關於點對站 VPN

點對站 (P2S) VPN 閘道連線可讓您建立從個別用戶端電腦到您的虛擬網路的安全連線。 P2S 連線的建立方式是從用戶端電腦開始。 此解決方案適合於想要從遠端位置 (例如從住家或會議) 連線到 Azure VNet 的遠距工作者。 當您只有少數用戶端必須連線至 VNet 時,P2S VPN 也是很實用的解決方案 (而不是 S2S VPN)。 本文適用于 Resource Manager 部署模型

P2S 使用何種通訊協定?

店對站 VPN 可以使用下列其中一個通訊協定:

  • OpenVPN®通訊協定,這是以 SSL/TLS 為基礎的 VPN 通訊協定。 TLS VPN 解決方案可以穿透防火牆,因為大部分防火牆都會開啟 TLS 使用的輸出 TCP 連接埠 443。 OpenVPN 可用於從 Android、iOS (11.0 版和更新版本)、Windows、Linux 和 Mac 裝置 (macOS 10.13 版和更新版本) 連線。

  • 安全通訊端通道通訊協定 (SSTP),這是以 TLS 為基礎的專屬 VPN 通訊協定。 TLS VPN 解決方案可以穿透防火牆,因為大部分防火牆都會開啟 TLS 使用的輸出 TCP 連接埠 443。 SSTP 僅在 Microsoft 裝置上提供支援。 Azure 支援所有具有 SSTP 的 Windows 版本,並支援 TLS 1.2 (Windows 8.1 和更新版本) 。

  • IKEv2 VPN,標準型 IPsec VPN 解決方案。 IKEv2 VPN 可用於從 Mac 裝置連線 (macOS 版本 10.11 和更新版本)。

注意

適用于 P2S 的 IKEv2 和 OpenVPN 僅適用于 Resource Manager 部署模型 。 不適用於傳統部署模型。

P2S VPN 用戶端的驗證方式

在 Azure 接受 P2S VPN 連線之前,使用者必須先進行驗證。 Azure 提供兩個機制來驗證連線使用者。

使用原生 Azure 憑證驗證進行驗證

使用原生 Azure 憑證驗證時,裝置上存在的用戶端憑證會用來驗證連線使用者。 用戶端憑證是從根憑證產生,然後安裝在每部用戶端電腦上。 您可以使用透過企業解決方案產生的根憑證,也可以產生自我簽署憑證。

用戶端憑證的驗證是由 VPN 閘道執行,並發生於 P2S VPN 連線建立期間。 根憑證需要驗證,且必須上傳至 Azure。

使用原生 Azure Active Directory 驗證進行驗證

Azure AD authentication 可讓使用者使用其 Azure Active Directory 認證來連線到 Azure。 只有 OpenVPN 通訊協定和 Windows 10 支援原生 Azure AD 驗證,而且需要使用Azure VPN Client

使用原生 Azure AD 驗證時,您可以利用 Azure AD 的條件式存取,以及 Multi-Factor Authentication (MFA) 適用于 VPN 的功能。

概括而言,您必須執行下列步驟以設定 Azure AD 驗證:

  1. 設定 Azure AD 租用戶

  2. 在閘道上啟用 Azure AD 驗證

  3. 下載並設定 Azure VPN Client

使用 Azure Active Directory (AD) 網域伺服器進行驗證

AD 網域驗證可讓使用者使用其組織網域認證來連線至 Azure。 它需要可與 AD 伺服器整合的 RADIUS 伺服器。 組織也可利用其現有的 RADIUS 部署。

RADIUS 伺服器可以部署在內部部署或 Azure VNet 中。 在驗證期間,Azure VPN 閘道可作為 RADIUS 伺服器與連線裝置之間的通道,雙向轉送驗證訊息。 所以閘道觸達 RADIUS 伺服器的能力很重要。 如果 RADIUS 伺服器位於內部部署環境,則需要從 Azure 到內部部署網站的 VPN S2S 連線才能觸達。

RADIUS 伺服器也可以與 AD 憑證服務整合。 這可讓您對 P2S 憑證驗證使用 RADIUS 伺服器和企業憑證部署,來替代 Azure 憑證驗證。 優點是,您不需要將根憑證及撤銷的憑證上傳至 Azure。

RADIUS 伺服器也可以與其他外部身分識別系統整合。 這會開啟 P2S VPN 的許多驗證選項,包括多重因素選項。

此圖顯示具有內部部署網站的點對站 VPN。

設定用戶端有哪些需求?

注意

對於 Windows 用戶端,您在用戶端裝置上必須具備系統管理員權限,才能將用戶端裝置到 Azure 的 VPN 連線初始化。

使用者會在 P2S 的 Windows 和 Mac 裝置上使用原生 VPN 用戶端。 Azure 會提供 VPN 用戶端組態 zip 檔案,其中包含這些原生用戶端連線到 Azure 所需的設定。

  • 對於 Windows 裝置,VPN 用戶端組態包含使用者在其裝置上安裝的安裝程式套件。
  • 對於 Mac 裝置,其中包含使用者在其裝置上安裝的 mobileconfig 檔案。

Zip 檔案也會提供 Azure 端的某些重要設定值,以便用於為這些裝置建立自己的設定檔。 這些值包括 VPN 閘道位址,已設定的通道類型、路由,以及用於閘道驗證的根憑證。

注意

從 2018 年 7 月 1 日起,對 TLS 1.0 和 1.1 的支援將會從 Azure VPN 閘道移除。 VPN 閘道僅支援 TLS 1.2。 只有點對站連線會受到影響,站對站連線沒有影響。 如果您針對 Windows 10 用戶端上的點對站 VPN 使用 TLS,則您不需要採取任何動作。 如果您針對 Windows 7 和 Windows 8 用戶端上的點對站連線使用 TLS,請參閱 VPN 閘道常見問題集以取得更新指示。

哪些閘道 Sku 支援 P2S VPN?

VPN
閘道
世代
SKU S2S/VNet-to-VNet
通道
P2S
SSTP 連接
P2S
IKEv2/OpenVPN 連接
彙總
輸送量基準測試
BGP 區域-多餘
第 1 代 基本 最大 10 最大 128 不支援 100 Mbps 不支援
第 1 代 VpnGw1 最大 30 最大 128 最大 250 650 Mbps 支援
第 1 代 VpnGw2 最大 30 最大 128 最大 500 1 Gbps 支援
第 1 代 VpnGw3 最大 30 最大 128 最大 1000 1.25 Gbps 支援
第 1 代 VpnGw1AZ 最大 30 最大 128 最大 250 650 Mbps 支援
第 1 代 VpnGw2AZ 最大 30 最大 128 最大 500 1 Gbps 支援
第 1 代 VpnGw3AZ 最大 30 最大 128 最大 1000 1.25 Gbps 支援
第 2 代 VpnGw2 最大 30 最大 128 最大 500 1.25 Gbps 支援
第 2 代 VpnGw3 最大 30 最大 128 最大 1000 2.5 Gbps 支援
第 2 代 VpnGw4 最大 100* 最大 128 最大 5000 5 Gbps 支援
第 2 代 VpnGw5 最大 100* 最大 128 最大 10000 10 Gbps 支援
第 2 代 VpnGw2AZ 最大 30 最大 128 最大 500 1.25 Gbps 支援
第 2 代 VpnGw3AZ 最大 30 最大 128 最大 1000 2.5 Gbps 支援
第 2 代 VpnGw4AZ 最大 100* 最大 128 最大 5000 5 Gbps 支援
第 2 代 VpnGw5AZ 最大 100* 最大 128 最大 10000 10 Gbps 支援

如果您需要100以上的 S2S VPN 通道, ( * ) 使用 虛擬 WAN

  • VpnGw SKU 的大小重新調整可在相同世代內進行,但「基本」SKU 的大小重新調整除外。 「基本」SKU 是舊版 SKU,而且有功能限制。 若要從「基本」移到另一個 VpnGw SKU,您必須刪除「基本」SKU VPN 閘道,並使用所需的世代和 SKU 大小組合建立新閘道。 您只能將基本閘道的大小調整為另一個舊版 SKU (請參閱 使用舊版 sku) 。

  • 這些連線數限制是個別的。 例如,您在 VpnGw1 SKU 上可以有 128 個 SSTP 連線和 250 個 IKEv2 連線。

  • 價格 頁面上可以找到價格資訊。

  • 可以在 SLA 頁面上找到 SLA (服務等級協定) 資訊。

  • 在單一通道上,可以達到最多 1 Gbps 的輸送量。 上表中的「彙總輸送量基準測試」是以透過單一閘道所彙總多個通道的量值為基礎。 VPN 閘道的彙總輸送量基準是 S2S + P2S 的組合。 如果您有許多 P2S 連線,S2S 連線即可能因為輸送量限制而受到負面影響。 由於網際網路流量條件和您的應用程式行為,彙總輸送量基準測試不是保證的輸送量。

為了協助我們的客戶了解 SKU 使用不同演算法的相對效能,我們使用了可公開取得的 iPerf 和 CTSTraffic 工具來測量效能。 下表列出第 1 代、VpnGw SKU 的效能測試結果。 如您所見,當我們針對 IPsec 加密和完整性使用 GCMAES256 演算法時,將會取得最佳效能。 當您針對 IPsec 加密和完整性使用 AES256 和 SHA256 時,我們會取得平均效能。 當您針對 IPsec 加密和完整性使用 DES3 和 SHA256 時,我們會取得最低效能。

世代 SKU 使用的
演算法
觀察到的
輸送量
每一通道觀察到的每秒封包數
第 1 代 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
120 Mbps
58,000
50,000
50,000
第 1 代 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55,000
第 1 代 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
550 Mbps
120 Mbps
105,000
90,000
60,000
第 1 代 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
120 Mbps
58,000
50,000
50,000
第 1 代 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55,000
第 1 代 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
550 Mbps
120 Mbps
105,000
90,000
60,000

注意

基本 SKU 不支援 IKEv2 或 RADIUS 驗證。

哪些 IKE/IPsec 原則是在 P2S 的 VPN 閘道上設定?

IKEv2

密碼 完整性 PRF DH 群組
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

Ipsec

密碼 完整性 PFS 群組
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

P2S VPN 閘道上設定了哪些 TLS 原則?

TLS

原則
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

如何設定 P2S 連線?

P2S 設定需要相當多的特定步驟。 下列文章包含的步驟可引導您進行 P2S 設定,然後連結以設定 VPN 用戶端裝置:

移除 P2S 連接的設定

您可以使用 PowerShell 或 CLI 來移除連接的設定。 如需範例,請參閱 常見問題

P2S 路由的運作方式為何?

查看下列文章:

常見問題集

P2S 有多個常見問題區段,以驗證為基礎。

後續步驟

"OpenVPN" 是 OpenVPN Inc. 的商標。