Сведения о VPN-подключениях типа "точка — сеть"

Подключение типа "точка — сеть" через VPN-шлюз позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера. Подключение P2S сначала устанавливается на клиентском компьютере. Это решение полезно для удалённых работников, которые хотят подключиться к виртуальным сетям Azure из удалённого места, например, из дома или конференц-зала. VPN P2S также является полезным решением для использования вместо VPN типа "сеть — сеть" (S2S), если у вас есть только несколько клиентов, которым требуется подключиться к виртуальной сети. Для конфигураций "точка — сеть" требуется тип VPN на основе маршрута .

Какой протокол использует P2S?

В VPN-подключении "точка — сеть" может использоваться один из следующих протоколов:

  • Протокол OpenVPN® — это VPN-протокол на основе SSL/TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. OpenVPN можно использовать для подключения из Android, iOS (версии 11.0 и более поздних версий), Windows, Linux и Mac (macOS версии 10.13 и выше). Поддерживаемые версии: TLS 1.2 и TLS 1.3 на основе рукопожатия TLS.

  • Протокол безопасного туннелирования сокетов (SSTP) — частный ПРОТОКОЛ VPN на основе TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. SSTP поддерживается только на Windows устройствах. Azure поддерживает все версии Windows с SSTP и поддержкой TLS 1.2 (Windows 8.1 и более поздних версий).

  • IKEv2 VPN— решение IPsec VPN на основе стандартов. IKEv2 VPN можно использовать для подключения с устройств Mac (macOS версии 10.11 и выше).

Как выполняется аутентификация VPN-клиентов при подключениях типа "точка — сеть"?

Прежде чем Azure принимает VPN-подключение P2S, пользователю необходимо сначала пройти проверку подлинности. Существует три типа проверки подлинности, которые можно выбрать при настройке шлюза P2S. Доступные параметры:

Для конфигурации шлюза P2S можно выбрать несколько типов проверки подлинности. При выборе нескольких типов проверки подлинности используемый VPN-клиент должен поддерживаться по крайней мере одним типом проверки подлинности и соответствующим типом туннеля. Например, если для типов туннелей выбраны "IKEv2 и OpenVPN", а для типа проверки подлинности выбраны "Microsoft Entra ID и radius" или "Microsoft Entra ID и сертификат Azure", Microsoft Entra ID будет использовать только тип туннеля OpenVPN, так как он не поддерживается IKEv2.

В следующей таблице показаны механизмы проверки подлинности, совместимые с выбранными типами туннелей. Каждый механизм требует настройки соответствующего программного обеспечения VPN-клиента на подключаемом устройстве с соответствующими параметрами, доступными в файлах конфигурации профиля VPN-клиента.

Тип туннеля Механизм проверки подлинности
OpenVPN Любое подмножество Microsoft Entra ID, RADIUS Auth и Azure Certificate
SSTP Сертификат проверки подлинности radius/ Azure
Протокол IKEv2 (Интернет обмен ключами, версия 2) Сертификат проверки подлинности radius/ Azure
IKEv2 и OpenVPN Аутентификация RADIUS/ Сертификат Azure/ Microsoft Entra ID и аутентификация RADIUS/ Microsoft Entra ID и сертификат Azure
IKEv2 и SSTP Сертификат проверки подлинности radius/ Azure

Аутентификация на основе сертификата

При настройке шлюза P2S для проверки подлинности сертификата вы отправляете открытый ключ доверенного корневого сертификата в шлюз Azure. Можно использовать корневой сертификат, созданный с помощью корпоративного решения, или создать самозаверяющий сертификат.

Для проверки подлинности каждый клиент, который подключается, должен иметь установленный сертификат клиента, созданный из доверенного корневого сертификата. Это в дополнение к программному обеспечению VPN-клиента. Проверка сертификатов клиентов выполняется VPN-шлюзом, когда устанавливается VPN-подключение "точка — сеть".

Рабочий процесс проверки подлинности сертификата

На высоком уровне необходимо выполнить следующие действия, чтобы настроить проверку подлинности сертификата:

  1. Включите аутентификацию с использованием сертификатов на шлюзе P2S, а также настройте дополнительные необходимые параметры (пул адресов клиента и т. д.), и загрузите информацию о корневом открытом ключе ЦС.
  2. Создайте и скачайте файлы конфигурации профиля VPN-клиента (пакет конфигурации профиля).
  3. Установите сертификат клиента на каждом подключаемом клиентском компьютере.
  4. Настройте VPN-клиент на клиентском компьютере с помощью параметров, найденных в пакете конфигурации профиля VPN.
  5. Подключитесь.

проверка подлинности Microsoft Entra ID

Шлюз P2S можно настроить, чтобы пользователи VPN могли проходить проверку подлинности с помощью учетных данных Microsoft Entra ID. С помощью проверки подлинности Microsoft Entra ID можно использовать Microsoft Entra функции условного доступа и многофакторной проверки подлинности (MFA) для VPN. Аутентификация Microsoft Entra ID поддерживается только для протокола OpenVPN. Для проверки подлинности и подключения клиенты должны использовать Azure VPN-клиент.

VPN-шлюз теперь поддерживает новый идентификатор приложения, зарегистрированный корпорацией Майкрософт, и соответствующие значения аудитории для последних версий vpn-клиента Azure. При настройке VPN-шлюза P2S с помощью новых значений аудитории вы пропустите ранее необходимый процесс регистрации Azure клиентского приложения VPN вручную для вашего клиента Microsoft Entra. Идентификатор приложения уже создан, и клиент автоматически может использовать его без дополнительных шагов регистрации. Этот процесс безопаснее, чем вручную регистрация VPN-клиента Azure, так как вам не нужно авторизовать приложение или назначать разрешения с помощью роли администратора облачных приложений. Чтобы лучше понять разницу между типами объектов приложения, см. раздел How и почему приложения добавляются в Microsoft Entra ID.

Рекомендации

Important

Azure VPN-клиент для Linux выходит на пенсию 31 августа 2026 года. После этой даты клиент больше не будет поддерживаться. Дополнительные сведения см. в обзоре и руководстве по миграции, связанным с прекращением поддержки Azure VPN Client for Linux для VPN-шлюз и Виртуальная глобальная сеть.

  • VPN-шлюз P2S может поддерживать только одно значение аудитории. Он не поддерживает одновременно несколько значений аудитории.

Хотя возможно, что vpn-клиент Azure для Windows может работать в других версиях операционной системы, Azure VPN-клиент для Windows поддерживается только в следующих выпусках:

  • Поддерживаемые выпуски Windows: Windows 10, Windows 11 архитектур X64, X86 и ARM64.
  • Последние версии VPN-клиентов Azure для macOS и Windows совместимы с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированным вручную приложению. Эти клиенты также поддерживают значения настраиваемой аудитории.

Important

Зарегистрированные вручную клиенты Azure VPN, используемые для подключений типа "точка — сеть" (Point-to-Site, P2S) с аутентификацией через Microsoft Entra ID, будут выведены из эксплуатации 31 марта 2028 г. в общедоступном облаке Azure и 31 марта 2029 г. в Azure для государственных организаций и в облаках Microsoft Azure, управляемых компанией 21Vianet. После этих дат зарегистрированные вручную клиенты больше не будут работать, и после даты выхода на пенсию будут поддерживаться только зарегистрированные vpn-клиенты Microsoft.

Чтобы избежать нарушений работы службы, переносите вручную зарегистрированные VPN-клиенты в Microsoft зарегистрированный VPN-клиент для подключений типа "точка — сеть" с проверкой подлинности Microsoft Entra ID до применимых дат выхода на пенсию.

Значения аудитории Azure VPN клиента

В следующей таблице показаны версии VPN-клиента Azure, которые поддерживаются для каждого идентификатора приложения и соответствующих доступных значений аудитории.

ИД приложения Поддерживаемые значения для аудитории Поддерживаемые клиенты
Зарегистрировано корпорацией Майкрософт Значение аудитории c632b3df-fb67-4d84-bdcf-b95ad541b5c8 применяется к:
— общедоступная Azure
— Azure для государственных организаций
— Azure Германия
— Microsoft Azure, управляемый 21Vianet
-Виндоус
— macOS
Зарегистрировано вручную - Azure public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
— Azure для государственных организаций: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
— Azure Германия: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure, управляемый 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa
-Виндоус
— macOS
Настраиваемый <custom-app-id> -Виндоус
— macOS

рабочий процесс проверки подлинности Microsoft Entra ID

На высоком уровне необходимо выполнить следующие действия, чтобы настроить проверку подлинности Microsoft Entra ID:

  1. При использовании ручной регистрации приложения выполните необходимые действия в клиенте Microsoft Entra.
  2. Включите проверку подлинности Microsoft Entra ID на шлюзе P2S, а также дополнительные необходимые параметры (пул адресов клиента и т. д.).
  3. Создайте и скачайте файлы конфигурации профиля VPN-клиента (пакет конфигурации профиля).
  4. Скачайте, установите и настройте VPN-клиент Azure на клиентском компьютере.
  5. Подключитесь.

RADIUS — проверка подлинности сервера домена Active Directory (AD)

Проверка подлинности домена AD позволяет пользователям подключаться к Azure с помощью учетных данных домена организации. Для этой проверки требуется сервер RADIUS, который интегрирован с сервером AD. Организации также могут использовать существующее развертывание RADIUS.

Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Во время проверки подлинности Azure VPN Gateway выступает в качестве передачи и пересылки сообщений проверки подлинности между сервером RADIUS и устройством подключения. Достижимость шлюза к серверу RADIUS важна. Если сервер RADIUS присутствует локально, для обеспечения доступности требуется подключение VPN S2S из Azure к локальному сайту.

Сервер RADIUS также можно интегрировать со службами сертификации AD. Это позволяет использовать сервер RADIUS и развертывание корпоративных сертификатов для проверки подлинности сертификатов P2S в качестве альтернативы проверке подлинности сертификата Azure. Преимущество заключается в том, что вам не нужно отправлять корневые сертификаты и отзывать сертификаты в Azure.

Сервер RADIUS также можно интегрировать с другими системами внешних идентификаторов. Благодаря этой возможности для VPN-подключений "точка — сеть" доступно множество вариантов аутентификации, в том числе и варианты многофакторной аутентификации.

Схема, показывающая VPN типа

Инструкции по настройке шлюза P2S см. в разделе "Настройка P2S — RADIUS".

Каковы требования к конфигурации клиента?

Требования к конфигурации клиента зависят от используемого VPN-клиента, типа проверки подлинности и протокола. В следующей таблице показаны доступные клиенты и соответствующие статьи для каждой конфигурации.

Метод аутентификации Тип туннеля ОС клиента VPN-клиент
Сертификат
IKEv2, SSTP Windows Собственный VPN-клиент
Протокол IKEv2 (Интернет обмен ключами, версия 2) macOS Собственный VPN-клиент
Протокол IKEv2 (Интернет обмен ключами, версия 2) Линукс strongSwan
OpenVPN Windows Azure VPN-клиент
Клиент OpenVPN версии 2.x
Клиент OpenVPN версии 3.x
OpenVPN macOS Клиент OpenVPN
OpenVPN iOS Клиент OpenVPN
OpenVPN Линукс Azure VPN-клиент
Клиент OpenVPN
Microsoft Entra ID
OpenVPN Windows Azure VPN-клиент
OpenVPN macOS Azure VPN-клиент
OpenVPN Линукс Azure VPN-клиент

Какие версии vpn-клиента Azure доступны?

Сведения о доступных версиях VPN-клиента Azure, датах выпуска и новых возможностях каждого выпуска см. в разделе Azure версии VPN-клиента.

Какие SKU шлюза поддерживают P2S VPN?

Сведения о номерах SKU шлюза см. в списке номеров SKU, поддерживающих VPN-подключение P2S, а также количество туннелей и подключений, поддерживаемых для каждого номера SKU.

Примечание.

Базовый SKU имеет ограничения и не поддерживает IKEv2, IPv6 или аутентификацию RADIUS. Дополнительные сведения см. в разделе настройки VPN-шлюза.

Что такое миграция корневого сертификата шлюза P2S?

Azure периодически поворачивает корневые сертификаты, используемые VPN-шлюзами для VPN-подключений типа "точка — сеть" (P2S). Миграция корневых сертификатов (также называемая сменой корневого сертификата) — это запланированный процесс перехода VPN-шлюза из старого корневого сертификата в новый. Microsoft предоставляет предварительное уведомление перед каждой миграцией. Это изменение влияет на все клиентские подключения P2S, а не только клиенты, которые подключаются через проверку подлинности сертификата. При переносе сертификата сервера шлюза шлюз продолжает функционировать как обычно, но необходимо создать и обновить профиль VPN-клиента для поддержания подключения. Дополнительные сведения см. в разделе Миграция сертификатов VPN-шлюз.

Какие политики IKE/IPsec настроены на VPN-шлюзах для подключения "точка — сеть"?

В таблицах этого раздела показаны значения политик по умолчанию. Однако они не отражают доступные поддерживаемые значения для пользовательских политик. Сведения о пользовательских политиках см. в разделе "Принятые значения", перечисленные в командлете PowerShell New-AzVpnClientIpsecParameter.

IKEv2

Шифр Целостность PRF Группа DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 ГРУППА_2

IPsec

Шифр Целостность Группа PFS
GCM_AES256 GCM_AES256 ГРУППА_НЕТ
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 ГРУППА_НЕТ
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 ГРУППА_НЕТ

Какие политики TLS настроены на VPN-шлюзах для подключения "точка — сеть"?

TLS

Политики
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
**TLS_AES_256_GCM_SHA384
**TLS_AES_128_GCM_SHA256

**Поддерживается только в TLS1.3 с OpenVPN

Как настроить подключение P2S?

Для настройки подключения "точка — сеть" необходимо выполнить ряд определенных действий. В следующих статьях описаны шаги для выполнения общих действий по настройке P2S.

Удаление конфигурации подключения "точка — сеть"

Конфигурацию подключения можно удалить с помощью PowerShell или CLI. Примеры см. в разделе часто задаваемых вопросов.

Как работает маршрутизация P2S

См. следующие статьи:

Вопросы и ответы

Существует несколько записей часто задаваемых вопросов для типа "точка — сеть". Ознакомьтесь с Часто задаваемыми вопросами по VPN-шлюз, уделяя особое внимание разделам Аутентификация с помощью сертификатов и RADIUS.

Следующие шаги

OpenVPN является товарным знаком OpenVPN Inc.