Stažení globálních a centrálních profilů VPN pro klienty VPN uživatelů

Azure Virtual WAN nabízí dva typy profilů připojení pro klienty VPN uživatelů: globální profily a profily rozbočovačů. Typ profilu, který zvolíte, závisí na tom, jestli se má klient VPN připojit k profilu na úrovni sítě WAN s geograficky vyrovnáváním zatížení (globální profil), nebo chcete klienta VPN omezit tak, aby se připojil pouze k určitému rozbočovači (profilu rozbočovače). Tento článek vám pomůže generovat konfigurační soubory klienta VPN pro oba typy profilů.

Globální profily

Globální profil přidružený ke konfiguraci SÍTĚ VPN uživatele odkazuje na globální Traffic Manager. Globální Traffic Manager zahrnuje všechny aktivní centra VPN uživatelů, které používají konfiguraci VPN uživatele. V případě potřeby ale můžete vyloučit centra z globálního Traffic Manageru. Uživatel připojený k globálnímu profilu se přesměruje do centra, které je nejblíže zeměpisné poloze uživatele. To je užitečné hlavně v případě, že máte uživatele, kteří často cestují mezi více místy.

Konfigurace sítě VPN uživatele je například přidružená ke dvěma různým rozbočovačům pro stejnou virtuální síť WAN, jednu v oblasti USA – západ a druhou v jihovýchodní Asii. Pokud se uživatel připojí ke globálnímu profilu přidruženému ke konfiguraci Sítě VPN uživatele, připojí se k nejbližšímu centru Virtual WAN na základě jejich umístění.

Důležité

Pokud je konfigurace VPN typu point-to-site používaná pro globální profil nakonfigurovaná pro ověřování uživatelů pomocí protokolu RADIUS, ujistěte se, že je pro všechny brány VPN typu point-to-site pomocí této konfigurace zapnutá možnost Použít vzdálený nebo místní server RADIUS. Kromě toho se ujistěte, že je server RADIUS nakonfigurovaný tak, aby přijímal požadavky na ověřování z IP adres proxy serveru RADIUS všech bran VPN typu point-to-site pomocí této konfigurace VPN.

Stažení globálního profilu SÍTĚ VPN

Ke generování a stahování konfiguračních souborů profilu klienta VPN použijte následující postup:

  1. Přejděte na Virtual WAN.

  2. V levém podokně vyberte Konfigurace sítě VPN uživatele.

  3. Na stránce Konfigurace sítě VPN uživatele uvidíte všechny konfigurace sítě VPN uživatele, které jste vytvořili pro virtuální síť WAN. Ve sloupci Centrum uvidíte centra přidružená ke každé konfiguraci sítě VPN uživatele. Kliknutím rozbalíte > a zobrazíte názvy rozbočovačů.

    Screenshot that shows hubs list expanded.

  4. V následujícím příkladu uvidíte více řádků s rozbočovači, které používají stejnou konfiguraci sítě VPN uživatele. Pokud centra v globálním profilu používají stejnou konfiguraci sítě VPN uživatele, můžete kliknout na libovolný řádek centra, který má požadovanou konfiguraci sítě VPN uživatele. Soubory profilu, které vygenerujete z této stránky, odpovídají konfiguraci sítě VPN uživatele, nikoli ke konkrétnímu centru. Pokud chcete omezit připojení uživatelů VPN jenom k jednomu centru (nechcete používat globální profil), použijte místo toho kroky profilu centra.

    Screenshot that shows selections for downloading a global profile.

    V příkladu jsme vybrali řádek s centrem 2, ale když vyberete Hub3 nebo Hub1, vygenerují se stejné konfigurační soubory profilu. Pokud bychom ale vybrali řádek se službou Hub6, konfigurační soubory profilu se liší, protože Hub6 používá jinou konfiguraci sítě VPN uživatele.

    Klikněte na řádek obsahující konfiguraci sítě VPN uživatele, kterou chcete použít. Tím se zvýrazní celá čára. Potom klikněte na možnost Stáhnout profil sítě VPN uživatele virtuální sítě WAN.

  5. Na stránce Stáhnout síť VPN uživatele virtuální sítě WAN vyberte EAPTLS a pak klikněte na Generovat a stáhnout profil. Vygeneruje se balíček profilu (soubor ZIP) obsahující nastavení konfigurace klienta VPN a stáhne se do počítače. Obsah balíčku závisí na centrech a možnostech typu ověřování a tunelu pro vybranou konfiguraci.

    Screenshot the authentication type and generate and download profile.

Zahrnutí nebo vyloučení centra z globálního profilu

Ve výchozím nastavení je každé centrum, které používá stejnou konfiguraci SÍTĚ VPN uživatele, součástí globálního profilu sítě VPN, který vygenerujete a stáhnete. Můžete ale vyloučit centrum z globálního profilu SÍTĚ VPN. Pokud to uděláte, klient VPN nebude vyrovnáváním zatížení, aby se připojil k bráně daného centra.

  1. Pokud chcete zkontrolovat, jestli je centrum součástí globálního profilu SÍTĚ VPN, přejděte do služby Virtual WAN.

  2. Na stránce Přehled vyberte Centra.

  3. Na stránce Hubs klikněte na centrum.

  4. Na stránce Virtuální centrum v levém podokně vyberte Síť VPN uživatele (point-to-site).

  5. Na stránce Vpn uživatele (Point-to-Site) se podívejte na stav přílohy brány a zjistěte, jestli je toto centrum součástí globálního profilu SÍTĚ VPN. Pokud je stav připojený, je centrum zahrnuté. Pokud je stav odpojený, centrum není zahrnuté.

    Screenshot that shows the attachment state of a gateway.

  6. Pokud chcete zahrnout nebo vyloučit (připojit nebo odpojit) centrum z globálního profilu SÍTĚ VPN, vyberte Možnost Zahrnout nebo vyloučit bránu z globálního profilu.

  7. Na stránce Zahrnout/vyloučit proveďte jednu z následujících možností.

    • Chcete-li odebrat bránu tohoto centra z globálního profilu SÍTĚ VPN uživatele služby Virtual WAN, klikněte na možnost Vyloučit . Uživatelé, kteří používají profil centra, se budou moct připojit k bráně tohoto centra. Uživatelé, kteří používají tento globální profil, se nebudou moct připojit k bráně tohoto centra.

    • Chcete-li zahrnout bránu tohoto centra do globálního profilu SÍTĚ VPN uživatele virtual WAN, klikněte na Zahrnout . Uživatelé, kteří používají tento globální profil, se budou moct připojit k bráně tohoto centra.

Osvědčené postupy globálního profilu

Přidání více ověřovacích certifikátů serveru

Tato část se týká připojení pomocí typu tunelu OpenVPN a Klient Azure VPN verze 2.1963.44.0 nebo vyšší.

Když nakonfigurujete bránu P2S centra, Azure přiřadí bráně interní certifikát. Liší se od informací o kořenovém certifikátu, které zadáte, když chcete jako metodu ověřování použít ověřování certifikátem. Interní certifikát, který je přiřazen k centru, se používá pro všechny typy ověřování. Tato hodnota je reprezentována v konfiguračních souborech profilu, které vygenerujete jako servervalidation/cert/hash. Klient VPN používá tuto hodnotu jako součást procesu připojení.

Pokud máte více center v různých geografických oblastech, může každé centrum používat jiný ověřovací certifikát serveru na úrovni Azure. Globální profil obsahuje hodnotu hash certifikátu ověření serveru pro všechna centra. To znamená, že pokud certifikát pro toto centrum z nějakého důvodu nefunguje správně, klient bude mít stále potřebnou hodnotu hash ověřovacího certifikátu serveru pro ostatní centra.

Důležité

Konfigurace klienta Azure VPN s hodnotou hash certifikátu všech center je nutná pouze v případě, že centra mají jiné vystavitele kořenového serveru.

Doporučujeme aktualizovat konfigurační soubor profilu klienta VPN tak, aby zahrnoval hodnotu hash certifikátu všech center připojených k globálnímu profilu a potom nakonfigurovat Klient Azure VPN pomocí aktualizovaného souboru.

  1. Vygenerujte a stáhněte soubory globálního profilu . K otevření souboru azurevpnconfig.xml použijte textový editor.

  2. V následujícím příkladu XML nakonfigurujte Klient Azure VPN pomocí konfiguračního souboru globálního profilu, který obsahuje hodnotu hash ověřovacího certifikátu serveru pro každé centrum.

      </protocolconfig>
      <serverlist>
        <ServerEntry>
          <displayname
            i:nil="true" />
          <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
        </ServerEntry>
      </serverlist>
      <servervalidation>
        <cert>
          <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
          <issuer
            i:nil="true" />
        </cert>
        <cert>
          <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
          <issuer
            i:nil="true" />
        </cert>
        <cert>
          <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
          <issuer
            i:nil="true" />
        </cert>
    

Profily centra

Tento typ profilu použijte, pokud chcete, aby se uživatelé VPN mohli připojit jenom k jednomu zadanému centru. Soubory, které vygenerujete a stáhnete na úrovni centra, obsahují jiná nastavení než soubory, které vygenerujete a stáhnete v globálním profilu na úrovni WAN.

Stažení profilu sítě VPN centra

Ke generování a stahování konfiguračních souborů profilu klienta VPN použijte následující postup:

  1. Přejděte do virtuálního centra.

  2. V levém podokně vyberte Síť VPN uživatele (point-to-site).

  3. Vyberte Stáhnout profil sítě VPN uživatele virtuálního centra.

    Screenshot that shows how to download a hub profile.

  4. Na stránce pro stažení vyberte EAPTLS a pak vygenerovat a stáhnout profil. Balíček profilu (soubor ZIP) obsahující nastavení konfigurace klienta se vygeneruje a stáhne do počítače. Obsah balíčku závisí na centru a možnostech typu ověřování a tunelu pro vaši konfiguraci.

Další kroky

Další informace o sítích VPN uživatele naleznete v tématu Vytvoření připojení VPN typu point-to-site uživatele.