Руководство. Создание VPN-подключения пользователя P2S с помощью Azure Виртуальная глобальная сеть — проверка подлинности Certificate или RADIUS
В этом учебнике показано, как с помощью Виртуальной глобальной сети создать подключение к ресурсам в Azure. В этом руководстве описано, как создать VPN-подключение "точка — сеть" на базе OpenVPN или IPsec/IKE (IKEv2) с помощью портала Azure. Для этого типа подключения на каждом клиентском компьютере должен быть настроен собственный VPN-клиент.
- Эта статья применима к проверке подлинности сертификата и RADIUS. Сведения о проверке подлинности Microsoft Entra см. в разделе "Настройка VPN-подключения пользователя — проверка подлинности Microsoft Entra".
- Дополнительные сведения о Виртуальной глобальной сети см. в этой статье.
В этом руководстве описано следующее:
- Создание виртуальной глобальной сети
- создание конфигурации VPN-подключения пользователей;
- создание виртуального концентратора и шлюза;
- Создание файлов конфигурации клиента
- Настройка VPN-клиентов
- подключение к виртуальной сети;
- Просмотр виртуальной глобальной сети
- Изменение параметров
Необходимые компоненты
у вас есть подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись.
У вас есть виртуальная сеть, к которой вы хотите подключиться.
- Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться.
- Сведения о создании виртуальной сети на портале Azure см. в кратком руководстве.
В вашей виртуальной сети не должно быть шлюзов виртуальной сети.
- Если в виртуальной сети уже есть шлюзы (VPN или ExpressRoute), необходимо удалить их все, прежде чем продолжать работу.
- Эта конфигурация требует, чтобы виртуальные сети подключались только к шлюзу концентратора Виртуальной глобальной сети.
Выберите диапазон IP-адресов, который вы хотите использовать для пространства частных адресов виртуального концентратора. Эти сведения используются при настройке виртуального концентратора. Виртуальный концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Это основа вашей Виртуальной глобальной сети в регионе. Диапазон адресного пространства должен соответствовать определенным правилам:
- Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь.
- Указанный диапазон не может пересекаться с диапазонами локальных адресов, к которым вы подключаетесь.
- Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.
Создание виртуальной глобальной сети
На портале в строке Поиск ресурсов введите Виртуальная глобальная сеть и нажмите ВВОД.
Выберите Виртуальные глобальные сети в результатах. На странице "Виртуальные глобальные сети" щелкните + Создать, чтобы открыть страницу Создание глобальной сети.
На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.
- Подписка. Выберите подписку, которую вы хотите использовать.
- Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
- Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
- Имя. Введите имя своей виртуальной глобальной сети.
- Тип. "Базовый" или "Стандартный". Выберите Стандартное. Если вы выбрали "Базовый", учтите, что виртуальные сети уровня "Базовый" могут включать центры только такого же уровня. Центры уровня "Базовый" можно использовать только для подключений "сеть — сеть".
Заполнив поля, нажмите кнопку Просмотреть и создать внизу страницы.
После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.
создание пользовательской конфигурации VPN;
Конфигурация VPN пользователя ("точка — сеть") определяет параметры для подключения удаленных клиентов. Перед созданием шлюза P2S в концентраторе создаются пользовательские конфигурации VPN. Можно создать несколько пользовательских конфигураций VPN. При создании шлюза P2S выберите пользовательскую конфигурацию VPN, которую нужно использовать.
Подходящие инструкции зависят от используемого метода проверки подлинности. В этом упражнении мы выбираем OpenVpn и IKEv2 и проверку подлинности на основе сертификата. Однако доступны и другие конфигурации. Каждый способ проверки подлинности имеет определенные требования.
Сертификаты Azure. Для этой конфигурации требуются сертификаты. Их необходимо создать самостоятельно или получить. Для каждого клиента требуется отдельный сертификат клиента. Кроме того, необходимо отправить сведения о корневом сертификате (открытый ключ). Дополнительные сведения о необходимых сертификатах см. в разделе Создание и экспорт сертификатов.
Проверка подлинности на основе RADIUS. Получите IP-адрес сервера RADIUS, секрет сервера RADIUS и сведения о сертификате.
Проверка подлинности Microsoft Entra: см. раздел "Настройка VPN-подключения пользователя" — проверка подлинности Microsoft Entra.
Шаги настройки
Перейдите к созданной виртуальной глобальной сети.
В меню слева выберите Пользовательские конфигурации VPN.
На странице Пользовательские конфигурации VPN выберите Создать пользовательскую конфигурацию VPN.
На странице Создание пользовательской конфигурации VPN на вкладке Основные в разделе Сведения об экземпляре введите значение для поля Имя для вашей конфигурации VPN.
В раскрывающемся списке Тип туннеля выберите нужное значение. Доступные типы туннелей: IKEV2 VPN, OpenVPN и OpenVPN и IKEv2. Каждый тип туннеля имеет свои обязательные параметры. Выбранный тип туннеля соответствует доступным вариантам проверки подлинности.
Требования и параметры:
IKEv2 VPN
Требования. Если задан типа туннеля IKEv2, то отобразится сообщение о необходимости выбрать способ проверки подлинности. Для IKEv2 можно указать несколько методов проверки подлинности. Вы можете выбрать сертификат Azure, проверку подлинности на основе RADIUS или оба варианта.
Пользовательские параметры IPsec. Чтобы задать настройки для этапа IKE 1 и этапа IKE 2, установите переключатель IPsec в положение Пользовательские и выберите значения параметров. Дополнительные сведения о настройке см. в статье о пользовательских параметрах IPsec.
OpenVPN.
- Требования. Если задан типа туннеля OpenVPN, то отобразится сообщение о необходимости выбрать механизм проверки подлинности. Если в качестве типа туннеля выбран OpenVPN, вы можете указать несколько способов проверки подлинности. Вы можете выбрать любой подмножество сертификата Azure, идентификатора Microsoft Entra или проверки подлинности на основе RADIUS. Для проверки подлинности на основе протокола RADIUS можно указать дополнительный IP-адрес RADIUS-сервера и секрет сервера.
OpenVPN и IKEv2
- Требования. При выборе типа туннеля OpenVPN и IKEv2 вы увидите сообщение, направляющее вас к выбору механизма проверки подлинности. Если в качестве типа туннеля выбраны OpenVPN и IKEv2, можно указать несколько методов проверки подлинности. Вы можете выбрать идентификатор Microsoft Entra вместе с сертификатом Azure или проверкой подлинности на основе RADIUS. Для проверки подлинности на основе протокола RADIUS можно указать дополнительный IP-адрес RADIUS-сервера и секрет сервера.
Настройте способы проверки подлинности, которые вы хотите использовать. Каждый метод проверки подлинности находится на отдельной вкладке: сертификат Azure, проверка подлинности RADIUS и идентификатор Microsoft Entra. Некоторые способы проверки подлинности доступны только для определенных типов туннелей.
На вкладке способа проверки подлинности, который вы хотите настроить, выберите Да, чтобы просмотреть доступные параметры конфигурации.
Пример: проверка подлинности на основе сертификата
Для настройки этого параметра тип туннеля на странице "Основное" может быть IKEv2, OpenVPN или OpenVPN и IKEv2.
Пример: проверка подлинности RADIUS
Чтобы настроить этот параметр, тип туннеля на странице "Основы" можно использовать Ikev2, OpenVPN или OpenVPN и IKEv2.
Пример проверки подлинности Microsoft Entra
Чтобы настроить этот параметр, тип туннеля на странице "Основы" должен быть OpenVPN. Проверка подлинности на основе идентификаторов Microsoft Entra поддерживается только в OpenVPN.
Когда вы закончите настройку параметров, щелкните Проверка и создание внизу страницы.
Нажмите Создать, чтобы создать пользовательскую конфигурацию VPN.
Создание виртуального концентратора и шлюза
Страница "Основные сведения"
Откройте только что созданную виртуальную глобальную сеть. На странице "Виртуальная глобальная сеть" в разделе Возможность подключения выберите Концентраторы.
На странице Центры выберите +Новый центр, чтобы открыть страницу Создание виртуального центра.
На вкладке Основные сведения страницы Создание виртуального концентратора заполните следующие поля:
- Регион: выберите регион, в котором требуется развернуть виртуальный центр.
- Имя: имя виртуального центра.
- Пространство частных адресов концентратора: диапазон адресов концентратора в нотации CIDR. Минимальное адресное пространство /24 для создания концентратора.
- Емкость виртуального концентратора: выберите вариант из раскрывающегося списка. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
- Предпочтения маршрутизации концентратора: оставьте значение по умолчанию. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.
Страница "Конфигурация типа "точка — сеть"
Перейдите на вкладку Точка — сеть, чтобы открыть страницу настройки подключения "точка — сеть". Чтобы просмотреть параметры подключения, нажмите кнопку Да.
Настройте следующие параметры:
Единицы масштабирования шлюза — совокупная емкость VPN-шлюза пользователя. Если вы выбрали 40 или более единиц, спланируйте пул адресов клиентов соответствующим образом. Сведения о том, как этот параметр влияет на пул адресов клиента, см. в статье Общие сведения о пулах клиентских адресов. Для получения информации о единицах масштабирования шлюза см. раздел с часто задаваемыми вопросами.
Конфигурация "точка-сеть" — выберите конфигурацию VPN пользователя, созданную на предыдущем шаге.
Предпочтение маршрутизации — этот параметр позволяет выбрать способ передачи трафика между Azure и Интернетом. Вы можете выбрать передачу трафика через сеть Майкрософт или сети поставщиков услуг Интернета (общедоступный Интернет). Эти варианты условно называются режимами "холодной картошки" и "горячей картошки" соответственно. Общедоступный IP-адрес в виртуальной глобальной сети назначается службой на основе выбранного варианта маршрутизации. Дополнительные сведения о вариантах маршрутизации через сеть Майкрософт или поставщик услуг Интернета см. в статье Что такое предпочтение маршрутизации?
Использовать удаленный или локальный сервер RADIUS: если пользовательский VPN-шлюз Виртуальной глобальной сети Azure настроен для использования проверки подлинности на основе RADIUS, пользовательский VPN-шлюз выступает в качестве прокси-сервера и отправляет RADIUS-запросы на доступ к серверу RADIUS. Параметр "Использовать удаленный или локальный сервер RADIUS" отключен по умолчанию, то есть пользовательский VPN-шлюз будет иметь возможность перенаправлять запросы на проверку подлинности только на серверы RADIUS в виртуальных сетях, подключенных к концентратору шлюза. Включение этого параметра позволит пользовательскому VPN-шлюзу пользователя проходить проверку подлинности с помощью серверов RADIUS, подключенных к удаленным концентраторам или развернутых локально.
Примечание.
Настройка удаленного или локального сервера RADIUS и связанных IP-адресов прокси используется только в том случае, если шлюз настроен для использования проверки подлинности на основе RADIUS. Если шлюз не настроен на использование проверки подлинности на основе RADIUS, этот параметр будет проигнорирован.
Параметр "Использовать удаленный или локальный RADIUS-сервер" необходимо включить, если пользователи вместо профиля на основе концентратора будут подключаться к глобальному профилю VPN. Дополнительные сведения см. в статье о глобальных профилях и профилях на основе концентратора.
Создав VPN-шлюз пользователя, перейдите к этому шлюзу и обратите внимание на значение в поле IP-адресов прокси-сервера RADIUS. IP-адреса прокси-сервера RADIUS являются исходными адресами пакетов RADIUS, которые пользовательский VPN-шлюз отправляет на сервер RADIUS. Поэтому сервер RADIUS должен быть настроен для приема запросов проверки подлинности от IP-адресов прокси-сервера RADIUS. Если поле IP-адресов прокси-сервера RADIUS не заполнено или отсутствует, настройте сервер RADIUS на прием запросов проверки подлинности из диапазона IP-адресов концентратора.
Кроме того, не забудьте задать связи и распространение подключения (виртуальной сети или локальной сети), на котором размещается сервер RADIUS, распространяется на стандартную версиюRouteTable концентратора, развернутого с ПОМОЩЬЮ VPN-шлюза "Точка — сеть", и что конфигурация VPN типа "точка — сеть" распространяется на таблицу маршрутов подключения, на котором размещен сервер RADIUS. Это обязательно, чтобы убедиться, что шлюз может взаимодействовать с сервером RADIUS и наоборот.
Клиентский пул адресов — пул адресов, из которого IP-адреса будут автоматически назначаться VPN-клиентам. Пулы адресов должны отличаться. Перекрытие между пулами адресов недопустимо. Дополнительные сведения см. в статье О пулах клиентских адресов.
Пользовательские DNS-серверы — IP-адрес DNS-серверов, которые будут использоваться клиентами. Можно указать максимум 5 адресов.
Чтобы проверить параметры, выберите Просмотр и создание.
После завершения проверки нажмите кнопку Создать. На создание концентратора требуется не менее 30 минут.
При создании нового концентратора вы можете заметить предупреждение на портале, ссылающееся на версию маршрутизатора. Иногда это происходит при подготовке маршрутизатора. После полной подготовки маршрутизатора сообщение больше не появится.
Создание файлов конфигурации клиента
При подключении к виртуальной сети с помощью пользовательского VPN-подключения ("точка — сеть") можно использовать VPN-клиент, встроенный в операционную систему того компьютера, с которого выполняется подключение. Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации VPN-клиента. Параметры в этом ZIP-файле помогут вам с легкостью настроить VPN-клиенты. Файлы конфигурации VPN-клиента, которые вы создаете, относятся только к конфигурации VPN пользователя для вашего шлюза. В этом разделе вы создаете и скачиваете файлы, используемые для настройки VPN-клиентов.
Существует два разных типа профилей конфигурации, которые можно скачать: глобальный и центральный. Глобальный профиль — это профиль конфигурации на уровне глобальной сети. После скачивания профиля конфигурации на уровне глобальной сети у вас будет встроенный пользовательский профиль VPN на основе Диспетчера трафика. Если при использовании глобального профиля по какой-либо причине концентратор становится недоступен, предоставляемое службой встроенное управление трафиком обеспечивает обмен данными с ресурсами Azure через другой концентратор для пользователей с подключением типа "точка — сеть". Чтобы получить дополнительные сведения или скачать пакет конфигурации VPN-клиента на уровне концентратора, посетите страницу Глобальные и центральные профили.
Чтобы создать пакет конфигурации VPN-клиента глобального профиля уровня глобальной сети, перейдите в виртуальную глобальную сеть (а не виртуальный концентратор).
В области слева выберите Пользовательские конфигурации VPN.
Выберите конфигурацию, для которой нужно скачать профиль. Если у вас несколько центров, назначенных одному профилю, разверните профиль, чтобы отобразить концентраторы, а затем выберите один из центров, использующих профиль.
Нажмите Скачать профиль VPN пользователя виртуальной глобальной сети.
На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от параметров проверки подлинности и туннеля для конфигурации.
Настройка VPN-клиентов
Используйте скачанный пакет профиля для настройки собственного VPN-клиента на компьютере. Процедуры для каждой операционной системы отличаются, поэтому следуйте соответствующим инструкциям. Завершив настройку клиента, можно установить подключение.
IKEv2
Если в пользовательской конфигурации VPN вы указали тип VPN-туннеля IKEv2, можно настроить собственный VPN-клиент (Windows и macOS Catalina или более поздней версии).
Ниже приведены инструкции для Windows. Инструкции для macOS см. в разделе IKEv2-macOS.
Выберите файлы конфигурации VPN-клиента, которые соответствуют архитектуре компьютера Windows. Для 64-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupAmd64. Для 32-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupX86.
Дважды щелкните пакет, чтобы установить его. При появлении всплывающего окна SmartScreen щелкните Подробнее, а затем Выполнить в любом случае.
На клиентском компьютере перейдите в раздел Параметры сети и щелкните VPN. Для VPN-подключения отображается имя виртуальной сети, к которой оно устанавливается.
Установите сертификат клиента на каждом компьютере, который требуется подключить через эту пользовательскую конфигурацию VPN. Сертификат клиента требуется при использовании собственной аутентификации Azure на основе сертификата. Дополнительную информацию о создании сертификатов см. в разделе Настройка подключения "точка — сеть" к виртуальной сети с использованием собственной аутентификации Azure на основе сертификата и портала Azure. Инструкции по установке сертификата клиента см. в разделе Установка сертификата клиента для аутентификации Azure на основе сертификата при подключениях типа "точка — сеть".
OpenVPN.
Если в пользовательской конфигурации VPN вы указали тип туннеля OpenVPN, можно скачать и настроить VPN-клиент Azure либо в некоторых случаях можно использовать клиентское программное обеспечение OpenVPN. Инструкции см. по ссылке, соответствующей вашей конфигурации.
- Проверка подлинности Microsoft Entra — VPN-клиент Azure — Windows
- Проверка подлинности Microsoft Entra — VPN-клиент Azure — macOS
- Настройка клиентского программного обеспечения OpenVPN — Windows, macOS, iOS, Linux
Подключение виртуальной сети к концентратору
В этом разделе вы создаете соединение между виртуальным концентратором и виртуальной сетью. В рамках этого учебника настраивать параметры маршрутизации не требуется.
В портал Azure перейдите к Виртуальная глобальная сеть В левой области выберите подключения виртуальной сети.
На странице подключений к виртуальной сети нажмите кнопку +Добавить подключение.
На странице Добавление подключения настройте параметры подключения. Сведения о параметрах маршрутизации см. в разделе "Сведения о маршрутизации".
- Имя подключения: задайте имя для своего подключения.
- Концентраторы: выберите концентратор, который нужно связать с этим подключением.
- Подписка: проверьте подписку.
- Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть, к которой требуется подключиться.
- Виртуальная сеть: выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. В выбранной виртуальной сети не должно быть шлюза виртуальной сети.
- Нет распространения: по умолчанию для этого параметра выбрано значение Нет. Если установить переключатель в положение Да, варианты конфигурации Распространить в таблицы маршрутизации и Распространить к меткам станут недоступны.
- Связать таблицу маршрутов: в раскрывающемся списке можно выбрать таблицу маршрутов, которую нужно связать.
- Распространение на метки: метки — это логическая группа таблиц маршрутов. Для этого параметра выберите в раскрывающемся списке.
- Статические маршруты: при необходимости настройте статические маршруты. Настройте статические маршруты для сетевых виртуальных устройств (если применимо). Виртуальная глобальная сеть поддерживает один IP-адрес следующего перехода для статического маршрута в виртуальном сетевом соединении. Например, если у вас есть отдельное виртуальное устройство для входящего трафика и исходящего трафика, рекомендуется использовать виртуальные устройства в отдельных виртуальных сетях и подключить виртуальные сети к виртуальному концентратору.
- Обход IP-адреса следующего прыжка для рабочих нагрузок в этой виртуальной сети. Этот параметр позволяет развертывать NVAs и другие рабочие нагрузки в одной виртуальной сети, не заставляя весь трафик через NVA. Этот параметр можно настроить только при настройке нового подключения. Если вы хотите использовать этот параметр для уже созданного подключения, удалите подключение, а затем добавьте новое подключение.
- Распространение статического маршрута: этот параметр в настоящее время развертывается. Этот параметр позволяет распространять статические маршруты, определенные в разделе "Статические маршруты " для маршрутизации таблиц, указанных в разделе "Распространение в таблицы маршрутов". Кроме того, маршруты будут распространяться в таблицы маршрутов с метками, указанными как распространение на метки. Эти маршруты могут распространяться между концентраторами, за исключением маршрута по умолчанию 0/0. Эта функция находится в процессе развертывания. Если эта функция включена, откройте вариант поддержки
После завершения настройки параметров нажмите кнопку "Создать ", чтобы создать подключение.
Панель мониторинга сеансов сайта
Чтобы просмотреть активную точку на сеансы сайта, щелкните сеансы "Точка — сеть". Откроется все активные точки на пользователей сайта, подключенных к VPN-шлюзу пользователя.
Чтобы отключить пользователей от VPN-шлюза пользователя, нажмите кнопку ... контекстное меню и нажмите кнопку "Отключить".
Изменение параметров
Изменение пула адресов клиента
Выберите Виртуальный концентратор -> VPN пользователя ("точка — сеть").
Щелкните значение рядом с параметром Единицы масштабирования шлюза, чтобы открыть страницу Изменение шлюза VPN пользователя.
На странице Изменение шлюза VPN пользователя измените параметры.
Щелкните Изменить в нижней части страницы, чтобы проверить параметры.
Нажмите кнопку Подтвердить, чтобы сохранить настройки. Потребуется до 30 минут, пока вступят в силу любые внесенные здесь изменения.
Изменение DNS-серверов
Выберите Виртуальный концентратор -> VPN пользователя ("точка — сеть").
Щелкните значение рядом с элементом Пользовательские DNS-серверы, чтобы открыть страницу Изменение пользовательского VPN-шлюза.
На странице Изменение пользовательского VPN-шлюза измените поле Пользовательские DNS-серверы. Введите IP-адреса DNS-серверов в текстовых полях Пользовательские DNS-серверы. Можно указать до пяти DNS-серверов.
Щелкните Изменить в нижней части страницы, чтобы проверить параметры.
Нажмите кнопку Подтвердить, чтобы сохранить настройки. Потребуется до 30 минут, пока вступят в силу любые внесенные здесь изменения.
Очистка ресурсов
Если созданные ресурсы вам больше не нужны, удалите их. Некоторые ресурсы Виртуальной глобальной сети необходимо удалять в определенном порядке с учетом зависимостей. Удаление может занять около 30 минут.
Откройте только что созданную виртуальную глобальную сеть.
Выберите виртуальный концентратор, связанный с виртуальной глобальной сетью, чтобы открыть страницу концентратора.
Удалите все субъекты шлюза в том порядке, который соответствует его типу. Этот процесс может занять до 30 минут.
VPN:
- Отключите VPN-сайты.
- Удалите VPN-подключения.
- Удалите VPN-шлюзы.
ExpressRoute:
- Удалите подключения ExpressRoute.
- Удалите шлюзы ExpressRoute.
Повторите эти действия для всех концентраторов, связанных с виртуальной глобальной сетью.
Сами концентраторы вы можете удалить сразу или позже при удалении группы ресурсов.
На портале Azure перейдите к группе ресурсов.
Выберите команду Удалить группу ресурсов. Это действие удаляет все элементы в группе ресурсов, включая концентраторы и виртуальную глобальную сеть.