Azure VPN Client

凭借本机 Azure AD 身份验证,你可以利用 Azure AD 的条件访问以及适用于 VPN 的多重身份验证 (MFA) 功能。

大致说来,需要执行以下步骤来配置 Azure AD 身份验证:

  1. 配置 Azure AD 租户

  2. 在网关上启用 Azure AD 身份验证

  3. 下载并配置 Azure VPN Client

使用 Active Directory (AD) 域服务器进行身份验证

AD 域身份验证可让用户使用其组织域凭据连接到 Azure。 它需要一台与 AD 服务器集成的 RADIUS 服务器。 组织也可以利用其现有的 RADIUS 部署。

可将 RADIUS 服务器部署到本地或 Azure VNet 中。 在身份验证期间,Azure VPN 网关充当传递设备,在 RADIUS 服务器与连接方设备之间来回转发身份验证消息。 因此,RADIUS 服务器必须能够访问网关。 如果 RADIUS 服务器位于本地,需要建立从 Azure 到本地站点的 VPN S2S 连接,才能实现这种访问。

RADIUS 服务器还能与 AD 证书服务集成。 这样,便可以使用 RADIUS 服务器以及用于 P2S 证书身份验证的企业证书部署,作为 Azure 证书身份验证的替代方法。 此方法的优点是不需要将根证书和吊销的证书上传到 Azure。

RADIUS 服务器还能与其他外部标识系统集成。 这样就为 P2S VPN 提供了大量的身份验证选项,包括多重身份验证选项。

显示本地站点中的点到站点 VPN 的图示。

客户端配置要求是什么?

备注

对于 Windows 客户端,你必须具有客户端设备上的管理员权限,才能发起从客户端设备到 Azure 的 VPN 连接。

用户使用 Windows 和 Mac 设备上的本机 VPN 客户端建立 P2S 连接。 Azure 提供一个 VPN 客户端配置 zip 文件,其中包含这些本机客户端连接到 Azure 时所需的设置。

  • 对于 Windows 设备,VPN 客户端配置包括用户在其设备上安装的安装程序包。
  • 对于 Mac 设备,该配置包括用户在其设备上安装的 mobileconfig 文件。

该 zip 文件还提供 Azure 端上的一些重要设置的值,使用这些设置可为这些设备创建你自己的配置文件。 其中一些值包括 VPN 网关地址、配置的隧道类型、路由,以及用于网关验证的根证书。

备注

从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 仅点到站点连接会受到影响;站点到站点连接不受影响。 如果在 Windows 10 客户端上点到站点 VPN 使用的是 TLS,则无需进行任何操作。 如果在 Windows 7 和 Windows 8 客户端上使用 TLS 建立点到站点连接,请参阅 VPN 网关常见问题解答,了解更新说明。

哪些网关 SKU 支持 P2S VPN?

VPN
网关
代系
SKU S2S/VNet 到 VNet
隧道
P2S
SSTP 连接
P2S
IKEv2/OpenVPN 连接
聚合
吞吐量基准
BGP 区域冗余
第 1 代 基本 最大 10 最大 128 不支持 100 Mbps 不支持
第 1 代 VpnGw1 最大 30* 最大 128 最大 250 650 Mbps 支持
第 1 代 VpnGw2 最大 30* 最大 128 最大 500 1 Gbps 支持
第 1 代 VpnGw3 最大 30* 最大 128 最大 1000 1.25 Gbps 支持
第 1 代 VpnGw1AZ 最大 30* 最大 128 最大 250 650 Mbps 支持
第 1 代 VpnGw2AZ 最大 30* 最大 128 最大 500 1 Gbps 支持
第 1 代 VpnGw3AZ 最大 30* 最大 128 最大 1000 1.25 Gbps 支持
第 2 代 VpnGw2 最大 30* 最大 128 最大 500 1.25 Gbps 支持
第 2 代 VpnGw3 最大 30* 最大 128 最大 1000 2.5 Gbps 支持
第 2 代 VpnGw4 最大 30* 最大 128 最大 5000 5 Gbps 支持
第 2 代 VpnGw5 最大 30* 最大 128 最大 10000 10 Gbps 支持
第 2 代 VpnGw2AZ 最大 30* 最大 128 最大 500 1.25 Gbps 支持
第 2 代 VpnGw3AZ 最大 30* 最大 128 最大 1000 2.5 Gbps 支持
第 2 代 VpnGw4AZ 最大 30* 最大 128 最大 5000 5 Gbps 支持
第 2 代 VpnGw5AZ 最大 30* 最大 128 最大 10000 10 Gbps 支持

(*) 如果需要 30 个以上 S2S VPN 隧道,请使用虚拟 WAN

  • 在同一代中允许调整 VpnGw SKU 的大小,但基本 SKU 的大小调整除外。 基本 SKU 是旧版 SKU,并且具有功能限制。 若要从基本 VpnGw SKU 移到其他 VpnGw SKU,必须删除基本 SKU VPN 网关,并使用所需代系和 SKU 大小组合来创建新网关。

  • 这些连接限制是独立的。 例如,在 VpnGw1 SKU 上可以有 128 个 SSTP 连接,还可以有 250 个 IKEv2 连接。

  • 可在 定价 页上找到定价信息。

  • 可在 SLA 页上查看 SLA(服务级别协议)信息。

  • 在单个隧道中,最多可以达到 1 Gbps 的吞吐量。 上表中的聚合吞吐量基准基于对通过单个网关聚合的多个隧道的测量。 适用于 VPN 网关的聚合吞吐量基准组合了 S2S 和 P2S。 如果有大量的 P2S 连接,则可能会对 S2S 连接造成负面影响,因为存在吞吐量限制。 受 Internet 流量情况和应用程序行为影响,无法保证聚合吞吐量基准。

为了帮助我们的客户了解使用不同算法的 SKU 的相对性能,我们使用市售 iPerf 和 CTSTraffic 工具来衡量性能。 下表列出了第 1 代 VpnGw SKU 的性能测试结果。 可以看到,对 IPsec 加密和完整性使用 GCMAES256 算法时,可获得最佳性能。 对 IPsec 加密使用 AES256 以及对完整性使用 SHA256 时,可获得平均性能。 对 IPsec 加密使用 DES3 以及对完整性使用 SHA256 可获得最低性能。

代系 SKU 使用
的算法
观察到的
吞吐量
观察到的
每秒数据包数
第 1 代 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
120 Mbps
58,000
50,000
50,000
第 1 代 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55,000
第 1 代 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
550 Mbps
120 Mbps
105,000
90,000
60,000
第 1 代 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
120 Mbps
58,000
50,000
50,000
第 1 代 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55,000
第 1 代 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
550 Mbps
120 Mbps
105,000
90,000
60,000

备注

基本 SKU 不支持 IKEv2 或 RADIUS 身份验证。

在 P2S 的 VPN 网关上配置了哪些 IKE/IPsec 策略?

IKEv2

Cipher 完整性 PRF DH 组
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Cipher 完整性 PFS 组
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

在 P2S 的 VPN 网关上配置了哪些 TLS 策略?

TLS

策略
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

如何配置 P2S 连接?

P2S 配置需要相当多的特定步骤。 以下文章包含引导你完成 P2S 配置的步骤,以及用于配置 VPN 客户端设备的链接:

删除 P2S 连接的配置

有关步骤,请参阅下面的常见问题解答

本机 Azure 证书身份验证常见问题解答

在我的点到站点配置中,可以有多少 VPN 客户端终结点?

这取决于网关 SKU。 有关支持的连接数的详细信息,请参阅网关 SKU

点到站点连接可以用于哪些客户端操作系统?

支持以下客户端操作系统:

  • Windows 7(32 位和 64 位)
  • Windows Server 2008 R2(仅 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows Server 2016(仅 64 位)
  • Windows Server 2019(仅限 64 位)
  • Windows 10
  • Mac OS X 版本 10.11 或更高版本
  • Linux (StrongSwan)
  • iOS

备注

从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 若要维持支持,请参阅更新以支持 TLS1.2

此外,TLS 也将于 2018 年 7 月 1 日起弃用以下旧算法:

  • RC4 (Rivest Cipher 4)
  • DES(数据加密算法)
  • 3DES(三重数据加密算法)
  • MD5(消息摘要 5)

如何在 Windows 7 和 Windows 8.1 中启用对 TLS 1.2 的支持?

  1. 右键单击“命令提示符”并选择“以管理员身份运行”,使用提升的权限打开命令提示符。

  2. 在命令提示符处运行以下命令:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 安装以下更新:

  4. 重新启动计算机。

  5. 连接到 VPN。

备注

如果运行的是旧版本的 Windows 10 (10240),则必须设置上述注册表项。

能否使用点到站点功能穿越代理和防火墙?

Azure 支持三种类型的点到站点 VPN 选项:

  • 安全套接字隧道协议 (SSTP)。 SSTP 是 Microsoft 专有的基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • OpenVPN。 OpenVPN 是基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • IKEv2 VPN。 IKEv2 VPN 是一个基于标准的 IPsec VPN 解决方案,它使用出站 UDP 端口 500 和 4500 以及 IP 协议号。 50。 防火墙并非始终打开这些端口,因此,IKEv2 VPN 有可能无法穿过代理和防火墙。

如果重新启动进行过点到站点配置的客户端计算机,是否会自动重新连接 VPN?

默认情况下,客户端计算机将不自动重新建立 VPN 连接。

点到站点在 VPN 客户端上是否支持自动重新连接和 DDNS?

点到站点 VPN 中当前不支持自动重新连接和 DDNS。

对于同一虚拟网络,站点到站点和点到站点配置能否共存?

是的。 对于资源管理器部署模型,必须为网关使用 RouteBased VPN 类型。 对于经典部署模型,需要一个动态网关。 不支持将点到站点配置用于静态路由 VPN 网关或 PolicyBased VPN 网关。

能否将点到站点客户端配置为同时连接到多个虚拟网络网关?

根据所使用的 VPN 客户端软件,你可能可以连接到多个虚拟网络网关,前提是,要连接到的虚拟网络在它们或客户端要从中进行连接的网络之间不存在冲突的地址空间。 尽管 Azure VPN 客户端支持多个 VPN 连接,但在任何给定时间,都只能建立一个连接。

能否将点到站点客户端配置为同时连接到多个虚拟网络?

可以。与其他 VNet 对等互连的 VNet 中部署的虚拟网络网关之间的点到站点连接可能可以访问其他对等互连 VNet。 如果对等互连 VNet 使用 UseRemoteGateway/AllowGatewayTransit 功能,点到站点客户端将能够连接到这些对等互连 VNet。 有关详细信息,请参阅此文

预计通过站点到站点连接或点到站点连接的吞吐量有多少?

很难维持 VPN 隧道的准确吞吐量。 IPsec 和 SSTP 是重重加密的 VPN 协议。 本地网络与 Internet 之间的延迟和带宽也限制了吞吐量。 对于仅具有 IKEv2 点到站点 VPN 连接的 VPN 网关,期望可以实现的总吞吐量取决于网关 SKU。 有关吞吐量的详细信息,请参阅网关 SKU

是否可以将任何软件 VPN 客户端用于支持 SSTP 和/或 IKEv2 的点到站点配置?

不是。 只能将 Windows 上的本机 VPN 客户端用于 SSTP,只能将 Mac 上的本机 VPN 客户端用于 IKEv2。 但是,可以在所有平台上使用 OpenVPN 客户端,以便通过 OpenVPN 协议进行连接。 请参阅支持的客户端操作系统的列表。

Azure 是否支持使用 Windows 的 IKEv2 VPN?

在 Windows 10 和 Server 2016 上支持 IKEv2。 但是,若要使用 IKEv2,必须在本地安装更新并设置注册表项值。 Windows 10 以前的 OS 版本不受支持,并且只能使用 SSTP 或 OpenVPN® 协议

为运行 IKEv2 准备 Windows 10 或 Server 2016:

  1. 安装更新。

    OS 版本 Date 编号/链接
    Windows Server 2016
    Windows 10 版本 1607
    2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848
  2. 设置注册表项值。 在注册表中创建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”REG_DWORD 键或将其设置为 1。

为 P2S VPN 连接配置 SSTP 和 IKEv2 时,会发生什么情况?

在混合环境(包括 Windows 和 Mac 设备)中同时配置了 SSTP 和 IKEv2 时,Windows VPN 客户端始终将先尝试使用 IKEv2 隧道,但如果 IKEv2 连接不成功将回退到 SSTP。 MacOSX 将仅通过 IKEv2 进行连接。

除了 Windows 和 Mac 以外,Azure 还支持在其他哪些平台上使用 P2S VPN?

Azure 支持将 Windows、Mac 和 Linux 用于 P2S VPN。

我已部署 Azure VPN 网关。 是否可在该网关上启用 RADIUS 和/或 IKEv2 VPN?

是的,可以使用 Powershell 或 Azure 门户在已部署的网关上启用这些新功能,前提是所用网关 SKU 支持 RADIUS 和/或 IKEv2。 例如,VPN 网关基本 SKU 不支持 RADIUS 或 IKEv2。

如何删除 P2S 连接的配置?

可以通过 Azure CLI 和 PowerShell 使用以下命令删除 P2S 配置:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

如果在使用证书身份验证进行连接时收到指示证书不匹配的消息,我该怎么办?

取消选中“通过验证证书来验证服务器的标识” ,或在手动创建配置文件时 将服务器 FQDN 随证书一起添加。 为此,可以在命令提示符下运行 rasphone,并从下拉列表中选择配置文件。

通常不建议绕过服务器标识验证,但在使用 Azure 证书身份验证的情况下,会在 VPN 隧道协议 (IKEv2/SSTP) 和 EAP 协议中将同一证书用于服务器验证。 由于服务器证书和 FQDN 已通过 VPN 隧道协议进行验证,因此在 EAP 中再次验证同一证书就是多余的。

点到站点身份验证

是否可以使用自己的内部 PKI 根 CA 来生成用于点到站点连接的证书?

是的。 以前只可使用自签名根证书。 仍可上传 20 个根证书。

是否可以使用 Azure 密钥保管库中的证书?

不是。

可以使用哪些工具来创建证书?

可以使用企业 PKI 解决方案(内部 PKI)、Azure PowerShell、MakeCert 和 OpenSSL。

是否有证书设置和参数的说明?

  • 内部 PKI/企业 PKI 解决方案: 请参阅 生成证书的步骤。

  • Azure PowerShell: 请参阅 Azure PowerShell 一文了解相关步骤。

  • MakeCert: 请参阅 MakeCert 一文了解相关步骤。

  • OpenSSL:

    • 导出证书时,请务必将根证书转换为 Base64。

    • 对于客户端证书:

      • 创建私钥时,请将长度指定为 4096。
      • 创建证书时,对于 -extensions 参数,指定 usr_cert

RADIUS 身份验证常见问题解答

在我的点到站点配置中,可以有多少 VPN 客户端终结点?

这取决于网关 SKU。 有关支持的连接数的详细信息,请参阅网关 SKU

点到站点连接可以用于哪些客户端操作系统?

支持以下客户端操作系统:

  • Windows 7(32 位和 64 位)
  • Windows Server 2008 R2(仅 64 位)
  • Windows 8.1(32 位和 64 位)
  • Windows Server 2012(仅 64 位)
  • Windows Server 2012 R2(仅 64 位)
  • Windows Server 2016(仅 64 位)
  • Windows Server 2019(仅限 64 位)
  • Windows 10
  • Mac OS X 版本 10.11 或更高版本
  • Linux (StrongSwan)
  • iOS

备注

从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 若要维持支持,请参阅更新以支持 TLS1.2

此外,TLS 也将于 2018 年 7 月 1 日起弃用以下旧算法:

  • RC4 (Rivest Cipher 4)
  • DES(数据加密算法)
  • 3DES(三重数据加密算法)
  • MD5(消息摘要 5)

如何在 Windows 7 和 Windows 8.1 中启用对 TLS 1.2 的支持?

  1. 右键单击“命令提示符”并选择“以管理员身份运行”,使用提升的权限打开命令提示符。

  2. 在命令提示符处运行以下命令:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 安装以下更新:

  4. 重新启动计算机。

  5. 连接到 VPN。

备注

如果运行的是旧版本的 Windows 10 (10240),则必须设置上述注册表项。

能否使用点到站点功能穿越代理和防火墙?

Azure 支持三种类型的点到站点 VPN 选项:

  • 安全套接字隧道协议 (SSTP)。 SSTP 是 Microsoft 专有的基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • OpenVPN。 OpenVPN 是基于 SSL 的解决方案,它可以穿透防火墙,因为大多数防火墙都打开了 443 SSL 使用的出站 TCP 端口。

  • IKEv2 VPN。 IKEv2 VPN 是一个基于标准的 IPsec VPN 解决方案,它使用出站 UDP 端口 500 和 4500 以及 IP 协议号。 50。 防火墙并非始终打开这些端口,因此,IKEv2 VPN 有可能无法穿过代理和防火墙。

如果重新启动进行过点到站点配置的客户端计算机,是否会自动重新连接 VPN?

默认情况下,客户端计算机将不自动重新建立 VPN 连接。

点到站点在 VPN 客户端上是否支持自动重新连接和 DDNS?

点到站点 VPN 中当前不支持自动重新连接和 DDNS。

对于同一虚拟网络,站点到站点和点到站点配置能否共存?

是的。 对于资源管理器部署模型,必须为网关使用 RouteBased VPN 类型。 对于经典部署模型,需要一个动态网关。 不支持将点到站点配置用于静态路由 VPN 网关或 PolicyBased VPN 网关。

能否将点到站点客户端配置为同时连接到多个虚拟网络网关?

根据所使用的 VPN 客户端软件,你可能可以连接到多个虚拟网络网关,前提是,要连接到的虚拟网络在它们或客户端要从中进行连接的网络之间不存在冲突的地址空间。 尽管 Azure VPN 客户端支持多个 VPN 连接,但在任何给定时间,都只能建立一个连接。

能否将点到站点客户端配置为同时连接到多个虚拟网络?

可以。与其他 VNet 对等互连的 VNet 中部署的虚拟网络网关之间的点到站点连接可能可以访问其他对等互连 VNet。 如果对等互连 VNet 使用 UseRemoteGateway/AllowGatewayTransit 功能,点到站点客户端将能够连接到这些对等互连 VNet。 有关详细信息,请参阅此文

预计通过站点到站点连接或点到站点连接的吞吐量有多少?

很难维持 VPN 隧道的准确吞吐量。 IPsec 和 SSTP 是重重加密的 VPN 协议。 本地网络与 Internet 之间的延迟和带宽也限制了吞吐量。 对于仅具有 IKEv2 点到站点 VPN 连接的 VPN 网关,期望可以实现的总吞吐量取决于网关 SKU。 有关吞吐量的详细信息,请参阅网关 SKU

是否可以将任何软件 VPN 客户端用于支持 SSTP 和/或 IKEv2 的点到站点配置?

不是。 只能将 Windows 上的本机 VPN 客户端用于 SSTP,只能将 Mac 上的本机 VPN 客户端用于 IKEv2。 但是,可以在所有平台上使用 OpenVPN 客户端,以便通过 OpenVPN 协议进行连接。 请参阅支持的客户端操作系统的列表。

Azure 是否支持使用 Windows 的 IKEv2 VPN?

在 Windows 10 和 Server 2016 上支持 IKEv2。 但是,若要使用 IKEv2,必须在本地安装更新并设置注册表项值。 Windows 10 以前的 OS 版本不受支持,并且只能使用 SSTP 或 OpenVPN® 协议

为运行 IKEv2 准备 Windows 10 或 Server 2016:

  1. 安装更新。

    OS 版本 Date 编号/链接
    Windows Server 2016
    Windows 10 版本 1607
    2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848
  2. 设置注册表项值。 在注册表中创建“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”REG_DWORD 键或将其设置为 1。

为 P2S VPN 连接配置 SSTP 和 IKEv2 时,会发生什么情况?

在混合环境(包括 Windows 和 Mac 设备)中同时配置了 SSTP 和 IKEv2 时,Windows VPN 客户端始终将先尝试使用 IKEv2 隧道,但如果 IKEv2 连接不成功将回退到 SSTP。 MacOSX 将仅通过 IKEv2 进行连接。

除了 Windows 和 Mac 以外,Azure 还支持在其他哪些平台上使用 P2S VPN?

Azure 支持将 Windows、Mac 和 Linux 用于 P2S VPN。

我已部署 Azure VPN 网关。 是否可在该网关上启用 RADIUS 和/或 IKEv2 VPN?

是的,可以使用 Powershell 或 Azure 门户在已部署的网关上启用这些新功能,前提是所用网关 SKU 支持 RADIUS 和/或 IKEv2。 例如,VPN 网关基本 SKU 不支持 RADIUS 或 IKEv2。

如何删除 P2S 连接的配置?

可以通过 Azure CLI 和 PowerShell 使用以下命令删除 P2S 配置:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

是否所有 Azure VPN 网关 SKU 都支持 RADIUS 身份验证?

VpnGw1、VpnGw2 和 VpnGw3 SKU 支持 RADIUS 身份验证。 如果使用的是旧版 SKU,则标准和高性能 SKU 支持 RADIUS 身份验证。 基本网关 SKU 不支持该身份验证。

经典部署模型是否支持 RADIUS 身份验证?

否。 经典部署模型不支持 RADIUS 身份验证。

是否支持第三方 RADIUS 服务器?

是的,支持第三方 RADIUS 服务器。

若要确保 Azure 网关能够访问本地 RADIUS 服务器,对连接有何要求?

需要具有到本地站点的 VPN 站点到站点连接,并且需要配置正确的路由。

是否可以通过 ExpressRoute 连接来传送(从 Azure VPN 网关)流向本地 RADIUS 服务器的流量?

否。 它只能通过站点到站点连接进行传送。

RADIUS 身份验证支持的 SSTP 连接数是否有变化? 支持的最大 SSTP 和 IKEv2 连接数是多少?

RADIUS 身份验证在网关上支持的最大 SSTP 连接数没有变化。 对于 SSTP,仍然为 128;但对于 IKEv2,则取决于网关 SKU。 有关支持的连接数的详细信息,请参阅网关 SKU

使用 RADIUS 服务器执行证书身份验证与使用 Azure 本机证书身份验证执行身份验证(通过将受信任的证书上传到 Azure)之间有何区别?

在 RADIUS 证书身份验证中,身份验证请求被转发到处理实际证书验证的 RADIUS 服务器。 如果希望通过 RADIUS 与已有的证书身份验证基础结构进行集成,则此选项非常有用。

使用 Azure 进行证书身份验证时,由 Azure VPN 网关执行证书验证。 需要将证书公钥上传到网关。 还可以指定不允许进行连接的已吊销证书的列表。

RADIUS 身份验证是否同时适用于 IKEv2 和 SSTP VPN?

是的,IKEv2 和 SSTP VPN 都支持 RADIUS 身份验证。

RADIUS 身份验证是否适用于 OpenVPN 客户端?

只有通过 PowerShell,OpenVPN 协议才支持 RADIUS 身份验证。

后续步骤

“OpenVPN”是 OpenVPN Inc. 的商标。