Erstellen einer P2S-Benutzer-VPN-Verbindung mit Azure Virtual WAN – Microsoft Entra-Authentifizierung

In diesem Artikel erfahren Sie, wie Sie Virtual WAN verwenden, um eine Verbindung mit Ihren Ressourcen in Azure herzustellen. In diesem Artikel erstellen Sie eine Point-to-Site-Benutzer-VPN-Verbindung (P2S) mit Virtual WAN, die die Microsoft Entra-Authentifizierung verwendet. Die Microsoft Entra-Authentifizierung ist nur für Gateways mit dem OpenVPN-Protokoll verfügbar.

Hinweis

Die Microsoft Entra ID-Authentifizierung wird lediglich für Verbindungen mit dem OpenVPN®-Protokoll unterstützt und erfordert Azure VPN Client.

In diesem Artikel werden folgende Vorgehensweisen behandelt:

  • Erstellen eines virtuellen WAN
  • Erstellen einer Benutzer-VPN-Konfiguration
  • Herunterladen eines Benutzer-VPN-Profils für eine Virtual WAN-Instanz
  • Erstellen eines virtuellen Hubs
  • Bearbeiten eines Hubs zum Hinzufügen eines P2S-Gateways
  • Verbinden eines VNet mit einem virtuellen Hub
  • Herunterladen und Anwenden der VPN-Clientkonfiguration für Benutzer
  • Anzeigen Ihrer Virtual WAN-Instanz

Screenshot des virtuellen WAN-Diagramms.

Voraussetzungen

Vergewissern Sie sich vor Beginn der Konfiguration, dass die folgenden Voraussetzungen erfüllt sind bzw. Folgendes vorhanden ist:

  • Sie verfügen über ein virtuelles Netzwerk, mit dem Sie eine Verbindung herstellen möchten. Stellen Sie sicher, dass sich kein Subnetz Ihres lokalen Netzwerks mit den virtuellen Netzwerken für die Verbindungsherstellung überschneidet. Informationen zum Erstellen eines virtuellen Netzwerks im Azure-Portal finden Sie in der Schnellstartanleitung.

  • Ihr virtuelles Netzwerk verfügt nicht über Gateways für virtuelle Netzwerke. Falls Ihr virtuelles Netzwerk über ein Gateway verfügt (entweder VPN oder ExpressRoute), müssen Sie alle Gateways entfernen. Für diese Konfiguration ist es erforderlich, dass virtuelle Netzwerke stattdessen mit dem Gateway des Virtual WAN-Hubs verbunden werden.

  • Beschaffen Sie sich einen IP-Adressbereich für Ihre Hubregion. Der Hub ist ein virtuelles Netzwerk, das von Virtual WAN erstellt und verwendet wird. Der von Ihnen für den Hub angegebene Adressbereich darf sich nicht mit einem Ihrer vorhandenen virtuellen Netzwerke überlappen, mit denen Sie eine Verbindung herstellen. Außerdem ist keine Überlappung mit Ihren Adressbereichen möglich, mit denen Sie lokal eine Verbindung herstellen. Falls Sie nicht mit den IP-Adressbereichen in Ihrer lokalen Netzwerkkonfiguration vertraut sind, sollten Sie sich an eine Person wenden, die Ihnen diese Informationen zur Verfügung stellen kann.

  • Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen.

Erstellen eines virtuellen WAN

Navigieren Sie in einem Browser zum Azure-Portal , und melden Sie sich mit Ihrem Azure-Konto an.

  1. Geben Sie im Portal auf der Leiste Ressourcen suchen die Zeichenfolge Virtual WAN in das Suchfeld ein, und drücken Sie die EINGABETASTE.

  2. Wählen Sie in den Ergebnissen Virtual WAN aus. Wählen Sie auf der Seite „Virtual WAN“ die Option + Erstellen aus, um die Seite WAN erstellen zu öffnen.

  3. Füllen Sie auf der Seite WAN erstellen auf der Registerkarte Grundlagen die Felder aus. Ändern Sie die Beispielwerte, um sie an Ihre Umgebung anzupassen.

    Screenshot: Bereich „WAN erstellen“ mit ausgewählter Registerkarte „Grundlagen“

    • Abonnement: Wählen Sie das Abonnement aus, das Sie verwenden möchten.
    • Ressourcengruppe: Erstellen Sie eine neue Ressourcengruppe, oder verwenden Sie eine vorhandene.
    • Ressourcengruppenstandort: Wählen Sie in der Dropdownliste einen Ressourcengruppenstandort aus. Ein WAN ist eine globale Ressource, die nicht in einer bestimmten Region angeordnet ist. Sie müssen aber eine Region auswählen, damit Sie die von Ihnen erstellte WAN-Ressource verwalten und finden können.
    • Name: Geben Sie den für Ihr virtuelles WAN gewünschten Namen ein.
    • Typ: Basic oder Standard. Wählen Sie Standard aus. Wenn Sie „Basic“ wählen, müssen Sie wissen, dass virtuelle Basic-WANs nur Basic-Hubs enthalten können. Basic-Hubs können nur für Site-to-Site-Verbindungen verwendet werden.
  4. Nachdem Sie die Felder ausgefüllt haben, wählen Sie unten auf der Seite Überprüfen und erstellen aus.

  5. Wählen Sie nach bestandener Überprüfung Erstellen aus, um das virtuelle WAN zu erstellen.

Erstellen einer Benutzer-VPN-Konfiguration

Eine Benutzer-VPN-Konfiguration definiert die Parameter für das Herstellen der Verbindung mit Remoteclients. Es ist wichtig, die Benutzer-VPN-Konfiguration zu erstellen, bevor Sie Ihren virtuellen Hub mit P2S-Einstellungen konfigurieren, da Sie die Benutzer-VPN-Konfiguration angeben müssen, die Sie verwenden möchten.

  1. Navigieren Sie zur Seite Virtual WAN -> Benutzer-VPN-Konfigurationen, und klicken Sie auf + Benutzer-VPN-Konfiguration erstellen.

    Screenshot: Benutzer-VPN-Konfiguration erstellen.

  2. Geben Sie auf der Seite Grundlagen die Parameter an.

    Screenshot der Seite „Grundlagen“.

    • Konfigurationsname: Geben Sie einen für Ihre Benutzer-VPN-Konfiguration gewünschten Namen ein.
    • Tunneltyp: Wählen Sie im Dropdownmenü „OpenVPN“ aus.
  3. Klicken Sie auf Microsoft Entra ID, um die Seite zu öffnen.

    Screenshot der Microsoft Entra ID-Seite.

    Schalten Sie Microsoft Entra ID auf Ja um, und stellen Sie die folgenden Werte basierend auf Ihren Mandantendetails bereit. Sie können die erforderlichen Werte auf der Seite „Microsoft Entra ID“ für Enterprise-Anwendungen im Portal anzeigen.

    • Authentifizierungsmethode: Wählen Sie Microsoft Entra ID aus.

    • Zielgruppe: Geben Sie die Anwendungs-ID der Azure-VPN-Client-Unternehmensanwendung ein, die in Ihrem Microsoft Entra-Mandanten registriert ist. Werte finden Sie unter Azure VPN-Client: Zielgruppenwerte

    • Aussteller - https://sts.windows.net/<your Directory ID>/

    • Microsoft Entra-Mandant: TenantID für den Microsoft Entra-Mandanten. Achten Sie darauf, dass am Ende der Microsoft Entra-Mandanten-URL kein Schrägstrich (/) angefügt ist.

      • Geben Sie https://login.microsoftonline.com/<your Directory Tenant ID> für öffentliches Azure AD ein.
      • Geben Sie https://login.microsoftonline.us/<your Directory Tenant ID> für Azure Government AD ein.
      • Geben Sie https://login-us.microsoftonline.de/<your Directory Tenant ID> für Azure Deutschland AD ein.
      • Geben Sie https://login.chinacloudapi.cn/<your Directory Tenant ID> für China 21Vianet AD ein.
  4. Klicken Sie auf Erstellen, um die Benutzer-VPN-Konfiguration zu erstellen. Sie wählen diese Konfiguration später in der Übung aus.

Erstellen eines leeren Hubs

Für diese Übung wird zunächst ein leerer virtueller Hub erstellt. Im nächsten Abschnitt wird dem Hub dann ein P2S-Gateway hinzugefügt. Sie können diese Schritte aber auch kombinieren und den Hub direkt mit den P2S-Gatewayeinstellungen zu erstellen. Das Ergebnis ist das gleiche. Klicken Sie nach dem Konfigurieren der Einstellungen zum Überprüfen auf Überprüfen + erstellen und dann auf Erstellen.

  1. Navigieren Sie zur Virtual WAN-Instanz, die Sie erstellt haben. Wählen Sie auf der Seite „Virtual WAN“ im linken Bereich unter Konnektivität die Option Hubs aus.

  2. Wählen Sie auf der Seite Hubs die Option + Neuer Hub aus, um die Seite Virtuellen Hub erstellen zu öffnen.

    Screenshot: Bereich „Virtuellen Hub erstellen“ mit ausgewählter Registerkarte „Grundlagen“

  3. Füllen Sie auf der Seite Virtuellen Hub erstellen auf der Registerkarte Grundlagen die folgenden Felder aus:

    • Region: Wählen Sie die Region aus, in der Sie den virtuellen Hub bereitstellen möchten.
    • Name: Der Name, der für den virtuellen Hub verwendet werden soll
    • Privater Adressraum des Hubs: Der Adressbereich des Hubs in CIDR-Notation. Der minimale Adressraum ist „/24“ zum Erstellen eines Hubs.
    • Virtuelle Hub-Kapazität: Wählen Sie aus der Dropdownliste. Weitere Informationen finden Sie unter Einstellungen für virtuelle Hubs.
    • Hubroutingpräferenz: Übernehmen Sie die Standardeinstellung. Weitere Informationen finden Sie unter Einstellungen für das Routing virtueller Hubs.

Hinzufügen eines P2S-Gateways zu einem Hub

In diesem Abschnitt erfahren Sie, wie Sie einem bereits vorhandenen virtuellen Hub ein Gateway hinzufügen. Dieser Schritt kann bis zu 30 Minuten dauern, bis die Aktualisierung des Hubs abgeschlossen ist.

  1. Navigieren Sie unter dem virtuellen WAN zur Seite Hubs.

  2. Klicken Sie auf den Namen des Hubs, den Sie bearbeiten möchten, um die Seite für den Hub zu öffnen.

  3. Klicken Sie oben auf der Seite auf Virtuellen Hub bearbeiten, um die Seite Virtuellen Hub bearbeiten zu öffnen.

  4. Aktivieren Sie auf der Seite Virtuellen Hub bearbeiten die Kontrollkästchen VPN -Gateway für VPN-Standorte einschließen und Point-to-Site-Gateway einschließen, um die Einstellungen anzuzeigen. Konfigurieren Sie dann die Werte.

    Screenshot: Seite „Virtuellen Hub bearbeiten“

    • Gatewayskalierungseinheiten: Wählen Sie die Gatewayskalierungseinheiten aus. Skalierungseinheiten stellen die aggregierte Kapazität des Benutzer-VPN-Gateways dar. Wenn Sie 40 oder mehr Gatewayskalierungseinheiten auswählen, müssen Sie Ihren Clientadresspool entsprechend planen. Informationen dazu, wie sich diese Einstellung auf den Clientadresspool auswirkt, finden Sie unter Informationen zu Clientadresspools. Informationen zu Gatewayskalierungseinheiten finden Sie in den häufig gestellten Fragen (FAQ).
    • Benutzer-VPN--Konfiguration: Wählen Sie die Konfiguration aus, die Sie zuvor erstellt haben.
    • Konfigurieren der Zuordnung von Benutzergruppen zu Adresspools: Informationen zu dieser Einstellung finden Sie unter Konfigurieren von Benutzergruppen und IP-Adresspools für P2S-Benutzer-VPNs (Vorschau).
  5. Klicken Sie nach dem Konfigurieren der Einstellungen auf Bestätigen, um den Hub zu aktualisieren. Das Aktualisieren eines Hubs kann bis zu 30 Minuten dauern.

Verbinden eines VNET mit einem Hub

In diesem Abschnitt erstellen Sie eine Verbindung zwischen Ihrem virtuellen Hub und Ihrem VNet.

  1. Navigieren Sie im Azure-Portal zu Ihrem Virtual WAN und wählen Sie im linken Bereich VNet-Verbindungen aus.

  2. Wählen Sie auf der Seite für VNet-Verbindungen+ Verbindung hinzufügen aus.

  3. Konfigurieren Sie auf der Seite Verbindung hinzufügen die Verbindungseinstellungen. Weitere Informationen zu Routingeinstellungen finden Sie unter Informationen zum Routing virtueller Hubs.

    Screenshot: Seite „Verbindung hinzufügen“

    • Verbindungsname: Benennen Sie Ihre Verbindung.
    • Hubs: Wählen Sie den Hub aus, den Sie dieser Verbindung zuordnen möchten.
    • Abonnement: Überprüfen Sie das Abonnement.
    • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die das virtuelle Netzwerk enthält, mit dem Sie eine Verbindung herstellen möchten.
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, das Sie mit diesem Hub verbinden möchten. Für das von Ihnen gewählte virtuelle Netzwerk kann nicht bereits ein Gateway für virtuelle Netzwerke vorhanden sein.
    • An keine verteilen: Diese Einstellung ist standardmäßig auf Nein festgelegt. Wenn Sie den Schalter auf Ja festlegen, stehen die Konfigurationsoptionen für An Routingtabellen weitergeben und Propagate to labels (An Bezeichnungen weitergeben) nicht mehr für die Konfiguration zur Verfügung.
    • Routingtabelle zuordnen: Sie können im Dropdownmenü die Routingtabelle auswählen, die Sie zuordnen möchten.
    • An Bezeichnungen weitergeben: Bezeichnungen sind eine logische Gruppe von Routingtabellen. Wählen Sie für diese Einstellung einen Eintrag aus der Dropdownliste aus.
    • Statische Routen: Konfigurieren Sie ggf. statische Routen. Konfigurieren Sie statische Routen für virtuelle Netzwerkgeräte (falls zutreffend). Virtual WAN unterstützt eine einzelne IP-Adresse des nächsten Hops für eine statische Route einer VNET-Verbindung. Wenn Sie beispielsweise jeweils über ein separates virtuelles Gerät für ein- und ausgehende Datenverkehrsflüsse verfügen, ist es am besten, die virtuellen Geräte in separaten VNets anzuordnen und die VNets dem virtuellen Hub zuzuordnen.
    • IP des nächsten Hops für Workloads innerhalb dieses VNets umgehen: Mit dieser Einstellung können Sie NVAs und andere Workloads im selben VNet bereitstellen, ohne dass der gesamte Datenverkehr über das NVA geleitet werden muss. Diese Einstellung kann nur konfiguriert werden, wenn Sie eine neue Verbindung konfigurieren. Wenn Sie diese Einstellung für eine bereits erstellte Verbindung verwenden möchten, löschen Sie die Verbindung, und fügen Sie dann eine neue Verbindung hinzu.
    • Statische Route verteilen: Diese Einstellung wird derzeit eingeführt. Mit dieser Einstellung können Sie statische Routen, die im Abschnitt Statische Routen definiert sind, an Routingtabellen weitergeben, die unter Weitergabe an Routentabellen angegeben sind. Darüber hinaus werden Routen an Routingtabellen weitergegeben, für die Bezeichnungen unter Weitergabe an Bezeichnungen angegeben sind. Diese Routen können mit Ausnahme der Standardroute 0/0 hubübergreifend weitergegeben werden. Dieses Feature wird derzeit eingeführt. Wenn Sie dieses Feature aktivieren müssen, öffnen Sie bitte einen Supportfall.
  4. Wenn Sie die Einstellungen vorgenommen haben, die Sie konfigurieren möchten, klicken Sie auf Erstellen, um die Verbindung zu erstellen.

Herunterladen des VPN-Profils für Benutzer

Alle erforderlichen Konfigurationseinstellungen für die VPN-Clients sind in einer ZIP-Datei für die VPN-Clientkonfiguration enthalten. Mithilfe der Einstellungen in der ZIP-Datei können Sie die VPN-Clients einfach konfigurieren. Die von Ihnen generierten VPN-Clientkonfigurationsdateien gelten speziell für die Benutzer-VPN-Gatewaykonfiguration für Ihr Gateway. Sie können globale Profile (WAN-Ebene) oder ein Profil für einen bestimmten Hub herunterladen. Weitere Informationen und weitere Anweisungen finden Sie unter Herunterladen von globalen und Hub-Profilen. Die folgenden Schritte beschreiben, wie Sie ein globales Profil auf WAN-Ebene herunterladen.

  1. Navigieren Sie zum Generieren eines VPN-Clientkonfigurationspakets für ein globales Profil auf WAN-Ebene zu Virtual WAN (nicht zum virtuellen Hub).

  2. Wählen Sie im linken Bereich Benutzer-VPN-Konfigurationen aus.

  3. Wählen Sie die Konfiguration aus, für die Sie das Profil herunterladen möchten. Wenn mehrere Hubs demselben Profil zugewiesen sind, erweitern Sie das Profil, um die Hubs anzuzeigen, und wählen Sie dann einen der Hubs aus, der dieses Profil verwendet.

  4. Wählen Sie VPN-Profil für Virtual WAN-Benutzer herunterladen aus.

  5. Wählen Sie auf der Downloadseite EAPTLS und dann Profil generieren und herunterladen aus. Ein Profilpaket (ZIP-Datei) mit den Clientkonfigurationseinstellungen wird generiert und auf Ihren Computer heruntergeladen. Der Inhalt des Pakets hängt von den für Ihre Konfiguration ausgewählten Authentifizierungs- und Tunneloptionen ab.

Konfigurieren von Benutzer-VPN-Clients

Auf jedem Computer, der eine Verbindung herstellt, muss ein Client installiert sein. Sie konfigurieren jeden Client mithilfe der VPN-Benutzer-Clientprofildateien, die Sie in den vorherigen Schritten heruntergeladen haben. Verwenden Sie den Artikel, der sich auf das Betriebssystem bezieht, das Sie verbinden möchten.

So konfigurieren Sie macOS-VPN-Clients (Vorschau)

Anweisungen zum macOS-Client finden Sie unter Konfigurieren eines VPN-Clients – macOS (Vorschau).

So konfigurieren Sie Windows-VPN-Clients

  1. Laden Sie die neueste Version der Installationsdateien von Azure VPN Client über einen der folgenden Links herunter:

  2. Installieren Sie den Azure VPN Client auf jedem Computer.

  3. Überprüfen Sie, dass der Azure VPN Client über die Berechtigung für die Ausführung im Hintergrund verfügt. Schritte dazu finden Sie unter Windows-Hintergrund-Apps.

  4. Öffnen Sie den Azure VPN Client, um die installierte Clientversion zu überprüfen. Wechseln Sie zum unteren Rand des Clients, und klicken Sie auf ... -> ? Hilfe. Im rechten Bereich wird die Versionsnummer des Clients angezeigt.

So importieren Sie ein VPN-Clientprofil (Windows)

  1. Wählen Sie auf der Seite Importierenaus.

    Screenshot der Importseite.

  2. Navigieren Sie zur XML-Datei für das Profil und wählen Sie sie aus. Wählen Sie bei ausgewählter Datei Öffnen aus.

    Der Screenshot zeigt das Dialogfeld „Öffnen“, in dem Sie eine Datei auswählen können.

  3. Geben Sie den Namen des Profils an und wählen Sie Speichern aus.

    Der Screenshot zeigt den hinzugefügten Verbindungsnamen und die ausgewählte Schaltfläche „Speichern“ an.

  4. Wählen Sie Verbinden aus, um die Verbindung zum VPN herzustellen.

    Der Screenshot zeigt die Schaltfläche „Verbinden“ für die für die gerade erstellte Verbindung an.

  5. Nachdem die Verbindung hergestellt wurde, wird das Symbol grün und Verbunden angezeigt.

    Der Screenshot zeigt die Verbindung mit dem Status „Verbunden“ mit der Option zum Trennen der Verbindung.

So löschen Sie ein Clientprofil: Windows

  1. Wählen Sie neben dem Clientprofil, das Sie löschen möchten, die Auslassungspunkte (...) aus. Wählen Sie dann Entfernen aus.

    Screenshot der im Menü ausgewählten Option „Entfernen“.

  2. Wählen Sie Entfernen aus, um den Löschvorgang durchzuführen.

    Der Screenshot zeigt ein Bestätigungsdialogfeld mit der Option zum Entfernen oder Abbrechen.

Diagnose von Verbindungsproblemen: Windows

  1. Zum Diagnostizieren von Verbindungsproblemen können Sie das Diagnose-Tool verwenden. Wählen Sie neben der VPN-Verbindung, die Sie diagnostizieren möchten, die Auslassungspunkte (...) aus, um das Menü einzublenden. Wählen Sie dann Diagnose aus.

    Screenshot der im Menü ausgewählten Option „Diagnose“.

  2. Wählen Sie auf der Seite Verbindungseigenschaften die Option Diagnose ausführen aus.

    Der Screenshot zeigt die Schaltfläche „Diagnose ausführen“ für eine Verbindung an.

  3. Melden Sie sich mit Ihren Anmeldeinformationen an.

    Der Screenshot zeigt das Dialogfeld „Anmelden“ für diese Aktion an.

  4. Zeigen Sie die Diagnoseergebnisse an.

    Screenshot mit den Ergebnissen der Diagnose.

Anzeigen Ihrer Virtual WAN-Instanz

  1. Navigieren Sie zum virtuellen WAN.
  2. Auf der Seite „Übersicht“ steht jeder Punkt auf der Karte für einen Hub.
  3. Im Abschnitt mit den Hubs und Verbindungen können Sie den Hubstatus, die Site, die Region, den VPN-Verbindungsstatus und die Anzahl von ein- und ausgehenden Byte anzeigen.

Bereinigen von Ressourcen

Wenn Sie die von Ihnen erstellten Ressourcen nicht mehr benötigen, können Sie sie löschen. Einige Virtual WAN-Ressourcen müssen aufgrund von Abhängigkeiten in einer bestimmten Reihenfolge gelöscht werden. Das Löschen kann bis zu 30 Minuten dauern.

  1. Öffnen Sie die Virtual WAN-Instanz, die Sie erstellt haben.

  2. Wählen Sie einen virtuellen Hub aus, der der Virtual WAN-Instanz zugeordnet ist, um die Seite für den Hub zu öffnen.

  3. Löschen Sie alle Gatewayentitäten in der unten angegebenen Reihenfolge für jeden Gatewaytyp. Dieser Vorgang kann bis zu 30 Minuten dauern.

    VPN:

    • VPN-Standorte trennen
    • VPN-Verbindungen löschen
    • VPN-Gateways löschen

    ExpressRoute:

    • ExpressRoute-Verbindungen löschen
    • ExpressRoute-Gateways löschen
  4. Wiederholen Sie diesen Schritt für alle Hubs, die der Virtual WAN-Instanz zugeordnet sind.

  5. Sie können die Hubs entweder jetzt oder zu einem späteren Zeitpunkt löschen, wenn Sie die Ressourcengruppe löschen.

  6. Navigieren Sie im Azure-Portal zur Ressourcengruppe.

  7. Wählen Sie die Option Ressourcengruppe löschen. Hierdurch werden die anderen in der Ressourcengruppe enthaltenen Ressourcen gelöscht, einschließlich der Hubs und der Virtual WAN-Instanz.

Nächste Schritte

Häufig gestellte Fragen zu Virtual WAN finden Sie unter Virtual WAN: Häufig gestellte Fragen.