Konfigurieren von Benutzer-VPN-P2S-Clients – Zertifikatauthentifizierung – macOS und iOS

  • Artikel

Dieser Artikel hilft Ihnen, eine Verbindung mit Azure Virtual WAN von einem macOS- oder iOS-Betriebssystem über Benutzer-VPN-P2S für Konfigurationen herzustellen, die die Zertifikatauthentifizierung verwenden. Um eine Verbindung von einem iOS- oder macOS-Betriebssystem über einen OpenVPN-Tunnel herzustellen, verwenden Sie einen OpenVPN-Client. Um von einem macOS-Betriebssystem aus über einen IKEv2-Tunnel eine Verbindung herzustellen, verwenden Sie den VPN-Client, der nativ auf Ihrem Mac installiert ist.

Voraussetzungen

  • Vergewissern Sie sich, dass Sie die notwendigen Konfigurationsschritte im Tutorial: Erstellen einer P2S-Benutzer-VPN-Verbindung per Azure Virtual WAN durchgeführt haben.

  • VPN-Clientkonfigurationsdateien generieren: Die VPN-Clientkonfigurationsdateien, die Sie generieren, sind spezifisch für das Benutzer-VPN-Profil für Virtual WAN, das Sie herunterladen. Virtual WAN verfügt über zwei verschiedene Arten von Konfigurationsprofilen: WAN-Ebene (global) und Hubebene. Wenn nach dem Generieren der Dateien Änderungen an der P2S-VPN-Konfiguration vorgenommen werden oder Sie zu einem anderen Profiltyp wechseln, müssen Sie neue VPN-Clientkonfigurationsdateien generieren und die neue Konfiguration auf alle VPN-Clients anwenden, die Sie verbinden möchten. Weitere Informationen finden Sie unter Generieren der Benutzer-VPN-Clientkonfigurationsdateien.

  • Zertifikate abrufen: Für die folgenden Abschnitte sind Zertifikate erforderlich. Vergewissern Sie sich, dass Sie sowohl über Informationen zum Clientzertifikat als auch zum Stammserverzertifikat verfügen. Weitere Informationen finden Sie unter Generieren und Exportieren von Zertifikaten.

IKEv2 – nativer Client – Schritte für macOS

Nachdem Sie das Konfigurationspaket für den VPN-Client generiert und heruntergeladen haben, entpacken Sie es, um die Ordner anzuzeigen. Wenn Sie native macOS-Clients konfigurieren, verwenden Sie die Dateien im Ordner Generic. Der Ordner „Generic“ wird bereitgestellt, wenn IKEv2 auf dem Gateway konfiguriert wurde. Alle Informationen, die Sie zum Konfigurieren des nativen VPN-Clients benötigen, finden Sie im Ordner Generic. Wenn Sie den Ordner „Generic“ nicht sehen, vergewissern Sie sich, dass IKEv2 einer der Tunneltypen ist, und laden Sie dann das Konfigurationspaket erneut herunter.

Der Ordner Generic enthält die folgenden Dateien.

  • VpnSettings.xml. Diese Datei enthält wichtige Einstellungen wie Serveradresse und Tunneltyp.
  • VpnServerRoot.cer: Diese Datei enthält das Stammzertifikat, das zum Überprüfen des Azure-VPN-Gateways während der P2S-Verbindungseinrichtung erforderlich ist.

Führen Sie die folgenden Schritte aus, um den nativen VPN-Client auf dem Mac für die Zertifkatauthentifizierung zu konfigurieren. Diese Schritte müssen auf jedem Mac ausgeführt werden, für den Sie eine Verbindung mit Azure herstellen möchten.

Installieren von Zertifikaten

Stammzertifikat

  1. Kopieren Sie die Stammzertifikatdatei VpnServerRoot.cer auf Ihren Mac. Doppelklicken Sie auf das Zertifikat. Je nach Betriebssystem wird das Zertifikat entweder automatisch installiert, oder die Seite Zertifikate hinzufügen wird angezeigt.
  2. Wenn Sie die Seite Zertifikate hinzufügen sehen, klicken Sie für Keychain: auf die Pfeile und wählen im Dropdownmenü Anmelden aus.
  3. Klicken Sie auf Hinzufügen, um die Datei zu importieren.

Clientzertifikat

Ein Clientzertifikat wird für die Authentifizierung verwendet und ist erforderlich. Normalerweise müssen Sie nur auf das Clientzertifikat klicken, um es zu installieren. Weitere Informationen zum Installieren eines Clientzertifikats finden Sie unter Installieren eines Clientzertifikats.

Überprüfen der Zertifikatinstallation

Stellen Sie sicher, dass sowohl das Client- als auch das Stammzertifikat installiert sind.

  1. Öffnen Sie Keychainzugriff.
  2. Wechseln Sie zur Registerkarte Zertifikate.
  3. Stellen Sie sicher, dass sowohl das Client- als auch das Stammzertifikat installiert sind.

Konfigurieren des VPN-Clientprofils

  1. Navigieren Sie zu Systemeinstellungen -> Netzwerk. Klicken Sie auf der Seite „Netzwerk“ auf +, um ein neues VPN-Clientverbindungsprofil für eine P2S-Verbindung mit dem virtuellen Azure-Netzwerk zu erstellen.

    Screenshot: Fenster „Netzwerk“, in dem auf das Pluszeichen geklickt wird.

  2. Klicken Sie auf der Seite Schnittstelle auswählen auf die Pfeile neben Schnittstelle:. Klicken Sie in der Dropdownliste auf VPN.

    Screenshot: Fenster „Netzwerk“ mit der Option zum Auswählen einer Schnittstelle und ausgewählter Option „VPN“

  3. Klicken Sie für VPN-Typ in der Dropdownliste auf IKEv2. Geben Sie im Feld Dienstname einen Anzeigenamen für das Profil an, und klicken Sie dann auf Erstellen.

    Screenshot: Fenster „Netzwerk“ mit der Option zum Auswählen einer Schnittstelle und eines VPN-Typs und Eingeben eines Dienstnamens

  4. Wechseln Sie zum von Ihnen heruntergeladenen VPN-Clientprofil. Öffnen Sie im Ordner Generic die Datei VpnSettings.xml in einem Text-Editor. Im Beispiel sehen Sie, dass sich dieses VPN-Clientprofil mit einem Benutzer-VPN-Profil auf WAN-Ebene verbindet und dass die Werte für VpnTypes entsprechend IKEv2 und OpenVPN sind. Obwohl zwei VPN-Typen aufgeführt sind, stellt dieser VPN-Client eine Verbindung über IKEv2 her. Kopieren Sie den Wert des Tags VpnServer.

    Screenshot: Geöffnete Datei „VpnSettings.xml“ mit hervorgehobenem Tag „VpnServer“

  5. Fügen Sie den VpnServer-Tagwert in die Felder Serveradresse und Remote-ID des Profils ein. Lassen Sie Lokale ID leer. Klicken Sie dann auf Authentifizierungseinstellungen....

    Screenshot mit den in die Felder eingefügten Serverinformationen.

Konfigurieren der Authentifizierungseinstellungen

Big Sur und höher

  1. Klicken Sie auf der Seite Authentifizierungseinstellungen für das Feld „Authentifizierungseinstellungen“ auf die Pfeile, und wählen Sie Zertifikat aus.

    Screenshot: „Authentifizierungseinstellungen“ mit ausgewählter Option „Zertifikat“

  2. Klicken Sie auf Select (Auswählen), um die Seite Choose An Identity (Identität auswählen) zu öffnen.

    Screenshot mit Klicken auf „Aufwählen“.

  3. Die Seite Choose An Identity (Identität auswählen) zeigt eine Liste mit Zertifikaten zur Auswahl an. Wenn Sie nicht sicher sind, welches Zertifikat Sie verwenden sollen, können Sie auf Zertifikat anzeigen klicken, um weitere Informationen zu den einzelnen Zertifikaten anzuzeigen. Wählen Sie das richtige Zertifikat aus, und klicken Sie auf Weiter.

    Screenshot mit den Zertifikateigenschaften.

  4. Überprüfen Sie auf der Seite Authentifizierungseinstellungen, ob das richtige Zertifikat angezeigt wird, und klicken Sie dann auf OK.

    Screenshot des Dialogfelds „Choose An Identity“ (Identität auswählen), in dem Sie das richtige Zertifikat auswählen können

Catalina

Wenn Sie Catalina verwenden, befolgen Sie für die Authentifizierungseinstellungen diese Schritte:

  1. Wählen Sie für Authentifizierungseinstellungen die Option Ohne aus.

  2. Wählen Sie Zertifikat aus, klicken Sie auf Auswählen, und wählen Sie das Clientzertifikat aus, das Sie zuvor installiert haben. Klicken Sie dann auf OK.

Angeben des Zertifikats

  1. Geben Sie im Feld Lokale ID den Namen des Zertifikats ein. Dieser lautet in diesem Beispiel P2SChildCertMac.

    Screenshot: Wert der lokalen ID

  2. Wählen Sie Übernehmen aus, um alle Änderungen zu speichern.

Verbinden

  1. Klicken Sie dann auf Verbinden, um die P2S-Verbindung mit dem virtuellen Azure-Netzwerk zu starten. Sie müssen möglicherweise Ihr Keychainkennwort für die Anmeldung eingeben.

    Screenshot: Schaltfläche „Verbinden“

  2. Sobald die Verbindung hergestellt ist, wird der Status Verbunden angezeigt, und Sie können die IP-Adresse anzeigen, die aus dem Adresspool des VPN-Clients gepullt wurde.

    Screenshot: Verbunden

OpenVPN-Client – Schritte für macOS

Im folgende Beispiel wird TunnelBlick verwendet.

Wichtig

Nur MacOS 10.13 und höher wird mit dem OpenVPN-Protokoll unterstützt.

Hinweis

OpenVPN-Client Version 2.6 wird noch nicht unterstützt.

  1. Laden Sie einen OpenVPN-Client wie z. B. Tunnelblick herunter, und installieren Sie ihn.

  2. Falls noch nicht geschehen, laden Sie das Paket mit dem VPN-Clientprofil aus dem Azure-Portal herunter.

  3. Entzippen Sie das Profil. Öffnen Sie in einem Text-Editor im Ordner „OpenVPN“ die Konfigurationsdatei „vpnconfig.ovpn“.

  4. Füllen Sie den Abschnitt „P2S client certificate“ mit dem öffentlichen Schlüssel für das P2S-Clientzertifikat in Base64 aus. In einem Zertifikat im PEM-Format können Sie die CER-Datei öffnen und den Base64-Schlüssel zwischen den Zertifikatskopfzeilen herauskopieren.

  5. Füllen Sie den Abschnitt „Private key“ mit dem privaten Schlüssel für das P2S-Clientzertifikat in Base64 aus. Informationen zum Extrahieren eines privaten Schlüssels finden Sie auf der OpenVPN-Website unter Exportieren des privaten Schlüssels.

  6. Ändern Sie keine anderen Felder. Verwenden Sie die ausgefüllte Konfiguration in der Clienteingabe, um eine Verbindung mit dem VPN herzustellen.

  7. Doppelklicken Sie auf die Profildatei, um das Profil in Tunnelblick zu erstellen.

  8. Starten Sie Tunnelblick im Anwendungsordner.

  9. Klicken Sie im Systembereich der Taskleiste auf das Symbol von Tunnelblick, und wählen Sie „Verbinden“ aus.

OpenVPN-Client – Schritte für iOS

Im folgenden Beispiel wird OpenVPN Connect aus dem App Store verwendet.

Wichtig

Nur iOS 11.0 und höher wird mit dem OpenVPN-Protokoll unterstützt.

Hinweis

OpenVPN-Client Version 2.6 wird noch nicht unterstützt.

  1. Installieren Sie den OpenVPN-Client (Version 2.4 oder höher) aus dem App Store. Version 2.6 wird noch nicht unterstützt.

  2. Falls noch nicht geschehen, laden Sie das Paket mit dem VPN-Clientprofil aus dem Azure-Portal herunter.

  3. Entzippen Sie das Profil. Öffnen Sie in einem Text-Editor im Ordner „OpenVPN“ die Konfigurationsdatei „vpnconfig.ovpn“.

  4. Füllen Sie den Abschnitt „P2S client certificate“ mit dem öffentlichen Schlüssel für das P2S-Clientzertifikat in Base64 aus. In einem Zertifikat im PEM-Format können Sie die CER-Datei öffnen und den Base64-Schlüssel zwischen den Zertifikatskopfzeilen herauskopieren.

  5. Füllen Sie den Abschnitt „Private key“ mit dem privaten Schlüssel für das P2S-Clientzertifikat in Base64 aus. Informationen zum Extrahieren eines privaten Schlüssels finden Sie auf der OpenVPN-Website unter Exportieren des privaten Schlüssels.

  6. Ändern Sie keine anderen Felder.

  7. Senden Sie Profildatei (.ovpn) an Ihr in der Mail-App auf Ihrem iPhone konfiguriertes E-Mail-Konto.

  8. Öffnen Sie die E-Mail in der Mail-App auf dem iPhone, und tippen Sie auf die angefügte Datei.

    Screenshot: Nachricht bereit zum Senden.

  9. Tippen Sie auf More (Mehr) wenn die Option Copy to OpenVPN (In OpenVPN kopieren) nicht angezeigt wird.

    Screenshot: Tippen auf „More“ (Mehr).

  10. Tippen Sie auf Copy to OpenVPN (In OpenVPN kopieren).

    Screenshot: „Copy to OpenVPN“ (In OpenVPN kopieren).

  11. Tippen Sie auf ADD (Hinzufügen) auf der Seite Import Profile (Profil importieren).

    Screenshot: „Import Profile“ (Profil importieren).

  12. Tippen Sie auf ADD (Hinzufügen) auf der Seite Importes Profile (Importiertes Profil).

    Screenshot: „Imported Profile“ (Importiertes Profil).

  13. Starten Sie die OpenVPN-App, und schieben Sie den Schalter auf der Seite Profile nach rechts, um eine Verbindung herzustellen.

    Screenshot: Schieben des Schalters, um eine Verbindung herzustellen.

Nächste Schritte

Tutorial: Erstellen einer P2S-Benutzer-VPN-Verbindung per Azure Virtual WAN.