Alagúthasználat kényszerítése Virtual WAN pont-hely közötti VPN-hez
A kényszerített bújtatás lehetővé teszi az összes forgalmat (beleértve az internethez kötött forgalmat) a távoli felhasználókról az Azure-ba. A Virtual WAN a pont–hely VPN távoli felhasználók kényszerített bújtatása azt jelzi, hogy a 0.0.0.0/0 alapértelmezett útvonal a távoli VPN-felhasználók számára van meghirdetve.
Virtual WAN hub létrehozása
A cikk lépései feltételezik, hogy már üzembe helyezett egy virtuális WAN-t egy vagy több központtal.
Új virtuális WAN és új központ létrehozásához kövesse az alábbi cikkek lépéseit:
Pont–hely VPN beállítása
A cikk lépései azt is feltételezik, hogy már üzembe helyezett egy pont–hely VPN-átjárót a Virtual WAN hubon. Azt is feltételezi, hogy pont–hely VPN-profilokat hozott létre az átjáróhoz való hozzárendeléshez.
A pont–hely VPN-átjáró és a kapcsolódó profilok létrehozásához lásd: Pont–hely VPN-átjáró létrehozása.
Alapértelmezett útvonal meghirdetve az ügyfeleknek
Többféleképpen konfigurálhatja a kényszerített bújtatást, és meghirdetheti az alapértelmezett útvonalat (0.0.0.0/0) az Virtual WAN csatlakoztatott távoli felhasználói VPN-ügyfeleknek.
- Statikus 0.0.0.0/0 útvonalat adhat meg az alapértelmezettRouteTable-ban a következő ugrással Virtual Network Kapcsolat beállítással. Ez az összes internetkapcsolattal rendelkező forgalmat az adott küllős Virtual Network üzembe helyezett hálózati virtuális berendezésre kényszeríti. Részletesebb útmutatásért tekintse meg az Útvonal NVA-kon keresztül című szakaszban leírt alternatív munkafolyamatot.
- A Azure Firewall Managerrel konfigurálhatja a Virtual WAN, hogy az összes internetkapcsolathoz kötött forgalmat az Virtual WAN központban üzembe helyezett Azure Firewall keresztül küldje el. A konfigurációs lépésekről és az oktatóanyagról a Azure Firewall Manager virtuális központok biztonságossá tétele című dokumentációjában olvashat. Ezt egy internetes forgalomirányítási szabályzattal is konfigurálhatja. További információ: Útválasztási szándék és útválasztási szabályzatok.
- A Tűzfalkezelővel internetes forgalmat küldhet egy külső biztonsági szolgáltatón keresztül. Erről a képességről további információt a Megbízható biztonsági szolgáltatók című témakörben talál.
- Konfigurálhatja az egyik ágát (helyek közötti VPN, ExpressRoute-kapcsolatcsoport), hogy meghirdetje a 0.0.0.0/0 útvonalat a Virtual WAN.
A fenti négy módszer egyikének konfigurálása után győződjön meg arról, hogy az EnableInternetSecurity jelző be van kapcsolva a pont–hely VPN-átjáró esetében. Ezt a jelzőt igaz értékre kell állítani ahhoz, hogy az ügyfelek megfelelően legyenek konfigurálva a kényszerített bújtatáshoz.
Az EnableInternetSecurity jelző bekapcsolásához használja az alábbi PowerShell-parancsot, és helyettesítse a környezetének megfelelő értékeket.
Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag
Pont–hely VPN-profil letöltése
A pont–hely VPN-profil letöltéséhez lásd: globális és központi profilok. A Azure Portal letöltött zip-fájl adatai kritikus fontosságúak az ügyfelek megfelelő konfigurálásához.
Kényszerített bújtatás konfigurálása Azure VPN-ügyfelekhez (OpenVPN)
A kényszerített bújtatás konfigurálásának lépései a végfelhasználói eszköz operációs rendszerétől függően eltérőek.
Windows-ügyfelek
Megjegyzés
Windows-ügyfelek esetén a kényszerített bújtatás az Azure VPN-ügyféllel csak a 2:1900:39.0-s vagy újabb szoftververzióval érhető el.
Ellenőrizze, hogy az Azure VPN-ügyfél verziója kompatibilis-e a kényszerített bújtatással. Ehhez kattintson az Azure VPN-ügyfél alján található három pontra, és kattintson a Súgó elemre. Másik lehetőségként a Ctrl-H billentyűkombinációt is használhatja a súgóhoz való navigáláshoz. A verziószám a képernyő tetején található. Győződjön meg arról, hogy a verziószáma 2:1900:39.0 vagy újabb.
Nyissa meg az előző szakaszból letöltött zip-fájlt. Meg kell jelennie egy AzureVPN nevű mappának. Nyissa meg a mappát, és nyissa meg aazurevpnconfig.xml a kedvenc XML-szerkesztőeszközén.
A azureconfig.xmlegy verzió nevű mező található. Ha a verziócímkék közötti szám 1, módosítsa a verziószámot2-esre.
<version>2</version>Importálja a profilt az Azure VPN-ügyfélbe. A profilok importálásáról további információt az Azure VPN-ügyfél importálási útmutatóiban talál.
Csatlakozzon az újonnan hozzáadott kapcsolathoz. Most kényszeríti az Azure Virtual WAN felé történő összes forgalmat.
MacOS-ügyfelek
Miután egy macOS-ügyfél megtanulta az alapértelmezett útvonalat az Azure-ból, a kényszerített bújtatás automatikusan konfigurálva lesz az ügyféleszközön. Nincsenek további lépések. A macOS Azure VPN-ügyfélnek a Virtual WAN pont–hely VPN-átjáróhoz való csatlakozására vonatkozó útmutatásért tekintse meg a macOS konfigurációs útmutatóját.
Kényszerített bújtatás konfigurálása IKEv2-ügyfelekhez
Az IKEv2-ügyfelek esetében nem használhatja közvetlenül a Azure Portal letöltött végrehajtható profilokat. Az ügyfél megfelelő konfigurálásához powerShell-szkriptet kell futtatnia, vagy el kell osztania a VPN-profilt Intune keresztül.
A pont–hely VPN-átjárón konfigurált hitelesítési módszer alapján használjon egy másik EAP-konfigurációs fájlt. Az alábbiakban EAP-konfigurációs mintafájlokat talál.
IKEv2 felhasználói tanúsítványhitelesítéssel
Ha felhasználói tanúsítványokat szeretne használni a távoli felhasználók hitelesítéséhez, használja az alábbi PowerShell-példaszkriptet. Ha megfelelően szeretné importálni a VpnSettings és az EAP XML-fájlok tartalmát a PowerShellbe, a Get-Content PowerShell-parancs futtatása előtt keresse meg a megfelelő könyvtárat.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Az alábbi példa egy EAP XML-fájlt mutat be a felhasználótanúsítvány-alapú hitelesítéshez. Cserélje le az IssuerHash mezőt a főtanúsítvány ujjlenyomatára, hogy az ügyféleszköz a vpn-kiszolgálónak a hitelesítéshez a megfelelő tanúsítványt válassza ki.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
</CAHashList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
IKEv2 gépi tanúsítványhitelesítéssel
Ha gépi tanúsítványokat szeretne használni a távoli felhasználók hitelesítéséhez, használja az alábbi PowerShell-példaszkriptet. Ha megfelelően szeretné importálni a VpnSettings és az EAP XML-fájlok tartalmát a PowerShellbe, a Get-Content PowerShell-parancs futtatása előtt keresse meg a megfelelő könyvtárat.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
IKEv2 RADIUS-kiszolgálóhitelesítés felhasználónévvel és jelszóval (EAP-MSCHAPv2)
Ha felhasználónév- és jelszóalapú RADIUS-hitelesítést (EAP-MASCHAPv2) szeretne használni a távoli felhasználók hitelesítéséhez, használja az alábbi PowerShell-példaszkriptet. Ha megfelelően szeretné importálni a VpnSettings és az EAP XML-fájlok tartalmát a PowerShellbe, a Get-Content PowerShell-parancs futtatása előtt keresse meg a megfelelő könyvtárat.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Ilyen például az EAP XML-fájl.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>26</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
<UseWinLogonCredentials>false</UseWinLogonCredentials>
</EapType>
</Eap>
</Config>
</EapHostConfig>
IKEv2 RADIUS-kiszolgálóhitelesítés felhasználói tanúsítványokkal (EAP-TLS)
Ha tanúsítványalapú RADIUS-hitelesítést (EAP-TLS) szeretne használni a távoli felhasználók hitelesítéséhez, használja az alábbi PowerShell-példaszkriptet. Vegye figyelembe, hogy ahhoz, hogy a VpnSettings és az EAP XML-fájlok tartalmát a PowerShellbe importálhassa, a Get-Content PowerShell-parancs futtatása előtt a megfelelő könyvtárba kell navigálnia.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Az alábbiakban egy minta EAP XML-fájl látható. Módosítsa a TrustedRootCA mezőt a hitelesítésszolgáltató tanúsítványának ujjlenyomatára, a IssuerHash pedig a főtanúsítvány ujjlenyomatára.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>false</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
<TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
</ServerValidation>
<DifferentUsername>true</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash> ROOT CERTIFCATE THUMBPRINT </IssuerHash>
</CAHashList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
Következő lépések
A Virtual WAN kapcsolatos további információkért lásd a gyakori kérdéseket.