Tentang VPN Point-to-Site
Koneksi gateway VPN Point-to-Site (P2S) memungkinkan Anda membuat koneksi aman ke jaringan virtual dari komputer klien individu. Pembuatan koneksi P2S dimulai dari komputer klien. Solusi ini berguna untuk telekomuter yang ingin terhubung ke jaringan virtual Azure dari lokasi jarak jauh, seperti dari rumah atau konferensi. VPN P2S juga merupakan solusi yang berguna untuk digunakan alih-alih VPN situs-ke-situs (S2S) ketika Anda hanya memiliki beberapa klien yang perlu terhubung ke jaringan virtual. Konfigurasi titik-ke-situs memerlukan jenis VPN berbasis rute.
Protokol apa yang digunakan P2S?
VPN Point-to-site dapat menggunakan salah satu protokol berikut:
Protokol OpenVPNĀ®, suatu protokol VPN berbasis SSL/TLS. Solusi VPN TLS dapat menembus firewall, karena sebagian besar firewall membuka port TCP 443 keluar, yang digunakan TLS. OpenVPN dapat digunakan untuk terhubung dari Android, iOS (versi 11.0 dan yang lebih baru), perangkat Windows, Linux, dan Mac (MacOS versi 10.13 dan yang lebih baru).
Secure Socket Tunneling Protocol (SSTP), protokol VPN hak milik berbasis TLS. Solusi VPN TLS dapat menembus firewall, karena sebagian besar firewall membuka port TCP 443 keluar, yang digunakan TLS. SSTP hanya didukung pada perangkat Windows. Azure mendukung semua versi Windows yang memiliki SSTP dan mendukung TLS 1.2 (Windows 8.1 dan yang lebih baru).
IKEv2 VPN, suatu solusi VPN IPsec berbasis standar. VPN IKEv2 dapat digunakan untuk menyambung dari perangkat Mac (MacOS versi 10.11 dan yang lebih baru).
Bagaimana klien VPN P2S diautentikasi?
Sebelum Azure menerima koneksi VPN P2S, pengguna harus diautentikasi terlebih dahulu. Ada tiga jenis autentikasi yang bisa Anda pilih saat mengonfigurasi gateway P2S Anda. Opsinya adalah:
Anda dapat memilih beberapa jenis autentikasi untuk konfigurasi gateway P2S Anda. Jika Anda memilih beberapa jenis autentikasi, klien VPN yang Anda gunakan harus didukung oleh setidaknya satu jenis autentikasi dan jenis terowongan yang sesuai. Misalnya, jika Anda memilih "IKEv2 dan OpenVPN" untuk jenis terowongan, dan "ID Microsoft Entra dan Radius" atau "ID Microsoft Entra dan Sertifikat Azure" untuk jenis autentikasi, ID Microsoft Entra hanya akan menggunakan jenis terowongan OpenVPN karena tidak didukung oleh IKEv2.
Tabel berikut ini memperlihatkan mekanisme autentikasi yang kompatibel dengan jenis terowongan yang dipilih. Setiap mekanisme memerlukan perangkat lunak klien VPN yang sesuai pada perangkat penghubung untuk dikonfigurasi dengan pengaturan yang tepat yang tersedia dalam file konfigurasi profil klien VPN.
| Jenis Terowongan | Mekanisme Autentikasi |
|---|---|
| OpenVPN | Subset ID Microsoft Entra, Radius Auth, dan Sertifikat Azure |
| SSTP | Sertifikat Radius Auth/ Azure |
| IKEv2 | Sertifikat Radius Auth/ Azure |
| IKEv2 dan OpenVPN | Radius Auth/ Sertifikat Azure/ ID Microsoft Entra dan Radius Auth/ ID Microsoft Entra dan Sertifikat Azure |
| IKEv2 dan SSTP | Sertifikat Radius Auth/ Azure |
Autentikasi sertifikat
Saat mengonfigurasi gateway P2S untuk autentikasi sertifikat, Anda mengunggah kunci publik sertifikat akar tepercaya ke gateway Azure. Anda dapat menggunakan sertifikat akar yang dihasilkan menggunakan solusi Enterprise, atau Anda dapat membuat sertifikat yang ditandatangani sendiri.
Untuk mengautentikasi, setiap klien yang tersambung harus memiliki sertifikat klien terinstal yang dihasilkan dari sertifikat akar tepercaya. Ini selain perangkat lunak klien VPN. Validasi sertifikat klien dilakukan oleh gateway VPN dan terjadi selama pembentukan koneksi VPN P2S.
Alur kerja autentikasi sertifikat
Pada tingkat tinggi, Anda perlu melakukan langkah-langkah berikut untuk mengonfigurasi autentikasi Sertifikat:
- Aktifkan autentikasi Sertifikat pada gateway P2S, bersama dengan pengaturan tambahan yang diperlukan (kumpulan alamat klien, dll.), dan unggah informasi kunci publik OS akar.
- Membuat dan mengunduh file konfigurasi profil klien VPN (paket konfigurasi profil).
- Instal sertifikat klien pada setiap komputer klien yang menghubungkan.
- Konfigurasikan klien VPN di komputer klien menggunakan pengaturan yang ditemukan dalam paket konfigurasi profil VPN.
- Terhubung.
Autentikasi ID Microsoft Entra
Anda dapat mengonfigurasi gateway P2S untuk memungkinkan pengguna VPN mengautentikasi menggunakan kredensial ID Microsoft Entra. Dengan autentikasi ID Microsoft Entra, Anda dapat menggunakan fitur Microsoft Entra Conditional Access dan autentikasi multifaktor (MFA) untuk VPN. Autentikasi ID Microsoft Entra hanya didukung untuk protokol OpenVPN. Untuk mengautentikasi dan menyambungkan, klien harus menggunakan Klien Azure VPN.
VPN Gateway sekarang mendukung ID Aplikasi baru yang terdaftar di Microsoft dan nilai Audiens terkait untuk versi terbaru Klien Azure VPN. Saat mengonfigurasi gateway VPN P2S menggunakan nilai Audiens baru, Anda melewati proses pendaftaran manual aplikasi Klien Azure VPN untuk penyewa Microsoft Entra Anda. ID Aplikasi sudah dibuat dan penyewa Anda secara otomatis dapat menggunakannya tanpa langkah pendaftaran tambahan. Proses ini lebih aman daripada mendaftarkan Klien Azure VPN secara manual karena Anda tidak perlu mengotorisasi aplikasi atau menetapkan izin melalui peran Administrator global.
Sebelumnya, Anda diharuskan mendaftarkan (mengintegrasikan) aplikasi Klien Azure VPN secara manual dengan penyewa Microsoft Entra Anda. Mendaftarkan aplikasi klien membuat ID Aplikasi yang mewakili identitas aplikasi Klien Azure VPN dan memerlukan otorisasi menggunakan peran Administrator Global. Untuk lebih memahami perbedaan antara jenis objek aplikasi, lihat Bagaimana dan mengapa aplikasi ditambahkan ke ID Microsoft Entra.
Jika memungkinkan, kami sarankan Anda mengonfigurasi gateway P2S baru menggunakan ID Aplikasi klien Azure VPN yang terdaftar di Microsoft dan nilai Audiens yang sesuai, alih-alih mendaftarkan aplikasi Klien Azure VPN secara manual dengan penyewa Anda. Jika Anda memiliki gateway Azure VPN yang dikonfigurasi sebelumnya yang menggunakan autentikasi ID Microsoft Entra, Anda dapat memperbarui gateway dan klien untuk memanfaatkan ID Aplikasi baru yang terdaftar di Microsoft. Memperbarui gateway P2S dengan nilai Audiens baru diperlukan jika Anda ingin klien Linux terhubung. Klien Azure VPN untuk Linux tidak kompatibel mundur dengan nilai Audiens yang lebih lama.
Jika Anda memiliki gateway P2S yang sudah ada yang ingin Anda perbarui untuk menggunakan nilai Audiens baru, lihat Mengubah Audiens untuk gateway VPN P2S. Jika Anda ingin membuat atau memodifikasi nilai Audiens kustom, lihat Membuat ID aplikasi audiens kustom untuk P2S VPN. Jika Anda ingin mengonfigurasi atau membatasi akses ke P2S berdasarkan pengguna dan grup, lihat Skenario: Mengonfigurasi akses VPN P2S berdasarkan pengguna dan grup.
Pertimbangan dan batasan
Gateway VPN P2S hanya dapat mendukung satu nilai Audiens. Ini tidak dapat mendukung beberapa nilai Audiens secara bersamaan.
Saat ini, ID Aplikasi terdaftar Microsoft yang lebih baru tidak mendukung nilai Audiens sebanyak aplikasi yang lebih lama dan terdaftar secara manual. Jika Anda memerlukan nilai Audiens untuk apa pun selain Azure Public atau Custom, gunakan metode dan nilai yang terdaftar secara manual yang lebih lama.
Klien Azure VPN untuk Linux tidak kompatibel mundur dengan gateway P2S yang dikonfigurasi untuk menggunakan nilai Audiens yang lebih lama yang selaras dengan aplikasi yang terdaftar secara manual. Klien Azure VPN untuk Linux mendukung nilai Audiens Kustom.
-
Meskipun ada kemungkinan bahwa Klien Azure VPN untuk Linux mungkin bekerja pada distribusi dan rilis Linux lainnya, Klien Azure VPN untuk Linux hanya didukung pada rilis berikut:
- Ubuntu 20.04
- Ubuntu 22.04
Klien Azure VPN untuk macOS dan Windows kompatibel mundur dengan gateway P2S yang dikonfigurasi untuk menggunakan nilai Audiens yang lebih lama yang selaras dengan aplikasi yang terdaftar secara manual. Anda juga dapat menggunakan nilai Audiens Kustom dengan klien ini.
Nilai Audiens Klien Azure VPN
Tabel berikut ini memperlihatkan versi Klien Azure VPN yang didukung untuk setiap ID Aplikasi dan nilai Audiens yang tersedia terkait.
| ID Aplikasi | Nilai Audiens yang Didukung | Klien yang Didukung |
|---|---|---|
| Terdaftar di Microsoft | - Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 |
- Linux - Windows - macOS |
| Terdaftar secara manual | - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426- Azure Jerman: 538ee9e6-310a-468d-afef-ea97365856a9- Microsoft Azure dioperasikan oleh 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
- Windows - macOS |
| Adat | <custom-app-id> |
- Linux - Windows - macOS |
Alur kerja autentikasi ID Microsoft Entra
Pada tingkat tinggi, Anda perlu melakukan langkah-langkah berikut untuk mengonfigurasi autentikasi ID Microsoft Entra:
- Jika menggunakan pendaftaran aplikasi manual, lakukan langkah-langkah yang diperlukan pada penyewa Microsoft Entra.
- Aktifkan autentikasi ID Microsoft Entra di gateway P2S, bersama dengan pengaturan tambahan yang diperlukan (kumpulan alamat klien, dll.).
- Membuat dan mengunduh file konfigurasi profil klien VPN (paket konfigurasi profil).
- Unduh, instal, dan konfigurasikan Klien AZURE VPN di komputer klien.
- Terhubung.
RADIUS - Autentikasi Server Domain Direktori Aktif (AD)
Autentikasi Domain AD memungkinkan pengguna menyambungkan ke Azure menggunakan kredensial domain organisasi mereka. Ini membutuhkan server RADIUS yang terintegrasi dengan server AD. Organisasi juga dapat menggunakan penyebaran RADIUS yang ada.
Server RADIUS dapat disebarkan secara lokal atau di jaringan virtual Azure Anda. Selama autentikasi, Azure VPN Gateway bertindak sebagai pass through dan meneruskan pesan autentikasi bolak-balik antara server RADIUS dan perangkat penghubung. Jadi keterjangkauan Gateway ke server RADIUS penting. Jika server RADIUS ada lokal, maka koneksi VPN S2S dari Azure ke situs lokal diperlukan untuk keterjangkauan.
Server RADIUS juga dapat diintegrasikan dengan layanan sertifikat AD. Ini memungkinkan Anda menggunakan server RADIUS dan penyebaran sertifikat perusahaan Anda untuk autentikasi sertifikat P2S sebagai alternatif untuk autentikasi sertifikat Azure. Keuntungannya adalah Anda tidak perlu mengunggah sertifikat root dan sertifikat yang dicabut ke Azure.
Server RADIUS juga dapat diintegrasikan dengan sistem identitas eksternal lainnya. Ini membuka banyak opsi autentikasi untuk P2S VPN, termasuk opsi multifaktor.
Untuk langkah-langkah konfigurasi gateway P2S, lihat Mengonfigurasi P2S - RADIUS.
Apa saja persyaratan konfigurasi klien?
Persyaratan konfigurasi klien bervariasi, berdasarkan klien VPN yang Anda gunakan, jenis autentikasi, dan protokol. Tabel berikut ini memperlihatkan klien yang tersedia dan artikel terkait untuk setiap konfigurasi.
| Autentikasi | Jenis terowongan | OS Klien | Klien VPN |
|---|---|---|---|
| Sertifikat | |||
| IKEv2, SSTP | Windows | Klien VPN asli | |
| IKEv2 | macOS | Klien VPN asli | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Klien Azure VPN Klien OpenVPN versi 2.x Klien OpenVPN versi 3.x |
|
| OpenVPN | macOS | Klien OpenVPN | |
| OpenVPN | iOS | Klien OpenVPN | |
| OpenVPN | Linux | Klien Azure VPN Klien OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klien Azure VPN | |
| OpenVPN | macOS | Klien Azure VPN | |
| OpenVPN | Linux | Klien Azure VPN |
Versi Klien Azure VPN apa yang tersedia?
Untuk informasi tentang versi Klien Azure VPN yang tersedia, tanggal rilis, dan apa yang baru di setiap rilis, lihat Versi Klien Azure VPN.
SKU gateway mana yang mendukung P2S VPN?
Tabel berikut ini memperlihatkan SKU gateway menurut terowongan, koneksi, dan throughput. Untuk informasi selengkapnya, lihat Tentang SKU gateway.
| VPN Gateway Generation |
SKU | S2S/VNet-to-VNet Tunnel |
P2S Koneksi SSTP |
P2S Koneksi IKEv2/OpenVPN |
Agregat Tolok Ukur Throughput |
BGP | Zone-redundant | Jumlah VM yang Didukung di Virtual Network |
|---|---|---|---|---|---|---|---|---|
| Generasi1 | Dasar | Maks. 10 | Maks. 128 | Tidak Didukung | 100 Mbps | Tidak Didukung | No | 200 |
| Generasi1 | VpnGw1 | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mbps | Didukung | No | 450 |
| Generasi1 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gbps | Didukung | No | 1300 |
| Generasi1 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gbps | Didukung | No | 4000 |
| Generasi1 | VpnGw1AZ | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mbps | Didukung | Ya | 1000 |
| Generasi1 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gbps | Didukung | Ya | 2000 |
| Generasi1 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gbps | Didukung | Ya | 5000 |
| Generation2 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gbps | Didukung | No | 685 |
| Generation2 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gbps | Didukung | No | 2240 |
| Generation2 | VpnGw4 | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gbps | Didukung | No | 5300 |
| Generation2 | VpnGw5 | Maks. 100* | Maks. 128 | Maks. 10000 | 10 Gbps | Didukung | No | 6700 |
| Generation2 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gbps | Didukung | Ya | 2000 |
| Generation2 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gbps | Didukung | Ya | 3300 |
| Generation2 | VpnGw4AZ | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gbps | Didukung | Ya | 4400 |
| Generation2 | VpnGw5AZ | Maks. 100* | Maks. 128 | Maks. 10000 | 10 Gbps | Didukung | Ya | 9000 |
Catatan
SKU Dasar memiliki batasan dan tidak mendukung autentikasi IKEv2, IPv6, atau RADIUS. Untuk informasi selengkapnya, lihat Pengaturan VPN Gateway.
Kebijakan IKE/IPsec apa yang dikonfigurasi pada gateway VPN untuk P2S?
Tabel di bagian ini memperlihatkan nilai untuk kebijakan default. Namun, nilai tersebut tidak mencerminkan nilai yang didukung yang tersedia untuk kebijakan kustom. Untuk kebijakan kustom, lihat nilai yang diterima yang tercantum dalam cmdlet PowerShell New-AzVpnClientIpsecParameter .
IKEv2
| Sandi | Integritas | PRF | Grup DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Sandi | Integritas | Grup PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Kebijakan TLS apa yang dikonfigurasi pada gateway VPN untuk P2S?
TLS
| Kebijakan |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Hanya didukung di TLS1.3 dengan OpenVPN
Bagaimana cara mengkonfigurasi koneksi P2S?
Konfigurasi P2S membutuhkan beberapa langkah tertentu. Artikel berikut berisi langkah-langkah untuk memanding Anda melalui langkah-langkah konfigurasi P2S umum.
Untuk menghapus konfigurasi koneksi P2S
Anda dapat menghapus konfigurasi koneksi dengan menggunakan PowerShell atau CLI. Contohnya, Lihat FAQ.
Bagaimana cara kerja perutean P2S?
Lihat artikel berikut:
Tanya Jawab Umum
Ada beberapa entri FAQ untuk titik-ke-situs. Lihat TANYA JAWAB UMUM VPN Gateway, memberikan perhatian khusus pada bagian Autentikasi sertifikat dan RADIUS, sebagaimana mewajibkan.
Langkah berikutnya
- Konfigurasikan koneksi P2S - Autentikasi sertifikat Azure
- Mengonfigurasi koneksi P2S - Autentikasi ID Microsoft Entra
"OpenVPN" adalah merek dagang OpenVPN Inc.