نبذة عن VPN نقطة إلى موقع
يتيح لك اتصال بوابة VPN Point-to-Site (P2S) إنشاء اتصال آمن إلى شبكة الاتصال الظاهرية الخاصة بك من كمبيوتر عميل فردي. يتم تأسيس اتصال نقطة إلى موقع عن طريق بدء تشغيل من الكمبيوتر العميل. يفيد هذا الحل للذين يرغبون في الاتصال ب Azure VNets من موقع بعيد، مثل من المنزل أو المؤتمر. تعتبر الشبكة الظاهرية الخاصة نقطة إلى موقع أيضا حل مفيد لاستخدامه بدلًا من الشبكة الظاهرية الخاصة موقع إلى موقع عندما يكون لديك عدد قليل من العملاء الذين يحتاجون إلى الاتصال بشبكة ظاهرية. تنطبق هذه المقالة على نموذج نشر Resource Manager.
إشعار
تتطلب تكوينات من نقطة إلى موقع نوع VPN يستند إلى المسار. لمزيد من المعلومات حول أنواع VPN، راجع حول إعدادات بوابة VPN.
ما هو البروتوكول الذي يستخدمه P2S؟
يمكن أن يستخدم اتصال شبكة ظاهرية خاصة نقطة إلى موقع من خلال البروتوكولات الأتية:
بروتوكول OpenVPN® ، وهو بروتوكول VPN قائم على SSL/TLS . يمكن أن يخترق حل بروتوكول أمان طبقة النقل لشبكة ظاهرية خاصة جدران الحماية، حيث أن معظم جدران الحماية تفتح منفذ TCP 443 الصادر الذي يستخدمه بروتوكول أمان طبقة النقل. يمكن استخدام OpenVPN للاتصال من أجهزة أندرويد و iOS (الإصدارات 11.0 وما فوق) Windows و Linux و Mac (إصدارات macOS 10.13 وما فوق).
بروتوكول نفق مأخذ التوصيل الآمن (SSTP)، وهو بروتوكول VPN خاص قائم على TLS. يمكن أن يخترق حل بروتوكول أمان طبقة النقل لشبكة ظاهرية خاصة جدران الحماية، حيث أن معظم جدران الحماية تفتح منفذ TCP 443 الصادر الذي يستخدمه بروتوكول أمان طبقة النقل. يتم اعتماد SSTP فقط على أجهزة Windows. يدعم Azure جميع إصدارات Windows التي تحتوي على SSTP وتدعم TLS 1.2 (Windows 8.1 والإصدارات الأحدث).
IKEv2 VPN وهو أحد حلول أمان IPsec VPN القائمة على المعايير. يمكن استخدام مفتاح الإنترنت التبادلي لشبكة ظاهرية خاصة للاتصال من أجهزة Mac (إصدارات macOS 10.11 وما فوق).
إشعار
يتوفر IKEv2 وOpenVPN لـ P2S لنموذج نشر Resource Manager فقط. وهي غير متوفرة لنموذج النشر الكلاسيكي.
كيف تتم مصادقة عملاء P2S VPN؟
قبل أن يقبل Azure اتصال P2S VPN، يجب أن تتم مصادقة المستخدم أولاً. هناك آليتان تقدمهما Azure لمصادقة مستخدم متصل.
مصادقة الشهادة
عند استخدام مصادقة شهادة Azure الأصلية، يتم استخدام شهادة عميل موجودة على الجهاز لمصادقة المستخدم الذي يقوم بالاتصال. يتم إنشاء شهادات العميل من شهادة جذر موثوق بها ثم تثبيتها على كل كمبيوتر عميل. يمكنك استخدام شهادة جذر تم إنشاؤها باستخدامEnterprise solution، أو يمكنك إنشاء شهادة موقعة ذاتيًا.
يتم تنفيذ التحقق من صحة شهادة العميل من قبل بوابة شبكة ظاهرية خاصة ويحدث أثناء إنشاء اتصال شبكة ظاهرية خاصة من نقطة إلى موقع. شهادة الجذر مطلوبة للتحقق من الصحة ويجب تحميلها إلى Azure.
مصادقة Microsoft Entra
تسمح مصادقة Microsoft Entra للمستخدمين بالاتصال ب Azure باستخدام بيانات اعتماد Microsoft Entra الخاصة بهم. مصادقة Microsoft Entra الأصلية مدعومة فقط لبروتوكول OpenVPN وتتطلب أيضا استخدام عميل Azure VPN. أنظمة تشغيل العميل المدعومة هي Windows 10 أو أحدث وmacOS.
باستخدام مصادقة Microsoft Entra الأصلية، يمكنك استخدام Microsoft Entra Conditional Access وميزات المصادقة متعددة العوامل (MFA) ل VPN.
على مستوى عال، تحتاج إلى تنفيذ الخطوات التالية لتكوين مصادقة Microsoft Entra:
قم بتنزيل أحدث إصدار من ملفات تثبيت Azure VPN Client باستخدام أحد الارتباطات التالية:
- التثبيت باستخدام ملفات تثبيت العميل: https://aka.ms/azvpnclientdownload.
- التثبيت مباشرةً، عند تسجيل الدخول على جهاز كمبيوتر عميل: Microsoft Store.
خادم مجال Active Directory (AD)
تسمح مصادقة مجال AD للمستخدمين بالاتصال بـ Azure باستخدام بيانات اعتماد مجال مؤسستهم. يتطلب خادم RADIUS الذي يتكامل مع خادم AD. يمكن للمؤسسات أيضا استخدام توزيع RADIUS الحالي.
يتم نشر خادم خدمة المصادقة عن بُعد لمستخدم طلب هاتفي (RADIUS) محلياً أو في شبكة Azure الظاهرية. أثناء المصادقة، تعمل بوابة Azure VPN كمرور عبر رسائل المصادقة وتعيد توجيهها عدة مرات بين خادم RADIUS والجهاز الذي يقوم بالاتصال. لذا، فإن إمكانية وصول البوابة إلى خادم RADIUS أمر مهم. إذا كان خادم RADUS موجودًا محليا، فإن اتصال الشبكة الظاهرية الخاصة موقع إلى موقع من Azure إلى الموقع المحلي مطلوب للوصول.
يمكن أيضا تكامل خادم RADIUS مع خدمات شهادات AD. يتيح لك هذا استخدام خادم RADIUS وتوزيع شهادة المؤسسة الخاصة بك لمصادقة شهادة من نقطة إلى موقع كبديل لمصادقة شهادة Azure. الميزة هي أنك لست بحاجة إلى تحميل شهادات الجذر والشهادات المُبطلة إلى Azure.
يمكن أيضا دمج خادم RADIUS مع أنظمة الهوية الخارجية الأخرى. يفتح هذا العديد من خيارات المصادقة لـ P2S VPN، بما في ذلك خيارات متعددة العوامل.
ما هي متطلبات تكوين العميل؟
تختلف متطلبات تكوين العميل، استنادا إلى عميل VPN الذي تستخدمه ونوع المصادقة والبروتوكول. يعرض الجدول التالي العملاء المتوفرين والمقالات المقابلة لكل تكوين.
| المصادقة | نوع النفق | إنشاء ملفات التكوين | تكوين عميل VPN |
|---|---|---|---|
| شهادة Azure | IKEv2، SSTP | Windows | عميل VPN الأصلي |
| شهادة Azure | OpenVPN | Windows | - عميل OpenVPN - عميل Azure VPN |
| شهادة Azure | IKEv2، و OpenVPN | macOS-iOS | macOS-iOS |
| شهادة Azure | IKEv2، و OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | ماك | ماك |
| RADIUS - شهادة | - | الماده | الماده |
| RADIUS - رمز الوصول | - | الماده | الماده |
| RADIUS - طرق أخرى | - | الماده | الماده |
هام
بدءًا من 1 يوليو 2018، تتم إزالة الدعم لـ TLS 1.0 و1.1 من بوابة Azure VPN. ستدعم بوابة VPN الإصدار TLS 1.2 فقط. تتأثر الاتصالات من نقطة إلى موقع فقط؛ لن تتأثر الاتصالات من موقع إلى موقع. إذا كنت تستخدم TLS لشبكات VPN من نقطة إلى موقع على عملاء Windows 10 أو أحدث، فلن تحتاج إلى اتخاذ أي إجراء. إذا كنت تستخدم بروتوكول أمان طبقة النقل للاتصالات من نقطة إلى موقع على عملاء Windows 7 وWindows 8، فراجع الأسئلة الشائعة حول بوابة VPN للحصول على إرشادات التحديث.
ما هي وحدات SKU للبوابة التي تدعم P2S VPN؟
يعرض الجدول التالي وحدات SKU للبوابة حسب النفق والاتصال ومعدل النقل. للحصول على جداول إضافية والمزيد من المعلومات حول هذا الجدول، راجع قسم Gateway SKUs في مقالة إعدادات بوابة VPN.
| Vpn البوابة الجيل |
SKU | S2S/VNet-to-VNet الأنفاق |
P2S اتصالات SSTP |
P2S اتصالات IKEv2/OpenVPN |
التجميع معيار معدل النقل |
Bgp | المنطقة زائدة عن الحاجة | عدد الأجهزة الظاهرية المدعومة في الشبكة الظاهرية |
|---|---|---|---|---|---|---|---|---|
| الجيل 1 | الاساسيه | الحد الأقصى. 10 | الحد الأقصى. 128 | غير معتمد | 100 ميغابت في الثانية | غير معتمد | لا | 200 |
| الجيل 1 | VpnGw1 | الحد الأقصى. 30 | الحد الأقصى. 128 | الحد الأقصى. 250 | 650 ميغابت في الثانية | مدعوم | لا | 450 |
| الجيل 1 | VpnGw2 | الحد الأقصى. 30 | الحد الأقصى. 128 | الحد الأقصى. 500 | يبلغ 1 جيجابت في الثانية | مدعوم | لا | 1300 |
| الجيل 1 | VpnGw3 | الحد الأقصى. 30 | الحد الأقصى. 128 | الحد الأقصى. 1000 | 1.25 غيغابت في الثانية | مدعوم | لا | 4000 |
| الجيل 1 | VpnGw1AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | الحد الأقصى. 250 | 650 ميغابت في الثانية | مدعوم | نعم | 1000 |
| الجيل 1 | VpnGw2AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | الحد الأقصى. 500 | يبلغ 1 جيجابت في الثانية | مدعوم | نعم | 2000 |
| الجيل 1 | VpnGw3AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | الحد الأقصى. 1000 | 1.25 غيغابت في الثانية | مدعوم | نعم | 5000 |
| الجيل الثاني | VpnGw2 | الحد الأقصى. 30 | الحد الأقصى. 128 | الحد الأقصى. 500 | 1.25 غيغابت في الثانية | مدعوم | لا | 685 |
| الجيل الثاني | VpnGw3 | الحد الأقصى. 30 | الحد الأقصى. 128 | الحد الأقصى. 1000 | 2.5 غيغابت في الثانية | مدعوم | لا | 2240 |
| الجيل الثاني | VpnGw4 | الحد الأقصى. 100* | الحد الأقصى. 128 | الحد الأقصى. 5000 | 5 غيغابت في الثانية | مدعوم | لا | 5300 |
| الجيل الثاني | VpnGw5 | الحد الأقصى. 100* | الحد الأقصى. 128 | الحد الأقصى. 10000 | 10 جيجابت في الثانية | مدعوم | لا | 6700 |
| الجيل الثاني | VpnGw2AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | الحد الأقصى. 500 | 1.25 غيغابت في الثانية | مدعوم | نعم | 2000 |
| الجيل الثاني | VpnGw3AZ | الحد الأقصى. 30 | الحد الأقصى. 128 | الحد الأقصى. 1000 | 2.5 غيغابت في الثانية | مدعوم | نعم | 3300 |
| الجيل الثاني | VpnGw4AZ | الحد الأقصى. 100* | الحد الأقصى. 128 | الحد الأقصى. 5000 | 5 غيغابت في الثانية | مدعوم | نعم | 4400 |
| الجيل الثاني | VpnGw5AZ | الحد الأقصى. 100* | الحد الأقصى. 128 | الحد الأقصى. 10000 | 10 جيجابت في الثانية | مدعوم | نعم | 9000 |
إشعار
يحتوي SKU الأساسي على قيود ولا يدعم مصادقة IKEv2 أو IPv6 أو RADIUS. راجع مقالة إعدادات بوابة VPN لمزيد من المعلومات.
ما هي نُهُج IKE/IPsec التي تم تكوينها على بوابات VPN لـ P2S؟
تعرض الجداول الموجودة في هذا القسم قيم النهج الافتراضية. ومع ذلك، فإنها لا تعكس القيم المدعومة المتوفرة للنهج المخصصة. للحصول على نهج مخصصة، راجع القيم المقبولة المدرجة في الأمر Cmdlet New-AzVpnClientIpsecParameter PowerShell.
IKEv2
| التشفير | تكامل البيانات | PRF | مجموعة DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| التشفير | تكامل البيانات | مجموعة PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
ما هي نُهُج TLS التي كُونت على بوابات VPN لـ P2S؟
TLS
| السياسات |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
كيف أعمل اتصال P2S؟
يتطلب تكوين P2S بضع خطوات محددة. تحتوي المقالات التالية على خطوات إرشادك خلال خطوات تكوين P2S الشائعة.
كيفية إزالة تكوين اتصال P2S
يمكنك إزالة تكوين أي اتصال باستخدام PowerShell أو CLI. على سبيل المثال، راجع الأسئلة المتداولة.
كيف يعمل توجيه P2S؟
راجع المقالات التالية:
الأسئلة المتداولة
هناك العديد من أقسام الأسئلة الشائعة حول P2S والتي تدور حول عملية المصادقة.
الخطوات التالية
"OpenVPN" هي علامة تجارية لشركة OpenVPN Inc.