使用多個驗證類型設定 VNet 的點對站 VPN 連線：Azure 入口網站

發行項
05/08/2024

本文可協助您將執行 Windows、Linux 或 macOS 的個別用戶端安全地連線至 Azure VNet。當您想要從遠端位置 (例如當您從住家或會議進行遠距工作) 連線到您的 VNet 時，點對站 VPN 連線很實用。如果您只有少數用戶端必須連線至 VNet，您也可以使用 P2S，而不使用站對站 VPN。點對站連線不需要 VPN 裝置或公眾對應 IP 位址。 P2S 會建立透過 SSTP (安全通訊端通道通訊協定) 或 IKEv2 的 VPN 連線。如需點對站 VPN 的詳細資訊，請參閱關於點對站 VPN。

從電腦連線至 Azure VNet - 點對站連線圖表

如需點對站 VPN 的詳細資訊，請參閱關於點對站 VPN。若要使用 Azure PowerShell 建立此設定，請參閱使用 Azure PowerShell 設定點對站 VPN。

必要條件

驗證您有 Azure 訂用帳戶。如果您還沒有 Azure 訂用帳戶，則可以啟用 MSDN 訂戶權益或註冊免費帳戶。

相同 VPN 閘道上的多種驗證類型只支援 OpenVPN 通道類型。

範例值

您可以使用下列值來建立測試環境，或參考這些值來進一步了解本文中的範例：

VNet 名稱︰VNet1
位址空間：10.1.0.0/16
在此範例中，我們只使用一個位址空間。您可以針對 VNet 使用一個以上的位址空間。
子網路名稱：FrontEnd
子網路位址範圍：10.1.0.0/24
訂用帳戶：如果您有一個以上的訂用帳戶，請確認您使用正確的訂用帳戶。
資源群組︰TestRG1
位置：美國東部
閘道子網路：10.1.255.0/27
SKU：VpnGw2
世代：第 2 代
閘道類型：VPN
VPN 類型：路由式
公用 IP 位址名稱：VNet1GWpip
連線類型：點對站
用戶端位址集區：172.16.201.0/24
使用這個點對站連線來連線到 VNet 的 VPN 用戶端，會收到來自用戶端位址集區的 IP 位址。

建立虛擬網路

在開始之前，請確認您有 Azure 訂用帳戶。如果您還沒有 Azure 訂用帳戶，則可以啟用 MSDN 訂戶權益或註冊免費帳戶。

注意

在使用虛擬網路作為用作跨部署結構的一部分時，請務必與內部部署網路系統管理員協調，以切割出此虛擬網路專用的 IP 位址範圍。如果 VPN 連線的兩端存在重複的位址範圍，流量就會以未預期的方式路由傳送。此外，如果要將此虛擬網路連線至另一個虛擬網路，則位址空間不能與另一個虛擬網路重疊。請據此規劃您的網路組態。

登入 Azure 入口網站。
在入口網站頁面頂端的搜尋資源、服務和文件 (G+/)中，輸入虛擬網路。從 Marketplace 搜尋結果中選取 虛擬網路，以開啟 虛擬網路 頁面。
在虛擬網路頁面上，選取建立以開啟建立虛擬網路頁面。
在基本索引標籤上，設定專案詳細資料和執行個體詳細資料的虛擬網路設定。輸入的值經過驗證後，即會顯示綠色的核取記號。您可以依必要設定來調整範例中顯示的值。
- 訂用帳戶：確認列出的訂用帳戶是否正確。您可以使用下拉式方塊變更訂用帳戶。
- 資源群組：選取現有的資源群組，或選取新建以建立新的資源群組。如需有關資源群組的詳細資訊，請參閱 Azure Resource Manager 概觀。
- 名稱：輸入虛擬網路的名稱。
- 區域：選取虛擬網路的位置。位置會決定您部署至此虛擬網路的資源所在的位置。
選取下一步或安全性以移至安全性索引標籤。在此練習中，請保留此頁面上所有服務的預設值。
選取 IP 位址以移至 IP 位址索引標籤。在 IP 位址索引標籤上完成設定。
- IPv4 位址空間：根據預設，會自動建立位址空間。您可以選取位址空間並加以調整，以反映自己的值。您也可以新增不同的位址空間，並移除自動建立的預設值。例如，您可以將開始位址指定為 10.1.0.0，並將位址空間大小指定為 /16。然後選取新增，以新增該位址空間。
- + 新增子網路：如果您使用預設的位址空間，則系統會自動建立預設子網路。如果您變更位址空間，請在該位址空間內新增子網路。選取 [+ 新增子網路] 以開啟 [新增子網路] 視窗。完成以下設定，然後在頁面底部選取新增以新增值。
  - 子網路名稱：例如 FrontEnd。
  - 子網路位址範圍︰此子網路的位址範圍。例如 10.1.0.0 和 /24。
檢閱 IP位址 頁面，並移除您不需要的任何位址空間或子網路。
選取 [檢閱 + 建立] 來驗證虛擬網路設定。
驗證設定之後，請選取 [建立] 以建立虛擬網路。

虛擬網路閘道

此步驟將帶您建立 VNet 的虛擬網路閘道。建立閘道通常可能需要 45 分鐘或更久，視選取的閘道 SKU 而定。

注意

基本閘道 SKU 不支援 OpenVPN 通道類型。

虛擬網路閘道需要稱為 GatewaySubnet 的特定子網路。閘道子網路是虛擬網路 IP 位址範圍的一部份，包含虛擬網路閘道資源和服務所使用的 IP 位址。

當您建立閘道子網路時，您可指定子網路包含的 IP 位址數目。所需的 IP 位址數目取決於您想要建立的 VPN 閘道組態。有些組態需要的 IP 位址比其他組態多。最好為閘道子網路指定 /27 或更大範圍 (/26、/25 等)。

如果您看到錯誤指出位址空間與子網路重疊，或子網路未包含在虛擬網路的位址空間內，請檢查您的虛擬網路位址範圍。您為虛擬網路所建立的位址範圍中可能沒有足夠的可用 IP 位址。例如，如果預設子網路包含整個位址範圍，則沒有剩餘任何 IP 位址可供建立更多子網路。您可以調整現有位址空間內的子網路以釋出 IP 位址，也可以指定其他位址範圍並於該處建立閘道子網路。

在 [搜尋資源、服務和文件 (G+/)] 中，輸入虛擬網路閘道。在 Marketplace 搜尋結果中找出虛擬網路閘道並選取，以開啟建立虛擬網路閘道頁面。
在 [基本] 索引標籤中，填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。
- 訂用帳戶：從下拉式清單選取您想要使用的訂用帳戶。
- 資源群組：在此頁面上選取虛擬網路時，系統會自動填入此設定。
- 名稱：為您的閘道命名。閘道與閘道子網路的命名方式不同。這是您要建立之閘道物件的名稱。
- 區域：選取您要在其中建立此資源的區域。閘道的區域必須與虛擬網路相同。
- 閘道類型︰選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。
- SKU：在下拉清單中，選取可支援所用功能的閘道 SKU。請參閱閘道 SKU。在入口網站中，下拉式清單中可用的 SKU 是取決於所選 VPN type。您只能使用 Azure CLI 或 PowerShell 設定基本 SKU。您無法在 Azure 入口網站中設定基本 SKU。
- 世代：選取您要使用的世代。我們建議使用第 2 代 SKU。如需詳細資訊，請參閱閘道 SKU。
- 虛擬網路：在下拉式清單中，選取您要新增此閘道的虛擬網路。如果未顯示您想要建立閘道的虛擬網路，請確定您在先前設定中選取了正確的訂用帳戶和區域。
- 閘道子網路位址範圍或子網路：建立 VPN 閘道所需的閘道子網路。
  
  此時，此欄位會根據虛擬網路位址空間，以及您是否已經為虛擬網路建立名為 GatewaySubnet 的子網，顯示各種不同的設定選項。
  
  如果您沒有閘道子網路，並且看不到此頁面上建立閘道子網路的選項，請返回虛擬網路並建立閘道子網路。然後，返回此頁面並設定 VPN 閘道。

指定 [公用 IP 位址] 的值。這些設定可指定會與 VPN 閘道建立關聯的公用 IP 位址物件。建立 VPN 閘道時，系統會將公用 IP 位址指派給此物件。主要公用 IP 位址只會在刪除或重新建立閘道時變更。它不會因為重新調整、重設或 VPN 閘道的其他內部維護/升級而變更。
- 公用IP位址類型：如果您看到此選項，請選取 [ 標準]。基本公用IP位址 SKU僅支援基本SKU VPN閘道。
- 公用 IP 位址：將 [新建] 維持已選取狀態。
- 公用 IP 位址名稱：在文字輸入框中，輸入公用 IP 位址執行個體的名稱。
- 公用 IP 位址 SKU：設定將自動選取。
- 指派：指派通常會自動選取。針對標準 SKU，指派一律為靜態。
- 啟用主動-主動模式：選取 [已停用]。只有當您要建立主動-主動閘道設定時，才能啟用此設定。
- 設定 BGP：選取 [已停用] (除非您的組態特別需要此設定)。如果您需要此設定，則預設的 ASN 為 65515，不過您可以變更此值。
選取 [檢閱 + 建立] 以執行驗證。
驗證通過後，選取 [建立] 以部署 VPN 閘道。

您可以在閘道的 [概觀] 頁面上看到部署狀態。系統可能經常需要 45 分鐘以上的時間，才能完整建立和部署閘道。建立閘道之後，您可以查看入口網站中的虛擬網路，來檢視已指派給閘道的 IP 位址。閘道會顯示為已連接的裝置。

重要

不支援閘道子網上的網路安全組（NSG）。將網路安全性群組與此子網路產生關聯，可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。如需有關網路安全性群組的詳細資訊，請參閱什麼是網路安全性群組？。

用戶端位址集區

用戶端位址集區是您指定的私人 IP 位址範圍。透過點對站 VPN 連線的用戶端會動態收到這個範圍內的 IP 位址。使用不會重疊的私人 IP 位址範圍搭配您從其連線的內部部署位置，或搭配您要連線至的 VNet。如果您設定多個通訊協定，且 SSTP 是其中一個通訊協定，則設定的位址集區會平均地在設定的通訊協定之間進行分割。

一旦建立虛擬網路閘道，請瀏覽至虛擬網路閘道頁面的 [設定] 區段。在 [設定] 中，選取 [點對站設定]。選取 [立即設定] 以開啟 [設定] 頁面。
在 [點對站設定] 頁面上，您可以設定各種不同的設定。在 [位址集區] 方塊中，新增您想要使用的私人 IP 位址範圍。 VPN 用戶端會動態收到您指定範圍內的 IP 位址。主動/被動設定的最小子網路遮罩為 29 位元，主動/主動設定的最小子網路遮罩為 28 位元。
繼續進行下一節，以設定驗證和通道類型。

驗證和通道類型

在本節中，您會設定驗證類型和通道類型。在 [點對站設定] 頁面上，如果您沒有看到 [Tunnel 類型] 或 [驗證類型]，表示您的閘道正在使用基本 SKU。基本 SKU 不支援 IKEv2 或 RADIUS 驗證。如果您想要使用這些設定，則必須使用不同的閘道 SKU 來刪除並重新建立閘道。

重要

Azure 入口網站正在將 Azure Active Directory 欄位更新為 Entra。如果您看到參考的 Microsoft Entra ID，而且您尚未在入口網站中看到這些值，您可以選取 Azure Active Directory 值。

驗證類型和通道類型的螢幕快照。

通道類型

在 [點對站設定] 頁面上，選取所需的類型。選項為：

OpenVPN (SSL)
SSTP (SSL)
IKEv2
IKEv2 與 OpenVPN (SSL)
IKEv2 與 SSTP (SSL)

驗證類型

在 [驗證類型] 中，選取所需的類型。選項為：

Azure 憑證
RADIUS
Microsoft Entra ID

請參閱下表，以檢查哪些驗證機制與選取的通道類型相容。

通道類型	驗證機制
OpenVPN	Microsoft Entra ID、Radius 驗證和 Azure 憑證的任何子集
SSTP	Radius 驗證/ Azure 憑證
IKEv2	Radius 驗證/ Azure 憑證
IKEv2 與 OpenVPN	Radius 驗證/ Azure 憑證/ Microsoft Entra ID 和 Radius 驗證/ Microsoft Entra ID 和 Azure 憑證
IKEv2 與 SSTP	Radius 驗證/ Azure 憑證

注意

針對通道類型「IKEv2 和 OpenVPN」和選取的驗證機制「Microsoft Entra ID 和 Radius」或「Microsoft Entra ID 和 Azure 憑證」，Microsoft Entra ID 僅適用於 OpenVPN，因為 IKEv2 不支援它

視選取的驗證類型而定，您會看到需要填入的不同組態設定欄位。填寫必要的資訊，然後選取頁面頂端的 [儲存]，以儲存所有的組態設定。

如需驗證類型的詳細資訊，請參閱：

VPN 用戶端組態套件。

VPN 用戶端必須設定用戶端組態設定。 VPN 用戶端組態套件包含具有設定 VPN 用戶端的設定檔案，以便透過 P2S 連線來連線至 VNet。

如需產生和安裝 VPN 用戶端組態檔的指示，請使用與您的設定相關的文章：

驗證	通道類型	產生設代檔	設定 VPN 用戶端
Azure 憑證	IKEv2、SSTP	Windows	原生 VPN 用戶端
Azure 憑證	OpenVPN	Windows	- OpenVPN 用戶端 - Azure VPN 用戶端
Azure 憑證	IKEv2、OpenVPN	macOS-iOS	macOS-iOS
Azure 憑證	IKEv2、OpenVPN	Linux	Linux
Microsoft Entra ID	OpenVPN (SSL)	Windows	Windows
Microsoft Entra ID	OpenVPN (SSL)	macOS	macOS
RADIUS - 憑證	-	發行項	發行項
RADIUS - 密碼	-	發行項	發行項
RADIUS - 其他方法	-	發行項	發行項

點對站常見問題集

如需點對站常見問題集資訊，請參閱 VPN 閘道常見問題集的點對站小節。

下一步

一旦完成您的連接，就可以將虛擬機器加入您的虛擬網路。如需詳細資訊，請參閱虛擬機器。若要了解網路與虛擬機器的詳細資訊，請參閱 Azure 與 Linux VM 網路概觀。

如需有關為 P2S 疑難排解的資訊，請參閱針對 Azure 點對站連線進行疑難排解。

Share via