Felhasználói csoportok és IP-címkészletek konfigurálása P2S felhasználói VPN-ekhez

  • Cikk

A P2S felhasználói VPN-ek lehetővé teszik a felhasználók IP-címeinek hozzárendelését adott címkészletekből identitásuk vagy hitelesítési hitelesítő adataik alapján felhasználói csoportok létrehozásával. Ez a cikk segítséget nyújt a felhasználói csoportok, csoporttagok konfigurálásában és a csoportok rangsorolásában. A felhasználói csoportok használatával kapcsolatos további információkért lásd a Felhasználói csoportok ismertetése című témakört.

Előfeltételek

Mielőtt hozzákezd, konfiguráljon egy virtuális WAN-t, amely egy vagy több hitelesítési módszert használ. A lépésekért tekintse meg az oktatóanyagot: Virtual WAN-felhasználó VPN P2S-kapcsolatának létrehozása.

Munkafolyamat

Ez a cikk az alábbi munkafolyamatot használja a P2S VPN-kapcsolat felhasználói csoportjainak és IP-címkészleteinek beállításához.

  1. Konfigurációs követelmények mérlegelése

  2. Hitelesítési mechanizmus kiválasztása

  3. Felhasználói csoport létrehozása

  4. Átjáróbeállítások konfigurálása

1. lépés: Konfigurációs követelmények mérlegelése

Ez a szakasz a felhasználói csoportokra és IP-címkészletekre vonatkozó konfigurációs követelményeket és korlátozásokat sorolja fel.

  • Az egyetlen P2S VPN-átjáró által hivatkozható csoportok maximális száma 90. Az átjáróhoz rendelt csoportokban a szabályzat/csoporttagok maximális száma (annak meghatározására szolgáló feltétel, hogy a csatlakozó felhasználó melyik csoport része) legfeljebb 390 lehet. Ha azonban egy csoport több kapcsolatkonfigurációhoz van hozzárendelve ugyanazon az átjárón, a csoport és tagjai többször is beleszámítanak a korlátokba. Ha például van egy 10 tagú szabályzatcsoport, amely három VPN-kapcsolatkonfigurációhoz van hozzárendelve az átjárón. Ez a konfiguráció három csoportnak számít, összesen 30 taggal, szemben egy 10 tagú csoporttal. Az átjáróhoz csatlakozó egyidejű felhasználók teljes számát az átjáró méretezési egysége és az egyes felhasználói csoportokhoz lefoglalt IP-címek száma korlátozza, nem pedig az átjáróhoz társított szabályzatok/csoporttagok száma.

  • Miután létrehozott egy csoportot a VPN-kiszolgáló konfigurációjának részeként, a csoport neve és alapértelmezett beállítása nem módosítható.

  • A csoportneveknek különnek kell lenniük.

  • Az alacsonyabb numerikus prioritással rendelkező csoportok feldolgozása a magasabb numerikus prioritású csoportok előtt történik. Ha egy csatlakozó felhasználó több csoport tagja, az átjáró az IP-címek hozzárendelése céljából alacsonyabb numerikus prioritású csoport tagjának tekinti őket.

  • A meglévő pont–hely VPN-átjárók által használt csoportok nem törölhetők.

  • A csoportok prioritásait átrendezheti a csoportnak megfelelő felfelé mutató nyílgombokra kattintva.

  • A címkészletek nem fedhetik át azokat a címkészleteket, amelyeket ugyanabban a virtuális WAN-ban más kapcsolatkonfigurációkban (azonos vagy eltérő átjárókban) használnak.

  • A címkészletek nem fedhetik át a virtuális hálózati címtereket, a virtuális központ címtereit és a helyszíni címeket.

  • A címkészletek nem lehetnek kisebbek a /24-nél. Nem rendelhet például /25 vagy /26 tartományt.

2. lépés: Hitelesítési mechanizmus kiválasztása

Az alábbi szakaszok a felhasználói csoportok létrehozásakor használható elérhető hitelesítési mechanizmusokat sorolják fel.

Microsoft Entra-csoportok

Az Active Directory-csoportok létrehozásához és kezeléséhez lásd: Microsoft Entra-csoportok és csoporttagság kezelése.

  • A Microsoft Entra csoportobjektum-azonosítóját (és nem a csoport nevét) a Virtual WAN pont–hely felhasználói VPN-konfiguráció részeként kell megadni.
  • A Microsoft Entra-felhasználók több Active Directory-csoporthoz is hozzárendelhetők, de a Virtual WAN úgy véli, hogy a felhasználók a legalacsonyabb numerikus prioritással rendelkező Virtual WAN-felhasználó/szabályzatcsoport részei.

RADIUS – NPS-szállítóspecifikus attribútumok

A Hálózati házirend-kiszolgáló (NPS) szállítóspecifikus attribútumainak konfigurációs adataiért lásd : RADIUS – NPS konfigurálása szállítóspecifikus attribútumokhoz.

Diplomák

Önaláírt tanúsítványok létrehozásához lásd : Tanúsítványok létrehozása és exportálása felhasználói VPN P2S-kapcsolatokhoz: PowerShell. Ha egy adott köznapi névvel rendelkező tanúsítványt szeretne létrehozni, módosítsa a Tulajdonos paramétert a megfelelő értékre (például) xx@domain.coma New-SelfSignedCertificate PowerShell-parancs futtatásakor.

3. lépés: Felhasználói csoport létrehozása

Felhasználói csoport létrehozásához kövesse az alábbi lépéseket.

  1. Az Azure Portalon nyissa meg a Virtual WAN –> Felhasználói VPN-konfigurációk lapot.

  2. A Felhasználói VPN-konfigurációk lapon válassza ki a szerkeszteni kívánt felhasználói VPN-konfigurációt, majd válassza a Konfiguráció szerkesztése lehetőséget.

  3. A Felhasználói VPN-konfiguráció szerkesztése lapon nyissa meg a Felhasználói csoportok lapot.

    Screenshot of enabling User Groups.

  4. A felhasználói csoportok engedélyezéséhez válassza az Igen lehetőséget. Ha ez a kiszolgálókonfiguráció egy P2S VPN-átjáróhoz van rendelve, az ugyanazon felhasználói csoportokhoz tartozó felhasználók ip-címeket kapnak ugyanabból a címkészletből. A különböző csoportokhoz tartozó felhasználók ip-címeket kapnak különböző csoportoktól. Ha ezt a funkciót használja, a létrehozott csoportok egyikének alapértelmezett csoportját kell választania.

  5. Új felhasználói csoport létrehozásához töltse ki a névparamétert az első csoport nevével.

  6. A Csoportnév mellett válassza a Csoport konfigurálása lehetőséget a Csoport konfigurálása Gépház lap megnyitásához.

    Screenshot of creating a new group.

  7. A Csoport konfigurálása Gépház lapon adja meg a csoportba felvenni kívánt tagok értékeit. Egy csoport több csoporttagot is tartalmazhat.

    • Hozzon létre egy új tagot a Név mező kitöltésével.

    • Válassza ki a Hitelesítés: Típus beállítása lehetőséget a legördülő listában. A legördülő lista automatikusan fel lesz töltve a felhasználói VPN-konfigurációhoz kiválasztott hitelesítési módszerek alapján.

    • Írja be az értéket. Érvényes értékekért tekintse meg a Felhasználói csoportok ismertetése című témakört.

    Screenshot of configuring values for User Group members.

  8. Ha befejezte a csoport beállításainak létrehozását, válassza a Hozzáadás és az Ok gombot.

  9. Hozzon létre további csoportokat.

  10. Válasszon legalább egy csoportot alapértelmezettként. Az átjárón megadott csoporthoz nem tartozó felhasználók az átjáró alapértelmezett csoportjához lesznek rendelve. Azt is vegye figyelembe, hogy a csoport létrehozása után nem módosíthatja egy csoport "alapértelmezett" állapotát.

    Screenshot of selecting the default group.

  11. Válassza ki a nyilakat a csoport prioritási sorrendjének módosításához.

    Screenshot of adjusting the priority order.

  12. A létrehozáshoz és konfiguráláshoz válassza a Véleményezés + létrehozás lehetőséget . A felhasználói VPN-konfiguráció létrehozása után konfigurálja az átjárókiszolgáló konfigurációs beállításait a felhasználói csoportok funkció használatához.

4. lépés: Átjáróbeállítások konfigurálása

  1. A portálon nyissa meg a virtuális központot, és válassza a Felhasználói VPN (Pont–hely) lehetőséget.

  2. A pont–hely lapon válassza az Átjáró méretezési egységek hivatkozását a felhasználói VPN-átjáró szerkesztése megnyitásához. Módosítsa az átjáró méretezési egységeinek értékét a legördülő listából az átjáró átviteli sebességének meghatározásához.

  3. Pont –hely kiszolgáló konfigurálásához válassza ki a felhasználói csoportokhoz konfigurált felhasználói VPN-konfigurációt. Ha még nem konfigurálta ezeket a beállításokat, olvassa el a Felhasználói csoport létrehozása című témakört.

  4. Hozzon létre egy új pont–hely konfigurációt egy új konfigurációnév beírásával.

  5. Válasszon ki egy vagy több csoportot a konfigurációhoz társítani. A konfigurációhoz társított csoportokhoz tartozó összes felhasználó ip-címeket kap ugyanabból az IP-címkészletből.

    Az átjáró összes konfigurációjában pontosan egy alapértelmezett felhasználói csoportnak kell lennie.

    Screenshot of Edit User VPN gateway page with groups selected.

  6. Címkészletek esetén válassza a Konfigurálás lehetőséget a Címkészletek megadása lap megnyitásához. Ezen a lapon társítsa az új címkészleteket ezzel a konfigurációval. A konfigurációhoz társított csoportok tagjai ip-címeket kapnak a megadott készletekből. Az átjáróhoz társított átjáróméretegységek száma alapján előfordulhat, hogy egynél több címkészletet kell megadnia. A címkészletek nem lehetnek kisebbek a /24-nél. Nem rendelhet például /25 vagy /26 tartományt, ha kisebb címkészlet-tartományt szeretne használni a felhasználói csoportokhoz. A minimális előtag a /24. A címkészletek mentéséhez válassza a Hozzáadás és az Ok gombot .

    Screenshot of Specify Address Pools page.

  7. Minden csoporthoz egy-egy konfigurációra van szükség, amelyeket különböző címkészletekből származó IP-címekkel kell hozzárendelni. Ismételje meg a lépéseket további konfigurációk létrehozásához. A címkészletekre és csoportokra vonatkozó követelményekről és korlátozásokról lásd az 1 . lépést.

  8. Miután létrehozta a szükséges konfigurációkat, válassza a Szerkesztés, majd a Beállítások mentésének megerősítése lehetőséget.

    Screenshot of Confirm settings.

Hibaelhárítás

  1. Ellenőrizze, hogy a csomagok rendelkeznek-e a megfelelő attribútumokkal?: A Wireshark vagy egy másik csomagrögzítés NPS módban futtatható, és a csomagok visszafejtése megosztott kulccsal. Ellenőrizheti, hogy a csomagok a RADIUS-kiszolgálóról a pont–hely VPN-átjáróra kerülnek-e, és a megfelelő RADIUS VSA van-e konfigurálva.
  2. Hibás IP-címet kapnak a felhasználók?: Állítsa be és ellenőrizze az NPS eseménynaplózását, hogy a felhasználók megfelelnek-e a szabályzatoknak.
  3. Problémákat tapasztal a címkészletekkel kapcsolatban? Minden címkészlet meg van adva az átjárón. A címkészletek két címkészletre vannak felosztva, és egy pont–hely VPN-átjárópár minden aktív-aktív példányához vannak hozzárendelve. Ezeknek az osztott címeknek a hatályos útvonaltáblában kell megjelenniük. Ha például a "10.0.0.0/24" értéket adja meg, akkor a hatályos útvonaltáblában két "/25" útvonalnak kell megjelennie. Ha nem ez a helyzet, próbálja meg módosítani az átjárón definiált címkészleteket.
  4. A P2S-ügyfél nem tud útvonalakat fogadni? Győződjön meg arról, hogy az összes pont–hely VPN kapcsolat konfigurációja az alapértelmezettRouteTable-hoz van társítva, és ugyanarra az útvonaltáblákra propagálja azokat. Ezt automatikusan konfigurálni kell, ha portált használ, de REST, PowerShell vagy CLI használata esetén győződjön meg arról, hogy minden propagálás és társítás megfelelően van beállítva.
  5. Nem tudja engedélyezni a Multipoolt az Azure VPN-ügyfél használatával? Ha az Azure VPN-ügyfelet használja, győződjön meg arról, hogy a felhasználói eszközökön telepített Azure VPN-ügyfél a legújabb verzió. A funkció engedélyezéséhez újra le kell töltenie az ügyfelet.
  6. Az alapértelmezett csoporthoz rendelt összes felhasználó? Ha Microsoft Entra-hitelesítést használ, győződjön meg arról, hogy a kiszolgáló konfigurációjában (https://login.microsoftonline.com/<tenant ID>) szereplő bérlői URL-cím nem végződik \. Ha az URL-cím beírása \befejeződött, az átjáró nem fogja tudni megfelelően feldolgozni a Microsoft Entra felhasználói csoportjait, és minden felhasználó az alapértelmezett csoporthoz van rendelve. A javításhoz módosítsa a kiszolgáló konfigurációját, hogy eltávolítsa a záró elemet \ , és módosítsa az átjárón konfigurált címkészleteket a módosítások átjáróra való alkalmazásához. Ez egy ismert probléma.
  7. Külső felhasználókat próbál meghívni a Multipool szolgáltatás használatára? Ha Microsoft Entra-hitelesítést használ, és külső (a VPN-átjárón konfigurált Microsoft Entra tartományhoz nem tartozó) felhasználókat szeretne meghívni a Virtual WAN pont–hely VPN-átjáróhoz való csatlakozáshoz, győződjön meg arról, hogy a külső felhasználó felhasználótípusa "Tag" és nem "Vendég". Győződjön meg arról is, hogy a felhasználó neve a felhasználó e-mail-címére van állítva. Ha a csatlakozó felhasználó felhasználótípusa és neve nem megfelelően van beállítva a fent leírtak szerint, vagy ha nem állíthat be külső tagot a Microsoft Entra-tartomány "Tagjának", akkor a csatlakozó felhasználó az alapértelmezett csoporthoz van rendelve, és az alapértelmezett IP-címkészletből rendelt IP-címet.

Következő lépések