Freigeben über


Herunterladen von globalen und Hub-VPN-Profilen für Benutzer-VPN-Clients

Azure Virtual WAN bietet zwei Arten von Verbindungsprofilen für Benutzer-VPN-Clients: globale Profile und Hubprofile. Welche Art von Profil Sie auswählen, hängt davon ab, ob der VPN-Client eine Verbindung mit einem geografisch mit Lastenausgleich versehenen Profil auf WAN-Ebene (globales Profil) herstellen soll oder ob Sie den VPN-Client auf die Verbindung mit einem bestimmten Hub (Hubprofil) beschränken möchten. In diesem Artikel erfahren Sie, wie Sie VPN-Clientkonfigurationsdateien für beide Arten von Profilen generieren können.

Globale Profile

Das globale Profil, das einer Benutzer-VPN-Konfiguration zugeordnet ist, verweist auf einen globalen Traffic Manager. Der globale Traffic Manager umfasst alle aktiven Benutzer-VPN-Hubs, die diese Benutzer-VPN-Konfiguration verwenden. Sie können jedoch bei Bedarf Hubs aus dem globalen Traffic Manager ausschließen. Ein Benutzer, der mit dem globalen Profil verbunden ist, wird an den Hub weitergeleitet, der dem geografischen Standort des Benutzers am nächsten liegt. Dies ist besonders sinnvoll, wenn Sie Benutzer haben, die häufig zwischen mehreren Standorten pendeln.

Beispielsweise wird eine Benutzer-VPN-Konfiguration zwei verschiedenen Hubs für das gleiche virtuelle WAN zugeordnet, einem in „USA, Westen“ und einem in „Asien, Südosten“. Wenn ein Benutzer eine Verbindung mit dem globalen Profil herstellt, das der Benutzer-VPN-Konfiguration zugeordnet ist, stellt er basierend auf seinem Standort eine Verbindung mit dem nächstgelegenen Virtual WAN-Hub her.

Wichtig

Wenn eine für ein globales Profil verwendete Point-to-Site-VPN-Konfiguration für die Authentifizierung von Benutzern mithilfe des RADIUS-Protokolls konfiguriert ist, müssen Sie sicherstellen, dass „Remote/lokalen RADIUS-Server verwenden“ für alle Point-to-Site-VPN-Gateways mit dieser Konfiguration aktiviert ist. Stellen Sie außerdem sicher, dass Ihr RADIUS-Server so konfiguriert ist, dass Authentifizierungsanforderungen von den RADIUS-Proxy-IP-Adressen aller Point-to-Site-VPN-Gateways mit dieser VPN-Konfiguration akzeptiert werden.

Herunterladen eines globalen VPN-Profils

Verwenden Sie die folgenden Schritte, um VPN-Clientprofil-Konfigurationsdateien zu generieren und herunterzuladen:

  1. Wechseln Sie zum virtuellen WAN.

  2. Wählen Sie im linken Bereich Benutzer-VPN-Konfigurationen aus.

  3. Auf der Seite Benutzer-VPN-Konfigurationen werden alle Benutzer-VPN-Konfigurationen angezeigt, die Sie für Ihr virtuelles WAN erstellt haben. In der Spalte Hub werden die Hubs angezeigt, die jeder Benutzer-VPN-Konfiguration zugeordnet sind. Klicken Sie auf >,um die Hubnamen zu erweitern und anzuzeigen.

    Screenshot that shows hubs list expanded.

  4. Im folgenden Beispiel werden mehrere Zeilen mit Hubs angezeigt, die dieselbe Benutzer-VPN-Konfiguration verwenden. Wenn Hubs dieselbe Benutzer-VPN-Konfiguration verwenden, können Sie in einem globalen Profil auf eine beliebige Hubzeile klicken, die über die gewünschte Benutzer-VPN-Konfiguration verfügt. Die Profildateien, die Sie aus dieser Seite generieren, richten Sie sich nicht an einen bestimmten Hub aus, sondern an die Benutzer-VPN-Konfiguration. Wenn Sie Ihre VPN-Benutzer auf eine Verbindung mit nur einem Hub beschränken möchten (Sie möchten kein globales Profil verwenden), verwenden Sie stattdessen die für ein Hubprofil erforderlichen Schritte.

    Screenshot that shows selections for downloading a global profile.

    Im Beispiel haben wir die Zeile mit Hub2 ausgewählt, die Auswahl von Hub3 oder Hub1 würde jedoch die gleichen Profilkonfigurationsdateien generieren. Wenn wir jedoch die Zeile mit Hub6 ausgewählt hätten, würde sich die Profilkonfigurationsdateien unterscheiden, da Hub6 eine andere Benutzer-VPN-Konfiguration verwendet.

    Klicken Sie auf eine Zeile mit der Benutzer-VPN-Konfiguration, die Sie verwenden möchten. Dadurch wird die gesamte Zeile markiert. Klicken Sie dann auf VPN-Profil für Virtual WAN-Benutzer herunterladen.

  5. Wählen Sie auf der Seite VPN-Profil für Virtual WAN-Benutzer herunterladen die Option EAPTLS aus, und klicken Sie dann auf Profil generieren und herunterladen. Ein Profilpaket (ZIP-Datei) mit VPN-Clientkonfigurationseinstellungen wird generiert und auf Ihren Computer heruntergeladen. Der Inhalt des Pakets hängt von den für Ihre Konfiguration ausgewählten Hubs sowie den Authentifizierungs- und Tunneltypoptionen für die von Ihnen ausgewählte Konfiguration ab.

    Screenshot the authentication type and generate and download profile.

Ein- oder Ausschließen eines Hubs in einem globalen Profil

Standardmäßig ist jeder Hub, der dieselbe Benutzer-VPN-Konfiguration verwendet, im globalen VPN-Profil enthalten, das Sie generieren und herunterladen. Sie können einen Hub jedoch aus dem globalen VPN-Profil ausschließen. Wenn Sie so verfahren, wird der VPN-Client nicht über einen Lastausgleich mit dem Gateway des Hubs verbunden.

  1. Um zu überprüfen, ob ein Hub im globalen VPN-Profil enthalten ist, navigieren Sie zu Virtual WAN.

  2. Wählen Sie auf der Seite Übersicht die Option Hubs aus.

  3. Klicken Sie auf der Seite Hubs auf den Hub.

  4. Wählen Sie auf der Seite Virtueller Hub im linken Bereich Benutzer-VPN (Point-to-Site) aus.

  5. Überprüfen Sie auf der Seite Benutzer-VPN (Point-to-Site) den Anfügestatus des Gateways, um zu ermitteln, ob dieser Hub im globalen VPN-Profil enthalten ist. Wenn der Zustand Angefügt ist, ist der Hub enthalten. Wenn der Status getrennt ist, ist der Hub nicht enthalten.

    Screenshot that shows the attachment state of a gateway.

  6. Wenn Sie den Hub in das globale VPN-Profil einschließen oder aus ihm ausschließen (anfügen oder trennen) möchten, wählen Sie Einschließen/Ausschließen des Gateways aus dem globalen Profil aus.

  7. Wählen Sie auf der Seite Einschließen/ausschließen eine der folgenden Optionen aus.

    • Klicken Sie auf Ausschließen, wenn Sie das Gateway dieses Hubs aus dem globalen VPN-Profil des Virtual WAN-Benutzers entfernen möchten. Benutzer, die das Hubprofil verwenden, können weiterhin eine Verbindung mit dem Gateway dieses Hubs herstellen. Benutzer, die dieses globale Profil verwenden, können keine Verbindung mit dem Gateway dieses Hubs herstellen.

    • Wählen Sie Einschließen aus, wenn Sie das Gateway dieses Hubs in das globale VPN-Profil des Virtual WAN-Benutzers einschließen möchten. Benutzer, die dieses globale Profil verwenden, können eine Verbindung mit dem Gateway dieses Hubs herstellen.

Bewährte Methoden für globale Profile

Hinzufügen mehrerer Serverüberprüfungszertifikate

Dieser Abschnitt bezieht sich auf Verbindungen mit dem OpenVPN-Tunneltyp und der Azure VPN Client-Version 2.1963.44.0 oder höher.

Wenn Sie ein Hub-P2S-Gateway konfigurieren, weist Azure dem Gateway ein internes Zertifikat zu. Dieses unterscheidet sich von den Stammzertifikatinformationen, die Sie angeben, wenn Sie Zertifikatauthentifizierung als Authentifizierungsmethode verwenden möchten. Das interne Zertifikat, das dem Hub zugewiesen wird, wird für alle Authentifizierungstypen verwendet. Dieser Wert wird in den Profilkonfigurationsdateien verwendet, die Sie als servervalidation/cert/hash generieren. Der VPN-Client verwendet diesen Wert als Teil des Verbindungsvorgangs.

Wenn Sie mehrere Hubs in verschiedenen geografischen Regionen verwenden, kann jeder Hub ein anderes Serverüberprüfungszertifikat auf Azure-Ebene verwenden. Das globale Profil enthält den Hashwert des Serverüberprüfungszertifikats für alle Hubs. Das bedeutet, dass der Client weiterhin über den erforderlichen Hashwert des Serverüberprüfungszertifikats für die anderen Hubs verfügt, wenn das Zertifikat für diesen Hub aus irgendeinem Grund nicht ordnungsgemäß funktioniert.

Wichtig

Das Konfigurieren von Azure VPN Client mit dem Zertifikathashwert aller Hubs ist nur erforderlich, wenn die Hubs unterschiedliche Serverstammaussteller haben.

Als bewährte Methode empfiehlt es sich, Ihre VPN-Clientprofil-Konfigurationsdatei zu aktualisieren, um den Zertifikathashwert aller Hubs einzubinden, die an das globale Profil angefügt sind, und dann den Azure VPN Client mithilfe der aktualisierten Datei zu konfigurieren.

  1. Generieren Sie die Dateien des globalen Profils, und laden Sie sie herunter. Verwenden Sie einen Text-Editor, um die Datei azurevpnconfig.xml zu öffnen.

  2. Konfigurieren Sie anhand des folgenden XML-Beispiels Azure VPN Client mithilfe der globalen Profilkonfigurationsdatei, die den Hashwert des Serverüberprüfungszertifikats für jeden Hub enthält.

      </protocolconfig>
      <serverlist>
        <ServerEntry>
          <displayname
            i:nil="true" />
          <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
        </ServerEntry>
      </serverlist>
      <servervalidation>
        <cert>
          <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
          <issuer
            i:nil="true" />
        </cert>
        <cert>
          <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
          <issuer
            i:nil="true" />
        </cert>
        <cert>
          <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
          <issuer
            i:nil="true" />
        </cert>
    

Hubprofile

Verwenden Sie diesen Profiltyp, wenn VPN-Benutzer nur eine Verbindung mit einem einzelnen angegebenen Hub herstellen dürfen. Die Dateien, die Sie auf Hubebene generieren und herunterladen, enthalten andere Einstellungen als die Dateien, die Sie für das globale Profil auf WAN-Ebene generieren und herunterladen.

Herunterladen eines Hub-VPN-Profils

Verwenden Sie die folgenden Schritte, um VPN-Clientprofil-Konfigurationsdateien zu generieren und herunterzuladen:

  1. Wechseln Sie zum virtuellen Hub.

  2. Wählen Sie im linken Bereich Benutzer-VPN (Point-to-Site) aus.

  3. Wählen Sie VPN-Profil für Benutzer des virtuellen Hubs herunterladen aus.

    Screenshot that shows how to download a hub profile.

  4. Wählen Sie auf der Downloadseite EAPTLS und dann Profil generieren und herunterladen aus. Ein Profilpaket (ZIP-Datei) mit den Clientkonfigurationseinstellungen wird generiert und auf Ihren Computer heruntergeladen. Der Inhalt des Pakets hängt vom Hub und von den für Ihre Konfiguration ausgewählten Authentifizierungs- und Tunneltypoptionen ab.

Nächste Schritte

Weitere Informationen zu Benutzer-VPNs finden Sie unter Erstellen von Benutzer-VPN-Verbindungen (Point-to-Site).