Sdílet prostřednictvím

Konfigurace tunelu zařízení VPN AlwaysOn

Funkce AlwaysOn byla představena v klientovi VPN pro Windows 10. AlwaysOn je schopnost udržovat připojení VPN. Díky funkci AlwaysOn se aktivní profil VPN může automaticky připojit a zůstat připojený na základě aktivačních událostí, jako je přihlášení uživatele, změna stavu sítě nebo aktivní obrazovka zařízení.

Můžete použít brány s funkcí Always On k vytvoření trvalých tunelů pro uživatele a zařízení do Azure.

Připojení VPN Typu AlwaysOn zahrnují jeden ze dvou typů tunelů:

  • Tunel zařízení: Před přihlášením uživatelů k zařízení se připojí k zadaným serverům VPN. Scénáře připojení před přihlášením a správa zařízení používají tunel zařízení.

  • Tunel uživatele: Připojí se pouze po přihlášení uživatelů k zařízení. Pomocí uživatelských tunelů můžete přistupovat k prostředkům organizace prostřednictvím serverů VPN.

Tunely zařízení a uživatelské tunely fungují nezávisle na jejich profilech VPN. Dají se připojit současně a podle potřeby můžou používat různé metody ověřování a další nastavení konfigurace sítě VPN.

Tento článek vám pomůže nakonfigurovat tunel zařízení VPN AlwaysOn. Informace o konfiguraci tunelu uživatele naleznete v tématu Konfigurace tunelu uživatele VPN AlwaysOn.

Konfigurace brány

Nakonfigurujte bránu VPN tak, aby používala ověřování IKEv2 a ověřování na základě certifikátů pomocí článku Konfigurace připojení VPN typu Point-to-Site.

Nakonfigurujte tunel zařízení

Aby bylo možné úspěšně vytvořit tunel zařízení, musí být splněny následující požadavky:

  • Zařízení musí být počítač připojený k doméně s Windows 10 Enterprise nebo Education verze 1809 nebo novější.
  • Tunel je konfigurovatelný pouze pro integrované řešení VPN systému Windows a je vytvořený pomocí IKEv2 s ověřováním certifikátů počítače.
  • Pro každé zařízení je možné nakonfigurovat pouze jeden tunel zařízení.
  1. Nainstalujte klientské certifikáty na klienta s Windows 10 nebo novějším pomocí článku o VPN klientovi typu point-to-site. Certifikát musí být v úložišti místního počítače.
  2. Pomocí těchto pokynů vytvořte profil SÍTĚ VPN a nakonfigurujte tunel zařízení v kontextu účtu LOCAL SYSTEM.

Příklad konfigurace tunelu zařízení

Po nakonfigurování brány virtuální sítě a instalaci klientského certifikátu v úložišti místního počítače v klientovi s Windows 10 nebo novějším použijte následující příklady ke konfiguraci tunelu klientského zařízení:

  1. Zkopírujte následující text a uložte ho jako devicecert.ps1.

    Param(
[string]$xmlFilePath,
[string]$ProfileName
)

$a = Test-Path $xmlFilePath
echo $a

$ProfileXML = Get-Content $xmlFilePath

echo $XML

$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

$Version = 201606090004

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

$nodeCSPURI = './Vendor/MSFT/VPNv2'
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

$session = New-CimSession

try
{
$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", 'String', 'Property')
$newInstance.CimInstanceProperties.Add($property)

$session.CreateInstance($namespaceName, $newInstance)
$Message = "Created $ProfileName profile."
Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
Write-Host "$Message"
exit
}
$Message = "Complete."
Write-Host "$Message"

  2. Zkopírujte následující text a uložte ho jako VPNProfile.xml do stejné složky jako devicecert.ps1. Upravte následující text tak, aby odpovídal vašemu prostředí.

    • <Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers> <= Can be found in the VpnSettings.xml in the downloaded profile zip file
    • <Address>192.168.3.5</Address> <= IP of resource in the vnet or the vnet address space
    • <Address>192.168.3.4</Address> <= IP of resource in the vnet or the vnet address space
    <VPNProfile>  
  <NativeProfile>  
<Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers>  
<NativeProtocolType>IKEv2</NativeProtocolType>  
<Authentication>  
  <MachineMethod>Certificate</MachineMethod>  
</Authentication>  
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>  
 <!-- disable the addition of a class based route for the assigned IP address on the VPN interface -->
<DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute>  
  </NativeProfile> 
  <!-- use host routes(/32) to prevent routing conflicts -->  
  <Route>  
<Address>192.168.3.5</Address>  
<PrefixSize>32</PrefixSize>  
  </Route>  
  <Route>  
<Address>192.168.3.4</Address>  
<PrefixSize>32</PrefixSize>  
  </Route>  
<!-- need to specify always on = true --> 
  <AlwaysOn>true</AlwaysOn> 
<!-- new node to specify that this is a device tunnel -->  
 <DeviceTunnel>true</DeviceTunnel>
<!--new node to register client IP address in DNS to enable manage out -->
<RegisterDNS>true</RegisterDNS>
</VPNProfile>

  3. Stáhněte soubor PsExec ze složky Sysinternals a extrahujte soubory do složky C:\PSTools.

  4. Na příkazovém řádku správce spusťte PowerShell spuštěním příkazu:

    Pro 32bitovou verzi Windows:

    PsExec.exe -s -i powershell

    Pro 64bitovou verzi Windows:

    PsExec64.exe -s -i powershell

    Snímek obrazovky znázorňující okno příkazového řádku s příkazem pro spuštění 64bitové verze PowerShellu

  5. V PowerShellu přepněte do složky, ve které se nachází devicecert.ps1 a VPNProfile.xml , a spusťte následující příkaz:

    .\devicecert.ps1 .\VPNProfile.xml MachineCertTest

    Snímek obrazovky s oknem PowerShellu, které používá machineCertTest pomocí skriptu devicesert

  6. Spusťte rasphone.

    Snímek obrazovky zobrazuje dialogové okno Spustit s vybranou možností rasphone.

  7. Vyhledejte položku MachineCertTest a klikněte na Připojit.

    Snímek obrazovky s dialogovým oknem Síťová připojení s vybranou možností MachineCertTest a tlačítkem Připojit

  8. Pokud je připojení úspěšné, restartujte počítač. Tunel se připojí automaticky.

Odebrání profilu

Profil odeberete spuštěním následujícího příkazu:

Remove-VpnConnection -Name MachineCertTest

Další kroky

Řešení potíží najdete v tématu Problémy s připojením typu point-to-site v Azure.