Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Подключение типа "точка — сеть" через VPN-шлюз позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера. Подключение P2S сначала устанавливается на клиентском компьютере. Это решение полезно для удалённых работников, которые хотят подключиться к виртуальным сетям Azure из удалённого места, например, из дома или конференц-зала. VPN P2S также является полезным решением для использования вместо VPN типа "сеть — сеть" (S2S), если у вас есть только несколько клиентов, которым требуется подключиться к виртуальной сети. Для конфигураций "точка — сеть" требуется тип VPN на основе маршрута .
Какой протокол использует P2S?
В VPN-подключении "точка — сеть" может использоваться один из следующих протоколов:
Протокол OpenVPN® — это VPN-протокол на основе SSL/TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. OpenVPN можно использовать для подключения из Android, iOS (версии 11.0 и более поздних версий), Windows, Linux и Mac (macOS версии 10.13 и выше). Поддерживаемые версии: TLS 1.2 и TLS 1.3 на основе рукопожатия TLS.
Протокол безопасного туннелирования сокетов (SSTP) — частный ПРОТОКОЛ VPN на основе TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. SSTP поддерживается только на Windows устройствах. Azure поддерживает все версии Windows с SSTP и поддержкой TLS 1.2 (Windows 8.1 и более поздних версий).
IKEv2 VPN— решение IPsec VPN на основе стандартов. IKEv2 VPN можно использовать для подключения с устройств Mac (macOS версии 10.11 и выше).
Как выполняется аутентификация VPN-клиентов при подключениях типа "точка — сеть"?
Прежде чем Azure принимает VPN-подключение P2S, пользователю необходимо сначала пройти проверку подлинности. Существует три типа проверки подлинности, которые можно выбрать при настройке шлюза P2S. Доступные параметры:
Для конфигурации шлюза P2S можно выбрать несколько типов проверки подлинности. При выборе нескольких типов проверки подлинности используемый VPN-клиент должен поддерживаться по крайней мере одним типом проверки подлинности и соответствующим типом туннеля. Например, если для типов туннелей выбраны "IKEv2 и OpenVPN", а для типа проверки подлинности выбраны "Microsoft Entra ID и radius" или "Microsoft Entra ID и сертификат Azure", Microsoft Entra ID будет использовать только тип туннеля OpenVPN, так как он не поддерживается IKEv2.
В следующей таблице показаны механизмы проверки подлинности, совместимые с выбранными типами туннелей. Каждый механизм требует настройки соответствующего программного обеспечения VPN-клиента на подключаемом устройстве с соответствующими параметрами, доступными в файлах конфигурации профиля VPN-клиента.
| Тип туннеля | Механизм проверки подлинности |
|---|---|
| OpenVPN | Любое подмножество Microsoft Entra ID, RADIUS Auth и Azure Certificate |
| SSTP | Сертификат проверки подлинности radius/ Azure |
| Протокол IKEv2 (Интернет обмен ключами, версия 2) | Сертификат проверки подлинности radius/ Azure |
| IKEv2 и OpenVPN | Аутентификация RADIUS/ Сертификат Azure/ Microsoft Entra ID и аутентификация RADIUS/ Microsoft Entra ID и сертификат Azure |
| IKEv2 и SSTP | Сертификат проверки подлинности radius/ Azure |
Аутентификация на основе сертификата
При настройке шлюза P2S для проверки подлинности сертификата вы отправляете открытый ключ доверенного корневого сертификата в шлюз Azure. Можно использовать корневой сертификат, созданный с помощью корпоративного решения, или создать самозаверяющий сертификат.
Для проверки подлинности каждый клиент, который подключается, должен иметь установленный сертификат клиента, созданный из доверенного корневого сертификата. Это в дополнение к программному обеспечению VPN-клиента. Проверка сертификатов клиентов выполняется VPN-шлюзом, когда устанавливается VPN-подключение "точка — сеть".
Рабочий процесс проверки подлинности сертификата
На высоком уровне необходимо выполнить следующие действия, чтобы настроить проверку подлинности сертификата:
- Включите аутентификацию с использованием сертификатов на шлюзе P2S, а также настройте дополнительные необходимые параметры (пул адресов клиента и т. д.), и загрузите информацию о корневом открытом ключе ЦС.
- Создайте и скачайте файлы конфигурации профиля VPN-клиента (пакет конфигурации профиля).
- Установите сертификат клиента на каждом подключаемом клиентском компьютере.
- Настройте VPN-клиент на клиентском компьютере с помощью параметров, найденных в пакете конфигурации профиля VPN.
- Подключитесь.
проверка подлинности Microsoft Entra ID
Шлюз P2S можно настроить, чтобы пользователи VPN могли проходить проверку подлинности с помощью учетных данных Microsoft Entra ID. С помощью проверки подлинности Microsoft Entra ID можно использовать Microsoft Entra функции условного доступа и многофакторной проверки подлинности (MFA) для VPN. Аутентификация Microsoft Entra ID поддерживается только для протокола OpenVPN. Для проверки подлинности и подключения клиенты должны использовать Azure VPN-клиент.
VPN-шлюз теперь поддерживает новый идентификатор приложения, зарегистрированный корпорацией Майкрософт, и соответствующие значения аудитории для последних версий vpn-клиента Azure. При настройке VPN-шлюза P2S с помощью новых значений аудитории вы пропустите ранее необходимый процесс регистрации Azure клиентского приложения VPN вручную для вашего клиента Microsoft Entra. Идентификатор приложения уже создан, и клиент автоматически может использовать его без дополнительных шагов регистрации. Этот процесс безопаснее, чем вручную регистрация VPN-клиента Azure, так как вам не нужно авторизовать приложение или назначать разрешения с помощью роли администратора облачных приложений. Чтобы лучше понять разницу между типами объектов приложения, см. раздел How и почему приложения добавляются в Microsoft Entra ID.
- Если ваш шлюз VPN пользователя P2S настроен с использованием параметров аудитории для вручную настраиваемого приложения Azure VPN Client, вы можете легко изменить настройки шлюза и клиента, чтобы воспользоваться новым идентификатором приложения, зарегистрированным компанией Майкрософт. Если вы хотите, чтобы клиенты Linux подключались, необходимо обновить шлюз P2S с новым значением аудитории. Azure VPN-клиент для Linux не совместим со старыми значениями параметра Audience.
- Если вы хотите создать или изменить настраиваемое значение аудитории, см. статью "Создание пользовательского идентификатора приложения аудитории для VPN P2S".
- Если вы хотите настроить или ограничить доступ к P2S на основе пользователей и групп, см. статью "Сценарий: Настройка VPN-доступа P2S на основе пользователей и групп".
Рекомендации
VPN-шлюз P2S может поддерживать только одно значение аудитории. Он не поддерживает одновременно несколько значений аудитории.
Клиент VPN Azure для Linux не совместим с шлюзами P2S, настроенными на использование старых значений Audience, которые соответствуют вручную зарегистрированному приложению. Однако Azure VPN-клиент для Linux поддерживает пользовательские значения аудитории.
-
Хотя возможно, что Azure VPN-клиент для Linux может работать в других дистрибутивах и выпусках Linux, Azure VPN-клиент для Linux поддерживается только в следующих выпусках:
- Ubuntu 20.04
- Ubuntu 22.04
-
Хотя возможно, что vpn-клиент Azure для Windows может работать в других версиях операционной системы, Azure VPN-клиент для Windows поддерживается только в следующих выпусках:
- Поддерживаемые выпуски Windows: Windows 10, Windows 11 архитектур X64, X86 и ARM64.
Последние версии VPN-клиентов Azure для macOS и Windows совместимы с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированным вручную приложению. Эти клиенты также поддерживают значения настраиваемой аудитории.
Значения аудитории Azure VPN клиента
В следующей таблице показаны версии VPN-клиента Azure, которые поддерживаются для каждого идентификатора приложения и соответствующих доступных значений аудитории.
| ИД приложения | Поддерживаемые значения для аудитории | Поддерживаемые клиенты |
|---|---|---|
| Зарегистрировано корпорацией Майкрософт | Значение аудитории c632b3df-fb67-4d84-bdcf-b95ad541b5c8 применяется к:— общедоступная Azure — Azure для государственных организаций — Azure Германия — Microsoft Azure, управляемый 21Vianet |
-Линукс -Виндоус — macOS |
| Зарегистрировано вручную | - Azure public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4— Azure для государственных организаций: 51bb15d4-3a4f-4ebf-9dca-40096fe32426— Azure Германия: 538ee9e6-310a-468d-afef-ea97365856a9- Microsoft Azure, управляемый 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
-Виндоус — macOS |
| Настраиваемый | <custom-app-id> |
-Линукс -Виндоус — macOS |
рабочий процесс проверки подлинности Microsoft Entra ID
На высоком уровне необходимо выполнить следующие действия, чтобы настроить проверку подлинности Microsoft Entra ID:
- При использовании ручной регистрации приложения выполните необходимые действия в клиенте Microsoft Entra.
- Включите проверку подлинности Microsoft Entra ID на шлюзе P2S, а также дополнительные необходимые параметры (пул адресов клиента и т. д.).
- Создайте и скачайте файлы конфигурации профиля VPN-клиента (пакет конфигурации профиля).
- Скачайте, установите и настройте VPN-клиент Azure на клиентском компьютере.
- Подключитесь.
RADIUS — проверка подлинности сервера домена Active Directory (AD)
Проверка подлинности домена AD позволяет пользователям подключаться к Azure с помощью учетных данных домена организации. Для этой проверки требуется сервер RADIUS, который интегрирован с сервером AD. Организации также могут использовать существующее развертывание RADIUS.
Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Во время проверки подлинности Azure VPN Gateway выступает в качестве передачи и пересылки сообщений проверки подлинности между сервером RADIUS и устройством подключения. Достижимость шлюза к серверу RADIUS важна. Если сервер RADIUS присутствует локально, для обеспечения доступности требуется подключение VPN S2S из Azure к локальному сайту.
Сервер RADIUS также можно интегрировать со службами сертификации AD. Это позволяет использовать сервер RADIUS и развертывание корпоративных сертификатов для проверки подлинности сертификатов P2S в качестве альтернативы проверке подлинности сертификата Azure. Преимущество заключается в том, что вам не нужно отправлять корневые сертификаты и отзывать сертификаты в Azure.
Сервер RADIUS также можно интегрировать с другими системами внешних идентификаторов. Благодаря этой возможности для VPN-подключений "точка — сеть" доступно множество вариантов аутентификации, в том числе и варианты многофакторной аутентификации.
Инструкции по настройке шлюза P2S см. в разделе "Настройка P2S — RADIUS".
Каковы требования к конфигурации клиента?
Требования к конфигурации клиента зависят от используемого VPN-клиента, типа проверки подлинности и протокола. В следующей таблице показаны доступные клиенты и соответствующие статьи для каждой конфигурации.
| Метод аутентификации | Тип туннеля | ОС клиента | VPN-клиент |
|---|---|---|---|
| Сертификат | |||
| IKEv2, SSTP | Windows | Собственный VPN-клиент | |
| Протокол IKEv2 (Интернет обмен ключами, версия 2) | macOS | Собственный VPN-клиент | |
| Протокол IKEv2 (Интернет обмен ключами, версия 2) | Линукс | strongSwan | |
| OpenVPN | Windows |
Azure VPN-клиент Клиент OpenVPN версии 2.x Клиент OpenVPN версии 3.x |
|
| OpenVPN | macOS | Клиент OpenVPN | |
| OpenVPN | iOS | Клиент OpenVPN | |
| OpenVPN | Линукс |
Azure VPN-клиент Клиент OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-клиент | |
| OpenVPN | macOS | Azure VPN-клиент | |
| OpenVPN | Линукс | Azure VPN-клиент |
Какие версии vpn-клиента Azure доступны?
Сведения о доступных версиях VPN-клиента Azure, датах выпуска и новых возможностях каждого выпуска см. в разделе Azure версии VPN-клиента.
Какие SKU шлюза поддерживают P2S VPN?
В следующей таблице показаны номера SKU шлюза по туннелям, подключению и пропускной способности. Дополнительные сведения см. в разделе "Сведения о номерах SKU шлюза".
|
VPN Шлюз Поколение |
Артикул |
Подключение "узел-узел (S2S)" или "виртуальная сеть — виртуальная сеть (VNet)" Туннели |
P2S Подключения SSTP |
P2S Подключения IKEv2/OpenVPN |
Агрегат Тест пропускной способности |
BGP | Zone-redundant | Поддерживаемое число виртуальных машин в виртуальной сети |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Basic | Макс. 10 | Макс. 128 | Не поддерживается | 100 Мбит/с | Не поддерживается | Нет | 200 |
| Generation1 | VpnGw1 | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Нет | 450 |
| Generation1 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Нет | 1 300 |
| Generation1 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Нет | 4000 |
| Generation1 | VpnGw1AZ | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Да | 1000 |
| Generation1 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Да | 2000 |
| Generation1 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Да | 5 000 |
| Generation2 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Нет | 685 |
| Generation2 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Нет | 2240 |
| Generation2 | VpnGw4 | Макс. 100* | Макс. 128 | Макс. 5 000 | 5 Гбит/с | Поддерживается | Нет | 5300 |
| Generation2 | VpnGw5 | Макс. 100* | Макс. 128 | Макс. 10 000 | 10 Гбит/с | Поддерживается | Нет | 6700 |
| Generation2 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Да | 2000 |
| Generation2 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Да | 3300 |
| Generation2 | VpnGw4AZ | Макс. 100* | Макс. 128 | Макс. 5 000 | 5 Гбит/с | Поддерживается | Да | 4400 |
| Generation2 | VpnGw5AZ | Макс. 100* | Макс. 128 | Макс. 10 000 | 10 Гбит/с | Поддерживается | Да | 9000 |
Примечание.
"Поддерживаемое число виртуальных машин в виртуальная сеть" относится к количеству ресурсов, взаимодействующих через шлюз. Сюда входит следующее:
- Виртуальные машины в основной и пиринговых спицевых виртуальных сетях
- Частные конечные узлы
- Сетевые виртуальные устройства (например, шлюз приложений, Брандмауэр Azure)
- Серверные экземпляры служб PaaS, развернутые в виртуальных сетях (например, Управляемый экземпляр SQL, Среда службы приложений)
Примечание.
Базовый SKU имеет ограничения и не поддерживает IKEv2, IPv6 или аутентификацию RADIUS. Дополнительные сведения см. в разделе настройки VPN-шлюза.
Какие политики IKE/IPsec настроены на VPN-шлюзах для подключения "точка — сеть"?
В таблицах этого раздела показаны значения политик по умолчанию. Однако они не отражают доступные поддерживаемые значения для пользовательских политик. Сведения о пользовательских политиках см. в разделе "Принятые значения", перечисленные в командлете PowerShell New-AzVpnClientIpsecParameter.
IKEv2
| Шифр | Целостность | PRF | Группа DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | ГРУППА_2 |
IPsec
| Шифр | Целостность | Группа PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | ГРУППА_НЕТ |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | ГРУППА_НЕТ |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | ГРУППА_НЕТ |
Какие политики TLS настроены на VPN-шлюзах для подключения "точка — сеть"?
TLS
| Политики |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Поддерживается только в TLS1.3 с OpenVPN
Как настроить подключение P2S?
Для настройки подключения "точка — сеть" необходимо выполнить ряд определенных действий. В следующих статьях описаны шаги для выполнения общих действий по настройке P2S.
- Проверка подлинности сертификата
- проверка подлинности Microsoft Entra ID
- Проверка подлинности RADIUS
Удаление конфигурации подключения "точка — сеть"
Конфигурацию подключения можно удалить с помощью PowerShell или CLI. Примеры см. в разделе часто задаваемых вопросов.
Как работает маршрутизация P2S
См. следующие статьи:
Вопросы и ответы
Существует несколько записей часто задаваемых вопросов для типа "точка — сеть". Ознакомьтесь с Часто задаваемыми вопросами по VPN-шлюз, уделяя особое внимание разделам Аутентификация с помощью сертификатов и RADIUS.
Следующие шаги
- Настройка подключения P2S — проверка подлинности сертификата Azure
- Настройка подключения P2S — проверка подлинности Microsoft Entra ID
OpenVPN является товарным знаком OpenVPN Inc.