Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Подключение "точка — сеть" (P2S) к VPN-шлюзу позволяет установить безопасное соединение с вашей виртуальной сетью на индивидуальном клиентском компьютере. Подключение P2S устанавливается путем его запуска с клиентского компьютера. В этой статье рассказывается о выходе на пенсию SSTP и способах миграции с SSTP путем перехода на протокол OpenVPN или IKEv2.
Какой протокол используется при подключении "точка — сеть"?
В VPN-подключении "точка — сеть" может использоваться один из следующих протоколов:
Протокол OpenVPN® — это VPN-протокол на основе SSL/TLS. Решение SSL VPN может проходить через брандмауэры, так как большинство брандмауэров открывают исходящий TCP-порт 443, который использует SSL. OpenVPN можно использовать для подключения к устройствам Android, iOS (версии 11.0 и выше), Windows, Linux и Mac (macOS версии 12.x и выше).
SSTP (Secure Socket Tunneling Protocol) — разработанный корпорацией Майкрософт VPN-протокол на основе SSL. Решение SSL VPN может проходить через брандмауэры, так как большинство брандмауэров открывают исходящий TCP-порт 443, который использует SSL. SSTP поддерживается только на Windows устройствах. Azure поддерживает все версии Windows с SSTP (Windows 7 и более поздними версиями). SSTP поддерживает лишь до 128 одновременных подключений независимо от SKU шлюза.
VPN IKEv2 — стандартное VPN-решение IPsec. IKEv2 VPN можно использовать для подключения с устройств Mac (macOS версии 10.11 и выше).
Примечание.
В настоящее время SKU Уровня "Базовый" поддерживает только протокол SSTP, а все новые шлюзы SKU уровня "Базовый" создаются с помощью протокола SSTP. Начиная с ноября 2025 г. SKU "Базовый" также будет поддерживать IKEv2, а все новые VPN-шлюзы SKU "Базовый" будут создаваться с IKEv2 по умолчанию.
Выход на пенсию SSTP: переход с SSTP на IKEv2 или OpenVPN
Из-за ограниченной производительности и неоптимальной производительности мы удаляем протокол SSTP:
- С 31 марта 2026 г. Включение протокола SSTP в VPN-шлюзах больше не будет поддерживаться.
- С 31 марта 2027 г. Существующие шлюзы с поддержкой SSTP больше не могут использоваться для установления подключений SSTP.
Ниже приведены инструкции по переносу подключений SSTP.
Вариант 1. Добавление IKEv2 в дополнение к SSTP на шлюзе
Это самый простой вариант. SSTP и IKEv2 можно использовать на одном шлюзе параллельно, чтобы увеличить число одновременных подключений. Вы можете включить IKEv2 в существующем шлюзе и скачать пакет конфигурации клиента, содержащий обновленные параметры.
Добавление IKEv2 в существующий VPN-шлюз SSTP не повлияет на существующие клиенты, и вы можете настроить их для использования IKEv2 небольшими группами либо просто настроить новые клиенты для IKEv2. Если клиент Windows настроен как для SSTP, так и для IKEv2, сначала пытается подключиться с помощью IKEV2 и при сбое, он возвращается к SSTP.
IKEv2 использует нестандартные UDP-порты, поэтому необходимо убедиться, что эти порты не заблокированы в брандмауэре пользователя. Используются порты UDP 500 и 4500.
Перейдите к шлюзу виртуальной сети на портале.
В разделе "Параметры" выберите конфигурацию "Точка — сеть".
Тип обновления туннеля: На странице конфигурации "Точка — сеть" обновите тип туннеля из SSTP (SSL) на IKEv2 и SSTP (SSL). Этот параметр будет включен для шлюзов SKU уровня "Базовый" начиная с ноября 2025 г.
Выберите Сохранить, чтобы применить изменения.
Скачайте обновленную конфигурацию: После обновления типа туннеля скачайте обновленный пакет конфигурации профиля VPN-клиента, чтобы получить последний пакет конфигурации
Распределение конфигурации: Предоставление общего доступа к обновленной конфигурации VPN-клиента всем пользователям, которые подключаются через VPN типа "точка — сеть"
Проверка VPN-подключения:Проверьте VPN-подключения, чтобы убедиться, что все клиенты могут успешно подключиться, и что VPN-шлюз работает должным образом.
Примечание.
Если на шлюзе включены оба протокола SSTP и IKEv2, пул адресов "точка-точка" будет статически разделен между ними, так что клиентам, использующим различные протоколы, назначаются IP-адреса из соответствующих поддиапазонов. Максимальное число клиентов SSTP всегда равно 128. Это применимо, даже если диапазон адресов больше /24, что приводит к большему количеству адресов, доступных для клиентов IKEv2. Для небольших диапазонов пул делится пополам. Селекторы трафика, используемые шлюзом, могут не включать диапазон адресов CIDR для подключения "точка-то-сеть", а содержать два диапазона CIDR подсетей.
Вариант 2. Удаление SSTP и включение OpenVPN на шлюзе
Так как SSTP и OpenVPN являются протоколом на основе TLS, они не могут сосуществовать на одном шлюзе. Если вы решили перейти от SSTP к OpenVPN, необходимо отключить SSTP и включить OpenVPN на шлюзе. Эта операция приводит к тому, что существующие клиенты теряют подключение к VPN-шлюзу, пока новый профиль не будет настроен на клиенте.
При желании вы можете включить OpenVPN вместе с IKEv2. Протокол OpenVPN основан на TLS и использует стандартный TCP-порт 443.
Чтобы перейти на OpenVPN, перейдите к шлюзу виртуальной сети на портале.
В разделе "Параметры" выберите конфигурацию "Точка — сеть".
На странице конфигурации "Точка — сеть" в раскрывающемся списке выберите OpenVPN (SSL) или IKEv2 и OpenVPN (SSL).
Выберите Сохранить, чтобы применить изменения.
После настройки шлюза существующие клиенты не смогут подключиться, пока не будут развернуты и настроены клиенты OpenVPN. Если вы используете Windows 10 или более поздней версии, вы также можете использовать VPN-клиент Azure.
Часто задаваемые вопросы
Каковы требования к конфигурации клиента?
Примечание.
Для клиентов Windows необходимо иметь права администратора на клиентском устройстве, чтобы инициировать VPN-подключение с клиентского устройства на Azure.
Пользователи используют собственные VPN-клиенты на устройствах Windows и Mac для P2S. Azure предоставляет ZIP-файл конфигурации VPN-клиента, содержащий параметры, необходимые этим собственным клиентам для подключения к Azure.
- Для Windows устройств конфигурация VPN-клиента состоит из пакета установщика, который пользователи устанавливают на своих устройствах.
- Конфигурация для устройств Mac содержит файл mobileconfig, который пользователи устанавливают на своих устройствах.
Zip-файл также предоставляет значения некоторых важных параметров на стороне Azure, которые можно использовать для создания собственного профиля для этих устройств. К этим значениям относится адрес VPN-шлюза, настроенные типы туннелей, маршруты и корневой сертификат для проверки шлюза.
Примечание.
Начиная с 1 июля 2018 г. поддержка удаляется для TLS 1.0 и 1.1 из Azure VPN Gateway. VPN Gateway поддерживает только TLS 1.2. Затрагиваются только подключения "точка — сеть", но не подключения "сеть — сеть". Если вы используете TLS для виртуальных сетей типа "точка — сеть" на Windows 10 или более поздних клиентах, вам не нужно предпринимать никаких действий. Если вы используете TLS для подключений типа "точка — сеть" для клиентов Windows 7 и Windows 8, ознакомьтесь с инструкциями по обновлению VPN Gateway часто задаваемых вопросов.
Что произойдет, если я не переносю подключения SSTP к 31 марта 2027 г.?
Все существующие подключения SSTP после 31 марта 2027 г. будут приостановлены и перестают работать.
Когда SKU шлюза "Базовый" начнет поддерживать IKEv2?
Начиная с ноября 2025 г., базовый SKU начнет поддерживать протокол IKEv2
Почему не удается просмотреть диагностику Azure на VPN-шлюзе?
Диагностика Azure не поддерживается для протокола SSTP в VPN-шлюзе, перенесите шлюз на использование IKEv2 или OpenVPN для включения диагностики.
Будет ли время простоя при переносе подключений SSTP к другому протоколу?
Нет, при переходе протокола SSTP на протокол IKEv2 и SSTP (SSL) не будет никакого простоя. Однако при переходе только на IKEv2 шлюз будет иметь время простоя, пока новая конфигурация не будет применена.
Потребуется ли перераспространить новый пакет конфигурации P2S всем клиентам?
Да, новая конфигурация должна распространяться на новые клиенты, чтобы предотвратить любое влияние.
Сможет ли я включить протокол SSTP до даты выхода на пенсию?
Нет, вы не сможете включить протокол SSTP после 31 марта 2026 г.
Можно ли перейти к протоколу IKEv2 напрямую вместо протокола IKEv2 и SSTP?
Да, вы можете. Если вы решили перейти к IKEv2 напрямую, шлюз перестанет работать до тех пор, пока не будет применена новая конфигурация. Однако если вы выберете протокол IKEv2 и SSTP, это не повлияет на шлюз.
Какие номера SKU шлюза поддерживают VPN-подключение "точка — сеть"?
В следующей таблице показаны номера SKU шлюза по туннелям, подключению и пропускной способности. Дополнительные таблицы и дополнительные сведения об этой таблице см. в секции SKU шлюза в статье Параметры VPN-шлюза.
|
VPN Шлюз Поколение |
Артикул |
Подключение "узел-узел (S2S)" или "виртуальная сеть — виртуальная сеть (VNet)" Туннели |
P2S Подключения SSTP |
P2S Подключения IKEv2/OpenVPN |
Агрегат Тест пропускной способности |
BGP | Zone-redundant | Поддерживаемое число виртуальных машин в виртуальной сети |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Basic | Макс. 10 | Макс. 128 | Не поддерживается | 100 Мбит/с | Не поддерживается | Нет | 200 |
| Generation1 | VpnGw1 | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Нет | 450 |
| Generation1 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Нет | 1300 |
| Generation1 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Нет | 4000 |
| Generation1 | VpnGw1AZ | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Да | 1000 |
| Generation1 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Да | 2000 |
| Generation1 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Да | 5000 |
| Generation2 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Нет | 685 |
| Generation2 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Нет | 2240 |
| Generation2 | VpnGw4 | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | Нет | 5300 |
| Generation2 | VpnGw5 | Макс. 100* | Макс. 128 | Макс. 10000 | 10 Гбит/с | Поддерживается | Нет | 6700 |
| Generation2 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Да | 2000 |
| Generation2 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Да | 3300 |
| Generation2 | VpnGw4AZ | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | Да | 4400 |
| Generation2 | VpnGw5AZ | Макс. 100* | Макс. 128 | Макс. 10000 | 10 Гбит/с | Поддерживается | Да | 9000 |
Примечание.
"Поддерживаемое число виртуальных машин в Virtual Network" относится к количеству ресурсов, взаимодействующих через шлюз. Сюда входит следующее:
- Виртуальные машины в основной и пиринговых спицевых виртуальных сетях
- Частные конечные узлы
- Сетевые виртуальные устройства (например, шлюз приложений, Azure Firewall)
- Серверные экземпляры служб PaaS, развернутые в виртуальных сетях (например, SQL Managed Instance, App Service Environment)
Какие политики IKE/IPsec настроены на VPN-шлюзах для подключения "точка — сеть"?
IKEv2
| Шифр | Целостность | PRF | Группа DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | ГРУППА_2 |
IPsec
| Шифр | Целостность | Группа PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Какие политики TLS настроены на VPN-шлюзах для подключения "точка — сеть" (P2S)?
TLS
| Политики |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Поддерживается только в TLS1.3 с OpenVPN
Как настроить подключение P2S (точка-точка)?
Для настройки подключения "точка — сеть" необходимо выполнить ряд определенных действий. В следующих статьях описаны шаги для настройки P2S, а также приведены ссылки для настройки клиентских устройств VPN.
Связанный контент
OpenVPN является товарным знаком OpenVPN Inc.