Mengunduh profil VPN hub dan global untuk klien VPN Pengguna
Azure Virtual WAN menawarkan dua jenis profil koneksi untuk klien VPN Pengguna: profil global dan profil hub. Jenis profil yang Anda pilih bergantung pada apakah Anda ingin klien VPN terhubung ke profil tingkat WAN yang di-load balanced secara geografis (profil global), atau Anda ingin membatasi klien VPN agar hanya terhubung ke hub tertentu (profil hub). Artikel ini membantu Anda membuat file konfigurasi klien VPN untuk kedua jenis profil.
Profil global
Profil global yang terkait dengan konfigurasi VPN Pengguna mengarah ke Global Traffic Manager. Global Traffic Manager mencakup semua hub VPN Pengguna aktif yang menggunakan konfigurasi VPN Pengguna tersebut. Namun, Anda dapat memilih untuk mengecualikan hub dari Global Traffic Manager jika perlu. Pengguna yang terhubung ke profil global diarahkan ke hub yang paling dekat dengan lokasi geografis pengguna. Tindakan ini sangat berguna jika Anda memiliki pengguna yang sering bepergian di beberapa lokasi.
Misalnya, Konfigurasi VPN Pengguna dikaitkan dengan dua hub berbeda untuk WAN virtual yang sama, satu di AS Barat dan satu di Asia Tenggara. Jika pengguna terhubung ke profil global yang terkait dengan konfigurasi VPN Pengguna, mereka akan terhubung ke hub Azure VIRTUAL WAN terdekat berdasarkan lokasi mereka.
Penting
Jika konfigurasi VPN titik-ke-situs yang digunakan untuk profil global dikonfigurasikan untuk mengautentikasi pengguna menggunakan protokol RADIUS, pastikan "Gunakan server RADIUS Jarak Jauh/Lokal" diaktifkan untuk semua gateway VPN titik-ke-situs menggunakan konfigurasi tersebut. Selain itu, pastikan server RADIUS Anda dikonfigurasikan untuk menerima permintaan autentikasi dari alamat IP proksi RADIUS dari semua gateway VPN titik-ke-situs menggunakan konfigurasi VPN ini.
Mengunduh profil VPN global
Untuk membuat dan mengunduh file konfigurasi profil klien VPN, gunakan langkah-langkah berikut:
BukaWAN Virtual.
Di panel kiri, pilih Konfigurasi VPN Pengguna.
Pada halaman Konfigurasi VPN Pengguna, Anda akan melihat semua konfigurasi VPN Pengguna yang telah Anda buat untuk WAN virtual Anda. Di kolom Hub, Anda akan melihat hub yang terkait dengan setiap konfigurasi VPN Pengguna. Klik > untuk meluaskan dan melihat nama hub.
Dalam contoh berikut, lihat beberapa baris dengan hub yang menggunakan Konfigurasi VPN Pengguna yang sama. Di profil global, saat hub menggunakan Konfigurasi VPN Pengguna yang sama, Anda dapat mengklik baris hub apa pun yang memiliki Konfigurasi VPN Pengguna yang diinginkan. File profil yang Anda buat dari halaman ini selaras dengan Konfigurasi VPN Pengguna, bukan hub tertentu. Jika Anda ingin membatasi pengguna VPN Anda agar hanya terhubung ke satu hub (Anda tidak ingin menggunakan profil global), gunakan langkah-langkah profil Hub sebagai gantinya.
Dalam contoh, kami memilih baris dengan Hub2, tetapi memilih Hub3 atau Hub1 akan menghasilkan file konfigurasi profil yang sama. Namun, jika kita memilih baris dengan Hub6, file konfigurasi profil akan berbeda karena Hub6 menggunakan Konfigurasi VPN Pengguna yang berbeda.
Klik baris yang berisi Konfigurasi VPN Pengguna yang ingin Anda gunakan. Tindakan ini akan menyoroti seluruh baris. Lalu, klik Unduh profil VPN pengguna virtual WAN.
Pada halaman Unduh profil VPN pengguna WAN virtual, pilih EAPTLS, lalu klik Buat dan unduh profil. Paket profil (file zip) yang berisi pengaturan konfigurasi klien akan dibuat dan diunduh ke komputer Anda. Konten paket bergantung pada hub serta pilihan jenis autentikasi dan terowongan untuk konfigurasi yang Anda pilih.
Menyertakan atau mengecualikan hub dari profil global
Secara default, setiap hub yang menggunakan Konfigurasi VPN Pengguna yang sama disertakan dalam profil VPN global yang Anda buat dan unduh. Namun, Anda dapat memilih untuk mengecualikan hub dari profil VPN global. Jika Anda melakukannya,klien VPN tidak akan di-load balanced untuk terhubung ke gateway hub.
Untuk memeriksa apakah hub disertakan dalam profil VPN global, buka Virtual WAN.
Di halaman Gambaran umum, pilih Hub.
Pada halaman Hub, klik hub.
Pada halamanHub Virtual, pilih VPN Pengguna (Titik ke situs) di panel kiri.
Di halaman VPN Pengguna (Arahkan ke situs), lihat Status lampiran gatewayuntuk menentukan apakah hub ini termasuk dalam profil VPN global. Jika status terpasang, hub disertakan. Jika status terlepas, hub tidak disertakan.
Untuk menyertakan atau mengecualikan (melampirkan atau mencopot) hub dari profil VPN global, pilih Sertakan/Kecualikan Gateway dari Profil Global.
Pada halaman Sertakan/Kecualikan, buat salah satu pilihan berikut ini.
Pilih Kecualikan jika Anda ingin menghapus gateway hub ini dari profil VPN Pengguna global Virtual WAN. Pengguna yang menggunakan profil hub akan tetap dapat terhubung ke gateway ini. Pengguna yang menggunakan profil global ini akan tetap dapat terhubung ke gateway ini.
Pilih Sertakan jika Anda ingin menyertakan gateway hub ini di profil VPN Pengguna global Virtual WAN. Pengguna yang menggunakan profil global ini akan tetap dapat terhubung ke gateway ini.
Praktik terbaik profil global
Menambahkan Beberapa sertifikat validasi server
Bagian ini berkaitan dengan koneksi menggunakan jenis terowongan OpenVPN dan Azure VPN Client versi 2.1963.44.0 atau yang lebih tinggi.
Saat Anda mengonfigurasikan gateway P2S hub, Azure akan menetapkan sertifikat internal ke gateway. Ini berbeda dengan informasi sertifikat akar yang ditentukan ketika Anda ingin menggunakan Autentikasi Sertifikat sebagai metode autentikasi. Sertifikat internal yang ditetapkan ke hub digunakan untuk semua jenis autentikasi. Nilai ini diwakili dalam file konfigurasi profil yang Anda hasilkan sebagai servervalidation/cert/hash. Klien VPN menggunakan nilai ini sebagai bagian dari proses koneksi.
Jika Anda memiliki beberapa hub di wilayah geografis yang berbeda, setiap hub dapat menggunakan sertifikat validasi server tingkat Azure yang berbeda. Profil global berisi nilai hash sertifikat validasi server untuk semua hub. Ini berarti bahwa jika sertifikat untuk hub tersebut tidak berfungsi dengan baik karena alasan apa pun, klien masih akan memiliki nilai hash sertifikat validasi server yang diperlukan untuk hub lain.
Penting
Mengonfigurasi klien Azure VPN dengan nilai hash sertifikat dari semua hub hanya diperlukan jika hub memiliki penerbit akar server yang berbeda.
Sebagai praktik terbaik, sebaiknya perbarui file konfigurasi profil klien VPN Anda untuk menyertakan nilai hash sertifikat dari semua hub yang dilampirkan ke profil global, lalu mengonfigurasikan Klien Azure VPN menggunakan file yang diperbarui.
Buat dan unduh file profil global. Gunakan editor teks untuk membuka file azurevpnconfig.xml.
Mengingat contoh xml berikut, konfigurasikan Klien Azure VPN menggunakan file konfigurasi profil global yang berisi hash sertifikat validasi server untuk setiap hub.
</protocolconfig> <serverlist> <ServerEntry> <displayname i:nil="true" /> <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn> </ServerEntry> </serverlist> <servervalidation> <cert> <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash> <issuer i:nil="true" /> </cert> <cert> <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash> <issuer i:nil="true" /> </cert> <cert> <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash> <issuer i:nil="true" /> </cert>
Profil hub
Gunakan jenis profil ini saat Anda ingin pengguna VPN hanya dapat terhubung ke satu hub yang ditentukan. File yang Anda hasilkan dan unduh di tingkat hub berisi pengaturan yang berbeda dari file yang dibuat dan diunduh di profil global tingkat WAN.
Mengunduh profil VPN hub
Untuk membuat dan mengunduh file konfigurasi profil klien VPN, gunakan langkah-langkah berikut:
Buka hub virtual.
Di panel kiri, pilih VPN Pengguna (Arahkan ke situs).
Klik Unduh profil VPN Pengguna virtual Hub.
Pada halaman unduhan, pilih EAPTLS, lalu Buat dan unduh profil. Paket profil (file zip) yang berisi pengaturan konfigurasi klien dihasilkan dan diunduh ke komputer Anda. Konten paket bergantung pada hub dan autentikasi serta jenis terowongan untuk konfigurasi Anda.
Langkah berikutnya
Untuk informasi lebih lanjut tentang VPN Pengguna, lihat Membuat koneksi arahkan ke situs VPN Pengguna.