Informace o VPN typu point-to-site

Připojení brány VPN typu Point-to-Site (P2S) umožňuje vytvořit zabezpečené připojení k virtuální síti z jednotlivých klientských počítačů. Připojení P2S se vytvoří jeho zahájením z klientského počítače. Toto řešení je užitečné pro osoby pracující z domova, které se chtějí k virtuálním sítím Azure připojit ze vzdáleného umístění, například z domova nebo z místa konání konference. Síť VPN P2S je také užitečným řešením nahrazujícím síť VPN S2S, pokud máte pouze několik klientů, kteří se potřebují připojit k virtuální síti. Tento článek se týká modelu nasazení Resource Manager.

Jaký protokol používá připojení typu point-to-site?

Síť VPN typu Point-to-Site může používat jeden z následujících protokolů:

  • Protokol OpenVPN®, protokol VPN založený na protokolu SSL/TLS. Řešení TLS VPN může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP 443, který protokol TLS používá. OpenVPN se dá použít k připojení z Androidu, iOS (verze 11.0 a novější), zařízení s Windows, Linuxem a Macem (macOS verze 10.13 a novější).

  • Secure Socket Tunneling Protocol (SSTP) – proprietární protokol VPN založený na protokolu TLS. Řešení TLS VPN může proniknout do bran firewall, protože většina bran firewall otevírá odchozí port TCP 443, který protokol TLS používá. SSTP je podporován pouze na zařízeních s Windows. Azure podporuje všechny verze Windows, které mají protokol SSTP a podporují protokol TLS 1.2 (Windows 8.1 a novější).

  • IKEv2 VPN, řešení IPsec VPN založené na standardech. Síť VPN IKEv2 se dá použít k připojení ze zařízení Mac (macOS verze 10.11 a novější).

Poznámka

IKEv2 a OpenVPN pro P2S jsou dostupné jenom pro model nasazení Resource Manager. Nejsou dostupné pro model nasazení Classic.

Jak jsou klienti VPN typu P2S ověřeni?

Než Azure přijme připojení VPN typu P2S, musí se nejprve ověřit uživatel. Existují dva mechanismy, které Azure nabízí k ověření připojeného uživatele.

Ověřování pomocí nativního ověřování certifikátů Azure

Při použití nativního ověřování certifikátů Azure se klientský certifikát, který je na zařízení k ověření uživatele s připojením, používá. Klientské certifikáty se vygenerují z důvěryhodného kořenového certifikátu a pak se nainstalují na každý klientský počítač. Můžete použít kořenový certifikát, který byl vygenerován pomocí podnikového řešení, nebo můžete vygenerovat certifikát podepsaný svým držitelem.

Ověření klientského certifikátu provádí brána VPN a probíhá během zřizování připojení VPN typu P2S. Kořenový certifikát se vyžaduje pro ověření a musí být nahrán do Azure.

Ověřování pomocí nativního ověřování Azure Active Directory

ověřování Azure AD umožňuje uživatelům připojit se k Azure pomocí svých přihlašovacích údajů Azure Active Directory. Nativní ověřování Azure AD se podporuje jenom pro protokol OpenVPN a Windows 10 a novější a vyžaduje také použití Klient Azure VPN.

S nativním ověřováním Azure AD můžete využít funkce podmíněného přístupu Azure AD a funkce MFA (Multi-Factor Authentication) pro síť VPN.

Na vysoké úrovni musíte provést následující kroky ke konfiguraci Azure AD ověřování:

  1. Konfigurace tenanta Azure AD

  2. Povolení ověřování Azure AD v bráně

  3. Stáhněte si nejnovější verzi Klient Azure VPN instalace souborů pomocí jednoho z následujících odkazů:

Ověřování pomocí doménového serveru služby Active Directory (AD)

Ověřování domén AD umožňuje uživatelům připojit se k Azure pomocí přihlašovacích údajů k doméně organizace. Vyžaduje server RADIUS, který se integruje se serverem AD. Organizace můžou také využít stávající nasazení PROTOKOLU RADIUS.

Server RADIUS může být nasazen místně nebo ve vaší virtuální síti Azure. Během ověřování funguje Azure VPN Gateway jako předávací a předávací ověřovací zprávy zpět mezi serverem RADIUS a připojeným zařízením. Dostupnost brány serveru RADIUS je proto důležitá. Pokud server RADIUS existuje místně, je pro zajištění dostupnosti vyžadováno připojení VPN S2S z Azure k místní lokalitě.

Server RADIUS se může také integrovat s certifikačními službami AD. To vám umožní používat server RADIUS a nasazení podnikového certifikátu pro ověřování certifikátů P2S jako alternativu k ověřování certifikátů Azure. Výhodou je, že do Azure nemusíte nahrávat kořenové certifikáty a odvolané certifikáty.

Server RADIUS se může také integrovat s jinými externími systémy identit. Otevře se spousta možností ověřování pro síť VPN typu P2S, včetně vícefaktorových možností.

Diagram znázorňující síť VPN typu point-to-site s místní lokalitou

Jaké jsou požadavky na konfiguraci klienta?

Poznámka

Pro klienty s Windows musíte mít na klientském zařízení práva správce, aby bylo možné zahájit připojení VPN z klientského zařízení do Azure.

Uživatelé používají nativní klienty VPN na zařízeních s Windows a Mac pro P2S. Azure poskytuje konfigurační soubor ZIP klienta VPN, který obsahuje nastavení vyžadovaná těmito nativními klienty pro připojení k Azure.

  • Pro zařízení s Windows se konfigurace klienta VPN skládá z instalačního balíčku, který si uživatelé nainstalují na svá zařízení.
  • Pro zařízení Mac se skládá ze souboru mobileconfig, který si uživatelé nainstalují na svá zařízení.

Soubor ZIP také poskytuje hodnoty některých důležitých nastavení na straně Azure, které můžete použít k vytvoření vlastního profilu pro tato zařízení. Mezi hodnoty patří adresa brány VPN, nakonfigurované typy tunelů, trasy a kořenový certifikát pro ověření brány.

Poznámka

Od 1. července 2018 se začíná rušit podpora protokolu TLS 1.0 a 1.1 ve službě Azure VPN Gateway. Služba VPN Gateway bude podporovat pouze protokol TLS 1.2. Ovlivněna jsou pouze připojení typu point-to-site; Připojení typu site-to-site nebudou ovlivněna. Pokud používáte protokol TLS pro sítě VPN typu point-to-site na Windows 10 nebo novějších klientech, nemusíte provádět žádnou akci. Pokud používáte protokol TLS pro připojení typu point-to-site v klientech s Windows 7 a Windows 8, přečtěte si VPN Gateway nejčastější dotazy k pokynům k aktualizaci.

Které skladové položky brány podporují připojení VPN typu point-to-site?

Síť VPN
brána
Generace
SKU S2S/VNet-to-VNet
Tunely
P2S
Připojení SSTP
P2S
Připojení IKEv2/OpenVPN
Agregace
Srovnávací test propustnosti
BGP Zónově redundantní
Generace 1 Basic Max. 10 Max. 128 Nepodporuje se 100 Mb/s Nepodporuje se Ne
Generace 1 VpnGw1 Max. 30 Max. 128 Max. 250 650 Mb/s Podporováno Ne
Generace 1 VpnGw2 Max. 30 Max. 128 Max. 500 1 Gb/s Podporováno Ne
Generace 1 VpnGw3 Max. 30 Max. 128 Max. 1000 1,25 Gb/s Podporováno Ne
Generace 1 VpnGw1AZ Max. 30 Max. 128 Max. 250 650 Mb/s Podporováno Ano
Generace 1 VpnGw2AZ Max. 30 Max. 128 Max. 500 1 Gb/s Podporováno Ano
Generace 1 VpnGw3AZ Max. 30 Max. 128 Max. 1000 1,25 Gb/s Podporováno Ano
Generace 2 VpnGw2 Max. 30 Max. 128 Max. 500 1,25 Gb/s Podporováno Ne
Generace 2 VpnGw3 Max. 30 Max. 128 Max. 1000 2,5 Gb/s Podporováno Ne
Generace 2 VpnGw4 Max. 100* Max. 128 Max. 5000 5 Gb/s Podporováno Ne
Generace 2 VpnGw5 Max. 100* Max. 128 Max. 10000 10 Gb/s Podporováno Ne
Generace 2 VpnGw2AZ Max. 30 Max. 128 Max. 500 1,25 Gb/s Podporováno Ano
Generace 2 VpnGw3AZ Max. 30 Max. 128 Max. 1000 2,5 Gb/s Podporováno Ano
Generace 2 VpnGw4AZ Max. 100* Max. 128 Max. 5000 5 Gb/s Podporováno Ano
Generace 2 VpnGw5AZ Max. 100* Max. 128 Max. 10000 10 Gb/s Podporováno Ano

(*) Pokud potřebujete více než 100 tunelů VPN S2S, použijte Virtual WAN.

  • Změna velikosti skladových položek VpnGw je povolená ve stejné generaci s výjimkou změny velikosti skladové položky Basic. Skladová položka Basic je starší skladová položka a má omezení funkcí. Pokud chcete přejít z úrovně Basic na jinou skladovou položku, musíte odstranit bránu VPN úrovně Basic a vytvořit novou bránu s požadovanou kombinací velikosti generování a skladové položky. (viz Práce se staršími skladovými jednotkami).

  • Tato omezení připojení jsou nezávislá. Pro skladovou položku VpnGw1 můžete například mít 128 připojení SSTP a také 250 připojení IKEv2.

  • Informace o cenách najdete na stránce Ceny.

  • Informace o smlouvě SLA (smlouva o úrovni služeb) můžete najít na stránce SLA.

  • Pokud máte hodně připojení P2S, může to negativně ovlivnit připojení S2S. Srovnávací testy agregované propustnosti byly testovány maximalizací kombinace připojení S2S a P2S. Jedno připojení P2S nebo S2S může mít mnohem nižší propustnost.

  • Upozorňujeme, že všechny srovnávací testy nejsou zaručené kvůli podmínkám internetového provozu a chování vaší aplikace.

Abychom našim zákazníkům pomohli porozumět relativnímu výkonu SKU pomocí různých algoritmů, použili jsme veřejně dostupné nástroje iPerf a CTSTraffic k měření výkonu připojení typu site-to-site. Následující tabulka uvádí výsledky testů výkonu pro skladové položky VpnGw. Jak vidíte, nejlepší výkon se získá, když jsme použili algoritmus GCMAES256 pro šifrování IPsec i integritu. Při použití AES256 pro šifrování IPsec a SHA256 pro integritu jsme získali průměrný výkon. Při použití DES3 pro šifrování IPsec a SHA256 pro integritu máme nejnižší výkon.

Tunel VPN se připojuje k instanci brány VPN. Každá propustnost instance je uvedená v tabulce výše uvedené propustnosti a je k dispozici agregovaná napříč všemi tunely, které se připojují k této instanci.

Následující tabulka ukazuje pozorovanou šířku pásma a pakety za sekundu na propustnost pro různé skladové položky brány. Veškeré testování proběhlo mezi bránami (koncovými body) v různých oblastech s 100 připojeními a za standardních podmínek zatížení.

Generace SKU Algoritmy
Používá
Propustnost
pozorované na tunel
Pakety za sekundu za tunel
Pozorovány
Generace 1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/s
500 Mb/s
130 Mb/s
62,000
47,000
12 000
Generace 1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gb/s
650 Mb/s
140 Mb/s
100 000
61,000
13,000
Generace 1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
700 Mb/s
140 Mb/s
120,000
66,000
13,000
Generace 1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mb/s
500 Mb/s
130 Mb/s
62,000
47,000
12 000
Generace 1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gb/s
650 Mb/s
140 Mb/s
110,000
61,000
13,000
Generace 1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
700 Mb/s
140 Mb/s
120,000
66,000
13,000
Generace 2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
550 Mb/s
130 Mb/s
120,000
52,000
12 000
Generace 2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gb/s
700 Mb/s
140 Mb/s
140,000
66,000
13,000
Generace 2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mb/s
140 Mb/s
220,000
66,000
13,000
Generace 2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mb/s
140 Mb/s
220,000
66,000
13,000
Generace 2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gb/s
550 Mb/s
130 Mb/s
120,000
52,000
12 000
Generace 2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gb/s
700 Mb/s
140 Mb/s
140,000
66,000
13,000
Generace 2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mb/s
140 Mb/s
220,000
66,000
13,000
Generace 2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gb/s
700 Mb/s
140 Mb/s
220,000
66,000
13,000

Poznámka

Skladová položka Basic nepodporuje ověřování IKEv2 ani RADIUS.

Jaké zásady protokolu IKE/IPsec jsou nakonfigurované na bránách VPN pro P2S?

IKEv2

Šifra Integrita PRF Skupina DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

Protokolu ipsec

Šifra Integrita Skupina PFS
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Jaké zásady TLS jsou nakonfigurované pro brány VPN pro P2S?

Protokol TLS

Zásady
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Návody nakonfigurovat připojení P2S?

Konfigurace P2S vyžaduje několik konkrétních kroků. Následující články obsahují kroky, které vás provedou konfigurací P2S a odkazy na konfiguraci klientských zařízení VPN:

Odebrání konfigurace připojení P2S

Konfiguraci připojení můžete odebrat pomocí PowerShellu nebo rozhraní příkazového řádku. Příklady najdete v nejčastějších dotazech.

Jak funguje směrování P2S?

Viz následující články:

Nejčastější dotazy

Na základě ověřování existuje několik oddílů nejčastějších dotazů pro P2S.

Další kroky

OpenVPN je ochranná známka společnosti OpenVPN Inc.