Sanal WAN Noktadan siteye VPN için zorlamalı tüneli yapılandırma
Zorlamalı tünel, uzak kullanıcılardan Azure'a tüm trafiği (İnternet'e bağlı trafik dahil) göndermenizi sağlar. Sanal WAN,Noktadan siteye VPN uzak kullanıcıları için zorlamalı tünel oluşturma, 0.0.0.0/0 varsayılan yolunun uzak VPN kullanıcılarına tanıtıldığını belirtir.
Sanal WAN hub'ı oluşturma
Bu makaledeki adımlarda, bir veya daha fazla hub'a sahip bir sanal WAN dağıttığınız varsayılır.
Yeni bir sanal WAN ve yeni bir hub oluşturmak için aşağıdaki makalelerde yer alan adımları kullanın:
Noktadan siteye VPN ayarlama
Bu makaledeki adımlarda, Sanal WAN hub'ında noktadan siteye VPN ağ geçidi dağıttığınız da varsayılır. Ayrıca ağ geçidine atamak için Noktadan siteye VPN profilleri oluşturduğunuz da varsayılır.
Noktadan siteye VPN ağ geçidini ve ilgili profilleri oluşturmak için bkz. Noktadan siteye VPN ağ geçidi oluşturma.
Varsayılan yolu istemcilere tanıtma
Zorlamalı tünel oluşturmayı yapılandırmanın ve varsayılan yolu (0.0.0.0/0) Sanal WAN bağlı uzak kullanıcı VPN istemcilerinize tanıtmanın birkaç yolu vardır.
- DefaultRouteTable'da sonraki atlama Sanal Ağ Bağlantı ile statik bir 0.0.0.0/0 yolu belirtebilirsiniz. Bu, İnternet'e bağlı tüm trafiğin söz konusu uç Sanal Ağ dağıtılan bir Ağ Sanal Gerecine gönderilmesini zorlar. Daha ayrıntılı yönergeler için NVA'lar aracılığıyla yönlendirme başlığında açıklanan alternatif iş akışını göz önünde bulundurun.
- Sanal WAN hub'ında dağıtılan Azure Güvenlik Duvarı aracılığıyla İnternet'e bağlı tüm trafiği göndermek üzere Sanal WAN yapılandırmak için Azure Güvenlik Duvarı Yöneticisi'ni kullanabilirsiniz. Yapılandırma adımları ve öğretici için sanal hub'ların güvenliğini sağlama Azure Güvenlik Duvarı Yöneticisi belgelerine bakın. Alternatif olarak, bu bir İnternet Trafik Yönlendirme İlkesi kullanılarak da yapılandırılabilir. Daha fazla bilgi için bkz . Yönlendirme Amacı ve Yönlendirme İlkeleri.
- Üçüncü taraf bir güvenlik sağlayıcısı aracılığıyla internet trafiği göndermek için Güvenlik Duvarı Yöneticisi'ni kullanabilirsiniz. Bu özellik hakkında daha fazla bilgi için bkz . Güvenilen güvenlik sağlayıcıları.
- Dallarınızdan birini (Siteden siteye VPN, ExpressRoute bağlantı hattı) 0.0.0.0/0 yolunu Sanal WAN tanıtacak şekilde yapılandırabilirsiniz.
Yukarıdaki dört yöntemden birini yapılandırdıktan sonra Noktadan siteye VPN ağ geçidiniz için EnableInternetSecurity bayrağının açık olduğundan emin olun. İstemcilerinizin zorlamalı tünel için düzgün yapılandırılması için bu bayrağın true olarak ayarlanması gerekir.
EnableInternetSecurity bayrağını açmak için aşağıdaki PowerShell komutunu kullanarak ortamınız için uygun değerleri değiştirin.
Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag
Noktadan siteye VPN profilini indirme
Noktadan siteye VPN profilini indirmek için bkz. genel ve merkez profilleri. Azure portal'dan indirilen zip dosyasındaki bilgiler, istemcilerinizi düzgün yapılandırmak için kritik öneme sahiptir.
Azure VPN istemcileri için zorlamalı tünel yapılandırma (OpenVPN)
Zorlamalı tüneli yapılandırma adımları, son kullanıcı cihazının işletim sistemine bağlı olarak farklıdır.
Windows istemcileri
Not
Windows istemcileri için, Azure VPN istemcisiyle zorlamalı tünel yalnızca yazılım sürümü 2:1900:39.0 veya daha yeni sürümlerde kullanılabilir.
Azure VPN istemcinizin sürümünün zorlamalı tünelle uyumlu olduğunu doğrulayın. Bunu yapmak için Azure VPN istemcisinin altındaki üç noktaya tıklayın ve Yardım'a tıklayın. Alternatif olarak, Yardım'a gitmek için klavye kısayolu Ctrl-H'dir. Sürüm numarası ekranın üst kısmında bulunabilir. Sürüm numaranızın 2:1900:39.0 veya üzeri olduğundan emin olun.
Önceki bölümden indirilen zip dosyasını açın. AzureVPN adlı bir klasör görmeniz gerekir. Klasörü açın ve sık kullandığınız XML düzenleme aracında azurevpnconfig.xml açın.
azureconfig.xmliçinde version adlı bir alan vardır. Sürüm etiketleri arasındaki sayı 1 ise , sürüm numarasını 2 olarak değiştirin.
<version>2</version>Profili Azure VPN istemcisine aktarın. Profili içeri aktarma hakkında daha fazla bilgi için bkz. Azure VPN istemcisi içeri aktarma yönergeleri.
Yeni eklenen bağlantıya bağlanın. Artık tüm trafiği Azure Sanal WAN'a zorlamalı tüneller oluşturursunuz.
MacOS istemcileri
Bir macOS istemcisi Azure'dan varsayılan yolu öğrendikten sonra, zorlamalı tünel istemci cihazında otomatik olarak yapılandırılır. Ek adımlar atılması gerekmez. Sanal WAN Noktadan siteye VPN ağ geçidine bağlanmak için macOS Azure VPN istemcisini kullanma yönergeleri için bkz. macOS Yapılandırma Kılavuzu.
IKEv2 istemcileri için zorlamalı tünel yapılandırma
IKEv2 istemcileri için, Azure portal'dan indirilen yürütülebilir profilleri doğrudan kullanamazsınız. İstemciyi düzgün bir şekilde yapılandırmak için bir PowerShell betiği çalıştırmanız veya VPN profilini Intune aracılığıyla dağıtmanız gerekir.
Noktadan siteye VPN ağ geçidinizde yapılandırılan kimlik doğrulama yöntemine bağlı olarak farklı bir EAP Yapılandırma dosyası kullanın. Örnek EAP Yapılandırma dosyaları aşağıda verilmiştır.
Kullanıcı sertifikası kimlik doğrulaması ile IKEv2
Uzak kullanıcıların kimliğini doğrulamak üzere kullanıcı sertifikalarını kullanmak için aşağıdaki örnek PowerShell betiğini kullanın. VpnSettings ve EAP XML dosyalarının içeriğini PowerShell'e düzgün bir şekilde aktarmak için Get-Content PowerShell komutunu çalıştırmadan önce uygun dizine gidin.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Aşağıdaki örnekte, kullanıcı sertifikası tabanlı kimlik doğrulaması için bir EAP XML dosyası gösterilmektedir. İstemci cihazınızın kimlik doğrulaması için VPN sunucusuna sunmak üzere doğru sertifikayı seçtiğinden emin olmak için IssuerHash alanını Kök Sertifikanın Parmak İzi ile değiştirin.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
</CAHashList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
Makine sertifikası kimlik doğrulaması ile IKEv2
Uzak kullanıcıların kimliğini doğrulamak üzere makine sertifikalarını kullanmak için aşağıdaki örnek PowerShell betiğini kullanın. VpnSettings ve EAP XML dosyalarının içeriğini PowerShell'e düzgün bir şekilde aktarmak için Get-Content PowerShell komutunu çalıştırmadan önce uygun dizine gidin.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Kullanıcı adı ve parola ile RADIUS sunucusu kimlik doğrulaması ile IKEv2 (EAP-MSCHAPv2)
Uzak kullanıcıların kimliğini doğrulamak için kullanıcı adı ve parola tabanlı RADIUS kimlik doğrulaması (EAP-MASCHAPv2) kullanmak için aşağıdaki örnek PowerShell betiğini kullanın. VpnSettings ve EAP XML dosyalarının içeriğini PowerShell'e düzgün bir şekilde aktarmak için Get-Content PowerShell komutunu çalıştırmadan önce uygun dizine gidin.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Örnek bir EAP XML dosyası aşağıda verilmiştir.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>26</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
<UseWinLogonCredentials>false</UseWinLogonCredentials>
</EapType>
</Eap>
</Config>
</EapHostConfig>
Kullanıcı sertifikaları ile RADIUS sunucusu kimlik doğrulaması ile IKEv2 (EAP-TLS)
Uzak kullanıcıların kimliğini doğrulamak için sertifika tabanlı RADIUS kimlik doğrulamasını (EAP-TLS) kullanmak için aşağıdaki örnek PowerShell betiğini kullanın. VpnSettings ve EAP XML dosyalarının içeriğini PowerShell'e aktarmak için Get-Content PowerShell komutunu çalıştırmadan önce uygun dizine gitmeniz gerekir.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Aşağıda örnek bir EAP XML dosyası verilmiştir. TrustedRootCA alanını Sertifika Yetkilinizin sertifikasının parmak iziyle, VerenHash alanını da Kök Sertifikanın parmak izi olacak şekilde değiştirin.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>false</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
<TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
</ServerValidation>
<DifferentUsername>true</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash> ROOT CERTIFCATE THUMBPRINT </IssuerHash>
</CAHashList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
Sonraki adımlar
Sanal WAN hakkında daha fazla bilgi için bkz. SSS.