Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A pont–hely (P2S) VPN-átjátókapcsolat lehetővé teszi biztonságos kapcsolat létesítését a virtuális hálózattal egy különálló ügyfélszámítógépről. A pont–hely kapcsolat létesítéséhez a kapcsolatot az ügyfélszámítógépről kell elindítani. Ez a megoldás olyan távmunkások számára hasznos, akik távoli helyről, például otthonról vagy konferenciáról szeretnének csatlakozni az Azure-beli virtuális hálózatokhoz. A P2S VPN hasznos megoldás a helyek közötti (S2S) VPN helyett, ha csak néhány ügyfélnek kell csatlakoznia egy virtuális hálózathoz. A pont–hely konfigurációkhoz útvonalalapú VPN-típus szükséges.
Milyen protokollt használ a P2S?
A pont–hely VPN az alábbi protokollok egyikét használhatja:
OpenVPN® Protocol, SSL/TLS-alapú VPN-protokoll. A TLS VPN-megoldás képes behatolni a tűzfalakba, mivel a legtöbb tűzfal kimenő 443-as TCP-portot nyit meg, amelyet a TLS használ. Az OpenVPN használható Android, iOS (11.0-s és újabb verziók), Windows, Linux és Mac rendszerű eszközökről (macOS 10.13-s vagy újabb verziók). A támogatott verziók a TLS 1.2 és a TLS 1.3 TLS-kézfogáson alapuló verziói.
Secure Socket Tunneling Protocol (SSTP), egy védett TLS-alapú VPN-protokoll. A TLS VPN-megoldás képes behatolni a tűzfalakba, mivel a legtöbb tűzfal kimenő 443-as TCP-portot nyit meg, amelyet a TLS használ. Az SSTP csak Windows-eszközökön támogatott. Az Azure támogatja a Windows összes SSTP-t tartalmazó verzióját, és támogatja a TLS 1.2-t (Windows 8.1 és újabb verziók).
IKEv2 VPN, egy szabványalapú IPsec VPN-megoldás. Az IKEv2 VPN használható a Mac-eszközökről való csatlakozáshoz (macOS 10.11-s és újabb verziók).
Hogyan történik a P2S VPN-ügyfelek hitelesítése?
Mielőtt az Azure elfogadná a P2S VPN-kapcsolatot, először hitelesíteni kell a felhasználót. A P2S-átjáró konfigurálásakor három hitelesítési típus közül választhat. A lehetőségek a következők:
A P2S-átjáró konfigurációjához több hitelesítési típust is választhat. Ha több hitelesítési típust választ, a használt VPN-ügyfelet legalább egy hitelesítési típusnak és a megfelelő alagúttípusnak kell támogatnia. Ha például az "IKEv2 és OpenVPN" lehetőséget választja az alagúttípusokhoz, a hitelesítési típushoz pedig a "Microsoft Entra ID and Radius" vagy a "Microsoft Entra ID and Azure Certificate" lehetőséget, a Microsoft Entra ID csak az OpenVPN alagúttípust fogja használni, mivel az IKEv2 nem támogatja.
Az alábbi táblázat a kiválasztott alagúttípusokkal kompatibilis hitelesítési mechanizmusokat mutatja be. Minden mechanizmushoz a csatlakozó eszköz megfelelő VPN-ügyfélszoftverét kell konfigurálni a VPN-ügyfélprofil konfigurációs fájljaiban elérhető megfelelő beállításokkal.
| Alagút típusa | Hitelesítési mechanizmus |
|---|---|
| OpenVPN | A Microsoft Entra-azonosító, a Radius-hitelesítés és az Azure-tanúsítvány bármely részhalmaza |
| SSTP | Radius-hitelesítés/ Azure-tanúsítvány |
| IKEv2 | Radius-hitelesítés/ Azure-tanúsítvány |
| IKEv2 és OpenVPN | Radius-hitelesítés/ Azure-tanúsítvány/ Microsoft Entra azonosító és Radius-hitelesítés/ Microsoft Entra azonosító és Azure-tanúsítvány |
| IKEv2 és SSTP | Radius-hitelesítés/ Azure-tanúsítvány |
Tanúsítványhitelesítés
Amikor tanúsítványhitelesítésre konfigurálja a P2S-átjárót, feltölti a megbízható főtanúsítvány nyilvános kulcsát az Azure Gatewaybe. Használhat vállalati megoldással létrehozott főtanúsítványt, vagy létrehozhat önaláírt tanúsítványt.
A hitelesítéshez minden csatlakozó ügyfélnek rendelkeznie kell egy telepített ügyféltanúsítvánnyal, amely a megbízható főtanúsítványból lett létrehozva. Ez a VPN-ügyfélszoftver mellett van. Az ügyféltanúsítvány érvényesítését a VPN-átjáró végzi, és a P2S VPN-kapcsolat létrehozása során történik.
Tanúsítvány-hitelesítési munkafolyamat
Magas szinten a következő lépéseket kell végrehajtania a tanúsítványhitelesítés konfigurálásához:
- Engedélyezze a tanúsítványhitelesítést a P2S-átjárón, valamint a további szükséges beállításokat (ügyfélcímkészletet stb.), és töltse fel a legfelső szintű hitelesítésszolgáltató nyilvános kulcsadatait.
- VPN-ügyfélprofil konfigurációs fájljainak (profilkonfigurációs csomag) létrehozása és letöltése.
- Telepítse az ügyféltanúsítványt minden csatlakozó ügyfélszámítógépre.
- Konfigurálja a VPN-ügyfelet az ügyfélszámítógépen a VPN-profil konfigurációs csomagjában található beállításokkal.
- Csatlakozzon.
Microsoft Entra ID-hitelesítés
A P2S-átjárót úgy konfigurálhatja, hogy a VPN-felhasználók a Microsoft Entra ID hitelesítő adataival hitelesítsék magukat. A Microsoft Entra ID-hitelesítéssel használhatja a Microsoft Entra feltételes hozzáférést és a többtényezős hitelesítés (MFA) funkcióit a VPN-hez. A Microsoft Entra ID-hitelesítés csak az OpenVPN protokoll esetében támogatott. A hitelesítéshez és a csatlakozáshoz az ügyfeleknek az Azure VPN-ügyfelet kell használniuk.
A VPN Gateway mostantól támogatja a Microsoft által regisztrált új alkalmazásazonosítót és a hozzá tartozó célközönségértékeket az Azure VPN-ügyfél legújabb verzióihoz. Ha P2S VPN-átjárót konfigurál az új közönségértékek használatával, kihagyja a korábban szükséges Azure VPN-kliens alkalmazás manuális regisztrációs folyamatát a Microsoft Entra bérlő számára. Az alkalmazásazonosító már létrejött, és a bérlő automatikusan használhatja további regisztrációs lépések nélkül. Ez a folyamat biztonságosabb, mint az Azure VPN-ügyfél manuális regisztrálása, mert nem kell engedélyeznie az alkalmazást, és nem kell engedélyeket rendelnie a Cloud App Administrator szerepkörön keresztül. Az alkalmazásobjektumok típusai közötti különbség jobb megértéséhez tekintse meg az alkalmazások Microsoft Entra-azonosítóhoz való hozzáadásának módját és okát.
- Ha a P2S felhasználói VPN-átjáró a manuálisan konfigurált Azure VPN-ügyfélalkalmazás célközönségértékeivel van konfigurálva, egyszerűen módosíthatja az átjáró és az ügyfél beállításait, hogy kihasználhassa az új Microsoft által regisztrált alkalmazásazonosítót. Ha azt szeretné, hogy a Linux-ügyfelek csatlakozzanak, frissítenie kell a P2S-átjárót az új Célközönség értékkel. A Linuxhoz készült Azure VPN-ügyfél nem kompatibilis a régebbi célközönségértékekkel.
- Ha egyéni célközönségértéket szeretne létrehozni vagy módosítani, olvassa el a P2S VPN-hez készült egyéni célközönségalkalmazás-azonosító létrehozása című témakört.
- Ha felhasználók és csoportok alapján szeretné konfigurálni vagy korlátozni a P2S-hozzáférést, olvassa el a forgatókönyvet: P2S VPN-hozzáférés konfigurálása felhasználók és csoportok alapján.
Megfontolások
A P2S VPN-átjáró csak egy Célközönség értéket támogat. Egyszerre nem képes több Célközönség értéket támogatni.
A Linuxhoz készült Azure VPN-ügyfél nem kompatibilis visszafelé a manuálisan regisztrált alkalmazáshoz igazodó, régebbi Célközönség értékek használatára konfigurált P2S-átjárókkal. A Linuxhoz készült Azure VPN-ügyfél azonban támogatja az egyéni célközönség értékeit.
-
Bár lehetséges, hogy a Linuxhoz készült Azure VPN-ügyfél más Linux-disztribúciókon és kiadásokon is működik, a Linuxhoz készült Azure VPN-ügyfél csak a következő kiadásokban támogatott:
- Ubuntu 20.04
- Ubuntu 22.04
-
Bár lehetséges, hogy a WindowsHoz készült Azure VPN-ügyfél más operációsrendszer-verziókon is működik, a Windowshoz készült Azure VPN-ügyfél csak a következő kiadásokban támogatott:
- Támogatott Windows-kiadások: Windows 10, Windows 11 X64 processzorokon.
- A Windowshoz készült Azure VPN-ügyfél arm-processzoron futó rendszerek esetében nem támogatott.
A macOS-hez és Windowshoz készült Azure VPN-ügyfelek legújabb verziói visszamenőlegesen kompatibilisek a P2S-átjárókkal, amelyek úgy vannak konfigurálva, hogy a manuálisan regisztrált alkalmazáshoz igazodó régebbi célközönségértékeket használják. Ezek az ügyfelek az egyéni célközönség értékeit is támogatják.
Az Azure VPN-ügyfél célközönségének értékei
Az alábbi táblázat az Azure VPN-ügyfél azon verzióit mutatja be, amelyek támogatottak az egyes alkalmazásazonosítókhoz és a megfelelő elérhető célközönségértékekhez.
| alkalmazásazonosító | Támogatott célközönségértékek | Támogatott ügyfelek |
|---|---|---|
| Microsoft által regisztrált | A célközönség értéke c632b3df-fb67-4d84-bdcf-b95ad541b5c8 a következőkre vonatkozik:- Nyilvános Azure - Azure Government - Azure Germany - A 21Vianet által üzemeltetett Microsoft Azure |
- Linux -Windows - macOS |
| Manuálisan regisztrálva | - Nyilvános Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4- Azure Kormányzati: 51bb15d4-3a4f-4ebf-9dca-40096fe32426- Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9- A 21Vianet által üzemeltetett Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
-Windows - macOS |
| Személyre szabott | <custom-app-id> |
- Linux -Windows - macOS |
Microsoft Entra ID hitelesítési munkafolyamat
Magas szinten a következő lépéseket kell végrehajtania a Microsoft Entra ID-hitelesítés konfigurálásához:
- Ha manuális alkalmazásregisztrációt használ, hajtsa végre a szükséges lépéseket a Microsoft Entra-bérlőn.
- Engedélyezze a Microsoft Entra ID-hitelesítést a P2S-átjárón, valamint a további szükséges beállításokat (ügyfélcímkészletet stb.).
- VPN-ügyfélprofil konfigurációs fájljainak (profilkonfigurációs csomag) létrehozása és letöltése.
- Töltse le, telepítse és konfigurálja az Azure VPN-ügyfelet az ügyfélszámítógépen.
- Csatlakozzon.
RADIUS – Active Directory (AD) tartományi kiszolgáló hitelesítése
Az AD-tartományhitelesítés lehetővé teszi a felhasználók számára, hogy szervezeti tartomány hitelesítő adataikkal csatlakozzanak az Azure-hoz. Olyan RADIUS-kiszolgálóra van szükség, amely integrálható az AD-kiszolgálóval. A szervezetek a meglévő RADIUS-megoldásukat is használhatják.
A RADIUS-kiszolgáló üzembe helyezhető a helyszínen vagy az Azure-beli virtuális hálózaton. A hitelesítés során az Azure VPN Gateway áthaladóként működik, és továbbítja a hitelesítési üzeneteket oda-vissza a RADIUS-kiszolgáló és a csatlakozó eszköz között. Ezért fontos, hogy az átjáró elérhető legyen a RADIUS-kiszolgáló számára. Ha a RADIUS-kiszolgáló a helyszínen található, akkor az elérhetőség érdekében VPN S2S-kapcsolatra van szükség az Azure-ból a helyszíni helyre.
A RADIUS-kiszolgáló integrálható az AD tanúsítványszolgáltatásokkal is. Ez lehetővé teszi a RADIUS-kiszolgáló és a vállalati tanúsítvány üzembe helyezését a P2S-tanúsítványhitelesítéshez az Azure-tanúsítványhitelesítés alternatívaként. Ennek az az előnye, hogy nem kell főtanúsítványokat és visszavont tanúsítványokat feltöltenie az Azure-ba.
A RADIUS-kiszolgáló más külső identitásrendszerekkel is integrálható. Ez számos hitelesítési lehetőséget nyit meg a P2S VPN-hez, beleértve a többtényezős beállításokat is.
A P2S-átjáró konfigurációs lépéseit a P2S – RADIUS konfigurálása című témakörben találja.
Mik az ügyfélkonfigurációs követelmények?
Az ügyfélkonfigurációs követelmények a használt VPN-ügyféltől, a hitelesítési típustól és a protokolltól függően eltérőek lehetnek. Az alábbi táblázat az elérhető ügyfeleket és az egyes konfigurációkhoz tartozó cikkeket mutatja be.
| Hitelesítési módszer | Alagúttípus | Ügyfél operációs rendszere | VPN-ügyfél |
|---|---|---|---|
| Bizonyítvány | |||
| IKEv2, SSTP | Windows | Natív VPN-ügyfél | |
| IKEv2 | macOS | Natív VPN-ügyfél | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Azure VPN-ügyfél OpenVPN-ügyfél 2.x-es verziója OpenVPN-ügyfél 3.x-es verziója |
|
| OpenVPN | macOS | OpenVPN-ügyfél | |
| OpenVPN | iOS | OpenVPN-ügyfél | |
| OpenVPN | Linux |
Azure VPN-ügyfél OpenVPN-ügyfél |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-ügyfél | |
| OpenVPN | macOS | Azure VPN-ügyfél | |
| OpenVPN | Linux | Azure VPN-ügyfél |
Az Azure VPN-ügyfél mely verziói érhetők el?
Az Elérhető Azure VPN-ügyfélverziókról, a kiadási dátumokról és az egyes kiadások újdonságairól további információt az Azure VPN-ügyfél verzióiban talál.
Mely átjáró-termékváltozatok támogatják a P2S VPN-t?
Az alábbi táblázat az átjáró termékváltozatát mutatja alagút, kapcsolat és átviteli sebesség szerint. További információ: Az átjáró termékváltozatai.
|
VPN Átjáró Generáció |
Termékváltozat |
S2S/VNet-to-VNet Alagutak |
P2S SSTP-kapcsolatok |
P2S IKEv2/OpenVPN-kapcsolatok |
Összesít Áteresztőképesség mérték |
BGP | Zóna-redundáns | Támogatott virtuális gépek száma a virtuális hálózaton |
|---|---|---|---|---|---|---|---|---|
| 1. generáció | Alapszintű | Max. 10 | Max. 128 | Nem támogatott | 100 Mb/s | Nem támogatott | Nem | 200 |
| 1. generáció | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Támogatott | Nem | 450 |
| 1. generáció | VpnGw2 | Max. 30 | Max. 128 | Max. ötszáz | 1 Gbit/s | Támogatott | Nem | 1300 |
| 1. generáció | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Támogatott | Nem | 4000 |
| 1. generáció | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Támogatott | Igen | 1000 |
| 1. generáció | VpnGw2AZ | Max. 30 | Max. 128 | Max. ötszáz | 1 Gbit/s | Támogatott | Igen | 2000. |
| 1. generáció | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Támogatott | Igen | 5 000 |
| 2. generáció | VpnGw2 | Max. 30 | Max. 128 | Max. ötszáz | 1,25 Gbps | Támogatott | Nem | 685 |
| 2. generáció | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Támogatott | Nem | 2240 |
| 2. generáció | VpnGw4 | Max. 100* | Max. 128 | Max. 5 000 | 5 Gbps | Támogatott | Nem | 5300 |
| 2. generáció | VpnGw5 | Max. 100* | Max. 128 | Max. 10 000 | 10 Gbps | Támogatott | Nem | 6700 |
| 2. generáció | VpnGw2AZ | Max. 30 | Max. 128 | Max. ötszáz | 1,25 Gbps | Támogatott | Igen | 2000. |
| 2. generáció | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Támogatott | Igen | 3300 |
| 2. generáció | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5 000 | 5 Gbps | Támogatott | Igen | 4400 |
| 2. generáció | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10 000 | 10 Gbps | Támogatott | Igen | kilencezer |
Megjegyzés:
Az alapszintű termékváltozat korlátozásokkal rendelkezik, és nem támogatja az IKEv2, az IPv6 vagy a RADIUS-hitelesítést. További információ: VPN Gateway-beállítások.
Milyen IKE/IPsec-szabályzatok vannak konfigurálva a P2S VPN-átjáróiban?
Az ebben a szakaszban található táblák az alapértelmezett szabályzatok értékeit jelenítik meg. Ezek azonban nem tükrözik az egyéni szabályzatok támogatott értékeit. Az egyéni szabályzatokért tekintse meg a New-AzVpnClientIpsecParameter PowerShell-parancsmagban felsorolt Elfogadott értékeket.
IKEv2
| Rejtjel | Integritás | PRF | DH-csoport |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Rejtjel | Integritás | PFS-csoport |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Milyen TLS-szabályzatok vannak konfigurálva a P2S VPN-átjáróiban?
TLS
| szabályzatok |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Csak a TLS1.3-on támogatott OpenVPN-vel
Hogyan konfigurálhatok P2S-kapcsolatot?
A P2S-konfigurációhoz elég sok konkrét lépésre van szükség. Az alábbi cikkek a P2S gyakori konfigurációs lépéseinek lépéseit tartalmazzák.
P2S-kapcsolat konfigurációjának eltávolítása
A kapcsolat konfigurációját a PowerShell vagy a parancssori felület használatával távolíthatja el. Példákért tekintse meg a gyakori kérdéseket.
Hogyan működik a P2S-útválasztás?
Tekintse meg az alábbi cikkeket:
Gyakori kérdések
A pont–hely elemhez több gyik bejegyzés is tartozhat. Lásd a VPN Gateway gyakori kérdéseit, különös figyelmet fordítva a tanúsítványhitelesítésre és a RADIUS-szakaszokra , ha szükséges.
Következő lépések
- P2S-kapcsolat konfigurálása – Azure-tanúsítványhitelesítés
- P2S-kapcsolat konfigurálása – Microsoft Entra ID-hitelesítés
Az "OpenVPN" az OpenVPN Inc. védjegye.