Konfigurieren eines VPN-Clients für Point-to-Site: RADIUS – Kennwortauthentifizierung

  • Artikel

Zum Herstellen einer P2S-Verbindung (Point-to-Site) mit einem virtuellen Netzwerk müssen Sie das Clientgerät konfigurieren, über das die Verbindung hergestellt werden soll. Sie können P2S-VPN-Verbindungen über Windows-, macOS- und Linux-Clientgeräte erstellen. Dieser Artikel hilft Ihnen beim Erstellen und Installieren der VPN-Clientkonfiguration für die RADIUS-Authentifizierung mit Benutzername und Kennwort.

Wenn Sie die RADIUS-Authentifizierung verwenden, gibt es mehrere Authentifizierungsanleitungen: Zertifikatauthentifizierung, Kennwortauthentifizierung sowie andere Authentifizierungsmethoden und Protokolle. Die VPN-Clientkonfiguration ist je nach Authentifizierungstyp unterschiedlich. Um einen VPN-Client zu konfigurieren, verwenden Sie Clientkonfigurationsdateien, die die erforderlichen Einstellungen enthalten.

Hinweis

Ab dem 1. Juli 2018 wird die Unterstützung für TLS 1.0 und 1.1 vom Azure-VPN-Gateway entfernt. Das VPN-Gateway unterstützt dann nur noch TLS 1.2. Nur Point-to-Site-Verbindungen sind betroffen, Site-to-Site-Verbindungen sind nicht betroffen. Wenn Sie TLS für Point-to-Site-VPNs auf Clients unter Windows 10 oder höher verwenden, müssen Sie keine Maßnahmen ergreifen. Bei Verwendung von TLS für Point-to-Site-Verbindungen auf Windows 7- und Windows 8-Clients finden Sie die Updateanweisungen unter VPN-Gateway – häufig gestellte Fragen.

Workflow

Der Konfigurationsworkflow für die P2S-RADIUS-Authentifizierung lautet wie folgt:

  1. Richten Sie das Azure-VPN-Gateway für P2S-Konnektivität ein.
  2. Richten Sie den RADIUS-Server für die Authentifizierung ein.
  3. Rufen Sie die VPN-Clientkonfiguration für die gewünschte Authentifizierungsoption ab, um den VPN-Client damit einzurichten (dieser Artikel).
  4. Schließen Sie die P2S-Konfiguration ab, und stellen Sie eine Verbindung her.

Wichtig

Wenn nach der Erstellung des VPN-Clientkonfigurationsprofils Änderungen an der P2S-VPN-Konfiguration (beispielsweise am VPN-Protokolltyp oder -Authentifizierungstyp) vorgenommen werden, müssen Sie eine neue VPN-Clientkonfiguration auf den Benutzergeräten erstellen und installieren.

Sie können die Authentifizierung mit Benutzername und Kennwort per Active Directory konfigurieren oder sich ohne Active Directory authentifizieren. Stellen Sie in jedem Szenario sicher, dass alle Benutzer, die eine Verbindung herstellen, über Benutzername/Kennwort verfügen und über RADIUS authentifiziert werden können.

Sie können beim Konfigurieren der Authentifizierung per Benutzername/Kennwort nur eine Konfiguration für das EAP-MSCHAPv2-Authentifizierungsprotokoll mit Benutzername und Kennwort erstellen. In den Befehlen ist EapMSChapv2 als -AuthenticationMethod angegeben.

Generieren der VPN-Clientkonfigurationsdateien

Sie können die VPN-Clientkonfigurationsdateien über das Azure-Portal oder mithilfe von Azure PowerShell erstellen.

Azure-Portal

  1. Navigieren Sie zum Gateway für virtuelle Netzwerke.
  2. Klicken Sie auf Point-to-Site-Konfiguration.
  3. Klicken Sie auf VPN-Client herunterladen.
  4. Wählen Sie den Client aus, und geben Sie alle erforderlichen Informationen an.
  5. Klicken Sie auf Herunterladen, um die ZIP-Datei zu generieren.
  6. Die ZIP-Datei wird heruntergeladen – in der Regel in Ihren Ordner für Downloads.

Azure PowerShell

Generieren Sie VPN-Clientkonfigurationsdateien zur Verwendung für die Authentifizierung mit Benutzername und Kennwort. Sie können die VPN-Clientkonfigurationsdateien mit dem folgenden Befehl generieren:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

Bei Ausführung des Befehls wird ein Link zurückgegeben. Kopieren Sie den Link, und fügen Sie ihn in einen Webbrowser ein, um VpnClientConfiguration.zip herunterzuladen. Entzippen Sie die Datei, um die folgenden Ordner anzuzeigen:

  • WindowsAmd64 und WindowsX86: Diese Ordner enthalten das Windows-64-Bit- bzw. das Windows-32-Bit-Installer-Paket.
  • Generic: Dieser Ordner enthält allgemeine Informationen zum Erstellen Ihrer eigenen VPN-Clientkonfiguration. Dieser Ordner wird für Konfigurationen der Authentifizierung mit Benutzername und Kennwort nicht benötigt.
  • Mac: Wenn Sie beim Erstellen des Gateways für virtuelle Netzwerke IKEv2 konfiguriert haben, wird ein Ordner mit dem Namen Mac angezeigt, der die Datei mobileconfig enthält. Diese Datei wird zum Konfigurieren von Mac-Clients verwendet.

Wenn Sie die Clientkonfigurationsdateien bereits erstellt haben, können Sie diese mithilfe des Cmdlets Get-AzVpnClientConfiguration abrufen. Wenn Sie jedoch Änderungen an der P2S-VPN-Konfiguration (beispielsweise am VPN-Protokolltyp oder -Authentifizierungstyp) vornehmen, wird die Konfiguration nicht automatisch aktualisiert. Sie müssen das Cmdlet New-AzVpnClientConfiguration ausführen, um einen neuen Konfigurationsdownload zu erstellen.

Um zuvor generierte Clientkonfigurationsdateien abzurufen, verwenden Sie den folgenden Befehl:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Windows-VPN-Client

Sie können auf jedem Windows-Clientcomputer das gleiche VPN-Clientkonfigurationspaket verwenden – vorausgesetzt, es handelt sich dabei um die passende Version für die Architektur des jeweiligen Clients. Die Liste mit den unterstützten Clientbetriebssystemen finden Sie in den häufig gestellten Fragen.

Führen Sie die folgenden Schritte aus, um den nativen Windows-VPN-Client für die Zertifkatauthentifizierung zu konfigurieren:

  1. Wählen Sie die VPN-Clientkonfigurationsdateien, die der Architektur des Windows-Computers entsprechen. Wählen Sie für eine 64-Bit-Prozessorarchitektur das Installer-Paket VpnClientSetupAmd64 aus. Wählen Sie für eine 32-Bit-Prozessorarchitektur das Installer-Paket VpnClientSetupX86 aus.

  2. Installieren Sie das Paket per Doppelklick. Wenn ein SmartScreen-Popupelement angezeigt wird, wählen Sie Weitere Informationen>Trotzdem ausführen.

  3. Navigieren Sie auf dem Clientcomputer zu Netzwerkeinstellungen, und wählen Sie VPN aus. Die VPN-Verbindung zeigt den Namen des virtuellen Netzwerks an, mit dem eine Verbindung hergestellt wird.

Mac (macOS)-VPN-Client

  1. Wählen Sie die Datei VpnClientSetup mobileconfig, und senden Sie sie an alle Benutzer. Sie können sie per E-Mail senden oder eine andere Methode verwenden.

  2. Navigieren Sie auf dem Mac zur Datei mobileconfig.

    Screenshot shows location of the mobile config file.

  3. Optionaler Schritt: Wenn Sie ein benutzerdefiniertes DNS angeben möchten, fügen Sie der Datei mobileconfig die folgenden Zeilen hinzu:

     <key>DNS</key>
 <dict>
   <key>ServerAddresses</key>
     <array>
         <string>10.0.0.132</string>
     </array>
   <key>SupplementalMatchDomains</key>
     <array>
         <string>TestDomain.com</string>
     </array>
 </dict>

  4. Doppelklicken Sie auf das Profil, um es zu installieren, und wählen Sie Weiter aus. Der Profilname ist identisch mit dem Namen Ihres virtuellen Netzwerks.

    Screenshot shows profile install with continue selected.

  5. Wählen Sie Weiter, um dem Absender des Profils zu vertrauen und die Installation fortzusetzen.

    Screenshot shows continue message.

  6. Während der Profilinstallation haben Sie die Möglichkeit, den Benutzernamen und das Kennwort für die VPN-Authentifizierung anzugeben. Es ist nicht erforderlich, diese Informationen einzugeben. Wenn Sie sie angegeben, werden die Informationen gespeichert und automatisch verwendet, wenn Sie eine Verbindung initiieren. Wählen Sie Installieren, um den Vorgang fortzusetzen.

    Screenshot shows enter settings for username and password.

  7. Geben Sie einen Benutzernamen und ein Kennwort für die Berechtigungen ein, die zum Installieren des Profils auf Ihrem Computer erforderlich sind. Wählen Sie OK aus.

    Screenshot shows enter settings for username and password privileges.

  8. Nach der Installation des Profils wird es im Dialogfeld Profile angezeigt. Dieses Dialogfeld kann später auch über Systemeinstellungen geöffnet werden.

    Screenshot shows profiles dialog box.

  9. Öffnen Sie zum Zugreifen auf die VPN-Verbindung über Systemeinstellungen das Dialogfeld Netzwerk.

    Screenshot shows network dialog box.

  10. Die VPN-Verbindung wird als IkeV2-VPN angezeigt. Sie können den Namen durch Aktualisieren der Datei mobileconfig ändern.

    Screenshot shows connection name.

  11. Wählen Sie Authentifizierungseinstellungen. Wählen Sie in der Liste Benutzername, und geben Sie Ihre Anmeldeinformationen ein. Wenn Sie die Anmeldeinformationen zuvor eingegeben haben, wird Benutzername in der Liste automatisch ausgewählt, und Benutzername und Kennwort werden vorab aufgefüllt. Wählen Sie OK, um die Einstellungen zu speichern.

    Screenshot that shows the Authentication settings drop-down with Username selected.

  12. Zurück im Dialogfeld Netzwerk wählen Sie Anwenden um die Änderungen zu speichern. Wählen Sie Verbinden aus, um die Verbindung zu initiieren.

Linux-VPN-Client: strongSwan

Die folgenden Anweisungen wurden über von strongSwan 5.5.1 auf Ubuntu 17.0.4 erstellt. Die Anzeige kann je nach Ihrer Version von Linux und strongSwan abweichen.

  1. Öffnen Sie das Terminal, und installieren Sie strongSwan und den Netzwerk-Manager, indem Sie den Befehl im Beispiel ausführen. Wenn ein Fehler im Zusammenhang mit libcharon-extra-plugins angezeigt wird, ersetzen Sie diesen Wert durch strongswan-plugin-eap-mschapv2.

    sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan

  2. Wählen Sie das Symbol für den Netzwerk-Manager (Pfeil nach oben/nach unten), und wählen Sie Verbindungen bearbeiten.

    Edit connections in Network Manager.

  3. Erstellen Sie über die Schaltfläche Hinzufügen eine neue Verbindung.

    Screenshot shows add connection for network connections.

  4. Wählen Sie im Dropdownmenü IPsec/IKEv2 (strongswan) und dann Erstellen aus. Sie können Ihre Verbindung in diesem Schritt umbenennen.

    Screenshot shows select connection type.

  5. Öffnen Sie die Datei vpnSettings.xml im Ordner Allgemein der heruntergeladenen Clientkonfigurationsdateien. Suchen Sie das Tag mit dem Namen VpnServer, und kopieren Sie den Namen, der mit azuregateway beginnt und mit .cloudapp.net endet.

    Screenshot shows contents of the VpnSettings.xml file.

  6. Fügen Sie diesen Namen im Feld Adresse Ihrer neuen VPN-Verbindung im Abschnitt Gateway ein. Wählen Sie anschließend das Ordnersymbol am Ende des Felds Zertifikat, navigieren Sie zum Ordner Allgemein, und wählen Sie dort die Datei VpnServerRoot.

  7. Wählen Sie im Abschnitt Client der Verbindung EAP als Authentifizierung, und geben Sie Ihren Benutzernamen und Ihr Kennwort ein. Möglicherweise müssen Sie das Schlosssymbol auf der rechten Seite wählen, um diese Informationen zu speichern. Wählen Sie anschließend Speichern aus.

    Screenshot shows edit connection settings.

  8. Wählen Sie das Symbol für den Netzwerk-Manager (Pfeil nach oben/nach unten), und halten Sie den Mauszeiger auf VPN-Verbindungen. Sie sehen die von Ihnen erstellte VPN-Verbindung. Wählen Sie die Verbindung aus, um sie zu initiieren.

    Screenshot shows connect.

Zusätzliche Schritte für Azure-VM

Falls Sie die Prozedur auf einer Azure-VM ausführen, auf der Linux ausgeführt wird, müssen weitere Schritte ausgeführt werden.

  1. Bearbeiten Sie die Datei /etc/netplan/50-cloud-init.yaml, um den folgenden Parameter für die Schnittstelle einzuschließen

    renderer: NetworkManager

  2. Führen Sie nach dem Bearbeiten der Datei die folgenden zwei Befehle aus, um die neue Konfiguration zu laden

    sudo netplan generate

    sudo netplan apply

  3. Beenden/Starten oder erneutes Bereitstellen der VM.

Nächste Schritte

Rufen Sie erneut den Artikel zum Abschließen Ihrer P2S-Konfiguration auf.

Informationen zur P2S-Problembehandlung finden Sie unter Problembehandlung: Probleme mit Azure P2S-Verbindungen (Point-to-Site).