P2S VPN Gateway sunucu ayarlarını yapılandırma - RADIUS kimlik doğrulaması

Bu makale, RADIUS kimlik doğrulaması kullanan noktadan siteye (P2S) bağlantı oluşturmanıza yardımcı olur. Bu yapılandırmayı PowerShell'i veya Azure portalını kullanarak oluşturabilirsiniz. Farklı bir yöntem kullanarak kimlik doğrulaması yapmak istiyorsanız aşağıdaki makalelere bakın:

• Sertifika kimlik doğrulaması
• Microsoft Entra Id kimlik doğrulaması

Noktadan siteye VPN bağlantıları hakkında daha fazla bilgi için bkz . P2S VPN hakkında.

Bu tür bir bağlantı şunları gerektirir:

• RouteBased VPN ağ geçidi.
• Kullanıcı kimlik doğrulamasını işlemek için bir RADIUS sunucusu. RADIUS sunucusu şirket içinde veya Azure sanal ağında (VNet) dağıtılabilir. Yüksek kullanılabilirlik için iki RADIUS sunucusu da yapılandırabilirsiniz.
• VPN istemci profili yapılandırma paketi. VPN istemci profili yapılandırma paketi, oluşturduğunuz bir pakettir. Bir VPN istemcisinin P2S üzerinden bağlanması için gereken ayarları içerir.

Sınırlamalar:

• RADIUS ile IKEv2 kullanıyorsanız, yalnızca EAP tabanlı kimlik doğrulaması desteklenir.
• ExpressRoute bağlantısı, şirket içi RADIUS sunucusuna bağlanmak için kullanılamaz.

P2S VPN'leri için Active Directory (AD) Etki Alanı Kimlik Doğrulaması hakkında

AD Etki Alanı kimlik doğrulaması, kullanıcıların kuruluş etki alanı kimlik bilgilerini kullanarak Azure'da oturum açmasına olanak tanır. AD sunucusuyla tümleşen bir RADIUS sunucusu gerektirir. Kuruluşlar mevcut RADIUS dağıtımlarını da kullanabilir.

RADIUS sunucusu şirket içinde veya Azure sanal ağınızda bulunabilir. Kimlik doğrulaması sırasında VPN ağ geçidi geçiş görevi görür ve RADIUS sunucusu ile bağlanan cihaz arasında kimlik doğrulama iletilerini ileri geri ile iletir. VPN ağ geçidinin RADIUS sunucusuna ulaşabilmesi önemlidir. RADIUS sunucusu şirket içinde bulunuyorsa, Azure'dan şirket içi siteye vpn sitesi bağlantısı gerekir.

Bir RADIUS sunucusu, Active Directory dışında diğer dış kimlik sistemleriyle de tümleştirebilir. Bu, MFA seçenekleri dahil olmak üzere P2S VPN'leri için birçok kimlik doğrulama seçeneği açar. Tümleştirmiş olduğu kimlik sistemlerinin listesini almak için RADIUS sunucusu satıcı belgelerinize bakın.

Başlamadan önce

Azure aboneliğiniz olduğunu doğrulayın. Henüz Azure aboneliğiniz yoksa MSDN abonelik avantajlarınızı etkinleştirebilir veya ücretsiz bir hesap için kaydolabilirsiniz.

Azure PowerShell ile çalışma

Bu makalede PowerShell cmdlet'leri kullanılır. Cmdlet'leri çalıştırmak için Azure Cloud Shell'i kullanabilirsiniz. Cloud Shell, bu makaledeki adımları çalıştırmak için kullanabileceğiniz ücretsiz bir etkileşimli kabukdur. Yaygın Azure araçları, kabuğa önceden yüklenmiştir ve kabuk, hesabınızla birlikte kullanılacak şekilde yapılandırılmıştır.

Cloud Shell'i açmak için bir kod bloğunun sağ üst köşesinden CloudShell'i Aç'ı seçmeniz gerekir. Cloud Shell'i adresine giderek https://shell.azure.com/powershellayrı bir tarayıcı sekmesinde de açabilirsiniz. Kod bloklarını kopyalamak için Kopyala'yı seçin, bunları Cloud Shell'e yapıştırın ve çalıştırmak için Enter tuşunu seçin.

Ayrıca Azure PowerShell cmdlet'lerini bilgisayarınıza yerel olarak yükleyebilir ve çalıştırabilirsiniz. PowerShell cmdlet'leri sık sık güncelleştirilir. En son sürümü yüklemediyseniz, yönergelerde belirtilen değerler başarısız olabilir. Bilgisayarınızda yüklü Azure PowerShell sürümlerini bulmak için cmdlet'ini Get-Module -ListAvailable Az kullanın. Yüklemek veya güncelleştirmek için bkz . Azure PowerShell modülünü yükleme.

Örnek değerler

Örnek değerleri kullanarak bir test ortamı oluşturabilir veya bu makaledeki örnekleri daha iyi anlamak için bu değerlere bakabilirsiniz. İzlenecek yol olarak adımları kullanıp değerleri değiştirmeden uygulayabilir veya ortamınızı yansıtacak şekilde değiştirebilirsiniz.

• Ad: VNet1
• Adres alanı: 10.1.0.0/16 ve 10.254.0.0/16
  Bu örnekte, bu yapılandırmanın birden çok adres alanıyla çalıştığını göstermek için birden fazla adres alanı kullanıyoruz. Ancak, bu yapılandırma için birden çok adres alanı gerekli değildir.
• Alt ağ adı: FrontEnd
  • Alt ağ adres aralığı: 10.1.0.0/24
• Alt ağ adı: BackEnd
  • Alt ağ adres aralığı: 10.254.1.0/24
• Alt ağ adı: GatewaySubnet
  VPN ağ geçidinin çalışması için Alt Ağ adı olarak GatewaySubnet'in kullanılması zorunludur.
  • GatewaySubnet adres aralığı: 10.1.255.0/27
• VPN istemcisi adres havuzu: 172.16.201.0/24
  Bu P2S bağlantısını kullanarak sanal ağa bağlanan VPN istemcileri, VPN istemci adres havuzundan bir IP adresi alır.
• Abonelik: Birden fazla aboneliğiniz varsa doğru aboneliği kullandığınızı doğrulayın.
• Kaynak Grubu: TestRG1
• Konum: Doğu ABD
• DNS Sunucusu: Sanal ağınız için ad çözümlemesi için kullanmak istediğiniz DNS sunucusunun IP adresi . (isteğe bağlı)
• Ağ Geçidi Adı: Vnet1GW
• Ortak IP adı: VNet1GWPIP
• VpnType: RouteBased

Kaynak grubu, sanal ağ ve Genel IP adresi oluşturma

Aşağıdaki adımlar, kaynak grubunda üç alt ağa sahip bir kaynak grubu ve sanal ağ oluşturur. Değerleri değiştirdiğinizde, ağ geçidi alt ağınızı her zaman özellikle GatewaySubnet olarak adlandırmanız önemlidir. Başka bir ad kullanırsanız ağ geçidi oluşturma işleminiz başarısız olur.

1. New-AzResourceGroup kullanarak bir kaynak grubu oluşturun.

   New-AzResourceGroup -Name "TestRG1" -Location "EastUS"
   

2. New-AzVirtualNetwork komutunu kullanarak sanal ağı oluşturun.

   $vnet = New-AzVirtualNetwork `
   -ResourceGroupName "TestRG1" `
   -Location "EastUS" `
   -Name "VNet1" `
   -AddressPrefix 10.1.0.0/16
   

3. New-AzVirtualNetworkSubnetConfig kullanarak aşağıdaki adlarla alt ağlar oluşturun: FrontEnd ve GatewaySubnet (ağ geçidi alt ağı GatewaySubnet olarak adlandırılmalıdır).

   $subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig `
     -Name Frontend `
     -AddressPrefix 10.1.0.0/24 `
     -VirtualNetwork $vnet
   
   $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig `
     -Name GatewaySubnet `
     -AddressPrefix 10.1.255.0/27 `
     -VirtualNetwork $vnet
   

4. Alt ağ yapılandırmalarını, sanal ağda alt ağları oluşturan Set-AzVirtualNetwork ile sanal ağa yazın:

   $vnet | Set-AzVirtualNetwork
   

Genel bir IP adresi talep etme

Bir VPN ağ geçidinin genel bir IP adresi olmalıdır. İlk olarak IP adresi kaynağını istemeniz, sonra sanal ağ geçidinizi oluştururken bu kaynağa başvurmanız gerekir. VPN ağ geçidi oluşturulduğunda IP adresi statik olarak kaynağa atanır. Genel IP adresi, yalnızca ağ geçidi silinip yeniden oluşturulduğunda değişir. VPN ağ geçidiniz üzerinde gerçekleştirilen yeniden boyutlandırma, sıfırlama veya diğer iç bakım/yükseltme işlemleri sırasında değişmez.

1. New-AzPublicIpAddress komutunu kullanarak VPN ağ geçidiniz için bir genel IP adresi isteyin.

   $gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard
   

2. New-AzVirtualNetworkGatewayIpConfig komutunu kullanarak ağ geçidi IP adresi yapılandırmasını oluşturun. VPN ağ geçidini oluşturduğunuzda bu yapılandırmaya başvurulur.

   $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"
   $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
   $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.Id
   

RADIUS sunucunuzu ayarlama

Sanal ağ geçidini oluşturup yapılandırmadan önce RADIUS sunucunuzun kimlik doğrulaması için doğru şekilde yapılandırılması gerekir.

1. Dağıtılan bir RADIUS sunucunuz yoksa bir tane dağıtın. Dağıtım adımları için RADIUS satıcınız tarafından sağlanan kurulum kılavuzuna bakın.  
2. VPN ağ geçidini RADIUS üzerinde RADIUS istemcisi olarak yapılandırın. Bu RADIUS istemcisini eklerken, oluşturduğunuz sanal ağ GatewaySubnet'i belirtin.
3. RADIUS sunucusu ayarlandıktan sonra RADIUS sunucusunun IP adresini ve RADIUS istemcilerinin RADIUS sunucusuyla konuşmak için kullanması gereken paylaşılan gizli diziyi alın. RADIUS sunucusu Azure VNet'teyse RADIUS sunucusu VM'sinin CA IP'sini kullanın.

Ağ İlkesi Sunucusu (NPS) makalesi, AD etki alanı kimlik doğrulaması için Bir Windows RADIUS sunucusu (NPS) yapılandırma hakkında rehberlik sağlar.

VPN ağ geçidini oluşturma

Bu adımda, sanal ağınız için sanal ağ geçidini yapılandırıp oluşturursunuz. Kimlik doğrulaması ve tünel türü hakkında daha fazla bilgi için bu makalenin Azure portalı sürümünde tünel ve kimlik doğrulama türünü belirtme bölümüne bakın.

• -GatewayType 'Vpn' ve -VpnType 'RouteBased' olmalıdır.
• Vpn ağ geçidinin oluşturulması, seçtiğiniz Ağ Geçidi SKU'sunun bağlı olarak 45 dakika veya daha uzun sürebilir.

Aşağıdaki örnekte VpnGw2, 2. Nesil SKU'su kullanılır. GatewaySKU değeriyle ilgili ValidateSet hataları görürseniz ve bu komutları yerel olarak çalıştırıyorsanız, PowerShell cmdlet'lerinin en son sürümünü yüklediğinizi doğrulayın. En son sürüm, en son Ağ Geçidi SKU'ları için yeni doğrulanmış değerleri içerir.

New-AzVirtualNetworkGateway komutunu kullanarak "Vpn" ağ geçidi türüyle sanal ağ geçidi oluşturun.

New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" `
-Location "EastUS" -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"

RADIUS sunucusunu ekleme

• -RadiusServer ada veya IP adresine göre belirtilebilir. Adı belirtirseniz ve sunucu şirket içinde bulunursa VPN ağ geçidi adı çözümleyemeyebilir. Böyle bir durum söz konusuysa sunucunun IP adresini belirtmek daha iyidir.
• -RadiusSecret, RADIUS sunucunuzda yapılandırılanlarla eşleşmelidir.
• -VpnClientAddressPool, bağlanan VPN istemcilerinin bir IP adresi aldığı aralıktır. Bağlanabileceğiniz şirket içi konumla veya bağlanmak istediğiniz sanal ağ ile çakışmayan bir özel IP adresi aralığı kullanın. Yapılandırılmış yeterince büyük bir adres havuzuna sahip olduğunuzdan emin olun.  

1. RADIUS gizli dizisi için güvenli bir dize oluşturun.

   $Secure_Secret=Read-Host -AsSecureString -Prompt "RadiusSecret"
   

2. RADIUS gizli dizisini girmeniz istenir. Girdiğiniz karakterler görüntülenmez ve bunun yerine "*" karakteriyle değiştirilir.

   RadiusSecret:***
   

İstemci adres havuzunu ve RADIUS sunucu değerlerini ekleme

Bu bölümde, VPN istemci adres havuzunu ve RADIUS sunucu bilgilerini eklersiniz. Birden çok olası yapılandırma vardır. Yapılandırmak istediğiniz örneği seçin.

SSTP yapılandırmaları

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "SSTP" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

OpenVPN® yapılandırmaları

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientRootCertificates @()
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "OpenVPN" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

IKEv2 yapılandırmaları

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "IKEv2" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

SSTP + IKEv2

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol @( "SSTP", "IkeV2" ) `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

İki RADIUS sunucusu belirtme

İki RADIUS sunucusu belirtmek için aşağıdaki söz dizimini kullanın. -VpnClientProtocol değerini gerektiği gibi değiştirin.

$radiusServer1 = New-AzRadiusServer -RadiusServerAddress 10.1.0.15 -RadiusServerSecret $radiuspd -RadiusServerScore 30
$radiusServer2 = New-AzRadiusServer -RadiusServerAddress 10.1.0.16 -RadiusServerSecret $radiuspd -RadiusServerScore 1

$radiusServers = @( $radiusServer1, $radiusServer2 )

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $actual -VpnClientAddressPool 201.169.0.0/16 -VpnClientProtocol "IkeV2" -RadiusServerList $radiusServers

VPN istemcisini yapılandırma ve bağlanma

VPN istemci profili yapılandırma paketleri, Azure VNet bağlantısı için VPN istemci profillerini yapılandırmanıza yardımcı olan ayarları içerir.

VPN istemcisi yapılandırma paketi oluşturmak ve bir VPN istemcisi yapılandırmak için aşağıdaki makalelerden birine bakın:

• RADIUS - VPN istemcileri için sertifika kimlik doğrulaması
• RADIUS - VPN istemcileri için parola kimlik doğrulaması
• RADIUS - VPN istemcileri için diğer kimlik doğrulama yöntemleri

VPN istemcisini yapılandırdıktan sonra Azure'a bağlanın.

Bağlantınızı doğrulamak için

1. VPN bağlantınızın etkin olduğunu doğrulamak için, yükseltilmiş bir komut istemi açın ve ipconfig/all komutunu çalıştırın.

2. Sonuçları görüntüleyin. Aldığınız IP adresinin, yapılandırmanızda belirttiğiniz P2S VPN İstemci Adres Havuzu içindeki adreslerden biri olduğuna dikkat edin. Sonuçları şu örneğe benzer:

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.3(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

P2S bağlantısı sorunlarını gidermek için bkz . Azure noktadan siteye bağlantı sorunlarını giderme.

Sanal makineye bağlanma

SANAL makinenize uzak masaüstü bağlantısı oluşturarak sanal ağınıza dağıtılan bir VM'ye bağlanabilirsiniz. Sanal makinenize bağlanabildiğinizi doğrulamanın en iyi yolu, bilgisayar yerine özel IP adresini kullanarak bağlantı kurmaktır. Bu şekilde, ad çözümlemenin düzgün yapılandırılıp yapılandırılmadığını değil bağlanıp bağlanamayacağınızı test edersiniz.

1. Özel IP adresini bulun. Azure portalında VM'nin özelliklerine bakarak veya PowerShell kullanarak vm'nin özel IP adresini bulabilirsiniz.

   • Azure portalı: Azure portalında VM'nizi bulun. VM’nin özelliklerini görüntüleyin. Özel IP adresi listelenir.

   • PowerShell: Örneği kullanarak kaynak gruplarınızdaki VM'lerin ve özel IP adreslerinin listesini görüntüleyin. Bu örneği kullanmadan önce değiştirmeniz gerekmez.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Sanal ağınıza bağlı olduğunuzu doğrulayın.

3. Görev çubuğundaki arama kutusuna RDP veya Uzak Masaüstü Bağlantısı girerek Uzak Masaüstü Bağlantısı'nı açın. Ardından Uzak Masaüstü Bağlantısı'nı seçin. PowerShell'de komutunu kullanarak Uzak Masaüstü Bağlantısı'nı mstsc da açabilirsiniz.

4. Uzak Masaüstü Bağlantısı'nda VM'nin özel IP adresini girin. Diğer ayarları yapmak ve ardından bağlanmak için Seçenekleri Göster'i seçebilirsiniz.

VPN bağlantınız üzerinden bir VM'ye bağlanırken sorun yaşıyorsanız aşağıdaki noktaları denetleyin:

• VPN bağlantınızın başarılı olduğunu doğrulayın.
• VM'nin özel IP adresine bağlandığınızı doğrulayın.
• Sanal makineye bilgisayar adını değil özel IP adresini kullanarak bağlanabiliyorsanız, DNS'yi doğru yapılandırdığınızdan emin olun. VM'lerde ad çözümlemenin nasıl çalıştığı hakkında daha fazla bilgi için bkz . VM'ler için ad çözümlemesi.

RDP bağlantıları hakkında daha fazla bilgi için bkz. Bir VM ile Uzak Masaüstü bağlantılarında sorun giderme.

• Sanal ağ için DNS sunucusu IP adresleri belirtildikten sonra VPN istemci yapılandırma paketinin oluşturulduğunu doğrulayın. DNS sunucusu IP adreslerini güncelleştirdiyseniz, yeni bir VPN istemci yapılandırma paketi oluşturup yükleyin.

• Bağlanmakta olduğunuz bilgisayardaki Ethernet bağdaştırıcısına atanan IPv4 adresini denetlemek için 'ipconfig' kullanın. IP adresi, bağlandığınız sanal ağın adres aralığında veya VPNClientAddressPool adres aralığı içindeyse, bu, çakışan adres alanı olarak adlandırılır. Adres alanınız bu şekilde çakıştığında, ağ trafiği Azure’a ulaşmaz ve yerel ağda kalır.

SSS

SSS bilgileri için SSS'nin Noktadan siteye - RADIUS kimlik doğrulaması bölümüne bakın.

Sonraki adımlar

Bağlantınız tamamlandıktan sonra sanal ağlarınıza sanal makineler ekleyebilirsiniz. Daha fazla bilgi için bkz. Sanal Makineler. Ağ ve sanal makineler hakkında daha fazla bilgi edinmek için, bkz. Azure ve Linux VM ağına genel bakış.