Informace o VPN typu point-to-site

Připojení brány VPN typu Point-to-Site (P2S) umožňuje vytvořit zabezpečené připojení k virtuální síti z jednotlivých klientských počítačů. Připojení P2S se vytvoří jeho zahájením z klientského počítače. Toto řešení je užitečné pro osoby pracující z domova, které se chtějí k virtuálním sítím Azure připojit ze vzdáleného umístění, například z domova nebo z místa konání konference. Síť VPN P2S je také užitečným řešením nahrazujícím síť VPN S2S, pokud máte pouze několik klientů, kteří se potřebují připojit k virtuální síti. Tento článek se týká modelu nasazení Resource Manager.

Jaký protokol používá připojení typu point-to-site?

Síť VPN typu point-to-site může používat jeden z následujících protokolů:

  • OpenVPN® Protocol, protokol VPN založený na PROTOKOLU SSL/TLS. Řešení TLS VPN může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP 443, který protokol TLS používá. OpenVPN se dá použít k připojení z Androidu, iOS (verze 11.0 a novější), zařízení s Windows, Linuxem a Macem (macOS verze 10.13 a novější).

  • Secure Socket Tunneling Protocol (SSTP) – proprietární protokol VPN založený na protokolu TLS. Řešení TLS VPN může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP 443, který protokol TLS používá. SSTP se podporuje jenom na zařízeních s Windows. podpora Azure všechny verze Windows, které mají protokol SSTP a podporují protokol TLS 1.2 (Windows 8.1 a novější).

  • IKEv2 VPN, řešení IPsec VPN založené na standardech. Vpn IKEv2 se dá použít k připojení ze zařízení Mac (macOS verze 10.11 a novější).

Poznámka:

IKEv2 a OpenVPN pro P2S jsou k dispozici pouze pro model nasazení Resource Manager. Nejsou k dispozici pro model nasazení Classic.

Jak se ověřují klienti P2S VPN?

Než Azure přijme připojení P2S VPN, musí se nejprve ověřit. Existují dva mechanismy, které Azure nabízí k ověření připojujícího se uživatele.

Ověření certifikátu

Při použití nativního ověřování certifikátů Azure se k ověření připojujícího uživatele použije klientský certifikát, který je na zařízení. Klientské certifikáty se generují z důvěryhodného kořenového certifikátu a pak se nainstalují do každého klientského počítače. Můžete použít kořenový certifikát, který byl vygenerován pomocí podnikového řešení, nebo můžete vygenerovat certifikát podepsaný svým držitelem.

Ověření klientského certifikátu provádí brána VPN a probíhá při vytváření připojení VPN typu point-to-site. Pro ověření se vyžaduje kořenový certifikát a musí se nahrát do Azure.

Ověřování Microsoft Entra

Ověřování Microsoft Entra umožňuje uživatelům připojit se k Azure pomocí svých přihlašovacích údajů Microsoft Entra. Nativní ověřování Microsoft Entra je podporováno pouze pro protokol OpenVPN a vyžaduje také použití Klient Azure VPN. Podporované klientské operační systémy jsou Windows 10 nebo novější a macOS.

S nativním ověřováním Microsoft Entra můžete pro vpn použít funkce podmíněného přístupu Microsoft Entra a vícefaktorového ověřování (MFA).

Na vysoké úrovni je potřeba provést následující kroky ke konfiguraci ověřování Microsoft Entra:

  1. Konfigurace tenanta Microsoft Entra

  2. Povolení ověřování Microsoft Entra v bráně

  3. Stáhněte si nejnovější verzi Klient Azure VPN instalace souborů pomocí jednoho z následujících odkazů:

Doménový server služby Active Directory (AD)

Ověřování domén AD umožňuje uživatelům připojit se k Azure pomocí přihlašovacích údajů domény organizace. Vyžaduje server RADIUS, který se integruje se serverem AD. Organizace můžou také použít stávající nasazení protokolu RADIUS.

Server RADIUS může být nasazen místně nebo ve vaší virtuální síti Azure. Během ověřování funguje služba Azure VPN Gateway jako předávací a předávací ověřovací zprávy mezi serverem RADIUS a připojeným zařízením. Proto je důležitá dostupnost brány k serveru RADIUS. Pokud je server RADIUS místně dostupný, pro zajištění dostupnosti se vyžaduje připojení VPN S2S z Azure k místní lokalitě.

Server RADIUS se může také integrovat s certifikačními službami AD. To vám umožní použít server RADIUS a nasazení podnikového certifikátu pro ověřování certifikátů P2S jako alternativu k ověřování certifikátů Azure. Výhodou je, že do Azure nemusíte nahrávat kořenové certifikáty a odvolané certifikáty.

Server RADIUS se může také integrovat s jinými externími systémy identit. Otevře se spousta možností ověřování pro síť VPN typu point-to-factor, včetně vícefaktorových možností.

Diagram that shows a point-to-site VPN with an on-premises site.

Jaké jsou požadavky na konfiguraci klienta?

Požadavky na konfiguraci klienta se liší v závislosti na používaném klientovi VPN, typu ověřování a protokolu. Následující tabulka uvádí dostupné klienty a odpovídající články pro každou konfiguraci.

Ověřování Typ tunelového propojení Generování konfiguračních souborů Konfigurace klienta VPN
Certifikát Azure IKEv2, SSTP Windows Nativní klient VPN
Certifikát Azure OpenVPN Windows - Klient OpenVPN
- Klient Azure VPN
Certifikát Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certifikát Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS – certifikát - Článek Článek
RADIUS – heslo - Článek Článek
RADIUS – jiné metody - Článek Článek

Důležité

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2. Ovlivněná jsou pouze připojení typu point-to-site; Připojení typu site-to-site nebudou ovlivněna. Pokud používáte protokol TLS pro sítě VPN typu point-to-site ve Windows 10 nebo novějších klientech, nemusíte provádět žádnou akci. Pokud používáte protokol TLS pro připojení typu point-to-site v klientech s Windows 7 a Windows 8, přečtěte si nejčastější dotazy ke službě VPN Gateway s pokyny k aktualizaci.

Které skladové položky brány podporují připojení VPN typu point-to-site?

Následující tabulka ukazuje skladové položky brány podle tunelu, připojení a propustnosti. Další tabulky a další informace týkající se této tabulky najdete v části Skladové položky brány v článku nastavení služby VPN Gateway.

VPN
Brána
Generace
Skladová jednotka (SKU) S2S/VNet-to-VNet
Tunely
P2S
Připojení iony SSTP
P2S
Připojení iony IKEv2/OpenVPN
Agregace
Srovnávací test propustnosti
BGP Zónově redundantní Podporovaný počet virtuálních počítačů ve virtuální síti
Generace 1 Basic Max. 10 Max. 128 Nepodporuje se 100 Mb/s Nepodporuje se No 200
Generace 1 VpnGw1 Max. 30 Max. 128 Max. 250 650 Mb/s Podporováno No 450
Generace 1 VpnGw2 Max. 30 Max. 128 Max. 500 1 Gb/s Podporováno No 1300
Generace 1 VpnGw3 Max. 30 Max. 128 Max. 1000 1,25 Gb/s Podporováno No 4000
Generace 1 VpnGw1AZ Max. 30 Max. 128 Max. 250 650 Mb/s Podporováno Ano 1000
Generace 1 VpnGw2AZ Max. 30 Max. 128 Max. 500 1 Gb/s Podporováno Ano 2000
Generace 1 VpnGw3AZ Max. 30 Max. 128 Max. 1000 1,25 Gb/s Podporováno Ano 5000
Generace 2 VpnGw2 Max. 30 Max. 128 Max. 500 1,25 Gb/s Podporováno No 685
Generace 2 VpnGw3 Max. 30 Max. 128 Max. 1000 2,5 Gb/s Podporováno No 2240
Generace 2 VpnGw4 Max. 100* Max. 128 Max. 5000 5 Gb/s Podporováno No 5300
Generace 2 VpnGw5 Max. 100* Max. 128 Max. 10000 10 Gb/s Podporováno No 6700
Generace 2 VpnGw2AZ Max. 30 Max. 128 Max. 500 1,25 Gb/s Podporováno Ano 2000
Generace 2 VpnGw3AZ Max. 30 Max. 128 Max. 1000 2,5 Gb/s Podporováno Ano 3300
Generace 2 VpnGw4AZ Max. 100* Max. 128 Max. 5000 5 Gb/s Podporováno Ano 4400
Generace 2 VpnGw5AZ Max. 100* Max. 128 Max. 10000 10 Gb/s Podporováno Ano 9000

Poznámka:

Skladová položka Basic má omezení a nepodporuje ověřování IKEv2, IPv6 nebo RADIUS. Další informace najdete v článku o nastavení služby VPN Gateway.

Jaké zásady IKE/IPsec jsou nakonfigurované pro brány VPN pro P2S?

Tabulky v této části zobrazují hodnoty výchozích zásad. Neodráží ale dostupné podporované hodnoty pro vlastní zásady. Vlastní zásady najdete v části Akceptované hodnoty uvedené v rutině PowerShellu New-AzVpnClientIpsecParameter .

IKEv2

Šifra Integrity PRF Skupina DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

Protokolu ipsec

Šifra Integrity Skupina PFS
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Jaké zásady TLS jsou nakonfigurované pro brány VPN pro P2S?

Protokol TLS

Zásady
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Návody nakonfigurovat připojení P2S?

Konfigurace P2S vyžaduje poměrně několik konkrétních kroků. Následující články obsahují kroky, které vás provedou běžnými kroky konfigurace P2S.

Odebrání konfigurace připojení P2S

Konfiguraci připojení můžete odebrat pomocí PowerShellu nebo rozhraní příkazového řádku. Příklady najdete v nejčastějších dotazech.

Jak funguje směrování P2S?

Podívejte se na následující články:

Nejčastější dotazy

V závislosti na ověřování existuje několik oddílů s nejčastějšími dotazy týkajícími se P2S.

Další kroky

OpenVPN je ochranná známka společnosti OpenVPN Inc.