قم بتكوين عميل VPN من أجل نقطة إلى موقع: RADIUS - مصادقة كلمة المرور
للاتصال بشبكة ظاهرية عبر نقطة إلى موقع «P2S»، تحتاج إلى تكوين الجهاز العميل الذي ستتصل منه. يمكنك إنشاء اتصالات P2S VPN من الأجهزة العميلة Windows وmacOS وLinux. تساعدك هذه المقالة في إنشاء تكوين عميل VPN وتثبيته لمصادقة RADIUS لاسم المستخدم / كلمة المرور.
عند استخدام مصادقة RADIUS، هناك تعليمات مصادقة متعددة: مصادقة الشهادة، و مصادقة كلمة المرور، و طرق مصادقة وبروتوكولات أخرى. يختلف تكوين عميل VPN لكل نوع من أنواع المصادقة. لتكوين عميل VPN، يمكنك استخدام ملفات تكوين العميل التي تحتوي على الإعدادات المطلوبة.
إشعار
بدءًا من 1 يوليو 2018، تتم إزالة الدعم لـ TLS 1.0 و1.1 من بوابة Azure VPN. ستدعم بوابة VPN الإصدار TLS 1.2 فقط. تتأثر الاتصالات من نقطة إلى موقع فقط؛ لن تتأثر الاتصالات من موقع إلى موقع. إذا كنت تستخدم TLS لشبكات VPN من نقطة إلى موقع على عملاء Windows 10 أو أحدث، فلن تحتاج إلى اتخاذ أي إجراء. إذا كنت تستخدم بروتوكول أمان طبقة النقل للاتصالات من نقطة إلى موقع على عملاء Windows 7 وWindows 8، فراجع الأسئلة الشائعة حول بوابة VPN للحصول على إرشادات التحديث.
سير العمل
سير عمل التكوين لمصادقة P2S RADIUS كما يلي:
- إعداد بوابة Azure VPN لاتصال P2S.
- إعداد خادم RADIUS للمصادقة.
- احصل على تكوين عميل VPN لخيار المصادقة الذي تختاره واستخدمه لإعداد عميل VPN (هذه المقالة).
- أكمل تكوين P2S والاتصال.
هام
إذا كانت هناك أية تغييرات في تكوين VPN من نقطة إلى موقع بعد إنشاء ملف تعريف تكوين عميل VPN، مثل نوع بروتوكول VPN أو نوع المصادقة، فإنه يجب عليك إنشاء تكوين عميل VPN جديد وتثبيته على أجهزة المستخدمين.
يمكنك تكوين مصادقة اسم المستخدم/كلمة المرور إما لاستخدام Active Directory أو لعدم استخدام Active Directory. باستخدام أي من السيناريوهين، تأكد من أن جميع المستخدمين المتصلين لديهم بيانات اعتماد اسم المستخدم/ كلمة المرور التي يمكن مصادقتها من خلال RADIUS.
عند تكوين مصادقة اسم المستخدم/ كلمة المرور، يمكنك فقط إنشاء تكوين لبروتوكول مصادقة اسم المستخدم/ كلمة المرور EAP-MSCHAPv2. في الأوامر، -AuthenticationMethod
هو EapMSChapv2
.
إنشاء ملفات تكوين عميل VPN
يمكنك إنشاء ملفات تكوين عميل VPN باستخدام مدخل Microsoft Azure، أو باستخدام Azure PowerShell.
مدخل Azure
- انتقل إلى بوابة الشبكة الظاهرية.
- انقر فوق تكوين نقطة إلى موقع.
- انقر فوق تنزيل عميل VPN.
- حدد العميل واملأ أي معلومات مطلوبة.
- انقر فوق تنزيل لإنشاء ملف .zip.
- يتم تنزيل ملف .zip، عادة إلى مجلد التنزيلات.
Azure PowerShell
قم بإنشاء ملفات تكوين عميل VPN لاستخدامها مع مصادقة اسم المستخدم/ كلمة المرور. يمكنك إنشاء ملفات تكوين عميل VPN باستخدام الأمر التالي:
New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"
يؤدي تشغيل الأمر إلى إرجاع ارتباط. انسخ الارتباط والصقه إلى مستعرض ويب لتنزيل VpnClientConfiguration.zip. قم بفك ضغط الملف لعرض المجلدات التالية:
- WindowsAmd64 وWindowsX86: تحتوي هذه المجلدات على حزم مثبت Windows 64 بت و32 بت، على التوالي.
- عام: يحتوي هذا المجلد على معلومات عامة تستخدمها لإنشاء تكوين عميل VPN الخاص بك. لا تحتاج إلى هذا المجلد لتكوينات مصادقة اسم المستخدم/ كلمة المرور.
- Mac: إذا قمت بتكوين IKEv2 عند إنشاء بوابة الشبكة الظاهرية، فسترى مجلدا يسمى Mac يحتوي على ملف mobileconfig . يمكنك استخدام هذا الملف لتكوين عملاء Mac.
إذا قمت بالفعل بإنشاء ملفات تكوين العميل، يمكنك استردادها باستخدام Get-AzVpnClientConfiguration
cmdlet. ولكن إذا قمت بإجراء أي تغييرات على تكوين P2S VPN، مثل نوع بروتوكول VPN أو نوع المصادقة، فلن يتم تحديث التكوين تلقائيًا. يجب تشغيل New-AzVpnClientConfiguration
cmdlet لإنشاء تنزيل تكوين جديد.
لاسترداد ملفات تكوين العميل التي تم إنشاؤها مسبقًا، استخدم الأمر التالي:
Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"
عميل Windows VPN
يمكنك استخدام نفس حزمة تكوين عميل VPN على كل كمبيوتر عميل يعمل بنظام Windows، طالما أن الإصدار يطابق بنية العميل. للحصول على قائمة أنظمة تشغيل العميل المدعومة، راجع الأسئلة المتداولة.
اتبع الخطوات التالية لتكوين عميل VPN Windows الأصلي لمصادقة الشهادة:
حدد ملفات تكوين عميل VPN التي تتوافق مع بنية الكمبيوتر الذي يعمل بنظام التشغيل Windows. للحصول على بنية معالج 64 بت، اختر حزمة مثبت VpnClientSetupAmd64 . للحصول على بنية معالج 32 بت، اختر حزمة مثبت VpnClientSetupX86 .
لتثبيت الحزمة، انقر نقرًا مزدوجًا فوقها. إذا رأيت نافذة SmartScreen منبثقة، فحدد مزيد من المعلومات>تشغيل على أي حال.
على كمبيوتر العميل، استعرض للوصول إلى إعدادات الشبكة وحدد VPN. يظهِر اتصال VPN اسم الشبكة الظاهرية التي يتصل بها.
عميل VPN لنظام التشغيل Mac (macOS)
حدد ملف VpnClientSetup mobileconfig وأرسله إلى كل مستخدم. يمكنك استخدام البريد الإلكتروني أو طريقة أخرى.
حدد موقع ملف mobileconfig على جهاز Mac.
خطوة اختيارية - إذا كنت تريد تحديد DNS مخصص، أضف الأسطر التالية إلى ملف mobileconfig :
<key>DNS</key> <dict> <key>ServerAddresses</key> <array> <string>10.0.0.132</string> </array> <key>SupplementalMatchDomains</key> <array> <string>TestDomain.com</string> </array> </dict>
انقر نقرا مزدوجا فوق ملف التعريف لتثبيته، وحدد متابعة. اسم ملف التعريف هو نفسه اسم الشبكة الظاهرية.
حدد متابعة للثقة في مرسل ملف التعريف والمضي قدما في التثبيت.
أثناء تثبيت ملف التعريف، يمكنك تحديد اسم المستخدم وكلمة المرور لمصادقة VPN. ليس من الضروري إدخال هذه المعلومات. إذا قمت بذلك، تُحفظ المعلومات وتُستخدم تلقائيًا عند بدء الاتصال. حدد تثبيت للمتابعة.
أدخل اسم مستخدم وكلمة مرور للامتيازات المطلوبة لتثبيت ملف التعريف على الكمبيوتر. حدد موافق.
بعد تثبيت ملف التعريف، يكون مرئيا في مربع الحوار ملفات التعريف . يمكنك أيضا فتح مربع الحوار هذا لاحقا من تفضيلات النظام.
للوصول إلى اتصال VPN، افتح مربع الحوار الشبكة من تفضيلات النظام.
يظهر اتصال VPN ك IkeV2-VPN. يمكنك تغيير الاسم عن طريق تحديث ملف mobileconfig .
حدد إعدادات المصادقة. حدد Username في القائمة وأدخل بيانات الاعتماد الخاصة بك. إذا أدخلت بيانات الاعتماد في وقت سابق، اختيار اسم المستخدم تلقائيا في القائمة ويتم ملء اسم المستخدم وكلمة المرور مسبقا. حدد OK لحفظ الإعدادات.
مرة أخرى في مربع الحوار الشبكة ، حدد تطبيق لحفظ التغييرات. لبدء الاتصال، حدد Connect.
عميل Linux VPN - strongSwan
تم إنشاء التعليمات التالية من خلال strongSwan 5.5.1 على Ubuntu 17.0.4.
افتح Terminal لتثبيت strongSwan ومدير نسبة استخدام الشبكة الخاص بها عن طريق تشغيل الأمر الوارد في المثال. إذا تلقيت خطأ يتعلق ب
libcharon-extra-plugins
، فاستبدله بstrongswan-plugin-eap-mschapv2
.حدد أيقونة إدارة الشبكة (سهم لأعلى/سهم لأسفل)، وحدد تحرير الاتصالات.
حدد الزر Add لإنشاء اتصال جديد.
حدد IPsec/IKEv2 (strongswan) من القائمة المنسدلة، ثم حدد Create. يمكنك إعادة تسمية اتصالك في هذه الخطوة.
افتح ملف VpnSettings.xml من المجلد العام لملفات تكوين العميل التي تم تنزيلها. ابحث عن العلامة المسماة
VpnServer
وانسخ الاسم، بدءا منazuregateway
وانتهاء ب.cloudapp.net
.الصق هذا الاسم في حقل العنوان لاتصال VPN الجديد في قسم البوابة . بعد ذلك، حدد أيقونة المجلد في نهاية حقل الشهادة، واستعرض وصولاً إلى المجلد عام، وحدد ملف VpnServerRoot.
في قسم Client من الاتصال، حدد EAP for Authentication، وأدخل اسم المستخدم وكلمة المرور. قد تضطر إلى تحديد رمز القفل على اليمين لحفظ هذه المعلومات. ثم حدد حفظ.
حدد أيقونة Network Manager (سهم لأعلى/سهم لأسفل) وقم بالمرور فوق اتصالات VPN. سترى اتصال VPN الذي قمت بإنشائه. لبدء الاتصال، حدده.
خطوات إضافية لجهاز Azure الظاهري
في حالة تنفيذ الإجراء على جهاز ظاهري Azure يعمل بنظام Linux، هناك خطوات إضافية يجب تنفيذها.
تحرير ملف /etc/netplan/50-cloud-init.yaml لتضمين المعلمة التالية للواجهة
renderer: NetworkManager
بعد تحرير الملف، قم بتشغيل الأمرين التاليين لتحميل التكوين الجديد
sudo netplan generate
sudo netplan apply
إيقاف/بدء تشغيل الجهاز الظاهري أو إعادة نشره.
الخطوات التالية
ارجع إلى المقالة لإكمال تكوين P2S.
للحصول على معلومات حول استكشاف أخطاء P2S وإصلاحها، راجع استكشاف أخطاء اتصالات Azure من نقطة إلى موقع وإصلاحها.