Konfigurieren von erzwungenem Tunneln für Virtual WAN Point-to-Site-VPN

  • Artikel

Durch erzwungenes Tunneln können Sie den gesamten Datenverkehr (einschließlich internetgebundenen Datenverkehrs) von Remotebenutzern an Azure senden. In Virtual WAN bedeutet erzwungenes Tunneln für Point-to-Site-VPN-Remotebenutzer, dass die Standardroute 0.0.0.0/0 VPN-Remotebenutzern angekündigt wird.

Erstellen eines Virtual WAN-Hubs

Bei den Schritten in diesem Artikel wird davon ausgegangen, dass Sie bereits ein virtuelles WAN mit mindestens einem Hub bereitgestellt haben.

Führen Sie die Schritte in den folgenden Artikeln aus, um ein neues virtuelles WAN und einen neuen Hub zu erstellen:

Einrichten eines Point-to-Site-VPN

Die Schritte in diesem Artikel gehen außerdem davon aus, dass Sie bereits ein Point-to-Site-VPN-Gateway im Virtual WAN-Hub eingerichtet haben. Darüber hinaus wird davon ausgegangen, dass Sie Point-to-Site-VPN-Profile erstellt haben, um sie dem Gateway zuzuweisen.

Informationen zum Erstellen des Point-to-Site-VPN-Gateways und zugehöriger Profile finden Sie unter Erstellen eines Point-to-Site-VPN-Gateways.

Es gibt mehrere Möglichkeiten, erzwungenes Tunneln zu konfigurieren und die Standardroute (0.0.0.0/0) für Ihre VPN-Clients anzukündigen, die mit Virtual WAN verbunden sind.

  • Sie können eine statische 0.0.0.0/0-Route in der defaultRouteTable mit dem nächsten Hop Virtual Network-Verbindung angeben. Dadurch wird erzwungen, dass der gesamte internetgebundene Datenverkehr an ein virtuelles Netzwerkgerät gesendet wird, das in diesem virtuellen Spoke-Netzwerk bereitgestellt wird. Ausführlichere Anleitungen finden Sie im unter Route durch NVAs beschriebenen alternativen Workflow.
  • Sie können Azure Firewall Manager verwenden, um Virtual WAN so zu konfigurieren, dass der gesamte internetgebundene Datenverkehr über die Azure Firewall-Instanz gesendet wird, die im Virtual WAN-Hub bereitgestellt wird. Konfigurationsschritte sowie ein Tutorial finden Sie in der Azure Firewall Manager-Dokumentation Sichern virtueller Hubs. Alternativ kann dies auch über eine Internetdatenverkehrs-Routingrichtlinie konfiguriert werden. Weitere Informationen finden Sie unter Routingabsicht und Routingrichtlinien.
  • Sie können Firewall Manager verwenden, um Internetdatenverkehr über einen Sicherheitsanbieter eines Drittanbieters zu senden. Weitere Informationen zu dieser Funktion finden Sie unter Vertrauenswürdige Sicherheitsanbieter.
  • Sie können eine Ihrer Verbindungen (Site-to-Site-VPN, ExpressRoute-Verbindung) so konfigurieren, dass sie die Route 0.0.0/0/0 für Virtual WAN ankündigt.

Nachdem Sie eine der vier oben genannten Methoden konfiguriert haben, vergewissern Sie sich, dass das Flag EnableInternetSecurity für Ihr Point-to-Site-VPN-Gateway aktiviert ist. Dieses Flag muss auf TRUE festgelegt sein, damit Ihre Clients für erzwungenes Tunneln ordnungsgemäß konfiguriert werden.

Um das EnableInternetSecurity-Flag zu aktivieren, verwenden Sie den folgenden PowerShell-Befehl und ersetzen dabei die entsprechenden Werte für Ihre Umgebung.

Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag

Herunterladen des Point-to-Site-VPN-Profils

Informationen zum Herunterladen des Point-to-Site-VPN-Profils finden Sie unter globale und Hubprofile. Die Informationen in der ZIP-Datei, die aus dem Azure-Portal heruntergeladen wurde, sind wichtig, um Ihre Clients ordnungsgemäß zu konfigurieren.

Konfigurieren von erzwungenem Tunneln für Azure-VPN-Clients (OpenVPN)

Die Schritte zum Konfigurieren von erzwungenen Tunneln unterscheiden sich je nach Betriebssystem des Endbenutzergeräts.

Windows-Clients

Hinweis

Für Windows-Clients ist erzwungenes Tunneln mit dem Azure-VPN-Client nur mit Softwareversion 2:1900:39.0 oder höher verfügbar.

  1. Stellen Sie sicher, dass die Version Ihres Azure-VPN-Clients mit erzwungenem Tunneln kompatibel ist. Klicken Sie dazu unten im Azure-VPN-Client auf die drei Punkte, und klicken Sie dann auf „Hilfe“. Alternativ können Sie die Tastenkombination STRG+H verwenden, um zur Hilfe zu navigieren. Die Versionsnummer finden Sie am oberen Rand des Bildschirms. Stellen Sie sicher, dass Ihre Versionsnummer 2:1900:39.0 oder höher ist.

    Screenshot: Konfiguration der privaten N V A Routing-Richtlinien.

  2. Öffnen Sie die ZIP-Datei, die im vorherigen Abschnitt heruntergeladen wurde. Es sollte ein Ordner mit dem Titel AzureVPN angezeigt werden. Öffnen Sie den Ordner, und öffnen Sie azurevpnconfig.xml in Ihrem bevorzugten XML-Bearbeitungstool.

  3. In azureconfig.xml gibt es ein Feld namens version. Wenn die Zahl zwischen den Versionstags 1 beträgt, ändern Sie die Versionsnummer in 2.

    <version>2</version>

  4. Importieren Sie das Profil in den Azure-VPN-Client. Weitere Informationen zum Importieren eines Profils finden Sie unter Anweisungen zum Importieren eines Azure-VPN-Clients.

  5. Stellen Sie eine Verbindung mit der neu hinzugefügten Verbindung her. Sie erzwingen jetzt Tunneln des gesamten Datenverkehrs an Azure Virtual WAN.

macOS-Clients

Sobald ein macOS-Client die Standardroute von Azure erfährt, wird erzwungenes Tunneln automatisch auf dem Clientgerät konfiguriert. Es sind keine zusätzlichen Schritte erforderlich. Anweisungen zum Verwenden des macOS-Azure-VPN-Clients zum Herstellen einer Verbindung mit dem Virtual WAN Point-to-Site-VPN-Gateway finden Sie im macOS-Konfigurationshandbuch.

Konfigurieren von erzwungenem Tunneln für IKEv2-Clients

Für IKEv2-Clients können Sie die ausführbaren Profile, die aus dem Azure-Portal heruntergeladen wurden, nicht direkt verwenden. Um den Client ordnungsgemäß zu konfigurieren, müssen Sie ein PowerShell-Skript ausführen oder das VPN-Profil über Intune verteilen.

Basierend auf der auf Ihrem Point-to-Site-VPN-Gateway konfigurierten Authentifizierungsmethode verwenden Sie eine andere EAP-Konfigurationsdatei. EAP-Beispielkonfigurationsdateien werden unten bereitgestellt.

IKEv2 mit Benutzerzertifikatauthentifizierung

Um Benutzerzertifikate zum Authentifizieren von Remotebenutzern zu verwenden, verwenden Sie das PowerShell-Beispielskript unten. Um den Inhalt der VpnSettings- und EAP-XML-Dateien ordnungsgemäß in PowerShell zu importieren, navigieren Sie zum entsprechenden Verzeichnis, bevor Sie den PowerShell-Befehl Get-Content ausführen.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Im folgenden Beispiel wird eine EAP-XML-Datei für auf einem Benutzerzertifikat basierende Authentifizierung gezeigt. Ersetzen Sie das Feld IssuerHash durch den Fingerabdruck des Stammzertifikats, um sicherzustellen, dass Ihr Clientgerät das richtige Zertifikat auswählt, um es dem VPN-Server zur Authentifizierung vorzulegen.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>true</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                </ServerValidation>
                <DifferentUsername>false</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 mit Computerzertifikatauthentifizierung

Um Computerzertifikate zum Authentifizieren von Remotebenutzern zu verwenden, verwenden Sie das PowerShell-Beispielskript unten. Um den Inhalt der VpnSettings- und EAP-XML-Dateien ordnungsgemäß in PowerShell zu importieren, navigieren Sie zum entsprechenden Verzeichnis, bevor Sie den PowerShell-Befehl Get-Content ausführen.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate 

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

IKEv2 mit RADIUS-Serverauthentifizierung mit Benutzername und Kennwort (EAP-MSCHAPv2)

Verwenden Sie das folgende PowerShell-Beispielskript, um die auf Benutzernamen und Kennwort basierende RADIUS-Authentifizierung (EAP-MASCHAPv2) zur Authentifizierung von Remotebenutzern zu verwenden. Um den Inhalt der VpnSettings- und EAP-XML-Dateien ordnungsgemäß in PowerShell zu importieren, navigieren Sie zum entsprechenden Verzeichnis, bevor Sie den PowerShell-Befehl Get-Content ausführen.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Das folgende Beispiel zeigt eine EAP-XML-Datei.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>26</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
                <UseWinLogonCredentials>false</UseWinLogonCredentials>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 mit RADIUS-Serverauthentifizierung mit Benutzerzertifikaten (EAP-TLS)

Um zertifikatsbasierte RADIUS-Authentifizierung (EAP-TLS) für die Authentifizierung von Remotebenutzern zu verwenden, verwenden Sie das folgende PowerShell-Beispielskript. Beachten Sie, dass Sie zum Importieren des Inhalts der VpnSettings- und EAP-XML-Dateien in PowerShell in das entsprechende Verzeichnis navigieren müssen, bevor Sie den PowerShell-Befehl Get-Content ausführen.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Unten sehen Sie eine EAP-XML-Beispieldatei. Ändern Sie das Feld TrustedRootCA in den Fingerabdruck des Zertifikats Ihrer Zertifizierungsstelle und den IssuerHash in den Fingerabdruck des Stammzertifikats.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>false</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                    <TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
                </ServerValidation>
                <DifferentUsername>true</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> ROOT CERTIFCATE THUMBPRINT  </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

Nächste Schritte

Weitere Informationen zu Virtual WAN finden Sie unter Häufig gestellte Fragen.