Поделиться через

Настройка пользовательского VPN-подключения точка-сайт с использованием проверки подлинности Microsoft Entra ID

В этой статье показано, как настроить VPN-подключение "точка — сеть" к виртуальной глобальной сети, которая использует проверку подлинности идентификатора Microsoft Entra ID и новый идентификатор приложения VPN-клиента Microsoft Azure.

Виртуальная глобальная сеть теперь поддерживает идентификатор приложения, зарегистрированный корпорацией Майкрософт, и соответствующие значения аудитории для последних версий VPN-клиента Azure. При настройке VPN-шлюза P2S с помощью новых значений аудитории вы пропустите ранее необходимый процесс регистрации приложения VPN-клиента Azure для клиента Microsoft Entra. Идентификатор приложения уже создан, и клиент автоматически может использовать его без дополнительных шагов регистрации. Этот процесс безопаснее, чем вручную регистрация VPN-клиента Azure, так как вам не нужно авторизовать приложение или назначать разрешения с помощью роли администратора облачных приложений. Чтобы лучше понять разницу между типами объектов приложений, см. сведения о том, как и почему приложения добавляются в идентификатор Microsoft Entra.

  • Если VPN-шлюз пользователя P2S настроен с помощью значений аудитории для настраиваемого вручную VPN-приложения Azure, вы можете легко изменить параметры шлюза и клиента, чтобы воспользоваться новым идентификатором приложения, зарегистрированным корпорацией Майкрософт. Если вы хотите, чтобы клиенты Linux подключались, необходимо обновить шлюз P2S с новым значением аудитории. VPN-клиент Azure для Linux не совместим с предыдущими значениями Audience.

  • Для этой конфигурации можно использовать настраиваемое значение аудитории. Дополнительные сведения см. в статье "Создание пользовательского идентификатора приложения аудитории для VPN P2S".

Рекомендации

  • VPN-шлюз пользователя P2S может поддерживать только одно значение аудитории. Он не может одновременно поддерживать несколько значений параметра "аудитория".

  • VPN-клиент Azure для Linux не имеет обратной совместимости с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированному вручную приложению. Однако VPN-клиент Azure для Linux поддерживает значения настраиваемой аудитории.

  • Хотя возможно, что VPN-клиент Azure для Linux может работать в других дистрибутивах и выпусках Linux, VPN-клиент Azure для Linux поддерживается только в следующих выпусках:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • Последние версии клиентов VPN Azure для macOS и Windows совместимы с шлюзами P2S, настроенными для использования старых значений Audience, которые соответствуют приложению, зарегистрированному вручную. Эти клиенты также поддерживают значения специфической аудитории.

Значения аудитории VPN-клиента Azure

В следующей таблице показаны версии VPN-клиента Azure, которые поддерживаются для каждого идентификатора приложения и соответствующих доступных значений аудитории.

ИД приложения Поддерживаемые параметры аудитории Поддерживаемые клиенты
Зарегистрировано корпорацией Майкрософт Значение аудитории c632b3df-fb67-4d84-bdcf-b95ad541b5c8 применяется к:
— Общедоступная служба Azure
- Azure для государственных организаций
— Azure Германия
— Microsoft Azure, управляемый 21Vianet		 -Линукс
-Виндоус
— macOS
Зарегистрировано вручную — Общедоступная служба Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure для государственных организаций:51bb15d4-3a4f-4ebf-9dca-40096fe32426
— Azure Германия: 538ee9e6-310a-468d-afef-ea97365856a9
— Microsoft Azure, управляемый 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 -Виндоус
— macOS
Пользовательское <custom-app-id> -Линукс
-Виндоус
— macOS

Примечание.

Проверка подлинности идентификатора Microsoft Entra поддерживается только для подключений к протоколу OpenVPN® и требует vpn-клиента Azure.

В этой статье вы узнаете, как:

  • Создание виртуальной глобальной сети
  • создание пользовательской конфигурации VPN;
  • Загрузка профиля виртуального пользователя WAN VPN
  • Создание виртуального концентратора
  • Изменение концентратора для добавления шлюза P2S
  • Подключение виртуальной сети к виртуальному концентратору
  • скачивание и применение пользовательской конфигурации VPN-клиента.
  • Просмотр виртуальной глобальной сети

Снимок экрана диаграммы виртуальной WAN.

Перед началом работы

Перед началом настройки убедитесь, что удовлетворены следующие требования:

  • У вас есть виртуальная сеть, к которой необходимо подключиться. Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться. Сведения о создании виртуальной сети на портале Azure см. в Руководстве.

  • В вашей виртуальной сети не должны находиться виртуальные сетевые шлюзы. Если в виртуальной сети есть шлюз (VPN или ExpressRoute), необходимо удалить его. Эти действия помогут подключить вашу виртуальную сеть к шлюзу виртуального концентратора Virtual WAN по этой конфигурации.

  • Получите диапазон IP-адресов для вашего региона концентратора. Концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь. Он также не может пересекаться с диапазонами адресов, к которым вы подключаетесь локально. Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.

  • Для этой конфигурации требуется тенант Microsoft Entra ID. Если у вас его нет, его можно создать, следуя инструкциям в разделе "Создание нового клиента".

  • Если вы хотите использовать настраиваемое значение аудитории, см. статью "Создание или изменение идентификатора пользовательского приложения аудитории".

Создание виртуальной глобальной сети

В браузере откройте портал Azure и выполните вход с помощью учетной записи Azure.

  1. На портале в строке Поиск ресурсов введите Виртуальная частная сеть и нажмите ввод.

  2. Выберите Виртуальные глобальные сети в результатах. На странице "Виртуальные глобальные сети" щелкните + Создать, чтобы открыть страницу Создание глобальной сети.

  3. На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.

    Снимок экрана, на котором показана панель

    • Подписка. Выберите подписку, которую вы хотите использовать.
    • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
    • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
    • Имя. Введите имя своей виртуальной глобальной сети.
    • Тип. "Базовый" или "Стандартный". Выберите Стандартное. Если вы выбрали "Базовый", учтите, что виртуальные сети уровня "Базовый" могут включать центры только такого же уровня. Центры уровня "Базовый" можно использовать только для подключений "сеть — сеть".

  4. Заполнив поля, нажмите кнопку Просмотреть и создать внизу страницы.

  5. После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.

создание пользовательской конфигурации VPN;

Пользовательская конфигурации VPN определяет параметры для подключения удаленных клиентов. Перед настройкой виртуального концентратора с настройками P2S важно создать пользовательскую конфигурацию VPN, поскольку необходимо указать пользовательскую конфигурацию VPN, которую вы хотите использовать.

Внимание

Портал Azure обновляет поля Azure Active Directory в Entra. Если вы видите ссылку на идентификатор Microsoft Entra ID, но эти значения еще не отображаются на портале, вы можете выбрать значения из Azure Active Directory.

  1. Перейдите в настройки Виртуальная глобальная сеть. В левой области разверните узел "Подключение" и выберите страницу конфигураций VPN пользователя. На странице конфигураций VPN пользователя нажмите кнопку +Создать конфигурацию VPN пользователя.

  2. На странице "Основы" укажите следующие параметры.

    • Имя конфигурации. Введите имя для пользовательской конфигурации VPN. Например, TestConfig1.
    • Тип туннеля. Выберите значение "OpenVPN" из раскрывающегося списка.

  3. В верхней части страницы щелкните Azure Active Directory. Вы можете просмотреть необходимые значения на странице идентификатора Microsoft Entra для корпоративных приложений на портале.

    Снимок экрана: страница идентификатора Microsoft Entra ID. Настройте следующие значения:

    • Azure Active Directory — выберите "Да".
    • Аудитория — введите соответствующее значение для идентификатора приложения Azure VPN Client ID, зарегистрированного Microsoft: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. Пользовательская аудитория также поддерживается для этого поля.
    • Издатель — введите https://sts.windows.net/<your Directory ID>/.
    • Клиент AAD — введите идентификатор клиента для клиента Microsoft Entra. Убедитесь, что в конце URL-адреса клиента Microsoft Entra нет / .

  4. Чтобы создать пользовательскую конфигурацию VPN, щелкните Создать. Вы выберете эту конфигурацию позже в упражнении.

Создайте пустой концентратор

Затем создайте виртуальный концентратор. В этом разделе описано, как создать пустой виртуальный концентратор, в который можно позже добавить шлюз P2S. Тем не менее, всегда гораздо эффективнее объединять создание концентратора вместе с шлюзом, так как при каждом изменении конфигурации в концентраторе необходимо дождаться сборки параметров концентратора.

Мы сначала создадим пустой концентратор, а затем добавим шлюз P2S в следующем разделе. Но вы можете включить параметры шлюза P2S из следующего раздела одновременно с настройкой концентратора.

  1. Откройте только что созданную виртуальную глобальную сеть. На странице "Виртуальная глобальная сеть" в разделе Возможность подключения выберите Концентраторы.

  2. На странице Центры выберите +Новый центр, чтобы открыть страницу Создание виртуального центра.

    Снимок экрана, на котором показана область

  3. На вкладке Основные сведения страницы Создание виртуального концентратора заполните следующие поля:

    • Регион: выберите регион, в котором требуется развернуть виртуальный центр.
    • Имя: имя виртуального центра.
    • Пространство частных адресов концентратора: диапазон адресов концентратора в нотации CIDR. Минимальное адресное пространство — это /24 для создания концентратора.
    • Емкость виртуального концентратора: выберите вариант из раскрывающегося списка. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
    • Параметр маршрутизации концентратора: оставьте значение по умолчанию ExpressRoute, если у вас нет конкретной необходимости изменить это поле. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.

После настройки параметров нажмите Проверить и создать, чтобы проверить, а затем Создайте концентратор. Создание концентратора может занять до 30 минут.

Добавление шлюза P2S к концентратору

В этом разделе показано, как добавить шлюз к уже существующему виртуальному концентратору. Обновление концентратора может занять до 30 минут.

  1. Перейдите в настройки Виртуальная глобальная сеть. В левой области разверните "Параметры" и выберите "Центры".

  2. Щелкните название концентратора, который вы хотите изменить.

  3. Нажмите кнопку "Изменить виртуальный концентратор " в верхней части страницы, чтобы открыть страницу "Изменить виртуальный концентратор ".

  4. На странице Изменить виртуальный концентратор установите флажки для Включить шлюз vpn для сайтов vpn и Включить шлюз точка-сеть, чтобы отобразить настройки. Затем настройте значения.

    Снимок экрана: редактирование виртуального концентратора.

    • Единицы масштабирования шлюза: выберите единицы масштабирования шлюза. Единицы масштабирования представляют собой совокупную пропускную способность пользовательского шлюза VPN. Если вы выбрали 40 или более единиц масштабирования шлюза, спланируйте пул адресов клиентов соответствующим образом. Сведения о том, как этот параметр влияет на пул адресов клиента, см. в статье Общие сведения о пулах клиентских адресов. Для получения информации о единицах масштабирования шлюза см. раздел с часто задаваемыми вопросами.
    • Пользовательская конфигурация VPN: выберите конфигурацию, которую вы создали ранее.
    • Группы пользователей для сопоставления пулов адресов: укажите пулы адресов. Сведения об этом параметре см. в разделе "Настройка групп пользователей и пулов IP-адресов" для виртуальных сетей пользователей P2S.

  5. После настройки параметров нажмите кнопку "Подтвердить ", чтобы обновить концентратор. Обновление концентратора может занять до 30 минут.

Подключение виртуальной сети к концентратору

В этом разделе описано, как создать подключение между виртуальным концентратором и виртуальной сетью.

  1. В портал Azure перейдите к Виртуальная глобальная сеть В левой области выберите подключения виртуальной сети.

  2. На странице подключений к виртуальной сети нажмите кнопку +Добавить подключение.

  3. На странице Добавление подключения настройте параметры подключения. Сведения о параметрах маршрутизации см. в разделе "Сведения о маршрутизации".

    • Имя подключения: задайте имя для своего подключения.
    • Концентраторы: выберите концентратор, который нужно связать с этим подключением.
    • Подписка: проверьте подписку.
    • Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть, к которой требуется подключиться.
    • Виртуальная сеть: выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. В выбранной виртуальной сети не должно быть уже существующего шлюза виртуальной сети.
    • Не распространять: по умолчанию выбрано значение Нет. Если установить переключатель в положение Да, варианты конфигурации Распространить в таблицы маршрутизации и Распространить к меткам станут недоступны.
    • Связать с таблицей маршрутов: в раскрывающемся списке можно выбрать таблицу маршрутов, которую нужно ассоциировать.
    • Применение к меткам: Метки — это логическая группа таблиц маршрутов. Для этого параметра выберите в раскрывающемся списке.
    • Статические маршруты: при необходимости настройте статические маршруты. Настройте статические маршруты для сетевых виртуальных устройств (если применимо). Виртуальная глобальная сеть поддерживает один IP-адрес следующего перехода для статического маршрута в виртуальном сетевом соединении. Например, если у вас есть отдельное виртуальное устройство для входящего трафика и исходящего трафика, рекомендуется использовать виртуальные устройства в отдельных виртуальных сетях и подключить виртуальные сети к виртуальному концентратору.
    • Обход IP-адреса следующего узла для рабочих нагрузок в этой виртуальной сети: Этот параметр позволяет развертывать сетевые виртуальные устройства и другие рабочие нагрузки в одной виртуальной сети, не вынуждая весь трафик проходить через сетевые виртуальные устройства. Этот параметр можно настроить только при настройке нового подключения. Если вы хотите использовать этот параметр для уже созданного подключения, удалите подключение, а затем добавьте новое подключение.
    • Распространите статический маршрут. Этот параметр позволяет распространять статические маршруты, определенные в разделе статических маршрутов, в таблицы маршрутов, указанные в Распространения в таблицы маршрутов. Кроме того, маршруты будут распространяться в таблицы маршрутов с метками, указанными как распространить на метки. Эти маршруты могут передаваться между узлами, за исключением маршрута по умолчанию 0/0.

  4. После того как вы завершите настройку параметров, выберите Создать, чтобы установить подключение.

Скачивание пользовательского профиля VPN

Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации VPN-клиента. Параметры в этом ZIP-файле помогут вам с легкостью настроить VPN-клиенты. Файлы конфигурации VPN-клиента, которые вы создаете, относятся только к конфигурации VPN пользователя для вашего шлюза. Вы можете скачать глобальные профили (уровень глобальной сети) или профиль для определенного концентратора. Сведения и дополнительные инструкции см. в разделе "Скачать глобальные и центральные профили". Ниже описано, как скачать глобальный профиль уровня глобальной сети.

  1. Чтобы создать пакет конфигурации VPN-клиента глобального профиля уровня глобальной сети, перейдите в виртуальную глобальную сеть (а не виртуальный концентратор).

  2. В области слева выберите Пользовательские конфигурации VPN.

  3. Выберите конфигурацию, для которой нужно скачать профиль. Если у вас несколько центров, назначенных одному профилю, разверните профиль, чтобы отобразить концентраторы, а затем выберите один из центров, использующих профиль.

  4. Нажмите Скачать профиль VPN пользователя виртуальной глобальной сети.

  5. На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от выбранных вами способов проверки подлинности и туннелирования для вашей конфигурации.

Настройка VPN-клиента Azure

Затем вы изучите пакет конфигурации профиля, настройте VPN-клиент Azure для клиентских компьютеров и подключитесь к Azure. См. статьи, перечисленные в разделе "Дальнейшие действия".

Следующие шаги

Настройте VPN-клиент Azure. Действия, описанные в документации клиента VPN-шлюза, можно использовать для настройки VPN-клиента Azure для виртуальной глобальной сети.