Konfigurace připojení typu point-to-site k virtuální síti pomocí ověřování RADIUS: PowerShell

V tomto článku se dozvíte, jak vytvořit virtuální síť s připojením point-to-site (P2S), které používá ověřování radius. Tato konfigurace je k dispozici pouze pro model nasazení Resource Manager. Tuto konfiguraci můžete vytvořit pomocí PowerShellu nebo webu Azure Portal.

Brána VPN typu point-to-site umožňuje vytvořit zabezpečené připojení k virtuální síti z jednotlivého klientského počítače. Připojení P2S VPN jsou užitečná v případě, že se chcete připojit ke své virtuální síti ze vzdáleného umístění, například při práci z domova nebo konference. Síť VPN typu point-to-site je také užitečné řešení, které je vhodné použít místo sítě VPN typu site-to-site, pokud máte jenom několik klientů, kteří se potřebují připojit k virtuální síti.

Připojení VPN typu P2S se zahájí ze zařízení se systémem Windows nebo Mac. Tento článek vám pomůže nakonfigurovat konfiguraci P2S, která k ověřování používá server RADIUS. Pokud chcete provést ověření pomocí jiné metody, přečtěte si následující články:

• Ověřování certifikátů
• Ověřování Microsoft Entra

Připojení P2S nevyžadují zařízení VPN ani veřejnou IP adresu. P2S vytvoří připojení VPN přes protokol SSTP (Secure Socket Tunneling Protocol), OpenVPN nebo IKEv2.

• SSTP je tunel VPN založený na protokolu TLS, který se podporuje jenom na klientských platformách Windows. Může proniknout do bran firewall, což z něj dělá dobrou možnost připojit zařízení s Windows k Azure odkudkoli. Na straně serveru podporujeme pouze protokol TLS verze 1.2. Pokud chcete zlepšit výkon, škálovatelnost a zabezpečení, zvažte místo toho použití protokolu OpenVPN.

• OpenVPN® Protocol, protokol VPN založený na PROTOKOLU SSL/TLS. Řešení TLS VPN může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP 443, který protokol TLS používá. OpenVPN se dá použít k připojení z Androidu, iOS (verze 11.0 a novější), zařízení s Windows, Linuxem a Macem (macOS verze 10.13 a novější).

• IKEv2 VPN, řešení IPsec VPN založené na standardech. Síť VPN IKEv2 se dá použít k připojení ze zařízení s Windows, Linuxem a Macem (macOS verze 10.11 a novější).

Pro tuto konfiguraci připojení vyžadují následující:

• Bránu VPN typu RouteBased.
• Server RADIUS pro zpracování ověřování uživatelů. Server RADIUS je možné nasadit místně nebo ve virtuální síti Azure. Můžete také nakonfigurovat dva servery RADIUS pro zajištění vysoké dostupnosti.
• Konfigurační balíček profilu klienta VPN. Konfigurační balíček profilu klienta VPN je balíček, který vygenerujete. Poskytuje nastavení potřebná pro připojení klienta VPN přes P2S.

Informace o ověřování domény služby Active Directory (AD) pro sítě VPN typu P2S

Ověřování domén AD umožňuje uživatelům přihlásit se k Azure pomocí přihlašovacích údajů domény organizace. Vyžaduje server RADIUS, který se integruje se serverem AD. Organizace můžou také využít stávající nasazení protokolu RADIUS.

Server RADIUS se může nacházet místně nebo ve vaší virtuální síti Azure. Během ověřování funguje brána VPN jako předávací a předávací ověřovací zprávy mezi serverem RADIUS a připojeným zařízením. Je důležité, aby brána VPN mohla získat přístup k serveru RADIUS. Pokud je server RADIUS umístěný místně, je potřeba připojení VPN typu site-to-site z Azure k místní lokalitě.

Kromě služby Active Directory se server RADIUS může také integrovat s jinými externími systémy identit. Otevře se spousta možností ověřování pro sítě VPN typu P2S, včetně možností vícefaktorového ověřování. Projděte si dokumentaci dodavatele serveru RADIUS a získejte seznam systémů identit, se kterými se integruje.

Důležité

K připojení k místnímu serveru RADIUS je možné použít pouze připojení VPN typu site-to-site. Připojení ExpressRoute se nedá použít.

Před zahájením

Ověřte, že máte předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.

Práce s Azure PowerShellem

Tento článek používá rutiny PowerShellu. Ke spuštění rutin můžete použít Azure Cloud Shell. Cloud Shell je bezplatné interaktivní prostředí, které můžete použít ke spuštění kroků v tomto článku. Má předinstalované obecné nástroje Azure, které jsou nakonfigurované pro použití s vaším účtem.

Cloud Shell otevřete tak, že v pravém horním rohu bloku kódu vyberete Otevřít CloudShell . Cloud Shell můžete otevřít také na samostatné kartě prohlížeče tak, že přejdete na https://shell.azure.com/powershell. Výběrem možnosti Kopírovat zkopírujte bloky kódu, vložte je do Cloud Shellu a stisknutím klávesy Enter je spusťte.

Na počítači můžete také nainstalovat a spustit rutiny Azure PowerShellu místně. Rutiny PowerShellu se často aktualizují. Pokud jste nenainstalovali nejnovější verzi, můžou selhat hodnoty uvedené v pokynech. Pokud chcete najít verze Azure PowerShellu nainstalované na vašem počítači, použijte tuto rutinu Get-Module -ListAvailable Az . Informace o instalaci nebo aktualizaci najdete v tématu Instalace modulu Azure PowerShell.

Ukázkové hodnoty

Příklady hodnot můžete použít k vytvoření testovacího prostředí nebo můžou sloužit k lepšímu pochopení příkladů v tomto článku. Můžete buď využít kroky jako podrobný postup a převzít hodnoty beze jejich změny, nebo je změnit tak, aby odpovídaly vašemu prostředí.

• Název: VNet1
• Adresní prostor: 10.1.0.0/16 a 10.254.0.0/16
  V tomto příkladu se používá více adresních prostorů k ilustraci, že tato konfigurace funguje s více adresními prostory. Pro tuto konfiguraci se ale nevyžaduje více adresních prostorů.
• Název podsítě: FrontEnd
  • Rozsah adres podsítě: 10.1.0.0/24
• Název podsítě: BackEnd
  • Rozsah adres podsítě: 10.254.1.0/24
• Název podsítě: GatewaySubnet
  Název podsítě GatewaySubnet je pro správnou funkci brány VPN Gateway povinný.
  • Rozsah adres podsítě brány: 10.1.255.0/27
• Fond adres klienta VPN: 172.16.201.0/24
  Klienti VPN, kteří se připojují k virtuální síti pomocí tohoto připojení P2S, obdrží IP adresu z fondu adres klienta VPN.
• Předplatné: Pokud máte více než jedno předplatné, ověřte, že používáte správné předplatné.
• Skupina prostředků: TestRG1
• Umístění: USA – východ
• Server DNS: IP adresa serveru DNS, který chcete použít k překladu ip adres pro vaši virtuální síť. (volitelné)
• Název brány: Vnet1GW
• Název veřejné IP adresy: VNet1GWPIP
• Typ sítě VPN: RouteBased

1. Nastavení proměnných

Deklarujte proměnné, které chcete použít. Použijte následující příklad a dle potřeby nahraďte v něm uvedené hodnoty vlastními. Pokud relaci PowerShellu nebo Cloud Shellu zavřete v libovolném okamžiku během cvičení, zkopírujte hodnoty a vložte je znovu, aby se proměnné znovu vložily.

$VNetName  = "VNet1"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "10.1.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "10.1.0.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "10.1.255.0/27"
$VPNClientAddressPool = "172.16.201.0/24"
$RG = "TestRG1"
$Location = "East US"
$GWName = "VNet1GW"
$GWIPName = "VNet1GWPIP"
$GWIPconfName = "gwipconf1"

2. Vytvoření skupiny prostředků, virtuální sítě a veřejné IP adresy

Následující kroky vytvoří skupinu prostředků a virtuální síť ve skupině prostředků se třemi podsítěmi. Při nahrazování hodnot je důležité vždy pojmenovat podsíť brány konkrétně GatewaySubnet. Pokud ji pojmenujete jinak, vytvoření brány se nezdaří;

1. Vytvořte skupinu prostředků.

   New-AzResourceGroup -Name "TestRG1" -Location "East US"
   

2. Vytvořte konfigurace podsítí pro virtuální síť, podsítě pojmenujte FrontEnd, BackEnd a GatewaySubnet. Tyto předpony musí být součástí adresního prostoru virtuální sítě deklarovaného výše.

   $fesub = New-AzVirtualNetworkSubnetConfig -Name "FrontEnd" -AddressPrefix "10.1.0.0/24"  
   $besub = New-AzVirtualNetworkSubnetConfig -Name "Backend" -AddressPrefix "10.254.1.0/24"  
   $gwsub = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix "10.1.255.0/27"
   

3. Vytvořte virtuální síť.

   V tomto příkladu je parametr serveru -DnsServer volitelný. Zadání hodnoty nevytvoří nový server DNS. Zadaná IP adresa serveru DNS by měla být server DNS, který dokáže přeložit názvy prostředků, ke kterým se připojujete ze své virtuální sítě. V tomto příkladu jsme použili privátní IP adresu, ale je pravděpodobné, že se nejedná o IP adresu vašeho serveru DNS. Je potřeba, abyste použili svoje vlastní hodnoty. Zadaná hodnota se používá prostředky, které nasazujete do virtuální sítě, nikoli připojením P2S.

   New-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" -Location "East US" -AddressPrefix "10.1.0.0/16","10.254.0.0/16" -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3
   

4. Brána VPN musí mít veřejnou IP adresu. Nejprve si vyžádáte prostředek IP adresy a pak na něj budete odkazovat při vytváření brány virtuální sítě. IP adresa se dynamicky přiřadí k prostředku po vytvoření brány VPN. Služba VPN Gateway aktuálně podporuje pouze dynamické přidělení veřejné IP adresy. Nemůžete požádat o přiřazení statické veřejné IP adresy. To ale neznamená, že se IP adresa po přiřazení ke službě VPN Gateway změní. Veřejná IP adresa se změní pouze v případě odstranění a nového vytvoření brány. V případě změny velikosti, resetování nebo jiné operace údržby/upgradu vaší brány VPN se nezmění.

   Zadejte proměnné pro vyžádání dynamicky přiřazené veřejné IP adresy.

   $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"  
   $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet 
   $pip = New-AzPublicIpAddress -Name "VNet1GWPIP" -ResourceGroupName "TestRG1" -Location "East US" -AllocationMethod Dynamic 
   $ipconf = New-AzVirtualNetworkGatewayIpConfig -Name "gwipconf1" -Subnet $subnet -PublicIpAddress $pip
   

3. Nastavení serveru RADIUS

Před vytvořením a konfigurací brány virtuální sítě by měl být server RADIUS správně nakonfigurovaný pro ověřování.

1. Pokud nemáte nasazený server RADIUS, nasaďte ho. Postup nasazení najdete v průvodci nastavením, který poskytuje dodavatel protokolu RADIUS.  
2. Nakonfigurujte bránu VPN jako klienta RADIUS v protokolu RADIUS. Při přidávání tohoto klienta RADIUS zadejte podsíť brány virtuální sítě, kterou jste vytvořili.
3. Po nastavení serveru RADIUS získejte IP adresu serveru RADIUS a sdílený tajný klíč, který by klienti RADIUS měli použít ke komunikaci se serverem RADIUS. Pokud je server RADIUS ve virtuální síti Azure, použijte IP adresu certifikační autority virtuálního počítače serveru RADIUS.

Článek NPS (Network Policy Server) obsahuje pokyny ke konfiguraci serveru RADIUS systému Windows (NPS) pro ověřování domény AD.

4. Vytvoření brány VPN

Nakonfigurujte a vytvořte bránu VPN pro vaši virtuální síť.

• Parametr -GatewayType musí být Vpn a parametr -VpnType musí být RouteBased.
• Dokončení brány VPN může trvat 45 minut nebo déle v závislosti na vybrané skladové po straně brány.

New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1

5. Přidejte server RADIUS a fond adres klienta.

• Parametr -RadiusServer může být určen názvem nebo IP adresou. Pokud zadáte název a server se nachází místně, brána VPN pravděpodobně nebude moct přeložit název. V takovém případě je lepší zadat IP adresu serveru.
• Hodnota -RadiusSecret by se měla shodovat s tím, co je nakonfigurované na serveru RADIUS.
• -VpnClientAddressPool je rozsah, ze kterého připojení klienti VPN obdrží IP adresu. Použijte rozsah privátních IP adres, který se nepřekrývá s místním umístěním, ze kterého se budete připojovat, nebo s virtuální sítí, ke které se chcete připojit. Ujistěte se, že máte nakonfigurovaný velký fond adres.  

1. Vytvořte zabezpečený řetězec pro tajný klíč PROTOKOLU RADIUS.

   $Secure_Secret=Read-Host -AsSecureString -Prompt "RadiusSecret"
   

2. Zobrazí se výzva k zadání tajného kódu RADIUS. Zadané znaky se nezobrazí a místo toho se nahradí znakem "*".

   RadiusSecret:***
   

3. Přidejte fond adres klienta VPN a informace o serveru RADIUS.

   Pro konfigurace SSTP:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
   -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "SSTP" `
   -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
   

   Konfigurace OpenVPN®:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientRootCertificates @()
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
   -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "OpenVPN" `
   -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
   

   Pro konfigurace IKEv2:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
   -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "IKEv2" `
   -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
   

   Pro SSTP + IKEv2:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
   -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol @( "SSTP", "IkeV2" ) `
   -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
   

   Pokud chcete zadat dva servery RADIUS, použijte následující syntaxi. Podle potřeby upravte hodnotu -VpnClientProtocol.

   $radiusServer1 = New-AzRadiusServer -RadiusServerAddress 10.1.0.15 -RadiusServerSecret $radiuspd -RadiusServerScore 30
   $radiusServer2 = New-AzRadiusServer -RadiusServerAddress 10.1.0.16 -RadiusServerSecret $radiuspd -RadiusServerScore 1
   
   $radiusServers = @( $radiusServer1, $radiusServer2 )
   
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $actual -VpnClientAddressPool 201.169.0.0/16 -VpnClientProtocol "IkeV2" -RadiusServerList $radiusServers
   

6. Konfigurace klienta VPN a připojení

Konfigurační balíčky profilu klienta VPN obsahují nastavení, která vám pomůžou nakonfigurovat profily klientů VPN pro připojení k virtuální síti Azure.

Pokud chcete vygenerovat konfigurační balíček klienta VPN a nakonfigurovat klienta VPN, přečtěte si jeden z následujících článků:

• RADIUS – Ověřování certifikátů pro klienty VPN
• RADIUS – Ověřování heslem pro klienty VPN
• RADIUS – jiné metody ověřování pro klienty VPN

Po konfiguraci klienta VPN se připojte k Azure.

Ověření stavu připojení

1. Chcete-li ověřit, zda je připojení VPN aktivní, v příkazovém řádku se zvýšenými oprávněními spusťte příkaz ipconfig/all.

2. Zkontrolujte výsledky. Všimněte si, že IP adresa, kterou jste obdrželi, je jednou z adres v rámci fondu adres klienta VPN typu point-to-site, který jste zadali v konfiguraci. Výsledky jsou podobné tomuto příkladu:

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.3(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

Informace o řešení potíží s připojením typu point-to-site v Azure najdete v tématu Řešení potíží s připojením typu point-to-site.

Připojení k virtuálnímu počítači

K virtuálnímu počítači, který je nasazený ve vaší virtuální síti, se můžete připojit vytvořením Připojení vzdálené plochy k virtuálnímu počítači. Nejlepším způsobem, jak na začátku ověřit, že se k virtuálnímu počítači můžete připojit, je použít k připojení privátní IP adresu místo názvu počítače. Tímto způsobem testujete, jestli se můžete připojit, ne jestli je správně nakonfigurovaný překlad ip adres.

1. Vyhledejte privátní IP adresu. Privátní IP adresu virtuálního počítače najdete tak, že se podíváte na vlastnosti virtuálního počítače na webu Azure Portal nebo pomocí PowerShellu.

   • Azure Portal: Vyhledejte virtuální počítač na webu Azure Portal. Zobrazte vlastnosti virtuálního počítače. Ve výpisu uvidíte privátní IP adresu.

   • PowerShell: Pomocí příkladu můžete zobrazit seznam virtuálních počítačů a privátních IP adres z vašich skupin prostředků. Tento příklad nemusíte před použitím upravovat.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Ověřte, že jste připojení k virtuální síti.

3. Otevřete Připojení ion vzdálené plochy zadáním RDP nebo vzdálené plochy Připojení ion do vyhledávacího pole na hlavním panelu. Pak vyberte Připojení Vzdálená plocha. Vzdálenou plochu můžete otevřít také Připojení ion pomocí příkazu v PowerShellumstsc.

4. V Připojení ion vzdálené plochy zadejte privátní IP adresu virtuálního počítače. Výběrem možnosti Zobrazit možnosti můžete upravit další nastavení a pak se připojit.

Pokud máte potíže s připojením k virtuálnímu počítači přes připojení VPN, zkontrolujte následující body:

• Ověřte, že je úspěšně navázáno připojení VPN.
• Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.
• Pokud se k virtuálnímu počítači můžete připojit pomocí privátní IP adresy, ale ne názvu počítače, ověřte, že jste správně nakonfigurovali DNS. Další informace o tom, jak funguje překlad názvů pro virtuální počítače, najdete v tématu Překlad názvů pro virtuální počítače.

Další informace o připojení ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.

• Ověřte, že se po zadání IP adres serveru DNS pro virtuální síť vygeneroval balíček pro konfiguraci klienta VPN. Pokud jste aktualizovali IP adresy serveru DNS, vygenerujte a nainstalujte nový balíček pro konfiguraci klienta VPN.

• Pomocí příkazu ipconfig zkontrolujte adresu IPv4 přiřazenou k adaptéru Ethernet v počítači, ze kterého se připojujete. Pokud je IP adresa v rozsahu adres virtuální sítě, ke které se připojujete, nebo v rozsahu adres vašeho fondu VPNClientAddressPool, označuje se to jako překrývající se adresní prostor. Když se adresní prostor tímto způsobem překrývá, síťový provoz nemá přístup do Azure a zůstane v místní síti.

Často kladené dotazy

Informace o nejčastějších dotazech najdete v části Ověřování protokolu RADIUS typu Point-to-Site v nejčastějších dotazech.

Další kroky

Po dokončení připojení můžete do virtuálních sítí přidávat virtuální počítače. Další informace najdete v tématu Virtuální počítače. Bližší informace o sítích a virtuálních počítačích najdete v tématu s přehledem sítě virtuálních počítačů s Linuxem v Azure.