Sdílet prostřednictvím


Konfigurace nastavení serveru pro ověřování certifikátů brány VPN Gateway P2S

Tento článek vám pomůže nakonfigurovat potřebná nastavení serveru VPN Gateway typu point-to-site (P2S), abyste mohli bezpečně připojit jednotlivé klienty se systémem Windows, Linux nebo macOS k virtuální síti Azure. Připojení P2S VPN jsou užitečná v případě, že se chcete připojit ke své virtuální síti ze vzdáleného umístění, například při práci z domova nebo konference. Místo sítě VPN typu site-to-site (S2S) můžete použít také P2S, pokud máte jenom několik klientů, kteří se potřebují připojit k virtuální síti. Připojení P2S nevyžadují zařízení VPN ani veřejnou IP adresu.

Diagram připojení typu point-to-site znázorňující, jak se připojit z počítače k virtuální síti Azure

Pro P2S jsou k dispozici různé možnosti konfigurace. Další informace o síti VPN typu point-to-site naleznete v tématu Informace o síti VPN typu point-to-site. Tento článek vám pomůže vytvořit konfiguraci P2S, která používá ověřování certifikátů a Azure Portal. Pokud chcete tuto konfiguraci vytvořit pomocí Azure PowerShellu, přečtěte si článek Konfigurace P2S – Certifikát – PowerShell . Informace o ověřování pomocí protokolu RADIUS najdete v článku protokolu RADIUS typu P2S. Informace o ověřování Microsoft Entra naleznete v článku O ID P2S Microsoft Entra.

Připojení ověřování certifikátů P2S Azure používají následující položky, které nakonfigurujete v tomto cvičení:

  • Brána VPN založená na směrování (nikoli na základě zásad). Další informace o typu sítě VPN najdete v tématu Nastavení služby VPN Gateway.
  • Veřejný klíč (soubor .cer) pro kořenový certifikát nahraný do Azure. Po nahrání certifikátu se považuje za důvěryhodný certifikát a používá se k ověřování.
  • Klientský certifikát, který se generuje z kořenového certifikátu. Klientský certifikát nainstalovaný na každém klientském počítači, který se bude připojovat k virtuální síti. Tento certifikát se používá k ověřování klienta.
  • Konfigurační soubory klienta VPN. Klient VPN je nakonfigurovaný pomocí konfiguračních souborů klienta VPN. Tyto soubory obsahují potřebné informace pro připojení klienta k virtuální síti. Každý klient, který se připojuje, musí být nakonfigurovaný pomocí nastavení v konfiguračních souborech.

Požadavky

Ověřte, že máte předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.

Ukázkové hodnoty

Tyto hodnoty můžete použít k vytvoření testovacího prostředí nebo můžou sloužit k lepšímu pochopení příkladů v tomto článku:

Virtuální síť

  • Název virtuální sítě: VNet1
  • Adresní prostor: 10.1.0.0/16
    V tomto příkladu používáme pouze jeden adresní prostor. Pro svoji virtuální síť můžete mít více adresních prostorů.
  • Název podsítě: FrontEnd
  • Rozsah adres podsítě: 10.1.0.0/24
  • Předplatné: Pokud máte více než jedno předplatné, ověřte, že používáte správné předplatné.
  • Skupina prostředků: TestRG1
  • Umístění: USA – východ

Brána virtuální sítě

  • Název brány virtuální sítě: VNet1GW
  • Typ brány: Síť VPN
  • Typ sítě VPN: Založená na směrování (vyžadováno pro P2S)
  • SKU: VpnGw2
  • Generování: Generace 2
  • Rozsah adres podsítě brány: 10.1.255.0/27
  • Název veřejné IP adresy: VNet1GWpip

Typ připojení a fond adres klienta

  • Typ připojení: Point-to-Site
  • Fond adres klienta: 172.16.201.0/24
    Klienti VPN, kteří se připojují k virtuální síti pomocí tohoto připojení typu point-to-site, obdrží IP adresu z fondu adres klienta.

Vytvoření virtuální sítě

V této části vytvoříte virtuální síť. Informace o navrhovaných hodnotách pro tuto konfiguraci najdete v části Ukázkové hodnoty.

Poznámka:

Pokud používáte virtuální síť jako součást architektury mezi místy, nezapomeňte koordinovat správce místní sítě a vyřešovat rozsah IP adres, který můžete použít speciálně pro tuto virtuální síť. Pokud je na obou stranách připojení VPN duplicitní rozsah adres, provoz se bude směrovat neočekávaným způsobem. Navíc pokud chcete tuto virtuální síť připojit k jiné virtuální síti, adresní prostor se nemůže překrývat s druhou virtuální sítí. Odpovídajícím způsobem naplánujte konfiguraci sítě.

  1. Přihlaste se k portálu Azure.

  2. Do části Hledat prostředky, služby a dokumenty (G+/) v horní části stránky portálu zadejte virtuální síť. Výběrem možnosti Virtuální síť z výsledků hledání na Marketplace otevřete stránku virtuální sítě .

  3. Na stránce Virtuální síť vyberte Vytvořit a otevřete stránku Vytvořit virtuální síť.

  4. Na kartě Základy nakonfigurujte nastavení virtuální sítě pro podrobnosti projektu a podrobnosti instance. Po ověření hodnot, které zadáte, se zobrazí zelená značka zaškrtnutí. Hodnoty zobrazené v příkladu můžete upravit podle požadovaných nastavení.

    Snímek obrazovky znázorňující kartu Základy

    • Předplatné: Zkontrolujte, jestli je uvedeno správné předplatné. Předplatná můžete změnit pomocí rozevíracího seznamu.
    • Skupina prostředků: Vyberte existující skupinu prostředků nebo vyberte Vytvořit novou a vytvořte novou. Další informace o skupinách prostředků najdete v tématu Přehled Azure Resource Manageru.
    • Název: Zadejte název své virtuální sítě.
    • Oblast: Vyberte umístění pro vaši virtuální síť. Umístění určuje, kde se budou nacházet prostředky, které do této virtuální sítě nasadíte.
  5. Výběrem možnosti Další nebo Zabezpečení přejděte na kartu Zabezpečení. Pro toto cvičení ponechte výchozí hodnoty pro všechny služby na této stránce.

  6. Vyberte IP adresy , abyste přešli na kartu IP adresy . Na kartě IP adresy nakonfigurujte nastavení.

    • Adresní prostor IPv4: Ve výchozím nastavení se automaticky vytvoří adresní prostor. Můžete vybrat adresní prostor a upravit ho tak, aby odrážel vaše vlastní hodnoty. Můžete také přidat jiný adresní prostor a odebrat výchozí vytvořený automaticky. Můžete například zadat počáteční adresu jako 10.1.0.0 a zadat velikost adresního prostoru jako /16. Pak vyberte Přidat a přidejte tento adresní prostor.

    • + Přidat podsíť: Pokud použijete výchozí adresní prostor, vytvoří se výchozí podsíť automaticky. Pokud změníte adresní prostor, přidejte do daného adresního prostoru novou podsíť. Výběrem + Přidat podsíť otevřete okno Přidat podsíť . Nakonfigurujte následující nastavení a pak výběrem možnosti Přidat v dolní části stránky přidejte hodnoty.

      • Název podsítě: Příkladem je FrontEnd.
      • Rozsah adres podsítě: Rozsah adres pro tuto podsíť. Příklady jsou 10.1.0.0 a /24.
  7. Zkontrolujte stránku IP adres a odeberte všechny adresní prostory nebo podsítě, které nepotřebujete.

  8. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení virtuální sítě.

  9. Po ověření nastavení vyberte Vytvořit a vytvořte virtuální síť.

Vytvoření brány sítě VPN

V tomto kroku vytvoříte bránu virtuální sítě pro svou virtuální síť. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány.

Poznámka:

Skladová položka brány Basic nepodporuje ověřování IKEv2 ani RADIUS. Pokud máte v plánu, aby se klienti Mac připojili k vaší virtuální síti, nepoužívejte skladovou položku Basic.

Brána virtuální sítě vyžaduje konkrétní podsíť s názvem GatewaySubnet. Podsíť brány je součástí rozsahu IP adres pro vaši virtuální síť a obsahuje IP adresy, které používají prostředky a služby brány virtuální sítě.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. Potřebný počet IP adres závisí na konfiguraci brány VPN, kterou chcete vytvořit. Některé konfigurace vyžadují víc IP adres než jiné. Nejlepší je zadat /27 nebo větší (/26, /25 atd.) pro vaši podsíť brány.

Pokud se zobrazí chyba, která určuje, že se adresní prostor překrývají s podsítí nebo že podsíť není obsažená v adresního prostoru vaší virtuální sítě, zkontrolujte rozsah adres virtuální sítě. Možná nemáte dostatek IP adres dostupných v rozsahu adres, který jste vytvořili pro vaši virtuální síť. Pokud například vaše výchozí podsíť zahrnuje celý rozsah adres, nebudou k dispozici žádné IP adresy pro vytvoření dalších podsítí. Můžete upravit podsítě v rámci existujícího adresního prostoru, aby se uvolnily IP adresy, nebo zadat jiný rozsah adres a vytvořit podsíť brány.

  1. V části Hledat prostředky, služby a dokumenty (G+/) zadejte bránu virtuální sítě. Ve výsledcích hledání na Marketplace vyhledejte bránu virtuální sítě a vyberte ji, aby se otevřela stránka Vytvořit bránu virtuální sítě.

  2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

    Snímek obrazovky znázorňující pole Instance

    • Předplatné: V rozevíracím seznamu vyberte předplatné, které chcete použít.

    • Skupina prostředků: Toto nastavení se automaticky vyplňuje, když na této stránce vyberete virtuální síť.

    • Název: Zadejte pro bránu název. Pojmenování brány není stejné jako pojmenování podsítě brány. Jedná se o název objektu brány, který vytváříte.

    • Oblast: Vyberte oblast, ve které chcete tento prostředek vytvořit. Oblast brány musí být stejná jako virtuální síť.

    • Typ brány: Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.

    • Skladová položka: V rozevíracím seznamu vyberte skladovou položku brány, která podporuje funkce, které chcete použít. Viz skladové položky brány. Na portálu závisí skladové položky dostupné v rozevíracím seznamu na VPN type vybraném místě. Skladovou položku Basic je možné nakonfigurovat jenom pomocí Azure CLI nebo PowerShellu. Skladovou položku Basic nemůžete nakonfigurovat na webu Azure Portal.

    • Generování: Vyberte generaci, kterou chcete použít. Doporučujeme použít skladovou položku Generation2. Další informace najdete v části Skladové jednotky (SKU) brány.

    • Virtuální síť: V rozevíracím seznamu vyberte virtuální síť, do které chcete tuto bránu přidat. Pokud nevidíte virtuální síť, pro kterou chcete vytvořit bránu, ujistěte se, že jste v předchozím nastavení vybrali správné předplatné a oblast.

    • Rozsah adres podsítě brány nebo podsíť: Podsíť brány se vyžaduje k vytvoření brány VPN.

      V tuto chvíli může toto pole zobrazovat různé možnosti nastavení v závislosti na adresní prostoru virtuální sítě a na tom, jestli jste pro virtuální síť už vytvořili podsíť s názvem GatewaySubnet .

      Pokud nemáte podsíť brány a nevidíte možnost vytvořit ji na této stránce, vraťte se do své virtuální sítě a vytvořte podsíť brány. Pak se vraťte na tuto stránku a nakonfigurujte bránu VPN.

  1. Zadejte hodnoty pro veřejnou IP adresu. Tato nastavení určují objekt veřejné IP adresy, který se přidružuje k bráně VPN. Při vytváření brány VPN se k tomuto objektu přiřadí veřejná IP adresa. Jedinou dobou, kdy se primární veřejná IP adresa změní, je odstranění a opětovné vytvoření brány. V případě změny velikosti, resetování nebo jiné operace údržby/upgradu vaší brány VPN se nezmění.

    Snímek obrazovky s polem Veřejná IP adresa

    • Typ veřejné IP adresy: Pokud se zobrazí tato možnost, vyberte Standardní. Skladová položka veřejné IP adresy úrovně Basic je podporovaná jenom pro brány VPN úrovně Basic .
    • Veřejná IP adresa: Ponechte vybranou možnost Vytvořit novou .
    • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.
    • Skladová položka veřejné IP adresy: Nastavení je automaticky vybráno.
    • Přiřazení: Přiřazení je obvykle automaticky vybráno. Pro skladovou položku Standard je přiřazení vždy statické.
    • Povolit režim aktivní-aktivní: Vyberte Zakázáno. Toto nastavení povolte jenom v případě, že vytváříte konfiguraci brány aktivní-aktivní.
    • Konfigurace protokolu BGP: Vyberte Zakázáno, pokud konfigurace výslovně nevyžaduje toto nastavení. Pokud toto nastavení vyžadujete, výchozí hodnota ASN je 65515, i když tuto hodnotu můžete změnit.
  2. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit .

  3. Po úspěšném ověření vyberte Vytvořit a nasaďte bránu VPN.

Stav nasazení můžete zobrazit na stránce Přehled vaší brány. Po vytvoření brány můžete zobrazit IP adresu, která k ní byla přiřazena, tak, že se podíváte na virtuální síť na portálu. Brána se zobrazí jako připojené zařízení.

Důležité

Skupiny zabezpečení sítě (NSG) v podsíti brány se nepodporují. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.

Vygenerování certifikátů

Azure používá certifikáty k ověřování klientů připojujících se k virtuální síti přes připojení VPN typu point-to-site. Jakmile získáte kořenový certifikát, nahrajete do Azure informace o veřejném klíči. Kořenový certifikát se pak považuje za důvěryhodný azure pro připojení přes P2S k virtuální síti.

Z kořenového certifikátu také generujete klientské certifikáty, které pak nainstalujete na každém klientském počítači. Klientský certifikát se používá k ověřování klienta při zahájení připojení k virtuální síti.

Před konfigurací nastavení brány point-to-site je nutné vygenerovat a extrahovat kořenový certifikát.

Vygenerování kořenového certifikátu

Získejte soubor .cer kořenového certifikátu. Můžete použít buď kořenový certifikát vygenerovaný pomocí podnikového řešení (doporučeno), nebo vygenerovat certifikát podepsaný svým držitelem. Po vytvoření kořenového certifikátu exportujte data veřejného certifikátu (nikoli privátní klíč) jako soubor X.509 s kódováním Base64 .cer. Tento soubor nahrajete později do Azure.

  • Podnikový certifikát: Pokud používáte podnikové řešení, můžete použít stávající řetěz certifikátů. Získejte soubor .cer kořenového certifikátu, který chcete použít.

  • Kořenový certifikát podepsaný svým držitelem: Pokud nepoužíváte podnikové certifikační řešení, vytvořte kořenový certifikát podepsaný svým držitelem. Jinak certifikáty, které vytvoříte, nebudou kompatibilní s připojeními P2S a klienti se při pokusu o připojení zobrazí chyba připojení. Můžete použít Azure PowerShell, MakeCert nebo OpenSSL. Postup v následujících článcích popisuje, jak vygenerovat kompatibilní kořenový certifikát podepsaný svým držitelem:

    • Pokyny k PowerShellu pro Windows 10 nebo novější: Tyto pokyny vyžadují PowerShell na počítači s Windows 10 nebo novějším. Klientské certifikáty vygenerované pomocí kořenového certifikátu můžete nainstalovat na jakémkoli podporovaném klientu Point-to-Site.
    • Pokyny pro MakeCert: Použijte MakeCert k vygenerování certifikátů, pokud nemáte přístup k počítači s Windows 10 nebo novějším. I když je MakeCert zastaralý, můžete ho přesto použít k vygenerování certifikátů. Klientské certifikáty, které vygenerujete z kořenového certifikátu, je možné nainstalovat na libovolného podporovaného klienta P2S.
    • Linux – pokyny pro OpenSSL
    • Linux – pokyny pro strongSwan

Generování klientských certifikátů

Každý klientský počítač, který se připojujete k virtuální síti s připojením typu point-to-site, musí mít nainstalovaný klientský certifikát. Vygenerujete ho z kořenového certifikátu a nainstalujete ho na každý klientský počítač. Pokud nenainstalujete platný klientský certifikát, ověřování selže, když se klient pokusí připojit k virtuální síti.

Můžete buď vygenerovat jedinečný certifikát pro každého klienta, nebo můžete použít stejný certifikát pro více klientů. Výhodou generování jedinečných certifikátů pro klienty je možnost jednotlivý certifikát odvolat. Pokud k ověření používá více klientů stejný klientský certifikát a odvoláte ho, budete muset vygenerovat a nainstalovat nové certifikáty pro každého klienta, který tento certifikát používá.

Klientské certifikáty můžete generovat pomocí následujících metod:

  • Podnikový certifikát:

    • Pokud používáte podnikové certifikační řešení, vygenerujte klientský certifikát s běžným formátem name@yourdomain.comhodnoty názvu . Místo názvu domény\uživatelského jména použijte tento formát.

    • Ujistěte se, že je klientský certifikát založený na šabloně certifikátu uživatele, která má v seznamu uživatelů uvedené ověřování klientů jako první položku. Zkontrolujte certifikát poklikáním a zobrazením rozšířeného použití klíče na kartě Podrobnosti .

  • Kořenový certifikát podepsaný svým držitelem: Postupujte podle pokynů v jednom z následujících článků o certifikátu P2S, aby klientské certifikáty, které vytvoříte, byly kompatibilní s vašimi připojeními P2S.

    Když vygenerujete klientský certifikát z kořenového certifikátu podepsaného svým držitelem, automaticky se nainstaluje do počítače, který jste použili k jeho vygenerování. Pokud chcete nainstalovat klientský certifikát do jiného klientského počítače, exportujte ho jako soubor .pfx spolu s celým řetězem certifikátů. Tím se vytvoří soubor .pfx, který obsahuje informace o kořenovém certifikátu vyžadované k ověření klienta.

    Kroky v těchto článcích generují kompatibilní klientský certifikát, který pak můžete exportovat a distribuovat.

    • Pokyny pro Windows 10 nebo novější PowerShell: Tyto pokyny vyžadují Windows 10 nebo novější a PowerShell k vygenerování certifikátů. Vygenerované certifikáty je možné nainstalovat na libovolného podporovaného klienta P2S.

    • Pokyny pro MakeCert: Použijte MakeCert, pokud nemáte přístup k počítači s Windows 10 nebo novějším pro generování certifikátů. I když je MakeCert zastaralý, můžete ho přesto použít k vygenerování certifikátů. Vygenerované certifikáty můžete nainstalovat na libovolného podporovaného klienta P2S.

    • Linux: Viz pokyny pro strongSwan nebo OpenSSL .

Přidání fondu adres

Stránka konfigurace typu Point-to-Site obsahuje informace o konfiguraci potřebné pro síť VPN typu point-to-site. Po nakonfigurování všech nastavení P2S a aktualizace brány se stránka konfigurace point-to-site použije k zobrazení nebo změně nastavení sítě VPN typu point-to-site.

  1. Přejděte na bránu, kterou jste vytvořili v předchozí části.
  2. V levém podokně vyberte konfiguraci typu Point-to-Site.
  3. Klikněte na tlačítko Nakonfigurovat, aby se otevřela stránka s konfigurací.

Fond adres klienta je rozsah privátních IP adres, který zadáte. Klienti, kteří se připojují přes vpn typu point-to-site, dynamicky přijímají IP adresu z tohoto rozsahu. Použijte rozsah privátních IP adres, který se nepřekrývá s místním umístěním, ze kterého se připojujete, nebo virtuální síť, ke které se chcete připojit. Pokud nakonfigurujete více protokolů a protokol SSTP je jedním z protokolů, nakonfigurovaný fond adres se rovnoměrně rozdělí mezi nakonfigurované protokoly.

Snímek obrazovky se stránkou konfigurace point-to-site – fond adres

  1. Na stránce konfigurace Point-to-Site přidejte do pole Fond adres rozsah privátních IP adres, který chcete použít. Klienti VPN dynamicky obdrží IP adresu z rozsahu, který zadáte. Minimální maska podsítě je 29 bitů pro aktivní/pasivní a 28bitovou pro konfiguraci aktivní/aktivní.

  2. Dále nakonfigurujte typ tunelu a ověřování.

Zadání typu tunelu a ověřování

Poznámka:

Pokud na stránce konfigurace point-to-site nevidíte typ tunelu nebo typ ověřování, brána používá skladovou položku Basic. Skladová položka Basic nepodporuje ověřování IKEv2 ani RADIUS. Pokud chcete tato nastavení použít, musíte bránu odstranit a znovu vytvořit pomocí jiné skladové položky brány.

V této části zadáte typ tunelu a typ ověřování. Tato nastavení se můžou stát složitá v závislosti na typu tunelu, který požadujete, a klientského softwaru VPN, který se použije k vytvoření připojení z operačního systému uživatele. Kroky v tomto článku vás provedou základními nastaveními a volbami konfigurace.

V rozevíracím seznamu můžete vybrat možnosti, které obsahují více typů tunelů– například IKEv2 a OpenVPN(SSL) nebo IKEv2 a SSTP (SSL), ale podporují se pouze určité kombinace typů tunelů a typů ověřování. Například ověřování Microsoft Entra lze použít pouze při výběru OpenVPN (SSL) z rozevíracího seznamu typu tunelu, nikoli IKEv2 a OpenVPN(SSL).

Kromě toho typ tunelu a typ ověřování odpovídají klientskému softwaru VPN, který se dá použít pro připojení k Azure. Například jedna klientská softwarová aplikace VPN se může připojit jenom přes protokol IKEv2, zatímco jiná se může připojit jenom přes OpenVPN. A některý klientský software, zatímco podporuje určitý typ tunelu, nemusí podporovat typ ověřování, který zvolíte.

Jak můžete zjistit, plánování typu tunelu a typu ověřování je důležité, když máte různé klienty VPN, kteří se připojují z různých operačních systémů. Při výběru typu tunelu v kombinaci s ověřováním certifikátů Azure zvažte následující kritéria. Jiné typy ověřování mají různé aspekty.

  • Windows:

    • Počítače s Windows, které se připojují přes nativního klienta VPN, které už jsou v operačním systému nainstalované, nejprve zkusí protokol IKEv2 a pokud se k němu nepřipojí, přejdou zpět na protokol SSTP (pokud jste v rozevíracím seznamu typu tunelu IKEv2 i SSTP vybrali).
    • Pokud vyberete typ tunelu OpenVPN, můžete se připojit pomocí klienta OpenVPN nebo Klient Azure VPN.
    • Klient Azure VPN může podporovat volitelná nastavení konfigurace, jako jsou vlastní trasy a vynucené tunelování.
  • macOS a iOS:

    • Nativní klient VPN pro iOS a macOS může pro připojení k Azure použít pouze typ tunelu IKEv2.
    • Klient Azure VPN se v tuto chvíli nepodporuje pro ověřování certifikátů, i když vyberete typ tunelu OpenVPN.
    • Pokud chcete použít typ tunelu OpenVPN s ověřováním certifikátů, můžete použít klienta OpenVPN.
    • V systému macOS můžete použít Klient Azure VPN s typem tunelu OpenVPN a ověřováním Pomocí id Microsoft Entra (ne ověřování certifikátu).
  • Linux:

    • Klient Azure VPN pro Linux podporuje typ tunelu OpenVPN.
    • Klient strongSwan v Androidu a Linuxu může pro připojení použít pouze typ tunelu IKEv2.

Typ tunelového propojení

Na stránce konfigurace typu Point-to-Site vyberte typ tunelu. V tomto cvičení v rozevíracím seznamu vyberte IKEv2 a OpenVPN(SSL).

Snímek obrazovky se stránkou konfigurace typu point-to-site – typ tunelu

Authentication type

V tomto cvičení vyberte certifikát Azure pro typ ověřování. Pokud vás zajímají další typy ověřování, přečtěte si články o MICROSOFT Entra ID a RADIUS.

Snímek obrazovky se stránkou konfigurace typu Point-to-Site – typ ověřování

Nahrání informací o veřejném klíči kořenového certifikátu

V této části nahrajete data veřejného kořenového certifikátu do Azure. Jakmile jsou data veřejného certifikátu nahraná, Azure ho může použít k ověřování klientů s nainstalovaným klientským certifikátem vygenerovaným z důvěryhodného kořenového certifikátu.

  1. Ujistěte se, že jste kořenový certifikát exportovali jako X.509 s kódováním Base-64 (. SOUBOR CER) v předchozích krocích. Je nutné certifikát exportovat v tomto formátu, abyste ho mohli otevřít v textovém editoru. Privátní klíč nemusíte exportovat.

  2. Otevřete certifikát v textovém editoru, například v Poznámkovém bloku. Při kopírování dat certifikátu se ujistěte, že kopírujete text jako jeden souvislý řádek bez konců řádků nebo odřádkování. Možná budete muset změnit zobrazení v textovém editoru na Zobrazit symbol nebo zobrazit všechny znaky, abyste viděli návraty na začátek řádku a spojnicové kanály. Zkopírujte pouze tuto část jako jeden souvislý řádek:

    Snímek obrazovky zobrazující informace o kořenovém certifikátu v Poznámkovém bloku

  3. Přejděte na bránu virtuální sítě –> stránka konfigurace point-to-site v části Kořenový certifikát . Tato část se zobrazí jenom v případě, že jste jako typ ověřování vybrali certifikát Azure.

  4. V části Kořenový certifikát můžete přidat až 20 důvěryhodných kořenových certifikátů.

    • Vložte data certifikátu do datového pole Veřejný certifikát.
    • Pojmenujte certifikát.

    Snímek obrazovky s datovým polem certifikátu

  5. Pro toto cvičení nejsou potřeba další trasy. Další informace o funkci vlastního směrování naleznete v tématu Inzerování vlastních tras.

  6. Výběrem možnosti Uložit v horní části stránky uložte všechna nastavení konfigurace.

    Snímek obrazovky s konfigurací P2S s vybranou možností Uložit

Generování konfiguračních souborů profilu klienta VPN

Všechna potřebná nastavení konfigurace pro klienty VPN jsou obsažena v konfiguračním souboru ZIP profilu klienta VPN. Konfigurační soubory profilu klienta VPN jsou specifické pro konfiguraci brány VPN typu P2S pro virtuální síť. Pokud se po vygenerování souborů, například změn typu protokolu VPN nebo typu ověřování, změníte konfiguraci P2S VPN, musíte vygenerovat nové konfigurační soubory profilu klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit. Další informace o připojeních P2S najdete v tématu Informace o síti VPN typu point-to-site.

Konfigurační soubory profilu klienta můžete vygenerovat pomocí PowerShellu nebo pomocí webu Azure Portal. Následující příklady ukazují obě metody. Obě metody vrátí stejný soubor ZIP.

portál Azure

  1. Na webu Azure Portal přejděte do brány virtuální sítě pro virtuální síť, ke které se chcete připojit.

  2. Na stránce brány virtuální sítě vyberte konfiguraci typu Point-to-Site a otevřete stránku konfigurace typu Point-to-Site.

  3. V horní části stránky konfigurace point-to-site vyberte Stáhnout klienta VPN. Tím se nestahuje klientský software VPN, vygeneruje konfigurační balíček použitý ke konfiguraci klientů VPN. Generování konfiguračního balíčku klienta trvá několik minut. Během této doby se nemusí zobrazovat žádné indikace, dokud se paket nevygeneruje.

    Snímek obrazovky se stránkou konfigurace point-to-site

  4. Po vygenerování konfiguračního balíčku prohlížeč indikuje, že je k dispozici konfigurační soubor ZIP klienta. Jmenuje se stejný název jako brána.

  5. Rozbalte soubor a zobrazte složky. K konfiguraci klienta VPN použijete některé nebo všechny tyto soubory. Vygenerované soubory odpovídají nastavení typu ověřování a tunelu, které jste nakonfigurovali na serveru P2S.

PowerShell

Při generování konfiguračních souborů klienta VPN je hodnota -AuthenticationMethod 'EapTls'. Pomocí následujícího příkazu vygenerujte konfigurační soubory klienta VPN:

$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

Zkopírujte adresu URL do prohlížeče a stáhněte si soubor ZIP.

Konfigurace klientů VPN a připojení k Azure

Postup konfigurace klientů VPN a připojení k Azure najdete v následujících článcích:

Ověřování Typ tunelového propojení Operační systém klienta Klient VPN
Certifikát
IKEv2, SSTP Windows Nativní klient VPN
IKEv2 macOS Nativní klient VPN
IKEv2 Linux strongSwan
OpenVPN Windows Klient Azure VPN
Klient OpenVPN
OpenVPN macOS Klient OpenVPN
OpenVPN iOS Klient OpenVPN
OpenVPN Linux Klient Azure VPN
Klient OpenVPN
Microsoft Entra ID
OpenVPN Windows Klient Azure VPN
OpenVPN macOS Klient Azure VPN
OpenVPN Linux Klient Azure VPN

Ověření stavu připojení

Tyto pokyny platí pro klienty se systémem Windows.

  1. Chcete-li ověřit, zda je připojení VPN aktivní, v příkazovém řádku se zvýšenými oprávněními spusťte příkaz ipconfig/all.

  2. Zkontrolujte výsledky. Všimněte si, že IP adresa, kterou jste obdrželi, je jednou z adres v rámci fondu adres klienta VPN typu point-to-site, který jste zadali v konfiguraci. Výsledky jsou podobné tomuto příkladu:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Připojení k virtuálnímu počítači

Tyto pokyny platí pro klienty se systémem Windows.

K virtuálnímu počítači, který je nasazený ve vaší virtuální síti, se můžete připojit vytvořením připojení ke vzdálené ploše k virtuálnímu počítači. Nejlepším způsobem, jak na začátku ověřit, že se k virtuálnímu počítači můžete připojit, je použít k připojení privátní IP adresu místo názvu počítače. Tímto způsobem testujete, jestli se můžete připojit, ne jestli je správně nakonfigurovaný překlad ip adres.

  1. Vyhledejte privátní IP adresu. Privátní IP adresu virtuálního počítače najdete tak, že se podíváte na vlastnosti virtuálního počítače na webu Azure Portal nebo pomocí PowerShellu.

    • Azure Portal: Vyhledejte virtuální počítač na webu Azure Portal. Zobrazte vlastnosti virtuálního počítače. Ve výpisu uvidíte privátní IP adresu.

    • PowerShell: Pomocí příkladu můžete zobrazit seznam virtuálních počítačů a privátních IP adres z vašich skupin prostředků. Tento příklad nemusíte před použitím upravovat.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
      
      foreach ($Nic in $Nics) {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Ověřte, že jste připojení k virtuální síti.

  3. Otevřete připojení ke vzdálené ploše zadáním RDP nebo Připojení ke vzdálené ploše do vyhledávacího pole na hlavním panelu. Pak vyberte Připojení ke vzdálené ploše. Připojení ke vzdálené ploše můžete otevřít také pomocí příkazu v PowerShellumstsc.

  4. V připojení ke vzdálené ploše zadejte privátní IP adresu virtuálního počítače. Výběrem možnosti Zobrazit možnosti můžete upravit další nastavení a pak se připojit.

Pokud máte potíže s připojením k virtuálnímu počítači přes připojení VPN, zkontrolujte následující body:

  • Ověřte, že je úspěšně navázáno připojení VPN.
  • Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.
  • Pokud se k virtuálnímu počítači můžete připojit pomocí privátní IP adresy, ale ne názvu počítače, ověřte, že jste správně nakonfigurovali DNS. Další informace o tom, jak funguje překlad názvů pro virtuální počítače, najdete v tématu Překlad názvů pro virtuální počítače.

Další informace o připojení ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.

  • Ověřte, že se po zadání IP adres serveru DNS pro virtuální síť vygeneroval balíček pro konfiguraci klienta VPN. Pokud jste aktualizovali IP adresy serveru DNS, vygenerujte a nainstalujte nový balíček pro konfiguraci klienta VPN.

  • Pomocí příkazu ipconfig zkontrolujte adresu IPv4 přiřazenou k adaptéru Ethernet v počítači, ze kterého se připojujete. Pokud je IP adresa v rozsahu adres virtuální sítě, ke které se připojujete, nebo v rozsahu adres vašeho fondu VPNClientAddressPool, označuje se to jako překrývající se adresní prostor. Když se adresní prostor tímto způsobem překrývá, síťový provoz nemá přístup do Azure a zůstane v místní síti.

Přidání a odebrání důvěryhodných kořenových certifikátů

Důvěryhodný kořenový certifikát můžete do Azure přidat nebo ho z Azure odebrat. Když odeberete kořenový certifikát, klienti, kteří mají certifikát vygenerovaný z daného kořenového adresáře, nebudou moct provést ověření, a proto se nebudou moct připojit. Pokud chcete, aby se klient mohl i nadále ověřovat a připojovat, je nutné nainstalovat nový klientský certifikát vygenerovaný z kořenového certifikátu, který Azure považuje za důvěryhodný (je do Azure nahraný).

Do Azure můžete přidat až 20 souborů .cer s důvěryhodnými kořenovými certifikáty. Pokyny najdete v části Nahrání důvěryhodného kořenového certifikátu.

Odebrání důvěryhodného kořenového certifikátu:

  1. Přejděte na stránku konfigurace point-to-site pro bránu virtuální sítě.
  2. V části stránky Kořenový certifikát vyhledejte certifikát, který chcete odebrat.
  3. Vyberte tři tečky vedle certifikátu a pak vyberte Odebrat.

Odvolání klientského certifikátu

Certifikáty klientů lze odvolat. Seznam odvolaných certifikátů umožňuje selektivně odepřít připojení P2S na základě jednotlivých klientských certifikátů. To se liší od odebrání důvěryhodného kořenového certifikátu. Pokud odeberete z Azure důvěryhodný kořenový certifikát v souboru .cer, dojde k odvolání přístupu pro všechny klientské certifikáty, které byly tímto odvolaným kořenovým certifikátem vygenerovány nebo podepsány. Když odvoláte klientský certifikát místo kořenového certifikátu, umožní ostatním certifikátům vygenerovaným z kořenového certifikátu pokračovat v ověřování.

Běžnou praxí je použití kořenového certifikátu pro řízení přístupu na úrovni týmu nebo organizace, přičemž odvolání klientských certifikátů slouží pro detailní kontrolu přístupu jednotlivých uživatelů.

Klientský certifikát můžete odvolat tím, že přidáte jeho kryptografický otisk do seznamu odvolaných certifikátů.

  1. Načtěte kryptografický otisk klientského certifikátu. Další informace najdete v tématu Postup načtení kryptografického otisku certifikátu.
  2. Zkopírujte informace do textového editoru a odeberte všechny mezery, aby se jedná o souvislý řetězec.
  3. Přejděte na stránku Konfigurace Point-to-Site brány virtuální sítě. To je stejná stránka, kterou jste použili k nahrání důvěryhodného kořenového certifikátu.
  4. V části Odvolané certifikáty zadejte popisný název certifikátu (nemusí to být CN certifikátu).
  5. Zkopírujte řetězec kryptografického otisku a vložte jej do pole Kryptografický otisk.
  6. Kryptografický otisk se ověří a automaticky přidá do seznamu odvolaných certifikátů. Na obrazovce se zobrazí zpráva informující o probíhající aktualizaci seznamu.
  7. Po dokončení aktualizace už nebude možné certifikát použít k připojení. Klientům, kteří se pokusí připojit pomocí tohoto certifikátu, se zobrazí zpráva s informací o neplatnosti certifikátu.

Nejčastější dotazy týkající se připojení typu Point-to-Site

Nejčastější dotazy najdete v nejčastějších dotazech.

Další kroky

Po dokončení připojení můžete do virtuálních sítí přidat virtuální počítače. Další informace najdete v tématu Virtuální počítače. Bližší informace o sítích a virtuálních počítačích najdete v tématu s přehledem sítě virtuálních počítačů s Linuxem v Azure.

Informace o odstraňování potíží s P2S najdete v článku Poradce při potížích s připojeními Azure typu point-to-site.