設定適用於 P2S 憑證驗證連線的 Azure VPN 用戶端 - Windows
如果您的點對站 (P2S) VPN 閘道設定為使用 OpenVPN 和憑證驗證,您可以使用 Azure VPN Client 或 OpenVPN 用戶端來連線到您的虛擬網路。 本文將逐步引導您完成設定 Azure VPN Client 並連線到您的虛擬網路。
開始之前
本文假設您已經執行下列的必要條件:
- 您已建立並設定 VPN 閘道,以進行點對站憑證驗證和 OpenVPN 通道類型。 如需相關步驟,請參閱設定 P2S VPN 閘道連線的伺服器設定 - 憑證驗證。
- 您已產生客戶端憑證,並下載 VPN 用戶端組態檔。 請參閱點對站 VPN 用戶端: 憑證驗證 - Windows
開始客戶端設定步驟之前,請先確認您參照的是正確的 VPN 用戶端設定文章。 下列資料表會顯示適用於 VPN 閘道點對站 VPN 用戶端的設定文章。 步驟會根據驗證類型、通道類型和用戶端 OS 而有所不同。
| 驗證 | 通道類型 | 產生設定檔 | 設定 VPN 用戶端 |
|---|---|---|---|
| Azure 憑證 | IKEv2、SSTP | Windows | 原生 VPN 用戶端 |
| Azure 憑證 | OpenVPN | Windows | - OpenVPN 用戶端 - Azure VPN 用戶端 |
| Azure 憑證 | IKEv2、OpenVPN | macOS-iOS | macOS-iOS |
| Azure 憑證 | IKEv2、OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS - 憑證 | - | 發行項 | 發行項 |
| RADIUS - 密碼 | - | 發行項 | 發行項 |
| RADIUS - 其他方法 | - | 發行項 | 發行項 |
連線需求
若要連線到 Azure,每個連線的用戶端電腦都需要下列項目:
- Azure VPN Client 軟體必須安裝在每部用戶端電腦上。
- Azure VPN Client 設定檔使用已下載 azurevpnconfig.xml 設定檔進行設定。
- 用戶端電腦都必須具備安裝的用戶端憑證。
檢視設定檔
VPN 用戶端設定檔組態套件包含特定的資料夾。 資料夾內的檔案包含在用戶端電腦上設定 VPN 用戶端設定檔所需的設定。 這些檔案及其所包含的設定是專為 VPN 閘道和已設定 VPN 閘道使用的驗證和通道類型而設計。
找到您所產生的 VPN 用戶端設定檔設定套件並加以解壓縮。 針對憑證驗證和 OpenVPN,您會看到 AzureVPN 資料夾。 找出 azurevpnconfig.xml 檔案。 此檔案包含用於設定 VPN 用戶端設定檔的設定。
如果您沒有看到該檔案,請驗證下列項目:
- 驗證您的 VPN 閘道是否設定為使用 OpenVPN 通道類型。
- 如果您使用 Microsoft Entra 驗證,您可能沒有 AzureVPN 資料夾。 請參閱 Microsoft Entra ID 設定文章。
下載 Azure VPN Client
使用以下連結之一下載最新版本的 Azure VPN 用戶端安裝檔案:
- 使用 [用戶端安裝檔案] 進行安裝:https://aka.ms/azvpnclientdownload。
- 在用戶端電腦上登入時直接安裝:Microsoft Store。
將 Azure VPN Client 安裝到每部電腦。
確認 Azure VPN Client 具有在背景中執行的權限。 如需步驟,請參閱 Windows 背景應用程式。
若要驗證已安裝的用戶端版本,請開啟 Azure VPN Client。 移至用戶端底部,然後按一下 [... -> ?]說明 。 在右窗格中,您可以看到用戶端版本號碼。
設定 Azure VPN Client 設定檔
開啟 Azure VPN Client。
選取頁面左下角的 +,然後選取 [匯入]。
在視窗中,瀏覽至 azurevpnconfig.xml 檔案,選取該檔案,然後選取 [開啟]。
從 [憑證資訊] 下拉式清單中,選取子憑證 (用戶端憑證) 的名稱。 例如,P2SChildCert。 您也可以選取 次要設定檔 (可選擇)。
如果您在 [憑證資訊] 下拉式清單中看不到用戶端憑證,則需要取消並在繼續進行之前修正該問題。 下列情況可能成立:
- 用戶端憑證未安裝在用戶端電腦本機上。
- 本機電腦上已安裝多個名稱完全相同的憑證 (在測試環境中很常見)。
- 子憑證已損毀。
匯入驗證後 (匯入沒有錯誤),選取 [儲存]。
在左側窗格中,找出 [VPN 連線],然後選取 [連線]。
Azure VPN Client 選用設定
下列各節會討論適用於 Azure VPN Client 的選用組態設定。
次要設定檔
Azure VPN Client 會提供用戶端設定檔的高可用性。 新增次要用戶端設定檔可讓用戶端更有彈性的方式來存取 VPN。 如果區域中斷或無法連線到主要 VPN 用戶端設定檔,Azure VPN Client 會自動連線到次要用戶端設定檔,而不會造成任何中斷。
這項功能需要 Azure VPN Client 版本 2.2124.51.0,這個版本目前正在推出。在此範例中,我們會將次要設定檔新增至已經存在的設定檔中。
使用此範例中的設定,如果客戶端無法連線到 VNet1,它會自動連線到 VNet2,而不會造成中斷。
將另一個 VPN 用戶端設定檔新增至 Azure VPN Client。 在這裡範例中,我們已新增設定檔以連線至 VNet2。
接下來,移至 [VNet1] 設定檔,然後按一下 [...],然後 [設定]。
從 [次要設定檔] 下拉式清單中,選取 [VNet2] 的設定檔。 然後, [儲存] 您的設定。
自訂設定: DNS 和路由
您可以使用選用組態設定來設定 Azure VPN Client,例如其他 DNS 伺服器、自訂 DNS、強制通道、自訂路由和其他其他設定。 如需可用設定和設定步驟的描述,請參閱 Azure VPN Client 選用設定。