Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Подключение типа "точка — сеть" через VPN-шлюз позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера. Подключение P2S сначала устанавливается на клиентском компьютере. Это решение полезно для удалённых работников, которые хотят подключиться к виртуальным сетям Azure из удалённого места, например, из дома или конференц-зала. VPN P2S также является полезным решением для использования вместо VPN типа "сеть — сеть" (S2S), если у вас есть только несколько клиентов, которым требуется подключиться к виртуальной сети. Для конфигураций "точка — сеть" требуется тип VPN на основе маршрута .
Какой протокол использует P2S?
В VPN-подключении "точка — сеть" может использоваться один из следующих протоколов:
Протокол OpenVPN® — это VPN-протокол на основе SSL/TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. OpenVPN можно использовать для подключения из Android, iOS (версии 11.0 и более поздних версий), Windows, Linux и Mac (macOS версии 10.13 и выше). Поддерживаемые версии: TLS 1.2 и TLS 1.3 на основе рукопожатия TLS.
Протокол безопасного туннелирования сокетов (SSTP) — частный ПРОТОКОЛ VPN на основе TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. SSTP поддерживается только на Windows устройствах. Azure поддерживает все версии Windows с SSTP и поддержкой TLS 1.2 (Windows 8.1 и более поздних версий).
IKEv2 VPN— решение IPsec VPN на основе стандартов. IKEv2 VPN можно использовать для подключения с устройств Mac (macOS версии 10.11 и выше).
Как выполняется аутентификация VPN-клиентов при подключениях типа "точка — сеть"?
Прежде чем Azure принимает VPN-подключение P2S, пользователю необходимо сначала пройти проверку подлинности. Существует три типа проверки подлинности, которые можно выбрать при настройке шлюза P2S. Доступные параметры:
Для конфигурации шлюза P2S можно выбрать несколько типов проверки подлинности. При выборе нескольких типов проверки подлинности используемый VPN-клиент должен поддерживаться по крайней мере одним типом проверки подлинности и соответствующим типом туннеля. Например, если для типов туннелей выбраны "IKEv2 и OpenVPN", а для типа проверки подлинности выбраны "Microsoft Entra ID и radius" или "Microsoft Entra ID и сертификат Azure", Microsoft Entra ID будет использовать только тип туннеля OpenVPN, так как он не поддерживается IKEv2.
В следующей таблице показаны механизмы проверки подлинности, совместимые с выбранными типами туннелей. Каждый механизм требует настройки соответствующего программного обеспечения VPN-клиента на подключаемом устройстве с соответствующими параметрами, доступными в файлах конфигурации профиля VPN-клиента.
| Тип туннеля | Механизм проверки подлинности |
|---|---|
| OpenVPN | Любое подмножество Microsoft Entra ID, RADIUS Auth и Azure Certificate |
| SSTP | Сертификат проверки подлинности radius/ Azure |
| Протокол IKEv2 (Интернет обмен ключами, версия 2) | Сертификат проверки подлинности radius/ Azure |
| IKEv2 и OpenVPN | Аутентификация RADIUS/ Сертификат Azure/ Microsoft Entra ID и аутентификация RADIUS/ Microsoft Entra ID и сертификат Azure |
| IKEv2 и SSTP | Сертификат проверки подлинности radius/ Azure |
Аутентификация на основе сертификата
При настройке шлюза P2S для проверки подлинности сертификата вы отправляете открытый ключ доверенного корневого сертификата в шлюз Azure. Можно использовать корневой сертификат, созданный с помощью корпоративного решения, или создать самозаверяющий сертификат.
Для проверки подлинности каждый клиент, который подключается, должен иметь установленный сертификат клиента, созданный из доверенного корневого сертификата. Это в дополнение к программному обеспечению VPN-клиента. Проверка сертификатов клиентов выполняется VPN-шлюзом, когда устанавливается VPN-подключение "точка — сеть".
Рабочий процесс проверки подлинности сертификата
На высоком уровне необходимо выполнить следующие действия, чтобы настроить проверку подлинности сертификата:
- Включите аутентификацию с использованием сертификатов на шлюзе P2S, а также настройте дополнительные необходимые параметры (пул адресов клиента и т. д.), и загрузите информацию о корневом открытом ключе ЦС.
- Создайте и скачайте файлы конфигурации профиля VPN-клиента (пакет конфигурации профиля).
- Установите сертификат клиента на каждом подключаемом клиентском компьютере.
- Настройте VPN-клиент на клиентском компьютере с помощью параметров, найденных в пакете конфигурации профиля VPN.
- Подключитесь.
проверка подлинности Microsoft Entra ID
Шлюз P2S можно настроить, чтобы пользователи VPN могли проходить проверку подлинности с помощью учетных данных Microsoft Entra ID. С помощью проверки подлинности Microsoft Entra ID можно использовать Microsoft Entra функции условного доступа и многофакторной проверки подлинности (MFA) для VPN. Аутентификация Microsoft Entra ID поддерживается только для протокола OpenVPN. Для проверки подлинности и подключения клиенты должны использовать Azure VPN-клиент.
VPN-шлюз теперь поддерживает новый идентификатор приложения, зарегистрированный корпорацией Майкрософт, и соответствующие значения аудитории для последних версий vpn-клиента Azure. При настройке VPN-шлюза P2S с помощью новых значений аудитории вы пропустите ранее необходимый процесс регистрации Azure клиентского приложения VPN вручную для вашего клиента Microsoft Entra. Идентификатор приложения уже создан, и клиент автоматически может использовать его без дополнительных шагов регистрации. Этот процесс безопаснее, чем вручную регистрация VPN-клиента Azure, так как вам не нужно авторизовать приложение или назначать разрешения с помощью роли администратора облачных приложений. Чтобы лучше понять разницу между типами объектов приложения, см. раздел How и почему приложения добавляются в Microsoft Entra ID.
- Если ваш шлюз VPN пользователя P2S настроен с использованием параметров аудитории для вручную настраиваемого приложения Azure VPN Client, вы можете легко изменить настройки шлюза и клиента, чтобы воспользоваться новым идентификатором приложения, зарегистрированным компанией Майкрософт.
- Если вы хотите создать или изменить настраиваемое значение аудитории, см. статью "Создание пользовательского идентификатора приложения аудитории для VPN P2S".
- Если вы хотите настроить или ограничить доступ к P2S на основе пользователей и групп, см. статью "Сценарий: Настройка VPN-доступа P2S на основе пользователей и групп".
Рекомендации
Important
Azure VPN-клиент для Linux выходит на пенсию 31 августа 2026 года. После этой даты клиент больше не будет поддерживаться. Дополнительные сведения см. в обзоре и руководстве по миграции, связанным с прекращением поддержки Azure VPN Client for Linux для VPN-шлюз и Виртуальная глобальная сеть.
- VPN-шлюз P2S может поддерживать только одно значение аудитории. Он не поддерживает одновременно несколько значений аудитории.
Хотя возможно, что vpn-клиент Azure для Windows может работать в других версиях операционной системы, Azure VPN-клиент для Windows поддерживается только в следующих выпусках:
- Поддерживаемые выпуски Windows: Windows 10, Windows 11 архитектур X64, X86 и ARM64.
- Последние версии VPN-клиентов Azure для macOS и Windows совместимы с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированным вручную приложению. Эти клиенты также поддерживают значения настраиваемой аудитории.
Important
Зарегистрированные вручную клиенты Azure VPN, используемые для подключений типа "точка — сеть" (Point-to-Site, P2S) с аутентификацией через Microsoft Entra ID, будут выведены из эксплуатации 31 марта 2028 г. в общедоступном облаке Azure и 31 марта 2029 г. в Azure для государственных организаций и в облаках Microsoft Azure, управляемых компанией 21Vianet. После этих дат зарегистрированные вручную клиенты больше не будут работать, и после даты выхода на пенсию будут поддерживаться только зарегистрированные vpn-клиенты Microsoft.
Чтобы избежать нарушений работы службы, переносите вручную зарегистрированные VPN-клиенты в Microsoft зарегистрированный VPN-клиент для подключений типа "точка — сеть" с проверкой подлинности Microsoft Entra ID до применимых дат выхода на пенсию.
Значения аудитории Azure VPN клиента
В следующей таблице показаны версии VPN-клиента Azure, которые поддерживаются для каждого идентификатора приложения и соответствующих доступных значений аудитории.
| ИД приложения | Поддерживаемые значения для аудитории | Поддерживаемые клиенты |
|---|---|---|
| Зарегистрировано корпорацией Майкрософт | Значение аудитории c632b3df-fb67-4d84-bdcf-b95ad541b5c8 применяется к:— общедоступная Azure — Azure для государственных организаций — Azure Германия — Microsoft Azure, управляемый 21Vianet |
-Виндоус — macOS |
| Зарегистрировано вручную | - Azure public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4— Azure для государственных организаций: 51bb15d4-3a4f-4ebf-9dca-40096fe32426— Azure Германия: 538ee9e6-310a-468d-afef-ea97365856a9- Microsoft Azure, управляемый 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
-Виндоус — macOS |
| Настраиваемый | <custom-app-id> |
-Виндоус — macOS |
рабочий процесс проверки подлинности Microsoft Entra ID
На высоком уровне необходимо выполнить следующие действия, чтобы настроить проверку подлинности Microsoft Entra ID:
- При использовании ручной регистрации приложения выполните необходимые действия в клиенте Microsoft Entra.
- Включите проверку подлинности Microsoft Entra ID на шлюзе P2S, а также дополнительные необходимые параметры (пул адресов клиента и т. д.).
- Создайте и скачайте файлы конфигурации профиля VPN-клиента (пакет конфигурации профиля).
- Скачайте, установите и настройте VPN-клиент Azure на клиентском компьютере.
- Подключитесь.
RADIUS — проверка подлинности сервера домена Active Directory (AD)
Проверка подлинности домена AD позволяет пользователям подключаться к Azure с помощью учетных данных домена организации. Для этой проверки требуется сервер RADIUS, который интегрирован с сервером AD. Организации также могут использовать существующее развертывание RADIUS.
Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Во время проверки подлинности Azure VPN Gateway выступает в качестве передачи и пересылки сообщений проверки подлинности между сервером RADIUS и устройством подключения. Достижимость шлюза к серверу RADIUS важна. Если сервер RADIUS присутствует локально, для обеспечения доступности требуется подключение VPN S2S из Azure к локальному сайту.
Сервер RADIUS также можно интегрировать со службами сертификации AD. Это позволяет использовать сервер RADIUS и развертывание корпоративных сертификатов для проверки подлинности сертификатов P2S в качестве альтернативы проверке подлинности сертификата Azure. Преимущество заключается в том, что вам не нужно отправлять корневые сертификаты и отзывать сертификаты в Azure.
Сервер RADIUS также можно интегрировать с другими системами внешних идентификаторов. Благодаря этой возможности для VPN-подключений "точка — сеть" доступно множество вариантов аутентификации, в том числе и варианты многофакторной аутентификации.
Инструкции по настройке шлюза P2S см. в разделе "Настройка P2S — RADIUS".
Каковы требования к конфигурации клиента?
Требования к конфигурации клиента зависят от используемого VPN-клиента, типа проверки подлинности и протокола. В следующей таблице показаны доступные клиенты и соответствующие статьи для каждой конфигурации.
| Метод аутентификации | Тип туннеля | ОС клиента | VPN-клиент |
|---|---|---|---|
| Сертификат | |||
| IKEv2, SSTP | Windows | Собственный VPN-клиент | |
| Протокол IKEv2 (Интернет обмен ключами, версия 2) | macOS | Собственный VPN-клиент | |
| Протокол IKEv2 (Интернет обмен ключами, версия 2) | Линукс | strongSwan | |
| OpenVPN | Windows |
Azure VPN-клиент Клиент OpenVPN версии 2.x Клиент OpenVPN версии 3.x |
|
| OpenVPN | macOS | Клиент OpenVPN | |
| OpenVPN | iOS | Клиент OpenVPN | |
| OpenVPN | Линукс |
Azure VPN-клиент Клиент OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-клиент | |
| OpenVPN | macOS | Azure VPN-клиент | |
| OpenVPN | Линукс | Azure VPN-клиент |
Какие версии vpn-клиента Azure доступны?
Сведения о доступных версиях VPN-клиента Azure, датах выпуска и новых возможностях каждого выпуска см. в разделе Azure версии VPN-клиента.
Какие SKU шлюза поддерживают P2S VPN?
Сведения о номерах SKU шлюза см. в списке номеров SKU, поддерживающих VPN-подключение P2S, а также количество туннелей и подключений, поддерживаемых для каждого номера SKU.
Примечание.
Базовый SKU имеет ограничения и не поддерживает IKEv2, IPv6 или аутентификацию RADIUS. Дополнительные сведения см. в разделе настройки VPN-шлюза.
Что такое миграция корневого сертификата шлюза P2S?
Azure периодически поворачивает корневые сертификаты, используемые VPN-шлюзами для VPN-подключений типа "точка — сеть" (P2S). Миграция корневых сертификатов (также называемая сменой корневого сертификата) — это запланированный процесс перехода VPN-шлюза из старого корневого сертификата в новый. Microsoft предоставляет предварительное уведомление перед каждой миграцией. Это изменение влияет на все клиентские подключения P2S, а не только клиенты, которые подключаются через проверку подлинности сертификата. При переносе сертификата сервера шлюза шлюз продолжает функционировать как обычно, но необходимо создать и обновить профиль VPN-клиента для поддержания подключения. Дополнительные сведения см. в разделе Миграция сертификатов VPN-шлюз.
Какие политики IKE/IPsec настроены на VPN-шлюзах для подключения "точка — сеть"?
В таблицах этого раздела показаны значения политик по умолчанию. Однако они не отражают доступные поддерживаемые значения для пользовательских политик. Сведения о пользовательских политиках см. в разделе "Принятые значения", перечисленные в командлете PowerShell New-AzVpnClientIpsecParameter.
IKEv2
| Шифр | Целостность | PRF | Группа DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | ГРУППА_2 |
IPsec
| Шифр | Целостность | Группа PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | ГРУППА_НЕТ |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | ГРУППА_НЕТ |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | ГРУППА_НЕТ |
Какие политики TLS настроены на VPN-шлюзах для подключения "точка — сеть"?
TLS
| Политики |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Поддерживается только в TLS1.3 с OpenVPN
Как настроить подключение P2S?
Для настройки подключения "точка — сеть" необходимо выполнить ряд определенных действий. В следующих статьях описаны шаги для выполнения общих действий по настройке P2S.
- Проверка подлинности сертификата
- проверка подлинности Microsoft Entra ID
- Проверка подлинности RADIUS
Удаление конфигурации подключения "точка — сеть"
Конфигурацию подключения можно удалить с помощью PowerShell или CLI. Примеры см. в разделе часто задаваемых вопросов.
Как работает маршрутизация P2S
См. следующие статьи:
Вопросы и ответы
Существует несколько записей часто задаваемых вопросов для типа "точка — сеть". Ознакомьтесь с Часто задаваемыми вопросами по VPN-шлюз, уделяя особое внимание разделам Аутентификация с помощью сертификатов и RADIUS.
Следующие шаги
- Настройка подключения P2S — проверка подлинности сертификата Azure
- Настройка подключения P2S — проверка подлинности Microsoft Entra ID
OpenVPN является товарным знаком OpenVPN Inc.