نبذة عن VPN نقطة إلى موقع

يتيح لك اتصال بوابة VPN Point-to-Site (P2S) إنشاء اتصال آمن إلى شبكة الاتصال الظاهرية الخاصة بك من كمبيوتر عميل فردي. يتم تأسيس اتصال نقطة إلى موقع عن طريق بدء تشغيل من الكمبيوتر العميل. يعد هذا الحل مفيدا للمتحكمين عن بعد الذين يرغبون في الاتصال بشبكات Azure الظاهرية من موقع بعيد، مثل من المنزل أو المؤتمر. تعد P2S VPN أيضا حلا مفيدا لاستخدامه بدلا من VPN من موقع إلى موقع (S2S) عندما يكون لديك عدد قليل فقط من العملاء الذين يحتاجون إلى الاتصال بشبكة ظاهرية. تتطلب تكوينات من نقطة إلى موقع نوع VPN يستند إلى المسار.

ما هو البروتوكول الذي يستخدمه P2S؟

يمكن أن يستخدم اتصال شبكة ظاهرية خاصة نقطة إلى موقع من خلال البروتوكولات الأتية:

  • بروتوكول OpenVPN® ‎، وهو بروتوكول VPN قائم على SSL/TLS ‏. يمكن أن يخترق حل بروتوكول أمان طبقة النقل لشبكة ظاهرية خاصة جدران الحماية، حيث أن معظم جدران الحماية تفتح منفذ TCP 443 الصادر الذي يستخدمه بروتوكول أمان طبقة النقل. يمكن استخدام OpenVPN للاتصال من أجهزة أندرويد و iOS (الإصدارات 11.0 وما فوق) Windows و Linux و Mac (إصدارات macOS 10.13 وما فوق).

  • بروتوكول نفق مأخذ التوصيل الآمن (SSTP)، وهو بروتوكول VPN خاص قائم على TLS. يمكن أن يخترق حل بروتوكول أمان طبقة النقل لشبكة ظاهرية خاصة جدران الحماية، حيث أن معظم جدران الحماية تفتح منفذ TCP 443 الصادر الذي يستخدمه بروتوكول أمان طبقة النقل. يتم اعتماد SSTP فقط على أجهزة Windows. يدعم Azure جميع إصدارات Windows التي تحتوي على SSTP وتدعم TLS 1.2 (Windows 8.1 والإصدارات الأحدث).

  • IKEv2 VPN وهو أحد حلول أمان IPsec VPN القائمة على المعايير. يمكن استخدام مفتاح الإنترنت التبادلي لشبكة ظاهرية خاصة للاتصال من أجهزة Mac (إصدارات macOS 10.11 وما فوق).

كيف تتم مصادقة عملاء P2S VPN؟

قبل أن يقبل Azure اتصال P2S VPN، يجب أن تتم مصادقة المستخدم أولاً. هناك ثلاثة أنواع مصادقة يمكنك تحديدها عند تكوين بوابة P2S. الخيارات هي:

يمكنك تحديد أنواع مصادقة متعددة لتكوين بوابة P2S. إذا قمت بتحديد أنواع مصادقة متعددة، يجب أن يكون عميل VPN الذي تستخدمه مدعوما بنوع مصادقة واحد على الأقل ونوع نفق مطابق. على سبيل المثال، إذا حددت "IKEv2 وOpenVPN" لأنواع الأنفاق، و"معرف Microsoft Entra و Radius" أو "معرف Microsoft Entra وشهادة Azure" لنوع المصادقة، فسيستخدم معرف Microsoft Entra نوع نفق OpenVPN فقط لأنه غير مدعوم من قبل IKEv2.

يعرض الجدول التالي آليات المصادقة المتوافقة مع أنواع الأنفاق المحددة. تتطلب كل آلية تكوين برنامج عميل VPN المقابل على جهاز الاتصال بالإعدادات المناسبة المتوفرة في ملفات تكوين ملف تعريف عميل VPN.

نوع النفق آلية المصادقة
OpenVPN أي مجموعة فرعية من معرف Microsoft Entra ومصادقة Radius وشهادة Azure
بروتوكول نفق مأخذ التوصيل الآمن مصادقة Radius/ شهادة Azure
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) مصادقة Radius/ شهادة Azure
IKEv2 وOpenVPN Radius Auth/ شهادة Azure/ معرف Microsoft Entra ومصادقة Radius/ معرف Microsoft Entra وشهادة Azure
IKEv2 وSSTP مصادقة Radius/ شهادة Azure

مصادقة الشهادة

عند تكوين بوابة P2S الخاصة بك لمصادقة الشهادة، يمكنك تحميل المفتاح العام للشهادة الجذر الموثوق به إلى بوابة Azure. يمكنك استخدام شهادة جذر تم إنشاؤها باستخدامEnterprise solution، أو يمكنك إنشاء شهادة موقعة ذاتيًا.

للمصادقة، يجب أن يكون لكل عميل يتصل شهادة عميل مثبتة تم إنشاؤها من شهادة الجذر الموثوق بها. هذا بالإضافة إلى برنامج عميل VPN. يتم تنفيذ التحقق من صحة شهادة العميل من قبل بوابة شبكة ظاهرية خاصة ويحدث أثناء إنشاء اتصال شبكة ظاهرية خاصة من نقطة إلى موقع.

سير عمل مصادقة الشهادة

على مستوى عال، تحتاج إلى تنفيذ الخطوات التالية لتكوين مصادقة الشهادة:

  1. قم بتمكين مصادقة الشهادة على بوابة P2S، جنبا إلى جنب مع الإعدادات الإضافية المطلوبة (تجمع عناوين العميل، وما إلى ذلك)، وتحميل معلومات المفتاح العام ل CA الجذر.
  2. إنشاء ملفات تكوين ملف تعريف عميل VPN وتنزيلها (حزمة تكوين ملف التعريف).
  3. تثبيت شهادة العميل على كل كمبيوتر عميل متصل.
  4. تكوين عميل VPN على كمبيوتر العميل باستخدام الإعدادات الموجودة في حزمة تكوين ملف تعريف VPN.
  5. اتصال.

مصادقة معرف Microsoft Entra

يمكنك تكوين بوابة P2S للسماح لمستخدمي VPN بالمصادقة باستخدام بيانات اعتماد معرف Microsoft Entra. باستخدام مصادقة معرف Microsoft Entra، يمكنك استخدام Microsoft Entra Conditional Access وميزات المصادقة متعددة العوامل (MFA) ل VPN. مصادقة معرف Microsoft Entra مدعومة فقط لبروتوكول OpenVPN. للمصادقة والاتصال، يجب على العملاء استخدام عميل Azure VPN.

تدعم بوابة VPN الآن معرف تطبيق مسجل من Microsoft جديد وقيم الجماعة المستهدفة المقابلة لأحدث إصدارات Azure VPN Client. عند تكوين بوابة P2S VPN باستخدام قيم Audience الجديدة، يمكنك تخطي عملية التسجيل اليدوي لتطبيق Azure VPN Client لمستأجر Microsoft Entra. تم إنشاء معرف التطبيق بالفعل ويكون المستأجر الخاص بك قادرا على استخدامه تلقائيا دون أي خطوات تسجيل إضافية. هذه العملية أكثر أمانا من تسجيل عميل Azure VPN يدويا لأنك لا تحتاج إلى تخويل التطبيق أو تعيين أذونات عبر دور المسؤول العام.

في السابق، طلب منك تسجيل (دمج) تطبيق عميل Azure VPN يدويا مع مستأجر Microsoft Entra. يؤدي تسجيل تطبيق العميل إلى إنشاء معرف تطبيق يمثل هوية تطبيق عميل Azure VPN ويتطلب تخويلا باستخدام دور المسؤول العام. لفهم الفرق بين أنواع عناصر التطبيق بشكل أفضل، راجع كيفية إضافة التطبيقات إلى معرف Microsoft Entra وسبب إضافتها.

عندما يكون ذلك ممكنا، نوصي بتكوين بوابات P2S جديدة باستخدام معرف تطبيق عميل Azure VPN المسجل من Microsoft وقيم الجمهور المقابلة له، بدلا من تسجيل تطبيق عميل Azure VPN يدويا مع المستأجر الخاص بك. إذا كان لديك بوابة Azure VPN تم تكوينها مسبقا تستخدم مصادقة معرف Microsoft Entra، يمكنك تحديث البوابة والعملاء للاستفادة من معرف التطبيق الجديد المسجل من قبل Microsoft. يلزم تحديث بوابة P2S بقيمة Audience الجديدة إذا كنت تريد أن يتصل عملاء Linux. عميل Azure VPN ل Linux غير متوافق مع القيم القديمة للجمهور.

إذا كانت لديك بوابة P2S موجودة تريد تحديثها لاستخدام قيمة جماعة مستهدفة جديدة، فشاهد تغيير الجماعة المستهدفة لبوابة P2S VPN. إذا كنت ترغب في إنشاء قيمة جماعة مستهدفة مخصصة أو تعديلها، فشاهد إنشاء معرف تطبيق جماعة مستهدفة مخصص ل P2S VPN. إذا كنت ترغب في تكوين الوصول إلى P2S أو تقييده استنادا إلى المستخدمين والمجموعات، فشاهد السيناريو: تكوين وصول P2S VPN استنادا إلى المستخدمين والمجموعات.

الاعتبارات والقيود

  • يمكن أن تدعم بوابة P2S VPN قيمة جماعة مستهدفة واحدة فقط. لا يمكن أن يدعم قيم الجماعة المستهدفة المتعددة في وقت واحد.

  • في هذا الوقت، لا يدعم معرف التطبيق المسجل من قبل Microsoft أكبر عدد من قيم الجمهور مثل التطبيق الأقدم والمسجل يدويا. إذا كنت بحاجة إلى قيمة Audience لأي شيء آخر غير Azure Public أو Custom، فاستخدم الأسلوب والقيم القديمة المسجلة يدويا.

  • عميل Azure VPN ل Linux غير متوافق مع الإصدارات السابقة مع بوابات P2S المكونة لاستخدام قيم الجمهور القديمة التي تتوافق مع التطبيق المسجل يدويا. يدعم عميل Azure VPN لنظام Linux قيم الجماعات المستهدفة المخصصة.

  • في حين أنه من الممكن أن عميل Azure VPN ل Linux قد يعمل على توزيعات وإصدارات Linux الأخرى، فإن عميل Azure VPN لنظام Linux مدعوم فقط في الإصدارات التالية:

    • Ubuntu 20.04
    • Ubuntu 22.04
  • يتوافق عميل Azure VPN لنظامي التشغيل macOS وWindows مع بوابات P2S التي تم تكوينها لاستخدام قيم الجمهور القديمة التي تتوافق مع التطبيق المسجل يدويا. يمكنك أيضا استخدام قيم الجماعات المستهدفة المخصصة مع هؤلاء العملاء.

قيم جمهور عميل Azure VPN

يعرض الجدول التالي إصدارات عميل Azure VPN المعتمدة لكل معرف تطبيق وقيم الجماعة المستهدفة المتوفرة المقابلة.

معرف التطبيق قيم الجماعة المستهدفة المدعومة ‏‫العملاء المعتمدون
مسجل من قبل Microsoft - Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 - Linux
-نوافذ
- macOS
مسجل يدويا - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure المشغل بواسطة 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa
-نوافذ
- macOS
مخصص <custom-app-id> - Linux
-نوافذ
- macOS

سير عمل مصادقة معرف Microsoft Entra

على مستوى عال، تحتاج إلى تنفيذ الخطوات التالية لتكوين مصادقة معرف Microsoft Entra:

  1. إذا كنت تستخدم تسجيل التطبيق اليدوي، فنفذ الخطوات اللازمة على مستأجر Microsoft Entra.
  2. تمكين مصادقة معرف Microsoft Entra على بوابة P2S، جنبا إلى جنب مع الإعدادات الإضافية المطلوبة (تجمع عناوين العميل، وما إلى ذلك).
  3. إنشاء ملفات تكوين ملف تعريف عميل VPN وتنزيلها (حزمة تكوين ملف التعريف).
  4. قم بتنزيل عميل Azure VPN وتثبيته وتكوينه على كمبيوتر العميل.
  5. اتصال.

RADIUS - مصادقة خادم مجال Active Directory (AD)

تسمح مصادقة مجال AD للمستخدمين بالاتصال بـ Azure باستخدام بيانات اعتماد مجال مؤسستهم. يتطلب خادم RADIUS الذي يتكامل مع خادم AD. يمكن للمؤسسات أيضا استخدام توزيع RADIUS الحالي.

يمكن نشر خادم RADIUS محليا أو في شبكة Azure الظاهرية. أثناء المصادقة، تعمل بوابة Azure VPN كمرور عبر رسائل المصادقة وتعيد توجيهها عدة مرات بين خادم RADIUS والجهاز الذي يقوم بالاتصال. لذا، فإن إمكانية وصول البوابة إلى خادم RADIUS أمر مهم. إذا كان خادم RADUS موجودًا محليا، فإن اتصال الشبكة الظاهرية الخاصة موقع إلى موقع من Azure إلى الموقع المحلي مطلوب للوصول.

يمكن أيضا تكامل خادم RADIUS مع خدمات شهادات AD. يتيح لك هذا استخدام خادم RADIUS وتوزيع شهادة المؤسسة الخاصة بك لمصادقة شهادة من نقطة إلى موقع كبديل لمصادقة شهادة Azure. الميزة هي أنك لست بحاجة إلى تحميل شهادات الجذر والشهادات المُبطلة إلى Azure.

يمكن أيضا دمج خادم RADIUS مع أنظمة الهوية الخارجية الأخرى. يفتح هذا العديد من خيارات المصادقة لـ P2S VPN، بما في ذلك خيارات متعددة العوامل.

رسم تخطيطي يوضح شبكة VPN من نقطة إلى موقع باستخدام موقع محلي.

للحصول على خطوات تكوين بوابة P2S، راجع تكوين P2S - RADIUS.

ما هي متطلبات تكوين العميل؟

تختلف متطلبات تكوين العميل، استنادا إلى عميل VPN الذي تستخدمه ونوع المصادقة والبروتوكول. يعرض الجدول التالي العملاء المتوفرين والمقالات المقابلة لكل تكوين.

المصادقة نوع النفق نظام تشغيل العميل عميل VPN
شهادة
IKEv2، SSTP Windows عميل VPN الأصلي
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) macOS عميل VPN الأصلي
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) Linux strongSwan
OpenVPN Windows عميل Azure VPN
OpenVPN client version 2.x
OpenVPN client version 3.x
OpenVPN macOS عميل OpenVPN
OpenVPN iOS عميل OpenVPN
OpenVPN Linux عميل Azure VPN
عميل OpenVPN
Microsoft Entra ID
OpenVPN Windows عميل Azure VPN
OpenVPN macOS عميل Azure VPN
OpenVPN Linux عميل Azure VPN

ما هي إصدارات Azure VPN Client المتوفرة؟

للحصول على معلومات حول إصدارات عميل Azure VPN المتوفرة وتواريخ الإصدار والجديد في كل إصدار، راجع إصدارات عميل Azure VPN.

ما هي وحدات SKU للبوابة التي تدعم P2S VPN؟

يعرض الجدول التالي وحدات SKU للبوابة حسب النفق والاتصال ومعدل النقل. لمزيد من المعلومات، راجع حول وحدات SKU للبوابة.

VPN
البوابة
الجيل
SKU S2S/VNet-to-VNet
الأنفاق
P2S
اتصالات SSTP
P2S
اتصالات IKEv2/OpenVPN
التجميع
معيار معدل النقل
BGP المنطقة زائدة عن الحاجة عدد الأجهزة الظاهرية المدعومة في الشبكة الظاهرية
الجيل 1 أساسي الحد الأقصى. 10 الحد الأقصى. 128 غير معتمد 100 ميغابت في الثانية غير معتمد لا 200
الجيل 1 VpnGw1 الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 250 650 ميغابت في الثانية مدعوم لا 450
الجيل 1 VpnGw2 الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 500 يبلغ 1 جيجابت في الثانية مدعوم لا 1300
الجيل 1 VpnGw3 الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 1000 1.25 غيغابت في الثانية مدعوم لا 4000
الجيل 1 VpnGw1AZ الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 250 650 ميغابت في الثانية مدعوم ‏‏نعم‬ 1000
الجيل 1 VpnGw2AZ الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 500 يبلغ 1 جيجابت في الثانية مدعوم ‏‏نعم‬ 2000
الجيل 1 VpnGw3AZ الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 1000 1.25 غيغابت في الثانية مدعوم ‏‏نعم‬ 5000
الجيل الثاني VpnGw2 الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 500 1.25 غيغابت في الثانية مدعوم لا 685
الجيل الثاني VpnGw3 الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 1000 2.5 غيغابت في الثانية مدعوم لا 2240
الجيل الثاني VpnGw4 الحد الأقصى. 100* الحد الأقصى. 128 الحد الأقصى. 5000 5 غيغابت في الثانية مدعوم لا 5300
الجيل الثاني VpnGw5 الحد الأقصى. 100* الحد الأقصى. 128 الحد الأقصى. 10000 10 جيجابت في الثانية مدعوم لا 6700
الجيل الثاني VpnGw2AZ الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 500 1.25 غيغابت في الثانية مدعوم ‏‏نعم‬ 2000
الجيل الثاني VpnGw3AZ الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 1000 2.5 غيغابت في الثانية مدعوم ‏‏نعم‬ 3300
الجيل الثاني VpnGw4AZ الحد الأقصى. 100* الحد الأقصى. 128 الحد الأقصى. 5000 5 غيغابت في الثانية مدعوم ‏‏نعم‬ 4400
الجيل الثاني VpnGw5AZ الحد الأقصى. 100* الحد الأقصى. 128 الحد الأقصى. 10000 10 جيجابت في الثانية مدعوم ‏‏نعم‬ 9000

إشعار

يحتوي SKU الأساسي على قيود ولا يدعم مصادقة IKEv2 أو IPv6 أو RADIUS. لمزيد من المعلومات، راجع إعدادات بوابة VPN.

ما هي نُهُج IKE/IPsec التي تم تكوينها على بوابات VPN لـ P2S؟

تعرض الجداول الموجودة في هذا القسم قيم النهج الافتراضية. ومع ذلك، فإنها لا تعكس القيم المدعومة المتوفرة للنهج المخصصة. للحصول على نهج مخصصة، راجع القيم المقبولة المدرجة في الأمر Cmdlet New-AzVpnClientIpsecParameter PowerShell.

IKEv2

التشفير تكامل البيانات PRF مجموعة DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

التشفير تكامل البيانات مجموعة PFS
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

ما هي نُهُج TLS التي كُونت على بوابات VPN لـ P2S؟

TLS

السياسات
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
**TLS_AES_256_GCM_SHA384
**TLS_AES_128_GCM_SHA256

**معتمد فقط على TLS1.3 مع OpenVPN

كيف أعمل اتصال P2S؟

يتطلب تكوين P2S بضع خطوات محددة. تحتوي المقالات التالية على خطوات إرشادك خلال خطوات تكوين P2S الشائعة.

كيفية إزالة تكوين اتصال P2S

يمكنك إزالة تكوين أي اتصال باستخدام PowerShell أو CLI. على سبيل المثال، راجع الأسئلة المتداولة.

كيف يعمل توجيه P2S؟

راجع المقالات التالية:

الأسئلة المتداولة

هناك العديد من إدخالات الأسئلة المتداولة لنقطة إلى موقع. راجع الأسئلة المتداولة حول بوابة VPN، مع إيلاء اهتمام خاص لقسمي مصادقة الشهادة و RADIUS، حسب الاقتضاء.

الخطوات التالية

"OpenVPN" هي علامة تجارية لشركة OpenVPN Inc.