تكوين التوجيه المفروض لأسفل لـ Virtual WAN من نقطة إلى موقع VPN

مقالة
08/24/2023

يسمح لك التوجيه المفروض لأسفل بإرسال كل نسبة استخدام الشبكة (بما في ذلك نسبة استخدام الشبكة المرتبطة بالإنترنت) من المستخدمين البعيدين إلى Azure. في شبكة WAN الافتراضية يشير التوجيه المفروض لأسفل لمستخدمي VPN البعيدين من نقطة إلى موقع إلى أنه يتم الإعلان عن المسار الافتراضي 0.0.0.0/0 لمستخدمي VPN البعيدين.

تصميم مركز Virtual WAN

تفترض الخطوات الواردة في هذه المقالة أنك قمت بتوزيع شبكة WAN ظاهرية بالفعل مع مركز واحد أو أكثر.

لإنشاء شبكة WAN ظاهرية جديدة ومركز جديد، استخدم الخطوات الواردة في المقالات الآتية:

قم باعداد VPN من نقطة إلى موقع

تفترض الخطوات الواردة في هذا المقال أيضًا أنك قمت بالفعل بنشر بوابة VPN من نقطة إلى موقع في مركز Virtual WAN. كما تفترض أنك أنشأت ملفات تعريف VPN من نقطة إلى موقع لتعيينها إلى البوابة.

لإنشاء بوابة VPN من نقطة إلى موقع وملفات التعريف ذات الصلة، قم بمراجعة إنشاء بوابة VPN من نقطة إلى موقع.

أعلن عن المسار الافتراضي للعملاء

توجد طريقتان لتكوين التوجيه المفروض لأسفل والإعلان عن المسار الافتراضي (0.0.0.0/0) لعملاء VPN للمستخدم البعيد المتصلين بشبكة WAN الظاهرية.

بإمكانك تحديد مسار ثابت 0.0.0.0/0 في defaultRouteTable مع اتصال الشبكة الظاهرية للخطوة التالية. سيؤدي ذلك إلى فرض إرسال كل نسبة استخدام الشبكة المرتبطة بالإنترنت إلى جهاز ظاهري للشبكة تم نشرها في الشبكة الظاهرية المحورية. لإرشادات أكثر تفصيلًا، ضع في اعتبارك سير العمل البديل الموضح في المسار من خلال NVAs.
بإمكانك استخدام Azure Firewall Manager لتكوين Virtual WAN لإرسال كل نسبة استخدام الشبكة المرتبطة بالإنترنت عبر Azure Firewall المنشورة في مركز Virtual WAN. لخطوات التكوين وبرنامج تعليمي، راجع وثائق Azure Firewall Manager تأمين المراكز الظاهرية. عوضًا عن ذلك، يمكن أيضًا تكوين هذا من خلال استخدام Internet Traffic Routing Policy. للمزيد من المعلومات، راجع Routing Intent وRouting Policies.
بإمكانك استخدام Firewall Manager لإرسال حركة مرور الإنترنت عبر موفر أمان تابع لجهة خارجية. للمزيد من المعلومات حول هذه الإمكانية، راجع موفري الأمان الموثوقين.
بإمكانك تكوين أحد فروعك (VPN من موقع إلى موقع، ودائرة ExpressRoute) للإعلان عن مسار 0.0.0.0/0 إلى Virtual WAN.

عقب تكوين إحدى الطرق الأربعة أعلاه، تأكد من تشغيل علامة EnableInternetSecurity لبوابة VPN من نقطة إلى موقع. ينبغي تعيين هذه العلامة إلى صحيح لعملائك ليتم تكوينها بشكل صحيح للتوجيه المفروض لأسفل.

لتشغيل علامة EnableInternetSecurity، قم باستخدام أمر PowerShell التالي، واستبدال القيم المناسبة لبيئتك.

Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag

تنزيل ملف التعريف VPN من نقطة إلى موقع

لتنزيل ملف تعريف VPN من نقطة إلى موقع، قم بمراجعة ملفات التعريف العمومية والمركزية. تعد المعلومات الموجودة في الملف المضغوط التي تم تنزيلها من مدخل Microsoft Azure بالغة الأهمية لتكوين عملائك بشكل صحيح.

تكوين التوجيه المفروض لأسفل لعملاء Azure VPN (OpenVPN)

تختلف خطوات تكوين التوجيه المفروض لأسفل اعتمادًا على نظام التشغيل لجهاز المستخدم.

عملاء Windows

ملاحظة

بالنسبة لعملاء Windows، يتوفر التوجيه المفروض لأسفل باستخدام عميل Azure VPN فقط مع إصدار البرنامج 2:1900:39.0 أو أحدث.

تحقق من أن إصدار عميل Azure VPN متوافق مع التوجيه المفروض لأسفل. لفعل ذلك، انقر فوق النقاط الثلاث في أسفل عميل Azure VPN، وانقر فوق Help. بدلًا من ذلك، يكون اختصار لوحة المفاتيح للتنقل إلى Help هو Ctrl-H. من الممكن العثور على رقم الإصدار في أعلى الشاشة. تأكد من أن رقم إصدارك هو 2:1900:39.0 أو أحدث.
قم بفتح الملف المضغوط الذي تم تنزيله من القسم السابق. ينبغي أن ترى مجلدًا بعنوان AzureVPN. قم بفتح المجلد وافتح azurevpnconfig.xml في أداة تحرير XML المفضلة لديك.
في azureconfig.xml، يوجد حقل يسمى version. في حال كان الرقم بين علامات الإصدار هو 1، فقم بتغيير رقم الإصدار إلى 2.
```
<version>2</version>
```
قم باستيراد ملف التعريف إلى عميل Azure VPN. للمزيد من المعلومات حول كيفية استيراد ملف تعريف، راجع إرشادات استيراد عميل Azure VPN.
الربط بالاتصال المضاف حديثًا. أنت الآن تقوم بتوجيه مفروض لأسفل على كل حركة المرور إلى Azure Virtual WAN.

عملاء MacOS

بمجرد أن يتعلم عميل macOS المسار الافتراضي من Azure، يتم تكوين التوجيه المفروض لأسفل تلقائيًا على جهاز العميل. لا توجد خطوات إضافية ينبغي اتخاذها. للإرشادات حول كيفية استخدام عميل macOS Azure VPN للاتصال ببوابة VPN من نقطة إلى موقع WAN الظاهرية، راجع دليل تكوين macOS.

تكوين التوجيه المفروض لأسفل لعملاء IKEv2

بالنسبة لعملاء IKEv2، لا يمكنك استخدام ملفات التعريف القابلة للتنفيذ التي تم تنزيلها بشكل مباشر من مدخل Microsoft Azure. لتكوين العميل بشكل صحيح، ستحتاج لتشغيل برنامج PowerShell نصي أو توزيع ملف تعريف VPN عبر Intune.

استنادًا إلى طريقة المصادقة الذي تم تكوينها على بوابة VPN من نقطة إلى موقع، استخدم ملف EAP Configuration مختلف. تتوفر نماذج ملفات تكوين EAP أدناه.

IKEv2 مع مصادقة لشهادة المستخدم

لاستخدام شهادات المستخدم لمصادقة المستخدمين البعيدين، قم باستخدام عينة برنامج PowerShell النصي أدناه. لاستيراد محتويات ملفات VpnSettings وEAP XML بشكل صحيح إلى PowerShell، توجه إلى الدليل المناسب قبل تشغيل الأمر Get-Content PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

يبين المثال التالي ملف EAP XML للمصادقة المستندة إلى شهادة المستخدم. استبدل حقل IssuerHash ببصمة إبهام شهادة الجذر للتأكد من أن جهاز العميل الخاص بك يحدد الشهادة الصحيحة لتقديمها إلى خادم VPN للمصادقة.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>true</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                </ServerValidation>
                <DifferentUsername>false</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 مع مصادقة لشهادة الجهاز

لاستخدام شهادات المستخدم لمصادقة المستخدمين البعيدين، استخدم عينة برنامج PowerShell النصي أدناه. لاستيراد محتويات ملفات VpnSettings وEAP XML بشكل صحيح إلى PowerShell، توجه إلى الدليل المناسب قبل تشغيل الأمر Get-Content PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate 

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

IKEv2 مع مصادقة خادم RADIUS مع اسم مستخدم وكلمة مرور (EAP-MSCHAPv2)

لاستخدام اسم المستخدم ومصادقة RADIUS المستندة إلى كلمة المرور (EAP-MASCHAPv2) لمصادقة المستخدمين البعيدين، استخدم عينة برنامج PowerShell النصي أدناه. لاستيراد محتويات ملفات VpnSettings وEAP XML بشكل صحيح إلى PowerShell، توجه إلى الدليل المناسب قبل تشغيل الأمر Get-Content PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

مثال على ملف EAP XML هو الآتي.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>26</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
                <UseWinLogonCredentials>false</UseWinLogonCredentials>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 مع المصادقة لخادم RADIUS مع شهادات المستخدم (EAP-TLS)

لاستعمال مصادقة RADIUS المستندة إلى الشهادة (EAP-TLS) لمصادقة المستخدمين البعيدين، استخدم نموذج البرنامج النصي PowerShell أدناه. لاحظ أنه لاستيراد محتويات ملفات VpnSettings وEAP XML إلى PowerShell، سيتعين عليك الانتقال إلى الدليل المناسب قبل تشغيل الأمر Get-Content PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

فيما يأتي نموذج ملف EAP XML. قم بتغيير الحقل TrustedRootCA إلى بصمة الإبهام لشهادة المرجع المصدق وIssuerHash ليكون بصمة الإبهام للشهادة الجذر.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>false</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                    <TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
                </ServerValidation>
                <DifferentUsername>true</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> ROOT CERTIFCATE THUMBPRINT  </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

الخطوات التالية

للمزيدٍ من المعلومات حول Virtual WAN، راجع الأسئلة المتداولة.

Share via