Konfigurieren eines VPN-Clients für Point-to-Site: RADIUS – andere Methoden und Protokolle

  • Artikel

Zum Herstellen einer P2S-Verbindung (Point-to-Site) mit einem virtuellen Netzwerk müssen Sie das Clientgerät konfigurieren, über das die Verbindung hergestellt werden soll. Dieser Artikel unterstützt Sie beim Erstellen und Installieren der VPN-Clientkonfiguration für die RADIUS-Authentifizierung, die andere Methoden als Zertifikat- oder Kennwortauthentifizierung verwendet.

Wenn Sie die RADIUS-Authentifizierung verwenden, gibt es mehrere Authentifizierungsanleitungen: Zertifikatauthentifizierung, Kennwortauthentifizierung sowie andere Authentifizierungsmethoden und Protokolle. Die VPN-Clientkonfiguration ist je nach Authentifizierungstyp unterschiedlich. Um einen VPN-Client zu konfigurieren, verwenden Sie Clientkonfigurationsdateien, die die erforderlichen Einstellungen enthalten.

Hinweis

Ab dem 1. Juli 2018 wird die Unterstützung für TLS 1.0 und 1.1 vom Azure-VPN-Gateway entfernt. Das VPN-Gateway unterstützt dann nur noch TLS 1.2. Nur Point-to-Site-Verbindungen sind betroffen, Site-to-Site-Verbindungen sind nicht betroffen. Wenn Sie TLS für Point-to-Site-VPNs auf Clients unter Windows 10 oder höher verwenden, müssen Sie keine Maßnahmen ergreifen. Bei Verwendung von TLS für Point-to-Site-Verbindungen auf Windows 7- und Windows 8-Clients finden Sie die Updateanweisungen unter VPN-Gateway – häufig gestellte Fragen.

Workflow

Der Konfigurationsworkflow für die P2S-RADIUS-Authentifizierung lautet wie folgt:

  1. Richten Sie das Azure-VPN-Gateway für P2S-Konnektivität ein.

  2. Richten Sie den RADIUS-Server für die Authentifizierung ein.

  3. Rufen Sie die VPN-Clientkonfiguration für die gewünschte Authentifizierungsoption ab, um den VPN-Client damit einzurichten (dieser Artikel).

  4. Schließen Sie die P2S-Konfiguration ab, und stellen Sie eine Verbindung her.

Wichtig

Wenn nach der Erstellung des VPN-Clientkonfigurationsprofils Änderungen an der P2S-VPN-Konfiguration (beispielsweise am VPN-Protokolltyp oder -Authentifizierungstyp) vorgenommen werden, müssen Sie eine neue VPN-Clientkonfiguration auf den Benutzergeräten erstellen und installieren.

Wenn Sie einen anderen Authentifizierungstyp (etwa OTP) oder ein anderes Authentifizierungsprotokoll (etwa PEAP-MSCHAPv2 anstelle von EAP-MSCHAPv2) verwenden möchten, müssen Sie ein eigenes VPN-Clientkonfigurationsprofil erstellen. Wenn Sie ein Point-to-Site-VPN mit RADIUS und OpenVPN konfiguriert haben, wird derzeit nur PAP als Authentifizierungsmethode zwischen dem Gateway und dem RADIUS-Server unterstützt. Für die Erstellung des Profils benötigen Sie Informationen wie die IP-Adresse des Gateways für virtuelle Netzwerke, den Tunneltyp und Routen mit geteilten Tunneln. Diese Informationen können mit den folgenden Schritten abgerufen werden.

Generieren der VPN-Clientkonfigurationsdateien

Sie können die VPN-Clientkonfigurationsdateien über das Azure-Portal oder mithilfe von Azure PowerShell erstellen.

Azure-Portal

  1. Navigieren Sie zum Gateway für virtuelle Netzwerke.
  2. Klicken Sie auf Point-to-Site-Konfiguration.
  3. Klicken Sie auf VPN-Client herunterladen.
  4. Wählen Sie den Client aus, und geben Sie alle erforderlichen Informationen an.
  5. Klicken Sie auf Herunterladen, um die ZIP-Datei zu generieren.
  6. Die ZIP-Datei wird heruntergeladen – in der Regel in Ihren Ordner für Downloads.

Azure PowerShell

Generieren Sie mit dem Cmdlet Get-AzVpnClientConfiguration die VPN-Clientkonfiguration für EapMSChapv2.

Anzeigen der Dateien und Konfigurieren des VPN-Clients

Entzippen Sie die Datei „VpnClientConfiguration.zip“, und suchen Sie den Ordner GenericDevice. Ignorieren Sie die Ordner mit den Windows-Installationsprogrammen für 64-Bit- und 32-Bit-Architekturen.

Der Ordner GenericDevice enthält eine XML-Datei mit dem Namen VpnSettings. Diese Datei enthält alle erforderlichen Informationen:

  • VpnServer: Der vollqualifizierte Domänenname des Azure-VPN-Gateways. Dies ist die Adresse, mit der der Client eine Verbindung herstellt.
  • VpnType: Der zum Herstellen einer Verbindung verwendete Tunneltyp.
  • Routes: Routen, die in Ihrem Profil konfiguriert werden müssen, damit nur Datenverkehr für das virtuelle Azure-Netzwerk über den P2S-Tunnel gesendet wird.

Der Ordner GenericDevice enthält außerdem eine CER-Datei mit dem Namen VpnServerRoot. Diese Datei enthält das Stammzertifikat, das zum Überprüfen des Azure-VPN-Gateways während der Einrichtung der P2S-Verbindung erforderlich ist. Installieren Sie das Zertifikat auf allen Geräten, die eine Verbindung mit dem virtuellen Azure-Netzwerk herstellen.

Verwenden Sie die Einstellungen in den Dateien, um Ihren VPN-Client zu konfigurieren.

Nächste Schritte

Rufen Sie erneut den Artikel zum Abschließen Ihrer P2S-Konfiguration auf.

Informationen zur P2S-Problembehandlung finden Sie unter Problembehandlung: Probleme mit Azure P2S-Verbindungen (Point-to-Site).