Konfigurieren des Azure VPN-Clients für P2S-Zertifikatauthentifizierungsverbindungen – Windows

Wenn Ihr P2S-VPN-Gateway (Point-to-Site) für die Verwendung von OpenVPN und Zertifikatauthentifizierung konfiguriert ist, können Sie mithilfe des Azure VPN-Clients eine Verbindung mit Ihrem virtuellen Netzwerk herstellen. Dieser Artikel führt Sie durch die Schritte zum Konfigurieren von Azure VPN Client sowie zum Herstellen einer Verbindung mit Ihrem virtuellen Netzwerk.

Voraussetzungen

Vergewissern Sie sich vor Beginn der Clientkonfigurationsschritte, dass Sie sich im richtigen Artikel zur VPN-Clientkonfiguration befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für VPN Gateway-P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.

Authentifizierung Tunneltyp Clientbetriebssystem VPN-Client
Zertifikat
IKEv2, SSTP Windows Nativer VPN-Client
IKEv2 macOS Nativer VPN-Client
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN Client
OpenVPN-Clientversion 2.x
OpenVPN-Clientversion 3.x
OpenVPN macOS OpenVPN-Client
OpenVPN iOS OpenVPN-Client
OpenVPN Linux Azure VPN Client
OpenVPN-Client
Microsoft Entra ID
OpenVPN Windows Azure VPN Client
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits die folgenden Voraussetzungen erfüllt haben:

Verbindungsanforderungen

Jeder Clientcomputer benötigt folgende Elemente, um eine Verbindung mit Azure herstellen zu können:

  • Die Azure VPN Client-Software muss auf jedem Clientcomputer installiert werden.
  • Das Azure VPN Client-Profil wird mithilfe der Einstellungen in der heruntergeladenen Konfigurationsdatei azurevpnconfig.xml oder azurevpnconfig_cert.xml konfiguriert.
  • Der Clientcomputer muss über ein lokal installiertes Clientzertifikat verfügen.

Generieren und Installieren von Clientzertifikaten

Für die Zertifikatauthentifizierung muss auf jedem Clientcomputer ein Clientzertifikat installiert sein. Das zu verwendende Clientzertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten. Darüber hinaus müssen Sie für einige Konfigurationen auch Stammzertifikatinformationen installieren.

Installieren des Clientzertifikats

Jeder Computer benötigt ein Clientzertifikat, um sich zu authentifizieren. Wenn das Clientzertifikat noch nicht auf dem lokalen Computer installiert ist, können Sie es mit den folgenden Schritten installieren:

  1. Suchen Sie das Clientzertifikat. Weitere Informationen zu Clientzertifikaten finden Sie unter Installieren von Clientzertifikaten.
  2. Installieren Sie das Clientzertifikat. In der Regel können Sie dazu auf die Zertifikatdatei doppelklicken und (bei Bedarf) ein Kennwort angeben.

Konfigurationsdateien ansehen

Das VPN-Clientprofilkonfigurationspaket enthält bestimmte Ordner. Die Dateien in den Ordnern enthalten die Einstellungen, die zum Konfigurieren des VPN-Clientprofils auf dem Clientcomputer erforderlich sind. Die Dateien und die darin enthaltenen Einstellungen sind spezifisch für das VPN-Gateway und den Typ der Authentifizierung und des Tunnels, der für die Verwendung für Ihr VPN-Gateway konfiguriert ist.

Suchen und entzippen Sie das von Ihnen generierte VPN-Clientprofilkonfigurationspaket. Für die Zertifikatauthentifizierung und OpenVPN wird der Ordner AzureVPN angezeigt. In diesem Ordner sehen Sie entweder die Datei azurevpnconfig_cert.xml oder die Datei azurevpnconfig.xml, je nachdem, ob Ihre P2S-Konfiguration mehrere Authentifizierungstypen enthält. Die XML-Datei enthält die Einstellungen, die Sie zum Konfigurieren des VPN-Clientprofils verwenden.

Wenn keine Datei angezeigt wird oder der Ordner AzureVPN nicht vorhanden ist, überprüfen Sie, ob Ihr VPN-Gateway für die Verwendung des OpenVPN-Tunneltyps konfiguriert ist und ob die Zertifikatauthentifizierung ausgewählt ist.

Azure VPN Client herunterladen

  1. Laden Sie die neueste Version der Installationsdateien von Azure VPN Client über einen der folgenden Links herunter:

  2. Installieren Sie den Azure VPN Client auf jedem Computer.

  3. Überprüfen Sie, dass der Azure VPN Client über die Berechtigung für die Ausführung im Hintergrund verfügt. Schritte dazu finden Sie unter Windows-Hintergrund-Apps.

  4. Öffnen Sie den Azure VPN Client, um die installierte Clientversion zu überprüfen. Wechseln Sie zum unteren Rand des Clients, und klicken Sie auf ... -> ? Hilfe. Im rechten Bereich wird die Versionsnummer des Clients angezeigt.

Konfigurieren des Azure VPN Client-Profils

  1. Öffnen Sie Azure VPN Client.

  2. Wählen Sie links unten auf der Seite die Option + und anschließend Importieren aus.

  3. Navigieren Sie im Fenster zur Datei azurevpnconfig.xml oder azurevpnconfig_cert.xml. Wählen Sie die Datei und dann Öffnen aus.

  4. Beachten Sie auf der Clientprofilseite, dass viele der Einstellungen bereits angegeben sind. Die vorkonfigurierten Einstellungen sind im VPN-Clientprofilpaket enthalten, das Sie importiert haben. Obwohl die meisten Einstellungen bereits angegeben sind, müssen Sie Einstellungen speziell für den Clientcomputer konfigurieren.

    Wählen Sie im Drop-down-Menü Zertifikatinformationen den Namen des untergeordneten Zertifikats (das Clientzertifikat) aus. Beispielsweise P2SChildCert. Sie können auch (optional) ein sekundäres Profil auswählen. Wählen Sie für diese Übung Keine aus.

    Screenshot: Seite zum Konfigurieren des Azure VPN Client-Profils

    Wenn in der Dropdownliste Zertifikatinformationen kein Clientzertifikat angezeigt wird, müssen Sie den Vorgang abbrechen und das Problem beheben, bevor Sie fortfahren. Es ist möglich, dass eines der folgenden Dinge das Problem verursacht:

    • Das Clientzertifikat wurde nicht lokal auf dem Clientcomputer installiert.
    • Es gibt mehrere Zertifikate mit genau demselben Namen, die auf Ihrem lokalen Computer installiert sind (üblich in Testumgebungen).
    • Das untergeordnete Zertifikat ist beschädigt.
  5. Wählen Sie nach der Importüberprüfung (fehlerfreier Import) die Option Speichern aus.

  6. Navigieren Sie im linken Bereich zur VPN-Verbindung, und wählen Sie Verbinden aus.

Optionale Einstellungen für Azure VPN Client

In den folgenden Abschnitten werden optionale Konfigurationseinstellungen erläutert, die für Azure VPN Client verfügbar sind.

Sekundäres Profil

Der Azure VPN Client bietet Hochverfügbarkeit für Clientprofile. Durch Hinzufügen eines sekundären Clientprofils hat der Client eine stabilere Möglichkeit, auf das VPN zuzugreifen. Bei einem Regionsausfall oder Fehler beim Herstellen einer Verbindung mit dem primären VPN-Clientprofil stellt Azure VPN Client automatisch eine Verbindung mit dem sekundären Clientprofil her, ohne dass Unterbrechungen auftreten.

Für dieses Feature ist die Azure VPN-Clientversion 2.2124.51.0 oder höher erforderlich. In diesem Beispiel fügen wir einem bereits vorhandenen Profil ein sekundäres Profil hinzu.

Wenn der Client bei Verwendung der Einstellungen in diesem Beispiel keine Verbindung mit VNet1 herstellen kann, wird automatisch eine Verbindung mit Contoso hergestellt, ohne dass Unterbrechungen auftreten.

  1. Fügen Sie dem Azure VPN Client ein weiteres VPN-Clientprofil hinzu. In diesem Beispiel haben wir eine VPN-Clientprofildatei importiert und eine Verbindung zu Contoso hinzugefügt.

  2. Wechseln Sie als Nächstes zum VNet1-Profil, und klicken Sie auf ... (drei Auslassungspunkte) und dann auf Konfigurieren.

  3. Wählen Sie in der Dropdownliste Sekundäres Profil das Profil für Contoso aus. Speichern Sie Ihre Einstellungen.

    Screenshot: Konfigurationsseite für das VPN-Clientprofil mit sekundärem Profil

Benutzerdefinierte Einstellungen: DNS und Routing

Sie können Azure VPN Client mit optionalen Konfigurationseinstellungen wie weiteren DNS-Servern, benutzerdefiniertem DNS, Tunnelerzwingung, benutzerdefinierten Routen und anderen Einstellungen konfigurieren. Eine Beschreibung der verfügbaren Einstellungen und Konfigurationsschritte finden Sie unter Optionale Azure VPN Client-Einstellungen.

Nächste Schritte

Stellen Sie dann alle zusätzlichen Server- oder Verbindungseinstellungen ein. Weitere Informationen unter Point-to-Site-Konfigurationsschritte.