Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A pont–hely típusú (P2S) VPN-átjárókapcsolatokkal biztonságos kapcsolatot hozhat létre a virtuális hálózat és egy ügyfélszámítógép között. A pont–hely kapcsolat létesítéséhez a kapcsolatot az ügyfélszámítógépről kell elindítani. Ez a cikk az SSTP 128 egyidejű kapcsolati korlátjának az OpenVPN protokollra vagy az IKEv2 protokollra való áttéréssel való áthidalásának módjait ismerteti.
Milyen protokollt használ a P2S?
A pont–hely VPN az alábbi protokollok egyikét használhatja:
OpenVPN® Protocol, SSL/TLS-alapú VPN-protokoll. Az SSL VPN-megoldások átjuthatnak a tűzfalakon, mivel a legtöbb tűzfal kimenő 443-as TCP-portot nyit meg, amelyet az SSL használ. Az OpenVPN használható Android, iOS (11.0-s és újabb verziók), Windows, Linux és Mac rendszerű eszközökről (macOS 12.x és újabb verziók).
Secure Socket Tunneling Protocol (SSTP), egy védett SSL-alapú VPN-protokoll. Az SSL VPN-megoldások behatolhatnak a tűzfalakba, mivel a legtöbb tűzfal kimenő 443-as TCP-portot nyit meg, amelyet az SSL használ. Az SSTP csak Windows-eszközökön támogatott. Azure-támogatás a Windows összes SSTP-t (Windows 7 és újabb) tartalmazó verzióját. Az SSTP legfeljebb 128 egyidejű kapcsolatot támogat, az átjáró termékváltozatától függetlenül.
IKEv2 VPN, egy szabványalapú IPsec VPN-megoldás. Az IKEv2 VPN használható a Mac-eszközökről való csatlakozáshoz (macOS 10.11-s és újabb verziók).
Feljegyzés
Az alapszintű átjáró termékváltozata nem támogatja az IKEv2 vagy az OpenVPN protokollokat. Ha alapszintű termékváltozatot használ, törölnie kell és újra létre kell hoznia egy éles termékváltozatú virtuális hálózati átjárót.
Áttelepítés SSTP-ről IKEv2-re vagy OpenVPN-re
Előfordulhat, hogy több mint 128 egyidejű P2S-kapcsolatot szeretne támogatni egy VPN-átjáróval, de SSTP-t használ. Ilyen esetben át kell lépnie az IKEv2 vagy az OpenVPN protokollra.
1. lehetőség – IKEv2 hozzáadása az SSTP-n kívül az átjárón
Ez a legegyszerűbb lehetőség. Az SSTP és az IKEv2 együtt létezhet ugyanazon az átjárón, és több egyidejű kapcsolatot biztosíthat. Engedélyezheti az IKEv2-t a meglévő átjárón, és letöltheti a frissített beállításokat tartalmazó ügyfélkonfigurációs csomagot.
Az IKEv2 hozzáadása egy meglévő SSTP VPN-átjáróhoz nem lesz hatással a meglévő ügyfelekre, és konfigurálhatja őket az IKEv2 kis kötegekben való használatára, vagy egyszerűen konfigurálhatja az új ügyfeleket az IKEv2 használatára. Ha egy Windows-ügyfél SSTP-hez és IKEv2-hez is konfigurálva van, először az IKEV2 használatával próbál csatlakozni, és ha ez nem sikerül, visszaesik az SSTP-be.
Az IKEv2 nem szabványos UDP-portokat használ, ezért gondoskodnia kell arról, hogy ezek a portok ne legyenek blokkolva a felhasználó tűzfalán. A használt portok az UDP 500 és 4500.
- Ha IKEv2-t szeretne hozzáadni egy meglévő átjáróhoz, nyissa meg a virtuális hálózati átjárót a portálon.
- A bal oldali panelen válassza a Pont–hely konfigurációt.
- A pont–hely konfigurációs lapon az alagúttípushoz válassza az IKEv2 és az SSTP (SSL) lehetőséget a legördülő listából.
- Alkalmazza a módosításokat.
Feljegyzés
Ha az átjárón engedélyezve van az SSTP és az IKEv2 is, a pont–hely címkészlet statikusan fel lesz osztva a kettő között, így a különböző protokollokat használó ügyfelek ip-címeket kapnak mindkét altartományból. Vegye figyelembe, hogy az SSTP-ügyfelek maximális száma mindig 128. Ez akkor is érvényes, ha a címtartomány nagyobb, mint /24, így nagyobb mennyiségű cím érhető el az IKEv2-ügyfelek számára. Kisebb tartományok esetén a készlet egyenlően felére csökken. Előfordulhat, hogy az átjáró által használt forgalomválasztók nem tartalmazzák a pont–hely címtartomány CIDR-ét, hanem a két alhálózati CIDR-t.
2. lehetőség – Az SSTP eltávolítása és az OpenVPN engedélyezése az átjárón
Mivel az SSTP és az OpenVPN egyaránt TLS-alapú protokoll, nem létezhetnek együtt ugyanazon az átjárón. Ha úgy dönt, hogy az SSTP-ről az OpenVPN-re vált, le kell tiltania az SSTP-t, és engedélyeznie kell az OpenVPN-t az átjárón. Ez a művelet miatt a meglévő ügyfelek elveszítik a KAPCSOLATOT a VPN-átjáróval, amíg az új profil nincs konfigurálva az ügyfélen.
Ha szeretné, engedélyezheti az OpenVPN-t az IKEv2 mellett. Az OpenVPN TLS-alapú, és a szabványos TCP 443-portot használja.
- Az OpenVPN-re váltáshoz nyissa meg a virtuális hálózati átjárót a portálon.
- A bal oldali panelen válassza a Pont–hely konfigurációt.
- A pont–hely konfigurációs lapon alagúttípus esetén válassza az OpenVPN (SSL) vagy az IKEv2 és az OpenVPN (SSL) lehetőséget a legördülő listából.
- Alkalmazza a módosításokat.
Az átjáró konfigurálása után a meglévő ügyfelek nem fognak tudni csatlakozni, amíg nem telepíti és konfigurálja az OpenVPN-ügyfeleket. Ha Windows 10-et vagy újabb verziót használ, használhatja az Azure VPN-ügyfelet is.
Gyakori kérdések
Milyen követelmények vonatkoznak az ügyfél-konfigurációra?
Feljegyzés
Windows-ügyfelek esetében rendszergazdai jogosultsággal kell rendelkeznie az ügyféleszközön annak érdekében, hogy kezdeményezni lehessen a VPN-kapcsolatot az ügyféleszközről az Azure-hoz.
A felhasználók a Natív VPN-ügyfeleket használják Windows és Mac eszközökön P2S-hez. Az Azure egy VPN-ügyfélkonfigurációs zip-fájlt biztosít, amely a natív ügyfelek által az Azure-hoz való csatlakozáshoz szükséges beállításokat tartalmazza.
- Windows-eszközök esetén a VPN-ügyfél konfigurációja egy telepítőcsomagból áll, amelyet a felhasználók telepítenek az eszközeikre.
- Mac-eszközökön a felhasználók által az eszközeikre telepített mobilkonfigurációs fájlból áll.
A zip-fájl az Azure-oldal néhány fontos beállításának értékeit is tartalmazza, amelyekkel saját profilt hozhat létre ezekhez az eszközökhöz. Az értékek némelyike a VPN-átjáró címe, a konfigurált alagúttípusok, az útvonalak és az átjáró-ellenőrzés főtanúsítványa.
Feljegyzés
2018. július 1-től az Azure VPN Gatewayből el lett távolítva a TLS 1.0 és 1.1 támogatása. Ettől kezdve az Azure VPN Gateway csak a TLS 1.2-es verzióját támogatja. Csak a pont–hely kapcsolatok vannak hatással; A helyek közötti kapcsolatok nem lesznek hatással. Ha TLS-t használ pont–hely VPN-ekhez Windows 10 vagy újabb rendszerű ügyfeleken, nem kell semmilyen műveletet elvégeznie. Ha TLS-t használ pont–hely kapcsolatokhoz Windows 7 és Windows 8 rendszerű ügyfeleken, a frissítési utasításokért tekintse meg a VPN Gateway gyakori kérdéseit .
Melyik átjáró-termékváltozatok támogatják a P2S VPN-t?
Az alábbi táblázat az átjáró termékváltozatát mutatja alagút, kapcsolat és átviteli sebesség szerint. További táblákért és a táblával kapcsolatos további információkért tekintse meg a VPN Gateway beállításairól szóló cikk Átjáró termékváltozatai című szakaszát.
|
VPN Átjáró Generáció |
Termékváltozat |
S2S/VNet–VNet Alagutak |
P2S SSTP-kapcsolatok |
P2S IKEv2/OpenVPN-kapcsolatok |
Felhalmoz Átviteli sebesség benchmarkja |
BGP | Zónaredundáns | Támogatott virtuális gépek száma a virtuális hálózaton |
|---|---|---|---|---|---|---|---|---|
| 1. generáció | Basic | Legfeljebb 10 | Legfeljebb 128 | Nem támogatott | 100 Mbit/s | Nem támogatott | Nem | 200 |
| 1. generáció | VpnGw1 | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 250 | 650 Mbps | Támogatott | Nem | 450 |
| 1. generáció | VpnGw2 | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 500 | 1 Gbps | Támogatott | Nem | 1300 |
| 1. generáció | VpnGw3 | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 1000 | 1,25 Gbps | Támogatott | Nem | 4000 |
| 1. generáció | VpnGw1AZ | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 250 | 650 Mbps | Támogatott | Igen | 1000 |
| 1. generáció | VpnGw2AZ | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 500 | 1 Gbps | Támogatott | Igen | 2000. |
| 1. generáció | VpnGw3AZ | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 1000 | 1,25 Gbps | Támogatott | Igen | 5000 |
| 2. generáció | VpnGw2 | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 500 | 1,25 Gbps | Támogatott | Nem | 685 |
| 2. generáció | VpnGw3 | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 1000 | 2,5 Gb/s | Támogatott | Nem | 2240 |
| 2. generáció | VpnGw4 | Legfeljebb 100* | Legfeljebb 128 | Legfeljebb 5000 | 5 Gbps | Támogatott | Nem | 5300 |
| 2. generáció | VpnGw5 | Legfeljebb 100* | Legfeljebb 128 | Legfeljebb 10000 | 10 Gbit/s | Támogatott | Nem | 6700 |
| 2. generáció | VpnGw2AZ | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 500 | 1,25 Gbps | Támogatott | Igen | 2000. |
| 2. generáció | VpnGw3AZ | Legfeljebb 30 | Legfeljebb 128 | Legfeljebb 1000 | 2,5 Gb/s | Támogatott | Igen | 3300 |
| 2. generáció | VpnGw4AZ | Legfeljebb 100* | Legfeljebb 128 | Legfeljebb 5000 | 5 Gbps | Támogatott | Igen | 4400 |
| 2. generáció | VpnGw5AZ | Legfeljebb 100* | Legfeljebb 128 | Legfeljebb 10000 | 10 Gbit/s | Támogatott | Igen | 9000 |
Feljegyzés
Az alapszintű termékváltozat korlátozásokkal rendelkezik, és nem támogatja az IKEv2- vagy RADIUS-hitelesítést.
Milyen IKE/IPsec-szabályzatok vannak konfigurálva a P2S VPN-átjáróiban?
IKEv2
| Rejtjel | Integritás | PRF | DH-csoport |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Rejtjel | Integritás | PFS-csoport |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Milyen TLS-szabályzatok vannak konfigurálva a P2S VPN-átjáróiban?
TLS
| Házirendek |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Csak a TLS1.3-on támogatott OpenVPN-vel
P2S-kapcsolatot Hogyan konfigurálni?
A P2S-konfigurációhoz elég sok konkrét lépésre van szükség. Az alábbi cikkek a P2S-konfiguráció lépéseit és a VPN-ügyféleszközök konfigurálására szolgáló hivatkozásokat tartalmazzák:
Következő lépések
Az "OpenVPN" az OpenVPN Inc. védjegye.