Настройка VPN-клиента для конфигурации "точка — сеть": проверка подлинности с паролем RADIUS

  • Статья

Для установления подключения "точка— сеть" к виртуальной сети необходимо настроить клиентское устройство, из которого будет выполняться подключение. VPN-подключения "точка — сеть" можно создавать с клиентских устройств Windows, macOS и Linux. Эта статья поможет создать и установить конфигурацию VPN-клиента для проверки подлинности RADIUS с именем пользователя и паролем.

При использовании проверки подлинности RADIUS доступны различные варианты проверки подлинности: на основе сертификата, на основе пароля и другие методы и протоколы проверки подлинности. Настройка VPN-клиента отличается для каждого типа аутентификации. Для настройки VPN-клиента используются файлы конфигурации клиента, содержащие необходимые параметры.

Примечание.

Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения "точка — сеть", но не подключения "сеть — сеть". Если вы используете TLS для VPN-подключений "точка — сеть" на клиентах с Windows 10 или более поздней версии, никаких действий не требуется. Если вы используете TLS для подключений "точка — сеть" клиентов с Windows 7 и Windows 8, обратитесь к разделу VPN-шлюз: вопросы и ответы за инструкциями по обновлению.

Рабочий процесс

Ниже приведен рабочий процесс настройки аутентификации RADIUS для подключений типа "точка — сеть".

  1. Настройте VPN-шлюз Azure для подключения "точка — сеть".
  2. Настройте сервер RADIUS для аутентификации.
  3. Получите конфигурацию VPN-клиента для выбранного варианта проверки подлинности и используйте ее для настройки VPN-клиента (эта статья).
  4. Настройте и установите подключение "точка — сеть".

Внимание

Если вы создали профиль конфигурации VPN-клиента, а затем внесли изменения в конфигурацию VPN-подключения "точка — сеть" (например, изменили тип VPN-протокола или проверки подлинности), создайте и установите новую конфигурацию VPN-клиента на устройствах пользователей.

Вы можете настроить проверку подлинности имени пользователя или пароля для использования Active Directory или не использовать Active Directory. При любом сценарии убедитесь, что у всех пользователей есть учетные данные (имя пользователя и пароль), которые могут использоваться при аутентификации RADIUS.

При настройке аутентификации по имени пользователя и паролю можно создать только конфигурацию для протокола аутентификации по имени пользователя и паролю EAP-MSCHAPv2. В командах для параметра -AuthenticationMethod укажите значение EapMSChapv2.

Создание файлов конфигурации VPN-клиента

Вы можете создать файлы конфигурации VPN-клиента с помощью портала Azure или с помощью Azure PowerShell.

Портал Azure

  1. Перейдите к шлюзу виртуальной сети.
  2. Щелкните Конфигурация точка-сеть.
  3. Щелкните Загрузить VPN-клиент.
  4. Выберите клиента и заполните любую запрашиваемую информацию.
  5. Щелкните Загрузить, чтобы создать файл .zip.
  6. Файл .zip скачивает, как правило, в папку "Загрузки".

Azure PowerShell

Создайте файлы конфигурации VPN-клиента для аутентификации имени пользователя и пароля. Вы можете создать файлы конфигурации VPN-клиента с помощью следующей команды:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

Выполненная команда возвращает ссылку. Скопируйте и вставьте ссылку в веб-браузер, чтобы скачать файл VpnClientConfiguration.zip. Распакуйте файл. Отобразятся следующие папки:

  • WindowsAmd64 и WindowsX86. Эти папки содержат пакеты установщика 64- и 32-разрядной версий Windows соответственно.
  • Generic. Эта папка содержит общие сведения для создания конфигурации VPN-клиента. Эта папка не требуется, чтобы настроить проверку подлинности по имени пользователя и пароля.
  • Mac. Если при создании шлюза виртуальной сети настроен протокол IKEv2, отобразится папка с именем Mac, которая содержит файл mobileconfig. Этот файл используется для настройки клиентов Mac.

Если вы уже создали файлы конфигурации клиента, получить их можно с помощью командлета Get-AzVpnClientConfiguration. Но если изменить конфигурацию VPN-подключения "точка — сеть", например изменить тип VPN-протокола или проверки подлинности, конфигурация не обновится автоматически. Необходимо выполнить командлет New-AzVpnClientConfiguration для создания скачиваемого файла конфигурации.

Чтобы получить созданные файлы конфигурации, используйте следующую команду:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Клиент Windows VPN

На каждом клиентском компьютере Windows можно использовать один и тот же пакет конфигурации VPN-клиента, если его версия соответствует архитектуре клиента. Список поддерживаемых клиентских операционных систем см. в разделе с вопросами и ответами.

Чтобы настроить в Windows собственный VPN-клиент для аутентификации на основе сертификата, сделайте следующее:

  1. Выберите файлы конфигурации VPN-клиента, которые соответствуют архитектуре компьютера Windows. Для 64-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupAmd64. Для 32-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupX86.

  2. Дважды щелкните пакет, чтобы установить его. При появлении всплывающего окна SmartScreen выберите Дополнительно>Выполнить в любом случае.

  3. На клиентском компьютере перейдите в раздел Параметры сети и выберите VPN. Для VPN-подключения отображается имя виртуальной сети, к которой оно устанавливается.

VPN-клиент Mac (macOS)

  1. Выберите файл VpnClientSetup mobileconfig и отправьте его всем пользователям. Можно использовать электронную почту или другой способ.

  2. Найдите файл mobileconfig на компьютере Mac.

  3. (Необязательно.) Если вы хотите указать пользовательскую службу DNS, добавьте следующие строки в файл mobileconfig:

     <key>DNS</key>
 <dict>
   <key>ServerAddresses</key>
     <array>
         <string>10.0.0.132</string>
     </array>
   <key>SupplementalMatchDomains</key>
     <array>
         <string>TestDomain.com</string>
     </array>
 </dict>

  4. Дважды щелкните профиль, чтобы установить его, и нажмите кнопку Continue (Продолжить). Имя профиля совпадает с именем виртуальной сети.

  5. Нажмите кнопку Continue (Продолжить), чтобы определить отправителя как надежного и продолжить установку.

  6. При установке профиля вы можете указать имя пользователя и пароль для проверки подлинности VPN. Эти сведения вводить не обязательно, но если вы их укажете, они сохранятся и будут автоматически подставляться при установке подключения. Нажмите кнопку Install (Установить), чтобы продолжить.

  7. Введите имя пользователя и пароль, чтобы получить разрешения, необходимые для установки профиля на компьютере. Нажмите ОК.

  8. Установленный профиль отображается в диалоговом окне Profiles (Профили). Это диалоговое окно также можно открыть позже в разделе System Preferences (Системные настройки).

  9. Чтобы получить доступ к VPN-подключению, откройте в разделе System Preferences (Системные настройки) диалоговое окно Network (Сеть).

  10. VPN-подключение отображается как IkeV2-VPN. Имя можно изменить, обновив файл MOBILECONFIG.

  11. Выберите Authentication Settings (Параметры проверки подлинности). В списке выберите Username (Имя пользователя) и введите свои учетные данные. Если учетные данные введены ранее, имя пользователя будет выбрано автоматически. Имя пользователя и пароль подставляются предварительно. Нажмите кнопку ОК, чтобы сохранить настройки.

  12. Вернитесь в диалоговое окно Network (Сеть) и выберите Apply (Применить), чтобы сохранить изменения. Чтобы инициировать подключение, выберите Connect (Подключиться).

VPN-клиент Linux — strongSwan

Приведенные ниже инструкции были созданы с помощью strongSwan 5.5.1 в Ubuntu 17.0.4.

  1. Откройте приложение Terminal, чтобы установить strongSwan и его Network Manager, выполнив команду из примера. Если появляется сообщение об ошибке, связанной с libcharon-extra-plugins, замените этот параметр на strongswan-plugin-eap-mschapv2.

  2. Щелкните значок Network Manager (Диспетчер сети) (стрелка вверх или стрелка вниз), а затем выберите Edit Connections (Изменить подключения).

  3. Нажмите кнопку Add (Добавить), чтобы создать подключение.

  4. Выберите IPsec/IKEv2 (strongswan) (IPsec или IKEv2 (strongswan)) из раскрывающегося меню, а затем — Create (Создать). На этом шаге можно переименовать подключение.

  5. Откройте файл VpnSettings.xml из папки Generic скачанных файлов конфигурации клиента. Найдите тег VpnServer и скопируйте имя, начиная с azuregateway и заканчивая .cloudapp.net.

  6. Вставьте это имя в поле Address (Адрес) нового VPN-подключения в разделе Gateway (Шлюз). Затем щелкните значок папки в конце поля Certificate (Сертификат), перейдите в папку Generic и выберите файл VpnServerRoot.

  7. В разделе Client (Клиент) подключения выберите значение EAP для параметра Authentication (Проверка подлинности) и введите имя пользователя и пароль. Необходимо выбрать значок замка справа, чтобы сохранить эти сведения. Затем нажмите кнопку Сохранить.

  8. Щелкните значок Network Manager (Диспетчер сети) (стрелка вверх или стрелка вниз), а затем выберите VPN Connections (VPN-подключения). Вы увидите созданное VPN-подключение. Чтобы инициировать подключение, выберите его.

Дополнительные шаги для виртуальной машины Azure

Если вы выполняете процедуру на виртуальной машине Azure под управлением Linux, выполните дополнительные действия.

  1. Измените файл /etc/netplan/50-cloud-init.yaml , чтобы включить следующий параметр для интерфейса.

    renderer: NetworkManager

  2. После редактирования файла выполните следующие две команды, чтобы загрузить новую конфигурацию.

    sudo netplan generate

    sudo netplan apply

  3. Остановка и запуск или повторное развертывание виртуальной машины.

Следующие шаги

Вернитесь к статье, чтобы завершить настройку подключения типа "точка — сеть".

Дополнительные сведения см. в руководстве по устранению неполадок подключения типа "точка — сеть" в Azure.