Pont–hely VPN-kapcsolat konfigurálása virtuális hálózathoz több hitelesítési típus használatával: Azure Portal

  • Cikk

Ez a cikk segít biztonságosan csatlakoztatni a Windows, Linux vagy macOS rendszerű egyes ügyfeleket egy Azure-beli virtuális hálózathoz. A pont–hely VPN-kapcsolatok akkor hasznosak, ha távoli helyről szeretne csatlakozni a virtuális hálózathoz, például ha otthonról vagy konferenciáról távmunkát folytat. Pont–hely kapcsolatot is használhat helyek közötti VPN helyett, ha csak néhány ügyfelet szeretne egy virtuális hálózathoz csatlakoztatni. A pont–hely kapcsolatokhoz nincs szükség VPN-eszközre vagy nyilvános IP-címre. Pont–hely kapcsolat esetén SSTP (Secure Socket Tunneling Protocol) vagy IKEv2-protokoll használatával jön létre a VPN-kapcsolat. A pont–hely VPN-ről további információt a pont–hely VPN ismertetése című témakörben talál.

Csatlakozás számítógépről Azure-beli virtuális hálózatra – pont–hely kapcsolat diagram

A pont–hely VPN-ről további információt a pont–hely VPN ismertetése című témakörben talál. Ha ezt a konfigurációt az Azure PowerShell használatával szeretné létrehozni, tekintse meg a pont–hely VPN konfigurálása az Azure PowerShell használatával című témakört.

Előfeltételek

Győződjön meg arról, hogy rendelkezik Azure-előfizetéssel. Ha még nincs Azure-előfizetése, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.

Ugyanazon a VPN-átjárón több hitelesítési típus csak OpenVPN-alagúttípussal támogatott.

Példaértékek

Az alábbi értékek használatával létrehozhat egy tesztkörnyezetet, vagy segítségükkel értelmezheti a cikkben szereplő példákat:

  • Virtuális hálózat neve: VNet1
  • Címtér: 10.1.0.0/16
    Ebben a példában csak egy címteret használunk. Azonban a virtuális hálózatához több címteret is használhat.
  • Alhálózat neve: FrontEnd
  • Alhálózati címtartomány: 10.1.0.0/24
  • Előfizetés:Ha több előfizetése is van, ellenőrizze, hogy a megfelelőt használja-e.
  • Erőforráscsoport: TestRG1
  • - Autorisez les plages d’adresses IP de toutes les régions Gov US (Virginie, Texas, Arizona et Iowa) afin de garantir la prise en charge des URL requises pour Azure Active Directory, la sauvegarde, la réplication et le stockage.
  • GatewaySubnet: 10.1.255.0/27
  • Termékváltozat: VpnGw2
  • Generáció: 2. generáció
  • Átjáró típusa: VPN
  • VPN típusa: Útvonalalapú
  • Nyilvános IP-cím neve: VNet1GWpip
  • Kapcsolat típusa: pont–hely
  • Ügyfélcímkészlet: 172.16.201.0/24
    Azok a VPN-ügyfelek, amelyek ezzel a pont–hely kapcsolattal csatlakoznak a virtuális hálózathoz, ip-címet kapnak az ügyfélcímkészletből.

Virtuális hálózat létrehozása

Mielőtt elkezdi végrehajtani a lépéseket, győződjön meg arról, hogy rendelkezik Azure-előfizetéssel. Ha még nincs Azure-előfizetése, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.

Feljegyzés

Ha egy virtuális hálózatot használ egy helyszíni architektúra részeként, mindenképpen koordinálja a helyszíni hálózati rendszergazdával, hogy kifaragjon egy IP-címtartományt, amelyet kifejezetten ehhez a virtuális hálózathoz használhat. Ha a VPN-kapcsolat mindkét oldalán duplikált címtartomány található, a forgalom váratlan módon fog haladni. Továbbá, ha ezt a virtuális hálózatot egy másik virtuális hálózathoz szeretné csatlakoztatni, a címtér nem fedheti át a másik virtuális hálózatot. Ennek megfelelően tervezze meg a hálózati konfigurációt.

  1. Jelentkezzen be az Azure Portalra.

  2. Az Erőforrások, szolgáltatások és dokumentumok keresése (G+/) portállap tetején adja meg a virtuális hálózatot. A Virtuális hálózat lap megnyitásához válassza a Virtuális hálózat lehetőséget a Marketplace keresési eredményei közül.

  3. A Virtuális hálózat lapon válassza a Létrehozás lehetőségeta Virtuális hálózat létrehozása lap megnyitásához.

  4. Az Alapszintű beállítások lapon konfigurálja a virtuális hálózati beállításokat a Project részleteihez és a Példány részleteihez. A beírt értékek érvényesítésekor zöld pipa jelenik meg. A példában látható értékeket a szükséges beállításoknak megfelelően módosíthatja.

    Képernyőkép az Alapismeretek lapról.

    • Előfizetés: ellenőrizze, hogy a megfelelő előfizetés jelenik-e meg a listában. Az előfizetéseket a legördülő listával módosíthatja.
    • Erőforráscsoport: Válasszon ki egy meglévő erőforráscsoportot, vagy válassza az Új létrehozása lehetőséget egy új létrehozásához. További információ az erőforráscsoportokkal kapcsolatban: Az Azure Resource Manager áttekintése.
    • Név: adja meg a virtuális hálózat nevét.
    • Régió: Válassza ki a virtuális hálózat helyét. A hely határozza meg, hogy a virtuális hálózaton üzembe helyezendő erőforrások hol találhatók.

  5. Válassza a Tovább vagy a Biztonság lehetőséget a Biztonság lapra való ugráshoz. Ebben a gyakorlatban hagyja meg az összes szolgáltatás alapértelmezett értékeit ezen a lapon.

  6. Válassza ki az IP-címeket az IP-címek lapra való ugráshoz. Az IP-címek lapon konfigurálja a beállításokat.

    • IPv4-címtér: Alapértelmezés szerint a rendszer automatikusan létrehoz egy címteret. Kiválaszthatja a címteret, és módosíthatja a saját értékeinek megfelelően. Hozzáadhat egy másik címteret is, és eltávolíthatja az automatikusan létrehozott alapértelmezett helyet. Megadhatja például a kezdőcímet 10.1.0.0-ként, és megadhatja a címtér méretét /16 értékként. Ezután válassza a Hozzáadás lehetőséget a címtér hozzáadásához.

    • + Alhálózat hozzáadása: Ha az alapértelmezett címteret használja, a rendszer automatikusan létrehoz egy alapértelmezett alhálózatot. Ha módosítja a címteret, adjon hozzá egy új alhálózatot a címtéren belül. Az Alhálózat hozzáadása ablak megnyitásához válassza az + Alhálózat hozzáadása lehetőséget. Konfigurálja a következő beállításokat, majd az értékek hozzáadásához válassza a lap alján található Hozzáadás lehetőséget.

      • Alhálózat neve: Példa: FrontEnd.
      • Alhálózati címtartomány: Az alhálózat címtartománya. Ilyen például a 10.1.0.0 és a /24.

  7. Tekintse át az IP-címek lapot, és távolítsa el azokat a címtereket vagy alhálózatokat, amelyekre nincs szüksége.

  8. A virtuális hálózati beállítások érvényesítéséhez válassza a Véleményezés + létrehozás lehetőséget .

  9. A beállítások érvényesítése után válassza a Létrehozás lehetőséget a virtuális hálózat létrehozásához.

Virtuális hálózati átjáró

Ebben a lépésben a virtuális hálózat virtuális hálózati átjáróját fogja létrehozni. Az átjáró létrehozása akár 45 percet vagy hosszabb időt is igénybe vehet a választott átjáró-termékváltozattól függően.

Feljegyzés

Az egyszerű átjáró termékváltozata nem támogatja az OpenVPN-alagút típusát.

A virtuális hálózati átjáróhoz egy GatewaySubnet nevű alhálózat szükséges. Az átjáró alhálózata a virtuális hálózat IP-címtartományának része, és tartalmazza a virtuális hálózati átjáró erőforrásai és szolgáltatásai által használt IP-címeket.

Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat. A szükséges IP-címek száma a létrehozni kívánt VPN-átjárókonfigurációtól függ. Egyes konfigurációknak a többinél nagyobb számú IP-címre van szükségük. A legjobb, ha /27 vagy nagyobb (/26, /25 stb.) értéket ad meg az átjáró alhálózatához.

Ha hibaüzenet jelenik meg, amely azt jelzi, hogy a címtér átfedésben van egy alhálózattal, vagy hogy az alhálózat nem található a virtuális hálózat címterében, ellenőrizze a virtuális hálózat címtartományát. Előfordulhat, hogy nem rendelkezik elegendő IP-címmel a virtuális hálózathoz létrehozott címtartományban. Ha például az alapértelmezett alhálózat a teljes címtartományt magában foglalja, nem marad IP-cím további alhálózatok létrehozásához. Módosíthatja az alhálózatokat a meglévő címtérben, hogy felszabadítsa az IP-címeket, vagy adjon meg egy másik címtartományt, és ott hozza létre az átjáró alhálózatát.

  1. Az Erőforrások, szolgáltatások és dokumentumok keresése (G+/) mezőbe írja be a virtuális hálózati átjárót. Keresse meg a Virtuális hálózati átjárót a Marketplace keresési eredményei között, és válassza ki a virtuális hálózati átjáró létrehozása lap megnyitásához.

  2. Az Alapszintű beállítások lapon adja meg a Projekt részleteinek és a Példány részleteinek értékeit.

    Képernyőkép a Példány mezőkről.

    • Előfizetés: Válassza ki a használni kívánt előfizetést a legördülő listából.

    • Erőforráscsoport: Ezt a beállítást a rendszer automatikusan kitölti, amikor kiválasztja a virtuális hálózatot ezen a lapon.

    • Név: adjon nevet az átjárónak. Az átjáró elnevezése nem ugyanaz, mint egy átjáróalhálózat elnevezése. Ez a létrehozott átjáróobjektum neve.

    • Régió: Válassza ki azt a régiót, amelyben létre szeretné hozni ezt az erőforrást. Az átjáró régiójának meg kell egyeznie a virtuális hálózatával.

    • Átjáró típusa: válassza ki a VPN elemet. A VPN-átjárók a VPN virtuális hálózati átjárótípust használják.

    • Termékváltozat: A legördülő listában válassza ki azt az átjáró termékváltozatot, amely támogatja a használni kívánt funkciókat. Lásd: Átjáró termékváltozatai. A portálon a legördülő listában elérhető termékváltozatok a VPN type kiválasztott termékváltozattól függenek. Az alapszintű termékváltozat csak az Azure CLI vagy a PowerShell használatával konfigurálható. Az Alapszintű termékváltozat nem konfigurálható az Azure Portalon.

    • Generáció: Válassza ki a használni kívánt generációt. Javasoljuk, hogy használjon 2. generációs termékváltozatot. További információkért lásd: Az átjárók termékváltozatai.

    • Virtuális hálózat: A legördülő listában válassza ki azt a virtuális hálózatot, amelyhez hozzá szeretné adni ezt az átjárót. Ha nem látja azt a virtuális hálózatot, amelyhez átjárót szeretne létrehozni, győződjön meg arról, hogy a megfelelő előfizetést és régiót választotta ki az előző beállítások között.

    • Átjáró alhálózati címtartománya vagy alhálózata: A VPN-átjáró létrehozásához az átjáró alhálózata szükséges.

      Ez a mező jelenleg különböző beállításokat jeleníthet meg a virtuális hálózat címterétől és attól függően, hogy létrehozott-e már átjáróhálózat nevű alhálózatot a virtuális hálózathoz.

      Ha nem rendelkezik átjáróalhálózattal , és nem látja a lehetőséget, hogy ezen a lapon hozzon létre egyet, térjen vissza a virtuális hálózathoz, és hozza létre az átjáró alhálózatát. Ezután térjen vissza erre a lapra, és konfigurálja a VPN-átjárót.

  1. Adja meg a nyilvános IP-cím értékeit. Ezek a beállítások határozzák meg a VPN-átjáróhoz társított nyilvános IP-cím objektumot. A NYILVÁNOS IP-cím ehhez az objektumhoz lesz rendelve a VPN-átjáró létrehozásakor. Az elsődleges nyilvános IP-cím csak akkor változik, ha az átjárót törlik és újra létrehozták. Nem módosul átméretezés, alaphelyzetbe állítás, illetve a VPN Gateway belső karbantartása/frissítése során.

    Képernyőkép a Nyilvános IP-cím mezőről.

    • Nyilvános IP-cím típusa: Ha ez a beállítás jelenik meg, válassza a Standard lehetőséget. Az alapszintű nyilvános IP-cím termékváltozata csak az alapszintű termékváltozatú VPN-átjárók esetében támogatott.
    • Nyilvános IP-cím: Hagyja kijelölve az Új létrehozása lehetőséget.
    • Nyilvános IP-cím neve: A szövegmezőbe írja be a nyilvános IP-címpéldány nevét.
    • Nyilvános IP-cím termékváltozata: A beállítás automatikusan ki van jelölve.
    • Hozzárendelés: A hozzárendelés általában automatikusan ki van jelölve. A Standard termékváltozat esetében a hozzárendelés mindig statikus.
    • Aktív-aktív mód engedélyezése: Válassza a Letiltva lehetőséget. Ezt a beállítást csak akkor engedélyezze, ha aktív-aktív átjárókonfigurációt hoz létre.
    • BGP konfigurálása: Válassza a Letiltva lehetőséget, kivéve, ha a konfigurációhoz kifejezetten erre a beállításra van szükség. Ha ehhez a beállításhoz van szükség, az alapértelmezett ASN 65515, bár ez az érték módosítható.

  2. Az ellenőrzés futtatásához válassza a Véleményezés + létrehozás lehetőséget .

  3. Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget a VPN-átjáró üzembe helyezéséhez.

Az üzembe helyezés állapotát az átjáró Áttekintés lapján tekintheti meg. Az átjárók létrehozása és üzembe helyezése gyakran akár 45 percet is igénybe vehet. Az átjáró létrehozása után úgy tekintheti meg a hozzárendelt IP-címet, ha megnézi a virtuális hálózatot a portálon. Az átjáró csatlakoztatott eszközként fog megjelenni.

Fontos

Az átjáró alhálózatán lévő hálózati biztonsági csoportok (NSG-k) nem támogatottak. Ha hálózati biztonsági csoportot társít ehhez az alhálózathoz, a virtuális hálózati átjáró (VPN- és ExpressRoute-átjárók) működése a várt módon leállhat. A hálózati biztonsági csoportokkal kapcsolatos további információkért lásd: Mi az a hálózati biztonsági csoport?

Ügyfélcímkészlet

Az ügyfélcímkészlet megadott magánhálózati IP-címek tartománya. A pont–hely VPN-en keresztül csatlakozó ügyfelek dinamikusan kapnak IP-címet ebből a tartományból. Olyan magánhálózati IP-címtartományt használjon, amely nincs átfedésben azzal a helyszíni hellyel, amelyről csatlakozik, vagy azzal a virtuális hálózattal, amelyhez csatlakozik. Ha több protokollt konfigurál, és az SSTP az egyik protokoll, akkor a konfigurált címkészlet egyenlően oszlik el a konfigurált protokollok között.

  1. Miután létrehozta a virtuális hálózati átjárót, navigáljon a virtuális hálózati átjáró lapjának Beállítások részéhez. A Gépház válassza a pont–hely konfigurációt. Válassza a Konfigurálás most lehetőséget a konfigurációs lap megnyitásához.

    Képernyőkép a pont–hely konfigurációs oldalról.

  2. A pont–hely konfigurációs lapon számos beállítást konfigurálhat. A Címkészlet mezőben adja hozzá a használni kívánt magánhálózati IP-címtartományt. A VPN-ügyfelek dinamikusan kapnak egy IP-címet a megadott tartományból. A minimális alhálózati maszk az aktív/passzív és 28 bites aktív/aktív konfiguráció esetén 29 bites.

    Képernyőkép az ügyfélcímkészletről.

  3. Folytassa a következő szakaszt a hitelesítés és az alagúttípusok konfigurálásához.

Hitelesítés és alagúttípusok

Ebben a szakaszban a hitelesítési típust és az alagút típusát konfigurálja. A pont–hely konfigurációs lapon, ha nem látja az alagút típusát vagy a hitelesítés típusát, az átjáró az alapszintű termékváltozatot használja. Az alapszintű termékváltozat nem támogatja az IKEv2- vagy RADIUS-hitelesítést. Ha ezeket a beállításokat szeretné használni, törölnie kell és újra létre kell hoznia az átjárót egy másik átjáró termékváltozatával.

Fontos

Az Azure Portal jelenleg az Azure Active Directory-mezők Entra-ra való frissítésén dolgozik. Ha megjelenik a hivatkozott Microsoft Entra-azonosító, és még nem látja ezeket az értékeket a portálon, kiválaszthatja az Azure Active Directory-értékeket.

Képernyőkép a hitelesítési típusokról és az alagút típusáról.

Alagúttípus

A Pont–hely konfiguráció lapon válassza ki a kívánt típusokat. A lehetőségek a következők:

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 és OpenVPN (SSL)
  • IKEv2 és SSTP (SSL)

Hitelesítés típusa

Hitelesítési típus esetén válassza ki a kívánt típusokat. A lehetőségek a következők:

  • Azure-tanúsítvány
  • RADIUS
  • Microsoft Entra ID

Az alábbi táblázatból megtudhatja, hogy mely hitelesítési mechanizmusok kompatibilisek a kiválasztott alagúttípusokkal.

Alagút típusa Hitelesítési mechanizmus
OpenVPN A Microsoft Entra-azonosító, a Radius-hitelesítés és az Azure-tanúsítvány bármely részhalmaza
SSTP Radius-hitelesítés/ Azure-tanúsítvány
IKEv2 Radius-hitelesítés/ Azure-tanúsítvány
IKEv2 és OpenVPN Radius-hitelesítés/ Azure-tanúsítvány/ Microsoft Entra-azonosító és radius-hitelesítés/ Microsoft Entra-azonosító és Azure-tanúsítvány
IKEv2 és SSTP Radius-hitelesítés/ Azure-tanúsítvány

Feljegyzés

Az "IKEv2 és OpenVPN" alagúttípus és a kiválasztott hitelesítési mechanizmusok esetében a "Microsoft Entra ID and Radius" vagy a "Microsoft Entra ID and Azure Certificate" esetében a Microsoft Entra ID csak az OpenVPN-hez működik, mivel az IKEv2 nem támogatja

A kiválasztott hitelesítési típustól függően különböző konfigurációs beállításmezők jelennek meg, amelyeket ki kell tölteni. Töltse ki a szükséges információkat, és a lap tetején válassza a Mentés lehetőséget az összes konfigurációs beállítás mentéséhez.

A hitelesítési típussal kapcsolatos további információkért lásd:

VPN-ügyfél konfigurációs csomagja

A VPN-ügyfeleket ügyfélkonfigurációs beállításokkal kell konfigurálni. A VPN-ügyfél konfigurációs csomagja olyan fájlokat tartalmaz, amelyek a VPN-ügyfelek konfigurálásához szükséges beállításokat tartalmazzák, hogy P2S-kapcsolaton keresztül csatlakozzanak a virtuális hálózathoz.

A VPN-ügyfél konfigurációs fájljainak létrehozására és telepítésére vonatkozó utasításokért használja a konfigurációval kapcsolatos cikket:

Hitelesítés Alagúttípus Konfigurációs fájlok létrehozása VPN-ügyfél konfigurálása
Azure-tanúsítvány IKEv2, SSTP Windows Natív VPN-ügyfél
Azure-tanúsítvány OpenVPN Windows - OpenVPN-ügyfél
- Azure VPN-ügyfél
Azure-tanúsítvány IKEv2, OpenVPN macOS-iOS macOS-iOS
Azure-tanúsítvány IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS – tanúsítvány - Cikk Cikk
RADIUS – jelszó - Cikk Cikk
RADIUS – egyéb módszerek - Cikk Cikk

Pont–hely kapcsolatok – gyakori kérdések

A pont–hely gyakori kérdésekre vonatkozó információkért tekintse meg a VPN Gateway gyakori kérdéseinek pont–hely szakaszát.

Következő lépések

Miután a kapcsolat létrejött, hozzáadhat virtuális gépeket a virtuális hálózataihoz. További információkért lásd: Virtuális gépek. A hálózatok és virtuális gépek ismertetését lásd az Azure- és Linux-alapú virtuálisgép-hálózatok áttekintésében.

A pont–hely hibaelhárítási információiért tekintse át az Azure pont–hely kapcsolatok hibaelhárításával foglalkozó cikket.