Konfigurasikan koneksi Titik-ke-Situs ke VNet dengan autentikasi RADIUS: PowerShell

Artikel ini akan memperlihatkan Anda cara untuk membuat VNet dengan koneksi titik-ke-situs (P2S) yang menggunakan autentikasi RADIUS. Konfigurasi ini hanya tersedia untuk model penyebaran Resource Manager. Anda dapat membuat konfigurasi ini menggunakan portal Microsoft Azure atau PowerShell.

Koneksi VPN gateway titik-ke-situs memungkinkan Anda untuk membuat koneksi yang aman ke jaringan virtual dari komputer klien individual. Koneksi VPN P2S berguna saat Anda ingin terhubung ke VNet Anda dari lokasi jarak jauh, seperti saat Anda melakukan telecommuting dari rumah atau konferensi. VPN P2S juga merupakan solusi yang berguna sebagai pengganti VPN situs-ke-situs saat Anda hanya memiliki beberapa klien yang ingin tersambung ke VNet.

Koneksi VPN P2S dimulai dari perangkat Windows dan Mac. Artikel ini membantu Anda untuk mengonfigurasi konfigurasi P2S yang menggunakan server RADIUS untuk autentikasi. Jika Anda ingin melakukan autentikasi menggunakan metode lain, lihat artikel berikut ini:

• Autentikasi sertifikat
• Autentikasi Microsoft Entra

Koneksi P2S tidak memerlukan perangkat VPN atau alamat IP publik. P2S membuat koneksi VPN melalui SSTP (Secure Socket Tunneling Protocol), OpenVPN, atau IKEv2.

• SSTP adalah terowongan VPN berbasis TLS yang hanya didukung pada platform klien Windows. SSTP dapat menembus firewall, yang menjadikannya pilihan bagus untuk menghubungkan perangkat Windows ke Azure dari mana saja. Di sisi server, kami hanya mendukung TLS versi 1.2. Untuk meningkatkan performa, skalabilitas, dan keamanan, pertimbangkan untuk menggunakan protokol OpenVPN sebagai gantinya.

• Protokol OpenVPN®, suatu protokol VPN berbasis SSL/TLS. Solusi VPN TLS dapat menembus firewall, karena sebagian besar firewall membuka port TCP 443 keluar, yang digunakan TLS. OpenVPN dapat digunakan untuk menyambung dari Android, iOS (versi 11.0 dan yang lebih baru), perangkat Windows, Linux, dan Mac (MacOS versi 10.13 dan yang lebih baru).

• IKEv2 VPN, suatu solusi VPN IPsec berbasis standar. VPN IKEv2 dapat digunakan untuk terhubung dari perangkat Windows, Linux, dan Mac (macOS versi 10.11 ke atas).

Untuk konfigurasi berikut ini, koneksi memerlukan hal berikut:

• Gateway VPN RouteBased.
• Server RADIUS untuk menangani autentikasi pengguna. Server RADIUS dapat digunakan lokal atau di Azure VNet. Anda juga dapat mengonfigurasi dua server RADIUS untuk ketersediaan tinggi.
• Paket konfigurasi profil klien VPN. Paket konfigurasi profil klien VPN merupakan paket yang Anda hasilkan. Paket ini menghasilkan pengaturan yang dibutuhkan untuk klien VPN untuk terhubung melalui P2S.

Tentang Autentikasi Domain Active Directory Domain Services (AD) untuk VPN P2S

Autentikasi Domain AD memungkinkan pengguna masuk ke Azure menggunakan kredensial domain organisasi mereka. Ini membutuhkan server RADIUS yang terintegrasi dengan server AD. Organisasi juga dapat memanfaatkan penyebaran RADIUS yang ada.

Server RADIUS dapat berada di tempat, atau di Azure VNet Anda. Selama autentikasi, Azure VPN Gateway bertindak sebagai pass through dan meneruskan pesan autentikasi bolak-balik antara server RADIUS dan perangkat penghubung. Gateway VPN harus dapat mencapai server RADIUS. Jika lokasi server RADIUS tersedia secara lokal, maka koneksi VPN situs-ke-situs dari Azure ke situs lokal akan dibutuhkan.

Selain Active Directory, server RADIUS juga dapat berintegrasi dengan sistem identitas eksternal lainnya. Hal ini membuka banyak opsi autentikasi untuk VPN P2S, termasuk opsi MFA. Periksa dokumentasi vendor server RADIUS Anda untuk mendapatkan daftar sistem identitas yang terintegrasi ke dokumentasi tersebut.

Penting

Hanya koneksi VPN situs-ke-situs yang dapat digunakan untuk menyambungkan ke server RADIUS lokal. Koneksi ExpressRoute tidak bisa digunakan.

Sebelum memulai

Pastikan Anda memiliki langganan Azure. Jika Anda belum memiliki langganan Azure, Anda dapat mengaktifkan manfaat pelanggan MSDN atau mendaftar untuk akun gratis.

Bekerja dengan Azure PowerShell

Artikel ini menggunakan cmdlet PowerShell. Untuk menjalankan cmdlet, Anda dapat menggunakan Azure Cloud Shell. Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Shell ini memiliki alat Azure umum yang telah dipasang sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.

Untuk membuka Cloud Shell, cukup pilih Buka Cloudshell dari sudut kanan atas blok kode. Anda juga dapat membuka Cloud Shell di tab browser terpisah dengan membuka https://shell.azure.com/powershell. Pilih Salin untuk menyalin blok kode, tempelkan kode ke Cloud Shell, dan pilih tombol Enter untuk menjalankannya.

Anda juga dapat menginstal dan menjalankan cmdlet Azure PowerShell secara lokal di komputer Anda. Cmdlet PowerShell sering diperbarui. Jika Anda belum menginstal versi terbaru, nilai yang ditentukan dalam instruksi mungkin gagal. Untuk menemukan versi Azure PowerShell yang terinstal di komputer Anda, gunakan Get-Module -ListAvailable Az cmdlet. Untuk menginstal atau memperbarui, lihat Menginstal modul Azure PowerShell.

Contoh nilai

Anda dapat menggunakan nilai berikut untuk membuat lingkungan pengujian, atau merujuk ke nilai ini untuk lebih memahami contoh dalam artikel ini. Anda dapat menggunakan langkah-langkah ini sebagai walk-through dan menggunakan nilai tanpa mengubahnya, atau mengubahnya agar sesuai dengan lingkungan Anda.

• Nama: VNet1
• Ruang alamat: 10.1.0.0/16 serta 10.254.0.0/16
  Untuk contoh ini, kita menggunakan lebih dari satu ruang alamat untuk mengilustrasikan bahwa konfigurasi ini berfungsi dengan beberapa ruang alamat. Namun, beberapa ruang alamat tidak dibutuhkan untuk konfigurasi ini.
• Nama subnet: FrontEnd
  • Rentang alamat subnet: 10.1.0.0/24
• Nama subnet: BackEnd
  • Rentang alamat subnet: 10.254.1.0/24
• Nama subnet: GatewaySubnet
  Nama subnet GatewaySubnet diwajibkan agar gateway VPN berfungsi.
  • Rentang alamat GatewaySubnet: 10.1.255.0/27
• Kumpulan alamat klien VPN: 172.16.201.0/24
  Klien VPN yang tersambung ke VNet menggunakan koneksi P2S ini menerima alamat IP dari kumpulan alamat klien VPN.
• Langganan: Jika Anda memiliki lebih dari satu langganan, verifikasi bahwa Anda telah menggunakan langganan yang benar.
• Grup Sumber Daya: TestRG1
• Lokasi: US Timur
• DNS Server: Alamat IP server DNS yang ingin Anda gunakan untuk resolusi nama bagi VNet Anda. (opsional)
• Nama GW: Vnet1GW
• Nama IP publik: VNet1GWPIP
• VpnType: RouteBased

1. Atur variabel

Deklarasikan variabel yang ingin Anda gunakan. Gunakan contoh berikut, mengganti nilai untuk Anda sendiri bila perlu. Jika Anda menutup sesi PowerShell/Cloud Shell kapan saja selama latihan, cukup salin dan tempel nilai lagi untuk mendeklarasikan kembali variabel.

$VNetName  = "VNet1"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "10.1.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "10.1.0.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "10.1.255.0/27"
$VPNClientAddressPool = "172.16.201.0/24"
$RG = "TestRG1"
$Location = "East US"
$GWName = "VNet1GW"
$GWIPName = "VNet1GWPIP"
$GWIPconfName = "gwipconf1"

2. Buat grup sumber daya, VNet, dan Alamat IP publik

Langkah-langkah berikut membuat grup sumber daya dan jaringan virtual di grup sumber daya dengan tiga subnet. Saat memberi pengganti nilai, Anda harus selalu memberi nama subnet gateway Anda ‘GatewaySubnet’ saja. Jika menamainya dengan yang lain, pembuatan gateway Anda akan gagal;

1. Buat grup sumber daya.

   New-AzResourceGroup -Name "TestRG1" -Location "East US"
   

2. Buat konfigurasi subnet untuk jaringan virtual, bernama FrontEnd, BackEnd, dan GatewaySubnet. Prefiks ini harus menjadi bagian dari ruang alamat VNet yang Anda nyatakan.

   $fesub = New-AzVirtualNetworkSubnetConfig -Name "FrontEnd" -AddressPrefix "10.1.0.0/24"  
   $besub = New-AzVirtualNetworkSubnetConfig -Name "Backend" -AddressPrefix "10.254.1.0/24"  
   $gwsub = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix "10.1.255.0/27"
   

3. Buat jaringan virtual.

   Dalam contoh ini, parameter server -DnsServer bersifat opsional. Menentukan nilai tidak akan membuat server DNS baru. Alamat IP server DNS yang ditentukan harus merupakan server DNS yang bisa mengatasi nama untuk sumber daya yang disambungkan dari VNet Anda. Contoh ini menggunakan alamat IP pribadi, tetapi kemungkinan contoh tersebut bukanlah alamat IP server DNS Anda. Pastikan untuk menggunakan nilai Anda sendiri. Nilai yang Anda tentukan digunakan oleh sumber daya yang Anda sebarkan ke VNet, bukan oleh koneksi P2S.

   New-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" -Location "East US" -AddressPrefix "10.1.0.0/16","10.254.0.0/16" -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3
   

4. VPN gateway harus memiliki alamat IP Publik. Pertama-tama, minta sumber daya alamat IP, lalu merujuknya saat membuat gateway jaringan virtual Anda. Alamat IP secara dinamis ditetapkan ke sumber daya saat VPN gateway dibuat. VPN Gateway saat ini hanya mendukung alokasi Alamat IP publik Dinamis. Anda tidak bisa meminta penetapan Alamat IP publik Statis. Namun, ini bukan berarti alamat IP akan berubah setelah ditetapkan ke VPN gateway Anda. Alamat IP Publik berubah hanya pada saat gateway dihapus dan dibuat ulang. Ini tidak berubah di seluruh pengubahan ukuran, pengaturan ulang, atau pemeliharaan/peningkatan internal lainnya dari gateway VPN Anda.

   Tentukan variabel untuk meminta alamat IP Publik yang ditetapkan secara dinamis.

   $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"  
   $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet 
   $pip = New-AzPublicIpAddress -Name "VNet1GWPIP" -ResourceGroupName "TestRG1" -Location "East US" -AllocationMethod Dynamic 
   $ipconf = New-AzVirtualNetworkGatewayIpConfig -Name "gwipconf1" -Subnet $subnet -PublicIpAddress $pip
   

3. Siapkan server RADIUS Anda

Sebelum membuat serta mengonfigurasi gateway jaringan virtual, server RADIUS Anda harus dikonfigurasi dengan benar untuk autentikasi.

1. Jika Anda tidak memiliki server RADIUS yang digunakan, sebarkan server tersebut. Untuk langkah-langkah penyebaran, lihat panduan penyiapan yang disediakan oleh vendor RADIUS Anda.  
2. Konfigurasi gateway VPN sebagai klien RADIUS pada RADIUS. Saat menambahkan klien RADIUS ini, tentukan jaringan virtual GatewaySubnet yang Anda buat.
3. Setelah server RADIUS disiapkan, dapatkan alamat IP server RADIUS dan rahasia bersama yang harus digunakan klien RADIUS untuk berkomunikasi dengan server RADIUS. Jika server RADIUS berada di Azure VNet, gunakan IP CA dari VM server RADIUS.

Artikel Server Kebijakan Jaringan (NPS) memberikan panduan tentang mengonfigurasi server RADIUS Windows (NPS) untuk autentikasi domain AD.

4. Buat VPN gateway

Konfigurasikan dan buat gateway VPN untuk VNet Anda.

• -GatewayType harus 'Vpn' dan -VpnType harus 'RouteBased'.
• VPN gateway dapat memakan waktu 45 menit atau lebih untuk menyelesaikan, tergantung pada SKU gateway yang Anda pilih.

New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1

5. Tambahkan server RADIUS dan kumpulan alamat klien

• -RadiusServer dapat ditentukan berdasarkan nama atau alamat IP. Jika Anda menentukan nama dan server lokal, maka gateway VPN mungkin tidak dapat mengatasi nama tersebut. Jika itu masalahnya, maka lebih baik menentukan alamat IP server.
• -RadiusSecret harus cocok dengan yang dikonfigurasi pada server RADIUS Anda.
• -VpnClientAddressPool adalah rentang dari mana klien VPN yang tersambung menerima alamat IP. Gunakan rentang alamat IP pribadi yang tidak tumpang tindih dengan lokasi lokal yang disambungkan atau dengan VNet yang ingin disambungkan. Pastikan Anda memiliki kumpulan alamat yang cukup besar yang dikonfigurasi.  

1. Membuat string aman untuk rahasia RADIUS.

   $Secure_Secret=Read-Host -AsSecureString -Prompt "RadiusSecret"
   

2. Anda akan diminta untuk memasukkan rahasia RADIUS. Karakter yang Anda masukkan tidak akan ditampilkan dan sebagai gantinya, akan digantikan oleh karakter "*".

   RadiusSecret:***
   

3. Tambahkan kumpulan alamat klien VPN dan informasi server RADIUS.

   Untuk konfigurasi SSTP:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
   -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "SSTP" `
   -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
   

   Untuk konfigurasi OpenVPN®:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientRootCertificates @()
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
   -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "OpenVPN" `
   -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
   

   Untuk konfigurasi IKEv2:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
   -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "IKEv2" `
   -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
   

   Untuk SSTP + IKEv2:

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
   -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol @( "SSTP", "IkeV2" ) `
   -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
   

   Untuk menentukan dua server RADIUS, gunakan sintaksis berikut. Ubah nilai -VpnClientProtocol sesuai kebutuhan Anda.

   $radiusServer1 = New-AzRadiusServer -RadiusServerAddress 10.1.0.15 -RadiusServerSecret $radiuspd -RadiusServerScore 30
   $radiusServer2 = New-AzRadiusServer -RadiusServerAddress 10.1.0.16 -RadiusServerSecret $radiuspd -RadiusServerScore 1
   
   $radiusServers = @( $radiusServer1, $radiusServer2 )
   
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $actual -VpnClientAddressPool 201.169.0.0/16 -VpnClientProtocol "IkeV2" -RadiusServerList $radiusServers
   

6. Mengonfigurasi klien VPN dan menyambungkan

Paket konfigurasi profil klien VPN berisi pengaturan yang akan membantu Anda mengonfigurasi profil klien VPN untuk koneksi ke Azure VNet.

Untuk membuat paket konfigurasi klien VPN serta mengonfigurasi klien VPN, harap lihat salah satu artikel berikut ini:

• RADIUS - Autentikasi sertifikat untuk klien VPN
• RADIUS - Autentikasi kata sandi untuk klien VPN
• RADIUS - Metode autentikasi lainnya untuk klien VPN

Setelah mengonfigurasi klien VPN, sambungkan ke Azure.

Untuk memverifikasi koneksi Anda

1. Untuk memverifikasi bahwa koneksi VPN Anda aktif, buka prompt perintah tinggi, dan jalankan ipconfig/all.

2. Lihat hasilnya. Perhatikan bahwa alamat IP yang diterima merupakan salah satu alamat dalam Kumpulan Alamat Klien VPN P2S yang Anda tentukan dalam konfigurasi Anda. Hasilnya mirip dengan contoh ini:

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.3(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

Untuk memecahkan masalah koneksi P2S, lihat Pemecahan masalah koneksi titik-ke-situs Azure.

Untuk menyambungkan ke komputer virtual

Anda dapat terhubung ke VM yang disebarkan ke jaringan virtual Anda dengan membuat Koneksi desktop jarak jauh ke VM Anda. Cara terbaik untuk memverifikasi bahwa Anda dapat terhubung ke VM Anda terlebih dahulu adalah dengan menggunakan alamat IP pribadinya, bukan nama komputernya. Dengan demikian, Anda sedang menguji untuk melihat apakah Anda dapat tersambung, bukan apakah resolusi nama dikonfigurasi dengan benar.

1. Temukan alamat IP pribadi. Anda dapat menemukan alamat IP privat VM dengan melihat properti untuk VM di portal Azure atau dengan menggunakan PowerShell.

   • portal Azure: Temukan VM Anda di portal Azure. Lihat properti untuk VM. Alamat IP pribadi dicantumkan.

   • PowerShell: Gunakan contoh untuk melihat daftar VM dan alamat IP privat dari grup sumber daya Anda. Anda tidak perlu mengubah contoh ini sebelum menggunakannya.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Verifikasi bahwa Anda tersambung ke jaringan virtual Anda.

3. Buka Koneksi desktop jarak jauh dengan memasukkan Koneksi ion RDP atau Desktop Jauh di kotak pencarian pada taskbar. Lalu pilih Koneksi ion Desktop Jauh. Anda juga dapat membuka Koneksi ion Desktop Jauh dengan menggunakan mstsc perintah di PowerShell.

4. Di Remote Desktop Connection, masukkan alamat IP privat dari VM itu. Anda dapat memilih Perlihatkan Opsi untuk menyesuaikan pengaturan lain lalu menyambungkan.

Jika Anda mengalami masalah saat menyambungkan ke VM melalui koneksi VPN Anda, periksa poin-poin berikut:

• Pastikan sambungan VPN Anda aktif.
• Verifikasi bahwa Anda menyambungkan ke alamat IP private untuk VM itu.
• Jika Anda bisa tersambung ke VM dengan menggunakan alamat IP privat tetapi bukan nama komputer, verifikasi bahwa Anda telah mengonfigurasi DNS dengan benar. Untuk informasi selengkapnya tentang cara kerja resolusi nama untuk VM, lihat Resolusi nama untuk VM.

Untuk informasi selengkapnya tentang sambungan RDP, lihat Memecahkan masalah sambungan Desktop Jauh ke VM.

• Pastikan bahwa paket konfigurasi klien VPN dihasilkan setelah alamat IP server DNS ditentukan untuk VNet. Jika Anda memperbarui alamat IP server DNS, hasilkan dan instal paket konfigurasi klien VPN baru.

• Gunakan 'ipconfig' untuk memeriksa alamat IPv4 yang ditetapkan ke adaptor Ethernet di komputer yang Anda sambungkan. Jika alamat IP berada dalam rentang alamat VNet yang Anda sambungkan, atau dalam rentang alamat VPNClientAddressPool Anda, ini disebut sebagai ruang alamat yang tumpang tindih. Ketika ruang alamat Anda tumpang tindih semacam ini, lalu lintas jaringan tidak mencapai Azure, ruang alamat Anda tetap berada di jaringan lokal.

FAQ

Untuk informasi FAQ, lihat bagian Autentikasi Point-to-site - RADIUS dari Tanya Jawab Umum.

Langkah berikutnya

Setelah koneksi selesai, Anda dapat menambahkan komputer virtual ke jaringan virtual Anda. Untuk informasi selengkapnya, lihat Mesin Virtual. Untuk memahami selengkapnya tentang jaringan dan mesin virtual, lihat Gambaran umum jaringan VM Azure dan Linux.