設定點對站 VPN 用戶端:RADIUS - 密碼驗證

  • 發行項

若要透過點對站 (P2S) 連線至虛擬網路,您需要設定要從中連線的用戶端裝置。 您可以從 Windows、macOS 和 Linux 用戶端裝置建立 P2S VPN 連線。 本文可協助您為使用者名稱/密碼 RADIUS 驗證建立及安裝 VPN 用戶端設定。

當您使用RADIUS驗證時,有多個驗證指示:憑證驗證密碼驗證和其他驗證方法和通訊協定。 每一類型驗證的 VPN 用戶端設定都是不一樣的。 要設定 VPN 用戶端,您會可以使用包含必要設定的用戶端設定檔。

注意

從 2018 年 7 月 1 日起,對 TLS 1.0 和 1.1 的支援將會從 Azure VPN 閘道移除。 VPN 閘道僅支援 TLS 1.2。 只有點對站連線會受到影響;站對站連線不受影響。 如果您針對 Windows 10 或更新版本用戶端上的點對站 VPN 使用 TLS,則不必採取任何動作。 如果您針對 Windows 7 和 Windows 8 用戶端上的點對站連線使用 TLS,請參閱 VPN 閘道常見問題集以取得更新指示。

工作流程

P2S RADIUS 驗證的設定工作流程如下所示:

  1. 設定 P2S 連線的 Azure VPN 閘道
  2. 設定 RADIUS 伺服器以供驗證
  3. 取得所選驗證選項適用的 VPN 用戶端組態,並用它設定 VPN 用戶端 (本文章)。
  4. 完成 P2S 設定並連線

重要

如果您在產生 VPN 用戶端組態檔後,對點對站 VPN 組態進行任何變更 (例如 VPN 通訊協定類型或驗證類型),您必須在使用者裝置上產生並安裝新的 VPN 用戶端組態檔。

您可以設定使用者名稱/密碼驗證,以使用 Active Directory 或者不使用 Active Directory。 無論是哪一種情況,都請您確定所有連線使用者都具有可透過 RADIUS 驗證的使用者名稱/密碼認證。

設定使用者名稱/密碼驗證時,您只能建立 EAP-MSCHAPv2 使用者名稱/密碼驗證通訊協定的組態。 在命令中,-AuthenticationMethodEapMSChapv2

產生 VPN 用戶端設定檔

您可以使用 Azure 入口網站,或使用 Azure PowerShell,產生 VPN 用戶端組態檔。

Azure 入口網站

  1. 瀏覽至虛擬網路閘道。
  2. 按一下 [點對站設定]
  3. 按一下 [下載 VPN 用戶端]
  4. 選取用戶端,並填寫要求的任何資訊。
  5. 按一下 [下載],產生 .zip 檔案。
  6. 通常,.zip 檔案會下載至您的 [下載] 資料夾。

Azure PowerShell

產生 VPN 用戶端設定檔以與使用者名稱/密碼驗證搭配使用。 您可以使用下列命令來產生 VPN 用戶端組態檔:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

執行會傳回連結的命令。 將該連結複製並貼到網頁瀏覽器,以下載 VpnClientConfiguration.zip。 將該檔案解壓縮以檢視下列資料夾:

  • WindowsAmd64WindowsX86:這些資料夾分別包含 Windows 32 位元和 64 位元的安裝程式套件。
  • Generic:這個資料夾包含您用來建立自有 VPN 用戶端組態的一般資訊。 使用者名稱/密碼驗證設定不需要此資料夾。
  • Mac:如果您在建立虛擬網路閘道時設定 IKEv2,您會看到名為 Mac 的資料夾,其中包含 mobileconfig 檔案。 您要使用這個檔案來設定 Mac 用戶端。

如果您已經產生用戶端組態檔,您可以使用 Get-AzVpnClientConfiguration Cmdlet 來擷取它們。 但是如果您對 P2S VPN 組態進行任何變更 (例如,VPN 通訊協定類型或驗證類型),該組態不會自動更新。 您必須執行 New-AzVpnClientConfiguration Cmdlet 來建立新的設定下載。

若要擷取先前產生的用戶端組態檔,請使用下列命令:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Windows VPN 用戶端

您可以在每個 Windows 用戶端電腦上使用相同的 VPN 用戶端組態套件,但前提是版本必須符合用戶端的架構。 如需支援的用戶端作業系統清單,請參閱常見問題集

請使用下列步驟來設定原生 Windows VPN 用戶端的憑證驗證:

  1. 選取 Windows 電腦架構所對應的 VPN 用戶端組態檔。 若是 64 位元的處理器架構,請選擇 VpnClientSetupAmd64 安裝程式套件。 若是 32 位元的處理器架構,請選擇 VpnClientSetupX86 安裝程式套件。

  2. 若要安裝,請按兩下套件。 如果您看到 SmartScreen 快顯視窗,請選取 [更多資訊]>[仍要執行]

  3. 在用戶端電腦上,瀏覽至 [網路設定],然後選取 [VPN]。 VPN 連線會顯示其連線的虛擬網路名稱。

Mac (macOS) VPN 用戶端

  1. 選取 VpnClientSetup mobileconfig 檔案,並將它傳送給每個使用者。 您可以使用電子郵件或其他方法。

  2. 在 Mac 上找出 mobileconfig 檔案。

    Screenshot shows location of the mobile config file.

  3. 選擇性步驟 - 如果您想要指定自訂的 DNS,請將下列行新增到 mobileconfig 檔案:

     <key>DNS</key>
 <dict>
   <key>ServerAddresses</key>
     <array>
         <string>10.0.0.132</string>
     </array>
   <key>SupplementalMatchDomains</key>
     <array>
         <string>TestDomain.com</string>
     </array>
 </dict>

  4. 按兩下設定檔加以安裝,然後選取 [繼續]。 設定檔名稱與您的虛擬網路名稱相同。

    Screenshot shows profile install with continue selected.

  5. 選取 [繼續],以信任設定檔的寄件者並繼續進行安裝。

    Screenshot shows continue message.

  6. 在設定檔安裝期間,您可以指定 VPN 驗證的使用者名稱和密碼。 不一定要輸入此資訊。 如果您這麼做,系統會儲存此資訊並在您初始連線時自動使用。 選取 [安裝] 以繼續進行。

    Screenshot shows enter settings for username and password.

  7. 輸入在您的電腦上安裝設定檔時所需之權限的使用者名稱和密碼。 選取 [確定]。

    Screenshot shows enter settings for username and password privileges.

  8. 安裝設定檔之後,它會顯示在 [設定檔] 對話方塊中。 您稍後也可以從 [系統喜好設定] 開啟此對話方塊。

    Screenshot shows profiles dialog box.

  9. 若要存取 VPN 連線,請從 [系統喜好設定] 開啟 [網路] 對話方塊。

    Screenshot shows network dialog box.

  10. VPN 連線會顯示為 [IkeV2-VPN]。 更新 mobileconfig 檔案,即可變更名稱。

    Screenshot shows connection name.

  11. 選取 [驗證設定]。 在清單中選擇 [使用者名稱],然後輸入您的認證。 如果您稍早輸入認證,則會自動在清單中選擇Username,並預先填入使用者名稱和密碼。 選取 [OK] \(確定\)以儲存設定。

    Screenshot that shows the Authentication settings drop-down with Username selected.

  12. 回到 [網路] 對話方塊,選取 [套用] 以儲存變更。 若要起始連線,請選取 [連線]

Linux VPN 用戶端 - strongSwan

下列是針對在 Ubuntu 17.0.4 上透過 strongSwan 5.5.1 所建立的指示。 視 Linux 和 strongSwan 的版本而定,實際畫面可能會不一樣。

  1. 執行範例中的指令,以開啟終端機來安裝 strongSwan 和其網路管理員。 如果您收到與 libcharon-extra-plugins 有關的錯誤,請將它取代為 strongswan-plugin-eap-mschapv2

    sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan

  2. 選取 [網路管理員] 圖示 (向上箭頭/向下箭頭),然後選取 [編輯連線]

    Edit connections in Network Manager.

  3. 選取 [新增] 按鈕以建立新連線。

    Screenshot shows add connection for network connections.

  4. 從下拉式功能表選取 [IPsec/IKEv2 (strongswan)],然後選取 [建立]。 您可以在這個步驟中將連線重新命名。

    Screenshot shows select connection type.

  5. 從所下載用戶端組態檔的 [Generic] 資料夾開啟 [VpnSettings.xml] 檔案。 尋找名為 VpnServer 的標籤,然後複製開頭為 azuregateway,結尾為 .cloudapp.net 的名稱。

    Screenshot shows contents of the VpnSettings.xml file.

  6. 將此名稱貼到新 VPN 連線 [閘道] 區段的 [位址] 欄位中。 接下來,選取 [憑證] 欄位結尾處的資料夾圖示,接著瀏覽至 [Generic] 資料夾,然後選取 [VpnServerRoot] 檔案。

  7. 在連線的 [用戶端] 區段中,為 [驗證] 選取 [EAP],然後輸入您的使用者名稱和密碼。 您可能必須選取右邊的鎖定圖示,以儲存此資訊。 然後選取 [儲存]。

    Screenshot shows edit connection settings.

  8. 選取 [網路管理員] 圖示 (向上箭頭/向下箭頭),然後將游標停留在 [VPN 連線] 上方。 您會看到您建立的 VPN 連線。 若要起始連線,請加以選取。

    Screenshot shows connect.

Azure 虛擬機器的其他步驟

如果您在執行Linux的 Azure 虛擬機上執行程式,則還有其他步驟要執行。

  1. 編輯 /etc/netplan/50-cloud-init.yaml 檔案,以包含介面的下列參數

    renderer: NetworkManager

  2. 編輯檔案之後,請執行下列兩個命令以載入新的組態

    sudo netplan generate

    sudo netplan apply

  3. 停止/啟動或重新部署虛擬機器。

下一步

回到本文以完成 P2S 設定

如需 P2S 疑難排解詳細資訊,請參閱針對 Azure 點對站連線進行疑難排解