VPN-ügyfél konfigurálása pont–hely: RADIUS – jelszó-hitelesítés

  • Cikk

Ha pont–hely (P2S) virtuális hálózathoz szeretne csatlakozni, konfigurálnia kell azt az ügyféleszközt, amelyről csatlakozni fog. P2S VPN-kapcsolatokat hozhat létre Windows, macOS és Linux rendszerű ügyféleszközökről. Ez a cikk segít létrehozni és telepíteni a VPN-ügyfélkonfigurációt a felhasználónév/jelszó RADIUS-hitelesítéséhez.

RADIUS-hitelesítés használatakor több hitelesítési utasítás is létezik: tanúsítványhitelesítés, jelszó-hitelesítés, valamint egyéb hitelesítési módszerek és protokollok. A VPN-ügyfél konfigurációja minden hitelesítéstípus esetében eltérő. VPN-ügyfél konfigurálásához a szükséges beállításokat tartalmazó ügyfélkonfigurációs fájlokat kell használnia.

Feljegyzés

2018. július 1-től az Azure VPN Gatewayből el lett távolítva a TLS 1.0 és 1.1 támogatása. Ettől kezdve az Azure VPN Gateway csak a TLS 1.2-es verzióját támogatja. Csak a pont–hely kapcsolatok vannak hatással; A helyek közötti kapcsolatok nem lesznek hatással. Ha TLS-t használ pont–hely VPN-ekhez Windows 10 vagy újabb rendszerű ügyfeleken, nem kell semmilyen műveletet elvégeznie. Ha TLS-t használ pont–hely kapcsolatokhoz Windows 7 és Windows 8 rendszerű ügyfeleken, a frissítési utasításokért tekintse meg a VPN Gateway gyakori kérdéseit .

Munkafolyamat

A P2S RADIUS-hitelesítés konfigurációs munkafolyamata a következő:

  1. Állítsa be az Azure VPN Gatewayt a P2S-kapcsolatokhoz.
  2. Állítsa be a RADIUS-kiszolgálót hitelesítésre.
  3. Szerezze be a VPN-ügyfél konfigurációját a választott hitelesítési beállításhoz, és használja a VPN-ügyfél beállításához (ez a cikk).
  4. Fejezze be a P2S-konfigurációt, és csatlakozzon.

Fontos

Ha a VPN-ügyfélkonfigurációs profil (például a VPN protokoll típusa vagy hitelesítési típusa) létrehozása után módosul a pont–hely VPN-konfiguráció, létre kell hoznia és telepítenie kell egy új VPN-ügyfélkonfigurációt a felhasználók eszközeire.

A felhasználónév-/jelszó-hitelesítést úgy konfigurálhatja, hogy az Active Directoryt használja, vagy ne használja az Active Directoryt. Mindkét esetben győződjön meg arról, hogy minden csatlakozó felhasználó rendelkezik a RADIUS-n keresztül hitelesíthető felhasználónév/jelszó hitelesítő adatokkal.

A felhasználónév-jelszó hitelesítésének konfigurálásakor csak az EAP-MSCHAPv2 felhasználónév/jelszó hitelesítési protokollhoz hozhat létre konfigurációt. A parancsokban -AuthenticationMethod az .EapMSChapv2

VPN-ügyfél konfigurációs fájljainak létrehozása

A VPN-ügyfél konfigurációs fájljait az Azure Portalon vagy az Azure PowerShell használatával hozhatja létre.

Azure Portal

  1. Lépjen a virtuális hálózati átjáróra.
  2. Kattintson a Pont–hely konfiguráció elemre.
  3. Kattintson a VPN-ügyfél letöltése elemre.
  4. Válassza ki az ügyfelet, és töltse ki a kért adatokat.
  5. Kattintson a Letöltés gombra a .zip fájl létrehozásához.
  6. A .zip fájl általában a Letöltések mappába lesz letöltve.

Azure PowerShell

Hozzon létre VPN-ügyfélkonfigurációs fájlokat a felhasználónév/jelszó hitelesítéséhez. A VPN-ügyfél konfigurációs fájljait az alábbi paranccsal hozhatja létre:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

A parancs futtatása egy hivatkozást ad vissza. Másolja és illessze be a webböngészőre mutató hivatkozást a VpnClientConfiguration.zip letöltéséhez. Bontsa ki a fájlt a következő mappák megtekintéséhez:

  • WindowsAmd64 és WindowsX86: Ezek a mappák a Windows 64 bites és a 32 bites telepítőcsomagokat tartalmazzák.
  • Általános: Ez a mappa általános információkat tartalmaz, amelyeket a saját VPN-ügyfélkonfiguráció létrehozásához használ. A felhasználónév-jelszó-hitelesítési konfigurációkhoz nincs szükség erre a mappára.
  • Mac: Ha a virtuális hálózati átjáró létrehozásakor konfigurálta az IKEv2-t, megjelenik egy Mac nevű mappa, amely egy mobilkonfigurációs fájlt tartalmaz. Ezzel a fájllal konfigurálhatja a Mac-ügyfeleket.

Ha már létrehozott ügyfélkonfigurációs fájlokat, a parancsmaggal Get-AzVpnClientConfiguration lekérheti őket. Ha azonban módosítja a P2S VPN-konfigurációját, például a VPN protokoll típusát vagy hitelesítési típusát, a konfiguráció nem frissül automatikusan. Új konfigurációletöltés létrehozásához futtatnia kell a New-AzVpnClientConfiguration parancsmagot.

A korábban létrehozott ügyfélkonfigurációs fájlok lekéréséhez használja a következő parancsot:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Windows VPN-ügyfél

Minden Windows-ügyfélszámítógépen ugyanazt a VPN-ügyfélkonfigurációs csomagot használhatja, amennyiben a verzió megegyezik az ügyfél architektúrájának verziójával. A támogatott ügyfél operációs rendszerek listájáért tekintse meg a gyakori kérdéseket.

A natív Windows VPN-ügyfél tanúsítványhitelesítéshez való konfigurálásához kövesse az alábbi lépéseket:

  1. Válassza ki a Windows rendszerű számítógép architektúrájának megfelelő VPN-ügyfélkonfigurációs fájlokat. 64 bites processzorarchitektúra esetén válassza a VpnClientSetupAmd64 telepítőcsomagot. 32 bites processzorarchitektúra esetén válassza a VpnClientSetupX86 telepítőcsomagot.

  2. A csomag telepítéséhez kattintson rá duplán. Ha megjelenik egy SmartScreen előugró ablak, válassza a További információ>futtatása lehetőséget.

  3. Az ügyfélszámítógépen keresse meg a Hálózati Gépház, és válassza a VPN lehetőséget. A VPN-kapcsolat megjeleníti annak a virtuális hálózatnak a nevét, amelyhez csatlakozott.

Mac (macOS) VPN-ügyfél

  1. Válassza ki a VpnClientSetup mobilkonfigurációs fájlt, és küldje el az összes felhasználónak. Használhatja az e-maileket vagy más módszert.

  2. Keresse meg a mobileconfig fájlt a Mac gépen.

    Screenshot shows location of the mobile config file.

  3. Választható lépés – Ha egyéni DNS-t szeretne megadni, adja hozzá a következő sorokat a mobileconfig fájlhoz:

     <key>DNS</key>
 <dict>
   <key>ServerAddresses</key>
     <array>
         <string>10.0.0.132</string>
     </array>
   <key>SupplementalMatchDomains</key>
     <array>
         <string>TestDomain.com</string>
     </array>
 </dict>

  4. Kattintson duplán a profilra a telepítéshez, és válassza a Folytatás lehetőséget. A profil neve megegyezik a virtuális hálózat nevével.

    Screenshot shows profile install with continue selected.

  5. Válassza a Folytatás lehetőséget a profil feladójának megbízhatóságához, és folytassa a telepítést.

    Screenshot shows continue message.

  6. A profil telepítése során megadhatja a VPN-hitelesítés felhasználónevét és jelszavát. Nem kötelező megadni ezeket az adatokat. Ha így tesz, a rendszer menti és automatikusan felhasználja az adatokat a kapcsolat kezdeményezésekor. A folytatáshoz válassza a Telepítés lehetőséget.

    Screenshot shows enter settings for username and password.

  7. Adjon meg egy felhasználónevet és jelszót a profil számítógépre való telepítéséhez szükséges jogosultságokhoz. Kattintson az OK gombra.

    Screenshot shows enter settings for username and password privileges.

  8. A profil telepítése után megjelenik a Profilok párbeszédpanelen. Ezt a párbeszédpanelt később a Rendszerbeállítások menüből is megnyithatja.

    Screenshot shows profiles dialog box.

  9. A VPN-kapcsolat eléréséhez nyissa meg a Hálózat párbeszédpanelt a Rendszerbeállítások párbeszédpanelen.

    Screenshot shows network dialog box.

  10. A VPN-kapcsolat IkeV2-VPN-ként jelenik meg. A nevet a mobilkonfigurációs fájl frissítésével módosíthatja .

    Screenshot shows connection name.

  11. Válassza a Hitelesítési Gépház lehetőséget. Válassza a felhasználónév lehetőséget a listában, és adja meg a hitelesítő adatait. Ha korábban adta meg a hitelesítő adatokat, a rendszer automatikusan kiválasztja a felhasználónevet a listában, és a felhasználónév és a jelszó előre fel van töltve. A beállítások mentéséhez kattintson az OK gombra.

    Screenshot that shows the Authentication settings drop-down with Username selected.

  12. A Módosítások mentéséhez válassza az Alkalmaz elemet a Hálózat párbeszédpanelen. A kapcsolat indításához válassza a Csatlakozás.

Linux VPN-ügyfél – strongSwan

Az alábbi utasítások az Ubuntu 17.0.4-en futó strongSwan 5.5.1-en keresztül jöttek létre. A tényleges képernyők eltérőek lehetnek a Linux és a strongSwan verziójától függően.

  1. Nyissa meg a terminált a strongSwan és a Network Manager telepítéséhez a példában található parancs futtatásával. Ha olyan hibaüzenetet kap, amely a következőhöz libcharon-extra-pluginskapcsolódik, cserélje le a következőre strongswan-plugin-eap-mschapv2: .

    sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan

  2. Válassza a Network Manager ikont (felfelé/lefelé mutató nyíl), majd a Csatlakozás ions szerkesztése lehetőséget.

    Edit connections in Network Manager.

  3. Új kapcsolat létrehozásához kattintson a Hozzáadás gombra.

    Screenshot shows add connection for network connections.

  4. Válassza az IPsec/IKEv2 (strongswan) lehetőséget a legördülő menüből, majd válassza a Létrehozás lehetőséget. Ebben a lépésben átnevezheti a kapcsolatot.

    Screenshot shows select connection type.

  5. Nyissa meg a Vpn Gépház.xml fájlt a letöltött ügyfélkonfigurációs fájlok Általános mappájából. Keresse meg a hívott VpnServer címkét, és másolja a nevet a következővel azuregateway kezdődően és végződéssel .cloudapp.net: .

    Screenshot shows contents of the VpnSettings.xml file.

  6. Illessze be ezt a nevet az új VPN-kapcsolat Cím mezőjébe az Átjáró szakaszban. Ezután válassza a Mappa ikont a Tanúsítvány mező végén, keresse meg az Általános mappát, és válassza a VpnServerRoot fájlt.

  7. A kapcsolat Ügyfél szakaszában válassza az EAP for Authentication lehetőséget, és adja meg a felhasználónevét és jelszavát. Előfordulhat, hogy az adatok mentéséhez a jobb oldalon a zárolás ikont kell választania. Ezt követően válassza a Mentés lehetőséget.

    Screenshot shows edit connection settings.

  8. Válassza a Network Manager ikont (felfelé/lefelé mutató nyíl), és mutasson a VPN-Csatlakozás ionok fölé. Ekkor megjelenik a létrehozott VPN-kapcsolat. A kapcsolat elindításához válassza ki.

    Screenshot shows connect.

További lépések az Azure-beli virtuális géphez

Ha linuxos Azure-beli virtuális gépen hajtja végre az eljárást, további lépéseket kell végrehajtania.

  1. Szerkessze a /etc/netplan/50-cloud-init.yaml fájlt, hogy tartalmazza a következő paramétert a felülethez

    renderer: NetworkManager

  2. A fájl szerkesztése után futtassa az alábbi két parancsot az új konfiguráció betöltéséhez

    sudo netplan generate

    sudo netplan apply

  3. Állítsa le/indítsa el vagy telepítse újra a virtuális gépet.

Következő lépések

Térjen vissza a cikkhez a P2S-konfiguráció befejezéséhez.

A P2S hibaelhárítási információiért tekintse meg az Azure pont–hely kapcsolatok hibaelhárítását.